Antimaleware-Doctor eingefangen

madi1709 · 10.09.2010, 13:48

Hallo allesamt!

Irgendwie scheint sich gestern Abend das Programm "Antimalware Doctor" auf meinen PC geschlichen zu haben.

Ich schaffe es einfach nicht, das blöde Ding wieder loszuwerden, und leider bin ich auch ein Computerlegastheniker und kenn mich so gut wie garnicht damit aus.

Kann mir vielleicht jemand, in ausführlichen Schritten erklären, wie ich das Programm nun wieder loswerde?

Mein Internet hat es auch blockiert, d.h. den Explorer, und ich kann nurnoch im abgesicherten Modus agieren.

Ich habe mir bereits Malwarebytes und SUPERAntiSpyware runtergeladen, nur irgendwie scheint der Administrator eine Installation verhindern zu wollen...

Ich habe ein Antivirenprogramm auf CD, allerdings will der PC diese absolut nicht lesen.

Also bitte bitte bitte seid so lieb und helft mir!

LG

markusg · 10.09.2010, 13:56

starte mal in den abgesicherten modus mit netzwerk, sollte beim betätigen der f8-taste bei pc start zu erreichen sein, dort instalierst du malwarebytes, dann klicke auf aktualisierung, update das programm, dann auf die registerkarte scanner, komplett scan, funde löschen, log posten.
dann in den normalen modus starten und otl versuchen.
ootl:
Systemscan mit OTL
download otl:
http://filepony.de/download-otl/

Doppelklick auf die OTL.exe
(user von Windows 7 und Vista: Rechtsklick als Administrator ausführen)
1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
2. Hake an "scan all users"
3. Unter "Extra Registry wähle:
"Use Safelist" "LOP Check" "Purity Check"
4. Kopiere in die Textbox:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
5. Klicke "Scan"
6. 2 reporte werden erstellt:
OTL.Txt
Extras.Txt
poste beide

madi1709 · 10.09.2010, 14:00

Hi!

Das Problem mit Malwarebytes ist, dass es sich nicht öffnen lässt.

Wenn ich versuch, es zu installieren, dann kommt eine blaue Fehlermeldung, die mir sagt, dass die Datei gefährlich ist.

Wenn ich dann den PC runter und wieder hochfahre, und versuche, Malwarebytes zu öffnen, steht da lediglich "Run-Time Error '0'", also auch eine Fehlermeldung...

Ich hoffe du hast Geduld

markusg · 10.09.2010, 14:02

das mit dem abgesicherten hab ich überlesen
bitte erstelle und poste ein combofix log.
http://www.bleepingcomputer.com/comb...x-benutzt-wird
auf den download link der combofix.exe nen rechtsklick, ziehl speichern unter, combofix.exe löschen, also den namen, und in pruef.com
umbenennen, dann speichern und ausführen

madi1709 · 10.09.2010, 14:03

Ich bin im Moment im Abgesicherten Modus.

markusg · 10.09.2010, 14:04

ja sorry ich hatte es überlesen, schau dir meinen letzten beitrag an, der ist editirt du warst nur zu schnell :-)

madi1709 · 10.09.2010, 14:43

Okay, hab ich gemacht.

Da öffnet sich ein schwarzes Fenster, das wars

markusg · 10.09.2010, 15:24

schieb mal combofix auf c: also einfach arbeitsplatz öffnen, c: auswählen und combofix rein, dann starte mal den abgesicherten modus ohne netzwerk und versuch combofix dann noch mal. da wird noch weniger geladen und da könnte es dann klappen. die rettungskonsole kannst du dort nicht instalieren.

madi1709 · 10.09.2010, 22:53

So, hier habe ich nun den Log:

Combofix Logfile:

Code:

ATTFilter

ComboFix 10-09-09.04 - Administrator 10.09.2010  23:13:11.1.2 - x86 NETWORK
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.1023.808 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Administrator\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}
AV: avast! Antivirus *On-access scanning enabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
AV: Spyware Doctor with AntiVirus *On-access scanning enabled* (Updated) {D3C23B96-C9DC-477F-8EF1-69AF17A6EFF6}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\Administrator\Anwendungsdaten\antispy.exe
c:\dokumente und einstellungen\Administrator\Anwendungsdaten\download2
c:\dokumente und einstellungen\Administrator\Anwendungsdaten\download2\svcnost.exe
c:\dokumente und einstellungen\Lenny\Anwendungsdaten\9C306006C787F738FF2908DB4C91D9B1
c:\dokumente und einstellungen\Lenny\Anwendungsdaten\9C306006C787F738FF2908DB4C91D9B1\enemies-names.txt
c:\dokumente und einstellungen\Lenny\Anwendungsdaten\9C306006C787F738FF2908DB4C91D9B1\local.ini
c:\dokumente und einstellungen\Lenny\Anwendungsdaten\9C306006C787F738FF2908DB4C91D9B1\lsrslt.ini
c:\dokumente und einstellungen\Lenny\Anwendungsdaten\9C306006C787F738FF2908DB4C91D9B1\upd_debug.exe
c:\dokumente und einstellungen\Lenny\Anwendungsdaten\addon.dat
c:\dokumente und einstellungen\Lenny\Anwendungsdaten\logs.dat
c:\dokumente und einstellungen\Lenny\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Antimalware Doctor.lnk
c:\dokumente und einstellungen\Lenny\Lokale Einstellungen\Anwendungsdaten\gmmkbgecs
c:\dokumente und einstellungen\Lenny\Lokale Einstellungen\Anwendungsdaten\gmmkbgecs\wtstrdeuqiw.exe
c:\dokumente und einstellungen\Lenny\Lokale Einstellungen\Anwendungsdaten\nabkbfqbd
c:\dokumente und einstellungen\Lenny\Lokale Einstellungen\Anwendungsdaten\nabkbfqbd\wtcottvuqiw.exe
c:\dokumente und einstellungen\Lenny\Lokale Einstellungen\Anwendungsdaten\teegdpvmj
c:\dokumente und einstellungen\Lenny\Lokale Einstellungen\Anwendungsdaten\teegdpvmj\woykyuvuqiw.exe
c:\progra~1\CNRN\RNEVent.dll
c:\programme\CNRN
c:\programme\CNRN\assis.ico
c:\programme\CNRN\cnr184.tmp
c:\programme\CNRN\cnr24.tmp
c:\programme\CNRN\cnr3B.tmp
c:\programme\CNRN\cnr3C.tmp
c:\programme\CNRN\cnr46.tmp
c:\programme\CNRN\cnrn.dat
c:\programme\CNRN\CNRN.dll
c:\programme\CNRN\CNRN.dll.1.log
c:\programme\CNRN\cnrndvr.dll
c:\programme\CNRN\cnrnlib.dat
c:\programme\CNRN\cns16.tmp
c:\programme\CNRN\cns26.tmp
c:\programme\CNRN\cns2F.tmp
c:\programme\CNRN\cns32.tmp
c:\programme\CNRN\cns34.tmp
c:\programme\CNRN\cns36.tmp
c:\programme\CNRN\cns39.tmp
c:\programme\CNRN\cns3B.tmp
c:\programme\CNRN\cns3C.tmp
c:\programme\CNRN\cns42.tmp
c:\programme\CNRN\cns44.tmp
c:\programme\CNRN\cns46.tmp
c:\programme\CNRN\cns48.tmp
c:\programme\CNRN\cns4A.tmp
c:\programme\CNRN\cns4F.tmp
c:\programme\CNRN\cns71.tmp
c:\programme\CNRN\ListInfo.dat
c:\programme\CNRN\RNCg.ini
c:\programme\CNRN\RNDowEF.dat
c:\programme\CNRN\RNDVUp.dll
c:\programme\CNRN\RNEvent.dll
c:\programme\CNRN\RNExtend.dll
c:\programme\CNRN\RNHelper.dll
c:\programme\CNRN\RNInsEF.dat
c:\programme\CNRN\RNInsFea.dat
c:\programme\CNRN\RNList.dll
c:\programme\CNRN\RNLive.dll
c:\programme\CNRN\RNLive.ini
c:\programme\CNRN\RNLiveS.ini
c:\programme\CNRN\RNMain.exe
c:\programme\CNRN\RNNtfy.dll
c:\programme\CNRN\RNScF.dat
c:\programme\CNRN\RNUp.ini
c:\programme\CNRN\RNUpAll.ini
c:\programme\CNRN\RNUpEx.ini
c:\programme\CNRN\taobao.ico
c:\programme\CNRN\Thumbs.db
c:\programme\CNRN\Update\RNLive.dll
c:\programme\CNRN\widget.ico
c:\programme\CNRN\windex.dat
c:\programme\CNRN\yahoomsg.ico
c:\programme\CNRN\ymail.ico
c:\programme\win32GI
c:\windows\$ntuninstallmtf196$
c:\windows\$ntuninstallmtf196$\apUninstall.exe
c:\windows\$ntuninstallmtf196$\zrpt.xml
c:\windows\Debug\dcpromo.log
c:\windows\system32\drivers\lgwjwhog.sys
c:\windows\system32\kungsftjixfqpr.dat
c:\windows\system32\qtplugin.exe
c:\windows\system32\Thumbs.db
c:\windows\system32\win32

Infizierte Kopie von c:\windows\system32\drivers\SSHDRV76.sys wurde gefunden und desinfiziert 
Kopie von - Kitty had a snack :p wurde wiederhergestellt 
Infizierte Kopie von c:\windows\system32\winlogon.exe wurde gefunden und desinfiziert 
Kopie von - c:\windows\ServicePackFiles\i386\winlogon.exe wurde wiederhergestellt 

Infizierte Kopie von c:\windows\explorer.exe wurde gefunden und desinfiziert 
Kopie von - c:\windows\ServicePackFiles\i386\explorer.exe wurde wiederhergestellt 

Infizierte Kopie von c:\windows\system32\winlogon.exe wurde gefunden und desinfiziert 
Kopie von - c:\windows\ServicePackFiles\i386\winlogon.exe wurde wiederhergestellt
Infizierte Kopie von c:\windows\explorer.exe wurde gefunden und desinfiziert 
Kopie von - c:\windows\ServicePackFiles\i386\explorer.exe wurde wiederhergestellt
.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_kungsflvhkdpxm
-------\Service_kungsflvhkdpxm
-------\Legacy_lgwjwhog
-------\Service_lgwjwhog


(((((((((((((((((((((((   Dateien erstellt von 2010-08-10 bis 2010-09-10  ))))))))))))))))))))))))))))))
.

2010-09-10 21:12 . 2010-09-10 21:12	--------	d-sh--w-	c:\dokumente und einstellungen\LocalService\PrivacIE
2010-09-10 21:12 . 2010-09-10 21:12	--------	d-----r-	c:\dokumente und einstellungen\LocalService\Favoriten
2010-09-10 13:33 . 2010-09-10 13:33	--------	d-----w-	c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Avira
2010-09-10 12:55 . 2010-03-01 08:05	124784	----a-w-	c:\windows\system32\drivers\avipbb.sys
2010-09-10 12:55 . 2009-05-11 10:49	45416	----a-w-	c:\windows\system32\drivers\avgntdd.sys
2010-09-10 12:55 . 2009-05-11 10:49	22360	----a-w-	c:\windows\system32\drivers\avgntmgr.sys
2010-09-10 12:55 . 2010-09-10 12:55	--------	d-----w-	c:\programme\Avira
2010-09-10 12:54 . 2010-09-10 12:54	--------	d-----w-	c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Apple Computer
2010-09-10 12:01 . 2010-09-10 12:01	--------	d-----w-	c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2010-09-10 12:01 . 2010-04-29 13:39	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-09-10 12:01 . 2010-09-10 12:01	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-09-10 12:01 . 2010-09-10 12:06	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2010-09-10 12:01 . 2010-04-29 13:39	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-09-10 12:01 . 2010-09-10 12:01	46592	---ha-w-	c:\windows\system32\atTour.dll
2010-09-10 12:01 . 2010-09-10 12:01	--------	d-----w-	c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Adobe
2010-09-10 11:56 . 2010-09-10 11:56	--------	d-----w-	c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Mozilla
2010-09-10 11:53 . 2010-09-10 11:53	--------	d-----w-	c:\dokumente und einstellungen\Lenny\Anwendungsdaten\SUPERAntiSpyware.com
2010-09-10 08:49 . 2010-09-10 08:49	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2010-09-10 08:49 . 2010-09-10 08:49	--------	d-----w-	c:\dokumente und einstellungen\Administrator\Anwendungsdaten\SUPERAntiSpyware.com
2010-09-10 08:48 . 2010-09-10 08:49	--------	d-----w-	c:\programme\SUPERAntiSpyware
2010-09-10 07:37 . 2010-09-10 07:37	--------	d-----w-	c:\dokumente und einstellungen\Administrator\Anwendungsdaten\DivX
2010-09-10 06:49 . 2010-09-10 06:49	--------	d-sh--w-	c:\dokumente und einstellungen\Administrator\PrivacIE
2010-09-10 06:47 . 2010-09-10 06:47	--------	d-sh--w-	c:\dokumente und einstellungen\Administrator\IETldCache
2010-09-09 18:15 . 2010-09-09 18:14	219136	----a-w-	c:\windows\Lgyrib.exe
2010-09-09 18:15 . 2010-09-09 18:14	219136	----a-w-	c:\windows\Lgyria.exe
2010-08-14 00:55 . 2010-08-14 00:55	--------	d-----w-	c:\programme\FaceMod

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-10 21:35 . 2003-09-20 23:42	85808	----a-w-	c:\windows\system32\perfc007.dat
2010-09-10 21:35 . 2003-09-20 23:42	460944	----a-w-	c:\windows\system32\perfh007.dat
2010-09-10 13:02 . 2010-01-26 14:17	7480	----a-w-	c:\windows\system32\d3d9caps.dat
2010-09-10 12:55 . 2009-06-28 23:02	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2010-09-10 12:17 . 2004-02-09 20:53	--------	d-----w-	c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2010-09-10 11:53 . 2010-09-10 11:53	63488	----a-w-	c:\dokumente und einstellungen\Lenny\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\SD10006.dll
2010-09-10 11:53 . 2010-09-10 11:53	52224	----a-w-	c:\dokumente und einstellungen\Lenny\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\SD10005.dll
2010-09-10 11:53 . 2010-09-10 11:53	117760	----a-w-	c:\dokumente und einstellungen\Lenny\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL
2010-09-10 10:32 . 2009-06-11 17:12	12	----a-w-	c:\windows\bthservsdp.dat
2010-09-10 10:32 . 2010-02-05 14:00	--------	d-----w-	c:\programme\Spyware Doctor
2010-09-10 10:32 . 2009-10-12 14:39	--------	d---a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2010-09-10 10:28 . 2010-05-26 15:22	--------	d-----w-	c:\programme\Gemeinsame Dateien\Akamai
2010-09-10 08:50 . 2010-09-10 08:50	63488	----a-w-	c:\dokumente und einstellungen\Administrator\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\SD10006.dll
2010-09-10 08:50 . 2010-09-10 08:50	52224	----a-w-	c:\dokumente und einstellungen\Administrator\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\SD10005.dll
2010-09-10 08:49 . 2010-09-10 08:49	117760	----a-w-	c:\dokumente und einstellungen\Administrator\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL
2010-09-10 06:48 . 2009-06-11 15:46	90512	----a-w-	c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-09-09 14:00 . 2008-12-03 18:14	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Google Updater
2010-09-04 07:34 . 2009-06-15 23:21	--------	d-----w-	c:\programme\Microsoft Silverlight
2010-09-02 13:10 . 2009-06-11 22:20	12360	----a-w-	c:\dokumente und einstellungen\Lenny\Anwendungsdaten\wklnhst.dat
2010-08-19 20:11 . 2010-08-04 02:16	307408	----a-w-	c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
2010-08-01 20:07 . 2008-10-05 10:21	--------	d-----w-	c:\programme\Gemeinsame Dateien\DVDVideoSoft
2010-07-27 09:26 . 2003-09-20 14:48	--------	d-----w-	c:\programme\Gemeinsame Dateien\Dienste
2010-07-22 14:23 . 2010-07-07 10:25	--------	d-----w-	c:\programme\DVDVideoSoftTB
2010-07-22 14:23 . 2010-07-22 14:23	52224	----a-w-	c:\dokumente und einstellungen\Lenny\Anwendungsdaten\Mozilla\Firefox\Profiles\48gi0k29.default\extensions\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}\components\FFExternalAlert.dll
2010-07-22 14:23 . 2010-07-22 14:23	101376	----a-w-	c:\dokumente und einstellungen\Lenny\Anwendungsdaten\Mozilla\Firefox\Profiles\48gi0k29.default\extensions\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}\components\RadioWMPCore.dll
2010-07-22 14:21 . 2010-07-22 14:21	--------	d-----w-	c:\programme\softonic-de3
2010-07-16 11:26 . 2010-05-26 15:41	--------	d-----w-	c:\dokumente und einstellungen\Lenny\Anwendungsdaten\gtk-2.0
2010-07-07 10:25 . 2010-07-07 10:25	52224	----a-w-	c:\dokumente und einstellungen\Lenny\Anwendungsdaten\Mozilla\Firefox\Profiles\48gi0k29.default\extensions\{872b5b88-9db5-4310-bdd0-ac189557e5f5}\components\FFExternalAlert.dll
2010-07-07 10:25 . 2010-07-07 10:25	101376	----a-w-	c:\dokumente und einstellungen\Lenny\Anwendungsdaten\Mozilla\Firefox\Profiles\48gi0k29.default\extensions\{872b5b88-9db5-4310-bdd0-ac189557e5f5}\components\RadioWMPCore.dll
2010-06-30 12:28 . 2003-09-20 23:41	149504	----a-w-	c:\windows\system32\schannel.dll
2010-06-29 22:13 . 2010-07-16 16:56	52224	----a-w-	c:\dokumente und einstellungen\Lenny\Anwendungsdaten\Mozilla\Firefox\Profiles\48gi0k29.default\extensions\{7b13ec3e-999a-4b70-b9cb-2617b8323822}\components\FFExternalAlert.dll
2010-06-29 22:13 . 2010-07-16 16:56	101376	----a-w-	c:\dokumente und einstellungen\Lenny\Anwendungsdaten\Mozilla\Firefox\Profiles\48gi0k29.default\extensions\{7b13ec3e-999a-4b70-b9cb-2617b8323822}\components\RadioWMPCore.dll
2010-06-27 21:46 . 2010-06-10 12:32	1	----a-w-	c:\dokumente und einstellungen\Lenny\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-06-24 12:22 . 2004-02-06 16:07	916480	----a-w-	c:\windows\system32\wininet.dll
2010-06-24 09:02 . 2003-09-20 23:41	1852032	----a-w-	c:\windows\system32\win32k.sys
2010-06-21 15:27 . 2003-09-20 23:41	354304	----a-w-	c:\windows\system32\drivers\srv.sys
2010-06-17 14:03 . 2003-09-20 23:41	80384	----a-w-	c:\windows\system32\iccvid.dll
2010-06-14 14:31 . 2003-09-20 14:48	744448	----a-w-	c:\windows\PCHealth\HelpCtr\Binaries\helpsvc.exe
2010-06-14 07:41 . 2003-09-20 23:41	1172480	----a-w-	c:\windows\system32\msxml3.dll
2005-09-14 10:58 . 2005-11-07 09:54	20480	----a-w-	c:\programme\Gemeinsame Dateien\UninstallDrv.exe
2003-08-14 17:13 . 2003-09-22 20:55	40960	----a-w-	c:\programme\Uninstall_PCM.exe
2000-07-17 00:04 . 2004-03-06 22:28	8822829	----a-r-	c:\programme\GP3.ICD
2004-03-16 21:28 . 2004-03-16 21:28	61	--sha-w-	c:\windows\cnerolf.dat
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{872b5b88-9db5-4310-bdd0-ac189557e5f5}"= "c:\programme\DVDVideoSoftTB\tbDVDV.dll" [2010-04-15 2515552]
"{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}"= "c:\programme\softonic-de3\tbsoft.dll" [2010-06-03 2736736]

[HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]

[HKEY_CLASSES_ROOT\clsid\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SUPERAntiSpyware"="c:\programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2010-08-25 2424560]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"scan_after_setup"="c:\programme\avira\antivir desktop\avcenter.exe" [2010-02-22 390824]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-08-12 335872]
"UnlockerAssistant"="c:\programme\Unlocker\UnlockerAssistant.exe" [2008-05-02 15872]
"StartCCC"="c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2009-02-25 61440]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-04-04 36272]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832]
"ISTray"="c:\programme\Spyware Doctor\pctsTray.exe" [2009-11-18 1243088]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2009-05-26 413696]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-03-02 282792]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2009-09-03 22:21	548352	----a-w-	c:\programme\SUPERAntiSpyware\SASWINLO.DLL

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MSIServer]
@="Service"

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^DSLMON.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\DSLMON.lnk
backup=c:\windows\pss\DSLMON.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Gizmo.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Gizmo.lnk
backup=c:\windows\pss\Gizmo.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^bernd^Startmenü^Programme^Autostart^LimeWire Turbo Accelerator.lnk]
path=c:\dokumente und einstellungen\bernd\Startmenü\Programme\Autostart\LimeWire Turbo Accelerator.lnk
backup=c:\windows\pss\LimeWire Turbo Accelerator.lnkStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^bernd^Startmenü^Programme^Autostart^Office-Start.lnk]
path=c:\dokumente und einstellungen\bernd\Startmenü\Programme\Autostart\Office-Start.lnk
backup=c:\windows\pss\Office-Start.lnkStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^bernd^Startmenü^Programme^Autostart^RC.lnk]
path=c:\dokumente und einstellungen\bernd\Startmenü\Programme\Autostart\RC.lnk
backup=c:\windows\pss\RC.lnkStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^bernd^Startmenü^Programme^Autostart^VirtuaGirl HD.LNK]
path=c:\dokumente und einstellungen\bernd\Startmenü\Programme\Autostart\VirtuaGirl HD.LNK
backup=c:\windows\pss\VirtuaGirl HD.LNKStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BluetoothAuthenticationAgent]
2008-04-14 05:53	110592	----a-w-	c:\windows\system32\bthprops.cpl

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Cmaudio]
2003-09-12 18:07	2244608	----a-w-	c:\windows\CMICNFG.CPL

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Dit]
2002-08-28 11:43	73728	----a-w-	c:\windows\Dit.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Microsoft Works Update Detection]
2003-06-17 15:14	50688	----a-w-	c:\programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]
2009-07-26 14:44	3883840	----a-w-	c:\programme\Windows Live\Messenger\msnmsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCMService]
2003-06-24 13:23	61440	----a-w-	c:\programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PinnacleDriverCheck]
2003-11-10 16:06	406016	----a-w-	c:\windows\system32\PSDrvCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2009-05-26 15:18	413696	----a-w-	c:\programme\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
2008-11-29 19:34	1410296	----a-w-	c:\programme\Steam\Steam.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2008-02-22 02:25	144784	----a-w-	c:\programme\Java\jre1.6.0_05\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
2003-09-26 12:53	151597	----a-w-	c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TRIXX]
2005-05-16 17:29	9375744	----a-w-	c:\programme\TRIXX\TRIXX.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
2008-04-01 18:49	36352	----a-w-	c:\programme\Winamp\winampa.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\LEXPPS.EXE"=
"c:\\WINDOWS\\system32\\dpnsvr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Steam\\steamapps\\dabiguncleflo\\counter-strike\\hl.exe"=
"c:\\Programme\\Anno 1701\\Anno1701.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\devolo\\informer\\devinf.exe"=
"c:\\Programme\\devolo\\easyshare\\easyshare.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Programme\\Lionhead Studios Ltd\\Black & White\\runblack.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"1036:TCP"= 1036:TCP:Akamai NetSession Interface
"5000:UDP"= 5000:UDP:Akamai NetSession Interface

R0 bguihtvs;bguihtvs;c:\windows\system32\drivers\bguihtvs.sys [22.10.2009 16:48 11192]
R0 CNRNDV;CNRNDV;c:\windows\system32\drivers\CNRNDV.sys [18.10.2009 02:30 61800]
R0 PCTCore;PCTools KDS;c:\windows\system32\drivers\PCTCore.sys [05.02.2010 16:01 207792]
R1 SSHDRV76;SSHDRV76;c:\windows\system32\drivers\SSHDRV76.sys [14.10.2004 18:31 53760]
R3 PRISM_A00;PRISM 802.11g Driver;c:\windows\system32\drivers\PRISMA00.sys [10.09.2003 13:22 362688]
S1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [05.02.2010 16:07 163280]
S1 GizmoDrv;Gizmo Device Driver;c:\windows\system32\drivers\gizmodrv.sys [24.06.2009 00:36 23624]
S1 SASDIFSV;SASDIFSV;c:\programme\SUPERAntiSpyware\sasdifsv.sys [17.02.2010 20:25 12872]
S1 SASKUTIL;SASKUTIL;c:\programme\SUPERAntiSpyware\SASKUTIL.SYS [10.05.2010 20:41 67656]
S1 TRIXX;TRIXX;c:\programme\TRIXX\TRIXXDriver.sys [13.05.2005 20:09 15360]
S2 Akamai;Akamai NetSession Interface;c:\windows\System32\svchost.exe -k Akamai [21.09.2003 01:41 14336]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [10.09.2010 14:55 135336]
S2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [05.02.2010 16:07 19024]
S2 Browser Defender Update Service;Browser Defender Update Service;c:\programme\Spyware Doctor\BDT\BDTUpdateService.exe [05.02.2010 16:04 112592]
S2 EraserSvc10920;Symantec Eraser Service;"c:\programme\Norton Internet Security\Engine\17.0.0.136\ccSvcHst.exe" /h ccCommon --> c:\programme\Norton Internet Security\Engine\17.0.0.136\ccSvcHst.exe [?]
S2 Gizmo Central;Gizmo Central;c:\programme\Gizmo\gservice.exe [24.06.2009 00:36 31856]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [07.01.2010 02:49 135664]
S2 ICQ Service;ICQ Service;c:\programme\ICQ6Toolbar\ICQ Service.exe [12.06.2009 03:33 222456]
S2 LogWatch;Ereignisprotokoll-Überwachung;c:\programme\CA\SharedComponents\CA_LIC\LogWatNT.exe --> c:\programme\CA\SharedComponents\CA_LIC\LogWatNT.exe [?]
S2 PLCNDIS5;PLCNDIS5 NDIS Protocol Driver;c:\windows\system32\plcndis5.sys [17.05.2004 11:21 17280]
S2 sdAuxService;PC Tools Auxiliary Service;c:\programme\Spyware Doctor\pctsAuxs.exe [05.02.2010 16:00 359624]
S3 AF05BDA;AF9005 BDA Device;c:\windows\system32\drivers\AF05BDA.sys [04.11.2006 13:54 122752]
S3 CA_LIC_CLNT;CA-Lizenz-Client;c:\programme\CA\SharedComponents\CA_LIC\lic98rmt.exe --> c:\programme\CA\SharedComponents\CA_LIC\lic98rmt.exe [?]
S3 CA_LIC_SRVR;CA-Lizenzserver;c:\programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe --> c:\programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe [?]
S3 EraserUtilDrv10920;EraserUtilDrv10920;\??\c:\programme\Gemeinsame Dateien\Symantec Shared\EENGINE\EraserUtilDrv10920.sys --> c:\programme\Gemeinsame Dateien\Symantec Shared\EENGINE\EraserUtilDrv10920.sys [?]
S3 NPUSB;NPUSB;c:\windows\system32\drivers\npusb.sys [10.07.2005 15:59 133156]
S3 PhTVTune;MEDION TV-TUNER 7134 MK2/3;c:\windows\system32\drivers\PhTVTune.sys [12.06.2003 08:47 24704]
S3 R2A;R2A;\??\c:\windows\system32a2.sys --> c:\windows\system32a2.sys [?]
S3 TNPacket;T-Systems Nova Packet Capture Driver;\??\c:\progra~1\T-DSLS~1\TNPACKET.SYS --> c:\progra~1\T-DSLS~1\TNPACKET.SYS [?]
S3 WinDSLa;WinDSL-Adapter  (PPP-over-Ethernet);c:\windows\system32\DRIVERS\WinDSL.sys --> c:\windows\system32\DRIVERS\WinDSL.sys [?]
S3 XIRLINK;Veo Mobile/Advanced Web Camera;c:\windows\system32\drivers\ucdnt.sys [18.01.2009 03:02 728035]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [15.09.2008 00:08 717296]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
Akamai	REG_MULTI_SZ   	Akamai
.
Inhalt des "geplante Tasks" Ordners

2010-09-10 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-01-07 00:48]

2010-09-10 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-01-07 00:48]

2010-09-03 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2486908987-3922842887-1072201363-1012Core.job
- c:\dokumente und einstellungen\Lenny\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2009-10-29 15:12]

2010-09-10 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2486908987-3922842887-1072201363-1012UA.job
- c:\dokumente und einstellungen\Lenny\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2009-10-29 15:12]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.aldi.com/
IE: {{110F6354-E9E3-4f8c-95DD-8487ED86C73D} - hxxp://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=clean
IE: {{30778C27-54C7-437e-946A-F04CBB8C460F} - hxxp://adtaobao.allyes.com/main/adfclick?db=adtaobao&bid=138,140,18&cid=816,8,1&sid=5042&show=ignore&url=hxxp://www.taobao.com/vertical/mall/pro.php?allyesPara=816
IE: {{4C4A96EA-D26D-4ab1-9D7C-BEA7D3312B6F} - hxxp://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=yahoomail
IE: {{4D985980-695A-4b42-8B11-34D8D3385676} - hxxp://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=repair
IE: {{5D73EE86-05F1-49ed-B850-E423120EC338} - hxxp://cn.zs.yahoo.com/start.htm?source=yzs_icon&btn=yassistnew
IE: {{6C32C266-E0C3-447c-B1A1-650640D550D0} - hxxp://cn.widget.yahoo.com/index.htm?source=Cns
IE: {{7035F492-7EAE-4213-A159-7C4E1E216C12} - hxxp://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=yahoomsg
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\w13yuq9n.default\
FF - plugin: c:\dokumente und einstellungen\All Users\Anwendungsdaten\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll
FF - plugin: c:\programme\DivX\DivX Plus Web Player\npdivx32.dll
FF - plugin: c:\programme\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\programme\Google\Google Updater\2.4.1425.4532\npCIDetect13.dll
FF - plugin: c:\programme\Google\Update\1.2.183.29\npGoogleOneClick8.dll
FF - plugin: c:\programme\Microsoft\Office Live\npOLW.dll
FF - plugin: c:\programme\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll
FF - plugin: c:\programme\Windows Live\Photo Gallery\NPWLPG.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKCU-Run-AOLMIcon - c:\programme\Gemeinsame Dateien\aolshare\AOLMIcon.exe
HKLM-Run-NaturalPoint - (no file)
HKLM-Run-CNRN - c:\progra~1\CNRN\RNMain.exe
HKLM-Run-CNRNRNHelper.dll - c:\progra~1\CNRN\RNMain.exe
HKLM-Run-SunJavaUpdateSched - c:\programme\Java\jre6\bin\jusched.exe
HKLM-Run-ecnwasxmro.tmp - c:\dokume~1\Lenny\LOKALE~1\Temp\ecnwasxmro.tmp
HKLM-Run-wrxonmcsea.tmp - c:\dokume~1\Lenny\LOKALE~1\Temp\wrxonmcsea.tmp
HKLM-Run-ewrgetuj - c:\dokume~1\Lenny\LOKALE~1\Temp\geurge.exe
HKLM-Run-kbutkwhh - c:\dokumente und einstellungen\Lenny\Lokale Einstellungen\Anwendungsdaten\nabkbfqbd\wtcottvuqiw.exe
HKLM-Run-wsyxlirx - c:\dokumente und einstellungen\Lenny\Lokale Einstellungen\Anwendungsdaten\gmmkbgecs\wtstrdeuqiw.exe
HKLM-Run-bipro - c:\windows\$NtUninstallMTF196$\mmduch.dll
HKLM-Run-uqdxbsnh - c:\dokumente und einstellungen\Lenny\Lokale Einstellungen\Anwendungsdaten\teegdpvmj\woykyuvuqiw.exe
HKLM-Run-download - c:\dokumente und einstellungen\Administrator\Anwendungsdaten\download2\svcnost.exe
MSConfigStartUp-AOLMIcon - c:\programme\Gemeinsame Dateien\aolshare\AOLMIcon.exe
MSConfigStartUp-C-Media Speaker Configuration - h:\sound\CMI8738\XP-2K-ME\DRV\Setup.exe
MSConfigStartUp-DAEMON Tools Lite - c:\programme\DAEMON Tools Lite\daemon.exe
MSConfigStartUp-GizmoDriveDelegate - c:\progra~1\GIZMO\GDRIVE.DLL
MSConfigStartUp-ICQ - c:\programme\ICQ6\ICQ.exe
MSConfigStartUp-iTunesHelper - c:\programme\iTunes\iTunesHelper.exe
MSConfigStartUp-Nokia - c:\programme\Nokia\Nokia PC Suite 7\PCSync2.exe
MSConfigStartUp-PC Suite Tray - c:\programme\Nokia\Nokia PC Suite 7\PCSuite.exe
MSConfigStartUp-Realtime Monitor - c:\progra~1\CA\ETRUST~1\realmon.exe
MSConfigStartUp-SAITEKAUTOCONFIGURE - c:\programme\Saitek\ST\Drv\saicnfig.exe
MSConfigStartUp-ToADiMon - c:\programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
MSConfigStartUp-VisualTooltip - f:\dokumente und einstellungen\Florian Lehnebach\Eigene Dateien\Visual Tooltips\VisualToolTip.exe
MSConfigStartUp-VMware hqtray - c:\programme\VMware\VMware Player\hqtray.exe
MSConfigStartUp-WinDSL MTU-Adjust - WinDSL_MTU.exe
AddRemove-$NtUninstallMTF196$ - c:\windows\$NtUninstallMTF196$\apUninstall.exe
AddRemove-Farmville Magic Tools_is1 - c:\programme\Farmville Magic Tools\unins000.exe
AddRemove-Gizmo Central - c:\programme\Gizmo\gdirector.exe
AddRemove-Java Web Start - c:\programme\Java Web Start\uninst-javaws.exe
AddRemove-LimeWire - c:\programme\LimeWire\uninstall.exe
AddRemove-LimeWire Turbo Accelerator - c:\programme\LimeWire Turbo Accelerator\uninstall.exe
AddRemove-Miriel the Magical Merchant Deluxe - c:\programme\Zylom Games\Miriel the Magical Merchant Deluxe\GameInstlr.exe
AddRemove-Monopoly Deluxe - c:\programme\Zylom Games\Monopoly Deluxe\GameInstlr.exe
AddRemove-MonProduit - c:\programme\Microsoft Games\Flight Simulator 9\Aircraft\MIR2000N\Uninstal.exe
AddRemove-Samedan 2004 - c:\aaaa\dd\Uninstal.exe
AddRemove-TDSLSM - c:\progra~1\T-DSLS~1\TSMInst.exe
AddRemove-Torino Caselle - c:\a\DD\Uninstal_Caselle.exe
AddRemove-Veneaviones Turbo Commander 690B - c:\programme\Microsoft Games\Flight Simulator 9\Uninstal.exe
AddRemove-XBCD - c:\programme\XBCD\uninst.exe
AddRemove-{325F6149-225B-4470-B76A-A454B1954A4D}_is1 - c:\programme\Microsoft Games\Flight Simulator 9\Aircraft\a0test\SCDS\unins000.exe
AddRemove-{E24B9E23-58CF-4938-B383-49C6D744D728} - c:\programme\CNRN\RNMain.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-09-10 23:31
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
  NaturalPoint = ????Registry Key Error??SOFTWARE\Microsoft\Windows\CurrentVersion\Run?????q??q????????i@NP_QueryVersion?NPPriv_SetSignature?NPPriv_SetData??NPPriv_SetVersion???NPPriv_ClientNotify?NPClient.dll??????B??5A??;A? ?B???@???????p@??????f@??????V@??B??`A???@? ?B???@???B???B?????l?B??`A???@? ?B???@?f?B?`?B?Z?B?T?B?N?B?H?B?B?B???A?<?B?6?B?0?B?*?B?$?B???B???B???B???B???B???B???B???B???B???B???B???B???B???B???B???B???B???B???B???B???B???B???B???B???B???B???B???B???B???B???B???B???B?x?B?r?B?l?B?f?B?`?B???B???B?N?B?H?B?B?B?<?B?6?B?`7A? ?@?0?@?0?B?*?B?$?B???B???B???B???B???B???B???B???B???B?@?@???B???B???B???B??tB???B???A? ?B???B?0?B?0?B?0?B?P?B?P?B????????????????????@?????????????L?@???????????F???????F?????`?E??????????p@???????????????@??????$@??????4@??Moz???333333???????????^?z????{??G?z??????????0???Windows ME??Windows 98??Windows 95??Windows NT 4.0??Num Lock????Scroll Lock?]???[???=???-???,???~???/???.???Help????Delete??Insert??PrintScrn???EXECUTE?PRINT???SELECT??Down????Right???Up??Left????Home????End?PgDn????PgUp 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-2486908987-3922842887-1072201363-500\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (Administrator)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
   d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,a9,0f,ea,57,ae,e1,e3,42,ab,e1,c2,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
   d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,a9,0f,ea,57,ae,e1,e3,42,ab,e1,c2,\

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€–€|ÿÿÿÿÀ•€|ù•6~*]
"7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
@DACL=(02 0000)
@=""
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
@DACL=(02 0000)
@=""
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
@DACL=(02 0000)
@=""
"Installed"="1"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(988)
c:\programme\SUPERAntiSpyware\SASWINLO.DLL
c:\windows\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2010-09-10  23:40:25 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2010-09-10 21:40

Vor Suchlauf: 5.652.975.616 Bytes frei
Nach Suchlauf: 7.957.422.080 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
;
;Warning: Boot.ini is used on Windows XP and earlier operating systems.
;Warning: Use BCDEDIT.exe to modify Windows Vista boot options.
;
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /FASTDETECT /NOEXECUTE=OPTIN /NOGUIBOOT

- - End Of File - - 66D70491520014D63B4C06D3B0F6E645

--- --- ---

Ich hoffe, du magst mir immernoch helfen

markusg · 11.09.2010, 11:52

sieht doch nach nem anfang aus :d

start, programme zubehör editor, kopiere rein:

Killall::
rootkit::
c:\windows\Lgyrib.exe
c:\windows\Lgyria.exe
datei speichern unter, ort wo sich combofix.exe befindet, typ, alle dateien, name cfscript.txt
ziehe cfscript auf combofix, programm startet, log posten.

madi1709 · 11.09.2010, 13:16

meinst du mit dem ort den desktop?

markusg · 11.09.2010, 15:54

genau den meine ich :-)

10.09.2010, 14:02	#4
markusg /// Malware-holic	Antimaleware-Doctor eingefangen das mit dem abgesicherten hab ich überlesen bitte erstelle und poste ein combofix log. http://www.bleepingcomputer.com/comb...x-benutzt-wird auf den download link der combofix.exe nen rechtsklick, ziehl speichern unter, combofix.exe löschen, also den namen, und in pruef.com umbenennen, dann speichern und ausführen

10.09.2010, 14:04	#6
markusg /// Malware-holic	Antimaleware-Doctor eingefangen ja sorry ich hatte es überlesen, schau dir meinen letzten beitrag an, der ist editirt du warst nur zu schnell :-)

10.09.2010, 15:24	#8
markusg /// Malware-holic	Antimaleware-Doctor eingefangen schieb mal combofix auf c: also einfach arbeitsplatz öffnen, c: auswählen und combofix rein, dann starte mal den abgesicherten modus ohne netzwerk und versuch combofix dann noch mal. da wird noch weniger geladen und da könnte es dann klappen. die rettungskonsole kannst du dort nicht instalieren.

11.09.2010, 11:52	#10
markusg /// Malware-holic	Antimaleware-Doctor eingefangen sieht doch nach nem anfang aus :d start, programme zubehör editor, kopiere rein: Killall:: rootkit:: c:\windows\Lgyrib.exe c:\windows\Lgyria.exe datei speichern unter, ort wo sich combofix.exe befindet, typ, alle dateien, name cfscript.txt ziehe cfscript auf combofix, programm startet, log posten.

11.09.2010, 15:54	#12
markusg /// Malware-holic	Antimaleware-Doctor eingefangen genau den meine ich :-)

Antimaleware-Doctor eingefangen

Plagegeister aller Art und deren Bekämpfung: Antimaleware-Doctor eingefangen