Online-Viren-Scan: Kann ich dieser Meldung glauben???
 

Ich benutze auf meinem PC, (AMD Athlon X2, Windows XP MCE SP3), Kaspersky Internet Security 2009 Vers. 8.0.0.506. Das Programm arbeitete für meine Begriffe bisher recht zuverlässig und sicher. Nun habe ich meinen PC einmal Online mehreren Sicherheitstest unterzogen. Bei einem Onlinescan von der Seite Symantec kamen plötzlich unter anderem folgende Meldungen:

1. F:\Program Files\Alcohol Soft\Alcohol 120\star_syn_client.dll ist infiziert mit Hacktool.Rootkit
2.H:\SiSoftware Sandra.exe ist infiziert mit Trojan Horse
3.C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\oiaauv.exe ist infiziert mit Adware.Lop
4.C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\oiaauv.exe ist infiziert mit Suspicious.MH690

F:/ und H:/ sind dabei zwei externe FP. Nun stellt sich für mich die Frage, warum KIS 2009 diese Schädlinge bisher nicht erkannt haben soll??? Eine vollständige Suche mit KIS und auch eine seperate Überprüfung der angeblich betroffenen Dateien brachten keinerlei Meldung.

Ich weiß nun wirklich nicht, wie ich mich verhalten soll und ob ich den Meldungen des Onlinescan bedenkenlos vertrauen kann. Deshalb bitte ich um Hilfe. Wie ich beim durchsehen des Forums festgestellt habe, ist ein HiJackThis LogFile immer sehr hilfreich. Deshalb hier ein solches, in der Hoffnung, das ich es richtig gemacht habe. Wenn nicht, bitte ich um Nachsicht, denn mit meinen 49 Jahren habe ich diesbezüglich noch einiges zu lernen ;-) Sollten noch Angaben erforderlich sein, dann werde ich diese sofort nachreichen. Vielen Dank!



Logfile of HijackThis v1.99.1
Scan saved at 12:21:32, on 08.04.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\PROGRA~1\WinTV\MCEStandby.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Power Translator 11\LogoMedia TranslateDotNet Server.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\Programme\Raxco\PerfectDisk\PDAgent.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
F:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Fujitsu\SystemDiagnostics\OnlineDiagnostic\TestManager\TestHandler.exe
C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\system32\dllhost.exe
C:\Programme\Raxco\PerfectDisk\PDEngine.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
F:\Programme\Microsoft ActiveSync\wcescomm.exe
C:\Programme\Brother\ControlCenter3\brccMCtl.exe
F:\Programme\zoneLINK\HDDlife\HDDlifePro.exe
F:\Programme\Launcher\Launcher.exe
F:\PROGRA~2\MICROS~1\rapimgr.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\WINDOWS\msagent\AgentSvr.exe
C:\Dokumente und Einstellungen\Besitzer\Desktop\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.maxdome.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: LEC - {1DBAB667-A486-421e-AFE4-CF07DD0088E5} - C:\Programme\Power Translator 11\Applications\LEC IE Translation Extension.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [UpdatePPShortCut] "F:\Programme\HomeCinema\PowerProducer\MUITransfer\MUIStartMenu.exe" "F:\Programme\HomeCinema\PowerProducer" update "Software\CyberLink\PowerProducer\4.0"
O4 - HKLM\..\Run: [ControlCenter3] C:\Programme\Brother\ControlCenter3\brctrcen.exe /autorun
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "F:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - Startup: HDDlife.lnk = F:\Programme\zoneLINK\HDDlife\HDDlifePro.exe
O4 - Startup: Launcher.lnk = F:\Programme\Launcher\Launcher.exe
O8 - Extra context menu item: add to &BOM - C:\\PROGRA~1\\BIET-O~1\\\\AddToBOM.hta
O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - F:\PROGRA~2\MICROS~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - F:\PROGRA~2\MICROS~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - F:\PROGRA~2\MICROS~1\INetRepl.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - F:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - F:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASP ER~1\kloehk.dll
O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: HauppaugeTVServer - Hauppauge Computer Works - C:\PROGRA~1\WinTV\HCWTVS~1.EXE
O23 - Service: Hauppauge MCE/Standby service (HCWMCECleanup) - Hauppauge Computer Works! - C:\PROGRA~1\WinTV\MCEStandby.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: AVM IGD CTRL Service (IGDCTRL) - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Programme\Java\jre6\bin\jqs.exe" -service -config "C:\Programme\Java\jre6\lib\deploy\jqs\jqs.conf (file missing)
O23 - Service: LEC TranslateDotNet Server - Language Engineering Corporation, LLC - C:\Programme\Power Translator 11\LogoMedia TranslateDotNet Server.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: PCLEPCI - Pinnacle Systems GmbH - C:\WINDOWS\system32\drivers\pclepci.sys
O23 - Service: PDAgent - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDAgent.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XII.SP1\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XII.SP1\RpcSandraSrv.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - F:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: Fujitsu Diagnostic Testhandler (TestHandler) - Fujitsu Technology Solutions - C:\Programme\Fujitsu\SystemDiagnostics\OnlineDiagnostic\TestManager\TestHandler.exe
O23 - Service: Acronis Try And Decide Service (TryAndDecideService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

Hallo und :hallo:

Äh, ja, noch einer der an "Sicherheitsprogramme" glaubt. Klicke auf den vorletzten Link in meiner Signatur. Das dort steht, bekomme ich hier täglich bestätigt. :(

Das wichtigste:
1.) Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:
Markiere jeweils eine Zeile, kopiere sie und füge sie bei Virustotal ein. Sollte die Meldung kommen, dass die Datei schon analysiert wurde, dann klicke trotzdem auf Analysieren.

Die letzte halte ich für Navipromo und nicht für Lop, wie das AVP meldet.

2.) Bitte lade Dir Navilog1 von IL-MAFIOSO herunter.

• Doppelklicke auf navilog1.exe
• Sollte das Programm nach Abschluß der Installation nicht automatisch gestartet werden, führe es bitte per Doppelklick auf das Navilog1-Shortcut auf deinem Desktop aus.
• Wähle E für Englisch im Sprachenmenü
• Wähle 1 im nächsten Menü um "Suche" auszuwählen. Bestätige mit Enter.
• Die Dauer des Scans kann variieren, bitte abwarten. Wenn du aufgefordert wirst, eine Taste zu drücken, tue dies bitte.
• Ein neues Dokument sollte erstellt und geöffnet werden: fixnavi.txt.
• Bitte füge den Inhalt dieser Datei in deine nächste Antwort ein.

Der Bericht wird außerdem im Hauptverzeichnis (z.B.: "C:\") erstellt.

Hinweis:
Navilog1.exe wir von einigen Antivirenprogrammen als bösartig erkannt. Dies ist ein Fehlalarm. Die Nachricht bitte ignorieren.

3.) Lade dir Lop S&D herunter.

Führe Lop S&D.exe per Doppelklick aus.
Wähle die Sprache deiner Wahl und anschließend die Option 1 (Suche)
Warte bis der Scanbericht erstellt wird (Du findest ihn unter C:\lopR.txt, sollte der Bericht nicht erscheinen)

(Sollte dein Desktop verschwinden, drücke bitte Ctrl + Alt + Entf um den Taskmanager zu starten. Wähle unter Datei, neuen Task aus und gib dort explorer.exe ein)

4.) Klicke auf "Für alle Neuen" in meiner Signatur, lies alles aufmerksam und arbeite die Liste unter Punkt 2 ab. Besorge dir die aktuelle Version von HJT.

ciao, andreas

Vielen Dank für die weiterführende Hilfe. Ich werde alles Punkt für Punkt abarbeiten und die Ergebnisse mitteilen. Leider habe ich mit Punkt 1 und 2 ein Problem. Punkt 1 kann ich nicht mehr durchführen, weil ich leider zu voreilig war und alle Dateien, die infiziert sind oder sein sollen gelöscht. Tut mir Leid, aber man lernt eben nie aus. Bei Punkt 2 bin ich nach der Anleitung verfahren. Aber nach Eingabe des E für die englische Sprache mus ich ja auf Enter drücken (?) und dann ist das Fenster weg. Kann also nicht mit dem nächsten Schritt: Auswahl Suche "1" fortfahren. Was mache ich falsch???

Egal, traue nie der Aussage eines Antivirenprogrammes.
Nichts. Manchmal will es nicht. Ist nicht tragisch.
Starte den Windowsexplorer und navigiere bis zu:
Dort sollten 3-4 Dateien sein, deren Dateiname mit oiaa beginnt. Alle Löschen. Dann weiter mit Schritt 3.

ciao, andreas

Also ich bin wirklich sehr dankbar, das mir hier solche Geduld und Hilfe entgegen gebracht wird. Die Dateien ("oiaa") sind erst einmal gelöscht. Ein Scan-Bericht von Malwarebytes liegt auch vor (siehe unten). Als nächstes folgt ein Logfile mit der aktuellen Version von HijackThis. Ich habe nun wieder Hoffnung das ich Dank der Hilfe das Problem lösen kann. DANKE!!!

Malwarebytes' Anti-Malware 1.36
Datenbank Version: 1952
Windows 5.1.2600 Service Pack 3

08.04.2009 21:20:47
mbam-log-2009-04-08 (21-20-47).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|G:\|H:\|)
Durchsuchte Objekte: 384278
Laufzeit: 2 hour(s), 5 minute(s), 48 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\fcn (Rogue.Residue) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
H:\Downloads\Ahead.Nero.v8.3.2.1.Incl.(Trojan.Agent) -> Quarantined and deleted successfully.
H:\Downloads\Ahead.Nero.v8.3.2.1.Incl.Keymaker-EMBRACE\(Trojan.Agent) -> Quarantined and deleted successfully.

MfG ikarus60

Aktuelles Logfile, nächster Schritt Lop S&D:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:25:54, on 09.04.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\PROGRA~1\WinTV\MCEStandby.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Power Translator 11\LogoMedia TranslateDotNet Server.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\Programme\Raxco\PerfectDisk\PDAgent.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
F:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Fujitsu\SystemDiagnostics\OnlineDiagnostic\TestManager\TestHandler.exe
C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\system32\dllhost.exe
C:\Programme\Raxco\PerfectDisk\PDEngine.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
F:\Programme\Microsoft ActiveSync\wcescomm.exe
C:\Programme\Brother\ControlCenter3\brccMCtl.exe
F:\Programme\zoneLINK\HDDlife\HDDlifePro.exe
F:\Programme\Launcher\Launcher.exe
F:\PROGRA~2\MICROS~1\rapimgr.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = maxdome - Deutschlands größte Online-Videothek
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: LEC - {1DBAB667-A486-421e-AFE4-CF07DD0088E5} - C:\Programme\Power Translator 11\Applications\LEC IE Translation Extension.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [UpdatePPShortCut] "F:\Programme\HomeCinema\PowerProducer\MUITransfer\MUIStartMenu.exe" "F:\Programme\HomeCinema\PowerProducer" update "Software\CyberLink\PowerProducer\4.0"
O4 - HKLM\..\Run: [ControlCenter3] C:\Programme\Brother\ControlCenter3\brctrcen.exe /autorun
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "F:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: HDDlife.lnk = F:\Programme\zoneLINK\HDDlife\HDDlifePro.exe (User 'SYSTEM')
O4 - S-1-5-18 Startup: Launcher.lnk = F:\Programme\Launcher\Launcher.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: HDDlife.lnk = F:\Programme\zoneLINK\HDDlife\HDDlifePro.exe (User 'Default user')
O4 - .DEFAULT Startup: Launcher.lnk = F:\Programme\Launcher\Launcher.exe (User 'Default user')

Leider habe ich bei Punkt 3 mit Lop S&D auch ein Problem. Habe die LopSD.exe ausgeführt. Es erscheint für einen Bruchteil von Sekunden ein balues Fenster und verschwindet sofort wieder. Da ich natürlich auch Initiative zeigen will, habe ich weiter probiert. Im Ordner
C:/LopSD fand ich dann eine Datei catchme.exe die als einzige eine brauchbare Reaktion zeigte. Hier konnte ich dann auf Scan klicklen und in der Hoffnung das es richtig war, kam folgenses Ergebnis heraus:

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-09 12:36:58
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"p0"="F:\Programme\Alcohol Soft\Alcohol 120\"
"h0"=dword:00000000
"ujdew"=hex:bd,23,4c,00,84,08,14,39,2c,19,8d,ad,a9,80,09,b9,fd,39,d5,cc,13,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"p0"="F:\Programme\Alcohol Soft\Alcohol 120\"
"h0"=dword:00000000
"ujdew"=hex:bd,23,4c,00,84,08,14,39,2c,19,8d,ad,a9,80,09,b9,fd,39,d5,cc,13,..
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:2df9c43f
"s2"=dword:110480d0
"h0"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"p0"="F:\Programme\Alcohol Soft\Alcohol 120\"
"h0"=dword:00000000
"ujdew"=hex:bd,23,4c,00,84,08,14,39,2c,19,8d,ad,a9,80,09,b9,fd,39,d5,cc,13,..

scanning hidden registry entries ...

scanning hidden files ...


Danach passierte nichts mehr. War das jetzt richtig und ausreichend???

MfG ikarus60

Nun noch die geforderte uninstall_list.txt:

10 Tage unter dem Meer
1000 Handysounds
5 Realms – Das Reich der Karten
7 Artifacts
7 Wonders II
Acoustica 4.0
Acoustica 4.1
Acronis*PartitionExpert
Acronis*True*Image*Home
ADAC RoutenPlaner 2007/2008
ADC Sound Recorder 3.4
Adobe Acrobat 5.0
Adobe Flash Player 10 ActiveX
Adobe Flash Player 10 Plugin
Adobe Reader 9.1 - Deutsch
Adobe SVG Viewer 3.0
Ahnenblatt 2.59
Akademie der Magie
Alice Greenfingers 2
AllDup 2.0.7
Amazonia
AM-DeadLink 3.1
Ancient Wonderland
Animal Agents
Annabel
Aquitania
Aranjas
ArcSoft MediaConverter 2.5
ArcSoft ShowBiz DVD 2
Ashley Jones – Reise Ins Alte Ägypten
ATI - Software Uninstall Utility
ATI Catalyst Control Center
ATI Display Driver
Atlantica – Wunder der Tiefe
AVIcodec (remove only)
AVM FRITZ!DSL
Beetle Ju 3
Beetle Ju Gold
Bengal
Best of Amiga Classix 1.0
Biet-O-Matic v2.8.3
Big City Adventure - San Francisco Deluxe
Big City Adventure - Sydney Deluxe
Big Kahuna Reef 2
Billy Bob
Blobby Volley 2.0 Alpha 6
Blumenparadies
Blütenzauber
Bonampak
Bricks of Egypt 2
Brother BRAdmin Light 1.09
Brother MFC-465CN
Brother MFL-Pro Suite
Bus Simulator 2008
CalendarPainter
Camera RAW Plug-In for EPSON Creativity Suite
Caribbean Riddle
Catalyst Control Center - Branding
Choice Guard
Christmasville
Compatibility Pack for the 2007 Office system
CrazyTalk v4.6 Messenger
CT Manager V1.0.0 Build: 20030725.1
CX4300_5500_DX4400 Handbuch
CyberLink Power2Go
Dancing Santa 3D
Das Geheimnis des Bermudadreiecks
Das geheimnisvolle Tagebuch
Das große Da Vinci Geheimnis
Das Regenbogenland
Das Smaragd-Riff
Das Vermächtnis des Einhorns
Der Fluch von Montezuma
Der verlorene Schatz von Eldorado
Detective Stories: Hollywood
DEUTSCHLAND SPIELT GAME CENTER
Deutschland Spukt
Diamantene Perlen
Diamond Drop 2
Die 4 Elemente
Die Abenteuer-Reise
Die Erbin
Die Fisch-Oase
Die Journalistin – Miss Teri Tale
Die Journalistin 2
Die Piratenbucht
Die Runen Von Avalon 2
Die Tuttles
Die Wiege Babylons
Die Wiege Roms
Die Zauberhöhle
DivX Codec
DivX Converter
DivX Player
DivX Web Player
Dracula Twins
DRM Copy
Dupehunter Professional
DVD Shrink 3.2 deutsch
EasyRecovery DataRecovery
ElsterFormular 2008/2009
FABELWELTEN
Farm Frenzy
Fashion Craze
Favorit
Flower Quest
Froggy’s Adventures
G.H.O.S.T. Hunters: Der Spuk auf Majesty Manor
Garmin Communicator Plugin
Garmin POI Loader
Garmin WebUpdater
Gigaflat
Google Earth Pro
HARDiNFO 2005 Professional TRIAL
Harry der Höhlenmensch
Hauppauge MCE CI Plugin
Hauppauge MCE Standby Service
Hauppauge MCE XP/Vista Software Encoder (2.0.26057)
Hauppauge WinTV
Hauppauge WinTV Diversity Tool
Hauppauge WinTV Radio
Hauppauge WinTV Scheduler
Hauppauge WinTV Soft PVR
Hauppauge WinTV TV Services
HDDlife
Herodes’ verschollenes Grab
Hide and Secret Deluxe
HijackThis 2.0.2
Holly
Holly Deluxe
Hotfix für Windows Internet Explorer 7 (KB947864)
Hühner-Attacke Special
Hühner-Rache
Hühner-Rache Special
ICQ6.5
In 80 Tagen um die Welt
Indira
Interpol
IrfanView (remove only)
IsoBuster 2.4
J2SE Runtime Environment 5.0 Update 6
Java(TM) 6 Update 11
Java(TM) 6 Update 3
Java(TM) 6 Update 5
Java(TM) 6 Update 7
JetDrive
Jewel Match
Jewel Match 2
Jewel Match Winteredition
Jewelleria
Jumping Jeff
Karthago 2
Kaspersky Internet Security 2009
Kaspersky Internet Security 2009
klickTel OEM 2008
KlingeltonStudio PRO
KOBIL Chipkartenterminal Treiber V2.1.11s Build: 20080723.1
Launcher 3.0 Final
LEC Translate
Little Piranha
Luxor 2
Magic Ball 3
Magic Encyclopedia
Magic Tale
Magus
MailStore Home 3.0.2.2448
Malwarebytes' Anti-Malware
Media & Office Keyboard
MediaShow
Medion GoPal Assistant 3.00.0525
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 German Language Pack
Microsoft .NET Framework 1.1 Hotfix (KB928366)
Microsoft .NET Framework 2.0 Service Pack 2
Microsoft ActiveSync 4.0
Microsoft Compression Client Pack 1.0 for Windows XP
Microsoft Internationalized Domain Names Mitigation APIs
Microsoft National Language Support Downlevel APIs
Microsoft Office XP Professional mit FrontPage
Microsoft User-Mode Driver Framework Feature Pack 1.0
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual C++ 2005 Redistributable
Mirador
Mozilla Firefox (3.0.7)
Mozilla Sunbird (0.9)
MP3 Repair Tool v1.5.2
MSN
MSVCRT
MSXML 4.0 SP2 (KB936181)
MSXML 4.0 SP2 (KB954430)
Multimedia-Enzyklopädie
MusicPlayer
Mysteriöse Fälle: Die gestohlene Venus
Mystery Stories
Mythic Pearls
Navilog1 3.7.6
Nero 8 Essentials
neroxml
Ocean Express
Paclands
Paparazzi
PaperPort Image Printer
PC SECURITY TEST 2008
PdfGrabber 5.0
PerfectDisk
PhotoNow!
Pinnacle Instant DVD Recorder
PowerDirector
PowerDVD
PowerProducer
proDAD Heroglyph 2.5
proDAD Vitascene 1.0
Puzzle Park
Pyramid Runner
QuickPar 0.9
RealPlayer
Rhonda
Ricochet Recharged
Roboball
Romopolis
SAMSUNG Mobile Modem Driver Set
Samsung Mobile phone USB driver Software
SAMSUNG Mobile USB Modem 1.0 Software
SAMSUNG Mobile USB Modem Software
Samsung PC Studio 3
Samsung PC Studio 3 USB Driver Installer
Saqqarah
save2pc Light 3.45
ScanSoft PaperPort 11
Schatzinsel
Season Match 2
Segoe UI
Shell Routenplaner 2008/2009
Sherlock Holmes
Sicherheitsupdate für Windows Internet Explorer 7 (KB938127)
Sicherheitsupdate für Windows Internet Explorer 7 (KB942615)
Sicherheitsupdate für Windows Internet Explorer 7 (KB944533)
Sicherheitsupdate für Windows Internet Explorer 7 (KB950759)
Sicherheitsupdate für Windows Internet Explorer 7 (KB953838)
Sicherheitsupdate für Windows Internet Explorer 7 (KB956390)
Sicherheitsupdate für Windows Internet Explorer 7 (KB958215)
Sicherheitsupdate für Windows Internet Explorer 7 (KB960714)
Sicherheitsupdate für Windows Internet Explorer 7 (KB961260)
Sicherheitsupdate für Windows XP (KB958690)
Sicherheitsupdate für Windows XP (KB960225)
SiSoftware Sandra Lite XII.SP1
Skarabäus
Skype™ 3.8
Snow3 1.4.1
Snowy
Sprill
StarMoney 6.0 S-Edition
Studio 11
Studio 11 Bonus DVD
Superkuh
SystemDiagnostics
The Hidden Object Show 2
Traumschafe
TuneUp Utilities 2009
TVsweeper
Ulead COOL 360 1.0
Ulead Photo Express 3.0 SE
Ulead PhotoImpact 12
Update für Windows XP (KB967715)
USB Video/Audio Driver
USB2.0 WEB CAMERA
Val´Gor
VCRedistSetup
VLC media player 0.9.8a
Vogel-Piraten
VTPlus32 für WinTV (German)
WashAndGo
WEB.DE SmartDrive Manager
Wichtiges Update für Windows Media Player 11 (KB959772)
Windows Live Anmelde-Assistent
Windows Live Call
Windows Live Communications Platform
Windows Live Essentials
Windows Live Essentials
Windows Live Messenger
Windows Live-Uploadtool
Windows Media Format 11 runtime
Windows Media Format 11 runtime
Windows Media Player 11
Windows Media Player 11
Windows XP Service Pack 3
WinRAR
World Mosaics
Wunderbox-Valentinstag
Wuschel Wahnsinn
X10 Hardware(TM)
Yahoo! Desktop Login
Zamaja

Schau mal hier: YouTube - Effects of crack programs and keygens on your PC

Hier noch:
http://www.trojaner-board.de/66340-c...ghlight=keygen
http://www.trojaner-board.de/66713-n...ghlight=keygen
http://www.trojaner-board.de/68495-j...ghlight=keygen
http://www.trojaner-board.de/68736-t...ghlight=keygen
http://www.trojaner-board.de/69023-h...ghlight=keygen
http://www.trojaner-board.de/69502-a...ghlight=keygen
http://www.trojaner-board.de/69843-r...ghlight=keygen
http://www.trojaner-board.de/69984-p...ghlight=keygen
http://www.trojaner-board.de/70680-t...ghlight=keygen
http://www.trojaner-board.de/70757-p...ghlight=keygen

Falls du mir nicht glaubst, das sind die Statements von Kollegen. Alle sind Moderatoren auf anderen Boards, die sich auf Bereinigungen spezialisiert haben. Die wissen, wovon sie schreiben.
http://www.trojaner-board.de/71732-h...ghlight=keygen
http://www.trojaner-board.de/70225-4...ghlight=keygen
http://www.trojaner-board.de/59497-r...ghlight=keygen

Es spielt keine Rolle, ob es Patch, Serial, Keygen oder Keymaker heißt. Bei den Kiddies kann ich das ja noch verstehen, aber bei 49 Jahren? Ich hätte nicht übel Lust dich wegen Diebstahls anzuzeigen. Klick auf die letzten beiden Links in meiner Signatur. Welchen Fehler hast du denn gemacht?

Nun trage auch die Konsequenzen: http://www.trojaner-board.de/51262-a...sicherung.html

Ich bin raus,
Andreas

Jetzt muss ich aber was klarstellen. Und das soll keine faule Ausrede sein. Auf meinen PC ist eine mitgelieferte Version von Nero 8 Essentials. Diese und keine andere nutze ich auch. Aber ich glaube, ich muss hier meinen Sohn, welcher die externe FP H:/ nutzt kräftig auf die Finger hauen. Also wenn ich das richtig sehe dürfte sich dann der Schädling nur auf H:/ befinden, da ich ja die dort genannte Version nie bei mir auf C:/ installiert habe??????????
Wenn mein Sohn am Wochenende nach Hauise kommt, kann ich erst klären, ob er diese Nero Version auf seinem Notebook nutzt und gleich viel Spass beim Neuaufsetzen des BS wünschen. Tut mir wirklich Leid und vielen Dank für die bisherige Hilfe!!!

MfG ikarus60

OK. Ich glaube dir. War ja bei diesem Fall nicht anders:
http://www.trojaner-board.de/67943-i...ter-virus.html

Wir vermuten, dass Kaspersky sowohl Navilog als auch LopSD zerschossen hat. Deaktiviere oder deinstalliere Kaspersky, lade beide nocheinmal runter und lasse sie laufen.

Allerdings, wenn ich mir die installierte Software so angucke, dann ist Neuinstallation nicht das Falscheste. Das ist jetzt deinen Entscheidung.

ciao, andreas

Also das mit der installierten Software sieht schlimmer aus als es ist, da sich auf C:/ und D:/ nur das Wesentliche befindet. Alles andere wie Spiele, Media usw. ist auf 2 externen FP E,F,G und FP H:/.

Ich habe KIS Deaktiviert. Es brachte keinen Erfolg. Bei LopS&D öffnet sich nur ganz kurz ein blaues Fenster. Das habe ich nach mehreren Versuchen mit der Pause/UNterbr-Taste anschauhen können und hier ist folgendes für einen Bruchteil von Sekunden zu sehen:

"Der Befehl "mode" ist entweder falsch geschrieben oder
konnte nicht gefunden werden.



Please Wait ...
Der Befehl "chcp" ist entweder falsch geschrieben oder
konnte nicht gefunden werden.
Der Befehl "CHCP" ist entweder falsch geschrieben oder
konnte nicht gefunden werden."

Bei Navilog kann ich immer nur das E für die Sprache eingeben und dann nach "Enter" ist alles weg.

Ich wünsche dann schon mal einschönes Wochenende und schöne Feiertage!

Gruß, tilo

Nein, tut es nicht. Das Problem sind nicht die installierten Dateien auf den anderen Partitionen, sondern was einige Programme so in den Windows/Systemordnern hinterlassen/anrichten. Da wird entweder zugemüllt oder noch schlimmer Systemdateien ersetzt. Ähnliches gilt für die Registry.
mode.com gehört zum Betriebssystem. Suche die Datei und teile mit, ob/wo du sie gefunden hast. Die sollte sich eigentlich im Ordner c:\windows\system32 befinden.

Deinem Post kann ich nicht entnehmen, ob du Neuaufsetzen möchtest oder nicht.

1.) CureIT Dr.Web

• Downloade Dr.Web CureIt!
• Speichere es auf deinem Desktop.
• Entpacke es in einen eigenen Ordner.
• Lies nun zuerst die deutsche Anleitung und drucke sie dir aus.

• Lass alle Malware in den Quarantaene Ordner verschieben.
• Ignoriere eventuelle Warnungen seitens deines AV Programms, du kannst auch offline gehen und -> dann dein AV Programm während des Scannens mit Dr.Web CureIt! abstellen.
• Vergiss bitte nicht, dein AV Programm nach dem Scan wieder anzustellen.

• Speichere das Logfile - siehe Anleitung - und poste es.

2.) Panda Active Scan

Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation

Drücke auf Jetzt Scannen!

Eine Registrierung ist nicht erforderlich!

Nachdem der Scan abgeschlossen ist drücke auf das Text-Icon Export und speichere das log auf dem Desktop.
Öffne die Datei ActiveScan.txt die sich nun auf deinem Desktop befindet und poste uns den Inhalt.

ciao, andreas

mode.com befindet sich mit einer Grösse von 19KB im Ordner C:\Windows\system 32 !
Das Neuaufsetzen wollte ich ehrlich gesagt, als allerletztes Mittel einsetzen!!!
Jetzt werde ich erst einmal noch die beiden anderen Vorschläge Pkt. 1+2 durchführen und die Ergebnisse mitteilen. Was hältst du von dem Programm Spyware Doctor??? Mein lieber Sohn hat sich nämlich einiges eingefangen auf seinem Laptop. Und den Grund brauche ich nicht zu verraten, oder. Angeblich hat ihm das Programm sehr geholfen. Aber ich verlasse mich hier lieber auf den Rat von erfahrenen Experten.

MfG Tilo

Sei sicher, eine Bereinigung ist immer zeitintensiver als Neuaufsetzen. Wir werden den Rechner auch nicht wirklich schnell bekommen, aber von den Plagegeistern kann ich dich befreien. Die nächsten drei Tage solltest du dir nichts vornehmen. :)

Deinstalliere vorab alles, das du nicht kennst oder brauchst.
Wenig. Mit der Combo aus MalwareBytes und SuperAntiSpyware kurieren wir hier ca. 70% der Fälle.
Äh, nein. :D

ciao, andreas

Also ich war auf jeden Fall nicht untätig und jetzt folgen die Ergebnisse von stundenlangen Scans: Malwarebytes:

Malwarebytes' Anti-Malware 1.36
Datenbank Version: 1952
Windows 5.1.2600 Service Pack 3

08.04.2009 21:20:47
mbam-log-2009-04-08 (21-20-47).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|G:\|H:\|)
Durchsuchte Objekte: 384278
Laufzeit: 2 hour(s), 5 minute(s), 48 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\fcn (Rogue.Residue) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
H:\Ahead.Nero.v8.3.2.1.(Trojan.Agent) -> Quarantined and deleted successfully.
H:\Ahead.Nero.v8.3.2.1.(Trojan.Agent) -> Quarantined and deleted successfully.

SuperAntiSpyware:

SUPERAntiSpyware Scan Log
SUPERAntiSpyware.com - AntiAdware, AntiSpyware, AntiMalware!

Generated 07/13/2009 at 03:03 PM

Application Version : 4.26.1000

Core Rules Database Version : 3840
Trace Rules Database Version: 1795

Scan type : Complete Scan
Total Scan Time : 03:59:51

Memory items scanned : 493
Memory threats detected : 0
Registry items scanned : 8173
Registry threats detected : 0
File items scanned : 292942
File threats detected : 43

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@adfarm1.adition[1].txt
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@msnaccountservices.112.2o7[1].txt
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@a7.adserver01[1].txt
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@adserver.71i[1].txt
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@atdmt[2].txt
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@www.zanox-affiliate[1].txt
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@tracking.quisma[1].txt
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@weborama[2].txt
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@questionmarket[2].txt
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@tradedoubler[2].txt
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@doubleclick[2].txt
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@serving-sys[2].txt
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@statse.webtrendslive[1].txt
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@apmebf[2].txt
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@im.banner.t-online[1].txt
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@data.coremetrics[1].txt
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@www.googleadservices[3].txt
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@msnportal.112.2o7[1].txt
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@advertising[2].txt
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@fastclick[2].txt
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@www.googleadservices[4].txt
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@ad.71i[1].txt
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@bs.serving-sys[2].txt
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@sevenoneintermedia.112.2o7[1].txt
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@ad.yieldmanager[1].txt
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@webmasterplan[2].txt
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@www.netdebit-counter[2].txt
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@atwola[1].txt
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@ads.pointroll[2].txt
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@count.xhit[1].txt
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@mediaplex[2].txt
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@de.sitestat[1].txt
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@kaspersky.122.2o7[1].txt
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@www.etracker[2].txt

Adware.Vundo/Variant-MSFake
C:\PROGRAMME\NAVILOG1\REG.EXE
C:\SYSTEM VOLUME INFORMATION\_RESTORE{3A805BE5-B918-43EE-83C5-82EEFC5395B8}\RP419\A0089817.EXE
H:\DOWNLOADS\EMOTICONS.EXE

Unclassified.Monitor/ActualSpy
F:\ADAC ROUTENPLANER 2007 2008\ADAC ROUTENPLANER 2007 2008\PROG\SUPPORT\MGGCHECK\MGGSTR32.DLL
F:\PROGRAMME\SHELL ROUTENPLANER 2008 2009\PROG\SUPPORT\MGGCHECK\MGGSTR32.DLL
G:\RECYCLER\S-1-5-21-2378604761-3430465000-3959408973-1006\DT3\PROG\SUPPORT\MGGCHECK\MGGSTR32.DLL
G:\SYSTEM VOLUME INFORMATION\_RESTORE{D6AE5FEB-2CDF-4DBD-A4E7-6FC0AC95B172}\RP956\A0249697.DLL

Unclassified.Unknown Origin
H:\SYSTEM VOLUME INFORMATION\_RESTORE{3A805BE5-B918-43EE-83C5-82EEFC5395B8}\RP421\A0090104.NFO
H:\SYSTEM VOLUME INFORMATION\_RESTORE{3A805BE5-B918-43EE-83C5-82EEFC5395B8}\RP421\A0090110.NFO

SuperAntiSpyware im abgesicherten Modus:

SUPERAntiSpyware Scan Log
SUPERAntiSpyware.com - AntiAdware, AntiSpyware, AntiMalware!

Generated 07/13/2009 at 06:22 PM

Application Version : 4.26.1000

Core Rules Database Version : 3816
Trace Rules Database Version: 1770

Scan type : Complete Scan
Total Scan Time : 02:52:10

Memory items scanned : 297
Memory threats detected : 0
Registry items scanned : 7790
Registry threats detected : 0
File items scanned : 48448
File threats detected : 5

Adware.Vundo/Variant-MSFake
C:\SYSTEM VOLUME INFORMATION\_RESTORE{3A805BE5-B918-43EE-83C5-82EEFC5395B8}\RP423\A0090175.EXE
H:\SYSTEM VOLUME INFORMATION\_RESTORE{3A805BE5-B918-43EE-83C5-82EEFC5395B8}\RP423\A0090176.EXE

Unclassified.Monitor/ActualSpy
F:\SYSTEM VOLUME INFORMATION\_RESTORE{3A805BE5-B918-43EE-83C5-82EEFC5395B8}\RP423\A0090177.DLL
F:\SYSTEM VOLUME INFORMATION\_RESTORE{3A805BE5-B918-43EE-83C5-82EEFC5395B8}\RP423\A0090178.DLL
G:\SYSTEM VOLUME INFORMATION\_RESTORE{3A805BE5-B918-43EE-83C5-82EEFC5395B8}\RP423\A0090179.DLL

Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.
Nach Neustart kann sie wieder aktiviert werden.

ciao, andreas

Active Scan mit Panda habe ich jede FP einzeln gescannt:

Scan C: ;***************************************************************************************************************************************************** ******************************
ANALYSIS: 2009-04-12 22:25:58
PROTECTIONS: 1
MALWARE: 3
SUSPECTS: 0
;***************************************************************************************************************************************************** ******************************
PROTECTIONS
Description Version Active Updated
;===================================================================================================================================================== ==============================
Kaspersky Internet Security 8.0.0.506 Yes Yes
;===================================================================================================================================================== ==============================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;===================================================================================================================================================== ==============================
00168061 Cookie/Apmebf TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@apmebf[2].txt
00168106 Cookie/Weborama TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@weborama[2].txt
00169190 Cookie/Advertising TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@advertising[2].txt
;===================================================================================================================================================== ==============================
SUSPECTS
Sent Location k
;===================================================================================================================================================== ==============================
;===================================================================================================================================================== ==============================
VULNERABILITIES
Id Severity Description k
;===================================================================================================================================================== ==============================
;===================================================================================================================================================== ==============================


H:
;***************************************************************************************************************************************************** ******************************
ANALYSIS: 2009-04-12 15:53:49
PROTECTIONS: 1
MALWARE: 2
SUSPECTS: 0
;***************************************************************************************************************************************************** ******************************
PROTECTIONS
Description Version Active Updated
;===================================================================================================================================================== ==============================
Kaspersky Internet Security 8.0.0.506 Yes Yes
;===================================================================================================================================================== ==============================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;===================================================================================================================================================== ==============================
00172825 Joke/Stress Jokes No 0 Yes No H:\Downloads\stressre.zip[stressre.exe]
00472699 Application/Deleter HackTools No 0 No No H:\Downloads\AMV_Convert_400.zip[MP3 Player Utilities 4.00/MSI.CAB][_6227252443C841BF9FFDFF29A9856421]
00472699 Application/Deleter HackTools No 0 No No H:\Downloads\AMV_Convert_400\MP3 Player Utilities 4.00\MSI.CAB[_6227252443C841BF9FFDFF29A9856421]
;===================================================================================================================================================== ==============================
SUSPECTS
Sent Location
;===================================================================================================================================================== ==============================
VULNERABILITIES
Id Severity Description
;===================================================================================================================================================== ==============================
;===================================================================================================================================================== ==============================



F:

;***************************************************************************************************************************************************** ******************************
ANALYSIS: 2009-04-12 17:48:07
PROTECTIONS: 1
MALWARE: 2
SUSPECTS: 0
;***************************************************************************************************************************************************** ******************************
PROTECTIONS
Description Version Active Updated
;===================================================================================================================================================== ==============================
Kaspersky Internet Security 8.0.0.506 Yes Yes
;===================================================================================================================================================== ==============================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;===================================================================================================================================================== ==============================
00140614 Joke/Snowman Jokes No 0 Yes No F:\Spass\SNOWMAN2.EXE
00472699 Application/Deleter HackTools No 0 Yes No F:\Program Files\MP3 Player Utilities 4.00\DelDrv.exe
;===================================================================================================================================================== ==============================
SUSPECTS
Sent Location i
;===================================================================================================================================================== ==============================
;===================================================================================================================================================== ==============================
VULNERABILITIES
Id Severity Description i
;===================================================================================================================================================== ==============================
;===================================================================================================================================================== ==============================

So, das wars glaube ich erst einmal. Ich hoffe das ich in der Vielzahl der Aufgaben nicht den Überblick verloren habe. Ich bin dann ab morgen erst einmal bis Donnerstag nicht erreichbar. Fahre weg. Bis dahin werde ich dankbar für alle weiteren Instruktionen sein!

MFG Tilo

Deswegen immer die Meldungen im "restore" !!!??? War jetzt alles für umsonst :-(((

:D Nein, wir müssen nur einmal Abschalten und wieder Anschalten. Damit wird alles gelöscht. Lies erstmal, was die Systemwiederherstellung eigentlich ist. ;)

Computerkurs - Die Systemwiederherstellung

ciao, andreas

Hallo Andreas! Bin wieder da und habe zum Ärger meiner Frau nicht besseres zu tun, als mich dieser Aufgaben am PC zu widmen. Ich weiß schon was die Systemwiederherstellung ist und was sie bewirkt. Aber so weit zu denken, das sie natürlich die dabei entstehenden Veränderungen wieder herstellt, hat es nicht gereicht. Heute habe ich diese als erstes abgeschaltet, also für alle LW deaktiviert. Leider funktioniert mein KIS 2009 jetzt überhaupt nicht mehr. Eine Reperatur war such nicht möglich. Vermute, das es mir den ganzen anderen installierten Programmen die meinen PC wieder säubern sollen zusammenhängt. Aber das ist jetzt erst einmal zweitrangig.
Was meintest du mit einmal Abschalten und wieder Einschalten???

Gruß Tilo

Haken rein, Haken raus.

Darüber würde ich mir nun wirklich keinen Kopf machen. :)

Deinstalliere KIS und packe dir Avira drauf, ist für Privatanwender kostenlos und reicht bei Gebrauch von Brain.exe völlig aus. Deinem Sohn würde ich ein Konto mit eingeschränkten Rechten einrichten. Du weißt ja warum. ;)

Nein, wohl kaum. Alleine die Tatsache das Programme wie Navilog und LopSD nicht laufen, deutete auf einen vermurksten Rechner hin. Deswegen habe ich ja auch den Vorschlag mit Neuinstallation gemacht.

Was Besserung bringen kann ist der Einsatz von ComboFix und/oder eine Reparaturinstallation. Allerdings besteht auch die Gefahr, dass der Rechner anschließend gar nicht mehr will. Die Entscheidung bleibt dir überlassen.

Falls du noch irgendetwas hast, dass du mit dem Computer verbindest, wie Speicherkarten, USB-Sticks, externe Festplatten, ... dann stecke alles an.

ComboFix

Achtung: Die Anleitung ist veraltet. Den Teil mit der Systemwiederherstellungskonsole nicht ausführen. Die wird bei Internetverbindung automatisch installiert.

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  
  Sollte sich ComboFix nicht starten lassen, dann benenne es um in cf.com und versuche es nocheinmal.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

ciao, andreas

Hallo mein Helfer in der Not ;-)
Ich kann es gar nicht fassen, aber sieh und staune was plötzlich funktioniert. Ich dachte das ich jetzt einfach noch einmal die beiden Programme probiere. Und siehe da, hier die Ergebnisse unten angefügt.
Von wegen: "Alleine die Tatsache das Programme wie Navilog und LopSD nicht laufen, deutete auf einen vermurksten Rechner hin..." ;-)))
Kann es sein, das die Programme nicht so richtig funktionierten, weil meine Systemzeit verstellt war??? Ich habe es bei der Fehlersuche von KIS herausgefunden. Es ist auch bei den ScanLogs von SuperAntiSpyware zu erkennen, das mein PC schon in der Zukunft war (Juli). Zu meinem Rechner muss ich noch sagen, das er eigentlich keinerlei Anzeichen von Schädlingsbefall gezeigt hat. Er lief stabil, ist schnell und wird eigentlich immer von mir "gepflegt". Also regelmäßig Mülldateien, Registrie säubern, Defrag usw. Habe seit über 4 Jahren ein Programm von Abelsoft und bin damit sehr zufrieden. Aber nun bin ich erst einmal gespannt was dir die beiden Dateien verraten???!!!

Gruss Tilo

Search Navipromo version 3.7.6 began on 16.04.2009 at 18:44:24,65

!!! Warning, this report may include legitimate files/programs !!!
!!! Post this report on the forum you are being helped !!!
!!! Don't continue with removal unless instructed by an authorized helper !!!

Fix running from C:\Programme\navilog1

Updated on 14.03.2009 at 18h00 by IL-MAFIOSO

Microsoft Windows XP Professional ( v5.1.2600 ) Service Pack 3
X86-based PC ( Multiprocessor Free : AMD Athlon(tm) 64 X2 Dual Core Processor 4200+ )
BIOS : Phoenix - AwardBIOS v6.00PG
USER : Besitzer ( Administrator )
BOOT : Normal boot

Antivirus : Kaspersky Internet Security 8.0.0.506 (Not Activated)
Firewall : Kaspersky Internet Security 8.0.0.506 (Not Activated)

C:\ (Local Disk) - NTFS - Total:182 Go (Free:134 Go)
D:\ (Local Disk) - NTFS - Total:115 Go (Free:110 Go)
E:\ (Local Disk) - NTFS - Total:195 Go (Free:81 Go)
F:\ (Local Disk) - NTFS - Total:150 Go (Free:133 Go)
G:\ (Local Disk) - NTFS - Total:120 Go (Free:83 Go)
H:\ (Local Disk) - NTFS - Total:232 Go (Free:91 Go)
I:\ (CD or DVD)
J:\ (CD or DVD)
K:\ (CD or DVD)
L:\ (USB)
M:\ (USB)
N:\ (USB)
O:\ (USB)
P:\ (USB)
Q:\ (USB)
R:\ (USB)
S:\ (USB)
T:\ (USB)
V:\ (USB)


Search done in normal mode


*** Search folders in "C:\WINDOWS" ***


*** Search folders in "C:\Programme" ***


*** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1\progra~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1" ***


*** Search folders in "c:\dokume~1\alluse~1\anwend~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\Besitzer\anwend~1" ***


*** Search folders in "C:\DOKUME~1\ADMINI~1\anwend~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\Besitzer\lokale~1\anwend~1" ***


*** Search folders in "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\Besitzer\startm~1\progra~1" ***


*** Search folders in "C:\DOKUME~1\ADMINI~1\startm~1\progra~1" ***


*** Search with Catchme-rootkit/stealth malware detector by gmer ***
for more info : http://www.gmer.net



*** Search with GenericNaviSearch ***
!!! Possibility of legitimate files in the result !!!
!!! Must always be checked before manually deleting !!!

* Scan in "C:\WINDOWS\system32" *

* Scan in "C:\Dokumente und Einstellungen\Besitzer\lokale~1\anwend~1" *

* Scan in "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" *



*** Search files ***



*** Search specific Registry keys ***
!! Following keys are not certainly all infected !!


*** Complementary Search ***
(Search specific files)

1)Search new Instant Access files :


2)Heuristic Search :

* In "C:\WINDOWS\system32" :


* In "C:\Dokumente und Einstellungen\Besitzer\lokale~1\anwend~1" :


* In "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" :


3)Certificates Search :

Egroup certificate not found !
Electronic-Group certificate not found !
Montorgueil certificate not found !
OOO-Favorit certificate not found !
Sunny-Day-Design-Ltd certificate not found !

4)Search others known folders and files :

-----------------------------------------------------------------------------------


--------------------\\ Lop S&D 4.2.5-0 XP/Vista

Microsoft Windows XP Professional ( v5.1.2600 ) Service Pack 3
X86-based PC ( Multiprocessor Free : AMD Athlon(tm) 64 X2 Dual Core Processor 4200+ )
BIOS : Phoenix - AwardBIOS v6.00PG
USER : Besitzer ( Administrator )
BOOT : Normal boot
Antivirus : Kaspersky Internet Security 8.0.0.506 (Activated)
Firewall : Kaspersky Internet Security 8.0.0.506 (Activated)
C:\ (Local Disk) - NTFS - Total:182 Go (Free:134 Go)
D:\ (Local Disk) - NTFS - Total:115 Go (Free:110 Go)
E:\ (Local Disk) - NTFS - Total:195 Go (Free:81 Go)
F:\ (Local Disk) - NTFS - Total:150 Go (Free:133 Go)
G:\ (Local Disk) - NTFS - Total:120 Go (Free:83 Go)
H:\ (Local Disk) - NTFS - Total:232 Go (Free:91 Go)
I:\ (CD or DVD)
J:\ (CD or DVD)
K:\ (CD or DVD)
L:\ (USB)
M:\ (USB)
N:\ (USB)
O:\ (USB)
P:\ (USB)
Q:\ (USB)
R:\ (USB)
S:\ (USB)
T:\ (USB)
V:\ (USB)

"C:\Lop SD" ( MAJ : 19-12-2008|23:40 )
Option : [1] ( 16.04.2009|18:37 )

--------------------\\ Listing folders in ANWEND~1

[21.03.2009|20:41] C:\DOKUME~1\ADMINI~1\ANWEND~1\Microsoft
[13.07.2009|15:26] C:\DOKUME~1\ADMINI~1\ANWEND~1\Mozilla
[13.07.2009|15:27] C:\DOKUME~1\ADMINI~1\ANWEND~1\SUPERAntiSpyware.com
[08.04.2009|15:29] C:\DOKUME~1\ADMINI~1\ANWEND~1\TuneUp Software
[0|Datei(en)] C:\DOKUME~1\ADMINI~1\ANWEND~1\Bytes
[6|Verzeichnis(se),] C:\DOKUME~1\ADMINI~1\ANWEND~1\Bytes frei

[17.01.2009|15:39] C:\DOKUME~1\ALLUSE~1\ANWEND~1\{55A29068-F2CE-456C-9148-C869879E2357}
[25.10.2008|17:47] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Absolutist
[12.10.2008|11:00] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Acronis
[11.03.2009|21:02] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Adobe
[11.02.2009|20:02] C:\DOKUME~1\ALLUSE~1\ANWEND~1\ATI
[29.02.2008|10:15] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Avira
[28.06.2008|16:22] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Awem
[31.10.2008|19:01] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Black Blob Studios
[29.10.2008|11:04] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Brother
[09.04.2008|17:13] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Christmasville
[19.10.2008|15:01] C:\DOKUME~1\ALLUSE~1\ANWEND~1\CyberLink
[12.11.2008|18:12] C:\DOKUME~1\ALLUSE~1\ANWEND~1\DivoGames
[09.03.2009|18:15] C:\DOKUME~1\ALLUSE~1\ANWEND~1\EPSON
[29.02.2008|12:07] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Friday's games
[29.02.2008|12:24] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Friends Games
[26.11.2008|20:52] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Fugazo
[23.05.2008|17:31] C:\DOKUME~1\ALLUSE~1\ANWEND~1\FurballFrenzy
[29.10.2008|11:06] C:\DOKUME~1\ALLUSE~1\ANWEND~1\InstallShield
[22.05.2008|16:30] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Intenium
[20.09.2008|16:45] C:\DOKUME~1\ALLUSE~1\ANWEND~1\JollyBear
[16.07.2009|17:53] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Kaspersky Lab
[26.11.2008|19:59] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Kaspersky Lab Setup Files
[08.04.2009|18:31] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Malwarebytes
[27.12.2008|20:48] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Microsoft
[31.03.2009|16:34] C:\DOKUME~1\ALLUSE~1\ANWEND~1\MumboJumbo
[23.12.2008|17:18] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Mushroom Age
[21.03.2009|15:38] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Nero
[15.06.2008|13:27] C:\DOKUME~1\ALLUSE~1\ANWEND~1\PferdeHof
[13.10.2008|16:23] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Pinnacle
[13.10.2008|16:15] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Pinnacle Studio
[23.03.2009|12:06] C:\DOKUME~1\ALLUSE~1\ANWEND~1\PixelPlanet
[15.03.2009|15:35] C:\DOKUME~1\ALLUSE~1\ANWEND~1\PlayFirst
[05.12.2008|20:35] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Playrix Entertainment
[26.02.2009|14:25] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Raxco
[21.12.2008|11:57] C:\DOKUME~1\ALLUSE~1\ANWEND~1\ScanSoft
[06.04.2008|17:05] C:\DOKUME~1\ALLUSE~1\ANWEND~1\ScreenSeven
[27.12.2008|19:24] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Skype
[15.11.2008|13:21] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Sonavis
[20.09.2008|16:57] C:\DOKUME~1\ALLUSE~1\ANWEND~1\SpinTop Games
[16.04.2008|14:08] C:\DOKUME~1\ALLUSE~1\ANWEND~1\SugarGames
[13.04.2009|10:55] C:\DOKUME~1\ALLUSE~1\ANWEND~1\SUPERAntiSpyware.com
[11.04.2009|12:27] C:\DOKUME~1\ALLUSE~1\ANWEND~1\TEMP
[13.04.2008|10:23] C:\DOKUME~1\ALLUSE~1\ANWEND~1\TERMINAL Studio
[17.01.2009|15:41] C:\DOKUME~1\ALLUSE~1\ANWEND~1\TuneUp Software
[13.10.2008|11:12] C:\DOKUME~1\ALLUSE~1\ANWEND~1\UDL
[10.11.2008|11:02] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Ulead Systems
[25.02.2009|21:08] C:\DOKUME~1\ALLUSE~1\ANWEND~1\WEB.DE
[26.01.2008|15:02] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Windows Genuine Advantage
[10.09.2008|13:30] C:\DOKUME~1\ALLUSE~1\ANWEND~1\WLInstaller
[05.11.2008|13:04] C:\DOKUME~1\ALLUSE~1\ANWEND~1\X10 Settings
[20.09.2008|10:08] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Zylom
[0|Datei(en)] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Bytes
[55|Verzeichnis(se),] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Bytes frei

[27.12.2008|17:54] C:\DOKUME~1\Besitzer\ANWEND~1\Acoustica
[24.01.2009|19:17] C:\DOKUME~1\Besitzer\ANWEND~1\Adobe
[02.03.2009|15:49] C:\DOKUME~1\Besitzer\ANWEND~1\Ahnenblatt
[26.02.2009|14:31] C:\DOKUME~1\Besitzer\ANWEND~1\aignes
[09.08.2008|12:03] C:\DOKUME~1\Besitzer\ANWEND~1\Alawar
[25.02.2009|13:57] C:\DOKUME~1\Besitzer\ANWEND~1\AllDup
[03.03.2008|19:10] C:\DOKUME~1\Besitzer\ANWEND~1\AmuletAdventure
[14.11.2008|18:12] C:\DOKUME~1\Besitzer\ANWEND~1\Ancient Quest of Saqqarah__intenium
[25.12.2008|20:03] C:\DOKUME~1\Besitzer\ANWEND~1\ArcSoft
[11.02.2009|20:02] C:\DOKUME~1\Besitzer\ANWEND~1\ATI
[15.11.2008|14:00] C:\DOKUME~1\Besitzer\ANWEND~1\BinarySense
[23.02.2009|17:04] C:\DOKUME~1\Besitzer\ANWEND~1\BOM
[31.10.2008|16:22] C:\DOKUME~1\Besitzer\ANWEND~1\Brother
[02.03.2009|20:16] C:\DOKUME~1\Besitzer\ANWEND~1\Canneverbe_Limited
[30.09.2008|16:21] C:\DOKUME~1\Besitzer\ANWEND~1\Cat's Eye Games
[05.08.2008|18:33] C:\DOKUME~1\Besitzer\ANWEND~1\cerasus.media
[29.02.2008|12:17] C:\DOKUME~1\Besitzer\ANWEND~1\CTXM
[22.11.2008|15:00] C:\DOKUME~1\Besitzer\ANWEND~1\CyberLink
[13.10.2008|14:45] C:\DOKUME~1\Besitzer\ANWEND~1\DivX
[04.04.2009|18:12] C:\DOKUME~1\Besitzer\ANWEND~1\Friday's games
[16.07.2009|17:22] C:\DOKUME~1\Besitzer\ANWEND~1\FRITZ!
[07.04.2008|16:43] C:\DOKUME~1\Besitzer\ANWEND~1\Gaijin Ent
[21.09.2008|18:40] C:\DOKUME~1\Besitzer\ANWEND~1\Games
[30.11.2008|12:57] C:\DOKUME~1\Besitzer\ANWEND~1\GARMIN
[03.10.2008|17:40] C:\DOKUME~1\Besitzer\ANWEND~1\Google
[28.11.2008|12:16] C:\DOKUME~1\Besitzer\ANWEND~1\GoPal Assistant
[27.12.2008|18:16] C:\DOKUME~1\Besitzer\ANWEND~1\ICQ
[20.09.2008|16:55] C:\DOKUME~1\Besitzer\ANWEND~1\Identities
[29.10.2008|11:07] C:\DOKUME~1\Besitzer\ANWEND~1\InstallShield
[16.01.2009|19:21] C:\DOKUME~1\Besitzer\ANWEND~1\Intenium
[12.10.2008|16:10] C:\DOKUME~1\Besitzer\ANWEND~1\InterTrust
[23.12.2008|20:55] C:\DOKUME~1\Besitzer\ANWEND~1\IrfanView
[31.03.2009|17:17] C:\DOKUME~1\Besitzer\ANWEND~1\JewelMatch2
[15.11.2008|14:02] C:\DOKUME~1\Besitzer\ANWEND~1\klickTel
[08.03.2008|18:53] C:\DOKUME~1\Besitzer\ANWEND~1\Legends of pirates
[25.01.2008|19:50] C:\DOKUME~1\Besitzer\ANWEND~1\Macromedia
[20.09.2008|15:16] C:\DOKUME~1\Besitzer\ANWEND~1\Magic Academy
[15.07.2008|20:02] C:\DOKUME~1\Besitzer\ANWEND~1\Magus
[08.04.2009|18:32] C:\DOKUME~1\Besitzer\ANWEND~1\Malwarebytes
[28.02.2009|16:48] C:\DOKUME~1\Besitzer\ANWEND~1\map&guide
[18.09.2008|18:20] C:\DOKUME~1\Besitzer\ANWEND~1\Meridian93
[21.03.2009|16:27] C:\DOKUME~1\Besitzer\ANWEND~1\Microsoft
[20.12.2008|15:51] C:\DOKUME~1\Besitzer\ANWEND~1\Mozilla
[27.12.2008|20:39] C:\DOKUME~1\Besitzer\ANWEND~1\MSNInstaller
[29.02.2008|20:26] C:\DOKUME~1\Besitzer\ANWEND~1\Nero
[31.10.2008|16:10] C:\DOKUME~1\Besitzer\ANWEND~1\PC-FAX TX
[21.09.2008|13:20] C:\DOKUME~1\Besitzer\ANWEND~1\Pirateville
[15.11.2008|14:41] C:\DOKUME~1\Besitzer\ANWEND~1\PiX-ART.com
[23.03.2009|12:05] C:\DOKUME~1\Besitzer\ANWEND~1\PixelPlanet
[15.03.2009|15:35] C:\DOKUME~1\Besitzer\ANWEND~1\PlayFirst
[06.09.2008|09:21] C:\DOKUME~1\Besitzer\ANWEND~1\Playrix Entertainment
[13.10.2008|18:33] C:\DOKUME~1\Besitzer\ANWEND~1\proDAD
[15.10.2008|14:04] C:\DOKUME~1\Besitzer\ANWEND~1\PTV AG
[05.01.2009|18:18] C:\DOKUME~1\Besitzer\ANWEND~1\Real
[06.01.2009|17:53] C:\DOKUME~1\Besitzer\ANWEND~1\rondomedia
[10.08.2008|10:31] C:\DOKUME~1\Besitzer\ANWEND~1\Runes of Avalon 2
[22.02.2009|16:16] C:\DOKUME~1\Besitzer\ANWEND~1\S.A.D
[18.02.2009|15:53] C:\DOKUME~1\Besitzer\ANWEND~1\Samsung
[27.03.2009|11:50] C:\DOKUME~1\Besitzer\ANWEND~1\saveTV
[31.10.2008|16:14] C:\DOKUME~1\Besitzer\ANWEND~1\ScanSoft
[26.01.2009|12:58] C:\DOKUME~1\Besitzer\ANWEND~1\Skype
[26.01.2009|12:33] C:\DOKUME~1\Besitzer\ANWEND~1\skypePM
[15.11.2008|13:38] C:\DOKUME~1\Besitzer\ANWEND~1\Sonavis
[21.09.2008|18:22] C:\DOKUME~1\Besitzer\ANWEND~1\SprillBermudeDeu
[17.03.2009|19:38] C:\DOKUME~1\Besitzer\ANWEND~1\SulusGames
[08.11.2008|19:41] C:\DOKUME~1\Besitzer\ANWEND~1\Sun
[13.04.2009|10:55] C:\DOKUME~1\Besitzer\ANWEND~1\SUPERAntiSpyware.com
[19.03.2008|13:33] C:\DOKUME~1\Besitzer\ANWEND~1\Super-Cow
[20.12.2008|15:51] C:\DOKUME~1\Besitzer\ANWEND~1\Talkback
[17.01.2009|15:41] C:\DOKUME~1\Besitzer\ANWEND~1\TuneUp Software
[23.12.2008|10:43] C:\DOKUME~1\Besitzer\ANWEND~1\U3
[23.11.2008|10:18] C:\DOKUME~1\Besitzer\ANWEND~1\Ulead Systems
[23.12.2008|17:06] C:\DOKUME~1\Besitzer\ANWEND~1\URSE Games
[01.01.2009|20:36] C:\DOKUME~1\Besitzer\ANWEND~1\vlc
[25.02.2009|21:09] C:\DOKUME~1\Besitzer\ANWEND~1\WEB.DE
[04.03.2008|13:04] C:\DOKUME~1\Besitzer\ANWEND~1\WinRAR
[06.01.2009|14:34] C:\DOKUME~1\Besitzer\ANWEND~1\ZLabs
[20.09.2008|16:47] C:\DOKUME~1\Besitzer\ANWEND~1\Zylom
[0|Datei(en)] C:\DOKUME~1\Besitzer\ANWEND~1\Bytes
[80|Verzeichnis(se),] C:\DOKUME~1\Besitzer\ANWEND~1\Bytes frei

[25.01.2008|19:29] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Microsoft
[0|Datei(en)] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Bytes
[3|Verzeichnis(se),] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Bytes frei

[12.10.2008|11:02] C:\DOKUME~1\LOCALS~1\ANWEND~1\Acronis
[13.10.2008|10:57] C:\DOKUME~1\LOCALS~1\ANWEND~1\DivX
[13.10.2008|10:06] C:\DOKUME~1\LOCALS~1\ANWEND~1\Microsoft
[05.11.2008|13:04] C:\DOKUME~1\LOCALS~1\ANWEND~1\X10 Commander
[0|Datei(en)] C:\DOKUME~1\LOCALS~1\ANWEND~1\Bytes
[6|Verzeichnis(se),] C:\DOKUME~1\LOCALS~1\ANWEND~1\Bytes frei

[25.01.2008|19:38] C:\DOKUME~1\NETWOR~1\ANWEND~1\Microsoft
[0|Datei(en)] C:\DOKUME~1\NETWOR~1\ANWEND~1\Bytes
[3|Verzeichnis(se),] C:\DOKUME~1\NETWOR~1\ANWEND~1\Bytes frei

--------------------\\ Scheduled Tasks located in C:\WINDOWS\Tasks

[16.07.2009 17:52][--ah-----] C:\WINDOWS\tasks\SA.DAT
[10.08.2004 21:00][-r-h-----] C:\WINDOWS\tasks\desktop.ini

--------------------\\ Listing Folders in C:\Programme

[12.10.2008|11:11] C:\Programme\Acronis
[11.03.2009|21:02] C:\Programme\Adobe
[13.10.2008|18:29] C:\Programme\AdorageI-GfxDatas
[13.10.2008|18:28] C:\Programme\AdorageI-SAL
[11.02.2009|19:58] C:\Programme\ATI Technologies
[18.02.2009|11:37] C:\Programme\Biet-O-Matic
[01.11.2008|17:40] C:\Programme\Brother
[05.11.2008|13:03] C:\Programme\Common Files
[19.10.2008|14:44] C:\Programme\CyberLink
[23.03.2008|14:49] C:\Programme\DVD Shrink DE
[18.03.2009|09:52] C:\Programme\ElsterFormular
[09.03.2009|18:20] C:\Programme\epson
[29.02.2008|13:26] C:\Programme\FRITZ!DSL
[06.04.2009|09:37] C:\Programme\Fujitsu
[16.07.2009|17:49] C:\Programme\Gemeinsame Dateien
[03.10.2008|18:14] C:\Programme\Google
[13.10.2008|16:20] C:\Programme\Hollywood Fx For Studio
[18.03.2009|09:52] C:\Programme\InstallShield Installation Information
[13.10.2008|17:38] C:\Programme\Instant DVD Recorder
[11.02.2009|12:47] C:\Programme\Internet Explorer
[15.11.2008|13:33] C:\Programme\IrfanView
[16.07.2009|17:16] C:\Programme\Java
[16.07.2009|14:43] C:\Programme\Kaspersky Lab
[15.11.2008|13:47] C:\Programme\klickTel
[17.03.2009|18:35] C:\Programme\KOBIL Systems
[13.08.2008|15:02] C:\Programme\Messenger
[27.12.2008|20:49] C:\Programme\Microsoft
[24.10.2008|17:36] C:\Programme\Microsoft Office
[25.05.2008|18:09] C:\Programme\Movie Maker
[16.04.2009|18:29] C:\Programme\Mozilla Firefox
[25.02.2009|14:17] C:\Programme\Mozilla Sunbird
[24.10.2008|17:35] C:\Programme\MSECache
[27.12.2008|20:34] C:\Programme\MSN
[25.01.2008|19:22] C:\Programme\MSN Gaming Zone
[01.03.2008|19:52] C:\Programme\MSXML 4.0
[16.07.2009|14:27] C:\Programme\Navilog1
[01.03.2009|19:38] C:\Programme\Nero
[25.05.2008|18:07] C:\Programme\NetMeeting
[29.10.2008|11:07] C:\Programme\Nuance
[25.01.2008|19:25] C:\Programme\Online Services
[25.01.2008|19:27] C:\Programme\Online-Dienste
[15.11.2008|13:08] C:\Programme\Ontrack
[25.05.2008|18:07] C:\Programme\Outlook Express
[29.02.2008|10:49] C:\Programme\OXXOGames
[15.10.2008|10:33] C:\Programme\Pinnacle
[16.11.2008|14:07] C:\Programme\Power Translator 11
[13.10.2008|18:33] C:\Programme\proDAD
[26.02.2009|14:25] C:\Programme\Raxco
[07.12.2008|17:40] C:\Programme\Real
[16.11.2008|20:19] C:\Programme\Reallusion
[18.02.2009|15:46] C:\Programme\Samsung
[26.01.2008|15:39] C:\Programme\SiSoftware
[27.12.2008|19:24] C:\Programme\Skype
[16.07.2009|14:29] C:\Programme\SUPERAntiSpyware
[09.04.2009|12:24] C:\Programme\Trend Micro
[26.01.2008|13:44] C:\Programme\ULTIMATE SYSTEMS
[25.01.2008|19:47] C:\Programme\Uninstall Information
[25.12.2008|18:34] C:\Programme\USB_video_device
[27.10.2008|20:46] C:\Programme\vtplus
[21.12.2008|15:49] C:\Programme\WashAndGo
[27.12.2008|20:49] C:\Programme\Windows Live
[27.12.2008|20:48] C:\Programme\Windows Live SkyDrive
[12.11.2008|20:05] C:\Programme\Windows Live Toolbar
[05.11.2008|19:56] C:\Programme\Windows Media Connect 2
[05.11.2008|19:56] C:\Programme\Windows Media Player
[25.05.2008|18:07] C:\Programme\Windows NT
[25.01.2008|19:25] C:\Programme\Windows Plus
[25.01.2008|19:27] C:\Programme\WindowsUpdate
[04.03.2008|13:03] C:\Programme\WinRAR
[05.11.2008|12:52] C:\Programme\WinTV
[05.11.2008|13:03] C:\Programme\X10 Hardware
[25.01.2008|19:35] C:\Programme\xerox
[21.09.2008|18:15] C:\Programme\Zylom Games
[0|Datei(en)] C:\Programme\Bytes
[78|Verzeichnis(se),] C:\Programme\Bytes frei

--------------------\\ Listing Folders in C:\Programme\Gemeinsame Dateien

[27.12.2008|17:44] C:\Programme\Gemeinsame Dateien\Acon Digital Media
[12.10.2008|10:59] C:\Programme\Gemeinsame Dateien\Acronis
[11.03.2009|21:02] C:\Programme\Gemeinsame Dateien\Adobe
[25.12.2008|18:40] C:\Programme\Gemeinsame Dateien\ArcSoft
[29.02.2008|13:26] C:\Programme\Gemeinsame Dateien\AVM
[23.03.2009|12:05] C:\Programme\Gemeinsame Dateien\BCL Technologies
[02.03.2008|14:56] C:\Programme\Gemeinsame Dateien\Designer
[25.01.2008|19:27] C:\Programme\Gemeinsame Dateien\Dienste
[06.04.2009|09:37] C:\Programme\Gemeinsame Dateien\Fujitsu
[13.10.2008|12:20] C:\Programme\Gemeinsame Dateien\GIS
[13.10.2008|11:13] C:\Programme\Gemeinsame Dateien\InstallShield
[21.10.2008|17:01] C:\Programme\Gemeinsame Dateien\IviSDK
[25.01.2008|19:32] C:\Programme\Gemeinsame Dateien\Java
[22.11.2008|17:32] C:\Programme\Gemeinsame Dateien\LightScribe
[16.07.2009|14:28] C:\Programme\Gemeinsame Dateien\mapserv
[05.03.2009|16:00] C:\Programme\Gemeinsame Dateien\Microsoft Shared
[25.01.2008|19:27] C:\Programme\Gemeinsame Dateien\MSSoap
[21.03.2009|15:39] C:\Programme\Gemeinsame Dateien\Nero
[25.01.2008|18:54] C:\Programme\Gemeinsame Dateien\ODBC
[26.02.2009|14:25] C:\Programme\Gemeinsame Dateien\Raxco
[07.12.2008|17:40] C:\Programme\Gemeinsame Dateien\Real
[16.11.2008|20:19] C:\Programme\Gemeinsame Dateien\Reallusion
[27.12.2008|19:23] C:\Programme\Gemeinsame Dateien\Skype
[27.12.2008|19:04] C:\Programme\Gemeinsame Dateien\snp2std
[15.11.2008|13:21] C:\Programme\Gemeinsame Dateien\Sonavis
[25.01.2008|18:54] C:\Programme\Gemeinsame Dateien\SpeechEngines
[25.01.2008|19:50] C:\Programme\Gemeinsame Dateien\SWF Studio
[25.05.2008|18:07] C:\Programme\Gemeinsame Dateien\System
[10.11.2008|11:02] C:\Programme\Gemeinsame Dateien\Ulead Systems
[27.12.2008|20:44] C:\Programme\Gemeinsame Dateien\Windows Live
[10.09.2008|13:31] C:\Programme\Gemeinsame Dateien\WindowsLiveInstaller
[16.07.2009|14:29] C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
[07.12.2008|17:40] C:\Programme\Gemeinsame Dateien\xing shared
[23.03.2009|12:06] C:\Programme\Gemeinsame Dateien\XpressUpdate
[0|Datei(en)] C:\Programme\Gemeinsame Dateien\Bytes
[37|Verzeichnis(se),] C:\Programme\Gemeinsame Dateien\Bytes frei

--------------------\\ Process

( 46 Processes )

... OK !

--------------------\\ Searching with S_Lop

No Lop folder found !

--------------------\\ Searching for Lop Files - Folders

No Lop folder found !

--------------------\\ Searching within the Registry

..... OK !

--------------------\\ Checking the Hosts file

Hosts file CLEAN


--------------------\\ Searching for hidden files with Catchme

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-16 18:39:09
Windows 5.1.2600 Service Pack 3 NTFS
scanning hidden processes ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden files: 0

--------------------\\ Searching for other infections

--------------------\\ Cracks & Keygens ..


[F:5][D:0]-> C:\DOKUME~1\Besitzer\LOKALE~1\Temp
[F:154][D:0]-> C:\DOKUME~1\Besitzer\Cookies
[F:86][D:4]-> C:\DOKUME~1\Besitzer\LOKALE~1\TEMPOR~1\content.IE5

1 - "C:\Lop SD\LopR_1.txt" - 16.04.2009|18:40 - Option : [1]

--------------------\\ Scan completed at 18:40:24

Navilog hat nichts gefunden, kein Wunder, die Dateien hast du von Hand gelöscht. LopSD hat nichts gefunden. Du hast viele Partitionen/Laufwerke mit Unmengen an freien Platz.

1.) Deinstalliere:

• Navilog
• LopSD
• SuperAntiSpyware
• Adobe Acrobat 5.0
• J2SE Runtime Environment 5.0 Update 6
• Java(TM) 6 Update 11
• Java(TM) 6 Update 3
• Java(TM) 6 Update 5
• Java(TM) 6 Update 7
• Skype™ 3.8

2.) Installiere (Toolbars immer abwählen, Haken weg):

• Download der Java-Software von Sun Microsystems
• Skype herunterladen und kostenlose Skype-to-Skype Telefonate führen

3.) Poste ein aktuelles HJT-Log

4.) ZHPDiag von Nicolas Coolman

http://pic.leech.it/i/5e532/9b50601zhpdiag.jpg

1. Klicke auf Téléchargement de ZHPDiag
2. Klicke auf der Seite auf FTP Zebulon.fr N°1.
3. Entpacke die geladene Datei auf den Desktop und starte ZHPDiag.exe mit Doppelklick.
4. Klicke auf http://pic.leech.it/i/ced97/35b1452all.jpg All
5. Klicke auf http://pic.leech.it/i/0eefe/5db239elupe.jpg General Analysis
6. Klicke auf http://pic.leech.it/i/bf836/eced1f9dclipboard.jpg Paste Clipboard
7. Wechsel zum Forum, klicke auf Antworten, klicke in den großen weißen Kasten
8. Drücke [Strg]v, [Strg]a
9. Klicke auf # http://pic.leech.it/i/3c634/c3cdedaraute.jpg

ciao, andreas

Punkt 1 und 2 sind erledigt und hier folgt Pkt. 3:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:47:46, on 17.04.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\PROGRA~1\WinTV\MCEStandby.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\system32\IoctlSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
F:\Programme\Microsoft ActiveSync\wcescomm.exe
C:\Programme\Brother\ControlCenter3\brccMCtl.exe
F:\Programme\zoneLINK\HDDlife\HDDlifePro.exe
F:\Programme\Launcher\Launcher.exe
F:\PROGRA~2\MICROS~1\rapimgr.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = maxdome - Deutschlands größte Online-Videothek
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = Internet Explorer 7: Get It Now
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: LEC - {1DBAB667-A486-421e-AFE4-CF07DD0088E5} - C:\Programme\Power Translator 11\Applications\LEC IE Translation Extension.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [UpdatePPShortCut] "F:\Programme\HomeCinema\PowerProducer\MUITransfer\MUIStartMenu.exe" "F:\Programme\HomeCinema\PowerProducer" update "Software\CyberLink\PowerProducer\4.0"
O4 - HKLM\..\Run: [ControlCenter3] C:\Programme\Brother\ControlCenter3\brctrcen.exe /autorun
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "F:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: HDDlife.lnk = F:\Programme\zoneLINK\HDDlife\HDDlifePro.exe (User 'SYSTEM')
O4 - S-1-5-18 Startup: Launcher.lnk = F:\Programme\Launcher\Launcher.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: HDDlife.lnk = F:\Programme\zoneLINK\HDDlife\HDDlifePro.exe (User 'Default user')
O4 - .DEFAULT Startup: Launcher.lnk = F:\Programme\Launcher\Launcher.exe (User 'Default user')
O4 - Startup: HDDlife.lnk = F:\Programme\zoneLINK\HDDlife\HDDlifePro.exe
O4 - Startup: Launcher.lnk = F:\Programme\Launcher\Launcher.exe
O8 - Extra context menu item: add to &BOM - C:\\PROGRA~1\\BIET-O~1\\\\AddToBOM.hta
O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - F:\PROGRA~2\MICROS~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - F:\PROGRA~2\MICROS~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - F:\PROGRA~2\MICROS~1\INetRepl.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - F:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - F:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/.../GAME_UNO1.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ge...sh/swflash.cab
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: HauppaugeTVServer - Hauppauge Computer Works - C:\PROGRA~1\WinTV\HCWTVS~1.EXE
O23 - Service: Hauppauge MCE/Standby service (HCWMCECleanup) - Hauppauge Computer Works! - C:\PROGRA~1\WinTV\MCEStandby.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: AVM IGD CTRL Service (IGDCTRL) - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: PCLEPCI - Pinnacle Systems GmbH - C:\WINDOWS\system32\drivers\pclepci.sys
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XII.SP1\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XII.SP1\RpcSandraSrv.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Unknown owner - F:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe (file missing)
O23 - Service: Acronis Try And Decide Service (TryAndDecideService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 9268 bytes

Ich habe eigentlich alles entsprechend deiner Anleitung gemacht. Bekomme aber immer die Meldung, das der Text über 50000 Zeichen lang ist und nur 25000 erlaubt sind. Ich habe es dann als Dateianhang versucht, aber auch hier war die Datei zu groß. Soll ich das Ergebnis in mehreren Teilen senden, oder gibt es eine bessere Lösung?

Gruß Tilo

Lade die Datei bei einem Filehoster (z.B. www.materialordner.de) hoch und poste den Link.

ciao, andreas

Was ich alles so dazulerne:singsing:

http://www.materialordner.de/4r7SDVj8oCG5K64cjSQMTkvVRRAFwAap.html

Ja, das kannst du gar nicht bezahlen. :D

Starte HJT => Do a system scan only => Markiere:
=> Fix checked

4.) Falls keine Probleme mehr bestehen, bist du entlassen.

ciao, andreas

Ich möchte dir natürlich in aller Form und von Herzen DANKE sagen. Ohne deine Hilfe hätte ich das alles nicht geschafft!!! So sieht jetzt das HJT-Log aus:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:44:31, on 19.04.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\PROGRA~1\WinTV\MCEStandby.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: Hauppauge MCE/Standby service (HCWMCECleanup) - Hauppauge Computer Works! - C:\PROGRA~1\WinTV\MCEStandby.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: AVM IGD CTRL Service (IGDCTRL) - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XII.SP1\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XII.SP1\RpcSandraSrv.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Unknown owner - F:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe (file missing)
O23 - Service: Acronis Try And Decide Service (TryAndDecideService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 2690 bytes

Log ist sauber, bist entlassen.

TuneUp und Sandra können noch runter, ist aber dir überlassen.

ciao, andreas