Hallo,
zuerst einmal vielen Dank für die Hilfe.
Ich habe mich bemmüht alle Anweisungen zu befolgen. Dies ist mein Ergebnis:
1. alle Einstellungen im Windows-Explorer und in der Suche übernommen.
Die Seite www.Virustotal.com/de konnte ich anfangs von meinem Computer nicht aufrufen. Am Ende der ganzen Prozedur habe ich die Datei ieexplorer32.exe nicht auf meiner C-Platte gefunden.
Deshalb konnte diesen Punkt nicht durchführen.
Übrigens waren fast alle Seiten und Links, die mir verordnet wurden, von meinem Rechner nicht erreichbar.
Ich habe mir dann die Dateien und Programme von einem anderen Rechner geholt.
2. Systemwiederherstellung habe ich deaktiviert
3. MBR-Tools ausgeführt, hier die Log-Ausgabe:
Code:
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
4. Blacklight ausgeführt, hier die Log-Ausgabe:
Code:
11/12/08 21:45:39 [Info]: BlackLight Engine 2.2.1092 initialized
11/12/08 21:45:39 [Info]: OS: 5.1 build 2600 (Service Pack 2)
11/12/08 21:45:39 [Note]: 7019 4
11/12/08 21:45:39 [Note]: 7005 0
11/12/08 21:46:00 [Note]: 7006 0
11/12/08 21:46:00 [Note]: 7011 408
11/12/08 21:46:00 [Note]: 7035 0
11/12/08 21:46:00 [Note]: 7026 0
11/12/08 21:46:00 [Note]: 7026 0
11/12/08 21:46:03 [Note]: FSRAW library version 1.7.1024
11/12/08 21:46:11 [Note]: 2000 1012
11/12/08 21:46:11 [Note]: 2000 1012
11/12/08 21:46:32 [Note]: 7007 0
Malwarebytes ausgeführt, hier das Log:
Code:
Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1306
Windows 5.1.2600 Service Pack 2
12.11.2008 22:36:28
mbam-log-2008-11-12 (22-36-28).txt
Scan-Methode: Vollständiger Scan (C:\|D:\|J:\|)
Durchsuchte Objekte: 215222
Laufzeit: 43 minute(s), 49 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 9
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> Quarantined and deleted successfully.
Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\IEUpdate (Trojan.Agent) -> Quarantined and deleted successfully.
Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: c:\windows\system32\ -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: system32\ -> Quarantined and deleted successfully.
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
C:\WINDOWS\system32\ (Trojan.Agent) -> Delete on reboot.
C:\Programme\Setup.exe (Rogue.Installer) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\TDSSciou.dll (Rootkit.Agent) -> Delete on reboot.
C:\WINDOWS\system32\TDSSliqp.dll (Rootkit.Agent) -> Delete on reboot.
C:\WINDOWS\system32\TDSSnrse.dll (Rootkit.Agent) -> Delete on reboot.
C:\WINDOWS\system32\TDSSoeqh.dll (Rootkit.Agent) -> Delete on reboot.
C:\WINDOWS\system32\TDSSosvn.dll (Rootkit.Agent) -> Delete on reboot.
C:\WINDOWS\system32\TDSSthym.log (Trojan.TDSS) -> Delete on reboot.
C:\WINDOWS\system32\drivers\TDSSmaxt.sys (Rootkit.Agent) -> Delete on reboot.
5. Silentrunners ausgeführt
File-Upload.net - Startup-Programs--XP--2008-11-12-22.52.29.txt
6. Combofix durchgeführt, vorher Wiederherstellungskonsole eingerichtet:
Code:
ComboFix 08-11-11.01 - xxx 2008-11-13 0:15:08.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.590 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\xxx\Desktop\ComboFix.exe
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_TDSSSERV.SYS
-------\Service_TDSSserv.sys
((((((((((((((((((((((( Dateien erstellt von 2008-10-12 bis 2008-11-12 ))))))))))))))))))))))))))))))
.
2008-11-12 23:30 . 2008-11-12 23:30 <DIR> d-------- c:\programme\CCleaner
2008-11-12 22:44 . 2008-11-12 22:44 <DIR> d--hs---- C:\found.000
2008-11-12 21:47 . 2008-11-12 21:47 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2008-11-12 21:47 . 2008-11-12 21:47 <DIR> d-------- c:\dokumente und einstellungen\xxx\Anwendungsdaten\Malwarebytes
2008-11-12 21:47 . 2008-11-12 21:47 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-11-12 21:47 . 2008-10-22 16:10 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2008-11-12 21:47 . 2008-10-22 16:10 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2008-11-12 20:55 . 2008-11-12 20:55 <DIR> d-------- c:\programme\Opera
2008-11-09 10:42 . 2008-11-09 10:46 <DIR> d-------- c:\programme\SpywareBlaster
2008-11-09 10:42 . 2008-11-09 10:42 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2008-11-08 22:46 . 2008-11-08 22:46 <DIR> d-------- c:\programme\Trend Micro
2008-11-06 12:40 . 2008-11-06 14:01 679 --a------ c:\windows\system32\TDSSmqxt.dat
2008-10-22 18:57 . 2008-10-22 18:57 <DIR> d-------- c:\dokumente und einstellungen\carlos\Anwendungsdaten\FUJIFILM
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-12 19:42 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-11-08 17:04 --------- d-----w c:\programme\FinePixViewer
2008-10-24 17:06 --------- d-----w c:\programme\DEUTSCHLAND SPIELT
2008-10-24 17:04 --------- d-----w c:\programme\Games
2008-10-24 16:58 --------- d-----w c:\programme\Realore
2008-10-20 11:48 --------- d-----w c:\dokumente und einstellungen\carlos\Anwendungsdaten\Apple Computer
2008-10-01 17:56 --------- d-----w c:\programme\QuickTime
2008-10-01 17:56 --------- d-----w c:\programme\iTunes
2008-10-01 17:56 --------- d-----w c:\programme\iPod
2008-10-01 17:56 --------- d-----w c:\programme\Bonjour
2008-10-01 17:56 --------- d-----w c:\dokumente und einstellungen\uli\Anwendungsdaten\Apple Computer
2008-10-01 17:56 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer
2008-10-01 17:56 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
2008-10-01 17:55 --------- d-----w c:\programme\Gemeinsame Dateien\Apple
2008-10-01 17:55 --------- d-----w c:\programme\Apple Software Update
2008-10-01 17:54 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple
2008-09-20 14:35 --------- d-----w c:\dokumente und einstellungen\joel\Anwendungsdaten\FUJIFILM
2008-09-20 14:21 --------- d-----w c:\dokumente und einstellungen\joel\Anwendungsdaten\RobotsDemo
2008-09-15 18:27 --------- d-----w c:\programme\Bus Simulator 2008
2008-04-22 18:14 7 ----a-w c:\dokumente und einstellungen\carlos\Anwendungsdaten\bin.dll
2007-09-23 11:03 193,409 --sh--r c:\programme\Setup.ini
2006-10-09 11:55 8 --sh--r c:\windows\system32\EC23ACB85A.sys
2006-10-09 11:55 4,704 --sha-w c:\windows\system32\KGyGaAvL.sys
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2006-03-24 15360]
"TVBroadcast"="c:\programme\Sceneo\Bonavista\SERVICES\ODSBC\ODSBCApp.exe" [2006-10-19 814080]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-10-06 7700480]
"SetIcon"="\Programme\SMSC\SetIcon.exe" [2004-04-28 42496]
"avgnt"="c:\programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-19 266497]
"REGSHAVE"="c:\programme\REGSHAVE\REGSHAVE.EXE" [2002-02-04 53248]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2008-09-06 413696]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2008-09-10 289576]
"TVEService"="c:\programme\Home Cinema\TV Enhance\TVEService.exe" [2006-10-19 151552]
"NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]
"LanguageShortcut"="c:\programme\Home Cinema\PowerDVD\Language\Language.exe" [2006-05-18 49152]
"InstantOn"="c:\programme\CyberLink\PowerCinema Linux\ion_install.exe" [2006-06-21 93640]
"ehTray"="c:\windows\ehome\ehtray.exe" [2005-09-29 67584]
"nwiz"="nwiz.exe" [2006-10-06 c:\windows\system32\nwiz.exe]
"RTHDCPL"="RTHDCPL.EXE" [2006-10-09 c:\windows\RTHDCPL.exe]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2006-03-24 15360]
c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
Acrobat Assistant.lnk - c:\programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe [2003-05-15 217193]
ExifLauncher2.lnk - c:\programme\FinePixViewer\QuickDCF2.exe [2007-11-10 303104]
Microsoft Office.lnk - c:\programme\Microsoft Office\Office\OSA9.EXE [1999-02-17 65588]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"InstallVisualStyle"= c:\windows\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"= c:\windows\Resources\Themes\Royale.theme
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.mkdmp3enc"= c:\progra~1\HOMECI~1\MAGICD~1\Kernel\Burner\MKDMP3Enc.ACM
"vidc.vp31"= vp31vfw.dll
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"BGLiveSvc"=2 (0x2)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"c:\\WINDOWS\\system32\\fxsclnt.exe"=
"c:\\Programme\\NetMeeting\\Conf.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Sega\\OutRun2006 Coast 2 Coast\\OR2006C2C.EXE"=
"c:\\Programme\\Mad Tracks Demo\\MadTracksDemo.exe"=
"c:\\Program Files\\Realore\\Realore Game World\\games\\Tiny Cars 2\\TinyCars2.exe"=
"c:\\Programme\\Taxi Racer London 2\\LT2.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
R0 videX32;videX32;c:\windows\system32\DRIVERS\videX32.sys [2006-09-07 9728]
R0 xfilt;VIA SATA IDE Hot-plug Driver;c:\windows\system32\DRIVERS\xfilt.sys [2006-09-07 11264]
R2 srvcPVR;Sceneo PVR Service;c:\programme\Sceneo\Bonavista\Services\PVR\PVRService.exe [2006-10-24 1441280]
R2 TVECapSvc;TVEnhance Background Capture Service (TBCS);c:\programme\Home Cinema\TV Enhance\Kernel\TV\TVECapSvc.exe [2006-10-19 282709]
R2 TVESched;TVEnhance Task Scheduler (TTS));c:\programme\Home Cinema\TV Enhance\Kernel\TV\TVESched.exe [2006-10-19 122971]
R3 3xHybrid;Philips SAA713x PCI Card;c:\windows\system32\DRIVERS\3xHybrid.sys [2006-10-10 1105664]
R3 X10Hid;X10 Hid Device;c:\windows\system32\Drivers\x10hid.sys [2005-11-28 7040]
S0 hvrjyhi;hvrjyhi;c:\windows\system32\drivers\haynfsdl.sys [ ]
S3 HRService;Haufe iDesk-Service in c:\programme\Haufe\iDesk\iDeskService\Zope;c:\programme\Haufe\iDesk\iDeskService\iDeskService.exe [2006-10-23 71072]
.
.
------- Zusätzlicher Suchlauf -------
.
R0 -: HKCU-Main,Start Page = hxxp://www.google.com/
R1 -: HKCU-Internet Settings,ProxyOverride = *.local
O8 -: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
.
**************************************************************************
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien:
**************************************************************************
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\AntiVir PersonalEdition Classic\sched.exe
c:\programme\AntiVir PersonalEdition Classic\avguard.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\windows\system32\bgsvcgen.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\windows\ehome\ehrecvr.exe
c:\windows\ehome\ehSched.exe
c:\programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\windows\system32\nvsvc32.exe
c:\programme\CyberLink\Shared Files\RichVideo.exe
c:\progra~1\COMMON~1\X10\Common\X10nets.exe
c:\windows\ehome\mcrdsvc.exe
c:\windows\system32\dllhost.exe
c:\programme\SMSC\SetIcon.exe
c:\windows\ehome\ehmsas.exe
c:\programme\iPod\bin\iPodService.exe
c:\programme\AntiVir PersonalEdition Classic\avwsc.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-11-13 0:23:38 - PC wurde neu gestartet [uli]
ComboFix-quarantined-files.txt 2008-11-12 23:23:35
Vor Suchlauf: 14 Verzeichnis(se), 251,711,971,328 Bytes frei
Nach Suchlauf: 14 Verzeichnis(se), 253,652,226,048 Bytes frei
154 --- E O F --- 2008-10-24 11:00:44
7. Hier der Link zum Logfile des listing8.cmd-Skriptes:
http://www.file-upload.net/download-1250533/listing.txt.html
8. Log-Datei des HijackThis:
Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:38:09, on 13.11.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\bgsvcgen.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\Programme\Sceneo\Bonavista\Services\PVR\PVRService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Home Cinema\TV Enhance\Kernel\TV\TVECapSvc.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\Home Cinema\TV Enhance\Kernel\TV\TVESched.exe
C:\WINDOWS\system32\dllhost.exe
C:\Programme\SMSC\SetIcon.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Home Cinema\TV Enhance\TVEService.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Programme\Sceneo\Bonavista\SERVICES\ODSBC\ODSBCApp.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\FinePixViewer\QuickDCF2.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\explorer.exe
C:\Programme\TextPad 4\TextPad.exe
C:\Programme\Opera\opera.exe
C:\Dokumente und Einstellungen\xxx\Desktop\qlketzd.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SetIcon] \Programme\SMSC\SetIcon.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [TVEService] "C:\Programme\Home Cinema\TV Enhance\TVEService.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Programme\Home Cinema\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [InstantOn] "C:\Programme\CyberLink\PowerCinema Linux\ion_install.exe /c "
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TVBroadcast] C:\Programme\Sceneo\Bonavista\SERVICES\ODSBC\ODSBCApp.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: ExifLauncher2.lnk = C:\Programme\FinePixViewer\QuickDCF2.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=h**p://www.aldi.com/
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?LinkID=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1160402350437
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1161001832152
O18 - Protocol: haufereader - (no CLSID) - (no file)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: B's Recorder GOLD Library General Service (bgsvcgen) - B.H.A Corporation - C:\WINDOWS\system32\bgsvcgen.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope (HRService) - Unknown owner - C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Sceneo PVR Service (srvcPVR) - Buhl Data Service GmbH - C:\Programme\Sceneo\Bonavista\Services\PVR\PVRService.exe
O23 - Service: TVEnhance Background Capture Service (TBCS) (TVECapSvc) - Unknown owner - C:\Programme\Home Cinema\TV Enhance\Kernel\TV\TVECapSvc.exe
O23 - Service: TVEnhance Task Scheduler (TTS)) (TVESched) - Unknown owner - C:\Programme\Home Cinema\TV Enhance\Kernel\TV\TVESched.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
--
End of file - 8591 bytes
Zum Schluss noch eine Beobachtung:
Mir scheint, dass der Aufruf von Internet-Seiten jeglichen Inhalt von Virus und ähnlichen Schlagwörtern nicht zuließ.
Nach der Bereinigungsaktion scheint mir momentan das Verhalten der umgeleiteten Google-Links nicht mehr aufzutreten.
Ich hoffe, dass ich noch einmal mit einem blauen Auge davongekommen bin.
Egal wie, auf jeden Fall bedanke ich mich schon einmal recht herzlich für die gute Hilfe.
Gruß
Uli
