DiVx Paneel nach online Film hat sich installiert - Trojaner ?

Gama

Hallo,ich hoffe mir kann jemand helfen. Nachdem ich auf einer Seite war wo man Online Filme gucken konnte (von WOT als gut bewertet) war, aber man erst einige Werbeseiten, bzw. Aufforderungen DiVX u. Flashplayer zu aktualisieren wegklicken mußte. Dabei bin ich aber auf die falsche Stelle gekommen und Kaspersky Security gab eine Warnmeldung heraus. Es wurde jedoch nur "zulassen" angezeigt, eingeschränkte Installation oder Installation beenden kam nicht. Da nichts mehr ging habe ich den PC abgeschaltet, scheinbar ist das Programm DiVX dabei doch installiert worden. Leider habe ich die gesamten Einträge von diesem Tag die ich gefunden habe per Hand gelöscht. Andere DiVx Einträge ältern Datums habe ich nicht gelöscht DiVx Paneel war ja vorher nicht drauf, darum ist mir das aufgefallen.
Nachdem ich mehrere Anleitungen hier im Board durchgelesen habe habe ich unter anderem auch SmitfrauFix laufen lassen, mwaw.exe erkennt diesen aber als Virus - kann das sein?? HijackThis und Malwarebytes haben davor nichts gefunden, auch andere Rootkits Programme nicht.

HiJackthis Logfile:
--- --- ---

eScan mwav.log

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2008.03.07

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: Normal

eScan Version: 12.0.73
Sprache: German
C:\DOKUME~1\Gabi\LOKALE~1\Temp\MWAV.LOG



~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\Dokumente und Einstellungen\Gabi\Desktop\SmitfraudFix\404Fix.exe ist durch den Virus "Generic.Malware (ES)" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\Dokumente und Einstellungen\Gabi\Desktop\SmitfraudFix\IEDFix.exe ist durch den Virus "Generic.Malware (ES)" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\Dokumente und Einstellungen\Gabi\Desktop\SmitfraudFix.exe ist durch den Virus "Win32/PrcView (ES)" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\WINDOWS\system32\404Fix.exe ist durch den Virus "Generic.Malware (ES)" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\WINDOWS\system32\IEDFix.exe ist durch den Virus "Generic.Malware (ES)" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\Dokumente und Einstellungen\Gabi\desktop\SmitfraudFix\404Fix.exe ist durch den Virus "Generic.Malware (ES)" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\Dokumente und Einstellungen\Gabi\desktop\SmitfraudFix\IEDFix.exe ist durch den Virus "Generic.Malware (ES)" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\Dokumente und Einstellungen\Gabi\desktop\SmitfraudFix.exe ist durch den Virus "Win32/PrcView (ES)" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\System Volume Information\_restore{946B8C43-018A-4ADF-85B7-383A606B847A}\RP1346\A0226698.exe ist durch den Virus "Malware.Win32 (ES)" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\System Volume Information\_restore{946B8C43-018A-4ADF-85B7-383A606B847A}\RP1346\A0226704.pif ist durch den Virus "Malware.Win32 (ES)" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\System Volume Information\_restore{946B8C43-018A-4ADF-85B7-383A606B847A}\RP1346\A0226707.exe ist durch den Virus "Malware.Win32 (ES)" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\System Volume Information\_restore{946B8C43-018A-4ADF-85B7-383A606B847A}\RP1347\A0226855.exe ist durch den Virus "Malware.Win32 (ES)" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\WINDOWS\system32\404Fix.exe ist durch den Virus "Generic.Malware (ES)" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\WINDOWS\system32\IEDFix.exe ist durch den Virus "Generic.Malware (ES)" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei D:\System Volume Information\_restore{4783CF5E-8B92-444D-8C3C-5DA25734250E}\RP210\A0052136.exe ist durch den Virus "Trojan.Generic.914811 (DB)" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\WINDOWS\boot.bmp
Offending file found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\T-Online\T-Online Dialerschutz-Software\DefenderD.dat
Offending file found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\T-Online\T-Online Dialerschutz-Software\DefenderD.htm
~~~~~~~~~~~
~~~~ Spyware (Vorsicht: Oft Fehlalarm!)
~~~~~~~~~~~
eScan Antivirus und Spyware Werkzeugsatz.

MWAV Mode: Scan and Clean files (for viruses, adware and spyware)

eScan Antivirus und Spyware Werkzeugsatz.
Scannen Spyware: Aktiviert
***** Registrierungsdatenbank und Dateisystem werden auf Schnüffelprogramme (Spyware) und werbefinanzierte Software (Adware) geprüft *****
Indexed Spyware Databases Successfully Created...
Objekt "NULLBYTE Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
System found infected with U.Z.A. Operating System Wallpaper Trojan (boot.bmp)! Action taken: Keine Maßnahme ergriffen.
System found infected with combo Spyware/Adware (DefenderD.dat)! Action taken: Keine Maßnahme ergriffen.
System found infected with combo Spyware/Adware (DefenderD.htm)! Action taken: Keine Maßnahme ergriffen.
System found infected with Backdoor (IRCBot) Trojans Spyware/Adware (HKCU\SOFTWARE\Wget)! Action taken: Keine Maßnahme ergriffen.
System found infected with Backdoor (IRCBot) Trojans Spyware/Adware (HKCU\Software\Microsoft\OLE)! Action taken: Keine Maßnahme ergriffen.
System found infected with AntiSpyware Pro XP Corrupted Adware/Spyware (HKCU\Software\Microsoft\Windows\CurrentVersion\Drivers)! Action taken: Keine Maßnahme ergriffen.
System found infected with Orifice2K.plugin Trojan (HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run)! Action taken: Keine Maßnahme ergriffen.
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
laufende Prozesse - commandline
~~~~~~~~~~~~~~~~~~~~~~
System Idle Process -
System -
smss.exe - \SystemRoot\System32\smss.exe
csrss.exe -
winlogon.exe - winlogon.exe
services.exe - C:\WINDOWS\system32\services.exe
lsass.exe - C:\WINDOWS\system32\lsass.exe
svchost.exe - C:\WINDOWS\system32\svchost -k DcomLaunch
svchost.exe -
svchost.exe - C:\WINDOWS\System32\svchost.exe -k netsvcs
svchost.exe - C:\WINDOWS\system32\svchost.exe -k WudfServiceGroup
svchost.exe -
svchost.exe -
spoolsv.exe - C:\WINDOWS\system32\spoolsv.exe
avp.exe -
jqs.exe - "C:\Programme\Java\jre6\bin\jqs.exe" -service -config "C:\Programme\Java\jre6\lib\deploy\jqs\jqs.conf"
a2service.exe - "D:\Programme\Mamutu\a2service.exe"
GoogleUpdate.exe - "C:\Programme\Google\Update\GoogleUpdate.exe" /c
MDM.EXE - "C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE"
SupServ.exe - "D:\Sony Ericsson PC Suite\SupServ.exe"
HPZipm12.exe - C:\WINDOWS\system32\HPZipm12.exe
svchost.exe - C:\WINDOWS\system32\svchost.exe -k imgsvc
TUProgSt.exe - C:\WINDOWS\System32\TUProgSt.exe
wuauclt.exe - "C:\WINDOWS\system32\wuauclt.exe" /RunStoreAsComServer Local\[350]SUSDSa82cae47a5591a41930fa707b7661458
alg.exe -
explorer.exe - C:\WINDOWS\Explorer.EXE
wuauclt.exe - "C:\WINDOWS\system32\wuauclt.exe"
avp.exe -
PS2USBKbdDrv.exe - "D:\PS2USBKbdDrv.exe"
mamutu.exe - "D:\PROGRAMME\MAMUTU\mamutu.exe" /silent
ctfmon.exe - "C:\WINDOWS\system32\ctfmon.exe"
cmd.exe - cmd /c ""C:\Dokumente und Einstellungen\Gabi\Desktop\find.bat" "
cscript.exe - cscript C:\escan\prclst.vbs //nologo
wmiprvse.exe -
notepad.exe - "C:\WINDOWS\system32\NOTEPAD.EXE" C:\Dokumente und Einstellungen\Gabi\Desktop\hijackFreet.txt
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
ERROR(j)!!! Invalid Entry vidc.LEAD = LCODCCMP.DLL (in key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32). No Action Taken.
ERROR(g)!!! Invalid Entry system32\drivers\ALCXWDM.SYS in HKLM\SYSTEM\CurrentControlSet\Services\ALCXWDM. Action Taken: No Action Taken.
ERROR(g)!!! Invalid Entry %SystemRoot%\System32\appmgmts.dll in HKLM\SYSTEM\CurrentControlSet\Services\AppMgmt\Parameters. Action Taken: No Action Taken.
ERROR(g)!!! Invalid Entry \??\C:\DOKUME~1\Admin\LOKALE~1\Temp\cpuz132\cpuz132_x32.sys in HKLM\SYSTEM\CurrentControlSet\Services\cpuz132. Action Taken: No Action Taken.
ERROR(g)!!! Invalid Entry \??\C:\DOKUME~1\Gabi\LOKALE~1\Temp\cpuz134\cpuz134_x32.sys in HKLM\SYSTEM\CurrentControlSet\Services\cpuz134. Action Taken: No Action Taken.
ERROR(g)!!! Invalid Entry System32\Drivers\dsltestSp5.sys in HKLM\SYSTEM\CurrentControlSet\Services\dsltestSp5. Action Taken: No Action Taken.
ERROR(g)!!! Invalid Entry system32\DRIVERS\rrnetcap.sys in HKLM\SYSTEM\CurrentControlSet\Services\RRNetCap. Action Taken: No Action Taken.
ERROR(g)!!! Invalid Entry system32\DRIVERS\rrnetcap.sys in HKLM\SYSTEM\CurrentControlSet\Services\RRNetCapMP. Action Taken: No Action Taken.
ERROR(g)!!! Invalid Entry system32\DRIVERS\SymIM.sys in HKLM\SYSTEM\CurrentControlSet\Services\SymIM. Action Taken: No Action Taken.
ERROR(g)!!! Invalid Entry system32\DRIVERS\SymIM.sys in HKLM\SYSTEM\CurrentControlSet\Services\SymIMMP. Action Taken: No Action Taken.
ERROR(g)!!! Invalid Entry system32\DRIVERS\tsmpkt.sys in HKLM\SYSTEM\CurrentControlSet\Services\TSMPacket. Action Taken: No Action Taken.
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts:127.0.0.1 localhost
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Zahl der gescannten Objekte: 155680
Zahl der kritischen Objekte: 21
Zahl der desinfizierten Objekte: 0
Zahl der umbenannten Objekte: 0
Zahl der gelöschten Objekte: 0
Zeit verstrichen: 01:07:12
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Speicherüberprüfung: Aktiviert
Überprüfung der Registrierungsdatenbank: Aktiviert
Überprüfung des Startordners: Aktiviert
Überprüfung des Systemordners: Aktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Laufwerke: Deaktiviert
Überprüfung aller Laufwerke:Aktiviert
Überprüfung der Ordner: Aktiviert

Batchstart: 23:41:17,07
Batchende: 23:43:44,15

ComboFix 10-10-25.04 - 27.10.2010 3:57.1.1 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.447.189 [GMT 2:00]
ausgeführt von:: D:\ComboFix.exe
AV: Kaspersky Security Suite CBE 09 *On-access scanning disabled* (Updated) {2C4D4BC6-0793-4956-A9F9-E252435469C0}
FW: Kaspersky Security Suite CBE 09 *disabled* {2C4D4BC6-0793-4956-A9F9-E252435469C0}
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\Admin\Favoriten\Games.url
c:\dokumente und einstellungen\All Users\Anwendungsdaten\hpe126.dll
c:\dokumente und einstellungen\Alle\Favoriten\Games.url
c:\dokumente und einstellungen\Gabi\Favoriten\Games.url

.
((((((((((((((((((((((( Dateien erstellt von 2010-09-27 bis 2010-10-27 ))))))))))))))))))))))))))))))
.

2010-10-26 13:10 . 2010-10-26 13:09 27632 -c--a-w- c:\windows\system32\drivers\seehcri.sys
2010-10-26 13:01 . 2010-10-26 13:01 -------- dc----w- c:\programme\Gemeinsame Dateien\Sony Shared
2010-10-26 13:00 . 2010-10-26 13:00 -------- dc----w- c:\programme\Sony
2010-10-23 23:45 . 2010-10-23 23:45 -------- dc----w- c:\dokumente und einstellungen\Gabi\Lokale Einstellungen\Anwendungsdaten\Sony Ericsson
2010-10-23 23:41 . 2008-05-16 09:33 89256 -c--a-w- c:\windows\system32\drivers\s0016bus.sys
2010-10-23 23:41 . 2008-05-16 09:33 12200 -c--a-w- c:\windows\system32\drivers\s0016whnt.sys
2010-10-23 23:41 . 2008-05-16 09:33 12200 -c--a-w- c:\windows\system32\drivers\s0016wh.sys
2010-10-19 10:55 . 2010-10-19 10:55 -------- dcsh--w- c:\dokumente und einstellungen\LocalService\IETldCache
2010-10-16 14:00 . 2010-10-26 21:09 -------- dc----w- c:\dokumente und einstellungen\Gabi\Anwendungsdaten\DivX
2010-10-16 13:59 . 2010-07-12 18:36 9072 -c----w- c:\windows\system32\drivers\cdr4_xp.sys
2010-10-16 13:59 . 2010-07-12 18:36 123888 -c----w- c:\windows\system32\pxcpyi64.exe
2010-10-16 13:59 . 2010-07-12 18:36 126448 -c----w- c:\windows\system32\pxinsi64.exe
2010-10-16 13:59 . 2010-07-12 18:36 133616 -c----w- c:\windows\system32\pxafs.dll
2010-10-16 13:57 . 2010-10-16 13:57 -------- dc----w- c:\programme\Gemeinsame Dateien\DivX Shared
2010-10-15 21:09 . 2010-10-15 21:09 -------- dc----w- c:\dokumente und einstellungen\Gabi\Anwendungsdaten\Pegasys Inc
2010-10-15 18:31 . 2010-10-15 18:31 -------- dc----w- c:\dokumente und einstellungen\Gabi\Anwendungsdaten\Apple Computer
2010-10-15 14:57 . 2010-10-15 14:57 -------- dc----w- c:\programme\Gemeinsame Dateien\Apple
2010-10-15 14:56 . 2010-10-15 14:56 -------- dc----w- c:\programme\Apple Software Update
2010-10-14 09:15 . 2010-08-23 16:11 617472 -c----w- c:\windows\system32\dllcache\comctl32.dll
2010-10-13 11:26 . 2010-10-13 11:26 -------- dc----w- c:\programme\PixiePack Codec Pack
2010-10-13 10:49 . 2010-10-13 10:49 -------- dc----w- c:\dokumente und einstellungen\Gabi\Lokale Einstellungen\Anwendungsdaten\RapidSolution
2010-10-13 09:07 . 2010-10-13 09:07 -------- dc----w- c:\programme\Conduit
2010-10-13 09:07 . 2010-10-13 09:07 -------- dc----w- c:\dokumente und einstellungen\Gabi\Lokale Einstellungen\Anwendungsdaten\Conduit
2010-10-13 09:06 . 2010-10-13 10:27 -------- dc----w- c:\dokumente und einstellungen\Gabi\Lokale Einstellungen\Anwendungsdaten\FLVService
2010-10-13 09:06 . 2010-10-13 09:06 -------- dc----w- c:\windows\Freecorder

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-18 10:22 . 2006-02-28 12:00 974848 -c--a-w- c:\windows\system32\mfc42u.dll
2010-09-18 06:52 . 2006-02-28 12:00 974848 -c--a-w- c:\windows\system32\mfc42.dll
2010-09-18 06:52 . 2006-02-28 12:00 954368 -c--a-w- c:\windows\system32\mfc40.dll
2010-09-18 06:52 . 2006-02-28 12:00 953856 -c--a-w- c:\windows\system32\mfc40u.dll
2010-09-10 05:47 . 2006-02-28 12:00 916480 -c--a-w- c:\windows\system32\wininet.dll
2010-09-10 05:47 . 2006-02-28 12:00 43520 -c--a-w- c:\windows\system32\licmgr10.dll
2010-09-10 05:47 . 2006-02-28 12:00 1469440 -c----w- c:\windows\system32\inetcpl.cpl
2010-09-08 10:20 . 2010-09-08 10:20 37920 -c--a-w- c:\windows\system32\drivers\tbhsd.sys
2010-09-08 09:17 . 2010-09-08 09:17 94208 -c--a-w- c:\windows\system32\QuickTimeVR.qtx
2010-09-08 09:17 . 2010-09-08 09:17 69632 -c--a-w- c:\windows\system32\QuickTime.qts
2010-09-01 11:50 . 2006-02-28 12:00 285824 -c--a-w- c:\windows\system32\atmfd.dll
2010-09-01 07:54 . 2006-02-28 12:00 1852928 -c--a-w- c:\windows\system32\win32k.sys
2010-08-27 08:01 . 2006-02-28 12:00 119808 -c--a-w- c:\windows\system32\t2embed.dll
2010-08-27 05:57 . 2006-02-28 12:00 99840 -c--a-w- c:\windows\system32\srvsvc.dll
2010-08-27 01:43 . 2008-05-05 05:25 5632 -c--a-w- c:\windows\system32\xpsp4res.dll
2010-08-26 13:39 . 2006-02-28 12:00 357248 -c--a-w- c:\windows\system32\drivers\srv.sys
2010-08-23 16:11 . 2006-02-28 12:00 617472 -c--a-w- c:\windows\system32\comctl32.dll
2010-08-17 13:17 . 2006-02-28 12:00 58880 -c--a-w- c:\windows\system32\spoolsv.exe
2010-08-16 08:44 . 2006-02-28 12:00 590848 -c--a-w- c:\windows\system32\rpcrt4.dll
.

------- Sigcheck -------

[-] 2008-04-14 . 771A595BB5CB268C902F8C3B66F0AA26 . 1187840 . . [6.00.2900.5512] . . c:\windows\explorer.exe
[7] 2008-04-14 . 418045A93CD87A352098AB7DABE1B53E . 1036800 . . [6.00.2900.5512] . . c:\windows\ServicePackFiles\i386\explorer.exe

[7] 2008-04-14 . 01B4E6E990B6C5EA8856D96C7FD044B2 . 15360 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\ctfmon.exe
[-] 2008-04-14 . 61C609862F7766F1F7C8A9AF2F13F523 . 30208 . . [5.1.2600.5512] . . c:\windows\system32\ctfmon.exe
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AVP"="c:\programme\Kaspersky Lab\Kaspersky Security Suite CBE 09\avp.exe" [2010-02-03 208616]
"WireLessKeyboard "="D:\PS2USBKbdDrv.exe" [2005-06-22 614400]
"AudioDeck"="c:\programme\VIAudioi\SBADeck\ADeck.exe" [2005-09-06 450560]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 30208]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"=hex(2):58,50,69,7a,65,5f,4c,6f,67,6f,6e,2e,65,78,65,00

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0OODBS

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
2009-03-05 14:07 2260480 ------w- d:\programme\Spybot - Search & Destroy\TeaTimer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Uninstall Adobe Download Manager]
2010-03-29 06:53 68000 -c--a-w- c:\programme\NOS\bin\getPlus_Helper.dll

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"CTFMON.EXE"=c:\windows\system32\ctfmon.exe
"Sony Ericsson PC Suite"="d:\sony ericsson pc suite\SEPCSuite.exe" /systray /nologon

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-disabled]
"QuickTime Task"="d:\programme\QuickTime\QTTask.exe" -atboottime

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"d:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"d:\\Programme\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"d:\\Programme\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"d:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"d:\\Programme\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"d:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"d:\\Programme\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"d:\\Programme\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
"d:\\Programme\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"d:\\Programme\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"d:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"d:\\Programme\\Sony Ericsson\\Sony Ericsson Media Manager\\MediaManager.exe"=
"d:\\Programme\\Sony Ericsson\\Update Service\\Update Service.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"14169:TCP"= 14169:TCP:*isabled:BitComet 14169 TCP
"14169:UDP"= 14169:UDP:*isabled:BitComet 14169 UDP
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

R0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [29.01.2008 19:29 32784]
R2 OMSI download service;Sony Ericsson OMSI download service;d:\sony ericsson pc suite\SupServ.exe [24.10.2010 01:39 90112]
R3 KLFLTDEV;Kaspersky Lab KLFltDev;c:\windows\system32\drivers\klfltdev.sys [13.03.2008 20:02 26640]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [30.04.2008 18:06 24592]
R3 PhTVTune;OEM 7130AM WDM TVTuner;c:\windows\system32\drivers\PhTVTune.sys [01.11.2007 22:28 24128]
R3 seehcri;Sony Ericsson seehcri Device Driver;c:\windows\system32\drivers\seehcri.sys [26.10.2010 15:10 27632]
R3 SipIMNDI;T-Online Dialerschutz VoIP Service;c:\windows\system32\drivers\SipIMNDI.sys [05.01.2009 04:16 22856]
S2 gupdate1c9893ce3513384;Google Update Service (gupdate1c9893ce3513384);c:\programme\Google\Update\GoogleUpdate.exe [07.02.2009 17:58 133104]
S3 cpuz134;cpuz134;\??\c:\dokume~1\Gabi\LOKALE~1\Temp\cpuz134\cpuz134_x32.sys --> c:\dokume~1\Gabi\LOKALE~1\Temp\cpuz134\cpuz134_x32.sys [?]
S3 DFSYS;T-Online Dialerschutz Hooking Treiber;c:\programme\T-Online\Dialerschutz-Software\DFSYS.sys [05.01.2009 04:16 14536]
S3 dsltestSp5;dsltestSp5 NDIS Protocol Driver;c:\windows\system32\Drivers\dsltestSp5.sys --> c:\windows\system32\Drivers\dsltestSp5.sys [?]
S3 EverestDriver;Lavalys EVEREST Kernel Driver;d:\lavalys\EVEREST Home Edition\kerneld.wnt [18.08.2005 01:00 7168]
S3 RRNetCap;RRNetCap Service;c:\windows\system32\DRIVERS\rrnetcap.sys --> c:\windows\system32\DRIVERS\rrnetcap.sys [?]
S3 RRNetCapMP;RRNetCapMP;c:\windows\system32\DRIVERS\rrnetcap.sys --> c:\windows\system32\DRIVERS\rrnetcap.sys [?]
S3 s0016bus;Sony Ericsson Device 0016 driver (WDM);c:\windows\system32\drivers\s0016bus.sys [24.10.2010 01:41 89256]
S3 TSMPacket;DSL-Manager Service;c:\windows\system32\DRIVERS\tsmpkt.sys --> c:\windows\system32\DRIVERS\tsmpkt.sys [?]
S3 UPnPService;UPnPService;c:\programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe [03.01.2008 21:02 544768]
S4 DFSVC;T-Online Dialerschutz Dienst;c:\programme\T-Online\Dialerschutz-Software\DFInject.exe [05.01.2009 04:16 179016]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
getPlusHelper REG_MULTI_SZ getPlusHelper

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{A8D647C8-65AC-409F-B7B2-3C0FEE1A32F2}]
2010-02-16 17:02 114688 -c--a-w- c:\programme\PixiePack Codec Pack\InstallerHelper.exe
.
Inhalt des "geplante Tasks" Ordners

2010-01-09 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2009\OneClickStarter.exe [2009-11-16 11:45]

2010-10-15 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]

2010-10-15 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-02-07 15:57]

2010-10-15 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-02-07 15:57]
.
.
------- Zusätzlicher Suchlauf -------
.
uInternet Settings,ProxyOverride = <local>
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: Hinzufügen zu Anti-Banner - c:\programme\Kaspersky Lab\Kaspersky Security Suite CBE 09\ie_banner_deny.htm
IE: Nach Microsoft &Excel exportieren - d:\progra~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\Gabi\Anwendungsdaten\Mozilla\Firefox\Profiles\assa87pp.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.web.de
FF - prefs.js: keyword.URL - hxxp://wa.ui-portal.de/webde/webde/s?produkte.browser.link.searchlink&s_brand=webde&t_link=searchlink&ns_type=clickin&ns_url=hxxp://suche.web.de/search/web/?origin=searchplugin&su=
FF - component: c:\dokumente und einstellungen\Gabi\Anwendungsdaten\Mozilla\Firefox\Profiles\assa87pp.default\extensions\{1392b8d2-5c05-419f-a8f6-b9f15a596612}\components\FFExternalAlert.dll
FF - component: c:\dokumente und einstellungen\Gabi\Anwendungsdaten\Mozilla\Firefox\Profiles\assa87pp.default\extensions\{1392b8d2-5c05-419f-a8f6-b9f15a596612}\components\RadioWMPCore.dll
FF - plugin: c:\dokumente und einstellungen\Gabi\Anwendungsdaten\Mozilla\plugins\npoctoshape.dll
FF - plugin: c:\programme\Google\Update\1.2.183.39\npGoogleOneClick8.dll
FF - plugin: c:\programme\Java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\programme\Real\Netscape6\nppl3260.dll
FF - plugin: c:\programme\Real\Netscape6\nprjplug.dll
FF - plugin: c:\programme\Real\Netscape6\nprpjplug.dll
FF - plugin: d:\programme\QuickTime\Plugins\npqtplugin.dll
FF - plugin: d:\programme\QuickTime\Plugins\npqtplugin2.dll
FF - plugin: d:\programme\QuickTime\Plugins\npqtplugin3.dll
FF - plugin: d:\programme\QuickTime\Plugins\npqtplugin4.dll
FF - plugin: d:\programme\QuickTime\Plugins\npqtplugin5.dll

---- FIREFOX Richtlinien ----
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: nglayout.initialpaint.delay - 600
FF - user.js: content.notify.interval - 600000
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.switch.threshold - 600000
d:\mozilla firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
d:\mozilla firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqz9s", true); // Traditional
d:\mozilla firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqs8s", true); // Simplified
d:\mozilla firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--j6w193g", true);
d:\mozilla firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
d:\mozilla firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4a87g", true);
d:\mozilla firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7c0a67fbc", true);
d:\mozilla firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7cvafr", true);
d:\mozilla firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kpry57d", true); // Traditional
d:\mozilla firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kprw13d", true); // Simplified
d:\mozilla firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

WebBrowser-{3041D03E-FD4B-44E0-B742-2D9B88305F98} - (no file)



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-10-27 04:11
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet003\Services\EverestDriver]
"ImagePath"="\??\d:\lavalys\EVEREST Home Edition\kerneld.wnt"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1343024091-329068152-1801674531-1005\Software\SecuROM\License information*]
"datasecu"=hex:c7,ae,ff,e2,94,26,7c,eb,85,0a,3c,93,68,fb,d7,e2,f2,f2,77,52,4a,
19,1f,a2,06,77,e1,6c,81,6b,19,65,5e,94,50,22,57,ce,81,cb,8c,ae,1b,c7,a3,06,\
"rkeysecu"=hex:85,92,52,0e,d2,ca,8b,00,69,01,30,70,34,88,1c,61

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•6~*]
"7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]
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
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(988)
c:\windows\system32\cscui.dll

- - - - - - - > 'explorer.exe'(3852)
c:\windows\system32\SHDOCVW.dll
c:\windows\System32\cscui.dll
c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll
c:\windows\system32\NETSHELL.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\msi.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\windows\system32\HPZipm12.exe
c:\windows\System32\TUProgSt.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-10-27 04:21:17 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2010-10-27 02:21

Vor Suchlauf: 4.192.677.888 Bytes frei
Nach Suchlauf: 7.853.981.696 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect /noguiboot /bootlogo

Current=3 Default=3 Failed=1 LastKnownGood=5 Sets=1,2,3,4,5
- - End Of File - - EF661B7BDB71FA66AC284D034BAB6894

Würde mich freuen wenn sich jemand die Zeit nimmt die Logfilds mal anzuschauen. Habe schon überlegt den PC komplett neu aufzusetzen, da ich der Meinung bin das von der Vorbesitzerin auch in der Registrierung noch jede Menge Müll drauf ist, leider hat mein Bekannter der mir diesen besorgt und soweit fertig gemacht hat, den PC vorher nicht komplett formatiert.

Ich bedanke mich schon mal im voraus und hoffe auf baldige Antwort.
Schöne Grüße