Trojaner-Board - PC cleanen CC/Malewarebytes/Hijackthis

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - PC cleanen CC/Malewarebytes/Hijackthis (https://www.trojaner-board.de/75976-pc-cleanen-cc-malewarebytes-hijackthis.html)

PC cleanen CC/Malewarebytes/Hijackthis

Hallo,
da mir bei meinem Laptop letztens so prima geholfen wurde, was das aufräumen angeht, dachte ich, ich könnte ja maldas gleiche machen mit meinem Desktop-PC. Es wurden natürlich einige schädliche Dateien gefunden.

Da ich nicht sehr oft an meinem PC sitze, kann ich nich sagen ob er sich groß in der Schnelligkeit oder so verändert hat, weil ich hauptsächlich am Lappi arbeite und der Desktop eigentlich nur noch für Skype und ICQ von meiner Mum genutzt wird.

Habe CCleaner, Malewarebytes und Hijackthis wie angegeben ausgeführt, im folgenden die logs von den beiden letzteren...

Malwarebytes:

Code:

Malwarebytes' Anti-Malware 1.39

Datenbank Version: 2546

Windows 5.1.2600 Service Pack 3
 

02.08.2009 13:58:22

mbam-log-2009-08-02 (13-58-22).txt
 

Scan-Methode: Vollständiger Scan (C:\|)

Durchsuchte Objekte: 268723

Laufzeit: 1 hour(s), 46 minute(s), 2 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 3

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 4
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{d5792aa9-d373-4039-8670-2cdab6a71f15} (Trojan.Lop) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Trymedia Systems (Adware.Trymedia) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\WakeNet (Trojan.Adware) -> Quarantined and deleted successfully.
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

c:\programme\Pinnacle\pinnacle expression\Register\RegTool.exe (Rogue.RegTool) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\h@tkeysh@@k.dll (Trojan.Agent) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\serauth1.dll (Trojan.Agent) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\serauth2.dll (Trojan.Agent) -> Quarantined and deleted successfully.

Hijackthis:

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 14:08:23, on 02.08.2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\Avira\AntiVir Desktop\sched.exe

C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe

C:\Programme\Avira\AntiVir Desktop\avguard.exe

C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe

C:\WINDOWS\system32\LVCOMSX.EXE

C:\Programme\Logitech\Video\LogiTray.exe

C:\Programme\Java\jre1.5.0_05\bin\jusched.exe

C:\Programme\Avira\AntiVir Desktop\avgnt.exe

C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe

C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe

C:\Programme\Logitech\SetPoint\KEM.exe

C:\Programme\Logitech\Video\FxSvr2.exe

C:\Programme\Logitech\SetPoint\KHALMNPR.EXE

C:\Programme\HP\Digital Imaging\bin\hpqimzone.exe

C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe

C:\Programme\HP\Digital Imaging\Product Assistant\bin\hprblog.exe

C:\Programme\Trend Micro\HijackThis\HijackThis.exe
 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.arcor.de

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

R3 - URLSearchHook: {1A03F196-9617-4CA0-842B-A83CEECB022B} -  - (no file)

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe

O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE

O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe 

O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe

O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe

O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programme\Logitech\Video\ManifestEngine.exe boot

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: HP Image Zone Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe

O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe

O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\KEM.exe

O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - C:\Programme\Avant Browser\AddAllToADBlackList.htm

O8 - Extra context menu item: Hervorheben - C:\Programme\Avant Browser\Highlight.htm

O8 - Extra context menu item: In neuem Avant Browser öffnen - C:\Programme\Avant Browser\OpenInNewBrowser.htm

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Suchen - C:\Programme\Avant Browser\Search.htm

O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - C:\Programme\Avant Browser\AddToADBlackList.htm

O8 - Extra context menu item: Öffne alle Links auf dieser Seite... - C:\Programme\Avant Browser\OpenAllLinks.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll

O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O16 - DPF: Dice Derby by pogo - http://game1.pogo.com/applet-6.6.5.31/checkeredflag/checkeredflag-de_DE.cab

O16 - DPF: Fortune Bingo by pogo - http://game1.pogo.com/applet-6.6.5.31/superbingo/superbingo-de_DE.cab

O16 - DPF: Mah Jong Garden by pogo - http://game1.pogo.com/applet-6.6.5.31/mahjong/mahjong-de_DE.cab

O16 - DPF: Texas Hold'em Poker by pogo - http://game1.pogo.com/applet-6.6.5.31/holdem/holdem-de_DE.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/0523ef46c66424541422/netzip/RdxIE601_de.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game04.zylom.com/activex/zylomgamesplayer.cab

O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab

O23 - Service: AccSys WiFi Component (accsvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe

O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe
 

--

End of file - 8566 bytes

Ist alles bereinigt?

Achja, eins noch: Während dem scan von malewarebytes hat antivir 2 Trojaner gemeldet: Dropper.Gen. Hab sie erstmal in Quarantäne gesteckt.
Habe vorhin eigentlich auch msn messenger deinstalliert... scheint ja noch was da zu sein... wie krieg ich das noch weg?

Mir is vorhin noch ne kleine Auffälligkeit am PC aufgefallen:
Wenn er hochfährt und der Benutzer geladen wurde, dauert es 2 oder 3 Minuten bis alles genutzt und am pc gearbeitet werden kann. Wird hauptsächlich daran deutlich, dass sich auch erst der Schirm von Avira (der Guard) nach dieser Zeit öffnet.

Hab noch ein paar Deinstallationen und Löschungen von Programmen und Dateien vorgenommen.... und es gibt nun auch nur noch einen aktiven Benutzer

Würd mich über Hilfe freuen!

Hallo,

poste bitte beide Logs von RSIT.

ciao, andreas

Gerade hat Antivir noch ne Meldung nach nem weiteren trojaner abgegeben: TR/Killav.28714

im anhang log und info von rsit

Spricht irgendetwas dagegen den Rechner neuaufzusetzen?

Ich spreche nicht von Schädlingen (wobei da zumindest Anzeichen zu sehen sind), sondern von Unmengen an Software und Treibern. Das kann nur mit sehr viel Zeitaufwand geradegezogen werden.

Solltest du dich für Reinigung entscheiden, kommt als erstes ComboFix zum Einsatz.

ciao, andreas

mh, dagegen spricht, dass ich im Moment nich so ganz weiß, wo die XP-CD ist... Muss erstmal schauen, wo ich die habe. Hab den Desktop nun schon eine Weile und ich war nich immer sehr umsichtig mit den ganzen CDs, weil ich am Anfang immer dachte "brauchst ja eh nich mehr...". Nu bin ich natürlich schlauer. Naja ein bissel zumindest.
Ansonsten wäre Neuinstallation sicher ne gute Sache.

Außerdem hab ich bei so neuinstallationen immer Angst was falsch zu machen *g* Hab das noch nie gemacht. Aber mit der Anleitung dürft ja eigentlich nix schief gehen...

Ich werd morgen mal schauen ob ich sie finden kann und meld mich dann hier nochmal.

Es geht hauptsächlich um die Zeit. Wenn du tatsächlich nur zwei Programme brauchst, dann ist die Neuinstallation in spätestens 4 Stunden durch, selbst für Ungeübte. Die Reinigung wird 2 Tage dauern.

Das hier ist ein Schädling, vielleicht nur noch ein Rest, vielleicht mehr:

Code:

S3 lredbooo;lredbooo; \??\C:\DOKUME~1\KATJAZ~1\LOKALE~1\Temp\lredbooo.sys []

Also nach ComboFix würden noch mindestens 4 Scanner kommen. Ich warte auf deine Entscheidung.

ciao, andreas

Also hab eine XP-CD gefunden, denke mal das is die von meinem Fujitsu... Da war auch noch ne Treiber CD dabei, die ich wohl auch dafür brauche.

Werd mich also mal an ne neuinstallation des Systems machen, wenn ich irgendwelche Probs dabei habe, was ich nich hoffe, meld ich mich hier nochmal.

Drück mir die Daumen, dass es klappt :ugly:

Zitat:

wenn ich irgendwelche Probs dabei habe, was ich nich hoffe, meld ich mich hier nochmal.

Selbstverständlich. :)

Zitat:

Drück mir die Daumen, dass es klappt

Du schaffst das schon, da bin ich sicher. :)

ciao, andreas

Hey Hoh,

bin nun endlich mal dazu gekommen meinen alten Desktop-PC neuaufzusetzen... Wollt dich nur mal wissen lassen, dass es alles prima geklappt hat. In knapp 5h war ich fertig.

Hoffe, dass ich an alle Treiber gedacht habe... gibt es irgendeine Möglichkeit allgemein zu überprüfen ob alles vollständig ist/irgendwas wichtiges fehlt?

Kann jedem ein Neuaufsetzen empfehlen! Man kann sich sicher sein, dass alles prima läuft (vorausgesetzt das mit den Treibern klappt alles)! Die PErformance hat sich wieder um einiges verbessert!

Grüße,
Katja

Zitat:

bin nun endlich mal dazu gekommen meinen alten Desktop-PC neuaufzusetzen... Wollt dich nur mal wissen lassen, dass es alles prima geklappt hat.

:dankeschoen: für die Rückmeldung.

Zitat:

In knapp 5h war ich fertig.

Die letzten Reinigungen lagen im Zeitfenster 2-5 Tage. :D Ich bin voll stolz auf dich. :daumenhoc

Zitat:

gibt es irgendeine Möglichkeit allgemein zu überprüfen ob alles vollständig ist/irgendwas wichtiges fehlt?

Start => Ausführen => devmgmt.msc => OK

Falls dort nirgendwo gelbe Ausrufezeichen oder rote Kreuze zu sehen sind, dann ist alles i.O.

Zitat:

Die PErformance hat sich wieder um einiges verbessert!

Alleine aus dem Grund würde ich persönlich immer neuaufsetzen, aber einige haben panische Angst davor. ;)

ciao, andreas

Zitat:

:dankeschoen: für die Rückmeldung.

Gern geschehen :)

Zitat:

Die letzten Reinigungen lagen im Zeitfenster 2-5 Tage. :D Ich bin voll stolz auf dich. :daumenhoc

Ja... das is schon ein Unterschied!
Danke, bin ich auch :D

Zitat:

Start => Ausführen => devmgmt.msc => OK
Falls dort nirgendwo gelbe Ausrufezeichen oder rote Kreuze zu sehen sind, dann ist alles i.O.

mh, ich erinner mich dunkel, dass im Geräte-Manager 2 gelbe Ausrufezeichen waren, bin mir aber nicht sicher was das war. Werd mich da morgen mal ransetzen und dir berichten. Auf der Couch mit Lappi (dank dem neu installiertem und konfigurierten W-Lan Modem, hab ich am Tag des Neuaufsetzens gleich am Desktop-PC eingerichtet!) ist es gemütlicher. Der PC steht 2m weit weg... zu weit... :D

Zitat:

Alleine aus dem Grund würde ich persönlich immer neuaufsetzen, aber einige haben panische Angst davor. ;)

Ja, also die Angst kann man ja schon auch ein bissel verstehen, wenn man es noch nie gemacht hat und sich generell nich so mit PC's auskennt... andererseits, wenn man einen PC schrotten kann, sollte man auch in der Lage sein ihn neuaufsetzen zu können :D Nee, also so schwer war es ja auch gar nich und ich hatte ja zum Glück keinerlei Daten oder Savegames von Spielen oder sonstige Proggis, die ich noch benutze da drauf und da meine Mum den ganzen Schrott eh nich brauch, bin ich schon froh, dass ich diese Variante gewählt hab!

Grüße,
Katja

OK, dann poste auch gleich ein neues HJT-Log. Da lässt sich bestimmt irgendetwas fixen. :)

ciao, andreas

Hey hoh,

also hier erstmal das neue logfile von hijackthis:

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 11:48:22, on 21.08.2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\Avira\AntiVir Desktop\sched.exe

C:\Programme\Avira\AntiVir Desktop\avgnt.exe

C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\Logitech\SetPoint\KEM.exe

C:\Programme\Logitech\SetPoint\KHALMNPR.EXE

C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe

C:\Programme\Avira\AntiVir Desktop\avguard.exe

C:\Programme\Trend Micro\HijackThis\HijackThis.exe
 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://update.microsoft.com/windowsupdate/v6/default.aspx?ln=de

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.arcor.de

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [WLAN Quick-Starter] "C:\Programme\WLAN Quick-Starter\WLAN Quick-Starter.exe" -update

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\KEM.exe

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL

O23 - Service: AccSys WiFi Component (accsvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe

O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
 

--

End of file - 4057 bytes

und im Geräte Manager ist ein Ausrufezeichen bei (beides Aufgeführt unter einem Fragezeicehn mit "Andere Geräte"):
- Audiocontroller für Multimedia
- PCI-Modem

achja hab mal CCleaner ausgeführt. Schon vor dem Neuaufsetzen hat ich da immer diverse ActiveX Fehler in der Registry, da waren wieder welche dabei...

Grüße,
Katja

Hallo Katja :)

Räumen wir erstmal auf.

Starte HJT => Do a system scan only => Markiere:

Code:

Alle R0, R1, O2, O8 und O9-Einträge

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

=> Fix checked

Zitat:

Schon vor dem Neuaufsetzen hat ich da immer diverse ActiveX Fehler in der Registry, da waren wieder welche dabei...

Da mache dir keine Gedanken.

Zitat:

- Audiocontroller für Multimedia
- PCI-Modem

Liest sich, als ob die Treiber für das Mainboard fehlen. Jetzt muss ich es ganz genau wissen.

Ideal wäre der Name und Typ des Mainboards.
Gut wäre der Name und Typ des Rechners.

Ansonsten setzen wir Everest ein, um genauere Informationen zu bekommen, siehe auch => http://www.trojaner-board.de/63543-a...ibersuche.html

ciao, andreas