Trojaner-Board - probleme mit firefox und icq

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - probleme mit firefox und icq (https://www.trojaner-board.de/71922-probleme-firefox-icq.html)

probleme mit firefox und icq

Hi forumfreunde

seit einigen Tagen hab ich das Problem, dass sich firefox und vor allem icq einfach so schließen bzw. abstürzen, das ist verdammt nervig und würde das prob sehr gerne mit euer hilfe bewältigen.

hier der malware- report

Malwarebytes' Anti-Malware 1.36
Datenbank Version: 1945
Windows 5.1.2600 Service Pack 2

10.04.2009 22:35:33
mbam-log-2009-04-10 (22-35-33).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|G:\|)
Durchsuchte Objekte: 162263
Laufzeit: 2 hour(s), 32 minute(s), 42 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 12
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 5
Infizierte Dateien: 7

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
D:\WINDOWS\system32\mdminstd.dll (Trojan.Vundo.H) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{512241b1-c4aa-477a-acc6-0f3fc6a7320d} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{512241b1-c4aa-477a-acc6-0f3fc6a7320d} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{512241b1-c4aa-477a-acc6-0f3fc6a7320d} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{2b96d5cc-c5b5-49a5-a69d-cc0a30f9028c} (Adware.Minibug) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\web-mediaplayer (Adware.EGDAccess) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\BitDownload (Trojan.Lop) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\MediaHoldings (Adware.PlayMP3Z) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\RichVideoCodec (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\fcn (Rogue.Residue) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\WebMediaPlayer (Rogue.Webmediaplayer) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
D:\Programme\RichVideoCodec (Trojan.FakeAlert) -> Quarantined and deleted successfully.
D:\Programme\WebMediaPlayer (Adware.EGDAccess) -> Quarantined and deleted successfully.
D:\Programme\WebMediaPlayer\resources (Adware.EGDAccess) -> Quarantined and deleted successfully.
D:\Programme\WebMediaPlayer\skins (Adware.EGDAccess) -> Quarantined and deleted successfully.
D:\Programme\WebMediaPlayer\updates (Adware.EGDAccess) -> Quarantined and deleted successfully.

Infizierte Dateien:
D:\WINDOWS\system32\mdminstd.dll (Trojan.Vundo.H) -> Delete on reboot.
D:\Programme\WebMediaPlayer\sqlite3.dll (Adware.EGDAccess) -> Quarantined and deleted successfully.
D:\Programme\WebMediaPlayer\uninst.exe (Adware.EGDAccess) -> Quarantined and deleted successfully.
D:\Programme\WebMediaPlayer\WebMediaPlayer.exe (Adware.EGDAccess) -> Quarantined and deleted successfully.
D:\Programme\WebMediaPlayer\resources\wmp_translation_file.xml (Adware.EGDAccess) -> Quarantined and deleted successfully.
D:\Programme\WebMediaPlayer\skins\classic.skn (Adware.EGDAccess) -> Quarantined and deleted successfully.
D:\Programme\ICQToolbar\toolbaru.dll (Adware.BHO) -> Quarantined and deleted successfully.

und highjackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:08:19, on 11.04.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
E:\Ahead\InCD\InCDsrv.exe
D:\WINDOWS\system32\Ati2evxx.exe
E:\ad-aware\aawservice.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
D:\Programme\ATI Technologies\ATI.ACE\cli.exe
E:\ad-aware\AAWTray.exe
D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\WINDOWS\system32\rundll32.exe
D:\Programme\HP\HP Software Update\HPWuSchd2.exe
E:\Spybot - Search & Destroy\TeaTimer.exe
E:\Yod' 3D\Yodm3D.exe
D:\Programme\Messenger\msmsgs.exe
D:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
D:\Programme\AntiVir PersonalEdition Classic\sched.exe
D:\Programme\AntiVir PersonalEdition Classic\avguard.exe
D:\Programme\FRITZ!DSL\IGDCTRL.EXE
D:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
D:\WINDOWS\system32\svchost.exe
D:\Programme\ICQ6Toolbar\ICQ Service.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\PnkBstrA.exe
D:\WINDOWS\system32\PnkBstrB.exe
E:\Alcohol 120%\Alcohol 120\StarWind\StarWindServiceAE.exe
D:\WINDOWS\system32\wuauclt.exe
D:\Programme\ATI Technologies\ATI.ACE\cli.exe
D:\Programme\ATI Technologies\ATI.ACE\cli.exe
D:\WINDOWS\system32\svchost.exe
D:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
D:\Programme\HP\Digital Imaging\bin\hpqbam08.exe
D:\Programme\HP\Digital Imaging\bin\hpqgpc01.exe
D:\WINDOWS\System32\svchost.exe
D:\Programme\Windows Media Player\wmplayer.exe
D:\Programme\Mozilla Firefox\firefox.exe
E:\highjackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.1und1.com/d1redirect
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQ6Toolbar\ICQToolBar.dll
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - D:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - D:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - E:\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: Alcohol Toolbar Helper - {8126A4A5-BFD3-46FE-BBDF-BFB5CF78E489} - D:\Programme\Alcohol Toolbar\v3.2.0.0\Alcohol_Toolbar.dll
O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - D:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQ6Toolbar\ICQToolBar.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Alcohol Toolbar - {ED4BD629-C1B6-4399-8A34-02CCAA921DC9} - D:\Programme\Alcohol Toolbar\v3.2.0.0\Alcohol_Toolbar.dll
O4 - HKLM\..\Run: [avgnt] "D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ATICCC] "D:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [AAWTray] E:\ad-aware\AAWTray.exe
O4 - HKLM\..\Run: [TkBellExe] "D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [HP Software Update] D:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [hpqSRMon] D:\Programme\HP\Digital Imaging\bin\hpqSRMon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] E:\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Yodm3D] E:\Yod' 3D\Yodm3D.exe
O4 - HKCU\..\Run: [MSMSGS] "D:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [weicisw] "d:\dokumente und einstellungen\f3ight3r\lokale einstellungen\anwendungsdaten\weicisw.exe" weicisw
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = D:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://E:\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Download with Xilisoft Download YouTube Video - E:\youtube video download\Download YouTube Video\upod_link.HTM
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - E:\ICQPRO~1\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - E:\ICQPRO~1\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\ICQ5.1\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\ICQ5.1\ICQLite.exe (file missing)
O9 - Extra button: HP Intelligente Auswahl - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - D:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\icq6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\icq6.5\ICQ.exe
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - F:\PartyPoker\PartyPokerNet\RunPF.exe
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - F:\PartyPoker\PartyPokerNet\RunPF.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - E:\ad-aware\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - D:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - D:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - D:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - D:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: ICQ Service - Unknown owner - D:\Programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - E:\Ahead\InCD\InCDsrv.exe
O23 - Service: PnkBstrA - Unknown owner - D:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - D:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - D:\Programme\WinPcap\rpcapd.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Unknown owner - D:\WINDOWS\

--
End of file - 9117 bytes

Hallo, und Herlich Willkommen auf Trojaner Board!

Fixe folgende Einträge bei Hijackthis:

Code:



R3 - URLSearchHook: (no name) - - (no file)
 

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\ICQ5.1\ICQLite.exe (file missing)
 

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\ICQ5.1\ICQLite.exe (file missing)

Mit dem Malwarebytes kenne ich mich leider nicht aus.

jo das hatte ich schon gemacht, nachdem ich highjackthis durchlaufen hab, aber das wird kaum das problem lösen glaub ich...

Sry, aber mit Malwarebytes kenne ich mich nicht aus... Warten wir auf jemanden, der sich damit auskennt.

jup alles klar, trotzdem danke :)

langsam glaub ich, dass in nen virus oder backdoor trojaner oder sowas ähnliches hab, der rechner spielt absolut verrückt... programme schließen sich wahllos....ich muss das unbedingt wieder hinbekomm
kann mir keiner von euch helfen?
bringt systemwiederherstellung etwas?

Hallo

lass zuerst bitte mal Navilog dein System untersuchen

Zitat:

Bitte lade Dir Navilog von IL-MAFIOSO herunter.

Führe die Datei navilog1.exe aus, eine Installationsroutine wird beginnen.
Sollte das Programm nach Abschluß der Installation nicht automatisch gestartet werden, führe es bitte per
Doppelklick auf das Navilog1-Shortcut auf deinem Desktop aus.
Wähle E für Englisch im Sprachenmenü
Wähle 1 im nächsten Menü um "Suche" auszuwählen. Bestätige mit Enter.
Die Dauer des Scans kann variieren, bitte abwarten. Wenn du aufgefordert wirst, eine Taste zu drücken, tue dies bitte.
Ein neues Dokument sollte erstellt und geöffnet werden: fixnavi.txt.
Bitte füge den Inhalt dieser Datei in deine nächste Antwort ein.

Der Bericht wird außerdem im Hauptverzeichnis (z.B.: "C:\") erstellt.

Hinweis:
Navilog1.exe wir von einigen Antivirenprogrammen als bösartig erkannt. Dies ist ein Fehlalarm. Die Nachricht bitte ignorieren.

Poste bitte das Log hierher.

MFG

hmmm... ich kann das programm net öffnen... also ich klick das desktop shortcut an , dann verschwinden meine desktop icons kurz und das wars dann...

Hallo

Zitat:

hmmm... ich kann das programm net öffnen... also ich klick das desktop shortcut an , dann verschwinden meine desktop icons kurz und das wars dann...

OK, dann eine Nummer härter, lade dir bitte Combofix

Zitat:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

poste anschließend das Log hierher.

MFG

ich weiß nicht was los, ist aber ich kann das ebenfalls nicht von meinem desktop öffnen, erscheint nur kurz das fenster und dann verschwindet es wieder....

Hallo

das ist nicht lustig:(...

Deaktiviere bitte den Teatimer von SpyBot S&D

Zitat:

Starte Spybot S&D --> klicke auf "Modus" --> hake an "Erweiterte Modus" --> mit "Ja" bestätigen --> klicke auf "Werkzeuge" -->
klicke auf "Resident" --> das Häkchen entfernen aus der "Resident "TeaTimer" (Schutz aller Systemeinstellungen) --> beende Spybot S&D.

Führe ein Update bei Malwarebytes durch und überprüfe dein System erneut, lass alles gefundene löschen.
Dann versuche bitte im abgesicherten Modus (beim start F8 drücken) Combofix laufen zu lassen, poste anschließend die Logs hierher.

MFG

ob du es glaubst oder nicht, selbst im abgesicherten modus funzt die exe nicht. könnt heulen ey...malwarebyte hat ein infiziertes objekt gefunden welches ich löschte....irgendeine idee wie ich die exe sonst zum laufen bekomme?irgendwelche alternativen zu dem programm?

Hallo

versuche diese umbenannte Datei
File-Upload.net - CF.exe

Erstelle bitte auch ein Log mit dem runscanner und poste das Log hierher.

MFG

EDIT: bitte poste immer die Logs hierher, ich hänge sonst ein wenig in der Luft

hier die log file von combofix

Code:

ComboFix 09-04-14.08 - F3ighT3r 14.04.2009 12:31.1 - NTFSx86 MINIMAL

Microsoft Windows XP Professional  5.1.2600.2.1252.49.1031.18.1021.803 [GMT 2:00]

ausgeführt von:: d:\dokumente und einstellungen\F3ighT3r\Desktop\CF.exe

AV: Avira AntiVir PersonalEdition *On-access scanning enabled* (Outdated)

AV: Avira AntiVir PersonalEdition Classic *On-access scanning disabled* (Updated)

AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated)
 

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!

.
 

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.
 

d:\dokumente und einstellungen\All Users\Startmenü\Programme\WebMediaPlayer

d:\dokumente und einstellungen\All Users\Startmenü\Programme\WebMediaPlayer\Privacy Policy.url

d:\dokumente und einstellungen\All Users\Startmenü\Programme\WebMediaPlayer\Terms and Conditions.url

d:\dokumente und einstellungen\All Users\Startmenü\Programme\WebMediaPlayer\Website.url

d:\dokumente und einstellungen\F3ighT3r\Lokale Einstellungen\Anwendungsdaten\weicisw.dat

d:\dokumente und einstellungen\F3ighT3r\Lokale Einstellungen\Anwendungsdaten\weicisw.exe

d:\dokumente und einstellungen\F3ighT3r\Lokale Einstellungen\Anwendungsdaten\weicisw_nav.dat

d:\dokumente und einstellungen\F3ighT3r\Lokale Einstellungen\Anwendungsdaten\weicisw_navps.dat

d:\programme\INSTALL.LOG
 

.

(((((((((((((((((((((((   Dateien erstellt von 2009-03-14 bis 2009-04-14  ))))))))))))))))))))))))))))))

.
 

2009-04-14 09:52 . 2009-04-14 09:55        --------        d-----w        D:\32788R22FWJFW.1.tmp

2009-04-14 09:51 . 2009-04-14 09:52        --------        d-----w        D:\32788R22FWJFW.0.tmp

2009-04-13 19:32 . 2009-04-13 19:32        --------        d--h--w        d:\windows\PIF

2009-04-13 15:42 . 2009-04-13 15:59        --------        d-----w        d:\programme\Navilog1

2009-04-10 17:41 . 2009-04-10 17:41        --------        d-----w        d:\dokumente und einstellungen\F3ighT3r\Anwendungsdaten\Malwarebytes

2009-04-10 17:41 . 2009-04-06 13:32        15504        ----a-w        d:\windows\system32\drivers\mbam.sys

2009-04-10 17:41 . 2009-04-06 13:32        38496        ----a-w        d:\windows\system32\drivers\mbamswissarmy.sys

2009-04-10 17:41 . 2009-04-10 17:41        --------        d-----w        d:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes

2009-04-09 11:42 . 2009-04-09 11:42        --------        d-----w        d:\dokumente und einstellungen\All Users\Anwendungsdaten\wmp

2009-04-08 17:35 . 2009-04-11 08:44        --------        d-----w        d:\programme\ICQ6Toolbar

2009-04-08 17:35 . 2009-04-09 14:07        --------        d-----w        d:\dokumente und einstellungen\All Users\Anwendungsdaten\ICQ

2009-03-27 16:24 . 2009-04-14 09:49        --------        d-----w        d:\dokumente und einstellungen\F3ighT3r\Anwendungsdaten\HPAppData

2009-03-19 10:23 . 2009-03-19 10:23        --------        d-----w        d:\dokumente und einstellungen\All Users\Anwendungsdaten\WEBREG

2009-03-19 10:23 . 2009-03-19 10:23        --------        d-----w        d:\dokumente und einstellungen\F3ighT3r\Anwendungsdaten\HP

2009-03-19 10:17 . 2008-01-24 21:29        16496        ----a-r        d:\windows\system32\drivers\HPZipr12.sys

2009-03-19 10:17 . 2008-01-24 21:29        49920        ----a-r        d:\windows\system32\drivers\HPZid412.sys

2009-03-19 10:17 . 2008-01-24 21:30        372736        ----a-r        d:\windows\system32\hppldcoi.dll

2009-03-19 10:17 . 2008-01-24 21:30        309760        ----a-r        d:\windows\system32\difxapi.dll

2009-03-19 10:17 . 2008-01-24 21:29        21568        ----a-r        d:\windows\system32\drivers\HPZius12.sys

2009-03-19 10:16 . 2009-03-19 10:16        --------        d-----w        d:\programme\Gemeinsame Dateien\HP

2009-03-19 10:14 . 2009-03-19 10:15        --------        d-----w        d:\dokumente und einstellungen\All Users\Anwendungsdaten\HP

2009-03-19 10:14 . 2009-03-19 10:14        --------        d-----w        d:\dokumente und einstellungen\All Users\Anwendungsdaten\HP Product Assistant

2009-03-19 10:12 . 2009-03-19 10:23        188385        ----a-w        d:\windows\hphins25.dat

2009-03-19 10:12 . 2008-05-23 05:33        795        ------w        d:\windows\hphmdl25.dat

2009-03-19 09:52 . 2009-04-10 20:07        --------        d-----w        d:\programme\HP

2009-03-19 09:49 . 2009-03-19 09:49        --------        d-----w        d:\dokumente und einstellungen\All Users\Anwendungsdaten\Hewlett-Packard

2009-03-19 09:49 . 2008-01-24 21:31        271704        ----a-r        d:\windows\system32\hpzids01.dll

2009-03-19 09:49 . 2007-10-20 17:25        118272        ----a-w        d:\windows\system32\hpz3l5mu.dll
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-04-14 09:48 . 2006-09-16 17:23        --------        d-----w        d:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic

2009-04-13 18:31 . 2007-09-05 15:30        --------        d-----w        d:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy

2009-04-13 16:26 . 2006-09-18 09:58        --------        d-----w        d:\programme\Browser

2009-04-10 20:35 . 2007-04-24 18:21        --------        d-----w        d:\programme\ICQToolbar

2009-04-10 13:06 . 2007-04-24 18:23        --------        d-----w        d:\dokumente und einstellungen\F3ighT3r\Anwendungsdaten\ICQ

2009-04-10 12:52 . 2006-09-15 19:49        --------        d-----w        d:\dokumente und einstellungen\F3ighT3r\Anwendungsdaten\ICQLite

2009-04-06 13:30 . 2001-08-23 12:00        75194        ----a-w        d:\windows\system32\perfc007.dat

2009-04-06 13:30 . 2001-08-23 12:00        415800        ----a-w        d:\windows\system32\perfh007.dat

2009-03-11 14:50 . 2006-09-15 13:24        32760        -c--a-w        d:\dokumente und einstellungen\F3ighT3r\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT

2009-03-10 14:00 . 2008-11-13 19:13        --------        d-----w        d:\programme\OpenOffice.org 3

2009-03-08 12:50 . 2007-07-12 14:58        --------        d-----w        d:\dokumente und einstellungen\F3ighT3r\Anwendungsdaten\Jägermeister RadioPlayer

2009-02-26 21:17 . 2007-07-11 19:23        --------        d-----w        d:\dokumente und einstellungen\F3ighT3r\Anwendungsdaten\Azureus

2009-02-01 21:59 . 2007-04-07 15:38        188848        ----a-w        d:\windows\system32\PnkBstrB.exe

2009-01-23 01:18 . 2009-01-23 01:18        42320        ----a-w        d:\windows\system32\xfcodec.dll

2007-01-09 10:40 . 2007-03-10 10:40        32        -c--a-r        d:\dokumente und einstellungen\F3ighT3r\hash.dat

2006-09-15 13:24 . 2006-09-15 13:24        141        ----a-w        d:\dokumente und einstellungen\F3ighT3r\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat

2006-11-19 19:2006-12-01 10:44                38:48 .        d:\programme\mozilla firefox\plugins\libvlc.dll

.
 

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Yodm3D"="e:\yod' 3d\Yodm3D.exe" [2007-06-26 2058752]

"MSMSGS"="d:\programme\Messenger\msmsgs.exe" [2004-10-13 1694208]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"avgnt"="d:\programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-18 266497]

"NeroFilterCheck"="d:\windows\system32\NeroCheck.exe" [2001-07-09 155648]

"ATICCC"="d:\programme\ATI Technologies\ATI.ACE\cli.exe" [2005-08-12 45056]

"AAWTray"="e:\ad-aware\AAWTray.exe" [2007-08-08 88024]

"TkBellExe"="d:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2006-12-01 180269]

"HP Software Update"="d:\programme\HP\HP Software Update\HPWuSchd2.exe" [2008-03-25 49152]

"hpqSRMon"="d:\programme\HP\Digital Imaging\bin\hpqSRMon.exe" [2008-03-13 81920]

"AtiPTA"="atiptaxx.exe" - d:\windows\system32\atiptaxx.exe [2006-02-22 344064]

"BluetoothAuthenticationAgent"="bthprops.cpl" - d:\windows\system32\bthprops.cpl [2004-08-03 110592]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="d:\windows\system32\CTFMON.EXE" [2004-08-03 15360]
 

d:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\

HP Digital Imaging Monitor.lnk - d:\programme\HP\Digital Imaging\bin\hpqtra08.exe [2008-3-25 214360]
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"vidc.xvid"= xvid.dll

"VIDC.HFYU"= huffyuv.dll

"vidc.DIV3"= DivXc32.dll

"vidc.DIV4"= DivXc32f.dll

"msacm.divxa32"= DivXa32.acm

"VIDC.XFR1"= xfcodec.dll

"aux"= ctwdm32.dll
 

[HKLM\~\startupfolder\D:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]

path=d:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk

backup=d:\windows\pss\Adobe Reader - Schnellstart.lnkCommon Startup
 

[HKLM\~\startupfolder\D:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^ZoneAlarm.lnk]

path=d:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\ZoneAlarm.lnk

backup=d:\windows\pss\ZoneAlarm.lnkCommon Startup
 

[HKLM\~\startupfolder\D:^Dokumente und Einstellungen^F3ighT3r^Startmenü^Programme^Autostart^FRITZ!DSL Internet.lnk]

path=d:\dokumente und einstellungen\F3ighT3r\Startmenü\Programme\Autostart\FRITZ!DSL Internet.lnk

backup=d:\windows\pss\FRITZ!DSL Internet.lnkStartup
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]

d:\windows\system32\dumprep 0 -k [X]
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATICCC]

2005-08-12 12:43        45056        ----a-w        d:\programme\ATI Technologies\ATI.ACE\CLI.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools-1033]

2004-08-22 15:05        81920        ----a-w        e:\daemon tools\daemon.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EM_EXEC]

2002-07-01 07:50        28672        ----a-w        e:\logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\InCD]

2005-07-25 09:01        1397760        ------w        e:\ahead\InCD\InCD.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IntelAudioStudio]

2005-10-27 14:17        8740864        ----a-w        d:\programme\Intel Audio Studio\IntelAudioStudio.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]

2004-10-13 16:24        1694208        ------w        d:\programme\Messenger\msmsgs.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PhonostarTimer]

2008-07-14 13:18        126976        ----a-w        e:\jägermeisterradio\ps_timer.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PKR Pal]

2009-02-04 19:02        2296424        ----a-w        e:\pkr\pkrpal.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]

2006-11-09 14:07        49263        -c--a-w        d:\programme\Java\jre1.5.0_10\bin\jusched.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]

2006-12-01 10:29        180269        ----a-w        d:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]

2002-07-23 16:58        12288        ----a-w        e:\winamp3\winampa.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]

"PKR Pal"="e:\pkr\pkrpal.exe" -osboot

"AAWTray"=e:\ad-aware\AAWTray.exe
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"f:\\Quake III Arena\\quake3.exe"=

"d:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"=

"f:\\word in conflict!\\wic.exe"=

"f:\\word in conflict!\\wic_online.exe"=

"f:\\word in conflict!\\wic_ds.exe"=

"f:\\Battlefield 2\\BF2.exe"=

"f:\\Farcry 2\\Far Cry 2\\bin\\FarCry2.exe"=

"f:\\Farcry 2\\Far Cry 2\\bin\\FC2Launcher.exe"=

"f:\\Farcry 2\\Far Cry 2\\bin\\FC2Editor.exe"=

"d:\\Programme\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=

"d:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"=

"d:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"=

"d:\\Programme\\HP\\Digital Imaging\\bin\\hpqpsapp.exe"=

"d:\\Programme\\HP\\Digital Imaging\\bin\\hpqpse.exe"=

"d:\\Programme\\HP\\Digital Imaging\\bin\\hpqsudi.exe"=

"d:\\Programme\\HP\\Digital Imaging\\bin\\hpqgplgtupl.exe"=

"d:\\Programme\\HP\\Digital Imaging\\bin\\hpqgpc01.exe"=

"e:\\icq6.5\\ICQ.exe"=
 

R1 atitray;atitray;d:\programme\Radeon Omega Drivers\v3.8.330\ATI Tray Tools\atitray.sys [2006-11-30 14336]

R1 NETDSL;AVM PPP over Ethernet;d:\windows\system32\DRIVERS\netdsl.sys [2005-11-21 11264]

R2 aadev;AVM ADSL Adapter Device;d:\windows\system32\DRIVERS\aadev.sys [2005-11-21 28160]

R3 AVMUNET;AVM FRITZ!Box;d:\windows\system32\DRIVERS\avmunet.sys [2004-06-11 16384]

R3 NETFWDSL;AVM FRITZ!web DSL PPP;d:\windows\system32\DRIVERS\NETFWDSL.SYS [2005-11-21 367104]

R3 NPF;NetGroup Packet Filter Driver;d:\windows\system32\drivers\npf.sys [2007-11-06 34064]
 
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

HPZ12        REG_MULTI_SZ           Pml Driver HPZ12 Net Driver HPZ12

hpdevmgmt        REG_MULTI_SZ           hpqcxs08 hpqddsvc
 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0149b1a1-1fda-11db-95c8-806d6172696f}]

\Shell\AutoRun\command - H:\setup.exe

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -
 

HKCU-Run-weicisw - d:\dokumente und einstellungen\f3ight3r\lokale einstellungen\anwendungsdaten\weicisw.exe

MSConfigStartUp-BitTorrent - e:\neuer ordner\bittorrent.exe

MSConfigStartUp-dla - d:\windows\system32\dla\tfswctrl.exe

MSConfigStartUp-StorageGuard - d:\programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe

MSConfigStartUp-Trickler - d:\dokumente und einstellungen\f3ight3r\lokale einstellungen\temp\~vis0000\gain_3202.exe

MSConfigStartUp-WhenUSave - d:\programme\Save\Save.exe

MSConfigStartUp-SigmatelSysTrayApp - sttray.exe
 
 

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = hxxp://start.icq.com/

uInternet Connection Wizard,ShellNext = hxxp://www.1und1.com/d1redirect

IE: &ICQ Toolbar Search - e:\icqtoolbar\toolbaru.dll/SEARCH.HTML

IE: Download with Xilisoft Download YouTube Video - e:\youtube video download\Download YouTube Video\upod_link.HTM

IE: Nach Microsoft &Excel exportieren - d:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

FF - ProfilePath - d:\dokumente und einstellungen\F3ighT3r\Anwendungsdaten\Mozilla\Firefox\Profiles\s9ch0tcd.default\

FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=

FF - prefs.js: browser.search.selectedEngine - ICQ Search

FF - prefs.js: browser.startup.homepage - hxxp://start.icq.com/

FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&q=

FF - plugin: d:\programme\Java\jre1.5.0_10\bin\NPJava11.dll

FF - plugin: d:\programme\Java\jre1.5.0_10\bin\NPJava12.dll

FF - plugin: d:\programme\Java\jre1.5.0_10\bin\NPJava13.dll

FF - plugin: d:\programme\Java\jre1.5.0_10\bin\NPJava14.dll

FF - plugin: d:\programme\Java\jre1.5.0_10\bin\NPJava32.dll

FF - plugin: d:\programme\Java\jre1.5.0_10\bin\NPJPI150_10.dll

FF - plugin: d:\programme\Java\jre1.5.0_10\bin\NPOJI610.dll

FF - plugin: d:\programme\Mozilla Firefox\plugins\np32dsw.dll

FF - plugin: d:\programme\Mozilla Firefox\plugins\npdivx32.dll

FF - plugin: d:\programme\Mozilla Firefox\plugins\npDivxPlayerPlugin.dll

FF - plugin: d:\programme\Mozilla Firefox\plugins\npLegitCheckPlugin.dll

FF - plugin: d:\programme\Mozilla Firefox\plugins\npnul32.dll

FF - plugin: d:\programme\Mozilla Firefox\plugins\nppl3260.dll

FF - plugin: d:\programme\Mozilla Firefox\plugins\nprjplug.dll

FF - plugin: d:\programme\Mozilla Firefox\plugins\nprpjplug.dll

FF - plugin: d:\programme\Mozilla Firefox\plugins\npvlc.dll

FF - plugin: e:\adobe\Acrobat 7.0\Reader\browser\nppdf32.dll

FF - plugin: e:\divx\DivX Content Uploader\npUpload.dll

FF - plugin: e:\divx\DivX Player\npDivxPlayerPlugin.dll

FF - plugin: e:\divx\DivX Web Player\npdivx32.dll

FF - plugin: e:\realoneplayer\Netscape6\nppl3260.dll

FF - plugin: e:\realoneplayer\Netscape6\nprjplug.dll

FF - plugin: e:\realoneplayer\Netscape6\nprpjplug.dll

.
 

**************************************************************************
 

catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-04-14 12:35

Windows 5.1.2600 Service Pack 2 NTFS
 

Scanne versteckte Prozesse... 
 

Scanne versteckte Autostarteinträge... 
 

Scanne versteckte Dateien... 
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************

.

--------------------- Gesperrte Registrierungsschluessel ---------------------
 

[HKEY_USERS\S-1-5-21-1801674531-562591055-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{1D3F917B-F649-FB3D-5C29-CD26E7243C3F}*]

@Allowed: (Read) (RestrictedCode)

@Allowed: (Read) (RestrictedCode)

"abmejbalmicjghlbonhbhaigcafnfdlemi"=hex:61,61,00,00

"bbmejbalmicjghlbonebgajpnnijoiacecfd"=hex:61,61,00,00
 

[HKEY_USERS\S-1-5-21-1801674531-562591055-839522115-1003\Software\SecuROM\License information*]

"datasecu"=hex:c4,e1,58,76,08,dd,fc,be,c6,4b,1c,62,75,75,0a,28,22,28,db,fe,06,

   92,28,98,8f,ec,a4,cd,0a,03,36,59,3e,dc,cf,d4,e8,b1,63,f7,70,dc,2d,1f,e6,33,\

"rkeysecu"=hex:29,23,be,84,e1,6c,d6,ae,52,90,49,f1,f1,bb,e9,eb

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
 

- - - - - - - > 'winlogon.exe'(340)

d:\windows\system32\Ati2evxx.dll

.

Zeit der Fertigstellung: ~,10time:~,-3

ComboFix-quarantined-files.txt  2009-04-14 10:37
 

Vor Suchlauf: 3.983.757.312 Bytes frei

Nach Suchlauf: 4.060.782.592 Bytes frei
 

244

was hat es denn mit der wiederherstellungskonsole auf sich?

hier doe log file von runscanner

Code:

Runscanner logfile
 

* = signed file

- = file not found
 

General info

------------

Computer name : ISODPI-F3IGHT3R

Creation time : 14.04.2009 12:48:15

Hosts <> 127.0.0.1 : 0

Hosts file location : %SystemRoot%\System32\drivers\etc

IE version : 6.0.2900.2180

OS : Microsoft Windows XP

OS Build : 2600

OS SP : Service Pack 2

RunScanner Version : 1.8.0.0

User Language : Deutsch (Deutschland)

User rights : Administrator

Windows folder : D:\WINDOWS
 

Running processes

-----------------

  E:\ad-aware\AAWTray.exe

* E:\ad-aware\aawservice.exe (Lavasoft AB)

  D:\Programme\AntiVir PersonalEdition Classic\avguard.exe (Avira GmbH)

  D:\Programme\AntiVir PersonalEdition Classic\sched.exe (Avira GmbH)

  D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe (Avira GmbH)

* D:\WINDOWS\system32\services.exe (Microsoft Corporation)

* D:\WINDOWS\System32\alg.exe (Microsoft Corporation)

  D:\WINDOWS\system32\Ati2evxx.exe (ATI Technologies Inc.)

  D:\WINDOWS\system32\Ati2evxx.exe (ATI Technologies Inc.)

  D:\Programme\FRITZ!DSL\IGDCTRL.EXE (AVM Berlin)

  D:\Programme\ATI Technologies\ATI.ACE\cli.exe (ATI Technologies Inc.)

  D:\Programme\ATI Technologies\ATI.ACE\cli.exe (ATI Technologies Inc.)

  D:\Programme\ATI Technologies\ATI.ACE\cli.exe (ATI Technologies Inc.)

* D:\WINDOWS\system32\csrss.exe (Microsoft Corporation)

* D:\WINDOWS\system32\rundll32.exe (Microsoft Corporation)

  D:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe (SEIKO EPSON CORPORATION)

* D:\WINDOWS\System32\svchost.exe (Microsoft Corporation)

* D:\WINDOWS\System32\svchost.exe (Microsoft Corporation)

* D:\WINDOWS\system32\svchost.exe (Microsoft Corporation)

* D:\WINDOWS\system32\svchost.exe (Microsoft Corporation)

* D:\WINDOWS\System32\svchost.exe (Microsoft Corporation)

* D:\WINDOWS\system32\svchost.exe (Microsoft Corporation)

* D:\WINDOWS\system32\svchost.exe (Microsoft Corporation)

* D:\WINDOWS\system32\svchost.exe (Microsoft Corporation)

* D:\WINDOWS\system32\svchost.exe (Microsoft Corporation)

* D:\WINDOWS\system32\svchost.exe (Microsoft Corporation)

* D:\WINDOWS\System32\svchost.exe (Microsoft Corporation)

  D:\Programme\HP\Digital Imaging\bin\hpqgpc01.exe (Hewlett-Packard)

  D:\Programme\HP\Digital Imaging\bin\hpqbam08.exe (Hewlett-Packard Co.)

  D:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe (Hewlett-Packard Co.)

* D:\Programme\HP\Digital Imaging\bin\hpqtra08.exe (Hewlett-Packard Co.)

  D:\Programme\HP\HP Software Update\HPWuSchd2.exe (Hewlett-Packard)

  E:\Ahead\InCD\InCDsrv.exe (Nero AG)

* D:\WINDOWS\system32\lsass.exe (Microsoft Corporation)

* D:\WINDOWS\system32\PnkBstrA.exe

* D:\WINDOWS\system32\PnkBstrB.exe

  D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe (RealNetworks, Inc.)

* D:\DOKUME~1\F3ighT3r\LOKALE~1\Temp\Rar$EX00.860\RunScanner.exe (Runscanner.net)

* D:\WINDOWS\system32\spoolsv.exe (Microsoft Corporation)

  E:\Alcohol 120%\Alcohol 120\StarWind\StarWindServiceAE.exe (Rocket Division Software)

  D:\Programme\Browser\Browser.exe

* D:\WINDOWS\Explorer.EXE (Microsoft Corporation)

* D:\Programme\Messenger\msmsgs.exe (Microsoft Corporation)

* D:\WINDOWS\system32\winlogon.exe (Microsoft Corporation)

* d:\windows\System32\smss.exe (Microsoft Corporation)

  E:\WinRAR\WinRAR.exe

* D:\WINDOWS\system32\wbem\wmiprvse.exe (Microsoft Corporation)

  E:\Yod' 3D\Yodm3D.exe (Christian SALMON)
 

Unrated items

-------------

002   E:\ad-aware\AAWTray.exe

002   D:\Programme\ATI Technologies\ATI.ACE\cli.exe (ATI Technologies Inc.)

002   D:\WINDOWS\system32\atiptaxx.exe (ATI Technologies, Inc.)

002   D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe (Avira GmbH)

002   D:\Programme\HP\HP Software Update\HPWuSchd2.exe (Hewlett-Packard)

002   D:\Programme\HP\Digital Imaging\bin\hpqSRMon.exe (Hewlett-Packard)

002   D:\WINDOWS\system32\NeroCheck.exe (Ahead Software Gmbh)

002   D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe (RealNetworks, Inc.)

003   E:\Yod' 3D\Yodm3D.exe (Christian SALMON)

005 * D:\Programme\HP\Digital Imaging\bin\hpqtra08.exe (Hewlett-Packard Co.)

010   D:\Programme\AntiVir PersonalEdition Classic\avguard.exe (AntiVir PersonalEdition Classic Guard)

010   D:\Programme\AntiVir PersonalEdition Classic\sched.exe (AntiVir PersonalEdition Classic Planer)

010   D:\WINDOWS\system32\Ati2evxx.exe (ATI External Event Utility EXE Module)

010   D:\WINDOWS\system32\ati2sgag.exe (ATI Smart)

010   D:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (AVM FRITZ!web Routing Service)

010   D:\Programme\FRITZ!DSL\IGDCTRL.EXE (AVM IGD CTRL Service)

010   D:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe (EPSON Printer Status Agent2)

010   E:\Ahead\InCD\InCDsrv.exe (InCD Helper)

010   D:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe (InstallDriver Table Manager)

010 * D:\WINDOWS\system32\PnkBstrA.exe (PnkBstrA)

010 * D:\WINDOWS\system32\PnkBstrB.exe (PnkBstrB)

010 * D:\Programme\WinPcap\rpcapd.exe (Remote Packet Capture Protocol v.0 (experimental))

010   E:\Alcohol 120%\Alcohol 120\StarWind\StarWindServiceAE.exe (StarWind AE Service)

011   D:\WINDOWS\system32\DRIVERS\ati2mtag.sys (ati2mtag)

011   D:\Programme\Radeon Omega Drivers\v3.8.330\ATI Tray Tools\atitray.sys (atitray)

011 * D:\Programme\AntiVir PersonalEdition Classic\avgio.sys (avgio)

011 * D:\Programme\AntiVir PersonalEdition Classic\avgntflt.sys (avgntflt)

011 * D:\WINDOWS\system32\DRIVERS\avipbb.sys (avipbb)

011   D:\WINDOWS\System32\DRIVERS\aadev.sys (AVM ADSL Adapter Device)

011   D:\WINDOWS\system32\DRIVERS\NETFWDSL.SYS (AVM FRITZ!web DSL PPP)

011   D:\WINDOWS\system32\DRIVERS\netdsl.sys (AVM PPP over Ethernet)

011   D:\WINDOWS\system32\DRIVERS\d347bus.sys (d347bus)

011   D:\WINDOWS\System32\Drivers\d347prt.sys (d347prt)

011   D:\WINDOWS\system32\drivers\incdrm.sys (InCD Reader)

011   D:\WINDOWS\System32\DRIVERS\InCDPass.sys (InCDPass)

011 * D:\WINDOWS\system32\drivers\npf.sys (NetGroup Packet Filter Driver)

011   D:\WINDOWS\system32\drivers\pfc.sys (Padus ASPI Shell)

011   D:\WINDOWS\system32\DRIVERS\secdrv.sys (Secdrv)

011   D:\WINDOWS\System32\Drivers\sptd.sys (sptd)

011   D:\WINDOWS\system32\DRIVERS\ssmdrv.sys (ssmdrv)

030   D:\WINDOWS\system32\mscoree.dll (Microsoft Corporation) {1E66F26B-79EE-11D2-8710-00C04F79ED0D}

030   D:\WINDOWS\system32\mscoree.dll (Microsoft Corporation) {1E66F26B-79EE-11D2-8710-00C04F79ED0D}

030   D:\WINDOWS\system32\mscoree.dll (Microsoft Corporation) {1E66F26B-79EE-11D2-8710-00C04F79ED0D}

035   D:\WINDOWS\system32\mscories.dll (Microsoft Corporation) {89B4C1CD-B018-4511-B0A1-5476DBF70820}

041   D:\Programme\Alcohol Toolbar\v3.2.0.0\Alcohol_Toolbar.dll {ED4BD629-C1B6-4399-8A34-02CCAA921DC9}

042   E:\ICQPRO~1\ICQ.exe (ICQ Inc.) {6224f700-cba3-4071-b251-47cb894244cd}

042   F:\PartyPoker\PartyPokerNet\RunPF.exe {F4430FE8-2638-42e5-B849-800749B94EED}

045   D:\Programme\Alcohol Toolbar\v3.2.0.0\Alcohol_Toolbar.dll {ED4BD629-C1B6-4399-8A34-02CCAA921DC9}

047   Zone: fritz.box : *.fritz.box

052   D:\Programme\Alcohol Toolbar\v3.2.0.0\Alcohol_Toolbar.dll {8126A4A5-BFD3-46FE-BBDF-BFB5CF78E489}

061   D:\WINDOWS\system32\mscoree.dll (Microsoft Corporation) {1D2680C9-0E2A-469d-B787-065558BC7D43}

061   E:\icq pro\ICQShExt.dll (ICQ) {F802F260-519B-11D1-BB5D-0060974C6013}

061   E:\BEETHI~1.1\YJ.dll {DB7CFAED-842B-47E7-9FF4-928520041009}

061   E:\BEETHI~1.1\TL.dll {DB7CFAEE-842B-47E7-9FF4-928520041009}

061   D:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll (Sun Microsystems, Inc.) {C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}

061   D:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll (Sun Microsystems, Inc.) {087B3AE3-E237-4467-B8DB-5A38AB959AC9}

061   D:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll (Sun Microsystems, Inc.) {63542C48-9552-494A-84F7-73AA6A7C99C1}

061   D:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll (Sun Microsystems, Inc.) {3B092F0C-7696-40E3-A80F-68D74DA84210}

061   E:\Ahead\InCD\incdshx.dll (Nero AG) {950FF917-7A57-46BC-8017-59D9BF474000}

061   D:\Programme\AntiVir PersonalEdition Classic\shlext.dll (Avira GmbH) {45AC2688-0253-4ED8-97DE-B5370FA7D48A}

061   E:\RealOnePlayer\rpshell.dll (RealNetworks, Inc.) {F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}

061   D:\WINDOWS\system32\dfshim.dll (Microsoft Corporation) {E37E2028-CE1A-4f42-AF05-6CEABC4E5D75}

061   D:\WINDOWS\system32\dfshim.dll (Microsoft Corporation) {e82a2d71-5b2f-43a0-97b8-81be15854de8}

061   E:\WinRAR\rarext.dll {B41DB860-8EE4-11D2-9906-E49FADC173CA}

062   E:\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll (Adobe Systems, Inc.) {F9DB5320-233E-11D1-9F84-707F02C10627}

062   D:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll (Sun Microsystems, Inc.) {C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}

063   D:\WINDOWS\system32\lsdelete.exe

067   D:\WINDOWS\system32\Ati2evxx.dll (ATI Technologies Inc.)

069   D:\WINDOWS\system32\avmprmon.dll (AVM Berlin GmbH)

069   D:\WINDOWS\system32\mdimon.dll (Microsoft Corporation)

100   ShellNext HKCU : http://www.1und1.com/d1redirect

100   Start Page HKCU : http://start.icq.com/

105   &ICQ Toolbar Search : res://E:\ICQToolbar\toolbaru.dll/SEARCH.HTML

105   Download with Xilisoft Download YouTube Video : E:\youtube video download\Download YouTube Video\upod_link.HTM

105   Nach Microsoft &Excel exportieren : res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

170   {0149b1a1-1fda-11db-95c8-806d6172696f} : H:\setup.exe

173   GUID / CLSID not found

173   GUID / CLSID not found {73B24247-042E-4EF5-ADC2-42F62E6FD654}

173   E:\BEETHI~1.1\YJ.dll {DB7CFAED-842B-47E7-9FF4-928520041009}

173   E:\Notepad++\nppcm.dll (Burgaud.com) {120B94B5-2E6A-4F13-94D0-414BCB64FA0F}

173   D:\Programme\AntiVir PersonalEdition Classic\shlext.dll (Avira GmbH) {45AC2688-0253-4ED8-97DE-B5370FA7D48A}

173   E:\WinRAR\rarext.dll {B41DB860-8EE4-11D2-9906-E49FADC173CA}

221   GUID / CLSID not found

221   GUID / CLSID not found {73B24247-042E-4EF5-ADC2-42F62E6FD654}

221   E:\BEETHI~1.1\YJ.dll {DB7CFAED-842B-47E7-9FF4-928520041009}

221   E:\Notepad++\nppcm.dll (Burgaud.com) {120B94B5-2E6A-4F13-94D0-414BCB64FA0F}

221   D:\Programme\AntiVir PersonalEdition Classic\shlext.dll (Avira GmbH) {45AC2688-0253-4ED8-97DE-B5370FA7D48A}

221   E:\WinRAR\rarext.dll {B41DB860-8EE4-11D2-9906-E49FADC173CA}

225   E:\BEETHI~1.1\YJ.dll {DB7CFAED-842B-47E7-9FF4-928520041009}

225   E:\BEETHI~1.1\YJ.dll {DB7CFAED-842B-47E7-9FF4-928520041009}

225   D:\Programme\AntiVir PersonalEdition Classic\shlext.dll (Avira GmbH) {45AC2688-0253-4ED8-97DE-B5370FA7D48A}

225   D:\Programme\AntiVir PersonalEdition Classic\shlext.dll (Avira GmbH) {45AC2688-0253-4ED8-97DE-B5370FA7D48A}

225   E:\WinRAR\rarext.dll {B41DB860-8EE4-11D2-9906-E49FADC173CA}

225   E:\WinRAR\rarext.dll {B41DB860-8EE4-11D2-9906-E49FADC173CA}

227   GUID / CLSID not found

227   GUID / CLSID not found {73B24247-042E-4EF5-ADC2-42F62E6FD654}

227   E:\WinRAR\rarext.dll {B41DB860-8EE4-11D2-9906-E49FADC173CA}

229   GUID / CLSID not found {5E2121EE-0300-11D4-8D3B-444553540000}

229   E:\Ahead\InCD\incdshx.dll (Nero AG) {950FF917-7A57-46BC-8017-59D9BF474000}

231   D:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll (Sun Microsystems, Inc.) OpenOffice.org Column Handler

231   E:\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll (Adobe Systems, Inc.) PDF Column Info

251   E:\WinRAR\rarext.dll {B41DB860-8EE4-11D2-9906-E49FADC173CA}
 

Missing files

-------------

011 D:\WINDOWS\system32\drivers\Abiosdsk.sys

011 D:\WINDOWS\system32\drivers\abp480n5.sys

011 D:\WINDOWS\system32\drivers\adpu160m.sys

011 D:\WINDOWS\system32\drivers\Aha154x.sys

011 D:\WINDOWS\system32\drivers\aic78u2.sys

011 D:\WINDOWS\system32\drivers\aic78xx.sys

011 D:\WINDOWS\system32\drivers\AliIde.sys

011 D:\WINDOWS\system32\drivers\amsint.sys

011 D:\WINDOWS\system32\drivers\aqyrga96.sys

011 D:\WINDOWS\system32\drivers\asc.sys

011 D:\WINDOWS\system32\drivers\asc3350p.sys

011 D:\WINDOWS\system32\drivers\asc3550.sys

011 D:\WINDOWS\system32\drivers\Atdisk.sys

011 D:\WINDOWS\system32\drivers\cd20xrnt.sys

011 D:\WINDOWS\system32\drivers\Changer.sys

011 D:\WINDOWS\system32\drivers\CmdIde.sys

011 D:\WINDOWS\system32\drivers\Cpqarray.sys

011 D:\WINDOWS\system32\drivers\dac2w2k.sys

011 D:\WINDOWS\system32\drivers\dac960nt.sys

011 D:\WINDOWS\system32\drivers\dpti2o.sys

011 D:\WINDOWS\system32\drivers\hpn.sys

011 D:\WINDOWS\system32\drivers\i2omgmt.sys

011 D:\WINDOWS\system32\drivers\i2omp.sys

011 D:\WINDOWS\system32\drivers\ini910u.sys

011 D:\WINDOWS\system32\drivers\IntelIde.sys

011 D:\WINDOWS\system32\drivers\lbrtfdc.sys

011 D:\WINDOWS\system32\drivers\mraid35x.sys

011 d:\windows\system32\DRIVERS\RTL8139.SYS

011 D:\WINDOWS\system32\drivers\PCIDump.sys

011 D:\WINDOWS\system32\drivers\PDCOMP.sys

011 D:\WINDOWS\system32\drivers\PDFRAME.sys

011 D:\WINDOWS\system32\drivers\PDRELI.sys

011 D:\WINDOWS\system32\drivers\PDRFRAME.sys

011 D:\WINDOWS\system32\drivers\perc2.sys

011 D:\WINDOWS\system32\drivers\perc2hib.sys

011 D:\WINDOWS\system32\drivers\ql1080.sys

011 D:\WINDOWS\system32\drivers\Ql10wnt.sys

011 D:\WINDOWS\system32\drivers\ql12160.sys

011 D:\WINDOWS\system32\drivers\ql1240.sys

011 D:\WINDOWS\system32\drivers\ql1280.sys

011 D:\WINDOWS\system32\drivers\Simbad.sys

011 D:\WINDOWS\system32\drivers\Sparrow.sys

011 D:\WINDOWS\system32\drivers\sym_hi.sys

011 D:\WINDOWS\system32\drivers\sym_u3.sys

011 D:\WINDOWS\system32\drivers\symc810.sys

011 D:\WINDOWS\system32\drivers\symc8xx.sys

011 D:\WINDOWS\system32\drivers\TosIde.sys

011 D:\WINDOWS\system32\drivers\ultra.sys

011 D:\WINDOWS\system32\drivers\WDICA.sys

061 deskpan.dll