Trojaner-Board - cid problem

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - cid problem (https://www.trojaner-board.de/52779-cid-problem.html)

Steffe-88

21.05.2008 17:47

cid problem

Hallo liebe Experten!

Mich nerven die popup fenster von cid !

Hier ist mein hijackthis log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:05:34, on 21.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Spyware Doctor\pctsTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Save\Save.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Spyware Doctor\pctsAuxs.exe
C:\Programme\Spyware Doctor\pctsSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\Programme\Spyware Doctor\pctsGui.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
R3 - URLSearchHook: (no name) - {0579B4B6-0293-4d73-B02D-5EBB0BA0F0A2} - C:\Programme\AskSBar\SrchAstt\1.bin\A2SRCHAS.DLL
O2 - BHO: Ask Search Assistant BHO - {0579B4B1-0293-4d73-B02D-5EBB0BA0F0A2} - C:\Programme\AskSBar\SrchAstt\1.bin\A2SRCHAS.DLL
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: ShoppingReport - {100EB1FD-D03E-47FD-81F3-EE91287F9465} - C:\Programme\ShoppingReport\Bin\2.0.26\ShoppingReport.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar4.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\de\msntb.dll
O2 - BHO: Ask Toolbar BHO - {F0D4B231-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Programme\AskSBar\bar\2.bin\ASKSBAR.DLL
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\de\msntb.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar4.dll
O3 - Toolbar: Ask Toolbar - {F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Programme\AskSBar\bar\2.bin\ASKSBAR.DLL
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [BearShare] "C:\Programme\BearShare\BearShare.exe" /pause
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [Hope bib army bolt] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Aim download bolt bags\Third Anti Five.exe
O4 - HKLM\..\Run: [Online chin internet bolt] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Bags Plus Online Chin\BOWS JUMP.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ISTray] "C:\Programme\Spyware Doctor\pctsTray.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WhenUSave] "C:\Programme\Save\Save.exe"
O4 - HKCU\..\Run: [Body delete] C:\DOKUME~1\STEFFE~1\ANWEND~1\JUGSHE~1\Fivelongtitle.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Veoh] "C:\Programme\Veoh Networks\Veoh\VeohClient.exe" /VeohHide
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Erinnerungen für Microsoft Works-Kalender.lnk = ?
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programme\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe
O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: ShopperReports - Compare product prices - {C5428486-50A0-4a02-9D20-520B59A9F9B2} - C:\Programme\ShoppingReport\Bin\2.0.26\ShoppingReport.dll
O9 - Extra button: ShopperReports - Compare travel rates - {C5428486-50A0-4a02-9D20-520B59A9F9B3} - C:\Programme\ShoppingReport\Bin\2.0.26\ShoppingReport.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {A1F2F2CE-06AF-483C-9F12-D3BAA72477D6} (BatchDownloader Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/PhotoSwap/DigWXMSN.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game08.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O16 - DPF: {F919FBD3-A96B-4679-AF26-F551439BB5FD} - http://de.errorsafe.com/pages/scanner_de/ErrorSafeScannerInstallDE.cab
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe
O24 - Desktop Component 0: (no name) - http://www.paulaner-journal.de/mannheim/images/DSC07976.jpg
O24 - Desktop Component 1: (no name) - http://www.paulaner-journal.de/mannheim/images/DSC07975.jpg

--
End of file - 12339 bytes

Würde mich freuen wenn mir jemand weiterhelfen könnte bzw. mir sagen könnte was ich als nächstes zu tun habe.

Mit feundlichen Grüßen

Steffen

nochdigger

21.05.2008 19:15

Hallo
:hallo:

du hast ja gut zugelangt;)

deinstalliere bitte über

Zitat:

Start -> Einstellungen -> Systemsteuerung -> Software

diese Programme

Zitat:

AskSBar
ShoppingReport
WhenUSave
MessengerPlus3
BearShare
CID Helper oder CID Sponsorenprogramm o.ä.

erstelle anschließend ein frisches Hijackthis Log, benenne vorher aber die Hijackthis.exe um in z.B. ABC.exe.

MFG

Steffe-88

22.05.2008 20:38

danke schonmal ich melde mich in den nächsten tagen nochmal.. hab grad leider keine zeit.

Gruß steffen

nochdigger

22.05.2008 20:44

Moin

Zitat:

danke schonmal ich melde mich in den nächsten tagen nochmal.. hab grad leider keine zeit.

OK, ich bin hier;)

MFG

Steffe-88

05.06.2008 08:14

Hi !

Beim Versuch die Bearshare.exe ( 3,149 GB ) zu löschen kommt immer eine Meldung.

"Could not open INSTALL.LOG file"

Wie kann ich dieses Programm am besten löschen?

MfG Steffen

BataAlexander

05.06.2008 08:44

Zitat:

( 3,149 GB )

meinst Du nicht MB?

ComboFix

Download ComboFix von hier oder hier auf Deinen Desktop.
Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen!)
Doppelklicke die combofix.exe.
Wenn Combofix fertig ist, legt es ein Logfile an. Poste dieses Logfile und ein neues HJT Logfile als nächste Antwort

Wichtige Hinweise:

Combofix darf ausschließlich ausgeführt werden wenn ein erfahrener Helfer dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden. Eine falsche Benutzung kann ernsthalfte Computerprobleme nach sich ziehen.
Während Combofix läuft klicke nichts an, und benutze den Rechner nicht.
Alle Guards der Antivirenprogramme sollten wie beschrieben deaktiviert sein.
Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.
Combofix leert die Liste der für das Internet autorisierten Anwendungen. Die meisten Fragen im Folgenden nach einer Erneuten Aufnahme, einige nicht. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.
Combofix ändert den Standardbrowser auf den Internet Explorer. Diese Änderung nach der Anwendung ggf. manuel wieder ändern.
Der Desktop wird während Combofix blau werden, die Icons verschinden. Dies Verhalten ist gewollt und bedeutet keine Gefahr.

Ergänzend lies Dir diese Anleitung durch, drucke sie ggf. aus.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Steffe-88

05.06.2008 14:00

Hier ist der Combo-Fix log:

namen edit...

Steffe-88

05.06.2008 14:01

und hier der HijackThis log:

Logfile of Trend Micro HijackThis v2.0.2

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA http://www.smilies.4-user.de/include...lie_be_027.gif
[/edit]

nochdigger

05.06.2008 17:49

Hallo

arbeite bitte die Anleitung zum Swizzor entfernen ab.
http://www.trojaner-board.de/28388-a...n-swizzor.html
die relevanten Einträge sind

Zitat:

O4 - HKLM\..\Run: [Hope bib army bolt] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Aim download bolt bags\Third Anti Five.exe
O4 - HKCU\..\Run: [Body delete] C:\DOKUME~1\STEFFE~1\ANWEND~1\JUGSHE~1\Fivelongtit le.exe

Lass dann bitte Malwarebytes dein System bereinigen, poste bitte das Log.

Erstelle im Anschluss bitte ein Log vom Runscanner sowie ein frisches Hijackthis Log.

MFG

Steffe-88

06.06.2008 11:30

Hallo,

Also hier wäre das malware- log:

alwarebytes' Anti-Malware 1.15
Datenbank Version: 833

12:09:19 06.06.2008
mbam-log-6-6-2008 (12-08-54).txt

Scan Art: Komplett Scan (C:\|)
Objekte gescannt: 132724
Scan Dauer: 1 hour(s), 9 minute(s), 21 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 2
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{f919fbd3-a96b-4679-af26-f551439bb5fd} (Trojan.FakeAlert) -> No action taken.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow\host-domain-lookup.com (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow\www.host-domain-lookup.com (Malware.Trace) -> No action taken.

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\System Volume Information\_restore{86AA91E7-6FF7-4FF5-B245-3AB35384C0B2}\RP307\A0113841.dll (Adware.WhenUSave) -> No action taken.
C:\System Volume Information\_restore{86AA91E7-6FF7-4FF5-B245-3AB35384C0B2}\RP307\A0113842.exe (Adware.WhenUSave) -> No action taken.

Steffe-88

06.06.2008 11:32

entschuldigung habe den direkten link übersehen hier nochmal der korrekt gepostete malware- log :

alwarebytes' Anti-Malware 1.15
Datenbank Version: 833

12:09:19 06.06.2008
mbam-log-6-6-2008 (12-08-54).txt

Scan Art: Komplett Scan (C:\|)
Objekte gescannt: 132724
Scan Dauer: 1 hour(s), 9 minute(s), 21 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 2
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{f919fbd3-a96b-4679-af26-f551439bb5fd} (Trojan.FakeAlert) -> No action taken.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow\host-domain-lookup.com (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow\w*w.host-domain-lookup.com (Malware.Trace) -> No action taken.

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\System Volume Information\_restore{86AA91E7-6FF7-4FF5-B245-3AB35384C0B2}\RP307\A0113841.dll (Adware.WhenUSave) -> No action taken.
C:\System Volume Information\_restore{86AA91E7-6FF7-4FF5-B245-3AB35384C0B2}\RP307\A0113842.exe (Adware.WhenUSave) -> No action taken.

Steffe-88

06.06.2008 11:34

hier der runscanner-log:

Runscanner logfile RunScanner freeware startup, hijack and malware analyzer

* = signed file
- = file not found

000 General info
----------------
Computer name : STEFFEN
Creation time : 06.06.2008 12:17:53
Hosts <> 127.0.0.1 : 0
Hosts file location : %SystemRoot%\System32\drivers\etc
IE version : 7.0.5730.11
OS : Microsoft Windows XP
OS Build : 2600
OS SP : Service Pack 2
RunScanner Version : 1.6.3.0
User Language : Deutsch (Deutschland)
User rights : Administrator
Windows folder : C:\WINDOWS

001 Running processes
---------------------
c:\programme\adobe\photoshop album starter edition\3.0\apps\apdproxy.exe (Adobe Systems Incorporated)
c:\programme\antivir personaledition classic\avguard.exe (Avira GmbH)
c:\programme\antivir personaledition classic\sched.exe (Avira GmbH)
c:\programme\antivir personaledition classic\avgnt.exe (Avira GmbH)
* c:\windows\system32\services.exe (Microsoft Corporation)
* c:\windows\system32\alg.exe (Microsoft Corporation)
* c:\windows\system32\csrss.exe (Microsoft Corporation)
* c:\windows\system32\ctfmon.exe (Microsoft Corporation)
* c:\windows\system32\rundll32.exe (Microsoft Corporation)
* c:\windows\system32\svchost.exe (Microsoft Corporation)
* c:\windows\system32\svchost.exe (Microsoft Corporation)
* c:\windows\system32\svchost.exe (Microsoft Corporation)
* c:\windows\system32\svchost.exe (Microsoft Corporation)
* c:\windows\system32\svchost.exe (Microsoft Corporation)
* c:\windows\system32\svchost.exe (Microsoft Corporation)
* c:\programme\google\googletoolbarnotifier\googletoolbarnotifier.exe (Google Inc.)
* c:\programme\internet explorer\iexplore.exe (Microsoft Corporation)
* c:\programme\internet explorer\iexplore.exe (Microsoft Corporation)
* c:\programme\internet explorer\iexplore.exe (Microsoft Corporation)
* c:\programme\java\jre1.6.0_05\bin\jusched.exe (Sun Microsystems, Inc.)
* c:\windows\system32\lsass.exe (Microsoft Corporation)
c:\programme\gemeinsame dateien\microsoft shared\works shared\wkcalrem.exe (Microsoft® Corporation)
c:\programme\quicktime\qttask.exe (Apple Computer, Inc.)
* c:\programme\gemeinsame dateien\real\update_ob\realsched.exe (RealNetworks, Inc.)
* c:\dokume~1\steffe~1\lokale~1\temp\temporäres verzeichnis 1 für runscanner.zip\runscanner.exe (Runscanner.net)
* c:\windows\system32\spoolsv.exe (Microsoft Corporation)
c:\programme\veoh networks\veoh\veohclient.exe (Veoh Networks)
* c:\windows\explorer.exe (Microsoft Corporation)
* c:\programme\windows live\messenger\msnmsgr.exe (Microsoft Corporation)
* c:\programme\messenger\msmsgs.exe (Microsoft Corporation)
* c:\windows\system32\winlogon.exe (Microsoft Corporation)
* c:\windows\system32\smss.exe (Microsoft Corporation)
* c:\windows\system32\taskmgr.exe (Microsoft Corporation)
* c:\windows\system32\wuauclt.exe (Microsoft Corporation)
* c:\programme\gemeinsame dateien\microsoft shared\windows live\wlloginproxy.exe (Microsoft Corporation)

002 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run (+subkeys)
-----------------------------------------------------------------
c:\programme\adobe\photoshop album starter edition\3.0\apps\apdproxy.exe (Adobe Systems Incorporated)
c:\programme\antivir personaledition classic\avgnt.exe (Avira GmbH)
- c:\programme\bearshare\bearshare.exe
c:\windows\system32\nerocheck.exe (Ahead Software Gmbh)
c:\dokumente und einstellungen\all users\anwendungsdaten\bags plus online chin\bows jump.exe
c:\programme\quicktime\qttask.exe (Apple Computer, Inc.)
* c:\programme\gemeinsame dateien\real\update_ob\realsched.exe (RealNetworks, Inc.)

003 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run (+subkeys)
-----------------------------------------------------------------
c:\programme\veoh networks\veoh\veohclient.exe (Veoh Networks)

005 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
--------------------------------------------------------------------------
c:\progra~1\gemein~1\micros~1\workss~1\wkcalrem.exe (Microsoft® Corporation)
- c:\programme\adobe\acrobat 7.0\reader\reader_sl.exe

010 HKLM\SYSTEM\CurrentControlSet\Services (Services)
-----------------------------------------------------
c:\programme\antivir personaledition classic\avguard.exe (AntiVir PersonalEdition Classic Guard)
c:\programme\antivir personaledition classic\sched.exe (AntiVir PersonalEdition Classic Planer)
c:\programme\gemeinsame dateien\installshield\driver\11\intel 32\idrivert.exe (InstallDriver Table Manager)

011 HKLM\SYSTEM\CurrentControlSet\Services (drivers)
----------------------------------------------------
c:\windows\system32\drivers\asapi.sys (Asapi)
* c:\programme\antivir personaledition classic\avgio.sys (avgio)
* c:\programme\antivir personaledition classic\avgntflt.sys (avgntflt)
* C:\WINDOWS\system32\drivers\avipbb.sys (avipbb)
- c:\windows\system32\drivers\changer.sys (Changer)
- c:\windows\system32\drivers\i2omgmt.sys (i2omgmt)
- c:\windows\system32\drivers\lbrtfdc.sys (lbrtfdc)
- c:\windows\system32\drivers\pcidump.sys (PCIDump)
- c:\windows\system32\drivers\pdcomp.sys (PDCOMP)
- c:\windows\system32\drivers\pdframe.sys (PDFRAME)
- c:\windows\system32\drivers\pdreli.sys (PDRELI)
- c:\windows\system32\drivers\pdrframe.sys (PDRFRAME)
* C:\WINDOWS\system32\drivers\pstrip.sys (PStrip)
C:\WINDOWS\system32\drivers\ssmdrv.sys (ssmdrv)
C:\WINDOWS\system32\drivers\tcpip.sys (TCP/IP-Protokolltreiber)
- c:\windows\system32\drivers\wdica.sys (WDICA)

031 HKLM\SOFTWARE\Classes\PROTOCOLS\Handler
-------------------------------------------
c:\progra~1\gemein~1\system\oledb~1\msdaipp.dll (Microsoft Corporation) {E1D2BF42-A96B-11d1-9C6B-0000F875AC61}
c:\progra~1\gemein~1\system\oledb~1\msdaipp.dll (Microsoft Corporation) {E1D2BF42-A96B-11d1-9C6B-0000F875AC61}
c:\progra~1\gemein~1\system\oledb~1\msdaipp.dll (Microsoft Corporation) {E1D2BF40-A96B-11d1-9C6B-0000F875AC61}

036 HKCU\Software\Microsoft\Internet Explorer\Desktop\Components
----------------------------------------------------------------
- http:
- http:

040 HKCU\Software\Microsoft\Internet Explorer\UrlSearchHooks
------------------------------------------------------------
c:\programme\icqtoolbar\toolbaru.dll (ICQ Inc.) {855F3B16-6D32-4fe6-8A56-BBB695989046}

041 HKLM-HKCU\Software\Microsoft\Internet Explorer\Toolbar
----------------------------------------------------------
c:\programme\msn apps\msn toolbar\msn toolbar\01.02.5000.1021\de\msntb.dll (Microsoft Corporation) {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0}
c:\programme\icqtoolbar\toolbaru.dll (ICQ Inc.) {855F3B16-6D32-4fe6-8A56-BBB695989046}
c:\programme\veoh networks\veoh\plugins\reg\veohtoolbar.dll (Veoh Networks Inc) {D0943516-5076-4020-A3B5-AEFAF26AB263}

042 HKLM\Software\Microsoft\Internet Explorer\Extensions
--------------------------------------------------------
- c:\programme\icqlite\icqlite.exe {B863453A-26C3-4e1f-A54D-A2CD196348E9}
* c:\programme\icq6\icq.exe (ICQ, Inc.) {E59EB121-F339-4851-A3BA-FE49C35617C2}
c:\programme\partygaming\partypoker\runapp.exe {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1}
* c:\programme\pokerstars\pokerstarsupdate.exe (PokerStars) {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF}
c:\poker\titan poker\casino.exe {49783ED4-258D-4f9f-BE11-137C18D3E543}

045 HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser
----------------------------------------------------------------
c:\programme\msn apps\msn toolbar\msn toolbar\01.02.5000.1021\de\msntb.dll (Microsoft Corporation) {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0}
c:\programme\icqtoolbar\toolbaru.dll (ICQ Inc.) {855F3B16-6D32-4FE6-8A56-BBB695989046}

052 HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
----------------------------------------------------------------------------------
GUID / CLSID not found {AA58ED58-01DD-4d91-8333-CF10577473F7}
c:\programme\msn apps\msn toolbar\msn toolbar\01.02.5000.1021\de\msntb.dll (Microsoft Corporation) {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0}
* c:\program files\real\realplayer\rpbrowserrecordplugin.dll (RealPlayer) {3049C3E9-B461-4BC5-8870-4C09146192CA}
c:\programme\msn apps\st\01.03.0000.1005\en-xu\stmain.dll (Microsoft Corporation) {9394EDE7-C8B5-483E-8773-474BF36AF6E4}

061 HKLM-HCKU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
---------------------------------------------------------------------------------
- deskpan.dll {42071714-76d4-11d1-8b24-00a0c9068ff3}
c:\programme\icqlite\icqliteshell.dll {73B24247-042E-4EF5-ADC2-42F62E6FD654}
c:\programme\antivir personaledition classic\shlext.dll (Avira GmbH) {45AC2688-0253-4ED8-97DE-B5370FA7D48A}
* c:\program files\real\realplayer\rpshell.dll (RealNetworks, Inc.) {F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}

062 HKLM-HKCU\Software\Classes\Folder\Shellex\ColumnHandlers
------------------------------------------------------------
c:\programme\gemeinsame dateien\adobe\acrobat\activex\pdfshell.dll (Adobe Systems, Inc.) {F9DB5320-233E-11D1-9F84-707F02C10627}

067 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
---------------------------------------------------------------------
-

104 HKLM\Software\Microsoft\Code Store Database\Distribution Units
------------------------------------------------------------------
* c:\windows\downloaded program files\minesweeper.dll (Microsoft Corporation) {2917297F-F02B-4B9D-81DF-494B6333150B}
c:\windows\downloaded program files\game_uno1.dll (Microsoft) {5D6F45B3-9043-443D-A792-115447494D24}
* c:\windows\downloaded program files\messengerstatsclient.dll (Microsoft Corporation) {8E0D4DE5-3180-4024-A327-4DFAD1796A8D}
c:\windows\downloaded program files\digwxmsn.dll (Microsoft Corporation) {A1F2F2CE-06AF-483C-9F12-D3BAA72477D6}
c:\windows\downloaded program files\zylomgamesplayer.dll (Zylom Games) {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B}
* c:\windows\downloaded program files\solitaireshowdown.dll (Microsoft Corporation) {F6BF0D00-0B2A-4A75-BF7B-F385591623AF}

105 HKCU\Software\Microsoft\Internet Explorer\MenuExt
-----------------------------------------------------
&ICQ Toolbar Search : res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML

173 HKCR\*\shellex\ContextMenuHandlers
--------------------------------------
GUID / CLSID not found
c:\programme\icqlite\icqliteshell.dll {73B24247-042E-4EF5-ADC2-42F62E6FD654}
c:\programme\antivir personaledition classic\shlext.dll (Avira GmbH) {45AC2688-0253-4ED8-97DE-B5370FA7D48A}

221 HKLM\Software\Classes\*\ShellEx\ContextMenuHandlers
-------------------------------------------------------
GUID / CLSID not found
c:\programme\icqlite\icqliteshell.dll {73B24247-042E-4EF5-ADC2-42F62E6FD654}
c:\programme\antivir personaledition classic\shlext.dll (Avira GmbH) {45AC2688-0253-4ED8-97DE-B5370FA7D48A}

223 HKLM\Software\Classes\AllFileSystemObjects\ShellEx\ContextMenuHandlers
--------------------------------------------------------------------------
* c:\programme\malwarebytes' anti-malware\mbamext.dll (Malwarebytes) {57CE581A-0CB6-4266-9CA0-19364C90A0B3}

225 HKCU\Software\Classes\Folder\ShellEx\ContextMenuHandlers
------------------------------------------------------------
* c:\programme\malwarebytes' anti-malware\mbamext.dll (Malwarebytes) {57CE581A-0CB6-4266-9CA0-19364C90A0B3}
* c:\programme\malwarebytes' anti-malware\mbamext.dll (Malwarebytes) {57CE581A-0CB6-4266-9CA0-19364C90A0B3}
c:\programme\antivir personaledition classic\shlext.dll (Avira GmbH) {45AC2688-0253-4ED8-97DE-B5370FA7D48A}
c:\programme\antivir personaledition classic\shlext.dll (Avira GmbH) {45AC2688-0253-4ED8-97DE-B5370FA7D48A}

227 HKLM\Software\Classes\Directory\ShellEx\ContextMenuHandlers
---------------------------------------------------------------
GUID / CLSID not found
c:\programme\icqlite\icqliteshell.dll {73B24247-042E-4EF5-ADC2-42F62E6FD654}

231 HKLM\Software\Classes\Folder\Shellex\ColumnHandlers
-------------------------------------------------------
c:\programme\gemeinsame dateien\adobe\acrobat\activex\pdfshell.dll (Adobe Systems, Inc.) PDF Column Info

Steffe-88

06.06.2008 11:36

und hier der Hijack-this log:

Logfile of Trend Micro HijackThis v2.0.2

[edit]
Bitte editiere zukünftig deine Links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

Danke.
Sunny
[/edit]

Steffe-88

06.06.2008 11:44

Logfile of Trend Micro HijackThis v2.0.2

[edit]
Bitte editiere zukünftig deine Links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

Danke. :)
Sunny
[/edit]
End of file - 9824 bytes

So hier nochmal korrekt gepostet.
Entschuldigung habe wieder paar direkte links übersehen.

Ich hab noch eine weitere Frage:

Habe kurzzeitig mozilla firefox vom pc entfernt.
Wenn ich es jetzt wieder auf chip.de runterladen möchte kommt immer eine Meldung
und zwar dass der adobe-reader 8.0 oder 8.1 nicht geöffnet werden kann und dann geht auf dieser seite nichts mehr und ich muss sie schließen, kurzum ich kann firefox nicht herunterladen.
Habt ihr mir hierfür evtl. auch noch einen Vorschlag oder eine Erklärung?

MfG Steffen

Steffe-88

06.06.2008 11:46

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://h**p://messenger.zone.msn.com...t.cab31267.cab

Steffe-88

09.06.2008 09:56

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:21:43, on 06.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\Programme\Veoh Networks\Veoh\VeohClient.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Programme\internet explorer\iexplore.exe
C:\Programme\internet explorer\iexplore.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\de\msntb.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\de\msntb.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [BearShare] "C:\Programme\BearShare\BearShare.exe" /pause
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [Online chin internet bolt] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Bags Plus Online Chin\BOWS JUMP.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Veoh] "C:\Programme\Veoh Networks\Veoh\VeohClient.exe" /VeohHide
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Erinnerungen für Microsoft Works-Kalender.lnk = ?
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programme\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe
O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - h**p://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - h**p://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - h**p://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {A1F2F2CE-06AF-483C-9F12-D3BAA72477D6} (BatchDownloader Class) - h**p://appdirectory.messenger.msn.com/AppDirectory/P4Apps/PhotoSwap/DigWXMSN.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - h**p://game08.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - h**p://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - h**p://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O24 - Desktop Component 0: (no name) - h**p://w*w.paulaner-journal.de/mannheim/images/DSC07976.jpg
O24 - Desktop Component 1: (no name) - h**p://w*w.paulaner-journal.de/mannheim/images/DSC07975.jpg

--
End of file - 9824 bytes

Steffe-88

09.06.2008 10:00

Ich weiß zwar nicht was ich falsch gemacht habe, aber bis jetzt sieht es leider so aus, dass ich dank eurer tips kein msn messenger und kein mozilla firefox mehr öffnen kann.
Bin kurz vorm Formatieren..
Desweiteren kann ich die seite chip.de nicht mehr besuchen, weil dann eine adobe reader fehlermeldung kommt.
Davor ging alles einwandfrei nur dass hin und wieder mal eine cid werbung kam.

Leider meldet ihr euch in letzter Zeit nicht mehr.

Was kann ich tun?

MfG steffen

BataAlexander

09.06.2008 10:06

Hallo steffen,

welchen Messenger nimmst Du und welche Meldung kommt, wenn Du Firefox starten willst?

Hast Du Combofix wie von mir geschrieben damals ausgeführt?

Steffe-88

09.06.2008 11:11

ja denke ich habe es so gemacht wie du beschrieben hast.. evtl. hab ich ungewollt fehler dabei gemacht aber das kann ich nicht beurteilen?!
windows live messenger hab ich erst gelöscht und neu runtergeladen seit dem geht er nicht mehr und bei firefox dasselbe.
Da kommt keine meldung aber wenn man doppelklick macht öffnet sich keine seite.
Vielleicht hängt es auch damit zusammen, dass ich die datei im temp ordner gelöscht hab? ich weiß nicht was los ist jedenfalls gehen meine 2 wichtigsten programme nicht mehr?!

bin grad schon dabei die wichtigsten dateien auf eine externe festplatte zu speichern und evtl. den pc zu formatieren..

gruß steff

BataAlexander

09.06.2008 11:16

Mit dem Formatieren warten wir aber noch...

Poste mal dies und editiere alle Links aus den Logs!

Deckards System Scanner (DSS)

Hier gibt es das Tool -> dss.exe

* Schließe alle Anwendungen
* Doppelklicke dss.exe um das Programm zu starten
* Wenn der Scan abgeschlossen ist wird sich ein Notepad mit dem Inhalt
der main.txt öffnen.
Ein weiteres Logfile, die extra.txt liegt im Verzeichnis
c:\Deckard\SystemScanner\extra.txt
* Kopiere den Inhalt der beiden Logfiles in diesen Thread, bitte als [CODE][/CODE]

Was Deckards System Scanner macht:

* Es Erstellt einen System Wiederherstellungspunkt
* es säubert die temporären Dateien, Downloaded Program Files, Internet
Cache Dateien und es leert den Mülleimer auf allen Laufwerken.

Steffe-88

09.06.2008 11:27

[/code]

Deckard's System Scanner v20071014.68
Run by steffen söllner on 2008-06-09 12:21:10
Computer is in Normal Mode.
--------------------------------------------------------------------------------

-- System Restore --------------------------------------------------------------

Successfully created a Deckard's System Scanner Restore Point.

-- Last 5 Restore Point(s) --
50: 2008-06-09 10:21:19 UTC - RP319 - Deckard's System Scanner Restore Point
49: 2008-06-07 12:56:54 UTC - RP318 - Wiederherstellungsvorgang
48: 2008-06-07 12:52:33 UTC - RP317 - Wiederherstellungsvorgang
47: 2008-06-07 12:48:17 UTC - RP316 - Wiederherstellungsvorgang
46: 2008-06-07 12:41:57 UTC - RP315 - Wiederherstellungsvorgang

-- First Restore Point --
1: 2008-03-12 17:25:01 UTC - RP270 - Software Distribution Service 3.0

Backed up registry hives.
Performed disk cleanup.

-- HijackThis (run as steffen söllner.exe) -------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:22:04, on 09.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\wichtige dateien für den moment\dss\dss.exe
C:\PROGRA~1\TRENDM~1\HIJACK~1\steffen söllner.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\de\msntb.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\de\msntb.dll
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\pchealth\helpctr\Binaries\MSCONFIG.EXE /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programme\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe
O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - h**p://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - h**p://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - h**p://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {A1F2F2CE-06AF-483C-9F12-D3BAA72477D6} (BatchDownloader Class) - h**p://appdirectory.messenger.msn.com/AppDirectory/P4Apps/PhotoSwap/DigWXMSN.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - h**p://game08.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - h**p://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - h**p://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O24 - Desktop Component 0: (no name) - h**p://w*w.paulaner-journal.de/mannheim/images/DSC07976.jpg
O24 - Desktop Component 1: (no name) - h**p://w*w.paulaner-journal.de/mannheim/images/DSC07975.jpg

--
End of file - 7862 bytes

rest folgt sofort..

Steffe-88

09.06.2008 11:32

-- HijackThis Fixed Entries (C:\PROGRA~1\TRENDM~1\HIJACK~1\backups\) -----------

backup-20080606-101147-795 O4 - HKCU\..\Run: [Body delete] C:\DOKUME~1\STEFFE~1\ANWEND~1\JUGSHE~1\Fivelongtitle.exe
backup-20080606-101147-940 O4 - HKLM\..\Run: [Hope bib army bolt] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Aim download bolt bags\Third Anti Five.exe

-- File Associations -----------------------------------------------------------

.reg - regfile - shell\open\command - regedit.exe "%1" %*
.scr - scrfile - shell\open\command - "%1" %*

-- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled ---------------------

R0 tffsport (M-Systems DiskOnChip-2000) - c:\windows\system32\drivers\tffsport.sys <Not Verified; M-Systems; TrueFFS (R) Port Driver>
R1 Asapi - c:\windows\system32\drivers\asapi.sys <Not Verified; VOB Computersysteme GmbH; asapi>
R1 avgio - c:\programme\antivir personaledition classic\avgio.sys <Not Verified; Avira GmbH; AntiVir>
R1 avipbb - c:\windows\system32\drivers\avipbb.sys <Not Verified; Avira GmbH; >
R1 PStrip - c:\windows\system32\drivers\pstrip.sys
R1 ssmdrv - c:\windows\system32\drivers\ssmdrv.sys <Not Verified; AVIRA GmbH; >
R2 NwlnkIpx (NWLink IPX/SPX/NetBIOS-kompatibles Transportprotokoll) - c:\windows\system32\drivers\nwlnkipx.sys <Not Verified; Microsoft Corporation; Microsoft® Windows® Operating System>
R2 NwlnkNb (NWLink-NetBIOS) - c:\windows\system32\drivers\nwlnknb.sys <Not Verified; Microsoft Corporation; Microsoft® Windows® Operating System>
R2 NwlnkSpx (NWLink SPX/SPXII-Protokoll) - c:\windows\system32\drivers\nwlnkspx.sys <Not Verified; Microsoft Corporation; Microsoft® Windows® Operating System>
R3 avgntflt - c:\programme\antivir personaledition classic\avgntflt.sys <Not Verified; Avira GmbH; AntiVir Workstation>
R3 cmuda (C-Media WDM Audio Interface) - c:\windows\system32\drivers\cmuda.sys <Not Verified; C-Media Inc; C-Media Audio Driver (WDM)>

S3 StillCam (Treiber für serielle Digitalkamera) - c:\windows\system32\drivers\serscan.sys <Not Verified; Microsoft Corporation; Betriebssystem Microsoft® Windows®>

-- Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled --------------------

R2 AntiVirScheduler (AntiVir PersonalEdition Classic Planer) - c:\programme\antivir personaledition classic\sched.exe <Not Verified; Avira GmbH; AntiVir Workstation>

-- Device Manager: Disabled ----------------------------------------------------

Class GUID: {4D36E968-E325-11CE-BFC1-08002BE10318}
Description: RADEON 9550 Secondary
Device ID: PCI\VEN_1002&DEV_4153&SUBSYS_2084148C&REV_00\4&1FEB96E4&0&0008
Manufacturer: ATI Technologies Inc.
Name: RADEON 9550 Secondary
PNP Device ID: PCI\VEN_1002&DEV_4153&SUBSYS_2084148C&REV_00\4&1FEB96E4&0&0008
Service: ati2mtag

Class GUID:
Description: Videocontroller
Device ID: PCI\VEN_1002&DEV_4173&SUBSYS_2085148C&REV_00\4&1FEB96E4&0&0108
Manufacturer:
Name: Videocontroller
PNP Device ID: PCI\VEN_1002&DEV_4173&SUBSYS_2085148C&REV_00\4&1FEB96E4&0&0108
Service:

Class GUID: {4D36E970-E325-11CE-BFC1-08002BE10318}
Description: M-Systems DiskOnChip-2000
Device ID: ROOT\MTD\0000
Manufacturer: M-Systems Flash Disk Pioneers
Name: M-Systems DiskOnChip-2000
PNP Device ID: ROOT\MTD\0000
Service: tffsport

-- Files created between 2008-05-09 and 2008-06-09 -----------------------------

2008-06-07 13:01:56 0 d-------- C:\WINDOWS\pss
2008-06-06 10:58:03 34296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-06-06 10:58:03 15864 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-06-06 10:58:03 0 d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-06-06 09:37:14 0 d-------- C:\wichtige dateien für den moment
2008-06-06 08:49:18 0 d-------- C:\!KillBox
2008-06-05 14:37:34 68096 --a------ C:\WINDOWS\zip.exe
2008-06-05 14:37:34 49152 --a------ C:\WINDOWS\VFind.exe
2008-06-05 14:37:34 212480 --a------ C:\WINDOWS\swxcacls.exe <Not Verified; SteelWerX; SteelWerX Extended Configurator ACLists>
2008-06-05 14:37:34 136704 --a------ C:\WINDOWS\swsc.exe <Not Verified; SteelWerX; SteelWerX Service Controller>
2008-06-05 14:37:34 161792 --a------ C:\WINDOWS\swreg.exe <Not Verified; SteelWerX; SteelWerX Registry Editor>
2008-06-05 14:37:34 98816 --a------ C:\WINDOWS\sed.exe
2008-06-05 14:37:34 80412 --a------ C:\WINDOWS\grep.exe
2008-06-05 14:37:34 89504 --a------ C:\WINDOWS\fdsv.exe <Not Verified; Smallfrogs Studio; >
2008-05-26 21:51:37 0 d-------- C:\Youtube-Downloads
2008-05-26 21:47:55 0 d-------- C:\DVDVideoSoft
2008-05-26 21:46:46 0 d-------- C:\Programme\Free YouTube to Mp3 Converter
2008-05-21 18:05:24 0 d-------- C:\Programme\Trend Micro

-- Find3M Report ---------------------------------------------------------------

2008-06-07 14:55:12 0 d-------- C:\Programme\Yahoo!
2008-06-07 14:53:54 0 d-------- C:\Programme\PartyGaming
2008-06-07 13:09:45 0 d-------- C:\Programme\Gemeinsame Dateien
2008-06-06 20:36:00 0 d-------- C:\Programme\Windows Live
2008-06-06 10:58:06 0 d-------- C:\Dokumente und Einstellungen\*User\Anwendungsdaten\Malwarebytes
2008-06-02 11:14:02 0 d-------- C:\Programme\MSECACHE
2008-05-26 23:32:00 0 d-------- C:\Programme\BearShare
2008-05-26 23:30:55 0 d--h----- C:\Programme\InstallShield Installation Information
2008-05-26 23:30:55 0 d-------- C:\Programme\ATI Technologies
2008-05-21 17:45:32 421618 --a------ C:\WINDOWS\system32\perfh007.dat
2008-05-21 17:45:32 76906 --a------ C:\WINDOWS\system32\perfc007.dat
2008-05-20 14:33:34 0 d-------- C:\Dokumente und Einstellungen\*User\Anwendungsdaten\MiniLyrics
2008-05-09 15:23:21 0 d-------- C:\Programme\Der Schreibtrainer
2008-05-07 02:06:50 0 d-------- C:\Dokumente und Einstellungen\*User\Anwendungsdaten\Adobe
2008-05-07 02:06:16 0 d-------- C:\Programme\Gemeinsame Dateien\Adobe
2008-05-07 01:59:59 0 d-------- C:\Programme\Windows Installer Clean Up
2008-05-07 00:46:18 0 d-------- C:\Dokumente und Einstellungen\*User\Anwendungsdaten\teamspeak2
2008-05-06 11:02:02 0 d-------- C:\Programme\PokerStars
2008-04-18 17:10:27 0 d-------- C:\Programme\Tipp10
2008-04-18 16:23:36 0 d-------- C:\Programme\ICQ6
2008-04-18 12:52:40 0 d-------- C:\Programme\Gemeinsame Dateien\xing shared
2008-04-18 12:52:33 0 d-------- C:\Programme\Gemeinsame Dateien\Real
2008-04-16 12:20:26 0 d-------- C:\Programme\MSN Messenger
2008-04-16 12:19:28 0 d--hs--c- C:\Programme\Gemeinsame Dateien\WindowsLiveInstaller
2008-04-15 23:39:29 0 d-------- C:\Dokumente und Einstellungen\*User\Anwendungsdaten\ICQ
2008-04-15 23:38:12 0 d-------- C:\Programme\ICQLite
2008-04-15 23:35:04 0 d-------- C:\Dokumente und Einstellungen\*User\Anwendungsdaten\InstallShield
2008-04-14 10:52:02 0 d-------- C:\Programme\Minilyrics
2008-03-25 06:51:12 621344 --a------ C:\WINDOWS\system32\mswstr10.dll <Not Verified; Microsoft Corporation; Microsoft (R) Jet>
2008-03-25 06:51:12 187168 -----n--- C:\WINDOWS\system32\msjint40.dll <Not Verified; Microsoft Corporation; Microsoft® Jet>
2008-03-25 06:50:58 355104 --a------ C:\WINDOWS\system32\msxbde40.dll <Not Verified; Microsoft Corporation; Microsoft (R) Jet>
2008-03-25 06:50:57 838432 --a------ C:\WINDOWS\system32\mswdat10.dll <Not Verified; Microsoft Corporation; Microsoft (R) Jet>
2008-03-25 06:50:55 264992 --a------ C:\WINDOWS\system32\mstext40.dll <Not Verified; Microsoft Corporation; Microsoft (R) Jet>
2008-03-25 06:50:52 559904 -----n--- C:\WINDOWS\system32\msrepl40.dll <Not Verified; Microsoft Corporation; Microsoft® Access>
2008-03-25 06:50:49 322336 -----n--- C:\WINDOWS\system32\msrd3x40.dll <Not Verified; Microsoft Corporation; Microsoft (R) Jet>
2008-03-25 06:50:47 432928 -----n--- C:\WINDOWS\system32\msrd2x40.dll <Not Verified; Microsoft Corporation; Microsoft (R) Jet>
2008-03-25 06:50:45 355104 --a------ C:\WINDOWS\system32\mspbde40.dll <Not Verified; Microsoft Corporation; Microsoft (R) Jet>
2008-03-25 06:50:44 219936 --a------ C:\WINDOWS\system32\msltus40.dll <Not Verified; Microsoft Corporation; Microsoft (R) Jet>
2008-03-25 06:50:42 248608 -----n--- C:\WINDOWS\system32\msjtes40.dll <Not Verified; Microsoft Corporation; Microsoft (R) Jet>
2008-03-25 06:50:42 60192 -----n--- C:\WINDOWS\system32\msjter40.dll <Not Verified; Microsoft Corporation; Microsoft (R) Jet>
2008-03-25 06:50:40 355112 --a------ C:\WINDOWS\system32\msjetoledb40.dll
2008-03-25 06:50:34 1516568 -----n--- C:\WINDOWS\system32\msjet40.dll <Not Verified; Microsoft Corporation; Microsoft (R) Jet>
2008-03-25 06:50:30 326432 --a------ C:\WINDOWS\system32\msexcl40.dll <Not Verified; Microsoft Corporation; Microsoft (R) Jet>
2008-03-25 06:50:28 518944 --a------ C:\WINDOWS\system32\msexch40.dll <Not Verified; Microsoft Corporation; Microsoft (R) Jet>
2008-03-20 10:03:19 1845376 --a------ C:\WINDOWS\system32\win32k.sys <Not Verified; Microsoft Corporation; Betriebssystem Microsoft® Windows®>

-- Registry Dump ---------------------------------------------------------------

*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Cmaudio"="cmicnfg.cpl" []
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [18.04.2008 00:26]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [18.04.2008 12:52]
"MSConfig"="C:\WINDOWS\pchealth\helpctr\Binaries\MSCONFIG.exe" [04.08.2004 14:00]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [04.08.2004 14:00]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"DisableRegistryTools"=0 (0x0)
"HideLegacyLogonScripts"=0 (0x0)
"HideLogoffScripts"=0 (0x0)
"RunLogonScriptSync"=1 (0x1)
"RunStartupScriptSync"=0 (0x0)
"HideStartupScripts"=0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"HideLegacyLogonScripts"=0 (0x0)
"HideLogoffScripts"=0 (0x0)
"RunLogonScriptSync"=1 (0x1)
"RunStartupScriptSync"=0 (0x0)
"HideStartupScripts"=0 (0x0)

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll,

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Erinnerungen für Microsoft Works-Kalender.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Erinnerungen für Microsoft Works-Kalender.lnk
backup=C:\WINDOWS\pss\Erinnerungen für Microsoft Works-Kalender.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]
"C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
"C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BearShare]
"C:\Programme\BearShare\BearShare.exe" /pause

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
"C:\Programme\Messenger\msmsgs.exe" /background

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]
"C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Online chin internet bolt]
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Bags Plus Online Chin\BOWS JUMP.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"C:\Programme\QuickTime\qttask.exe" -atboottime

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
"C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Veoh]
"C:\Programme\Veoh Networks\Veoh\VeohClient.exe" /VeohHide

-- End of Deckard's System Scanner: finished at 2008-06-09 12:22:37 ------------

Gruß steff

Steffe-88

09.06.2008 11:43

Deckard's System Scanner v20071014.68
Extra logfile - please post this as an attachment with your post.
--------------------------------------------------------------------------------

-- System Information ----------------------------------------------------------

Microsoft Windows XP Home Edition (build 2600) SP 2.0
Architecture: X86; Language: German

CPU 0: AMD Sempron(tm) 2600+
Percentage of Memory in Use: 30%
Physical Memory (total/avail): 1023.48 MiB / 709.3 MiB
Pagefile Memory (total/avail): 2462.2 MiB / 2246.22 MiB
Virtual Memory (total/avail): 2047.88 MiB / 1940.07 MiB

C: is Fixed (NTFS) - 152.66 GiB total, 59.8 GiB free.
D: is CDROM (No Media)

\\.\PHYSICALDRIVE0 - Maxtor 6Y160P0 - 152.66 GiB - 1 partition
\PARTITION0 (bootable) - Installierbares Dateisystem - 152.66 GiB - C:

-- Security Center -------------------------------------------------------------

AUOptions is scheduled to auto-install.
Windows Internal Firewall is enabled.

FirstRunDisabled is set.
AntivirusOverride is set.

AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH) Outdated
AV: Avira AntiVir PersonalEdition v8.0.1.18 (Avira GmbH) Disabled

[HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"="C:\\Programme\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

[HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\steffen\\Countern an SVENS PC (Internet)\\steam.exe"="C:\\steffen\\Countern an SVENS PC (Internet)\\steam.exe:*:Enabled:Steam"
"C:\\steffen\\Countern an SVENS PC (Internet)\\SteamApps\\xxx@web.de\\counter-strike\\hl.exe"="C:\\steffen\\Countern an SVENS PC (Internet)\\SteamApps\\xxx@web.de\\counter-strike\\hl.exe:*:Enabled:Half-Life Launcher"
"C:\\mIRC\\mirc.exe"="C:\\mIRC\\mirc.exe:*:Enabled:mIRC"
"C:\\Programme\\Valve\\hl.exe"="C:\\Programme\\Valve\\hl.exe:*:Enabled:Half-Life Launcher"
"C:\\WINDOWS\\system32\\dpvsetup.exe"="C:\\WINDOWS\\system32\\dpvsetup.exe:*:Enabled:Microsoft DirectPlay Voice Test"
"C:\\Programme\\Internet Explorer\\IEXPLORE.EXE"="C:\\Programme\\Internet Explorer\\IEXPLORE.EXE:*:Enabled:Internet Explorer"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Programme\\Mozilla Firefox\\firefox.exe"="C:\\Programme\\Mozilla Firefox\\firefox.exe:*:Disabled:Firefox"
"C:\\Programme\\ICQ6\\ICQ.exe"="C:\\Programme\\ICQ6\\ICQ.exe:*:Enabled:ICQ6"
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"="C:\\Programme\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"C:\\Programme\\Messenger\\msmsgs.exe"="C:\\Programme\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"

-- Environment Variables -------------------------------------------------------

ALLUSERSPROFILE=C:\Dokumente und Einstellungen\All Users
APPDATA=C:\Dokumente und Einstellungen\*User\Anwendungsdaten
CLASSPATH=C:\Programme\Java\jre1.5.0_06\lib\ext\QTJava.zip
CLIENTNAME=Console
CommonProgramFiles=C:\Programme\Gemeinsame Dateien
COMPUTERNAME=*User
ComSpec=C:\WINDOWS\system32\cmd.exe
FP_NO_HOST_CHECK=NO
HOMEDRIVE=C:
HOMEPATH=\Dokumente und Einstellungen\*User
LOGONSERVER=\\*User
NUMBER_OF_PROCESSORS=1
OS=Windows_NT
Path=C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\system32\wbem;C:\Programme\QuickTime\QTSystem
PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
PROCESSOR_ARCHITECTURE=x86
PROCESSOR_IDENTIFIER=x86 Family 6 Model 8 Stepping 1, AuthenticAMD
PROCESSOR_LEVEL=6
PROCESSOR_REVISION=0801
ProgramFiles=C:\Programme
PROMPT=$P$G
QTJAVA=C:\Programme\Java\jre1.5.0_06\lib\ext\QTJava.zip
SESSIONNAME=Console
SystemDrive=C:
SystemRoot=C:\WINDOWS
TEMP=C:\DOKUME~1\STEFFE~1\LOKALE~1\Temp
TMP=C:\DOKUME~1\STEFFE~1\LOKALE~1\Temp
USERDOMAIN=*User
USERNAME=*User
USERPROFILE=C:\Dokumente und Einstellungen\*User
windir=C:\WINDOWS

-- User Profiles ---------------------------------------------------------------

*User (admin)
*User (admin)
Administrator (new local, admin)
Gast (new local, guest)

-- Add/Remove Programs ---------------------------------------------------------

--> C:\Programme\Ahead\nero\uninstall\UNNERO.exe /UNINSTALL
--> C:\Programme\Gemeinsame Dateien\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
--> C:\WINDOWS\UNNeroVision.exe /UNINSTALL
--> rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
1500 Internetlinks für Schüler --> C:\PROGRA~1\1500IN~1\UNWISE.EXE C:\PROGRA~1\1500IN~1\INSTALL.LOG
Adobe Acrobat 5.0 --> C:\WINDOWS\ISUNINST.EXE -f"C:\Programme\Gemeinsame Dateien\Adobe\Acrobat 5.0\NT\Uninst.isu" -c"C:\Programme\Gemeinsame Dateien\Adobe\Acrobat 5.0\NT\Uninst.dll"
Adobe Flash Player Plugin --> C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Reader 8.1.2 - Deutsch --> MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A81200000003}
Adobe Shockwave Player --> C:\WINDOWS\system32\Macromed\SHOCKW~1\UNWISE.EXE C:\WINDOWS\system32\Macromed\SHOCKW~1\Install.log
Adobe® Photoshop® Album Starter Edition 3.0 --> MsiExec.exe /I{4BDFD2CE-6329-42E4-9801-9B3D1F10D79B}
Adobe® Photoshop® Album Starter Edition 3.0.1 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{C9618743-1A5C-461E-91C4-E013A3D70F3C}\Setup.exe" -l0x9
ASAPI Update --> C:\WINDOWS\system32\IWUNIN~1.EXE -uninstall C:\WINDOWS\ISUNINST.EXE -fC:\PROGRA~1\VOB\ASAPIU~1\ASAPI.isu
Avira AntiVir Personal – Free Antivirus --> C:\Programme\AntiVir PersonalEdition Classic\SETUP.EXE /REMOVE
BearShare --> C:\PROGRA~1\BEARSH~1\UNWISE.EXE C:\PROGRA~1\BEARSH~1\INSTALL.LOG
C-Media 3D Audio --> C:\WINDOWS\CMIUnInstall.exe
Cheating-Death 4.32.0 --> C:\*User\Cheat Death an SVENS PC (Internet)\UninstCD.exe
CleanUp! --> C:\Programme\CleanUp!\uninstall.exe
Compatibility Pack für 2007 Office System --> MsiExec.exe /X{90120000-0020-0407-0000-0000000FF1CE}
Counter-Strike 1.6 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\00\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{13B792AA-C078-43A4-8A3A-8B12D629940D}\Setup.exe" -l0x19
Das Abituraufgaben-Superpaket 1.01 --> C:\WINDOWS\uninstall\Das Abituraufgaben-Superpaket\setup.exe
Das Hausaufgaben Superpaket 1.0 --> C:\WINDOWS\uninstall\Das Hausaufgaben Superpaket\setup.exe
Der Schreibtrainer 3.7 --> C:\Programme\Der Schreibtrainer\Uninstal.exe C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Der Schreibtrainer
Digitale Bibliothek 4 --> "C:\Programme\Digitale Bibliothek 4\uninstall.exe"
DivX Content Uploader --> C:\Programme\DivX\DivXContentUploaderUninstall.exe /CUPLOADER
DivX Web Player --> C:\Programme\DivX\DivXWebPlayerUninstall.exe /PLUGIN
Führerschein-Trainer --> C:\PROGRA~1\FHRERS~1\UNWISE.EXE C:\PROGRA~1\FHRERS~1\INSTALL.LOG
Free YouTube to Mp3 Converter version 3.1 --> "C:\Programme\Free YouTube to Mp3 Converter\unins000.exe"
Google Toolbar for Firefox --> MsiExec.exe /X{2CCBABCB-6427-4A55-B091-49864623C43F}
Google Toolbar for Internet Explorer --> regsvr32 /u /s "c:\programme\google\googletoolbar4.dll"
HijackThis 2.0.2 --> "C:\Programme\Trend Micro\HijackThis\HijackThis.exe" /uninstall
Hotfix für Windows XP (KB914440) --> "C:\WINDOWS\$NtUninstallKB914440$\spuninst\spuninst.exe"
Hotfix for Windows Media Format 11 SDK (KB929399) --> "C:\WINDOWS\$NtUninstallKB929399$\spuninst\spuninst.exe"
ICQ Toolbar --> regsvr32 /u /s "C:\Programme\ICQToolbar\toolbaru.dll"
ICQ6 --> C:\Programme\InstallShield Installation Information\{60DE4033-9503-48D1-A483-7846BD217CA9}\setup.exe -runfromtemp -l0x0009 -removeonly
IrfanView (remove only) --> C:\Programme\IrfanView\iv_uninstall.exe
J2SE Runtime Environment 5.0 Update 10 --> MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150100}
Java(TM) 6 Update 3 --> MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160030}
Java(TM) 6 Update 5 --> MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160050}
Java(TM) SE Runtime Environment 6 Update 1 --> MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160010}
Macromedia Flash Player 8 --> C:\WINDOWS\system32\Macromed\Flash\UninstFl.exe
Malwarebytes' Anti-Malware --> "C:\Programme\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft Compression Client Pack 1.0 for Windows XP --> "C:\WINDOWS\$NtUninstallMSCompPackV1$\spuninst\spuninst.exe"
Microsoft User-Mode Driver Framework Feature Pack 1.0 --> "C:\WINDOWS\$NtUninstallWudf01000$\spuninst\spuninst.exe"
Microsoft Windows-Journal-Viewer --> MsiExec.exe /X{43DCF766-6838-4F9A-8C91-D92DA586DFA8}
Microsoft Works 2000 --> MsiExec.exe /I{56364334-9530-11D2-BFFC-00C04FA329AA}
Minilyrics(remove only) --> "C:\Programme\Minilyrics\uninst-ml.exe"
mIRC --> "C:\mIRC\mirc.exe" -uninstall
Mozilla Firefox (3.0) --> C:\Programme\Mozilla Firefox\uninstall\helper.exe
MSN --> C:\Programme\MSN\MsnInstaller\msninst.exe /Action:ARP
MSN Toolbar --> C:\Programme\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\de\mtbs.exe c
Nero Suite --> C:\Programme\Gemeinsame Dateien\Ahead\Uninstall\setup.exe /uninstall
Pacific Poker --> C:\PROGRA~1\PACIFI~1\UNWISE.EXE C:\PROGRA~1\PACIFI~1\INSTALL.LOG
PokerStars --> "C:\Programme\PokerStars\PokerStarsUninstall.exe" /u:PokerStars
PowerStrip 3 (remove only) --> C:\Programme\PowerStrip\uninstal.exe
QuickTime --> C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\11\INTEL3~1\IDriver.exe /M{929408E6-D265-4174-805F-81D1D914E2A4} /l1031
RealPlayer --> C:\Programme\Gemeinsame Dateien\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
Sicherheitsupdate für Windows XP (KB890046) --> "C:\WINDOWS\$NtUninstallKB890046$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB893066) --> "C:\WINDOWS\$NtUninstallKB893066$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB893756) --> "C:\WINDOWS\$NtUninstallKB893756$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB896358) --> "C:\WINDOWS\$NtUninstallKB896358$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB896422) --> "C:\WINDOWS\$NtUninstallKB896422$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB896423) --> "C:\WINDOWS\$NtUninstallKB896423$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB896424) --> "C:\WINDOWS\$NtUninstallKB896424$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB896428) --> "C:\WINDOWS\$NtUninstallKB896428$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB896688) --> "C:\WINDOWS\$NtUninstallKB896688$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB899587) --> "C:\WINDOWS\$NtUninstallKB899587$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB899588) --> "C:\WINDOWS\$NtUninstallKB899588$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB899591) --> "C:\WINDOWS\$NtUninstallKB899591$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB900725) --> "C:\WINDOWS\$NtUninstallKB900725$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB901017) --> "C:\WINDOWS\$NtUninstallKB901017$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB901214) --> "C:\WINDOWS\$NtUninstallKB901214$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB902400) --> "C:\WINDOWS\$NtUninstallKB902400$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB904706) --> "C:\WINDOWS\$NtUninstallKB904706$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB905414) --> "C:\WINDOWS\$NtUninstallKB905414$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB905749) --> "C:\WINDOWS\$NtUninstallKB905749$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB905915) --> "C:\WINDOWS\$NtUninstallKB905915$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB908519) --> "C:\WINDOWS\$NtUninstallKB908519$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB908531) --> "C:\WINDOWS\$NtUninstallKB908531$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB911280) --> "C:\WINDOWS\$NtUninstallKB911280$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB911562) --> "C:\WINDOWS\$NtUninstallKB911562$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB911567) --> "C:\WINDOWS\$NtUninstallKB911567$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB911927) --> "C:\WINDOWS\$NtUninstallKB911927$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB912812) --> "C:\WINDOWS\$NtUninstallKB912812$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB912919) --> "C:\WINDOWS\$NtUninstallKB912919$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB913446) --> "C:\WINDOWS\$NtUninstallKB913446$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB913580) --> "C:\WINDOWS\$NtUninstallKB913580$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB914388) --> "C:\WINDOWS\$NtUninstallKB914388$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB914389) --> "C:\WINDOWS\$NtUninstallKB914389$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB916281) --> "C:\WINDOWS\$NtUninstallKB916281$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB917159) --> "C:\WINDOWS\$NtUninstallKB917159$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB917344) --> "C:\WINDOWS\$NtUninstallKB917344$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB917422) --> "C:\WINDOWS\$NtUninstallKB917422$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB917953) --> "C:\WINDOWS\$NtUninstallKB917953$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB918118) --> "C:\WINDOWS\$NtUninstallKB918118$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB918439) --> "C:\WINDOWS\$NtUninstallKB918439$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB918899) --> "C:\WINDOWS\$NtUninstallKB918899$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB919007) --> "C:\WINDOWS\$NtUninstallKB919007$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB920213) --> "C:\WINDOWS\$NtUninstallKB920213$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB920214) --> "C:\WINDOWS\$NtUninstallKB920214$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB920670) --> "C:\WINDOWS\$NtUninstallKB920670$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB920683) --> "C:\WINDOWS\$NtUninstallKB920683$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB920685) --> "C:\WINDOWS\$NtUninstallKB920685$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB921398) --> "C:\WINDOWS\$NtUninstallKB921398$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB921503) --> "C:\WINDOWS\$NtUninstallKB921503$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB921883) --> "C:\WINDOWS\$NtUninstallKB921883$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB922616) --> "C:\WINDOWS\$NtUninstallKB922616$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB922760) --> "C:\WINDOWS\$NtUninstallKB922760$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB922819) --> "C:\WINDOWS\$NtUninstallKB922819$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923191) --> "C:\WINDOWS\$NtUninstallKB923191$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923414) --> "C:\WINDOWS\$NtUninstallKB923414$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923689) --> "C:\WINDOWS\$NtUninstallKB923689$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923694) --> "C:\WINDOWS\$NtUninstallKB923694$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923980) --> "C:\WINDOWS\$NtUninstallKB923980$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB924191) --> "C:\WINDOWS\$NtUninstallKB924191$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB924270) --> "C:\WINDOWS\$NtUninstallKB924270$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB924496) --> "C:\WINDOWS\$NtUninstallKB924496$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB924667) --> "C:\WINDOWS\$NtUninstallKB924667$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB925454) --> "C:\WINDOWS\$NtUninstallKB925454$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB925486) --> "C:\WINDOWS\$NtUninstallKB925486$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB925902) --> "C:\WINDOWS\$NtUninstallKB925902$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB926255) --> "C:\WINDOWS\$NtUninstallKB926255$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB926436) --> "C:\WINDOWS\$NtUninstallKB926436$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB927779) --> "C:\WINDOWS\$NtUninstallKB927779$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB927802) --> "C:\WINDOWS\$NtUninstallKB927802$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB928255) --> "C:\WINDOWS\$NtUninstallKB928255$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB928843) --> "C:\WINDOWS\$NtUninstallKB928843$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB929123) --> "C:\WINDOWS\$NtUninstallKB929123$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB930178) --> "C:\WINDOWS\$NtUninstallKB930178$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB931261) --> "C:\WINDOWS\$NtUninstallKB931261$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB931784) --> "C:\WINDOWS\$NtUninstallKB931784$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB932168) --> "C:\WINDOWS\$NtUninstallKB932168$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB933729) --> "C:\WINDOWS\$NtUninstallKB933729$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB935839) --> "C:\WINDOWS\$NtUninstallKB935839$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB935840) --> "C:\WINDOWS\$NtUninstallKB935840$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB936021) --> "C:\WINDOWS\$NtUninstallKB936021$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB938829) --> "C:\WINDOWS\$NtUninstallKB938829$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB941202) --> "C:\WINDOWS\$NtUninstallKB941202$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB941568) --> "C:\WINDOWS\$NtUninstallKB941568$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB941569) --> "C:\WINDOWS\$NtUninstallKB941569$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB941644) --> "C:\WINDOWS\$NtUninstallKB941644$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB941693) --> "C:\WINDOWS\$NtUninstallKB941693$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB943055) --> "C:\WINDOWS\$NtUninstallKB943055$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB943460) --> "C:\WINDOWS\$NtUninstallKB943460$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB943485) --> "C:\WINDOWS\$NtUninstallKB943485$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB944653) --> "C:\WINDOWS\$NtUninstallKB944653$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB945553) --> "C:\WINDOWS\$NtUninstallKB945553$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB946026) --> "C:\WINDOWS\$NtUninstallKB946026$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB948590) --> "C:\WINDOWS\$NtUninstallKB948590$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB948881) --> "C:\WINDOWS\$NtUninstallKB948881$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950749) --> "C:\WINDOWS\$NtUninstallKB950749$\spuninst\spuninst.exe"

Steffe-88

09.06.2008 11:44

Steinberg WaveLab 5.01a --> C:\PROGRA~1\STEINB~1\WaveLab\UNWISE.EXE C:\PROGRA~1\STEINB~1\WaveLab\INSTALL.LOG
TIPP10 Version 2.0.1 --> "C:\Programme\Tipp10\unins000.exe"
Titan Poker --> "C:\Poker\Titan Poker\_SetupPoker.exe" /uninstall
TVUPlayer 2.3.6.1 --> C:\Programme\TVUPlayer\uninst.exe
Update für Windows XP (KB894391) --> "C:\WINDOWS\$NtUninstallKB894391$\spuninst\spuninst.exe"
Update für Windows XP (KB896727) --> "C:\WINDOWS\$NtUninstallKB896727$\spuninst\spuninst.exe"
Update für Windows XP (KB898461) --> "C:\WINDOWS\$NtUninstallKB898461$\spuninst\spuninst.exe"
Update für Windows XP (KB900485) --> "C:\WINDOWS\$NtUninstallKB900485$\spuninst\spuninst.exe"
Update für Windows XP (KB904942) --> "C:\WINDOWS\$NtUninstallKB904942$\spuninst\spuninst.exe"
Update für Windows XP (KB910437) --> "C:\WINDOWS\$NtUninstallKB910437$\spuninst\spuninst.exe"
Update für Windows XP (KB916595) --> "C:\WINDOWS\$NtUninstallKB916595$\spuninst\spuninst.exe"
Update für Windows XP (KB920872) --> "C:\WINDOWS\$NtUninstallKB920872$\spuninst\spuninst.exe"
Update für Windows XP (KB922582) --> "C:\WINDOWS\$NtUninstallKB922582$\spuninst\spuninst.exe"
Update für Windows XP (KB927891) --> "C:\WINDOWS\$NtUninstallKB927891$\spuninst\spuninst.exe"
Update für Windows XP (KB929338) --> "C:\WINDOWS\$NtUninstallKB929338$\spuninst\spuninst.exe"
Update für Windows XP (KB930916) --> "C:\WINDOWS\$NtUninstallKB930916$\spuninst\spuninst.exe"
Update für Windows XP (KB931836) --> "C:\WINDOWS\$NtUninstallKB931836$\spuninst\spuninst.exe"
Update für Windows XP (KB932823-v3) --> "C:\WINDOWS\$NtUninstallKB932823-v3$\spuninst\spuninst.exe"
Update für Windows XP (KB933360) --> "C:\WINDOWS\$NtUninstallKB933360$\spuninst\spuninst.exe"
Update für Windows XP (KB938828) --> "C:\WINDOWS\$NtUninstallKB938828$\spuninst\spuninst.exe"
Update für Windows XP (KB942763) --> "C:\WINDOWS\$NtUninstallKB942763$\spuninst\spuninst.exe"
Updateassistent --> MsiExec.exe /X{30568896-4368-4B6E-998B-51C6E8676ED5}
VeohTV BETA --> C:\Programme\InstallShield Installation Information\{0405E51E-9582-4207-8F38-AC44201D3808}\setup.exe -runfromtemp -l0x0409
Windows Installer Clean Up --> MsiExec.exe /X{121634B0-2F4B-11D3-ADA3-00C04F52DD52}
Windows Live Messenger --> MsiExec.exe /X{2B091530-69AA-442E-AB09-39ED06B58220}
Windows Media Format 11 runtime --> "C:\WINDOWS\$NtUninstallWMFDist11$\spuninst\spuninst.exe"
Windows XP-Hotfix - KB873333 --> C:\WINDOWS\$NtUninstallKB873333$\spuninst\spuninst.exe
Windows XP-Hotfix - KB873339 --> C:\WINDOWS\$NtUninstallKB873339$\spuninst\spuninst.exe
Windows XP-Hotfix - KB885250 --> C:\WINDOWS\$NtUninstallKB885250$\spuninst\spuninst.exe
Windows XP-Hotfix - KB885835 --> C:\WINDOWS\$NtUninstallKB885835$\spuninst\spuninst.exe
Windows XP-Hotfix - KB885836 --> C:\WINDOWS\$NtUninstallKB885836$\spuninst\spuninst.exe
Windows XP-Hotfix - KB886185 --> C:\WINDOWS\$NtUninstallKB886185$\spuninst\spuninst.exe
Windows XP-Hotfix - KB887472 --> C:\WINDOWS\$NtUninstallKB887472$\spuninst\spuninst.exe
Windows XP-Hotfix - KB887742 --> C:\WINDOWS\$NtUninstallKB887742$\spuninst\spuninst.exe
Windows XP-Hotfix - KB888113 --> C:\WINDOWS\$NtUninstallKB888113$\spuninst\spuninst.exe
Windows XP-Hotfix - KB888302 --> C:\WINDOWS\$NtUninstallKB888302$\spuninst\spuninst.exe
Windows XP-Hotfix - KB890859 --> "C:\WINDOWS\$NtUninstallKB890859$\spuninst\spuninst.exe"
Windows XP-Hotfix - KB891781 --> C:\WINDOWS\$NtUninstallKB891781$\spuninst\spuninst.exe
Windows XP-Hotfix - KB893086 --> "C:\WINDOWS\$NtUninstallKB893086$\spuninst\spuninst.exe"

-- Application Event Log -------------------------------------------------------

Event Record #/Type8290 / Warning
Event Submitted/Written: 06/07/2008 04:25:16 PM
Event ID/Source: 4113 / Avira AntiVir
Event Description:
HTML/Infected.WebPage.GenC:\Dokumente und Einstellungen\*User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\XEXXWS1I\framead[1].htm

Event Record #/Type8289 / Warning
Event Submitted/Written: 06/07/2008 04:23:51 PM
Event ID/Source: 4113 / Avira AntiVir
Event Description:
HTML/Infected.WebPage.GenC:\Dokumente und Einstellungen\*User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\MDHP0H8E\framead[1].htm

Event Record #/Type8288 / Warning
Event Submitted/Written: 06/07/2008 04:23:15 PM
Event ID/Source: 4113 / Avira AntiVir
Event Description:
HTML/Infected.WebPage.GenC:\Dokumente und Einstellungen\*User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\MDHP0H8E\framead[1].htm

Event Record #/Type8287 / Warning
Event Submitted/Written: 06/07/2008 04:22:56 PM
Event ID/Source: 4113 / Avira AntiVir
Event Description:
HTML/Infected.WebPage.GenC:\Dokumente und Einstellungen\*User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YJXMR3G1\framead[1].htm

Event Record #/Type8286 / Error
Event Submitted/Written: 06/07/2008 04:19:02 PM
Event ID/Source: 1002 / Application Hang
Event Description:
Stillstehende Anwendung msimn.exe, Version 6.0.2900.2180, Stillstandmodul hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.

-- Security Event Log ----------------------------------------------------------

No Errors/Warnings found.

-- System Event Log ------------------------------------------------------------

Event Record #/Type68344 / Warning
Event Submitted/Written: 06/09/2008 00:21:19 PM
Event ID/Source: 57 / Ftdisk
Event Description:
Die Daten konnten nicht in das Transaktionsprotokoll verschoben werden. Möglicherweise sind die Daten beschädigt.

Event Record #/Type68324 / Warning
Event Submitted/Written: 06/09/2008 10:52:41 AM
Event ID/Source: 1003 / Dhcp
Event Description:
Der Computer konnte die Netzwerkadresse, die durch den DHCP-Server für die
Netzwerkkarte mit der Netzwerkadresse 000B6A799894 zugeteilt wurde, nicht erneuern. Der
folgende Fehler ist aufgetreten:
%%121.
Es wird weiterhin im Hintergrund versucht, eine Adresse vom
Netzwerkadressserver (DHCP) zu erhalten.

Event Record #/Type68314 / Warning
Event Submitted/Written: 06/07/2008 06:24:59 PM
Event ID/Source: 57 / Ftdisk
Event Description:
Die Daten konnten nicht in das Transaktionsprotokoll verschoben werden. Möglicherweise sind die Daten beschädigt.

Event Record #/Type68313 / Error
Event Submitted/Written: 06/07/2008 05:25:29 PM / 06/07/2008 05:25:30 PM
Event ID/Source: 7 / Disk
Event Description:
Fehlerhafter Block bei Gerät \Device\Harddisk0\D.

Event Record #/Type68312 / Error
Event Submitted/Written: 06/07/2008 05:11:39 PM
Event ID/Source: 7 / Disk
Event Description:
Fehlerhafter Block bei Gerät \Device\Harddisk0\D.

-- End of Deckard's System Scanner: finished at 2008-06-09 12:22:37 ------------

Gruß steffen

Steffe-88

09.06.2008 12:18

ist hier jmd der mir helfen kann?

BataAlexander

09.06.2008 13:30

Bitte lass uns Dein System weiter, tiefer prüfen.
Wenn Du das Combofix Logfile noch hast, poste es bitte noch einmal.

GMER - Rootkit Detection

* Lade Gmer von hier
* entpacke es auf den Dektop
* Dopperlklicke die gmer.exe
* Der Reiter Rootkit oben ist schon angewählt

http://saved.im/mzaxndu2m2ni_vs/gmerzj1oo1.jpg

* Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
* nach Beendigung des Scan, drücke "Copy"
* nun kannst Du das Ergebnis hier posten
* Sollte Gmer sagen "Gmer hasen´t found any System Modifikation", so hat Gmer keine Einträge gefunden.

ModGreper

* Lade Modgreper von hier.
* Entpacke es nach c:\
* Lade die mg.bat von hier .
* Speicher diese auf dem Desktop
* Klicke die mg.bat an, ein schwarzes Fenster erscheint
* nachdem dieses verschwunden ist Öffne mit dem Explorer oder über den Arbeitsplatz
* dort liegt nun die Datei c:\modgreper.txt, diese mit einem Doppelklick öffnen
* poste den Inhalt der modgreper.txt im Forum

----
modGREPER findet verteckte Module unter Windows 2000/XP/2003. Es durchsucht den Kernel Speicher um dort Strukturen von gültigen Modul Beschreibungsobjekten zu finden.

Sophos Anti-RootKit

- Gehe zu Sophos - (Anleitung) und lade dir ihren Rootkitescanner herunter. Du bekommst eine Installationsdatei sarsfx.exe.
- Starte diese, akzeptiere die Lizenz und lass das Programm installieren, ändere den Pfad C:\SOPHTEMP nicht.
- Gehe mit dem Explorer in diesen Ordner und starte sargui.exe, schließe danach alle anderen Programme.
- Lass unter Area alles angehalt und starte den Scan mit "Start scan". Der Scan dauert einige Zeit, wenn er fertig ist poppt ein Fenster auf mit einer Zusammenfassung, klicke dort "Ok". Beende den Sophos Rootkitscanner, dieser Scan dient nur der Analyse.
- Starte den Explorer und gib in der Adresszeile "%temp%" ein (ohne Anführungsstriche), dort gibt es eine Datei sarscan.log, deren Inhalt bitte posten.
(Thx to Argos)

Steffe-88

09.06.2008 13:47

ComboFix 08-06-04.5 - *User 2008-06-05 14:39:47.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.727 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\*User\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\*User\Anwendungsdaten\HbTools
C:\Dokumente und Einstellungen\*User\Anwendungsdaten\HbTools\HbTools.log
C:\Dokumente und Einstellungen\*User\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\ads.cdf
C:\Dokumente und Einstellungen\*User\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\btntrans.idx
C:\Dokumente und Einstellungen\*User\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\btntrans1.dat
C:\Dokumente und Einstellungen\*\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\business_promo.htm
C:\Dokumente und Einstellungen\*\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\buttondir.txt
C:\Dokumente und Einstellungen\*\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\components.cdf
C:\Dokumente und Einstellungen\*\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\cursors.res
C:\Dokumente und Einstellungen\*\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\d_icons_buttons_1000.res
C:\Dokumente und Einstellungen\*\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\d_icons_buttons_2000.res
C:\Dokumente und Einstellungen\*\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\d_icons_buttons_3000.res
C:\Dokumente und Einstellungen\*\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\d_icons_buttons_bar.res
C:\Dokumente und Einstellungen\*\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\d_icons_buttons_bbar1.res
C:\Dokumente und Einstellungen\*\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\d_icons_buttons_logos.res
C:\Dokumente und Einstellungen\*\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\d_icons_buttons_other.res
C:\Dokumente und Einstellungen\*\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\d_icons_weather.res
C:\Dokumente und Einstellungen\*\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\default.cdf
C:\Dokumente und Einstellungen\*\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\Default_511745-514279.mnu
C:\Dokumente und Einstellungen\*\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\Default_bidz.mnu
C:\Dokumente und Einstellungen\*\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\Default_bidz1.mnu
C:\Dokumente und Einstellungen\*\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\Default_bidz10.mnu
C:\Dokumente und Einstellungen\*\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\Default_bidz11.mnu
C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\Default_bidz12.mnu
C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\Default_bidz13.mnu
C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\Default_bidz14.mnu
C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\Default_bidz15.mnu
C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\Default_bidz16.mnu
C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\Default_bidz17.mnu
C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\Default_bidz18.mnu
C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\Default_bidz19.mnu
C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\Default_bidz2.mnu
C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\Default_bidz20.mnu
C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\Default_bidz3.mnu
C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\Default_bidz4.mnu
C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\Default_bidz5.mnu
C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\Default_bidz6.mnu
C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\Default_bidz7.mnu
C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\Default_bidz8.mnu
C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\Default_bidz9.mnu
C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\Default_categorize.mnu
C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\Default_comparison.mnu
C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\Default_em_PROFL_CA_flow_b_IEB.mnu
C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\Default_explorer-Mails.mnu
C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\Default_explorer-people.mnu
C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\Default_favorites.mnu
C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\Default_Games.mnu
C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\Default_Hide.mnu
C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\Default_hotbarcom.mnu
C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\Default_Hotmail.mnu
C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\Default_hsskin.mnu
C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\Default_jemster.mnu
C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\Default_jemsterie.mnu
C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\Default_jemsteruk.mnu
C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\Default_jobsearch.mnu
C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\Default_Mails.mnu
C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\Default_new.mnu
C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\Default_premium.mnu
C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\Default_reun.mnu
C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\Default_ringtones.mnu
C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\Default_SearchBoxTrapper.mnu
C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\Default_searchfor.mnu
C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\Default_searchgo.mnu
C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\Default_weather.mnu
C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\Default_yellowpages.mnu
C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\email-def-511724-548964.mnu
C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\email-def-511724-9595.mnu
C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\email-t1-bg.res
C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\gamesmenu.cdf
C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\gamesMenu.mnu
C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\hb_ie_menu.res
C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\hotbar-premium-hotbar-premium.mnu
C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\hotbar-premium.cdf
C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\hotbar_promo.htm
C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\icons2.res
C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\ie_games_icon.res
C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\ie_video.res
C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\keywords.idx
C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\keywords1.dat
C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\layout.cdf
C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\linkpathlegal.txt
C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\more.res
C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\new_games.mnu
C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\progress.res
C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\s_icons_buttons.res
C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\sales_buttons.res
C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\t2_bg.res
C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\theweb.mnu
C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\top7.cdf
C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\Top7_theweb.mnu
C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\tsd_bg.res
C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\weathericon.res
C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\DownLoad\ads.xip
C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\DownLoad\BtnTrans.xip
C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\DownLoad\BtnTrans1.xip
C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\DownLoad\business_promo.xip
C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\DownLoad\buttondir.xip
C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\DownLoad\cursors.xip
C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\DownLoad\d_icons_buttons_1000.xip
C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\DownLoad\d_icons_buttons_2000.xip
C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\DownLoad\d_icons_buttons_3000.xip
C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\DownLoad\d_icons_buttons_bar.xip
C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\DownLoad\d_icons_buttons_bbar1.xip
C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\DownLoad\d_icons_buttons_logos.xip
C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\DownLoad\d_icons_buttons_other.xip
C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\DownLoad\d_icons_weather.xip
C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\DownLoad\default.xip
C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\DownLoad\email-t1-bg.xip
C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\DownLoad\gamesmenu.xip
C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\DownLoad\hb_ie_menu.xip
C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\DownLoad\hotbar-premium.xip
C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\DownLoad\hotbar_promo.xip
C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\DownLoad\icons2.xip
C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\DownLoad\ie_games_icon.xip
C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\DownLoad\ie_video.xip
C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\DownLoad\keywords.xip
C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\DownLoad\keywords1.xip
C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\DownLoad\layout.xip
C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\DownLoad\linkpathlegal.xip
C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\DownLoad\more.xip
C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\DownLoad\progress.xip
C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\DownLoad\s_icons_buttons.xip
C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\DownLoad\sales_buttons.xip
C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\DownLoad\samplegroups2.txt
C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\DownLoad\samplegroups2.xip
C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\DownLoad\t2_bg.xip
C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\DownLoad\top7.xip
C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\DownLoad\tsd_bg.xip
C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\DownLoad\weathericon.xip
C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\ShoppingReport
C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\ShoppingReport\cs\Config.xml
C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\ShoppingReport\cs\db\Aliases.dbs
C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\ShoppingReport\cs\db\Sites.dbs
C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\ShoppingReport\cs\dwld\WhiteList.xip
C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\ShoppingReport\cs\report\aggr_storage.xml
C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\ShoppingReport\cs\report\send_storage.xml
C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\ShoppingReport\cs\res1\WhiteList.dbs
C:\Programme\ShoppingReport

.
((((((((((((((((((((((( Dateien erstellt von 2008-05-05 bis 2008-06-05 ))))))))))))))))))))))))))))))
.

2008-06-04 09:47 . 2008-06-04 09:47 <DIR> d-------- C:\Dokumente und Einstellungen\Anwendungsdaten
2008-05-26 21:51 . 2008-06-01 20:59 <DIR> d-------- C:\Youtube-Downloads
2008-05-26 21:47 . 2008-05-26 21:52 <DIR> d-------- C:\DVDVideoSoft
2008-05-26 21:46 . 2008-05-26 21:46 <DIR> d-------- C:\Programme\Gemeinsame Dateien\DVDVideoSoft
2008-05-26 21:46 . 2008-05-26 21:47 <DIR> d-------- C:\Programme\Free YouTube to Mp3 Converter
2008-05-26 21:46 . 2002-01-05 15:37 344,064 --a------ C:\WINDOWS\system32\msvcr70.dll
2008-05-22 19:25 . 2008-05-22 19:25 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Messenger Plus!
2008-05-21 18:05 . 2008-05-21 18:05 <DIR> d-------- C:\Programme\Trend Micro
2008-05-21 17:44 . 2008-05-26 21:46 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-05-07 01:59 . 2008-05-07 01:59 <DIR> d-------- C:\Programme\Windows Installer Clean Up
2008-05-07 01:54 . 2008-06-02 11:14 <DIR> d-------- C:\Programme\MSECACHE
2008-05-06 15:50 . 2008-05-09 15:23 <DIR> d-------- C:\Programme\Der Schreibtrainer

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-26 21:32 --------- d-----w C:\Programme\BearShare
2008-05-26 21:30 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-05-26 21:30 --------- d-----w C:\Programme\ATI Technologies
2008-05-20 14:28 --------- d-----w C:\Programme\Windows Live Safety Center
2008-05-07 00:06 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-05-06 09:02 --------- d-----w C:\Programme\PokerStars
2008-04-18 15:10 --------- d-----w C:\Programme\Tipp10
2008-04-18 14:23 --------- d-----w C:\Programme\ICQ6
2008-04-18 10:52 499,712 ----a-w C:\WINDOWS\system32\msvcp71.dll
2008-04-18 10:52 348,160 ----a-w C:\WINDOWS\system32\msvcr71.dll
2008-04-18 10:52 --------- d-----w C:\Programme\Gemeinsame Dateien\xing shared
2008-04-18 10:52 --------- d-----w C:\Programme\Gemeinsame Dateien\Real
2008-04-16 10:20 --------- d-----w C:\Programme\MSN Messenger
2008-04-16 10:19 --------- dcsh--w C:\Programme\Gemeinsame Dateien\WindowsLiveInstaller
2008-04-16 10:19 --------- d-----w C:\Programme\Windows Live
2008-04-16 10:18 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WLInstaller
2008-04-15 21:38 --------- d-----w C:\Programme\ICQLite
2008-04-14 08:52 --------- d-----w C:\Programme\Minilyrics
2008-04-11 06:19 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-04-10 10:35 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Bags Peak Chin Active
2008-04-08 18:31 --------- d-----w C:\Programme\TVUPlayer
2008-04-08 18:31 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TVU Networks
2008-04-08 18:18 360,064 ----a-w C:\WINDOWS\system32\drivers\TCPIP.SYS.ORIGINAL
2008-04-08 18:18 360,064 ----a-w C:\WINDOWS\system32\drivers\TCPIP.SYS
2008-03-25 04:51 621,344 ----a-w C:\WINDOWS\system32\mswstr10.dll
2008-03-25 04:51 187,168 ------w C:\WINDOWS\system32\msjint40.dll
2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
2001-11-23 04:08 712,704 ----a-w C:\WINDOWS\inf\OTHER\AUDIO3D.DLL
.

------- Sigcheck -------

2005-05-25 21:07 359936 63fdfea54eb53de2d863ee454937ce1e C:\WINDOWS\$hf_mig$\KB893066\SP2QFE\tcpip.sys
2006-01-13 19:07 360448 5562cc0a47b2aef06d3417b733f3c195 C:\WINDOWS\$hf_mig$\KB913446\SP2QFE\tcpip.sys
2006-04-20 14:18 360576 b2220c618b42a2212a59d91ebd6fc4b4 C:\WINDOWS\$hf_mig$\KB917953\SP2QFE\tcpip.sys
2007-10-30 18:53 360832 64798ecfa43d78c7178375fcdd16d8c8 C:\WINDOWS\$hf_mig$\KB941644\SP2QFE\tcpip.sys
2004-08-04 14:00 359040 9f4b36614a0fc234525ba224957de55c C:\WINDOWS\$NtUninstallKB893066$\tcpip.sys
2005-05-25 21:04 359808 88763a98a4c26c409741b4aa162720c9 C:\WINDOWS\$NtUninstallKB913446$\tcpip.sys
2006-01-13 04:28 359808 583e063fdc888ca30d05c2724b0d7ef4 C:\WINDOWS\$NtUninstallKB917953$\tcpip.sys
2006-04-20 13:51 359808 1dbf125862891817f374f407626967f4 C:\WINDOWS\$NtUninstallKB941644$\tcpip.sys
2008-04-08 20:18 360064 482ab7f9cd41702e8f856c11cfefb02d C:\WINDOWS\system32\dllcache\TCPIP.SYS
2008-04-08 20:18 360064 482ab7f9cd41702e8f856c11cfefb02d C:\WINDOWS\system32\drivers\TCPIP.SYS
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360]
"Body delete"="C:\DOKUME~1\STEFFE~1\ANWEND~1\JUGSHE~1\Fivelongtitle.exe" [ ]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-18 12:10 68856]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 18:24 1694208]
"msnmsgr"="C:\Programme\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 11:34 5724184]
"Veoh"="C:\Programme\Veoh Networks\Veoh\VeohClient.exe" [2008-04-01 18:35 3587120]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Cmaudio"="cmicnfg.cpl" []
"BearShare"="C:\Programme\BearShare\BearShare.exe" [ ]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-03-04 13:55 155648]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-18 00:26 262401]
"Adobe Photo Downloader"="C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" [2005-06-07 00:46 57344]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]
"Hope bib army bolt"="C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Aim download bolt bags\Third Anti Five.exe" [ ]
"Online chin internet bolt"="C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Bags Plus Online Chin\BOWS JUMP.exe" [2008-06-05 14:48 4788224]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-04-18 12:52 185896]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\steffen\\Countern an SVENS PC (Internet)\\steam.exe"=
"C:\\steffen\\Countern an SVENS PC (Internet)\\SteamApps\\xxx@web.de\\counter-strike\\hl.exe"=
"C:\\mIRC\\mirc.exe"=
"C:\\Programme\\Valve\\hl.exe"=
"C:\\WINDOWS\\system32\\dpvsetup.exe"=
"C:\\Programme\\Internet Explorer\\IEXPLORE.EXE"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Mozilla Firefox\\firefox.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=

R0 tffsport;M-Systems DiskOnChip-2000;C:\WINDOWS\system32\DRIVERS\tffsport.sys [2004-08-04 00:00]
R1 Asapi;Asapi;C:\WINDOWS\system32\drivers\Asapi.sys [2002-04-17 21:27]
R1 PStrip;PStrip;C:\WINDOWS\system32\drivers\pstrip.sys [2006-09-30 11:35]

.
Inhalt des "geplante Tasks" Ordners
"2008-06-05 12:00:00 C:\WINDOWS\Tasks\AA5F47259184FC65.job"
- c:\dokume~1\steffe~1\anwend~1\jugshe~1\Audiocoalatom.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-05 14:46:26
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-06-05 14:50:52 - machine was rebooted
ComboFix-quarantined-files.txt 2008-06-05 12:50:49

19 Verzeichnis(se), 60,252,590,080 Bytes frei
22 Verzeichnis(se), 61,871,239,168 Bytes frei

279 --- E O F --- 2008-06-03 00:58:57

Steffe-88

09.06.2008 13:48

Code:



ComboFix 08-06-04.5 - *User 2008-06-05 14:39:47.1 - NTFSx86

Microsoft Windows XP Home Edition  5.1.2600.2.1252.1.1031.18.727 [GMT 2:00]

ausgeführt von:: C:\Dokumente und Einstellungen\*User\Desktop\ComboFix.exe

 * Neuer Wiederherstellungspunkt wurde erstellt
 
 WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

.
 

((((((((((((((((((((((((((((((((((((   Weitere L”schungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.
 

C:\Dokumente und Einstellungen\*User\Anwendungsdaten\HbTools

C:\Dokumente und Einstellungen\*User\Anwendungsdaten\HbTools\HbTools.log

C:\Dokumente und Einstellungen\*User\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\ads.cdf

C:\Dokumente und Einstellungen\*User\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\btntrans.idx

C:\Dokumente und Einstellungen\*User\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\btntrans1.dat

C:\Dokumente und Einstellungen\*\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\business_promo.htm

C:\Dokumente und Einstellungen\*\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\buttondir.txt

C:\Dokumente und Einstellungen\*\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\components.cdf

C:\Dokumente und Einstellungen\*\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\cursors.res

C:\Dokumente und Einstellungen\*\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\d_icons_buttons_1000.res

C:\Dokumente und Einstellungen\*\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\d_icons_buttons_2000.res

C:\Dokumente und Einstellungen\*\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\d_icons_buttons_3000.res

C:\Dokumente und Einstellungen\*\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\d_icons_buttons_bar.res

C:\Dokumente und Einstellungen\*\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\d_icons_buttons_bbar1.res

C:\Dokumente und Einstellungen\*\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\d_icons_buttons_logos.res

C:\Dokumente und Einstellungen\*\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\d_icons_buttons_other.res

C:\Dokumente und Einstellungen\*\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\d_icons_weather.res

C:\Dokumente und Einstellungen\*\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\default.cdf

C:\Dokumente und Einstellungen\*\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\Default_511745-514279.mnu

C:\Dokumente und Einstellungen\*\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\Default_bidz.mnu

C:\Dokumente und Einstellungen\*\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\Default_bidz1.mnu

C:\Dokumente und Einstellungen\*\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\Default_bidz10.mnu

C:\Dokumente und Einstellungen\*\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\Default_bidz11.mnu

C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\Default_bidz12.mnu

C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\Default_bidz13.mnu

C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\Default_bidz14.mnu

C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\Default_bidz15.mnu

C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\Default_bidz16.mnu

C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\Default_bidz17.mnu

C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\Default_bidz18.mnu

C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\Default_bidz19.mnu

C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\Default_bidz2.mnu

C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\Default_bidz20.mnu

C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\Default_bidz3.mnu

C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\Default_bidz4.mnu

C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\Default_bidz5.mnu

C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\Default_bidz6.mnu

C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\Default_bidz7.mnu

C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\Default_bidz8.mnu

C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\Default_bidz9.mnu

C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\Default_categorize.mnu

C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\Default_comparison.mnu

C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\Default_em_PROFL_CA_flow_b_IEB.mnu

C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\Default_explorer-Mails.mnu

C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\Default_explorer-people.mnu

C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\Default_favorites.mnu

C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\Default_Games.mnu

C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\Default_Hide.mnu

C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\Default_hotbarcom.mnu

C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\Default_Hotmail.mnu

C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\Default_hsskin.mnu

C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\Default_jemster.mnu

C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\Default_jemsterie.mnu

C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\Default_jemsteruk.mnu

C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\Default_jobsearch.mnu

C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\Default_Mails.mnu

C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\Default_new.mnu

C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\Default_premium.mnu

C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\Default_reun.mnu

C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\Default_ringtones.mnu

C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\Default_SearchBoxTrapper.mnu

C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\Default_searchfor.mnu

C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\Default_searchgo.mnu

C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\Default_weather.mnu

C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\Default_yellowpages.mnu

C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\email-def-511724-548964.mnu

C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\email-def-511724-9595.mnu

C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\email-t1-bg.res

C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\gamesmenu.cdf

C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\gamesMenu.mnu

C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\hb_ie_menu.res

C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\hotbar-premium-hotbar-premium.mnu

C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\hotbar-premium.cdf

C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\hotbar_promo.htm

C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\icons2.res

C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\ie_games_icon.res

C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\ie_video.res

C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\keywords.idx

C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\keywords1.dat

C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\layout.cdf

C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\linkpathlegal.txt

C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\more.res

C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\new_games.mnu

C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\progress.res

C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\s_icons_buttons.res

C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\sales_buttons.res

C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\t2_bg.res

C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\theweb.mnu

C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\top7.cdf

C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\Top7_theweb.mnu

C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\tsd_bg.res

C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\1\weathericon.res

C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\DownLoad\ads.xip

C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\DownLoad\BtnTrans.xip

C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\DownLoad\BtnTrans1.xip

C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\DownLoad\business_promo.xip

C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\DownLoad\buttondir.xip

C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\DownLoad\cursors.xip

C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\DownLoad\d_icons_buttons_1000.xip

C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\DownLoad\d_icons_buttons_2000.xip

C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\DownLoad\d_icons_buttons_3000.xip

C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\DownLoad\d_icons_buttons_bar.xip

C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\DownLoad\d_icons_buttons_bbar1.xip

C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\DownLoad\d_icons_buttons_logos.xip

C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\DownLoad\d_icons_buttons_other.xip

C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\DownLoad\d_icons_weather.xip

C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\DownLoad\default.xip

C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\DownLoad\email-t1-bg.xip

C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\DownLoad\gamesmenu.xip

C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\DownLoad\hb_ie_menu.xip

C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\DownLoad\hotbar-premium.xip

C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\DownLoad\hotbar_promo.xip

C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\DownLoad\icons2.xip

C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\DownLoad\ie_games_icon.xip

C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\DownLoad\ie_video.xip

C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\DownLoad\keywords.xip

C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\DownLoad\keywords1.xip

C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\DownLoad\layout.xip

C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\DownLoad\linkpathlegal.xip

C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\DownLoad\more.xip

C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\DownLoad\progress.xip

C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\DownLoad\s_icons_buttons.xip

C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\DownLoad\sales_buttons.xip

C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\DownLoad\samplegroups2.txt

C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\DownLoad\samplegroups2.xip

C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\DownLoad\t2_bg.xip

C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\DownLoad\top7.xip

C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\DownLoad\tsd_bg.xip

C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\HbTools\v3.0\hbtools\static\DownLoad\weathericon.xip

C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\ShoppingReport

C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\ShoppingReport\cs\Config.xml

C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\ShoppingReport\cs\db\Aliases.dbs

C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\ShoppingReport\cs\db\Sites.dbs

C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\ShoppingReport\cs\dwld\WhiteList.xip

C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\ShoppingReport\cs\report\aggr_storage.xml

C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\ShoppingReport\cs\report\send_storage.xml

C:\Dokumente und Einstellungen\steffen söllner\Anwendungsdaten\ShoppingReport\cs\res1\WhiteList.dbs

C:\Programme\ShoppingReport
 

.

(((((((((((((((((((((((   Dateien erstellt von 2008-05-05 bis 2008-06-05  ))))))))))))))))))))))))))))))

.
 

2008-06-04 09:47 . 2008-06-04 09:47        <DIR>        d--------        C:\Dokumente und Einstellungen\Anwendungsdaten

2008-05-26 21:51 . 2008-06-01 20:59        <DIR>        d--------        C:\Youtube-Downloads

2008-05-26 21:47 . 2008-05-26 21:52        <DIR>        d--------        C:\DVDVideoSoft

2008-05-26 21:46 . 2008-05-26 21:46        <DIR>        d--------        C:\Programme\Gemeinsame Dateien\DVDVideoSoft

2008-05-26 21:46 . 2008-05-26 21:47        <DIR>        d--------        C:\Programme\Free YouTube to Mp3 Converter

2008-05-26 21:46 . 2002-01-05 15:37        344,064        --a------        C:\WINDOWS\system32\msvcr70.dll

2008-05-22 19:25 . 2008-05-22 19:25        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Messenger Plus!

2008-05-21 18:05 . 2008-05-21 18:05        <DIR>        d--------        C:\Programme\Trend Micro

2008-05-21 17:44 . 2008-05-26 21:46        <DIR>        d-a------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP

2008-05-07 01:59 . 2008-05-07 01:59        <DIR>        d--------        C:\Programme\Windows Installer Clean Up

2008-05-07 01:54 . 2008-06-02 11:14        <DIR>        d--------        C:\Programme\MSECACHE

2008-05-06 15:50 . 2008-05-09 15:23        <DIR>        d--------        C:\Programme\Der Schreibtrainer
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-05-26 21:32        ---------        d-----w        C:\Programme\BearShare

2008-05-26 21:30        ---------        d--h--w        C:\Programme\InstallShield Installation Information

2008-05-26 21:30        ---------        d-----w        C:\Programme\ATI Technologies

2008-05-20 14:28        ---------        d-----w        C:\Programme\Windows Live Safety Center

2008-05-07 00:06        ---------        d-----w        C:\Programme\Gemeinsame Dateien\Adobe

2008-05-06 09:02        ---------        d-----w        C:\Programme\PokerStars

2008-04-18 15:10        ---------        d-----w        C:\Programme\Tipp10

2008-04-18 14:23        ---------        d-----w        C:\Programme\ICQ6

2008-04-18 10:52        499,712        ----a-w        C:\WINDOWS\system32\msvcp71.dll

2008-04-18 10:52        348,160        ----a-w        C:\WINDOWS\system32\msvcr71.dll

2008-04-18 10:52        ---------        d-----w        C:\Programme\Gemeinsame Dateien\xing shared

2008-04-18 10:52        ---------        d-----w        C:\Programme\Gemeinsame Dateien\Real

2008-04-16 10:20        ---------        d-----w        C:\Programme\MSN Messenger

2008-04-16 10:19        ---------        dcsh--w        C:\Programme\Gemeinsame Dateien\WindowsLiveInstaller

2008-04-16 10:19        ---------        d-----w        C:\Programme\Windows Live

2008-04-16 10:18        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WLInstaller

2008-04-15 21:38        ---------        d-----w        C:\Programme\ICQLite

2008-04-14 08:52        ---------        d-----w        C:\Programme\Minilyrics

2008-04-11 06:19        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic

2008-04-10 10:35        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Bags Peak Chin Active

2008-04-08 18:31        ---------        d-----w        C:\Programme\TVUPlayer

2008-04-08 18:31        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TVU Networks

2008-04-08 18:18        360,064        ----a-w        C:\WINDOWS\system32\drivers\TCPIP.SYS.ORIGINAL

2008-04-08 18:18        360,064        ----a-w        C:\WINDOWS\system32\drivers\TCPIP.SYS

2008-03-25 04:51        621,344        ----a-w        C:\WINDOWS\system32\mswstr10.dll

2008-03-25 04:51        187,168        ------w        C:\WINDOWS\system32\msjint40.dll

2008-03-20 08:03        1,845,376        ----a-w        C:\WINDOWS\system32\win32k.sys

2001-11-23 04:08        712,704        ----a-w        C:\WINDOWS\inf\OTHER\AUDIO3D.DLL

.
 

------- Sigcheck -------
 

2005-05-25 21:07  359936  63fdfea54eb53de2d863ee454937ce1e        C:\WINDOWS\$hf_mig$\KB893066\SP2QFE\tcpip.sys

2006-01-13 19:07  360448  5562cc0a47b2aef06d3417b733f3c195        C:\WINDOWS\$hf_mig$\KB913446\SP2QFE\tcpip.sys

2006-04-20 14:18  360576  b2220c618b42a2212a59d91ebd6fc4b4        C:\WINDOWS\$hf_mig$\KB917953\SP2QFE\tcpip.sys

2007-10-30 18:53  360832  64798ecfa43d78c7178375fcdd16d8c8        C:\WINDOWS\$hf_mig$\KB941644\SP2QFE\tcpip.sys

2004-08-04 14:00  359040  9f4b36614a0fc234525ba224957de55c        C:\WINDOWS\$NtUninstallKB893066$\tcpip.sys

2005-05-25 21:04  359808  88763a98a4c26c409741b4aa162720c9        C:\WINDOWS\$NtUninstallKB913446$\tcpip.sys

2006-01-13 04:28  359808  583e063fdc888ca30d05c2724b0d7ef4        C:\WINDOWS\$NtUninstallKB917953$\tcpip.sys

2006-04-20 13:51  359808  1dbf125862891817f374f407626967f4        C:\WINDOWS\$NtUninstallKB941644$\tcpip.sys

2008-04-08 20:18  360064  482ab7f9cd41702e8f856c11cfefb02d        C:\WINDOWS\system32\dllcache\TCPIP.SYS

2008-04-08 20:18  360064  482ab7f9cd41702e8f856c11cfefb02d        C:\WINDOWS\system32\drivers\TCPIP.SYS

.

((((((((((((((((((((((((((((   Autostart Punkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

REGEDIT4

*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360]

"Body delete"="C:\DOKUME~1\STEFFE~1\ANWEND~1\JUGSHE~1\Fivelongtitle.exe" [ ]

"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-18 12:10 68856]

"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 18:24 1694208]

"msnmsgr"="C:\Programme\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 11:34 5724184]

"Veoh"="C:\Programme\Veoh Networks\Veoh\VeohClient.exe" [2008-04-01 18:35 3587120]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Cmaudio"="cmicnfg.cpl" []

"BearShare"="C:\Programme\BearShare\BearShare.exe" [ ]

"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]

"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-03-04 13:55 155648]

"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-18 00:26 262401]

"Adobe Photo Downloader"="C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" [2005-06-07 00:46 57344]

"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]

"Hope bib army bolt"="C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Aim download bolt bags\Third Anti Five.exe" [ ]

"Online chin internet bolt"="C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Bags Plus Online Chin\BOWS JUMP.exe" [2008-06-05 14:48 4788224]

"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-04-18 12:52 185896]

"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360]
 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusOverride"=dword:00000001
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"C:\\steffen\\Countern an SVENS PC (Internet)\\steam.exe"=

"C:\\steffen\\Countern an SVENS PC (Internet)\\SteamApps\\xxx@web.de\\counter-strike\\hl.exe"=

"C:\\mIRC\\mirc.exe"=

"C:\\Programme\\Valve\\hl.exe"=

"C:\\WINDOWS\\system32\\dpvsetup.exe"=

"C:\\Programme\\Internet Explorer\\IEXPLORE.EXE"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"C:\\Programme\\Mozilla Firefox\\firefox.exe"=

"C:\\Programme\\ICQ6\\ICQ.exe"=

"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=

"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
 

R0 tffsport;M-Systems DiskOnChip-2000;C:\WINDOWS\system32\DRIVERS\tffsport.sys [2004-08-04 00:00]

R1 Asapi;Asapi;C:\WINDOWS\system32\drivers\Asapi.sys [2002-04-17 21:27]

R1 PStrip;PStrip;C:\WINDOWS\system32\drivers\pstrip.sys [2006-09-30 11:35]
 

.

Inhalt des "geplante Tasks" Ordners

"2008-06-05 12:00:00 C:\WINDOWS\Tasks\AA5F47259184FC65.job"

- c:\dokume~1\steffe~1\anwend~1\jugshe~1\Audiocoalatom.exe

.

**************************************************************************
 

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-06-05 14:46:26

Windows 5.1.2600 Service Pack 2 NTFS
 

Scanne versteckte Prozesse...
 

Scanne versteckte Autostart Eintr„ge...
 

Scanne versteckte Dateien...
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************

.

------------------------ Other Running Processes ------------------------

.

C:\Programme\AntiVir PersonalEdition Classic\sched.exe

C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\system32\rundll32.exe

C:\Programme\Internet Explorer\iexplore.exe

C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe

.

**************************************************************************

.

Zeit der Fertigstellung: 2008-06-05 14:50:52 - machine was rebooted

ComboFix-quarantined-files.txt  2008-06-05 12:50:49
 

              19 Verzeichnis(se), 60,252,590,080 Bytes frei

              22 Verzeichnis(se), 61,871,239,168 Bytes frei
 

279        --- E O F ---        2008-06-03 00:58:57

BataAlexander

09.06.2008 14:01

Hast Du eigentlich die Messenger Plus Variante installiert?
Poste bitte die anderen Logs noch. :)

Steffe-88

09.06.2008 14:09

Code:



GMER 1.0.14.14536 - http://www.gmer.net

Rootkit scan 2008-06-09 15:07:32

Windows 5.1.2600 Service Pack 2
 
 

---- System - GMER 1.0.14 ----
 

SSDT  F7F642D4                                                                                                            ZwCreateThread

SSDT  F7F642C0                                                                                                            ZwOpenProcess

SSDT  F7F642C5                                                                                                            ZwOpenThread

SSDT  F7F642CF                                                                                                            ZwTerminateProcess

SSDT  F7F642CA                                                                                                            ZwWriteVirtualMemory
 

---- Registry - GMER 1.0.14 ----
 

Reg   HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32                                   

Reg   HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@ThreadingModel                    Apartment

Reg   HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@                                  C:\WINDOWS\system32\OLE32.DLL

Reg   HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@cd042efbbd7f7af1647644e76e06692b  0xC8 0x28 0x51 0xAF ...

Reg   HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32                                   

Reg   HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@ThreadingModel                    Apartment

Reg   HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@                                  C:\WINDOWS\system32\OLE32.DLL

Reg   HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@bca643cdc5c2726b20d2ecedcc62c59b  0x71 0x3B 0x04 0x66 ...

Reg   HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32                                   

Reg   HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@ThreadingModel                    Apartment

Reg   HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@                                  C:\WINDOWS\system32\OLE32.DLL

Reg   HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@2c81e34222e8052573023a60d06dd016  0x25 0xDA 0xEC 0x7E ...

Reg   HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32                                   

Reg   HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@ThreadingModel                    Apartment

Reg   HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@                                  C:\WINDOWS\system32\OLE32.DLL

Reg   HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@2582ae41fb52324423be06337561aa48  0x86 0x8C 0x21 0x01 ...

Reg   HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32                                   

Reg   HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@ThreadingModel                    Apartment

Reg   HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@                                  C:\WINDOWS\system32\OLE32.DLL

Reg   HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@caaeda5fd7a9ed7697d9686d4b818472  0xF5 0x1D 0x4D 0x73 ...

Reg   HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32                                   

Reg   HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@ThreadingModel                    Apartment

Reg   HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@                                  C:\WINDOWS\system32\OLE32.DLL

Reg   HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@a4a1bcf2cc2b8bc3716b74b2b4522f5d  0xB0 0x18 0xED 0xA7 ...

Reg   HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32                                   

Reg   HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@ThreadingModel                    Apartment

Reg   HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@                                  C:\WINDOWS\system32\OLE32.DLL

Reg   HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@4d370831d2c43cd13623e232fed27b7b  0xFB 0xA7 0x78 0xE6 ...

Reg   HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32                                   

Reg   HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@ThreadingModel                    Apartment

Reg   HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@                                  C:\WINDOWS\system32\OLE32.DLL

Reg   HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@1d68fe701cdea33e477eb204b76f993d  0x01 0x3A 0x48 0xFC ...

Reg   HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32                                   

Reg   HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@ThreadingModel                    Apartment

Reg   HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@                                  C:\WINDOWS\system32\OLE32.DLL

Reg   HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@1fac81b91d8e3c5aa4b0a51804d844a3  0x51 0xFA 0x6E 0x91 ...

Reg   HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32                                   

Reg   HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@ThreadingModel                    Apartment

Reg   HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@                                  C:\WINDOWS\system32\OLE32.DLL

Reg   HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@f5f62a6129303efb32fbe080bb27835b  0xB1 0xCD 0x45 0x5A ...

Reg   HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32                                   

Reg   HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@ThreadingModel                    Apartment

Reg   HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@                                  C:\WINDOWS\system32\OLE32.DLL

Reg   HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@fd4e2e1a3940b94dceb5a6a021f2e3c6  0xE3 0x0E 0x66 0xD5 ...

Reg   HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32                                   

Reg   HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@ThreadingModel                    Apartment

Reg   HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@                                  C:\WINDOWS\system32\OLE32.DLL

Reg   HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@8a8aec57dd6508a385616fbc86791ec2  0x6C 0x43 0x2D 0x1E ...
 

---- EOF - GMER 1.0.14 ----

Ja habe messenger plus leider auf anraten der freundin installiert ^^

gruß

Steffe-88

09.06.2008 14:15

kann ModGREPER leider nicht öffnen das schwarze fenster erscheint bei mir nicht..

Steffe-88

09.06.2008 14:21

muss ich mich bei sophos anmelden? Ich habe kein unternehmen ^^ und muss ich meine echten daten angeben? name? telefonnummer?

Steffe-88

09.06.2008 14:44

nachdem scan von sophos stand dran:

No hidden items found

gruß steffen

Sunny

09.06.2008 16:36

Hi :) ... Bitte nochmal ein neues Logfile von Combofix posten, das von gestern ist heute nicht mehr aktuell..

ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)

Steffe-88

09.06.2008 16:54

ok die 482 fehler und die 60fehler und der eine fehler bei dem letzten durchlauf sind behoben ... nun komme ich zum combofix

danke schonmal für die mühe

Steffe-88

09.06.2008 17:08

Code:



ComboFix 08-06-04.5 - *User 2008-06-09 17:55:30.2 - NTFSx86

Microsoft Windows XP Home Edition  5.1.2600.2.1252.1.1031.18.658 [GMT 2:00]

ausgeführt von:: C:\Dokumente und Einstellungen\*User\Desktop\ComboFix.exe
 
 WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

.
 

((((((((((((((((((((((((((((((((((((   Weitere L”schungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.
 

C:\WINDOWS\system32\drivers\snoa41.sys

C:\WINDOWS\system32\WinNt32.dll . . . . Nicht in der Lage zu löschen
 

.

(((((((((((((((((((((((((((((((((((((((   Drivers/Services   )))))))))))))))))))))))))))))))))))))))))))))))))

.
 

-------\Legacy_snoa41

-------\Legacy_tcpsr

-------\Service_snoa41

-------\Service_tcpsr
 
 

(((((((((((((((((((((((   Dateien erstellt von 2008-05-09 bis 2008-06-09  ))))))))))))))))))))))))))))))

.
 

2008-06-09 17:42 . 2008-06-09 17:42        <DIR>        d--------        C:\Programme\CCleaner

2008-06-09 17:15 . 2008-06-09 17:15        13,312        --a------        C:\WINDOWS\system32\WinNt32.dl_

2008-06-09 17:12 . 2008-06-09 17:12        29        --a------        C:\WINDOWS\system32\rfaapiqq.tmp

2008-06-09 17:10 . 2008-06-09 17:58        73,650        --a------        C:\WINDOWS\system32\bzsqlpa.sys

2008-06-09 17:10 . 2008-06-09 17:10        54,156        --ah-----        C:\WINDOWS\QTFont.qfn

2008-06-09 17:10 . 2008-06-09 17:15        29,184        --a------        C:\WINDOWS\system32\drivers\Fnq16.sys

2008-06-09 17:10 . 2008-06-09 17:58        13,312        ---------        C:\WINDOWS\system32\WinNt32.dll

2008-06-09 17:10 . 2008-06-09 17:10        12,800        --a------        C:\lkmam.exe

2008-06-09 17:10 . 2008-06-09 17:10        1,409        --a------        C:\WINDOWS\QTFont.for

2008-06-09 15:28 . 2008-06-09 15:28        <DIR>        d--------        C:\Sophos

2008-06-09 15:28 . 2008-06-09 15:28        <DIR>        d--------        C:\Programme\Sophos

2008-06-09 15:23 . 2008-06-09 15:23        <DIR>        d--------        C:\modGREPER-0.3-bin

2008-06-09 15:22 . 2008-06-09 15:22        <DIR>        d--------        C:\modGREPER

2008-06-09 14:50 . 2008-06-09 14:51        250        --a------        C:\WINDOWS\gmer.ini

2008-06-09 12:20 . 2008-06-09 12:20        <DIR>        d--------        C:\Deckard

2008-06-07 14:55 . 2008-06-07 14:55        <DIR>        d--------        C:\Dokumente und Einstellungen\steffen söllner

2008-06-07 14:55 .         <DIR>                C:\Dokumente und Einstellungen\*User\Lokale Einstellungen

2008-06-07 14:55 .         <DIR>                C:\Dokumente und Einstellungen\*User\Lokale Einstellungen

2008-06-06 10:58 . 2008-06-07 14:54        <DIR>        d--------        C:\Programme\Malwarebytes' Anti-Malware

2008-06-06 10:58 . 2008-06-06 10:58        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes

2008-06-06 10:58 . 2008-06-05 16:04        34,296        --a------        C:\WINDOWS\system32\drivers\mbamcatchme.sys

2008-06-06 10:58 . 2008-06-05 16:04        15,864        --a------        C:\WINDOWS\system32\drivers\mbam.sys

2008-06-06 09:37 . 2008-06-09 17:40        <DIR>        d--------        C:\wichtige dateien fr den moment

2008-06-06 09:16 . 2008-06-07 14:54        <DIR>        d--------        C:\Dokumente und Einstellungen\Steffe

2008-06-06 09:09 . 2008-06-07 14:54        <DIR>        d--------        C:\Dokumente und Einstellungen\Administrator

2008-06-06 08:51 . 2008-06-07 14:54        <DIR>        d--------        C:\Programme\CleanUp!

2008-06-06 08:49 . 2008-06-06 08:49        <DIR>        d--------        C:\!KillBox

2008-06-04 09:47 . 2008-06-04 09:47        <DIR>        d--------        C:\Dokumente und Einstellungen\Anwendungsdaten

2008-05-26 21:51 . 2008-06-01 20:59        <DIR>        d--------        C:\Youtube-Downloads

2008-05-26 21:47 . 2008-05-26 21:52        <DIR>        d--------        C:\DVDVideoSoft

2008-05-26 21:46 . 2008-05-26 21:47        <DIR>        d--------        C:\Programme\Free YouTube to Mp3 Converter

2008-05-26 21:46 . 2002-01-05 15:37        344,064        --a------        C:\WINDOWS\system32\msvcr70.dll

2008-05-22 19:25 . 2008-05-22 19:25        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Messenger Plus!

2008-05-21 18:05 . 2008-05-21 18:05        <DIR>        d--------        C:\Programme\Trend Micro

2008-05-21 17:44 . 2008-05-26 21:46        <DIR>        d-a------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-06-07 12:55        ---------        d-----w        C:\Programme\Yahoo!

2008-06-07 12:53        ---------        d-----w        C:\Programme\PartyGaming

2008-06-06 18:36        ---------        d-----w        C:\Programme\Windows Live

2008-06-02 09:14        ---------        d-----w        C:\Programme\MSECACHE

2008-05-26 21:32        ---------        d-----w        C:\Programme\BearShare

2008-05-26 21:30        ---------        d--h--w        C:\Programme\InstallShield Installation Information

2008-05-26 21:30        ---------        d-----w        C:\Programme\ATI Technologies

2008-05-09 13:23        ---------        d-----w        C:\Programme\Der Schreibtrainer

2008-05-07 00:06        ---------        d-----w        C:\Programme\Gemeinsame Dateien\Adobe

2008-05-06 23:59        ---------        d-----w        C:\Programme\Windows Installer Clean Up

2008-05-06 09:02        ---------        d-----w        C:\Programme\PokerStars

2008-04-18 15:10        ---------        d-----w        C:\Programme\Tipp10

2008-04-18 14:23        ---------        d-----w        C:\Programme\ICQ6

2008-04-18 10:52        ---------        d-----w        C:\Programme\Gemeinsame Dateien\xing shared

2008-04-18 10:52        ---------        d-----w        C:\Programme\Gemeinsame Dateien\Real

2008-04-16 10:20        ---------        d-----w        C:\Programme\MSN Messenger

2008-04-16 10:19        ---------        dcsh--w        C:\Programme\Gemeinsame Dateien\WindowsLiveInstaller

2008-04-16 10:18        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WLInstaller

2008-04-15 21:38        ---------        d-----w        C:\Programme\ICQLite

2008-04-14 08:52        ---------        d-----w        C:\Programme\Minilyrics

2008-04-11 06:19        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic

2008-04-10 10:35        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Bags Peak Chin Active

.
 

------- Sigcheck -------
 

2004-08-04 14:00  14336  65a819b121eb6fdab4400ea42bdffe64        C:\WINDOWS\system32\svchost.exe

2004-08-04 14:00  14336  65a819b121eb6fdab4400ea42bdffe64        C:\WINDOWS\system32\dllcache\svchost.exe
 

2005-03-02 20:19  578560  4c90159a69a5fd3eb39c71411f28fcff        C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\user32.dll

2007-03-08 17:48  579584  78785eff8cb90cec1862a4ccfd9a3c3a        C:\WINDOWS\$hf_mig$\KB925902\SP2QFE\user32.dll

2004-08-04 14:00  578560  56785fd5236d7b22cf471a6da9db46d8        C:\WINDOWS\$NtUninstallKB890859$\user32.dll

2005-03-02 20:09  578560  3751d7cf0e0a113d84414992146bce6a        C:\WINDOWS\$NtUninstallKB925902$\user32.dll

2007-03-08 17:36  579072  492e166cfd26a50fb9160db536ff7d2b        C:\WINDOWS\system32\user32.dll

2007-03-08 17:36  579072  492e166cfd26a50fb9160db536ff7d2b        C:\WINDOWS\system32\dllcache\user32.dll
 

2004-08-04 14:00  82944  d569240a22421d5f670bb6fb6dd522b5        C:\WINDOWS\system32\ws2_32.dll

2004-08-04 14:00  82944  d569240a22421d5f670bb6fb6dd522b5        C:\WINDOWS\system32\dllcache\ws2_32.dll
 

2005-09-03 01:53  666112  c9abc4ae17820bfee9a4307b8a4e6de9        C:\WINDOWS\$hf_mig$\KB896688\SP2QFE\wininet.dll

2005-07-03 04:11  665088  e992695b2d5628154b65fe8dfb0f3cca        C:\WINDOWS\$hf_mig$\KB896727\SP2QFE\wininet.dll

2005-10-21 05:38  667136  f3118df4abd118b11326d1c7a0093867        C:\WINDOWS\$hf_mig$\KB905915\SP2QFE\wininet.dll

2006-03-04 06:00  669184  c91b7839095133064f9c898897f8d64c        C:\WINDOWS\$hf_mig$\KB912812\SP2QFE\wininet.dll

2006-05-10 07:26  669184  2e9fffc696613e2e38f2263ade718c67        C:\WINDOWS\$hf_mig$\KB916281\SP2QFE\wininet.dll

2006-06-23 13:25  670208  05e47ea6708bd99df2d8e4abd55df079        C:\WINDOWS\$hf_mig$\KB918899\SP2QFE\wininet.dll

2006-09-14 10:36  670208  c98f3024049aaeafae1340d94c16fdc8        C:\WINDOWS\$hf_mig$\KB922760\SP2QFE\wininet.dll

2006-10-23 17:34  670208  47bbfeb4909d45064a992c3068610b06        C:\WINDOWS\$hf_mig$\KB925454\SP2QFE\wininet.dll

2007-03-07 19:34  823296  4ef1ae9a4d801ab63ec752478247bfce        C:\WINDOWS\$hf_mig$\KB931768-IE7\SP2QFE\wininet.dll

2007-04-25 10:26  823808  26db81279fed58d5199235c26d4836e2        C:\WINDOWS\$hf_mig$\KB933566-IE7\SP2QFE\wininet.dll

2007-08-20 11:48  825344  283d85f8192fa54f2ca978b659965739        C:\WINDOWS\$hf_mig$\KB939653-IE7\SP2QFE\wininet.dll

2007-10-11 01:20  825344  6a1aef7b9e513acb566b16b0ba133c7c        C:\WINDOWS\$hf_mig$\KB942615-IE7\SP2QFE\wininet.dll

2007-12-07 03:41  825344  16ef6865a405134ce64a3aa6cef6c69f        C:\WINDOWS\$hf_mig$\KB944533-IE7\SP2QFE\wininet.dll

2008-03-01 14:33  827392  a7b7383ec19f0c5ebd02cb7826c8488b        C:\WINDOWS\$hf_mig$\KB947864-IE7\SP2QFE\wininet.dll

2005-07-03 04:15  664064  9ad1c82368bbec1c1414a3f8820c7cf9        C:\WINDOWS\$NtUninstallKB896688$\wininet.dll

2004-08-04 14:00  662016  b1a1da99c4a6ebfd59f86a453bf02f39        C:\WINDOWS\$NtUninstallKB896727$\wininet.dll

2005-09-03 01:53  664064  8266074ce4a6573460559e4db2e6695f        C:\WINDOWS\$NtUninstallKB905915$\wininet.dll

2005-10-21 05:40  664064  19625f6f8357c2306ba4b3583c705836        C:\WINDOWS\$NtUninstallKB912812$\wininet.dll

2006-03-04 05:34  664064  b29b257bd34bcf1a754c3f3a3ab98a07        C:\WINDOWS\$NtUninstallKB916281$\wininet.dll

2006-05-10 07:23  664064  a9e5a84a1bdf70a51b568dfdd73395ac        C:\WINDOWS\$NtUninstallKB918899$\wininet.dll

2006-06-23 13:10  664576  9a73ca7a43ab311cac76686add9d946f        C:\WINDOWS\$NtUninstallKB922760$\wininet.dll

2006-10-23 17:17  664576  0eb2d621dcbc6ed6d5b48867455a165c        C:\WINDOWS\$NtUninstallKB925454$\wininet.dll

2006-09-14 10:39  664576  792df201f5e3dbe2c91bc40de0f62972        C:\WINDOWS\$NtUninstallKB925454_0$\wininet.dll

2006-10-23 17:34  670208  47bbfeb4909d45064a992c3068610b06        C:\WINDOWS\ie7\wininet.dll

2006-11-07 22:03  818688  92995334f993e6e49c25c6d02ec04401        C:\WINDOWS\ie7updates\KB928090-IE7\wininet.dll

2007-01-12 10:27  822784  be43d00d802c92f01c8cc952c6f483f8        C:\WINDOWS\ie7updates\KB931768-IE7\wininet.dll

2007-03-07 19:40  822784  c601bd2849927d44f8549f720cfa14d3        C:\WINDOWS\ie7updates\KB933566-IE7\wininet.dll

2007-04-25 09:42  822784  4e9436b0301b0451ed2fb29364ab090f        C:\WINDOWS\ie7updates\KB939653-IE7\wininet.dll

2007-08-20 11:55  824832  cafc9797228843012ced767d24d8dcfc        C:\WINDOWS\ie7updates\KB942615-IE7\wininet.dll

2007-10-11 01:46  824832  fa5fa22e6f36f8453e9377810b3f9939        C:\WINDOWS\ie7updates\KB944533-IE7\wininet.dll

2007-12-07 04:04  824832  ba4d7d3098e2ba8aea34a19bbecf9962        C:\WINDOWS\ie7updates\KB947864-IE7\wininet.dll

2008-03-01 14:54  826368  32fc70ac1effe28db72fdf1dcc319e72        C:\WINDOWS\system32\wininet.dll

2008-03-01 14:54  826368  32fc70ac1effe28db72fdf1dcc319e72        C:\WINDOWS\system32\dllcache\wininet.dll
 

2005-05-25 21:07  359936  63fdfea54eb53de2d863ee454937ce1e        C:\WINDOWS\$hf_mig$\KB893066\SP2QFE\tcpip.sys

2006-01-13 19:07  360448  5562cc0a47b2aef06d3417b733f3c195        C:\WINDOWS\$hf_mig$\KB913446\SP2QFE\tcpip.sys

2006-04-20 14:18  360576  b2220c618b42a2212a59d91ebd6fc4b4        C:\WINDOWS\$hf_mig$\KB917953\SP2QFE\tcpip.sys

2007-10-30 18:53  360832  64798ecfa43d78c7178375fcdd16d8c8        C:\WINDOWS\$hf_mig$\KB941644\SP2QFE\tcpip.sys

2004-08-04 14:00  359040  9f4b36614a0fc234525ba224957de55c        C:\WINDOWS\$NtUninstallKB893066$\tcpip.sys

2005-05-25 21:04  359808  88763a98a4c26c409741b4aa162720c9        C:\WINDOWS\$NtUninstallKB913446$\tcpip.sys

2006-01-13 04:28  359808  583e063fdc888ca30d05c2724b0d7ef4        C:\WINDOWS\$NtUninstallKB917953$\tcpip.sys

2006-04-20 13:51  359808  1dbf125862891817f374f407626967f4        C:\WINDOWS\$NtUninstallKB941644$\tcpip.sys

2008-04-08 20:18  360064  482ab7f9cd41702e8f856c11cfefb02d        C:\WINDOWS\system32\dllcache\TCPIP.SYS

2008-04-08 20:18  360064  482ab7f9cd41702e8f856c11cfefb02d        C:\WINDOWS\system32\drivers\TCPIP.SYS
 

2004-08-04 14:00  507392  2b6a0baf33a9918f09442d873848ff72        C:\WINDOWS\system32\winlogon.exe

2004-08-04 14:00  507392  2b6a0baf33a9918f09442d873848ff72        C:\WINDOWS\system32\dllcache\winlogon.exe
 

2004-08-04 14:00  182912  558635d3af1c7546d26067d5d9b6959e        C:\WINDOWS\system32\dllcache\ndis.sys

2004-08-04 14:00  182912  558635d3af1c7546d26067d5d9b6959e        C:\WINDOWS\system32\drivers\ndis.sys
 

2004-08-04 14:00  29056  4448006b6bc60e6c027932cfc38d6855        C:\WINDOWS\system32\dllcache\ip6fw.sys

2004-08-04 14:00  29056  4448006b6bc60e6c027932cfc38d6855        C:\WINDOWS\system32\drivers\ip6fw.sys
 

2005-03-02 20:11  2059264  ae8364004bbfd70461d2ef34888d3360        C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\ntkrnlpa.exe

2006-12-19 20:43  2061696  d3767e1a7e6674ce671a8a8254945c29        C:\WINDOWS\$hf_mig$\KB929338\SP2QFE\ntkrnlpa.exe

2007-02-28 18:06  2061696  9b9ca27ad315c02b71510238574894b2        C:\WINDOWS\$hf_mig$\KB931784\SP2QFE\ntkrnlpa.exe

2004-08-04 14:00  2059136  ce41fc4c06499a389d39b301879535fb        C:\WINDOWS\$NtUninstallKB890859$\ntkrnlpa.exe

2005-03-02 20:06  2059136  bdff8ffa77ee7df9758ef8c1e0da8eff        C:\WINDOWS\$NtUninstallKB929338$\ntkrnlpa.exe

2006-12-19 20:21  2059904  949708e7258538bcee597aad521fe4f9        C:\WINDOWS\$NtUninstallKB931784$\ntkrnlpa.exe

2007-02-28 18:02  2059904  06effe1520c59641fcdb8baa94a8539f        C:\WINDOWS\Driver Cache\i386\ntkrnlpa.exe

2007-02-28 18:02  2059904  06effe1520c59641fcdb8baa94a8539f        C:\WINDOWS\system32\ntkrnlpa.exe

2007-02-28 18:02  2059904  06effe1520c59641fcdb8baa94a8539f        C:\WINDOWS\system32\dllcache\ntkrnlpa.exe
 

2005-03-02 20:11  2181888  eb5538a452e0e99169e2b6cdb62ff9d2        C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\ntoskrnl.exe

2006-12-19 20:43  2184320  00c476049fecf1d3a05c783015b9b518        C:\WINDOWS\$hf_mig$\KB929338\SP2QFE\ntoskrnl.exe

2007-02-28 18:06  2184448  e1de7a10d46959560c3b617227d95c19        C:\WINDOWS\$hf_mig$\KB931784\SP2QFE\ntoskrnl.exe

2004-08-04 14:00  2183296  dc888c9c4ca0eea7a3cb7e6b610f75c7        C:\WINDOWS\$NtUninstallKB890859$\ntoskrnl.exe

2005-03-02 20:06  2181632  7189a2391adc1f65c9ae87b0abe0f945        C:\WINDOWS\$NtUninstallKB929338$\ntoskrnl.exe

2006-12-19 20:21  2182656  f11b21daff0af34c56b18500c47717d5        C:\WINDOWS\$NtUninstallKB931784$\ntoskrnl.exe

2007-02-28 18:02  2182656  2804b72eb675cd43df7994ae4685b894        C:\WINDOWS\Driver Cache\i386\ntoskrnl.exe

2007-02-28 18:02  2182656  2804b72eb675cd43df7994ae4685b894        C:\WINDOWS\system32\ntoskrnl.exe

2007-02-28 18:02  2182656  2804b72eb675cd43df7994ae4685b894        C:\WINDOWS\system32\dllcache\ntoskrnl.exe
 

2007-06-13 15:21  1036288  64d320c0e301eedc5a4adbbdc5024f7f        C:\WINDOWS\explorer.exe

2007-06-13 15:10  1036288  331ed93570baf3cfe30340298762cd56        C:\WINDOWS\$hf_mig$\KB938828\SP2QFE\explorer.exe

2004-08-04 14:00  1035264  22fe1be02eadde1632e478e4125639e0        C:\WINDOWS\$NtUninstallKB938828$\explorer.exe

2007-06-13 15:21  1036288  64d320c0e301eedc5a4adbbdc5024f7f        C:\WINDOWS\system32\dllcache\explorer.exe
 

2004-08-04 14:00  108544  edb6b81761bd60f32f740bbc40afb676        C:\WINDOWS\system32\services.exe

2004-08-04 14:00  108544  edb6b81761bd60f32f740bbc40afb676        C:\WINDOWS\system32\dllcache\services.exe
 

2004-08-04 14:00  13312  183805eb05bca5a1e4aaaed4d2be3690        C:\WINDOWS\system32\lsass.exe

2004-08-04 14:00  13312  183805eb05bca5a1e4aaaed4d2be3690        C:\WINDOWS\system32\dllcache\lsass.exe
 

2004-08-04 14:00  15360  7ce20569925df6789c31799f0c538f29        C:\WINDOWS\system32\ctfmon.exe

2004-08-04 14:00  15360  7ce20569925df6789c31799f0c538f29        C:\WINDOWS\system32\dllcache\ctfmon.exe

.

(((((((((((((((((((((((((((((   snapshot@2008-06-05_14.50.38.35   )))))))))))))))))))))))))))))))))))))))))

.

- 2008-06-05 12:44:54        2,048        --s-a-w        C:\WINDOWS\bootstat.dat

+ 2008-06-09 15:58:11        2,048        --s-a-w        C:\WINDOWS\bootstat.dat

+ 2005-10-20 18:02:28        163,328        ----a-w        C:\WINDOWS\erdnt\subs\ERDNT.EXE

+ 2008-06-09 12:50:30        884,736        ----a-w        C:\WINDOWS\gmer.dll

+ 2008-04-17 19:13:02        811,008        ----a-r        C:\WINDOWS\gmer.exe

- 2008-04-16 10:19:47        29,926        ----a-r        C:\WINDOWS\Installer\{2B091530-69AA-442E-AB09-39ED06B58220}\MsblIco.Exe

+ 2008-06-06 18:34:02        29,926        ----a-r        C:\WINDOWS\Installer\{2B091530-69AA-442E-AB09-39ED06B58220}\MsblIco.Exe

+ 2008-06-09 12:50:31        85,969        ----a-w        C:\WINDOWS\system32\drivers\gmer.sys

- 2008-06-02 19:16:10        143,624        ----a-w        C:\WINDOWS\system32\FNTCACHE.DAT

+ 2008-06-09 15:58:10        139,648        ----a-w        C:\WINDOWS\system32\FNTCACHE.DAT

- 2007-11-11 15:35:26        3,237,176        ----a-w        C:\WINDOWS\system32\Restore\rstrlog.dat

+ 2008-06-07 12:55:13        2,064,468        ----a-w        C:\WINDOWS\system32\Restore\rstrlog.dat

.

((((((((((((((((((((((((((((   Autostart Punkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

REGEDIT4

*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360]

"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-18 12:10 68856]

"msnmsgr"="C:\Programme\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 11:34 5724184]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Cmaudio"="cmicnfg.cpl" []

"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-18 00:26 262401]

"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-04-18 12:52 185896]

"MSConfig"="C:\WINDOWS\pchealth\helpctr\Binaries\MSCONFIG.exe" [2004-08-04 14:00 160768]

"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-03-04 13:55 155648]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360]
 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\fnq16.sys]

@="Driver"
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]

path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk

backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Erinnerungen für Microsoft Works-Kalender.lnk]

path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Erinnerungen für Microsoft Works-Kalender.lnk

backup=C:\WINDOWS\pss\Erinnerungen für Microsoft Works-Kalender.lnkCommon Startup
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]

--a------ 2005-06-07 00:46 57344 C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]

--a------ 2008-01-11 22:16 39792 C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BearShare]

C:\Programme\BearShare\BearShare.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]

--------- 2004-10-13 18:24 1694208 C:\Programme\Messenger\msmsgs.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]

--a------ 2007-10-18 11:34 5724184 C:\Programme\Windows Live\Messenger\msnmsgr.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]

--a------ 2001-07-09 11:50 155648 C:\WINDOWS\system32\NeroCheck.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Online chin internet bolt]

--a------ 2008-06-07 13:05 6792192 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Bags Plus Online Chin\BOWS JUMP.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]

--a------ 2006-03-04 13:55 155648 C:\Programme\QuickTime\qttask.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]

--a------ 2008-02-22 05:25 144784 C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]

--a------ 2007-07-18 12:10 68856 C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Veoh]

--a------ 2008-04-01 18:35 3587120 C:\Programme\Veoh Networks\Veoh\VeohClient.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusOverride"=dword:00000001
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"C:\\steffen\\Countern an SVENS PC (Internet)\\steam.exe"=

"C:\\steffen\\Countern an SVENS PC (Internet)\\SteamApps\\xxx@web.de\\counter-strike\\hl.exe"=

"C:\\mIRC\\mirc.exe"=

"C:\\Programme\\Valve\\hl.exe"=

"C:\\WINDOWS\\system32\\dpvsetup.exe"=

"C:\\Programme\\Internet Explorer\\IEXPLORE.EXE"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"C:\\Programme\\ICQ6\\ICQ.exe"=

"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=

"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=

"C:\\Programme\\Messenger\\msmsgs.exe"=

"C:\\Programme\\Mozilla Firefox\\firefox.exe"=
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"80:TCP"= 80:TCP:http
 

R0 fnq16;fnq16;C:\WINDOWS\system32\Drivers\Fnq16.sys [2008-06-09 17:15]

R0 tffsport;M-Systems DiskOnChip-2000;C:\WINDOWS\system32\DRIVERS\tffsport.sys [2004-08-04 00:00]

R1 Asapi;Asapi;C:\WINDOWS\system32\drivers\Asapi.sys [2002-04-17 21:27]

R1 PStrip;PStrip;C:\WINDOWS\system32\drivers\pstrip.sys [2006-09-30 11:35]

S3 MEMSWEEP2;MEMSWEEP2;C:\WINDOWS\system32\60.tmp []
 

.

**************************************************************************
 

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://w*w.gmer.net

Rootkit scan 2008-06-09 17:58:39

Windows 5.1.2600 Service Pack 2 NTFS
 

Scanne versteckte Prozesse...
 

Scanne versteckte Autostart Eintr„ge...
 

Scanne versteckte Dateien...
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************
 

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MEMSWEEP2]

"ImagePath"="\??\C:\WINDOWS\system32\60.tmp"

.

------------------------ Other Running Processes ------------------------

.

C:\WINDOWS\system32\rundll32.exe

C:\Programme\AntiVir PersonalEdition Classic\sched.exe

C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\system32\wscntfy.exe

.

**************************************************************************

.

Zeit der Fertigstellung: 2008-06-09 18:03:11 - machine was rebooted

ComboFix-quarantined-files.txt  2008-06-09 16:03:08

ComboFix2.txt  2008-06-09 12:50:10
 

              25 Verzeichnis(se), 64,822,775,808 Bytes frei

              28 Verzeichnis(se), 64,770,879,488 Bytes frei
 

283        --- E O F ---        2008-06-03 00:58:57

Sunny

09.06.2008 17:24

Da scheint einiges nicht in Ordnung zu sein, daher eine genauere Untersuchung:

Dateien Online überprüfen lassen:

Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

lass auch die versteckten Dateien anzeigen!

Zitat:

C:\WINDOWS\system32\WinNt32.dll
C:\WINDOWS\system32\rfaapiqq.tmp
C:\WINDOWS\system32\bzsqlpa.sys
C:\WINDOWS\system32\WinNt32.dl_
C:\lkmam.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Bags Plus Online Chin\BOWS JUMP.exe

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

SDFix

* Lade das SDFix herunter und speichere es auf deinem Desktop.

* Mach einen Doppelklick auf die Datei SDFix.exe, wähle installieren, um das Programm in seinen eigenen Ordner auf deinem Desktop zu entpacken.
* Starte deinen Rechner neu auf, in den abgesicherten Modus

* Öffne den neu entstandenen SDFix Ordner, mach einen Doppelklick auf die RunThis.bat, um das Skript zu starten.
* Gib ein Y ein, um den Reinigungsprozess zu beginnen.
* Das Programm wird alle Trojaner Dienste und die dazugehörigen Registrierungseinträge löschen, die es findet.
* Nun wirst du darum gebeten, eine Taste zu drücken, damit dein Rechner neu aufstarten kann.
* Drücke auf eine Taste. Jetzt wird dein Rechner neu aufgestartet.
* Wenn der Rechner neu aufgestartet ist, wird das Fixtool nocheinmal laufen, um den Reinigungsprozess zu vervollständigen.
* Wenn das Programm angibt, dass es beendet ist (Finished), drücke wieder auf irgendeine Taste, um das Skript zu beenden und deine Desktop Iconen wieder zu laden.
* Wenn die Desktop Icons wieder da sind, wird das Skript ein Fenster öffnen und das Ergebnis als einen Report.txt im Ordner SDFix speichern.
* Kopiere den Inhalt dieses Report.txt und poste ihn, zusammen mit einem neuen HijackThis Logfile in deinem nächsten Posting.

Steffe-88

09.06.2008 17:47

lkam.exe kam vor wenigen stunden erst dazu :-S

Kann es nicht löschen..

Sunny

09.06.2008 18:03

Zitat:

Zitat von Steffe-88 (Beitrag 344542)

lkam.exe kam vor wenigen stunden erst dazu :-S

Kann es nicht löschen..

Du sollst auch nichts löschen, sondern zuerst die Dateien überprüfen!

Steffe-88

09.06.2008 18:43

Code:



Datei catchme2008-06-09_175637_56.zip empfangen 2008.06.09 19:31:36 (CET) 

 

Antivirus        Version        letzte aktualisierung        Ergebnis           

AhnLab-V3        2008.5.30.1        2008.06.09        -           

AntiVir        7.8.0.55        2008.06.09        TR/Dldr.Mutant.adh.3           

Authentium        5.1.0.4        2008.06.08        -           

Avast        4.8.1195.0        2008.06.09        -           

AVG        7.5.0.516        2008.06.09        Downloader.Generic7.RNN           

BitDefender        7.2        2008.06.09        -           

CAT-QuickHeal        9.50        2008.06.09        TrojanDownloader.Mutant.adh           

ClamAV        0.92.1        2008.06.09        -           

DrWeb        4.44.0.09170        2008.06.09        BackDoor.Bulknet.206           

eSafe        7.0.15.0        2008.06.09        -           

eTrust-Vet        31.6.5858        2008.06.08        -           

Ewido        4.0        2008.06.09        -           

F-Prot        4.4.4.56        2008.06.08        -           

F-Secure        6.70.13260.0        2008.06.09        Trojan-Downloader.Win32.Mutant.adh           

Fortinet        3.14.0.0        2008.06.09        -           

GData        2.0.7306.1023        2008.06.09        Trojan-Downloader.Win32.Mutant.adh           

Ikarus        T3.1.1.26.0        2008.06.09        Trojan-Downloader.Win32.Mutant.adh           

Kaspersky        7.0.0.125        2008.06.09        Trojan-Downloader.Win32.Mutant.adh           

McAfee        5313        2008.06.09        -           

Microsoft        1.3604        2008.06.09        TrojanDownloader:Win32/Cutwail.S           

NOD32v2        3169        2008.06.09        -           

Norman        5.80.02        2008.06.09        W32/DLoader.HNPI           

Panda        9.0.0.4        2008.06.08        -           

Prevx1        V2        2008.06.09        Malware Downloader           

Rising        20.47.42.00        2008.06.06        -           

Sophos        4.30.0        2008.06.09        Troj/Agent-HBJ           

Sunbelt        3.0.1145.1        2008.06.05        -           

Symantec        10        2008.06.09        -           

TheHacker        6.2.92.339        2008.06.07        -           

VBA32        3.12.6.7        2008.06.09        -           

VirusBuster        4.3.26:9        2008.06.09        -           

Webwasher-Gateway        6.6.2        2008.06.09        Trojan.Dldr.Mutant.adh.3           

                                   

weitere Informationen                                   

File size: 10913 bytes                                   

MD5...: 0a831110dc769b18fc852dd2d111dc20                                   

SHA1..: dba897e07d4f136c2ff7b9566b50bf51331f2029                                   

SHA256: 5f437f71d2152e83f6cd31013225210f61fb20d7507ac6513b5a99e0fd225d3c                                   

SHA512: f1a3fa3323e4abd1e0c7cede6de7c57d775e8122cae0785bd75c443fd1b455ce<BR>a5616820779b10e36edefe58d3d46d58499eeb055ba0cb6fe5d84ae58282f9a9                                   

PEiD..: -                                   

PEInfo: -                                   

Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=93FC85170025BAE232D900EC792E4300D7A91BD1

Das war die einzige datei, die nicht 0/32 (0%) angezeigt bekommen hat

Sunny

09.06.2008 18:58

Dateien Online überprüfen lassen:

Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

lass auch die versteckten Dateien anzeigen!

Zitat:

C:\WINDOWS\system32\60.tmp

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

Scripten mit Combofix

Öffne den Editor ( Start -> Zubehör -> Editor ) kopiere nun folgenden Text in das weiße Feld:

Code:

KILLALL::
 

Registry::

[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Online chin internet bolt]
 

Rootkit::

C:\WINDOWS\system32\WinNt32.dll
 

FILE::

C:\WINDOWS\system32\rfaapiqq.tmp

C:\WINDOWS\system32\bzsqlpa.sys

C:\WINDOWS\system32\WinNt32.dl_

C:\lkmam.exe

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Bags Plus Online Chin\BOWS JUMP.exe
 

Folder::

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Bags Plus Online Chin

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann

Steffe-88

10.06.2008 08:26

Code:


 SDFix: Version 1.190 

Run by *User on 09.06.2008 at 20:15
 

Microsoft Windows XP [Version 5.1.2600]

Running From: C:\DOKUME~1\STEFFE~1\Desktop\SDFix
 
 Checking Services :
 
 Name : 

bzsqlpa
 
 Path :

\??\C:\WINDOWS\system32\bzsqlpa.sys 
 

bzsqlpa - Deleted
 
 
 

Restoring Windows Registry Values

Restoring Windows Default Hosts File
 

Rebooting
 
 
 Checking Files : 
 

Trojan Files Found:
 

C:\WINDOWS\system32\WinNt32.dl_  - Deleted

C:\WINDOWS\system32\bzsqlpa.sys  - Deleted
 
 

Could Not Remove C:\WINDOWS\system32\WinNt32.dll 
 
 
 

Removing Temp Files
 
 ADS Check :

 
 
 

                                 Final Check :
 

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-06-10 09:17:21

Windows 5.1.2600 Service Pack 2 NTFS
 

scanning hidden processes ...
 

scanning hidden services & system hive ...
 

scanning hidden registry entries ...
 

scanning hidden files ...
 

scan completed successfully

hidden processes: 0

hidden services: 0

hidden files: 0
 
 
 Remaining Services :
 
 
 
 

Authorized Application Key Export:
 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\\steffen\\Countern an SVENS PC (Internet)\\steam.exe"="C:\\steffen\\Countern an SVENS PC (Internet)\\steam.exe:*:Enabled:Steam"

"C:\\steffen\\Countern an SVENS PC (Internet)\\SteamApps\\xxx@web.de\\counter-strike\\hl.exe"="C:\\steffen\\Countern an SVENS PC (Internet)\\SteamApps\\xxx@web.de\\counter-strike\\hl.exe:*:Enabled:Half-Life Launcher"

"C:\\mIRC\\mirc.exe"="C:\\mIRC\\mirc.exe:*:Enabled:mIRC"

"C:\\Programme\\Valve\\hl.exe"="C:\\Programme\\Valve\\hl.exe:*:Enabled:Half-Life Launcher"

"C:\\WINDOWS\\system32\\dpvsetup.exe"="C:\\WINDOWS\\system32\\dpvsetup.exe:*:Enabled:Microsoft DirectPlay Voice Test"

"C:\\Programme\\Internet Explorer\\IEXPLORE.EXE"="C:\\Programme\\Internet Explorer\\IEXPLORE.EXE:*:Enabled:Internet Explorer"

"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

"C:\\Programme\\ICQ6\\ICQ.exe"="C:\\Programme\\ICQ6\\ICQ.exe:*:Enabled:ICQ6"

"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe:*:Disabled:Windows Live Messenger"

"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"="C:\\Programme\\Windows Live\\Messenger\\livecall.exe:*:Disabled:Windows Live Messenger (Phone)"

"C:\\Programme\\Messenger\\msmsgs.exe"="C:\\Programme\\Messenger\\msmsgs.exe:*:Disabled:Windows Messenger"

"C:\\Programme\\Mozilla Firefox\\firefox.exe"="C:\\Programme\\Mozilla Firefox\\firefox.exe:*:Disabled:Firefox"

"C:\\Programme\\AVG\\AVG8\\avgupd.exe"="C:\\Programme\\AVG\\AVG8\\avgupd.exe:*:Enabled:avgupd.exe"

"C:\\Programme\\AVG\\AVG8\\avgemc.exe"="C:\\Programme\\AVG\\AVG8\\avgemc.exe:*:Enabled:avgemc.exe"
 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"

"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"="C:\\Programme\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
 
 Remaining Files :
 

C:\WINDOWS\system32\WinNt32.dll  Found
 

File Backups: - C:\DOKUME~1\STEFFE~1\Desktop\SDFix\backups\backups.zip
 
 Files with Hidden Attributes :
 

Tue 30 Aug 2005         4,348 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\DRMv1.bak"

Thu 28 Dec 2006             0 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\Cache\Indiv02.tmp"

Tue  3 Jun 2008             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\7140a0002270359dd64c0c1571799fb7\BIT84.tmp"

Thu  8 May 2008             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\ccba472a05828aa2a3ee32c96c6466ca\BIT96.tmp"
 
 Finished!

Steffe-88

10.06.2008 08:31

Code:



Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 09:27:53, on 10.06.2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16640)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\AntiVir PersonalEdition Classic\sched.exe

C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe

C:\PROGRA~1\AVG\AVG8\avgrsx.exe

C:\PROGRA~1\AVG\AVG8\avgemc.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\RunDll32.exe

C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe

C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe

C:\Programme\QuickTime\qttask.exe

C:\PROGRA~1\AVG\AVG8\avgtray.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\internet explorer\iexplore.exe

C:\Programme\Trend Micro\HijackThis\HijackThis.exe
 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R3 - URLSearchHook: ICQ  Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3ca2f312-6f6e-4b53-a66e-4e65e497c8c0} - C:\Programme\AVG\AVG8\avgssie.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\de\msntb.dll

O3 - Toolbar: ICQ  Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\de\msntb.dll

O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)

O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programme\PokerStars\PokerStarsUpdate.exe

O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe

O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe

O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)

O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} - h**p://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab

O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - h**p://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} - h**p://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} - h**p://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {A1F2F2CE-06AF-483C-9F12-D3BAA72477D6} - h**p://appdirectory.messenger.msn.com/AppDirectory/P4Apps/PhotoSwap/DigWXMSN.cab

O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} - h**p://game08.zylom.com/activex/zylomgamesplayer.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} - h**p://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - h**p://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab

O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} - h**p://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab

O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG8\avgpp.dll

O20 - AppInit_DLLs: avgrsstx.dll

O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe

O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe

O24 - Desktop Component 0: (no name) - h**p://w*w.paulaner-journal.de/mannheim/images/DSC07976.jpg

O24 - Desktop Component 1: (no name) - h**p://w*w.paulaner-journal.de/mannheim/images/DSC07975.jpg
 

--

End of file - 8216 bytes

Steffe-88

10.06.2008 09:02

Code:

ComboFix 08-06-04.5 - *User 2008-06-10  9:39:00.3 - NTFSx86

Microsoft Windows XP Home Edition  5.1.2600.2.1252.1.1031.18.721 [GMT 2:00]

ausgeführt von:: C:\Dokumente und Einstellungen\*User\Desktop\ComboFix.exe

Command switches used :: C:\Dokumente und Einstellungen\*User\Desktop\cfscript.txt

 * Neuer Wiederherstellungspunkt wurde erstellt
 
 WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
 

FILE ::

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Bags Plus Online Chin\BOWS JUMP.exe

C:\lkmam.exe

C:\WINDOWS\system32\bzsqlpa.sys

C:\WINDOWS\system32\rfaapiqq.tmp

C:\WINDOWS\system32\WinNt32.dl_

.
 

((((((((((((((((((((((((((((((((((((   Weitere L”schungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.
 

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Bags Plus Online Chin

C:\lkmam.exe

C:\WINDOWS\system32\rfaapiqq.tmp

C:\WINDOWS\system32\WinNt32.dll
 

.

(((((((((((((((((((((((   Dateien erstellt von 2008-05-10 bis 2008-06-10  ))))))))))))))))))))))))))))))

.
 

2008-06-09 20:08 . 2008-06-09 20:09        <DIR>        d--------        C:\WINDOWS\ERUNT

2008-06-09 19:29 . 2008-06-09 19:45        <DIR>        d--h-----        C:\$AVG8.VAULT$

2008-06-09 19:22 . 2008-06-10 09:14        <DIR>        d--------        C:\WINDOWS\system32\drivers\Avg

2008-06-09 19:22 . 2008-06-09 19:22        <DIR>        d--------        C:\Programme\AVG

2008-06-09 19:22 . 2008-06-09 19:22        96,520        --a------        C:\WINDOWS\system32\drivers\avgldx86.sys

2008-06-09 19:22 . 2008-06-09 19:22        75,272        --a------        C:\WINDOWS\system32\drivers\avgtdix.sys

2008-06-09 19:22 . 2008-06-09 19:22        10,520        --a------        C:\WINDOWS\system32\avgrsstx.dll

2008-06-09 19:21 . 2008-06-09 19:21        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\avg8

2008-06-09 19:03 . 2008-06-09 19:20        <DIR>        d--------        C:\AVG

2008-06-09 17:42 . 2008-06-09 17:42        <DIR>        d--------        C:\Programme\CCleaner

2008-06-09 17:10 . 2008-06-09 17:10        54,156        --ah-----        C:\WINDOWS\QTFont.qfn

2008-06-09 17:10 . 2008-06-09 17:10        1,409        --a------        C:\WINDOWS\QTFont.for

2008-06-09 15:28 . 2008-06-09 15:28        <DIR>        d--------        C:\Sophos

2008-06-09 15:28 . 2008-06-09 15:28        <DIR>        d--------        C:\Programme\Sophos

2008-06-09 15:23 . 2008-06-09 15:23        <DIR>        d--------        C:\modGREPER-0.3-bin

2008-06-09 15:22 . 2008-06-09 15:22        <DIR>        d--------        C:\modGREPER

2008-06-09 14:50 . 2008-06-09 14:51        250        --a------        C:\WINDOWS\gmer.ini

2008-06-09 12:20 . 2008-06-09 12:20        <DIR>        d--------        C:\Deckard

2008-06-07 14:55 . 2008-06-07 14:55        <DIR>        d--------        C:\Dokumente und Einstellungen\steffen söllner

2008-06-07 14:55 .         <DIR>                C:\Dokumente und Einstellungen\*User\Lokale Einstellungen

2008-06-07 14:55 .         <DIR>                C:\Dokumente und Einstellungen\*User\Lokale Einstellungen

2008-06-06 10:58 . 2008-06-07 14:54        <DIR>        d--------        C:\Programme\Malwarebytes' Anti-Malware

2008-06-06 10:58 . 2008-06-06 10:58        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes

2008-06-06 10:58 . 2008-06-05 16:04        34,296        --a------        C:\WINDOWS\system32\drivers\mbamcatchme.sys

2008-06-06 10:58 . 2008-06-05 16:04        15,864        --a------        C:\WINDOWS\system32\drivers\mbam.sys

2008-06-06 09:37 . 2008-06-09 19:05        <DIR>        d--------        C:\wichtige dateien fr den moment

2008-06-06 09:16 . 2008-06-09 19:22        <DIR>        d--------        C:\Dokumente und Einstellungen\Steffe

2008-06-06 09:09 . 2008-06-09 19:22        <DIR>        d--------        C:\Dokumente und Einstellungen\Administrator

2008-06-06 08:51 . 2008-06-07 14:54        <DIR>        d--------        C:\Programme\CleanUp!

2008-06-06 08:49 . 2008-06-06 08:49        <DIR>        d--------        C:\!KillBox

2008-06-04 09:47 . 2008-06-04 09:47        <DIR>        d--------        C:\Dokumente und Einstellungen\Anwendungsdaten

2008-05-26 21:51 . 2008-06-01 20:59        <DIR>        d--------        C:\Youtube-Downloads

2008-05-26 21:47 . 2008-05-26 21:52        <DIR>        d--------        C:\DVDVideoSoft

2008-05-26 21:46 . 2008-05-26 21:47        <DIR>        d--------        C:\Programme\Free YouTube to Mp3 Converter

2008-05-26 21:46 . 2002-01-05 15:37        344,064        --a------        C:\WINDOWS\system32\msvcr70.dll

2008-05-22 19:25 . 2008-05-22 19:25        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Messenger Plus!

2008-05-21 18:05 . 2008-05-21 18:05        <DIR>        d--------        C:\Programme\Trend Micro

2008-05-21 17:44 . 2008-05-26 21:46        <DIR>        d-a------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-06-07 12:55        ---------        d-----w        C:\Programme\Yahoo!

2008-06-07 12:53        ---------        d-----w        C:\Programme\PartyGaming

2008-06-06 18:36        ---------        d-----w        C:\Programme\Windows Live

2008-06-02 09:14        ---------        d-----w        C:\Programme\MSECACHE

2008-05-26 21:32        ---------        d-----w        C:\Programme\BearShare

2008-05-26 21:30        ---------        d--h--w        C:\Programme\InstallShield Installation Information

2008-05-26 21:30        ---------        d-----w        C:\Programme\ATI Technologies

2008-05-09 13:23        ---------        d-----w        C:\Programme\Der Schreibtrainer

2008-05-07 00:06        ---------        d-----w        C:\Programme\Gemeinsame Dateien\Adobe

2008-05-06 23:59        ---------        d-----w        C:\Programme\Windows Installer Clean Up

2008-05-06 09:02        ---------        d-----w        C:\Programme\PokerStars

2008-04-18 15:10        ---------        d-----w        C:\Programme\Tipp10

2008-04-18 14:23        ---------        d-----w        C:\Programme\ICQ6

2008-04-18 10:52        ---------        d-----w        C:\Programme\Gemeinsame Dateien\xing shared

2008-04-18 10:52        ---------        d-----w        C:\Programme\Gemeinsame Dateien\Real

2008-04-16 10:20        ---------        d-----w        C:\Programme\MSN Messenger

2008-04-16 10:19        ---------        dcsh--w        C:\Programme\Gemeinsame Dateien\WindowsLiveInstaller

2008-04-16 10:18        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WLInstaller

2008-04-15 21:38        ---------        d-----w        C:\Programme\ICQLite

2008-04-14 08:52        ---------        d-----w        C:\Programme\Minilyrics

2008-04-11 06:19        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic

2008-04-10 10:35        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Bags Peak Chin Active

.
 

------- Sigcheck -------
 

2004-08-04 14:00  14336  65a819b121eb6fdab4400ea42bdffe64        C:\WINDOWS\system32\svchost.exe

2004-08-04 14:00  14336  65a819b121eb6fdab4400ea42bdffe64        C:\WINDOWS\system32\dllcache\svchost.exe
 

2005-03-02 20:19  578560  4c90159a69a5fd3eb39c71411f28fcff        C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\user32.dll

2007-03-08 17:48  579584  78785eff8cb90cec1862a4ccfd9a3c3a        C:\WINDOWS\$hf_mig$\KB925902\SP2QFE\user32.dll

2004-08-04 14:00  578560  56785fd5236d7b22cf471a6da9db46d8        C:\WINDOWS\$NtUninstallKB890859$\user32.dll

2005-03-02 20:09  578560  3751d7cf0e0a113d84414992146bce6a        C:\WINDOWS\$NtUninstallKB925902$\user32.dll

2007-03-08 17:36  579072  492e166cfd26a50fb9160db536ff7d2b        C:\WINDOWS\system32\user32.dll

2007-03-08 17:36  579072  492e166cfd26a50fb9160db536ff7d2b        C:\WINDOWS\system32\dllcache\user32.dll
 

2004-08-04 14:00  82944  d569240a22421d5f670bb6fb6dd522b5        C:\WINDOWS\system32\ws2_32.dll

2004-08-04 14:00  82944  d569240a22421d5f670bb6fb6dd522b5        C:\WINDOWS\system32\dllcache\ws2_32.dll
 

2005-09-03 01:53  666112  c9abc4ae17820bfee9a4307b8a4e6de9        C:\WINDOWS\$hf_mig$\KB896688\SP2QFE\wininet.dll

2005-07-03 04:11  665088  e992695b2d5628154b65fe8dfb0f3cca        C:\WINDOWS\$hf_mig$\KB896727\SP2QFE\wininet.dll

2005-10-21 05:38  667136  f3118df4abd118b11326d1c7a0093867        C:\WINDOWS\$hf_mig$\KB905915\SP2QFE\wininet.dll

2006-03-04 06:00  669184  c91b7839095133064f9c898897f8d64c        C:\WINDOWS\$hf_mig$\KB912812\SP2QFE\wininet.dll

2006-05-10 07:26  669184  2e9fffc696613e2e38f2263ade718c67        C:\WINDOWS\$hf_mig$\KB916281\SP2QFE\wininet.dll

2006-06-23 13:25  670208  05e47ea6708bd99df2d8e4abd55df079        C:\WINDOWS\$hf_mig$\KB918899\SP2QFE\wininet.dll

2006-09-14 10:36  670208  c98f3024049aaeafae1340d94c16fdc8        C:\WINDOWS\$hf_mig$\KB922760\SP2QFE\wininet.dll

2006-10-23 17:34  670208  47bbfeb4909d45064a992c3068610b06        C:\WINDOWS\$hf_mig$\KB925454\SP2QFE\wininet.dll

2007-03-07 19:34  823296  4ef1ae9a4d801ab63ec752478247bfce        C:\WINDOWS\$hf_mig$\KB931768-IE7\SP2QFE\wininet.dll

2007-04-25 10:26  823808  26db81279fed58d5199235c26d4836e2        C:\WINDOWS\$hf_mig$\KB933566-IE7\SP2QFE\wininet.dll

2007-08-20 11:48  825344  283d85f8192fa54f2ca978b659965739        C:\WINDOWS\$hf_mig$\KB939653-IE7\SP2QFE\wininet.dll

2007-10-11 01:20  825344  6a1aef7b9e513acb566b16b0ba133c7c        C:\WINDOWS\$hf_mig$\KB942615-IE7\SP2QFE\wininet.dll

2007-12-07 03:41  825344  16ef6865a405134ce64a3aa6cef6c69f        C:\WINDOWS\$hf_mig$\KB944533-IE7\SP2QFE\wininet.dll

2008-03-01 14:33  827392  a7b7383ec19f0c5ebd02cb7826c8488b        C:\WINDOWS\$hf_mig$\KB947864-IE7\SP2QFE\wininet.dll

2005-07-03 04:15  664064  9ad1c82368bbec1c1414a3f8820c7cf9        C:\WINDOWS\$NtUninstallKB896688$\wininet.dll

2004-08-04 14:00  662016  b1a1da99c4a6ebfd59f86a453bf02f39        C:\WINDOWS\$NtUninstallKB896727$\wininet.dll

2005-09-03 01:53  664064  8266074ce4a6573460559e4db2e6695f        C:\WINDOWS\$NtUninstallKB905915$\wininet.dll

2005-10-21 05:40  664064  19625f6f8357c2306ba4b3583c705836        C:\WINDOWS\$NtUninstallKB912812$\wininet.dll

2006-03-04 05:34  664064  b29b257bd34bcf1a754c3f3a3ab98a07        C:\WINDOWS\$NtUninstallKB916281$\wininet.dll

2006-05-10 07:23  664064  a9e5a84a1bdf70a51b568dfdd73395ac        C:\WINDOWS\$NtUninstallKB918899$\wininet.dll

2006-06-23 13:10  664576  9a73ca7a43ab311cac76686add9d946f        C:\WINDOWS\$NtUninstallKB922760$\wininet.dll

2006-10-23 17:17  664576  0eb2d621dcbc6ed6d5b48867455a165c        C:\WINDOWS\$NtUninstallKB925454$\wininet.dll

2006-09-14 10:39  664576  792df201f5e3dbe2c91bc40de0f62972        C:\WINDOWS\$NtUninstallKB925454_0$\wininet.dll

2006-10-23 17:34  670208  47bbfeb4909d45064a992c3068610b06        C:\WINDOWS\ie7\wininet.dll

2006-11-07 22:03  818688  92995334f993e6e49c25c6d02ec04401        C:\WINDOWS\ie7updates\KB928090-IE7\wininet.dll

2007-01-12 10:27  822784  be43d00d802c92f01c8cc952c6f483f8        C:\WINDOWS\ie7updates\KB931768-IE7\wininet.dll

2007-03-07 19:40  822784  c601bd2849927d44f8549f720cfa14d3        C:\WINDOWS\ie7updates\KB933566-IE7\wininet.dll

2007-04-25 09:42  822784  4e9436b0301b0451ed2fb29364ab090f        C:\WINDOWS\ie7updates\KB939653-IE7\wininet.dll

2007-08-20 11:55  824832  cafc9797228843012ced767d24d8dcfc        C:\WINDOWS\ie7updates\KB942615-IE7\wininet.dll

2007-10-11 01:46  824832  fa5fa22e6f36f8453e9377810b3f9939        C:\WINDOWS\ie7updates\KB944533-IE7\wininet.dll

2007-12-07 04:04  824832  ba4d7d3098e2ba8aea34a19bbecf9962        C:\WINDOWS\ie7updates\KB947864-IE7\wininet.dll

2008-03-01 14:54  826368  32fc70ac1effe28db72fdf1dcc319e72        C:\WINDOWS\system32\wininet.dll

2008-03-01 14:54  826368  32fc70ac1effe28db72fdf1dcc319e72        C:\WINDOWS\system32\dllcache\wininet.dll
 

2005-05-25 21:07  359936  63fdfea54eb53de2d863ee454937ce1e        C:\WINDOWS\$hf_mig$\KB893066\SP2QFE\tcpip.sys

2006-01-13 19:07  360448  5562cc0a47b2aef06d3417b733f3c195        C:\WINDOWS\$hf_mig$\KB913446\SP2QFE\tcpip.sys

2006-04-20 14:18  360576  b2220c618b42a2212a59d91ebd6fc4b4        C:\WINDOWS\$hf_mig$\KB917953\SP2QFE\tcpip.sys

2007-10-30 18:53  360832  64798ecfa43d78c7178375fcdd16d8c8        C:\WINDOWS\$hf_mig$\KB941644\SP2QFE\tcpip.sys

2004-08-04 14:00  359040  9f4b36614a0fc234525ba224957de55c        C:\WINDOWS\$NtUninstallKB893066$\tcpip.sys

2005-05-25 21:04  359808  88763a98a4c26c409741b4aa162720c9        C:\WINDOWS\$NtUninstallKB913446$\tcpip.sys

2006-01-13 04:28  359808  583e063fdc888ca30d05c2724b0d7ef4        C:\WINDOWS\$NtUninstallKB917953$\tcpip.sys

2006-04-20 13:51  359808  1dbf125862891817f374f407626967f4        C:\WINDOWS\$NtUninstallKB941644$\tcpip.sys

2008-04-08 20:18  360064  482ab7f9cd41702e8f856c11cfefb02d        C:\WINDOWS\system32\dllcache\TCPIP.SYS

2008-04-08 20:18  360064  482ab7f9cd41702e8f856c11cfefb02d        C:\WINDOWS\system32\drivers\TCPIP.SYS
 

2004-08-04 14:00  507392  2b6a0baf33a9918f09442d873848ff72        C:\WINDOWS\system32\winlogon.exe

2004-08-04 14:00  507392  2b6a0baf33a9918f09442d873848ff72        C:\WINDOWS\system32\dllcache\winlogon.exe
 

2004-08-04 14:00  182912  558635d3af1c7546d26067d5d9b6959e        C:\WINDOWS\system32\dllcache\ndis.sys

2004-08-04 14:00  182912  558635d3af1c7546d26067d5d9b6959e        C:\WINDOWS\system32\drivers\ndis.sys
 

2004-08-04 14:00  29056  4448006b6bc60e6c027932cfc38d6855        C:\WINDOWS\system32\dllcache\ip6fw.sys

2004-08-04 14:00  29056  4448006b6bc60e6c027932cfc38d6855        C:\WINDOWS\system32\drivers\ip6fw.sys
 

2005-03-02 20:11  2059264  ae8364004bbfd70461d2ef34888d3360        C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\ntkrnlpa.exe

2006-12-19 20:43  2061696  d3767e1a7e6674ce671a8a8254945c29        C:\WINDOWS\$hf_mig$\KB929338\SP2QFE\ntkrnlpa.exe

2007-02-28 18:06  2061696  9b9ca27ad315c02b71510238574894b2        C:\WINDOWS\$hf_mig$\KB931784\SP2QFE\ntkrnlpa.exe

2004-08-04 14:00  2059136  ce41fc4c06499a389d39b301879535fb        C:\WINDOWS\$NtUninstallKB890859$\ntkrnlpa.exe

2005-03-02 20:06  2059136  bdff8ffa77ee7df9758ef8c1e0da8eff        C:\WINDOWS\$NtUninstallKB929338$\ntkrnlpa.exe

2006-12-19 20:21  2059904  949708e7258538bcee597aad521fe4f9        C:\WINDOWS\$NtUninstallKB931784$\ntkrnlpa.exe

2007-02-28 18:02  2059904  06effe1520c59641fcdb8baa94a8539f        C:\WINDOWS\Driver Cache\i386\ntkrnlpa.exe

2007-02-28 18:02  2059904  06effe1520c59641fcdb8baa94a8539f        C:\WINDOWS\system32\ntkrnlpa.exe

2007-02-28 18:02  2059904  06effe1520c59641fcdb8baa94a8539f        C:\WINDOWS\system32\dllcache\ntkrnlpa.exe
 

2005-03-02 20:11  2181888  eb5538a452e0e99169e2b6cdb62ff9d2        C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\ntoskrnl.exe

2006-12-19 20:43  2184320  00c476049fecf1d3a05c783015b9b518        C:\WINDOWS\$hf_mig$\KB929338\SP2QFE\ntoskrnl.exe

2007-02-28 18:06  2184448  e1de7a10d46959560c3b617227d95c19        C:\WINDOWS\$hf_mig$\KB931784\SP2QFE\ntoskrnl.exe

2004-08-04 14:00  2183296  dc888c9c4ca0eea7a3cb7e6b610f75c7        C:\WINDOWS\$NtUninstallKB890859$\ntoskrnl.exe

2005-03-02 20:06  2181632  7189a2391adc1f65c9ae87b0abe0f945        C:\WINDOWS\$NtUninstallKB929338$\ntoskrnl.exe

2006-12-19 20:21  2182656  f11b21daff0af34c56b18500c47717d5        C:\WINDOWS\$NtUninstallKB931784$\ntoskrnl.exe

2007-02-28 18:02  2182656  2804b72eb675cd43df7994ae4685b894        C:\WINDOWS\Driver Cache\i386\ntoskrnl.exe

2007-02-28 18:02  2182656  2804b72eb675cd43df7994ae4685b894        C:\WINDOWS\system32\ntoskrnl.exe

2007-02-28 18:02  2182656  2804b72eb675cd43df7994ae4685b894        C:\WINDOWS\system32\dllcache\ntoskrnl.exe
 

2007-06-13 15:21  1036288  64d320c0e301eedc5a4adbbdc5024f7f        C:\WINDOWS\explorer.exe

2007-06-13 15:10  1036288  331ed93570baf3cfe30340298762cd56        C:\WINDOWS\$hf_mig$\KB938828\SP2QFE\explorer.exe

2004-08-04 14:00  1035264  22fe1be02eadde1632e478e4125639e0        C:\WINDOWS\$NtUninstallKB938828$\explorer.exe

2007-06-13 15:21  1036288  64d320c0e301eedc5a4adbbdc5024f7f        C:\WINDOWS\system32\dllcache\explorer.exe
 

2004-08-04 14:00  108544  edb6b81761bd60f32f740bbc40afb676        C:\WINDOWS\system32\services.exe

2004-08-04 14:00  108544  edb6b81761bd60f32f740bbc40afb676        C:\WINDOWS\system32\dllcache\services.exe
 

2004-08-04 14:00  13312  183805eb05bca5a1e4aaaed4d2be3690        C:\WINDOWS\system32\lsass.exe

2004-08-04 14:00  13312  183805eb05bca5a1e4aaaed4d2be3690        C:\WINDOWS\system32\dllcache\lsass.exe
 

2004-08-04 14:00  15360  7ce20569925df6789c31799f0c538f29        C:\WINDOWS\system32\ctfmon.exe

2004-08-04 14:00  15360  7ce20569925df6789c31799f0c538f29        C:\WINDOWS\system32\dllcache\ctfmon.exe

.

(((((((((((((((((((((((((((((   snapshot@2008-06-05_14.50.38.35   )))))))))))))))))))))))))))))))))))))))))

.

- 2008-06-05 12:44:54        2,048        --s-a-w        C:\WINDOWS\bootstat.dat

+ 2008-06-10 07:41:14        2,048        --s-a-w        C:\WINDOWS\bootstat.dat

+ 2005-10-20 18:02:28        163,328        ----a-w        C:\WINDOWS\erdnt\subs\ERDNT.EXE

+ 2008-06-09 12:23:22        163,328        ----a-w        C:\WINDOWS\ERUNT\SDFIX\ERDNT.EXE

+ 2008-06-09 18:09:12        6,668,288        ----a-w        C:\WINDOWS\ERUNT\SDFIX\Users\00000001\ntuser.dat

+ 2008-06-09 18:09:13        241,664        ----a-w        C:\WINDOWS\ERUNT\SDFIX\Users\00000002\UsrClass.dat

+ 2008-06-09 12:23:22        163,328        ----a-w        C:\WINDOWS\ERUNT\SDFIX_First_Run\ERDNT.EXE

+ 2008-06-09 18:09:03        6,668,288        ----a-w        C:\WINDOWS\ERUNT\SDFIX_First_Run\Users\00000001\ntuser.dat

+ 2008-06-09 18:09:03        241,664        ----a-w        C:\WINDOWS\ERUNT\SDFIX_First_Run\Users\00000002\UsrClass.dat

+ 2008-06-09 12:50:30        884,736        ----a-w        C:\WINDOWS\gmer.dll

+ 2008-04-17 19:13:02        811,008        ----a-r        C:\WINDOWS\gmer.exe

- 2008-04-16 10:19:47        29,926        ----a-r        C:\WINDOWS\Installer\{2B091530-69AA-442E-AB09-39ED06B58220}\MsblIco.Exe

+ 2008-06-06 18:34:02        29,926        ----a-r        C:\WINDOWS\Installer\{2B091530-69AA-442E-AB09-39ED06B58220}\MsblIco.Exe

+ 2008-06-09 17:22:09        26,184        ----a-w        C:\WINDOWS\system32\drivers\avgmfx86.sys

+ 2008-06-09 12:50:31        85,969        ----a-w        C:\WINDOWS\system32\drivers\gmer.sys

- 2008-06-02 19:16:10        143,624        ----a-w        C:\WINDOWS\system32\FNTCACHE.DAT

+ 2008-06-09 15:58:10        139,648        ----a-w        C:\WINDOWS\system32\FNTCACHE.DAT

- 2007-11-11 15:35:26        3,237,176        ----a-w        C:\WINDOWS\system32\Restore\rstrlog.dat

+ 2008-06-07 12:55:13        2,064,468        ----a-w        C:\WINDOWS\system32\Restore\rstrlog.dat

+ 2006-12-01 20:56:00        96,256        ----a-w        C:\WINDOWS\WinSxS\x86_Microsoft.VC80.ATL_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_cbb27474\ATL80.dll

+ 2006-12-01 20:54:32        479,232        ----a-w        C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_6b128700\msvcm80.dll

+ 2006-12-01 20:54:34        548,864        ----a-w        C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_6b128700\msvcp80.dll

+ 2006-12-01 20:54:32        626,688        ----a-w        C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_6b128700\msvcr80.dll

+ 2006-12-01 22:25:52        1,101,824        ----a-w        C:\WINDOWS\WinSxS\x86_Microsoft.VC80.MFC_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_3bf8fa05\mfc80.dll

+ 2006-12-01 22:25:56        1,093,120        ----a-w        C:\WINDOWS\WinSxS\x86_Microsoft.VC80.MFC_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_3bf8fa05\mfc80u.dll

+ 2006-12-01 22:25:58        69,632        ----a-w        C:\WINDOWS\WinSxS\x86_Microsoft.VC80.MFC_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_3bf8fa05\mfcm80.dll

+ 2006-12-01 22:26:00        57,856        ----a-w        C:\WINDOWS\WinSxS\x86_Microsoft.VC80.MFC_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_3bf8fa05\mfcm80u.dll

+ 2006-12-01 22:08:00        40,960        ----a-w        C:\WINDOWS\WinSxS\x86_Microsoft.VC80.MFCLOC_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_91481303\mfc80CHS.dll

+ 2006-12-01 22:08:00        45,056        ----a-w        C:\WINDOWS\WinSxS\x86_Microsoft.VC80.MFCLOC_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_91481303\mfc80CHT.dll

+ 2006-12-01 22:08:00        65,536        ----a-w        C:\WINDOWS\WinSxS\x86_Microsoft.VC80.MFCLOC_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_91481303\mfc80DEU.dll

+ 2006-12-01 22:08:00        57,344        ----a-w        C:\WINDOWS\WinSxS\x86_Microsoft.VC80.MFCLOC_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_91481303\mfc80ENU.dll

+ 2006-12-01 22:08:00        61,440        ----a-w        C:\WINDOWS\WinSxS\x86_Microsoft.VC80.MFCLOC_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_91481303\mfc80ESP.dll

+ 2006-12-01 22:08:00        61,440        ----a-w        C:\WINDOWS\WinSxS\x86_Microsoft.VC80.MFCLOC_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_91481303\mfc80FRA.dll

+ 2006-12-01 22:08:00        61,440        ----a-w        C:\WINDOWS\WinSxS\x86_Microsoft.VC80.MFCLOC_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_91481303\mfc80ITA.dll

+ 2006-12-01 22:08:00        49,152        ----a-w        C:\WINDOWS\WinSxS\x86_Microsoft.VC80.MFCLOC_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_91481303\mfc80JPN.dll

+ 2006-12-01 22:08:00        49,152        ----a-w        C:\WINDOWS\WinSxS\x86_Microsoft.VC80.MFCLOC_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_91481303\mfc80KOR.dll

+ 2006-12-01 22:46:44        65,536        ----a-w        C:\WINDOWS\WinSxS\x86_Microsoft.VC80.OpenMP_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_6c18549a\vcomp.dll

.

-- Snapshot reset to current date --

.

((((((((((((((((((((((((((((   Autostart Punkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

REGEDIT4

*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Cmaudio"="cmicnfg.cpl" []

"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-18 00:26 262401]

"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-04-18 12:52 185896]

"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-03-04 13:55 155648]

"AVG8_TRAY"="C:\PROGRA~1\AVG\AVG8\avgtray.exe" [2008-06-09 19:22 1177368]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360]
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]

"AppInit_DLLs"=avgrsstx.dll
 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\fnq16.sys]

@="Driver"
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]

path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk

backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Erinnerungen für Microsoft Works-Kalender.lnk]

path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Erinnerungen für Microsoft Works-Kalender.lnk

backup=C:\WINDOWS\pss\Erinnerungen für Microsoft Works-Kalender.lnkCommon Startup
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]

--a------ 2005-06-07 00:46 57344 C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]

--a------ 2008-01-11 22:16 39792 C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BearShare]

C:\Programme\BearShare\BearShare.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]

--------- 2004-10-13 18:24 1694208 C:\Programme\Messenger\msmsgs.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]

--a------ 2007-10-18 11:34 5724184 C:\Programme\Windows Live\Messenger\msnmsgr.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]

--a------ 2001-07-09 11:50 155648 C:\WINDOWS\system32\NeroCheck.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]

--a------ 2006-03-04 13:55 155648 C:\Programme\QuickTime\qttask.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]

--a------ 2008-02-22 05:25 144784 C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]

--a------ 2007-07-18 12:10 68856 C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Veoh]

--a------ 2008-04-01 18:35 3587120 C:\Programme\Veoh Networks\Veoh\VeohClient.exe
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"C:\\steffen\\Countern an SVENS PC (Internet)\\steam.exe"=

"C:\\steffen\\Countern an SVENS PC (Internet)\\SteamApps\\xxx@web.de\\counter-strike\\hl.exe"=

"C:\\mIRC\\mirc.exe"=

"C:\\Programme\\Valve\\hl.exe"=

"C:\\WINDOWS\\system32\\dpvsetup.exe"=

"C:\\Programme\\Internet Explorer\\IEXPLORE.EXE"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"C:\\Programme\\ICQ6\\ICQ.exe"=

"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=

"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=

"C:\\Programme\\Messenger\\msmsgs.exe"=

"C:\\Programme\\Mozilla Firefox\\firefox.exe"=

"C:\\Programme\\AVG\\AVG8\\avgupd.exe"=

"C:\\Programme\\AVG\\AVG8\\avgemc.exe"=
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"80:TCP"= 80:TCP:http
 

R0 tffsport;M-Systems DiskOnChip-2000;C:\WINDOWS\system32\DRIVERS\tffsport.sys [2004-08-04 00:00]

R1 Asapi;Asapi;C:\WINDOWS\system32\drivers\Asapi.sys [2002-04-17 21:27]

S0 fnq16;fnq16;C:\WINDOWS\system32\Drivers\Fnq16.sys []

S1 avgldx86;AVG AVI Loader Driver x86;C:\WINDOWS\system32\Drivers\avgldx86.sys [2008-06-09 19:22]

S1 PStrip;PStrip;C:\WINDOWS\system32\drivers\pstrip.sys [2006-09-30 11:35]

S2 avg8emc;AVG8 E-mail Scanner;C:\PROGRA~1\AVG\AVG8\avgemc.exe [2008-06-09 19:22]

S2 avg8wd;AVG8 WatchDog;C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe [2008-06-09 19:22]

S2 avgtdix;AVG8 Network Redirector;C:\WINDOWS\system32\Drivers\avgtdix.sys [2008-06-09 19:22]

S3 MEMSWEEP2;MEMSWEEP2;C:\WINDOWS\system32\60.tmp []

Steffe-88

10.06.2008 09:03

Code:



.

**************************************************************************
 

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://w*w.gmer.net

Rootkit scan 2008-06-10 09:41:50

Windows 5.1.2600 Service Pack 2 NTFS
 

Scanne versteckte Prozesse...
 

Scanne versteckte Autostart Eintr„ge...
 

Scanne versteckte Dateien...
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************
 

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MEMSWEEP2]

"ImagePath"="\??\C:\WINDOWS\system32\60.tmp"

.

Zeit der Fertigstellung: 2008-06-10  9:47:03 - machine was rebooted

ComboFix-quarantined-files.txt  2008-06-10 07:46:59

ComboFix2.txt  2008-06-09 16:03:12

ComboFix3.txt  2008-06-09 12:50:10
 

              26 Verzeichnis(se), 64,470,355,968 Bytes frei

              30 Verzeichnis(se), 64,468,578,304 Bytes frei
 

309        --- E O F ---        2008-06-03 00:58:57

Steffe-88

10.06.2008 09:09

Kann leider immernoch kein mozilla firefox 3.0 und msn live messenger starten..

Die cid - fenster sind aber seither nicht mehr aufgetaucht und sind meines Erachtens nach weg..

Danke hierfür schonmal!

gruß steffe

Steffe-88

10.06.2008 09:13

bin wieder für tipps aller art offen!

blow-in

10.06.2008 10:18

Hallo Steffe
Ich hänge mich einfach mal mit rein.
Das Scripten mit Combofix hast du doch gemacht?
Hast du dazu den Inhalt der Box 1:1 reinkopiert?
Ich denke mal, dass da ein paar Leerzeichen zuviel drin sind und die entsprechenden Dateien gar nicht gelöscht wurden.

Zitat:

All Users\Anwendungsdaten\Bags Plus Online Chin\BOWS JUMP.exe

Hier hat das HJT Leerzeichen automatisch reingemacht.
Genaueres kann dir Sunny sagen.
Ich denke mal, dass du da noch was auf dem Rechner hast.
Mach doch bitte noch ein neues HJT-Log.

Steffe-88

10.06.2008 10:19

ok danke ich kümmere mich gleich darum

Sunny

10.06.2008 10:35

Die Leerzeichen sind so schon in Ordnung, jedoch fehlen immer noch die Auswertungen der Datei -> 60.tmp

@Steffe, bitte die von uns getätigten Ratschläge gewissenhafter befolgen, sonst wird das hier nichts mehr mit einer Bereinigung.

Dein System ist immer noch sehr stark infiziert, und es wird auch nicht leichter für dich als auch für uns werden wenn du nicht das abarbeitest was wir dir hier vorschlagen: ;)

Deinstalliere den Messerger!Plus welcher über Start -> Systemsteuerung -> Software zu finden sein sollte!

Dateien Online überprüfen lassen:

Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

lass auch die versteckten Dateien anzeigen!

Zitat:

C:\WINDOWS\system32\60.tmp (sofern sie überhaupt noch vorhanden ist!)

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

Steffe-88

10.06.2008 10:46

Code:



Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 11:42:45, on 10.06.2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16640)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\RunDll32.exe

C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe

C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe

C:\Programme\QuickTime\qttask.exe

C:\PROGRA~1\AVG\AVG8\avgtray.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\AntiVir PersonalEdition Classic\sched.exe

C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe

C:\PROGRA~1\AVG\AVG8\avgrsx.exe

C:\PROGRA~1\AVG\AVG8\avgemc.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Programme\Trend Micro\HijackThis\HijackThis.exe
 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157

R3 - URLSearchHook: ICQ  Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3ca2f312-6f6e-4b53-a66e-4e65e497c8c0} - C:\Programme\AVG\AVG8\avgssie.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\de\msntb.dll

O3 - Toolbar: ICQ  Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\de\msntb.dll

O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)

O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programme\PokerStars\PokerStarsUpdate.exe

O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe

O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe

O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)

O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} - h**p://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab

O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - h**p://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} - h**p://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} - h**p://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {A1F2F2CE-06AF-483C-9F12-D3BAA72477D6} - h**p://appdirectory.messenger.msn.com/AppDirectory/P4Apps/PhotoSwap/DigWXMSN.cab

O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} - h**p://game08.zylom.com/activex/zylomgamesplayer.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} - h**p://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - h**p://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab

O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} - h**p://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab

O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG8\avgpp.dll

O20 - AppInit_DLLs: avgrsstx.dll

O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe

O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe

O24 - Desktop Component 0: (no name) - h**p://w*w.paulaner-journal.de/mannheim/images/DSC07976.jpg

O24 - Desktop Component 1: (no name) - h**p://w*w.paulaner-journal.de/mannheim/images/DSC07975.jpg
 

--

End of file - 8204 bytes

Ja darin besteht das problem mit der Untersuchung der datei 60.tmp die ist nicht mehr vorhanden

Sunny

10.06.2008 10:50

Zitat:

Zitat von Steffe-88

Ja darin besteht das problem mit der Untersuchung der datei 60.tmp die ist nicht mehr vorhanden

Und warum sagst du uns das nicht? :confused:
Und wieso postest du jetzt ein Hijacklog? :confused:
Und was ist hiermit? :confused:

Zitat:

Zitat von Sunny

Deinstalliere den Messerger!Plus welcher über Start -> Systemsteuerung -> Software zu finden sein sollte!

Hast du es deinstalliert oder noch nicht, oder war es auch nicht mehr vorhanden?

Steffe-88

10.06.2008 10:55

Hier der Hijack-log nachdem ich windows live messenger gelöscht habe
(messenger!plus hab ich schon vorher gelöscht, jedenfalls ist er nicht mehr in der software)

Code:



Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 11:51:17, on 10.06.2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16640)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\RunDll32.exe

C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe

C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe

C:\Programme\QuickTime\qttask.exe

C:\PROGRA~1\AVG\AVG8\avgtray.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\AntiVir PersonalEdition Classic\sched.exe

C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe

C:\PROGRA~1\AVG\AVG8\avgrsx.exe

C:\PROGRA~1\AVG\AVG8\avgemc.exe

C:\Programme\internet explorer\iexplore.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\msiexec.exe

C:\Programme\Trend Micro\HijackThis\HijackThis.exe
 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157

R3 - URLSearchHook: ICQ  Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3ca2f312-6f6e-4b53-a66e-4e65e497c8c0} - C:\Programme\AVG\AVG8\avgssie.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\de\msntb.dll

O3 - Toolbar: ICQ  Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\de\msntb.dll

O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)

O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programme\PokerStars\PokerStarsUpdate.exe

O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe

O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe

O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)

O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} - h**p://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab

O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - h**p://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} - h**p://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} - h**p://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {A1F2F2CE-06AF-483C-9F12-D3BAA72477D6} - h**p://appdirectory.messenger.msn.com/AppDirectory/P4Apps/PhotoSwap/DigWXMSN.cab

O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} - h**p://game08.zylom.com/activex/zylomgamesplayer.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} - h**p://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - h**p://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab

O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} - h**p://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab

O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG8\avgpp.dll

O20 - AppInit_DLLs: avgrsstx.dll

O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe

O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe

O24 - Desktop Component 0: (no name) - h**p://w*w.paulaner-journal.de/mannheim/images/DSC07976.jpg

O24 - Desktop Component 1: (no name) - h**p://w*w.paulaner-journal.de/mannheim/images/DSC07975.jpg
 

--

End of file - 8282 bytes

Steffe-88

10.06.2008 12:16

messenger!Plus hab ich schon ganz am Anfang auf Anraten von "nochdigger" gelöscht..
( Also: systemsteuerung-software )

Lediglich bearshare kann ich dort immernoch nicht löschen, weil dann eine fehlermeldung kommt:

Couldn´t open INSTALL.log file

mfg steffen

Steffe-88

10.06.2008 12:43

Kurzer Zwischenstand:

Ich bekam vor 1 woche noch viele popups von cid und whenUsave, aber die kommen inzwischen nicht mehr weil ich schon viel dagegen unternommen habe mit eurer hilfe, aber noch nicht fertig bin mit der Virenbeseitigung und so.

Aber ich kann die bearshare.exe nicht löschen ( also unter systemsteuerung-software)

Da kommt dann immer couldn´t open INSTALL.log file

Und ich kann mozilla firefox 3.0 und Msn live messenger nicht öffnen.
Also wenn ich doppelklick mache öffnet sich bei mozilla einfach kein fenster und bei windows live kommt eine fehlermeldung und die meinen es könnte mit der firewall zusammenhängen, habe allerdings nur die von windows.

Und wenn ich auf chip.de gehe kommt eine adobe reader fehlermeldung.

Habt ihr noch eine idee wie ich das alles in Griff bekommen kann?

mfg

Steffe-88

10.06.2008 12:45

entschuldigung sunny dachte es wäre nicht so sehr von Bedeutung dass die 60.tmp datei nicht mehr vorhanden ist.

Werde in Zukunft darauf achten dir alles mitzuteilen!

lg

Steffe-88

10.06.2008 12:49

Bin jetzt leider gleich offline..

Komme frühestens heute abend nochmal on.

Da meine Cousine Geburtstag hat.

Wünsch euch allen noch einen schönen Tag! ;-)

Steffe-88

10.06.2008 13:02

dürft natürlich gerne was dazu schreiben .. :-S

Steffe-88

10.06.2008 21:33

Wäre froh über jegliche Art von Hilfe.

mfg Steffen

blow-in

11.06.2008 08:44

Hallo Steffe
du doktorst nun schon seit 3 Wochen an deiner Kiste rum. Mit dem Erledigen der angeforderten Maßnamen hast du ja auch so deine Probleme. Ich würde sagen, du bist besser dran wenn du den Rechner neu aufsetzt und auch schneller.
Das System läuft dann wieder schneller und ist vertrauenswürdig. So lange du keine halbseidenen Seiten aufsuchst oder Programme anwendest, müsste es dann auch so bleiben.

Steffe-88

11.06.2008 08:46

jo glaub es mitlerweile auch ^^

Ich zieh mal alle wichtigen Daten auf eine externe und formatier das gute stück

Danke für deinen Beitrag

mfg steffen

Steffe-88

11.06.2008 08:49

ABER: Grundsätzlich warte ich auch auf neue Aufgaben, aber da kommt irgendwie nichts mehr..

gruß

Steffe-88

11.06.2008 09:02

Welche Probleme der Aufgabenlösung meinst du eigentlich?

Ich kann nunmal keine datei bei virustotal.com prüfen die nicht existiert..
Der einzige Fehler den ich dabei gemacht habe, dass ich das nicht sofort gesagt habe, dafür hab ich mich auch entschuldigt. Ansonsten hab ich jedes Programm runtergeladen und stundenlang ausgeführt und wofür?
Dass ich am Ende erst den Rat bekomme zu formatieren..
Was ich dann eigentlich auch schon von Anfang an machen hätte können..

gruß

Steffe-88

11.06.2008 09:14

Ach menno.. :(

Ich will nicht formatieren.. hat denn hier im ganzen Trojaner-board Forum niemand eine Idee ?

gruß

myrtille

11.06.2008 09:43

Ehrlich gesagt hab ich null Überblick was du willst/was du getan hast und was noch nicht tut.

Ich würde auch eher zum Formatieren raten:
Du hattest offensichtlich Probleme mit der Swizzorbereinigung.
Der Task (C:\WINDOWS\Tasks\AA5F47259184FC65.job) ist zb weiterhin vorhanden gewesen, obwohl in der Anleitung steht, dass sie gelöscht werden sollen.

Jetzt hast du dir noch einen Kollegen eingefangen, der deutlich hinterhältiger ist und schwerer zu entfernen ist.

Zitat:

C:\lkmam.exe
C:\WINDOWS\system32\bzsqlpa.sys
C:\WINDOWS\system32\rfaapiqq.tmp
C:\WINDOWS\system32\WinNt32.dl_

Rustock ist ein Backdoor und ein Rootkit, es versendet Spam über deinen Rechner und erlaubt andere Leute auf deinen Rechner zuzugreifen.
Das würden die meisten Leute eh nicht bereinigen unabhängig von den Swizzorproblemen.

Zitat:

Dass ich am Ende erst den Rat bekomme zu formatieren..
Was ich dann eigentlich auch schon von Anfang an machen hätte können..

Warum wir dir nich von anfang an zum formatieren geraten haben?
Weil wir nicht erraten konnten, dass du dir während der Bereinigung noch mehr zuziehst. ;)

lg myrtille

Steffe-88

11.06.2008 10:19

ok dann weiß ich jetzt bescheid. danke

lg

Steffe-88

11.06.2008 10:47

Also ich möchte mich nochmal förmlich entschuldigen.
Am Anfang verstand ich nichts von den Hijack-logs.
Aber beim genaueren Betrachten fällt mir auch auf, dass in einem späteren Hijack z.B. eine Bows jump.exe , später eine lkmam.exe usw. aufgetaucht sind.
Ich dachte ihr hättet die davor vielleicht übersehen oder so?!
Hatte leider keine Ahnung dass sich solche dateien plötzlich in mein system reinkopieren können und sehr schwer zu löschen sind.

Wie dem auch sei.

Also ich möchte mich einfach nochmal entschuldigen, hatte leider keine Ahnung dass mein System schon so angegriffen ist bzw. so am Sack ist. ^^

Mit freundlichen Grüßen

Steffen

myrtille

11.06.2008 11:53

Hi,
im HJT-Log sieht man das nicht so deutlich, dafür um so besser im Combofixlog:

Zitat:

2008-06-09 17:10 29,184 --a------ C:\WINDOWS\system32\drivers\Fnq16.sys
2008-06-09 17:10 13,312 --------- C:\WINDOWS\system32\WinNt32.dll
2008-06-09 17:10 12,800 --a------ C:\lkmam.exe

Das erste ist das Datum, an dem die Datei erstellt worden ist.

lg myrtille

Steffe-88

11.06.2008 13:43

ja stimmt da sieht man es ganz deutlich..

ohje ohje ^^

Steffe-88

11.06.2008 13:46

kann das sein, dass ich mir irgendein virus auf der seite pb-fanseite.org (prisonbreak)
geholt habe?

Oder kann man das nicht genau sagen?

gruß

BataAlexander

11.06.2008 21:17

Die Seite kann durchaus was damit zu tun haben. Nachstellen konnte ich den Befall im Moment allerdings nicht.
Du solltet derartige Seiten auch nicht besuchen, die Inhalte sind dunioser Herkunft und mitnichten kostenlos.
Zum Rest: Neuinstallieren ist bei einem derartigen Befall richtig.
edit: die 60.tmp gehört zu Sophos. :)

Steffe-88

12.06.2008 09:03

Ok danke!

Was bedeutet das, dass die datei zu sophos gehört? Ist das gut oder schlecht?

mfg

BataAlexander

12.06.2008 10:22

Zitat:

Zitat von Steffe-88 (Beitrag 345013)

Ist das gut

In dem Fall schon, es könnte schlimmer sein ;)

Steffe-88

13.06.2008 06:13

bin bald fertig mit formatieren..

Steffe-88

13.06.2008 09:44

hi.

Wollte meine Festplatte nach der Formatierung partitionieren bzw. eigentlich wollte ich sie schon partitionieren während ich Windows XP reparierte.
Als dann endlich der Bildschirm kam, der mich ja fragt ob ich mit dem Tastendruck "e" eine Partition hinzufügen möchte ging das nicht.

(Übrigens sah der Bildschirm so aus, dass es einen partionierten und einen unpartionierten Bereich)

Auf dem unpartitionierten Bereich waren 8MB auf dem Partitionierten der Rest.

Wie gesagt an dieser Stelle wollte ich eine Partition hinzufügen bzw. einrichten, damit ich diesmal nicht alles unter C habe sondern partitioniert in 4 festplatten.

Da das ja dann nicht ging weil sich nichts tat, als ich e drückte, dachte ich dann mach ich das eben später mit irgendeinem programm.
Jedoch finde ich keins.

Wie soll ich mich denn jetzt am besten verhalten?

Ihr als Experten lacht jetzt hoffentlich über den Laien (mich) und könnt mir vielleicht weiterhelfen.

DANKE im Vorraus.

mfg steffen

BataAlexander

13.06.2008 13:19

Mit Boardmitteln kannst Du unter XP die aktive Partition imho nicht unterteilen.
Dazu benötoigt es dann Dritthersteller Software wie Partition Magic oder Dic Director.

Steffe-88

14.06.2008 16:33

ok danke.
Habe partitioniert mit "Norton PartitionMagic8" .

Danke für eure Bemühungen

Alle Zeitangaben in WEZ +1. Es ist jetzt 06:55 Uhr.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131