Virtumonde / Tradedoubler?
 

hallo,
also zunächst muss ich sagen dass ich nur wenig ahnung von pcs/trojanern etc habe. habe allerdings heute dann eine riesendummheit begangen: in msn hatte mir ein kumpel einen link geschickt, wo einfach nur "haha ... sexy?" da stand und dann ein link auf imageshack ( vermutlich aber imageshaack oder so ähnlich) dabei war, wo nach in dem link auch meine emailadresse ( die von msn) stand. Ich war natürlich so doof und neugierig was das sein sollte und hab auf den link geklickt weil ich dachte es wäre ein foto das mein kumpel gemacht hat. nachdem ich auf den link geklickt hatte kam erstma garnix, nur dass sich halt kein photo öffnen lies sondern es glaubich ne exe oder kp datei war. dann kam auch schon die nachricht von dem kumpel dass er das in msn wiederum von jmd bekommen hat und sich das ganze jetzt an seine fliste weitergeschickt hat.. also auch an mich. spybot hat dann plötzlich angefangen die ganze zeit registry änderungen zu blockieren. ich hab natürlich sofort die exe gelöscht, wird aba dann wohl zu spät gewesen sein. sowohl spybot als auch das symantec anti viren dingens erkennen das da was falsch is, nur löschen können sies irgendwie nich. spybot hatte dann auch virtumonde.dll erkannt und noch etwas das tradedoubler hies. angeblich wurde es ja gelöscht.. nur beim nächsten hochfahren ist virtumonde wieder da usw. weisnich was ich da machen soll, da ich wirklich keine ahnung von pcs hab.
hoffe ihr könnt mir da irgendwie helfen

Hallo und

http://www.mysmilie.de/generator/ablage/156/257.png


MsnCleaner.zip von ElPiedra


Lade dir die MsnCleaner.zip von hier, aber verwende ihn noch nicht:
http://www.forospyware.com/Msncleaner/MsnCleaner.zip

* entpacke das MsnCleaner.zip
* boote in den abgesicherten Modus
* Mach einen Doppelklick auf die MsnCleaner_eng.exe um sie zu starten.
* Klicke auf den Language Button.
* Klicke auf den Analyze Button.
* nach dem Scan öffnet sich ein Report Text
* Wenn eine Infektion gefunden wird, klicke auf den Deleted Button.
* Starte den Rechner neu auf, in den normalen Modus
* kopiere den Inhalt des C:\MsnCleaner.txt in deinen Thread.


Malwarebytes' Anti-Malware

• Lies dir die Entfernungsanleitung durch und lass alles entfernen was gefunden wurde:

• Download von Malwarebytes' Anti-Malware

Erstellung eines Hijacklog

• Hier gibt es das Tool -> HijackThis

• Suche die Datei HiJackThis.exe und benenne sie um in 'This.exe'

(Klick auf die Datei mit der rechten Maustaste -> umbenennen)

• Starte nun mit Doppelklick auf This.exe

• Klicke auf den Button "Do a system scan and save a log file"

• Nach der Überprüfung öffnet sich ein Editor Fenster, kopiere nun dieses Logfile ab und füge es in deinen Beitrag hier Forum ein

so jetzt bin ich erstmal ziemlich verwirrt. zuerst sollte ich ja wegen dem msn dingens im abgesicherten modus neu starten... problem an dieser sache is wie starte ich im abgesicherten modus ? <.< würde das auch ohne gehen? weil normal war ja immer bevor windows hochfährt die möglichkeit den modus auszuwählen, das taucht aba hier nich auf ( hab windows xp)

Du musst vor dem Windows-Bootscreen die Taste F8 drücken, da kommt das Auswahlverfahren. ;)

also das ging soweit nur hat sich dann alles zigfach vergrößert und sah irgnedwie sehr seltsam aus. wird wohl darauf hinauslaufen dass ich warte bis mein dad ( der besitzer des pcs der mehr ahnung von sowas hat)am samstag zurückkommt, bevor ich da noch mehr kaputtmache... es is wohl besser den pc bis dahin nich zu benutzen oder?

Was heißt "zigfach" vergrößert? Als Windows in den abgesicherten Modus gestartet ist? (nachdem du F8 gedrückt hast?)

yup da war der bildschirm auf einmal riesig, also eine riesige windows task menü dingens leiste und alles andre halt auch so groß und pixelig...

Das ist normal, da im abgesicherten Modus nur eine handvoll Treiber geladen werden, und der Grafiktreiber ist da nun mal nicht dabei. ;)

Du kannst also weitermachen nach Anleitung.

ok also hab das mit dem msn cleaner jetz gemacht. der hat aber bei dem scan nichts gefunden... rechner is jetzt wieda im normalen modus - ein freund der sich mehr mit pc auskennt als ich versucht mir gerade zu helfen, scanne grade auf dem pc mit VundoFix. hoffe das der was findet <.< das is ja angeblich nur auf virtumonde ausgelegt

edit: das teil hat nix gefunden

würde das was bringen im abgesicherten modus nochmal vundo laufen zu lassen?

erhm... ich versuche lediglich jede hilfe anzunehmen die ich bekommen kann, damit das teil weggeht. bin ja dabei das andre dingens jetzt auch zu versuchen, wie gesagt will nur nix kaputt machen da es nich mein pc is

hatte nicht vor irgendwie deine hilfe zu untergraben, sorry

malwarebytes anti malware is 20 min gelaufen, hatte 10 teile entdeckt, war immer noch am laufen, dann kam bluescreen und weg wars... mache wohl alles falsch was man falsch machen kann - ich gebs auf -.-

Mehrere Bereinigungen an einem Rechner zeitgleich vorzunehmen sind immer riskant, weil sich die Programme behindern können und weil die Gefahr besteht, dadurch nur teils entfernt Viren zu übersehen.
Außerdem führt es zur Verwirrung bei den Leuten, die hier versuchen deinen Rechner zu bereinigen.

Hast du die Fehlermeldung notiert, die bei Malwarebytes kam? Wenn nicht, dann versuch bitte einen weiteren Scan.
Wenn du die Fehlermeldung nicht lesen konntest, weil der Rechner neugestartet hat. Deaktivier bitte den "automatischen Neustart" unter -> Start-> Systemsteuerung-> System-> Kartenreiter „Erweitert -> Starten und Wiederherstellen -> deaktiviere unter „Systemfehler“ den automatischen Neustart indem du den Haken rausnimmst.
Poste dann die Fehlermeldung hier. (Wenn kein Absturz kommt, poste bitte das Malwarebyteslog ;) ).

lg myrtille

ok hab eben nich soviel ahnung, hatte aba auch die scans nich parallel laufen - hab nur gehofft dass das andre helfen würde. bin jetzt dabei nochmal malwarebytes dingens scannen zu lassen. davor war es so dass es was eben was gefunden hatte und dann auf einmal nen blue screen kam worauf neugestartet wurde. mir als ahnungslose macht n blue screen eben erstma angst :X

Genau das will der Bluescreen ja auch erstmal erreichen. :D Er sagt "Vorsicht, da geht was bös schief" und dann sagt er einem in der Regel aber auch wo das ganze schief geht, weswegen der Bluescreen eigentlich nützlich ist. ;)

Es spricht eigentlich nichts dagegen, dass du dir von jemandem helfen lässt, insbesondere wenn du dich am Rechner nicht so gut auskennst. Wir versuchen allerdings alles so zu erklären, dass jeder das verstehen kann. Wenn also Unklarheiten bleiben einfach nachfragen. :)
Lieber 3mal nachgefragt, als einmal etwas falschgemacht. ;)

Aber bitte nicht einfach etwas in Eigeninitiative unternehmen, das kann wie gesagt zu Komplikationen führen und wir können von hier aus dann nicht einschätzen wieso Dateien verschwinden und erscheinen, was eine Diagnose halt erschwert. ;)

Das Vundofix nichts finden wird, hätte dir hier wahrscheinlich jeder sagen können. :teufel3: ;)

lg myrtille

so wieder nen bluescreen bekommen und dann neustart - werde jetzt bis samstag warten bis mein dad wiederkommt, trau mich nich noch irgendwie was zu machen. viele dank für eure hilfe, werden es dann wohl am samstag noch einmal probieren. :(

Hi,
du musst den automatischen Neustart deaktivieren um die Informationen auf dem Bluescreen abschreiben/lesen zu können.

Poste bitte auf jedenfall noch das Hijackthislog, damit wir uns einen Eindruck von deinem Rechner verschaffen können. (Geht auch schnell ;) )

lg myrtille

also, erstma sorry für die späte antwort. mein dad und ich haben malwarebytes nochmal durchlaufen lassen. es hat dann tatsächlich die sachen gefunden und auch erfolgreich weggekriegt. hab es dann zur sicherheit noch mehrmals durchlaufen lassen und hier sind dann die berichte:

Malwarebytes' Anti-Malware 1.17
Datenbank Version: 846

23:54:41 14.06.2008
mbam-log-6-14-2008 (23-54-41).txt

Scan Art: Schnell Scan
Objekte gescannt: 43015
Scan Dauer: 7 minute(s), 9 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 1
Infizierte Registrierungsschlüssel: 4
Infizierte Registrierungswerte: 2
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 7

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
C:\WINDOWS\system32\hgGxXrRI.dll (Trojan.Vundo) -> Unloaded module successfully.

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{03657894-7c44-4ef3-a162-e70d19564373} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{03657894-7c44-4ef3-a162-e70d19564373} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\hggxxrri (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\WINDOWS\system32\KCMDNIns.exe (Trojan.Inject) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{03657894-7c44-4ef3-a162-e70d19564373} (Trojan.Vundo) -> Delete on reboot.

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\iiffGWOg.dll_old (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\gOWGffii.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\gOWGffii.ini2 (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\KCMDNIns.exe (Trojan.Inject) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\qoMccBqP.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\hgGxXrRI.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\clkcnt.txt (Trojan.Vundo) -> Quarantined and deleted successfully.


(das ist der vor dem update, hatte danach nochmal nach neuen updates dafür geschaut und da hat er dann wieda was gefunden):

Malwarebytes' Anti-Malware 1.17
Datenbank Version: 856

01:06:33 15.06.2008
mbam-log-6-15-2008 (01-06-33).txt

Scan Art: Komplett Scan (C:\|D:\|)
Objekte gescannt: 174045
Scan Dauer: 59 minute(s), 56 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 6

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine Malware Objekte gefunden)

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\OP\Lokale Einstellungen\Temporary Internet Files\Content.IE5\6H00FQKB\css4[1] (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\OP\Lokale Einstellungen\Temporary Internet Files\Content.IE5\AY7SA8GT\css4[1] (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\OP\Lokale Einstellungen\Temporary Internet Files\Content.IE5\LQXV5249\css4[1] (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{58229371-D47B-4E00-B9F8-825F6B4774F7}\RP216\A0126327.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{58229371-D47B-4E00-B9F8-825F6B4774F7}\RP216\A0129368.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{58229371-D47B-4E00-B9F8-825F6B4774F7}\RP217\A0130388.dll (Trojan.Vundo) -> Quarantined and deleted successfully.


und hier dann der nachdem neu gestartet wurde:

Malwarebytes' Anti-Malware 1.17
Datenbank Version: 856

02:19:39 15.06.2008
mbam-log-6-15-2008 (02-19-39).txt

Scan Art: Komplett Scan (C:\|D:\|)
Objekte gescannt: 174248
Scan Dauer: 1 hour(s), 1 minute(s), 11 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine Malware Objekte gefunden)

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
(Keine Malware Objekte gefunden)

hört sich ziemlich gut an :)

Hallo,
da dein Dad nun die "Behandlung" übernommen hat ,zeige bitte ihm das Log.
Da du nicht tun willst was dir geraten wird.......
Irrlicht

Man kann es auch übertreiben! :kloppen:

Das Log von Malwarebytes sieht gut aus. :)

Erstell bitte nach Sunnys Anweisung noch ein Hijackthislog und auch ein Log mit DSS:
DSS

• Lade dir DSS
• Schließe alle Anwendungen und führe DSS.exe dann mit einem Doppelklick aus
• Führe während DSS arbeitet bitte keine anderen Aktionen durch
• Am Ende öffnen sich 2 Datein main.txt und extra.txt
• Poste den Inhalt beider Dateien hier

lg myrtille

hier das hijackthis file:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:00:09, on 15.06.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Symantec AntiVirus\DefWatch.exe
C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\WINDOWS\system32\SLEE503.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\Symantec AntiVirus\Rtvscan.exe
C:\Programme\Malwarebytes' Anti-Malware\mbamtrayctrl.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
C:\Acer\Empowering Technology\eRecovery\Monitor.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Programme\Brother\ControlCenter3\brccMCtl.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Brother\Brmfcmon\BrMfcmon.exe
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\PROGRA~1\SYMANT~1\vptray.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Dokumente und Einstellungen\OP\Desktop\This.exe.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: (no name) - {04E8FBE9-8894-4452-BFB3-B141FC66AB10} - C:\WINDOWS\system32\iifecbXP.dll (file missing)
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: (no name) - {2E6C0586-8189-4427-9771-4DDF9FF92C08} - C:\WINDOWS\system32\iiffGWOg.dll (file missing)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {94E03D9F-F097-4FD8-B119-5B1C23655FC9} - (no file)
O2 - BHO: (no name) - {B89C8268-74E0-4EDC-A269-1F6FF4155889} - C:\WINDOWS\system32\hgGyvULf.dll (file missing)
O2 - BHO: (no name) - {EAFE29D5-F1D0-4829-872F-D456F516ED40} - C:\WINDOWS\system32\tuvTnNHA.dll (file missing)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\Monitor.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [BrMfcWnd] C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl06a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter3] C:\Programme\Brother\ControlCenter3\brctrcen.exe /autorun
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\\vptray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [SSS6_Suite] "C:\Programme\Steganos Security Suite 6\sss.exe" /booting (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [SSS6_SAFE] "C:\Programme\Steganos Security Suite 6\safe.exe" /booting (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [SSS6_SPM] "C:\Programme\Steganos Security Suite 6\spm.exe" /booting (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {45A0A292-ECC6-4D8F-9EA9-A4BD411D24C1} (king.com) - http://cash.games.web.de/ctl/kingcomie.cab
O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - https://stream.web.de/mail/activex/m...load_11213.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/wind...?1194099939525
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab56907.cab
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://www.adobe.com/products/acrobat/nos/gp.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1C92D66A-B40D-4157-A35D-5EECFDEA40F9}: NameServer = 192.168.2.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{1C92D66A-B40D-4157-A35D-5EECFDEA40F9}: NameServer = 192.168.2.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{1C92D66A-B40D-4157-A35D-5EECFDEA40F9}: NameServer = 192.168.2.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe Active File Monitor V5 (AdobeActiveFileMonitor5.0) - Unknown owner - C:\Programme\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Programme\Symantec AntiVirus\DefWatch.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: InCD Helper (read only) (InCDsrvR) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: MBAMService - Malwarebytes - C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Programme\Symantec AntiVirus\SavRoam.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Steganos Live Encryption Engine (Version 503) [Service] (SLEE_503_SERVICE) - Unknown owner - C:\WINDOWS\system32\SLEE503.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Programme\Symantec AntiVirus\Rtvscan.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 11102 bytes

und hier das von DSS:

main txt:

Deckard's System Scanner v20071014.68
Run by OP on 2008-06-15 20:10:58
Computer is in Normal Mode.
--------------------------------------------------------------------------------

-- System Restore --------------------------------------------------------------

Successfully created a Deckard's System Scanner Restore Point.


-- Last 5 Restore Point(s) --
41: 2008-06-15 18:11:07 UTC - RP218 - Deckard's System Scanner Restore Point
40: 2008-06-14 15:34:54 UTC - RP217 - Systemprüfpunkt
39: 2008-06-12 15:14:28 UTC - RP216 - Last known good configuration
38: 2008-06-12 15:14:18 UTC - RP215 - Software Distribution Service 3.0
37: 2008-06-12 15:14:18 UTC - RP214 - Systemprüfpunkt


-- First Restore Point --
1: 2008-06-12 15:14:05 UTC - RP178 - Systemprüfpunkt


Backed up registry hives.
Performed disk cleanup.



-- HijackThis (run as OP.exe) --------------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:14:04, on 15.06.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Symantec AntiVirus\DefWatch.exe
C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\WINDOWS\system32\SLEE503.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\Symantec AntiVirus\Rtvscan.exe
C:\Programme\Malwarebytes' Anti-Malware\mbamtrayctrl.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
C:\Acer\Empowering Technology\eRecovery\Monitor.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Programme\Brother\ControlCenter3\brccMCtl.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Brother\Brmfcmon\BrMfcmon.exe
C:\PROGRA~1\SYMANT~1\vptray.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Dokumente und Einstellungen\OP\Desktop\dss.exe
C:\DOKUME~1\OP\Desktop\OP.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: (no name) - {04E8FBE9-8894-4452-BFB3-B141FC66AB10} - C:\WINDOWS\system32\iifecbXP.dll (file missing)
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: (no name) - {2E6C0586-8189-4427-9771-4DDF9FF92C08} - C:\WINDOWS\system32\iiffGWOg.dll (file missing)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {94E03D9F-F097-4FD8-B119-5B1C23655FC9} - (no file)
O2 - BHO: (no name) - {B89C8268-74E0-4EDC-A269-1F6FF4155889} - C:\WINDOWS\system32\hgGyvULf.dll (file missing)
O2 - BHO: (no name) - {EAFE29D5-F1D0-4829-872F-D456F516ED40} - C:\WINDOWS\system32\tuvTnNHA.dll (file missing)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\Monitor.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [BrMfcWnd] C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl06a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter3] C:\Programme\Brother\ControlCenter3\brctrcen.exe /autorun
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\\vptray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [SSS6_Suite] "C:\Programme\Steganos Security Suite 6\sss.exe" /booting (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [SSS6_SAFE] "C:\Programme\Steganos Security Suite 6\safe.exe" /booting (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [SSS6_SPM] "C:\Programme\Steganos Security Suite 6\spm.exe" /booting (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {45A0A292-ECC6-4D8F-9EA9-A4BD411D24C1} (king.com) - http://cash.games.web.de/ctl/kingcomie.cab
O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - https://stream.web.de/mail/activex/m...load_11213.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/wind...?1194099939525
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab56907.cab
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://www.adobe.com/products/acrobat/nos/gp.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1C92D66A-B40D-4157-A35D-5EECFDEA40F9}: NameServer = 192.168.2.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{1C92D66A-B40D-4157-A35D-5EECFDEA40F9}: NameServer = 192.168.2.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{1C92D66A-B40D-4157-A35D-5EECFDEA40F9}: NameServer = 192.168.2.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe Active File Monitor V5 (AdobeActiveFileMonitor5.0) - Unknown owner - C:\Programme\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Programme\Symantec AntiVirus\DefWatch.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: InCD Helper (read only) (InCDsrvR) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: MBAMService - Malwarebytes - C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Programme\Symantec AntiVirus\SavRoam.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Steganos Live Encryption Engine (Version 503) [Service] (SLEE_503_SERVICE) - Unknown owner - C:\WINDOWS\system32\SLEE503.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Programme\Symantec AntiVirus\Rtvscan.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 11001 bytes

-- File Associations -----------------------------------------------------------

.cpl - cplfile - shell\cplopen\command - rundll32.exe shell32.dll,Control_RunDLL "%1",%*
.cpl - cplfile - shell\runas\command - rundll32.exe shell32.dll,Control_RunDLLAsUser "%1",%*
.reg - regfile - shell\open\command - regedit.exe "%1" %*
.scr - scrfile - shell\open\command - "%1" %*


-- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled ---------------------

R1 UBHelper - c:\windows\system32\drivers\ubhelper.sys
R2 BrPar - c:\windows\system32\drivers\brpar.sys <Not Verified; Brother Industries Ltd.; Brother Parallel Class Driver>
R2 int15.sys - c:\acer\empowering technology\erecovery\int15.sys
R2 SLEE_503_DRIVER (Steganos Live Encryption Engine (Version 503) [Driver]) - c:\windows\system32\drivers\slee503.sys
R3 NTIDrvr (Upper Class Filter Driver) - c:\windows\system32\drivers\ntidrvr.sys <Not Verified; NewTech Infosystems, Inc.; >

S3 drhard - c:\windows\system32\drivers\drhard.sys <Not Verified; Licensed for Gebhard Software; DRHARD Device Driver for Windows 95/98/ME/NT/2000/2003/XP/XP64>
S3 IwUSB (IwUSB Driver) - c:\windows\system32\drivers\iwusb.sys <Not Verified; Thesycon GmbH, Germany; Universal USB Device Driver>
S3 TPP200 (USB Storage Adapter V2 (TPP)) - c:\windows\system32\drivers\tpp200.sys <Not Verified; In-System Design, Inc.; TPP Storage Adapter>


-- Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled --------------------

R2 Apple Mobile Device - "c:\programme\gemeinsame dateien\apple\mobile device support\bin\applemobiledeviceservice.exe" <Not Verified; Apple, Inc.; Apple Mobile Device Service>
R2 SLEE_503_SERVICE (Steganos Live Encryption Engine (Version 503) [Service]) - c:\windows\system32\slee503.exe

S2 InCDsrvR (InCD Helper (read only)) - c:\programme\ahead\incd\incdsrv.exe -r <Not Verified; Nero AG; Nero AG incdsrv>
S3 ServiceLayer - "c:\programme\pc connectivity solution\servicelayer.exe" <Not Verified; Nokia.; PC Connectivity Solution>


-- Device Manager: Disabled ----------------------------------------------------

Class GUID: {4D36E972-E325-11CE-BFC1-08002BE10318}
Description: 1394-Netzwerkadapter
Device ID: V1394\NIC1394\19149D16C20
Manufacturer: Microsoft
Name: 1394-Netzwerkadapter
PNP Device ID: V1394\NIC1394\19149D16C20
Service: NIC1394

Class GUID: {EEC5AD98-8080-425F-922A-DABF3DE3F69A}
Description: Nokia Windows Portable Device Driver
Device ID: ROOT\WPD\0000
Manufacturer: Nokia
Name: Nokia 6230i
PNP Device ID: ROOT\WPD\0000
Service: WUDFRd

Class GUID: {EEC5AD98-8080-425F-922A-DABF3DE3F69A}
Description: Nokia Windows Portable Device Driver
Device ID: ROOT\WPD\0001
Manufacturer: Nokia
Name: Nokia 6500c
PNP Device ID: ROOT\WPD\0001
Service: WUDFRd

Class GUID: {EEC5AD98-8080-425F-922A-DABF3DE3F69A}
Description: Nokia Windows Portable Device Driver
Device ID: ROOT\WPD\0002
Manufacturer: Nokia
Name: Nokia 6230i
PNP Device ID: ROOT\WPD\0002
Service: WUDFRd

Class GUID: {EEC5AD98-8080-425F-922A-DABF3DE3F69A}
Description: Nokia Windows Portable Device Driver
Device ID: ROOT\WPD\0003
Manufacturer: Nokia
Name: Nokia 6233
PNP Device ID: ROOT\WPD\0003
Service: WUDFRd

Class GUID: {EEC5AD98-8080-425F-922A-DABF3DE3F69A}
Description: Nokia 6500c
Device ID: ROOT\WPD\0004
Manufacturer: Nokia
Name: Nokia 6500c
PNP Device ID: ROOT\WPD\0004
Service: WUDFRd


-- Scheduled Tasks -------------------------------------------------------------

2008-06-06 22:28:39 276 --a------ C:\WINDOWS\Tasks\AppleSoftwareUpdate.job


-- Files created between 2008-05-15 and 2008-06-15 -----------------------------

2008-06-14 17:21:18 345 --ahs---- C:\WINDOWS\system32\AHNnTvut.ini2
2008-06-12 21:54:08 0 d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-06-12 21:34:01 0 d-------- C:\VundoFix Backups
2008-06-12 21:09:35 0 d-------- C:\WINDOWS\pss
2008-06-12 21:07:13 0 d-------- C:\Dokumente und Einstellungen\OP\temp
2008-06-12 20:36:04 4003 --ahs---- C:\WINDOWS\system32\PXbcefii.ini2
2008-06-12 20:26:08 0 d-------- C:\MSNCleaner
2008-06-12 17:13:55 1260 --ahs---- C:\WINDOWS\system32\fLUvyGgh.ini2
2008-06-12 16:19:46 29349 -r-hs---- C:\WINDOWS\wmplayer.exe
2008-06-10 19:21:34 0 dr-h----- C:\Dokumente und Einstellungen\OP\Recent
2008-06-02 21:34:40 0 d-------- C:\Programme\Native Instruments
2008-06-01 18:14:35 23600 --a------ C:\WINDOWS\system32\drivers\drhard.sys <Not Verified; Licensed for Gebhard Software; DRHARD Device Driver for Windows 95/98/ME/NT/2000/2003/XP/XP64>
2008-06-01 18:14:30 0 d-------- C:\Programme\Dr. Hardware 2008
2008-05-23 21:30:52 0 d-------- C:\Programme\pdf24
2008-05-18 13:57:30 40448 --a------ C:\WINDOWS\system32\SmartToolsSlicer.dll <Not Verified; Medienagentur Fichtner & Meyer, Munich, Germany; Slice>
2008-05-18 13:57:29 247808 --a------ C:\WINDOWS\system32\osenxpsuite2007.dll <Not Verified; Osen Kusnadi; OsenXPSuite 2007 Pro 2.0 Dynamic Link Library>
2008-05-18 13:35:37 0 d-------- C:\Programme\SmartTools
2008-05-17 13:03:13 0 d-------- C:\Programme\Opera
2008-05-16 19:32:43 0 d-------- C:\Programme\CCleaner


-- Find3M Report ---------------------------------------------------------------

2008-06-15 19:56:08 0 d-------- C:\Programme\Symantec AntiVirus
2008-06-15 16:24:02 0 d-------- C:\Dokumente und Einstellungen\OP\Anwendungsdaten\teamspeak2
2008-06-15 12:41:31 0 d-------- C:\Programme\GemMasterGerman
2008-06-15 12:41:04 0 d-------- C:\Programme\ESTsoft
2008-06-15 12:41:04 0 d-------- C:\Dokumente und Einstellungen\OP\Anwendungsdaten\ESTsoft
2008-06-12 21:54:15 0 d-------- C:\Dokumente und Einstellungen\OP\Anwendungsdaten\Malwarebytes
2008-06-12 21:07:34 0 d-------- C:\Dokumente und Einstellungen\OP\Anwendungsdaten\TeamViewer
2008-05-22 18:41:22 0 d-------- C:\Dokumente und Einstellungen\OP\Anwendungsdaten\WEBDE
2008-05-20 21:44:01 0 d-------- C:\Programme\Warcraft III
2008-05-18 13:58:07 0 d-------- C:\Dokumente und Einstellungen\OP\Anwendungsdaten\SmartTools
2008-05-17 13:03:23 0 d-------- C:\Dokumente und Einstellungen\OP\Anwendungsdaten\Opera
2008-05-11 02:03:48 0 d-------- C:\Programme\Microsoft CAPICOM 2.1.0.2
2008-05-10 21:49:07 0 d-------- C:\Programme\MSN Messenger
2008-05-10 16:14:35 461056 --a------ C:\WINDOWS\system32\perfh007.dat
2008-05-10 16:14:35 85710 --a------ C:\WINDOWS\system32\perfc007.dat
2008-05-10 15:28:28 0 d-------- C:\Programme\Messenger
2008-05-10 15:27:59 0 d-------- C:\Programme\Movie Maker
2008-05-10 15:24:12 0 d-------- C:\Programme\Windows NT
2008-05-10 00:51:52 0 d-------- C:\Programme\Microsoft Works
2008-05-10 00:51:04 0 d-------- C:\Programme\Microsoft.NET
2008-05-07 00:48:25 2235 --a------ C:\WINDOWS\mozver.dat
2008-05-06 00:21:02 0 d-------- C:\Programme\Gemeinsame Dateien
2008-05-06 00:21:02 0 d-------- C:\Programme\Gemeinsame Dateien\xing shared
2008-05-06 00:20:53 0 d-------- C:\Programme\Gemeinsame Dateien\Real
2008-05-05 08:09:43 0 d-------- C:\Dokumente und Einstellungen\OP\Anwendungsdaten\Steganos Security Suite 6
2008-04-28 18:46:30 0 d--h----- C:\Programme\InstallShield Installation Information
2008-04-27 23:16:17 0 d-------- C:\Programme\JkDefrag
2008-04-26 00:15:54 0 d-------- C:\Programme\iTunes
2008-04-26 00:15:41 0 d-------- C:\Programme\iPod
2008-04-26 00:13:43 0 d-------- C:\Programme\QuickTime
2008-04-26 00:08:26 0 d-------- C:\Programme\Apple Software Update
2008-04-19 20:11:33 0 d-------- C:\Dokumente und Einstellungen\OP\Anwendungsdaten\foobar2000
2008-04-18 23:18:51 0 d-------- C:\Programme\ICQ6
2008-04-04 20:42:31 190757 -----n--- C:\Dokumente und Einstellungen\OP\Anwendungsdaten\NMM-MetaData.db


-- Registry Dump ---------------------------------------------------------------

*Note* empty entries & legit default entries are not shown


[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{04E8FBE9-8894-4452-BFB3-B141FC66AB10}]
C:\WINDOWS\system32\iifecbXP.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{2E6C0586-8189-4427-9771-4DDF9FF92C08}]
C:\WINDOWS\system32\iiffGWOg.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{94E03D9F-F097-4FD8-B119-5B1C23655FC9}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{B89C8268-74E0-4EDC-A269-1F6FF4155889}]
C:\WINDOWS\system32\hgGyvULf.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{EAFE29D5-F1D0-4829-872F-D456F516ED40}]
C:\WINDOWS\system32\tuvTnNHA.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [22.09.2005 17:42 C:\WINDOWS\soundman.exe]
"RemoteControl"="C:\Programme\CyberLink\PowerDVD\PDVDServ.exe" [02.11.2004 21:24]
"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.exe" [10.08.2004 21:00]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_05\bin\jusched.exe" [26.08.2005 19:14]
"eRecoveryService"="C:\Acer\Empowering Technology\eRecovery\Monitor.exe" [16.11.2005 18:00]
"ccApp"="C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [04.10.2005 13:42]
"ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [21.06.2007 22:54]
"StartCCC"="C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [10.11.2006 13:35]
"BrMfcWnd"="C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe" [28.03.2006 16:48]
"SetDefPrt"="C:\Programme\Brother\Brmfl06a\BrStDvPt.exe" [26.01.2005 19:02]
"ControlCenter3"="C:\Programme\Brother\ControlCenter3\brctrcen.exe" [10.04.2006 15:58]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [12.01.2006 16:40]
"InCD"="C:\Programme\Ahead\InCD\InCD.exe" [23.03.2006 18:06]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [11.01.2008 23:16]
"vptray"="C:\PROGRA~1\SYMANT~1\\vptray.exe" [15.11.2005 14:28]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [28.03.2008 23:37]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [30.03.2008 10:36]
"KernelFaultCheck"="C:\WINDOWS\system32\dumprep 0 -k" []

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [14.04.2008 04:22]

C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [13.02.2001 03:01:04]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"InstallVisualStyle"=C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"=C:\WINDOWS\Resources\Themes\Royale.theme

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\dimsntfy]
C:\WINDOWS\System32\dimsntfy.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"= msv1_0 C:\WINDOWS\system32\iiffGWOg

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll,

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vds]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{533C5B84-EC70-11D2-9505-00C04F79DEAF}]
@="Volume shadow copy"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Windows Media Player"=wmplayer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
p2psvc p2psvc p2pimsvc p2pgasvc PNRPSvc
eapsvcs eaphost
dot3svc dot3svc

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
napagent
hkmsvc

*Newly Created Service* - INT15.SYS



-- Hosts -----------------------------------------------------------------------

127.0.0.1 www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 Command - Keeping Software Free
127.0.0.1 032439.com

8643 more entries in hosts file.


-- End of Deckard's System Scanner: finished at 2008-06-15 20:17:39 ------------

und noch das extra.txt

Deckard's System Scanner v20071014.68
Extra logfile - please post this as an attachment with your post.
--------------------------------------------------------------------------------

-- System Information ----------------------------------------------------------

Microsoft Windows XP Professional (build 2600) SP 3.0
Architecture: X86; Language: German

CPU 0: AMD Athlon(tm) 64 X2 Dual Core Processor 3800+
Percentage of Memory in Use: 32%
Physical Memory (total/avail): 2046.48 MiB / 1387.93 MiB
Pagefile Memory (total/avail): 3939.15 MiB / 3414.5 MiB
Virtual Memory (total/avail): 2047.88 MiB / 1905.05 MiB

C: is Fixed (NTFS) - 146.36 GiB total, 45.98 GiB free.
D: is Fixed (FAT32) - 146.81 GiB total, 127.74 GiB free.
E: is CDROM (No Media)
F: is Removable (No Media)
G: is Removable (No Media)
H: is Removable (No Media)
I: is Removable (No Media)
J: is Removable (No Media)
Z: is Network (NTFS)

\\.\PHYSICALDRIVE0 - WDC WD3200JD-00KLB0 - 298.09 GiB - 3 partitions
\PARTITION0 - Unknown - 4.88 GiB
\PARTITION1 (bootable) - Installierbares Dateisystem - 146.36 GiB - C:
\PARTITION2 - Unknown - 146.85 GiB - D:

\\.\PHYSICALDRIVE5 - Brother DCP-330C USB Device

\\.\PHYSICALDRIVE1 - Generic 2.0 Reader-CF USB Device

\\.\PHYSICALDRIVE4 - Generic 2.0 Reader-MS USB Device

\\.\PHYSICALDRIVE3 - Generic 2.0 Reader-SD USB Device

\\.\PHYSICALDRIVE2 - Generic 2.0 Reader-SM/xD USB Device



-- Security Center -------------------------------------------------------------

AUOptions is set to notify before install.


-- Environment Variables -------------------------------------------------------

ALLUSERSPROFILE=C:\Dokumente und Einstellungen\All Users
APPDATA=C:\Dokumente und Einstellungen\OP\Anwendungsdaten
CLASSPATH=.;C:\Programme\Java\jre1.5.0_05\lib\ext\QTJava.zip
CommonProgramFiles=C:\Programme\Gemeinsame Dateien
COMPUTERNAME=ACER-21FDDD6C59
ComSpec=C:\WINDOWS\system32\cmd.exe
DEFAULT_CA_NR=CA8
FP_NO_HOST_CHECK=NO
HOMEDRIVE=C:
HOMEPATH=\Dokumente und Einstellungen\OP
LOGONSERVER=\\ACER-21FDDD6C59
NUMBER_OF_PROCESSORS=2
OS=Windows_NT
Path=C:\Programme\In-System Design\TPP Storage Driver Installation;C:\Programme\PC Connectivity Solution\;C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\System32\Wbem;C:\Programme\ESTsoft\ALZip;C:\Programme\ATI Technologies\ATI.ACE\Core-Static;C:\Programme\ESTsoft\ALZip;;C:\PROGRA~1\GEMEIN~1\MUVEET~1\030625;C:\Programme\Gemeinsame Dateien\Teleca Shared;C:\Programme\QuickTime\QTSystem\;C:\Programme\ESTsoft\ALZip;;C:\PROGRA~1\GEMEIN~1\MUVEET~1\030625
PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
PROCESSOR_ARCHITECTURE=x86
PROCESSOR_IDENTIFIER=x86 Family 15 Model 35 Stepping 2, AuthenticAMD
PROCESSOR_LEVEL=15
PROCESSOR_REVISION=2302
ProgramFiles=C:\Programme
PROMPT=$P$G
QTJAVA=C:\Programme\Java\jre1.5.0_05\lib\ext\QTJava.zip
SESSIONNAME=Console
SystemDrive=C:
SystemRoot=C:\WINDOWS
TEMP=C:\DOKUME~1\OP\LOKALE~1\Temp
TMP=C:\DOKUME~1\OP\LOKALE~1\Temp
tvdumpflags=8
USERDOMAIN=ACER-21FDDD6C59
USERNAME=OP
USERPROFILE=C:\Dokumente und Einstellungen\OP
windir=C:\WINDOWS


-- User Profiles ---------------------------------------------------------------

OP (admin)
DP (admin)
VP
Administrator (admin)


-- Add/Remove Programs ---------------------------------------------------------

--> C:\Programme\Ahead\nero\uninstall\UNNERO.exe /UNINSTALL
--> C:\Programme\Gemeinsame Dateien\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
--> C:\WINDOWS\NuNInst.exe /UNINSTALL
--> C:\WINDOWS\unmrw.exe /UNINSTALL
--> C:\WINDOWS\UNNeroVision.exe /UNINSTALL
--> C:\WINDOWS\UNNMP.exe /UNINSTALL
--> C:\WINDOWS\UNNVEContent.exe /UNINSTALL
--> MsiExec.exe /I{C4CBAD7E-DF4A-4FEC-AC17-8BC709AFB844}
Adobe Flash Player ActiveX --> C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player Plugin --> C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Help Center 2.1 --> MsiExec.exe /I{25569723-DC5A-4467-A639-79535BF01B71}
Adobe Photoshop Elements 5.0 --> msiexec /I {A7B609FB-83D8-4FC3-8477-1BC65ECFE85B}
Adobe Reader 8.1.2 - Deutsch --> MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A81200000003}
Adobe Shockwave Player --> C:\WINDOWS\system32\Macromed\SHOCKW~1\UNWISE.EXE C:\WINDOWS\system32\Macromed\SHOCKW~1\Install.log
AllSync 2.7.60 --> "C:\Programme\AllSync\unins000.exe"
ALZip --> C:\Programme\ESTsoft\ALZip\unins000.exe
Apple Mobile Device Support --> MsiExec.exe /I{44734179-8A79-4DEE-BB08-73037F065543}
Apple Software Update --> MsiExec.exe /I{02DFF6B1-1654-411C-8D7B-FD6052EF016F}
Athlon 64 Processor Driver --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{C151CE54-E7EA-4804-854B-F515368B0798}\setup.exe" -l0x7
ATI - Software Uninstall Utility --> C:\Programme\ATI Technologies\UninstallAll\AtiCimUn.exe
ATI Catalyst Control Center --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{055EE59D-217B-43A7-ABFF-507B966405D8}\setup.exe" -l0x0
ATI Display Driver --> rundll32 C:\WINDOWS\system32\atiiiexx.dll,_InfEngUnInstallINFFile_RunDLL@16 -force_restart -flags:0x2010001 -inf_class:DISPLAY -clean
Brother HL-2030 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{43A16C0C-9495-4D19-BA4D-A360B98EB749}\setup.exe" -l0x7 -removeonly /uninst
Brother MFL-Pro Suite --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{9A912C12-A7DA-44D7-BD57-5CA85E2F33E1}\Setup.exe" -l0x7 Brunin03.dll -removeonly
CCleaner (remove only) --> "C:\Programme\CCleaner\uninst.exe"
CDex extraction audio --> "C:\Programme\CDex_150\uninstall.exe"
CodeStuff Starter --> "C:\Programme\CodeStuff\Starter\unStarter.exe"
DivX Web Player --> C:\Programme\DivX\DivXWebPlayerUninstall.exe /PLUGIN
Dr. Hardware 2008 9.0.1d --> "C:\Programme\Dr. Hardware 2008\unins000.exe"
foobar2000 v0.9.4.5 --> "C:\Programme\foobar2000\uninstall.exe"
GOM Player --> "C:\Programme\GRETECH\GomPlayer\Uninstall.exe"
Hauppauge MCE2005 Software Encoder --> C:\PROGRA~1\WinTV\UNSftMCE.EXE C:\PROGRA~1\WinTV\softMCE.LOG
HijackThis 2.0.2 --> "C:\Dokumente und Einstellungen\OP\Desktop\HijackThis.exe" /uninstall
Hotfix for Windows Media Format 11 SDK (KB929399) --> "C:\WINDOWS\$NtUninstallKB929399$\spuninst\spuninst.exe"
ICQ Toolbar --> regsvr32 /u /s "C:\PROGRA~1\ICQTOO~1\toolbaru.dll"
ICQ6 --> C:\Programme\InstallShield Installation Information\{60DE4033-9503-48D1-A483-7846BD217CA9}\setup.exe -runfromtemp -l0x0009 -removeonly
iTunes --> MsiExec.exe /I{585776BC-4BD6-4BD2-A19A-1D6CB44A403B}
J2SE Runtime Environment 5.0 Update 5 --> MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150050}
JkDefrag --> C:\Programme\JkDefrag\uninstall.exe
LiveUpdate 2.6 (Symantec Corporation) --> C:\Programme\Symantec\LiveUpdate\LSETUP.EXE /U
Malwarebytes' Anti-Malware --> "C:\Programme\Malwarebytes' Anti-Malware\unins000.exe"
MasterSplitter Program --> C:\Programme\MasterSplitter\uninstal.exe
Microsoft Compression Client Pack 1.0 for Windows XP --> "C:\WINDOWS\$NtUninstallMSCompPackV1$\spuninst\spuninst.exe"
Microsoft Office Excel MUI (German) 2007 --> MsiExec.exe /X{90120000-0016-0407-0000-0000000FF1CE}
Microsoft Office Home and Student 2007 --> "C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\Office Setup Controller\setup.exe" /uninstall HOMESTUDENTR /dll OSETUP.DLL
Microsoft Office Home and Student 2007 --> MsiExec.exe /X{91120000-002F-0000-0000-0000000FF1CE}
Microsoft Office OneNote MUI (German) 2007 --> MsiExec.exe /X{90120000-00A1-0407-0000-0000000FF1CE}
Microsoft Office PowerPoint MUI (German) 2007 --> MsiExec.exe /X{90120000-0018-0407-0000-0000000FF1CE}
Microsoft Office Proof (English) 2007 --> MsiExec.exe /X{90120000-001F-0409-0000-0000000FF1CE}
Microsoft Office Proof (French) 2007 --> MsiExec.exe /X{90120000-001F-040C-0000-0000000FF1CE}
Microsoft Office Proof (German) 2007 --> MsiExec.exe /X{90120000-001F-0407-0000-0000000FF1CE}
Microsoft Office Proof (Italian) 2007 --> MsiExec.exe /X{90120000-001F-0410-0000-0000000FF1CE}
Microsoft Office Proofing (German) 2007 --> MsiExec.exe /X{90120000-002C-0407-0000-0000000FF1CE}
Microsoft Office Shared MUI (German) 2007 --> MsiExec.exe /X{90120000-006E-0407-0000-0000000FF1CE}
Microsoft Office Word MUI (German) 2007 --> MsiExec.exe /X{90120000-001B-0407-0000-0000000FF1CE}
Microsoft Office XP Media Content --> MsiExec.exe /I{90300407-6000-11D3-8CFE-0050048383C9}
Microsoft Office XP Standard für Schüler, Studierende und Lehrkräfte --> MsiExec.exe /I{913D0407-6000-11D3-8CFE-0050048383C9}
Microsoft User-Mode Driver Framework Feature Pack 1.5 --> "C:\WINDOWS\$NtUninstallWudf01005$\spuninst\spuninst.exe"
Microsoft Visual C++ 2005 Redistributable --> MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
mIRC --> C:\Programme\mIRC\uninstall.exe _?=C:\Programme\mIRC
Mozilla Firefox (2.0.0.14) --> C:\Programme\Mozilla Firefox\uninstall\helper.exe
MSXML 6.0 Parser (KB933579) --> MsiExec.exe /I{0A869A65-8C94-4F7C-A5C7-972D3C8CED9E}
MyPhoneExplorer --> C:\Programme\MyPhoneExplorer\uninstall.exe
Native Instruments Service Center --> C:\PROGRA~1\NATIVE~1\SERVIC~1\UNWISE.EXE C:\PROGRA~1\NATIVE~1\SERVIC~1\INSTALL.LOG
Native Instruments Traktor DJ Studio 3 --> C:\PROGRA~1\NATIVE~1\TRAKTO~1\UNWISE.EXE C:\PROGRA~1\NATIVE~1\TRAKTO~1\INSTALL.LOG
Nero Suite --> C:\Programme\Gemeinsame Dateien\Nero\Uninstall\Setupx.exe /uninstall ExtraUninstallID=""
Nokia Connectivity Adapter Cable DKU-5 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{F1BA3CD5-89DC-4273-8603-A75F33E9B335}\Setup.exe" -l0x9
Nokia Connectivity Cable Driver --> MsiExec.exe /X{0A3D3C54-2EC0-4D67-B265-FF17926E6D67}
Nokia PC Suite --> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Installations\{A982E6CC-9F0D-4948-9B18-BDFD55DE4A72}\Nokia_PC_Suite_6_84_10_3_ger_web.exe
Nokia PC Suite --> MsiExec.exe /I{A982E6CC-9F0D-4948-9B18-BDFD55DE4A72}
Nokia Software Updater --> MsiExec.exe /X{3741689E-584D-40C9-B011-373A0371846D}
NTI Backup NOW! 4 --> C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe /M{385979FE-DC4F-4140-8EAD-A59625000D72} /l1031 BUN4
NTI CD & DVD-Maker --> C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe /M{1577A05B-EE62-4BBC-9DB7-FE748FA44EC2} /l1031 CDM7
NVIDIA Drivers --> C:\WINDOWS\system32\nvunrm.exe UninstallGUI
Opera 9.27 --> MsiExec.exe /X{503D6E3E-1A48-44F5-BB7C-EB3B593FAED0}
Otto --> "C:\Programme\GermanOtto\uninstallotto.exe"
PC Connectivity Solution --> MsiExec.exe /I{99A40651-0BC2-4095-8F9A-A40FAB224FEF}
pdf24 --> "C:\Programme\pdf24\unins000.exe"
Personal ID --> "C:\Programme\coolspot AG\Personal ID\Uninstall.exe" "C:\Programme\coolspot AG\Personal ID\install.log" -u
PhatNoise Music Manager --> C:\WINDOWS\iun6002.exe "C:\Programme\PhatNoise Music Manager\irunin.ini"
PowerDVD --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}\setup.exe" -uninstall
QuickTime --> MsiExec.exe /I{1838C5A2-AB32-4145-85C1-BB9B8DFA24CD}
R-Studio 4.0 --> C:\Programme\R-Studio\Uninstall.exe
R-Studio Emergency Startup Media Creator 4.0 --> C:\Programme\R-Studio Emergency\Uninstall.exe
RagnarokOnline --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{27A295AF-334B-495E-9E54-71B77500ED70}\setup.exe" -l0x9 -removeonly
RagnaWatch 2.8.1 LCDlog --> "C:\Programme\RagnaWatch 2\unins000.exe"
RealPlayer --> C:\Programme\Gemeinsame Dateien\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
Realtek AC'97 Audio --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{FB08F381-6533-4108-B7DD-039E11FBC27E}\SETUP.exe" -l0x7 -removeonly
Resident Evil 3 --> D:\resident evil\Uninstal.exe
Security Update for CAPICOM (KB931906) --> MsiExec.exe /I{0EFDF2F9-836D-4EB7-A32D-038BD3F1FB2A}
Security Update for CAPICOM (KB931906) --> MsiExec.exe /X{0EFDF2F9-836D-4EB7-A32D-038BD3F1FB2A}
Security Update for Excel 2007 (KB946974) --> msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {85E83E2E-AF9B-439B-B4F9-EB9B7EF6A00E}
Security Update for Microsoft Office system 2007 (KB951808) --> msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {8F375E11-4FD6-4B89-9E2B-A76D48B51E00}
Security Update for Microsoft Office Word 2007 (KB950113) --> msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {AD72BABE-C733-4FCF-9674-4314466191B9}
Security Update for Office 2007 (KB934062) --> msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {305D509B-F194-4638-9F0F-D9E4C05F9D33}
Security Update for Office 2007 (KB947801) --> msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {02B5A17B-01BE-4BA6-95F1-1CBB46EBC76E}
Security Update for the 2007 Microsoft Office System (KB936960) --> msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {5E5BD655-7AA9-47F9-BB6D-A1D8CE29AC86}
Sicherheitsupdate für Step by Step Interactive Training (KB898458) --> "C:\WINDOWS\$NtUninstallKB898458$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923789) --> C:\WINDOWS\system32\MacroMed\Flash\genuinst.exe C:\WINDOWS\system32\MacroMed\Flash\KB923789.inf
Sicherheitsupdate für Windows XP (KB941569) --> "C:\WINDOWS\$NtUninstallKB941569$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950760) --> "C:\WINDOWS\$NtUninstallKB950760$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950762) --> "C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951376) --> "C:\WINDOWS\$NtUninstallKB951376$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951698) --> "C:\WINDOWS\$NtUninstallKB951698$\spuninst\spuninst.exe"
Skype™ 3.5 --> MsiExec.exe /X{5C82DAE5-6EB0-4374-9254-BE3319BA4E82}
SmartTools Publishing · Booklet-Assistent --> C:\PROGRA~1\SMARTT~1\WDBOOK~1\UNWISE.EXE C:\PROGRA~1\SMARTT~1\WDBOOK~1\INSTALL.LOG
Sonic Encoders --> MsiExec.exe /I{9941F0AA-B903-4AF4-A055-83A9815CC011}
Sony Ericsson Device Data --> MsiExec.exe /I{C92E7DF1-624A-4D95-A4C4-18CB491B44A4}
Sony Ericsson Drivers --> MsiExec.exe /I{C60BA916-9E44-4DA4-B11A-9E27B7624EF5}
Sony Ericsson PC Suite --> C:\WINDOWS\Installer\{D6BF6477-8369-489F-8DE6-3731F4B88560}\setup.exe /uninstall
Sony Ericsson PC Suite --> MsiExec.exe /I{D59AC9E9-FFAE-471B-B1FF-4B311D23417A}
Spelling Dictionaries Support For Adobe Reader 8 --> MsiExec.exe /I{AC76BA86-7AD7-5464-3428-800000000003}
Steganos Security Suite 6.0.4 --> MsiExec.exe /X{926B245F-201A-45D8-B4CE-B5A114F23381}
Symantec AntiVirus --> MsiExec.exe /I{46B63F23-2B4A-4525-A827-688026BE5E40}
TeamSpeak 2 RC2 --> C:\Programme\Teamspeak2_RC2\unins000.exe
TPP Storage Driver Installation --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{E258A840-7E9A-443A-B156-67102C48BF17}\Setup.exe" NotFirstInstall
Update for Office 2007 (KB932080) --> msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {EDC9CA29-6BC1-471C-828C-7A36109005D7}
Update for Office 2007 (KB946691) --> msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {A420F522-7395-4872-9882-C591B4B92278}
Update Rollup 2 für Windows XP Media Center Edition 2005 --> C:\WINDOWS\$NtUninstallKB900325$\spuninst\spuninst.exe
USB Storage Adapter V2 (TPP) --> tppun.exe TPP200
Warcraft III: All Products --> C:\WINDOWS\War3Unin.exe C:\WINDOWS\War3Unin.dat
WEB.DE Club SmartFax --> C:\Programme\WEB.DE\WEB.DE Club SmartFax\uninst.exe
Winamp --> "C:\Programme\Winamp\UninstWA.exe"
Windows-Treiberpaket - Nokia (WUDFRd) WPD (06/01/2007 6.84.33.0) --> C:\PROGRA~1\DIFX\270581355A767BF1\dpinst.exe /u C:\WINDOWS\system32\DRVSTORE\pccswpddri_044C8712DB44F83D9DE6C376991EE9254E0A69E4\pccswpddriver.inf
Windows-Treiberpaket - Nokia Modem (02/15/2007 3.1) --> C:\PROGRA~1\DIFX\270581355A767BF1\dpinst.exe /u C:\WINDOWS\system32\DRVSTORE\pccs_bluet_8B37DC72918CCD58A6EC20373AF6242B037A293B\pccs_bluetooth.inf
Windows-Treiberpaket - Nokia Modem (02/15/2007 3.1) --> C:\PROGRA~1\DIFX\270581355A767BF1\dpinst.exe /u C:\WINDOWS\system32\DRVSTORE\pccs_bluet_F12A08B6F776984A95553486F64C541356F86E38\pccs_bluetooth.inf
Windows-Treiberpaket - Nokia Modem (05/24/2007 6.84.0.1) --> C:\PROGRA~1\DIFX\270581355A767BF1\dpinst.exe /u C:\WINDOWS\system32\DRVSTORE\nokbtmdm_5E1541AFF1E1EA3554CE566743CCAD323ED1C108\nokbtmdm.inf
Windows Communication Foundation --> MsiExec.exe /X{491DD792-AD81-429C-9EB4-86DD3D22E333}
Windows Imaging Component --> "C:\WINDOWS\$NtUninstallWIC$\spuninst\spuninst.exe"
Windows Live Messenger --> MsiExec.exe /I{279DB581-239C-4E13-97F8-0F48E40BE75C}
Windows Media Format 11 runtime --> "C:\WINDOWS\$NtUninstallWMFDist11$\spuninst\spuninst.exe"
Windows Presentation Foundation --> MsiExec.exe /X{BAF78226-3200-4DB4-BE33-4D922A799840}
Windows Presentation Foundation Language Pack (DEU) --> MsiExec.exe /X{92DF2F1B-F63C-4D9A-B3E1-B2D11AE29790}
Windows Workflow Foundation --> MsiExec.exe /I{7D1B85BD-AA07-48B8-808D-67A4067FC6BD}
Windows Workflow Foundation DE Language Pack --> MsiExec.exe /I{7228FD8C-3B9E-4204-AE36-8A466107685B}
Windows XP Media Center Edition 2005 KB925766 --> "C:\WINDOWS\$NtUninstallKB925766$\spuninst\spuninst.exe"
Windows XP Service Pack 3 --> "C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe"
Wireless 802.11g USB Adapter --> C:\Programme\Gemeinsame Dateien\InstallShield\Driver\8\Intel 32\IDriver.exe /M{703FBBAA-ED01-498D-86D5-559C4725CD63} /l1031
World of Warcraft --> C:\Programme\Gemeinsame Dateien\Blizzard Entertainment\WORLD OF WARCRAFT\Uninstall.exe
World of Warcraft Trial --> C:\Programme\Gemeinsame Dateien\Blizzard Entertainment\World of Warcraft Trial\Uninstall.exe
XML Paper Specification Shared Components Language Pack 1.0 --> "C:\WINDOWS\$NtUninstallXPSEPSCLP$\spuninst\spuninst.exe"
XML Paper Specification Shared Components Pack 1.0 -->
ZoneAlarm --> C:\Programme\Zone Labs\ZoneAlarm\zauninst.exe


-- Application Event Log -------------------------------------------------------

Event Record #/Type8328 / Success
Event Submitted/Written: 06/15/2008 07:55:30 PM
Event ID/Source: 2570 / Adobe Active File Monitor 5.0
Event Description:
Der Adobe Active File-Monitor-Service wurde gestartet.

Event Record #/Type8311 / Success
Event Submitted/Written: 06/15/2008 04:03:53 PM
Event ID/Source: 12001 / usnjsvc
Event Description:
The Messenger Sharing USN Journal Reader service started successfully.

Event Record #/Type8302 / Success
Event Submitted/Written: 06/15/2008 03:32:52 PM
Event ID/Source: 2570 / Adobe Active File Monitor 5.0
Event Description:
Der Adobe Active File-Monitor-Service wurde gestartet.

Event Record #/Type8286 / Success
Event Submitted/Written: 06/15/2008 00:38:57 PM
Event ID/Source: 2570 / Adobe Active File Monitor 5.0
Event Description:
Der Adobe Active File-Monitor-Service wurde gestartet.

Event Record #/Type8275 / Success
Event Submitted/Written: 06/15/2008 01:15:20 AM
Event ID/Source: 2570 / Adobe Active File Monitor 5.0
Event Description:
Der Adobe Active File-Monitor-Service wurde gestartet.



-- Security Event Log ----------------------------------------------------------

No Errors/Warnings found.


-- System Event Log ------------------------------------------------------------

No Errors/Warnings found.


-- End of Deckard's System Scanner: finished at 2008-06-15 20:17:39 ------------

Hi,
da ist noch einiges aufm Rechner.
lass die Datei bitte mal bei virustotal auswerten und poste die kompletten Ergebnisse hier.
Kopiere den Text oben in das Fenster neben "Durchsuchen" und klicke auf "Senden".
(Wenn du die Datei hochlädst und oben auf der Seite Die Datei wurde bereits analysiert: erscheint. Klicke bitte unten auf den Link neben Permalink: und poste den Inhalt der erscheinenden Seite.).

lg myrtille

oha.. ich dachte wmplayer.exe wäre etwas von windowsmediaplayer. jedenfalls hab ich jetzt versucht es bei virus total einzugeben nur finde ich unter c:windows: keiner wmplayer.exe - lasse grad danach suchen weil vll bin ich zu doof das zu finden X__x

edit: er findet nur unter C:\Programme\Windows Media Player eine wmplayer.exe

Deswegen bat ich dich den Text abzukopieren und in das Fenster einzugeben.

Alternativ kannst du auch alle Dateien sichtbar machen und nochmal nach der Datei in C:\windows suchen.

lg myrtille

oha... also wo ich dann nochmal nach der anleitung die du gespostet hast gesucht habe, hat der tatsächlich in c: windows noch eine wmplayer.exe gefunden. die habe ich jetzt auch bei virustotal eingegeben, hier der link

Virustotal. MD5: 65762b84eb8d2aef75e45d92002c0a4d a variant of Win32/Injector.AV VirTool:Win32/Injector.gen!B Injector.C

wahh verlesen, so ich kopiers hier rein

Datei Image536.JPG-msn.com empfangen 2008.06.12 16:19:40 (CET)
Status: Beendet
Ergebnis: 4/32 (12.50%)
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.6.11.0 2008.06.12 -
AntiVir 7.8.0.55 2008.06.12 -
Authentium 5.1.0.4 2008.06.12 -
Avast 4.8.1195.0 2008.06.12 -
AVG 7.5.0.516 2008.06.12 Injector.C
BitDefender 7.2 2008.06.12 -
CAT-QuickHeal 9.50 2008.06.11 -
ClamAV 0.92.1 2008.06.12 -
DrWeb 4.44.0.09170 2008.06.12 -
eSafe 7.0.15.0 2008.06.12 -
eTrust-Vet 31.6.5868 2008.06.12 -
Ewido 4.0 2008.06.12 -
F-Prot 4.4.4.56 2008.06.12 -
F-Secure 6.70.13260.0 2008.06.12 -
Fortinet 3.14.0.0 2008.06.12 -
GData 2.0.7306.1023 2008.06.12 -
Ikarus T3.1.1.26.0 2008.06.12 -
Kaspersky 7.0.0.125 2008.06.12 -
McAfee 5315 2008.06.11 -
Microsoft 1.3604 2008.06.12 VirTool:Win32/Injector.gen!B
NOD32v2 3181 2008.06.12 a variant of Win32/Injector.AV
Norman 5.80.02 2008.06.12 -
Panda 9.0.0.4 2008.06.11 -
Prevx1 V2 2008.06.12 -
Rising 20.48.32.00 2008.06.12 -
Sophos 4.30.0 2008.06.12 Troj/Agent-HCB
Sunbelt 3.0.1145.1 2008.06.05 -
Symantec 10 2008.06.12 -
TheHacker 6.2.92.344 2008.06.12 -
VBA32 3.12.6.7 2008.06.12 -
VirusBuster 4.3.26:9 2008.06.12 -
Webwasher-Gateway 6.6.2 2008.06.12 -
weitere Informationen
File size: 29349 bytes
MD5...: 65762b84eb8d2aef75e45d92002c0a4d
SHA1..: b37d302a6f462abebef262da0f33c4ba40202903
SHA256: 55bcb72d82ca840fb58a7468d9c56c8940c38ccd3dbc0e07547cbf49e67021fe
SHA512: d8e208b815df8a70c2c52ee0a395c66622a77a5b7b82b87ba9c4708c42ef602c
7e4c4cb2bdf25d48adf0376d15524fe9a661b0f4fe68d1b6a428cd136df280c2
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x402970
timedatestamp.....: 0x485111e8 (Thu Jun 12 12:09:12 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x1a6b 0x1c00 6.12 9dffcc3c2acfea253da080fa293f3511
.rdata 0x3000 0x18c 0x200 3.76 b16a1a06c985c59360da6d766b0b8e28
.data 0x4000 0x37c 0x400 5.23 d991e5f173a0df48b1b33aa9c8c2ba2b

( 1 imports )
> KERNEL32.dll: GlobalAlloc, GlobalFree, LoadLibraryA, FreeLibrary, GetProcAddress, GetModuleHandleA, GetLastError, SetLastError, CloseHandle, ExitProcess, GetStartupInfoA, GetCommandLineA, HeapAlloc, GetProcessHeap

( 0 exports )

Hi,

Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:

http://saved.im/mjy0mthybjrp/avenger.bmp

2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")


3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet.


4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.


Erstelle bitte außerdem ein neues Log mit DSS.

lg myrtille

uhm ich verstehe das nich ganz - also meinst du bei 2) das programm so einstelen wie es auf dem bild zu sehen ist nur den haken so wie in dem bild was du gepostet hast oder auch das innere im weißen feld? weil dachte da soll jetzt dieser text rein? (sry aba ich frag eben lieber nochmal nach^^)

Ja, bei unklarheiten fragen! :)
Genau, ich will den Haken gesetzt haben, aber nicht das innere aus dem weißen Feld. :)
Genau. :) Also nicht den Text vom Bild abtippen, sondern den Text, den ich weiter unten angegeben habe dort einfügen.

EDIT: Ich hab zum besseren verständnis mal das Bild geändert.

lg myrtille

hier ist der report von avenger:
(DSS folgt gleich^^)

Logfile of The Avenger Version 2.0, (c) by Swandog46
Swandog46's Public Anti-Malware Tools

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\WINDOWS\system32\AHNnTvut.ini2" deleted successfully.

Error: "C:\VundoFix Backups" is a folder, not a file!
Deletion of file "C:\VundoFix Backups" failed!
Status: 0xc00000ba (STATUS_FILE_IS_A_DIRECTORY)
--> use "Folders to delete:" instead of "Files to delete:" to delete a directory

File "C:\WINDOWS\system32\PXbcefii.ini2" deleted successfully.
File "C:\WINDOWS\system32\fLUvyGgh.ini2" deleted successfully.
File "C:\WINDOWS\wmplayer.exe" deleted successfully.

Error: registry key "HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{04E8FBE9-8894-4452-BFB3-B141FC66AB10}" not found!
Deletion of registry key "HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{04E8FBE9-8894-4452-BFB3-B141FC66AB10}" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: registry key "HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{2E6C0586-8189-4427-9771-4DDF9FF92C08}" not found!
Deletion of registry key "HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{2E6C0586-8189-4427-9771-4DDF9FF92C08}" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: registry key "HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{94E03D9F-F097-4FD8-B119-5B1C23655FC9}" not found!
Deletion of registry key "HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{94E03D9F-F097-4FD8-B119-5B1C23655FC9}" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: registry key "HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{B89C8268-74E0-4EDC-A269-1F6FF4155889}" not found!
Deletion of registry key "HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{B89C8268-74E0-4EDC-A269-1F6FF4155889}" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: registry key "HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{EAFE29D5-F1D0-4829-872F-D456F516ED40}" not found!
Deletion of registry key "HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{EAFE29D5-F1D0-4829-872F-D456F516ED40}" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: could not delete registry value "HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-|"Windows Media Player""
Deletion of registry value "HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-|"Windows Media Player"" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Completed script processing.

*******************

Finished! Terminate.

so bei DSS hat sich diesmal allerdings nur main.txt geöffnet, kein extra.txt
ich poste mal main.txt hier:

Deckard's System Scanner v20071014.68
Run by OP on 2008-06-15 21:51:51
Computer is in Normal Mode.
--------------------------------------------------------------------------------



-- HijackThis (run as OP.exe) --------------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:52:17, on 15.06.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Symantec AntiVirus\DefWatch.exe
C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\WINDOWS\system32\SLEE503.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Symantec AntiVirus\Rtvscan.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Malwarebytes' Anti-Malware\mbamtrayctrl.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
C:\Acer\Empowering Technology\eRecovery\Monitor.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Programme\Brother\Brmfcmon\BrMfcmon.exe
C:\Programme\Brother\ControlCenter3\brccMCtl.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\PROGRA~1\SYMANT~1\vptray.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Dokumente und Einstellungen\OP\Desktop\dss.exe
C:\DOKUME~1\OP\Desktop\OP.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: (no name) - {04E8FBE9-8894-4452-BFB3-B141FC66AB10} - C:\WINDOWS\system32\iifecbXP.dll (file missing)
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: (no name) - {2E6C0586-8189-4427-9771-4DDF9FF92C08} - C:\WINDOWS\system32\iiffGWOg.dll (file missing)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {94E03D9F-F097-4FD8-B119-5B1C23655FC9} - (no file)
O2 - BHO: (no name) - {B89C8268-74E0-4EDC-A269-1F6FF4155889} - C:\WINDOWS\system32\hgGyvULf.dll (file missing)
O2 - BHO: (no name) - {EAFE29D5-F1D0-4829-872F-D456F516ED40} - C:\WINDOWS\system32\tuvTnNHA.dll (file missing)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\Monitor.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [BrMfcWnd] C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl06a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter3] C:\Programme\Brother\ControlCenter3\brctrcen.exe /autorun
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\\vptray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [SSS6_Suite] "C:\Programme\Steganos Security Suite 6\sss.exe" /booting (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [SSS6_SAFE] "C:\Programme\Steganos Security Suite 6\safe.exe" /booting (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [SSS6_SPM] "C:\Programme\Steganos Security Suite 6\spm.exe" /booting (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {45A0A292-ECC6-4D8F-9EA9-A4BD411D24C1} (king.com) - http://cash.games.web.de/ctl/kingcomie.cab
O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - https://stream.web.de/mail/activex/m...load_11213.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/wind...?1194099939525
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab56907.cab
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://www.adobe.com/products/acrobat/nos/gp.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1C92D66A-B40D-4157-A35D-5EECFDEA40F9}: NameServer = 192.168.2.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{1C92D66A-B40D-4157-A35D-5EECFDEA40F9}: NameServer = 192.168.2.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{1C92D66A-B40D-4157-A35D-5EECFDEA40F9}: NameServer = 192.168.2.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe Active File Monitor V5 (AdobeActiveFileMonitor5.0) - Unknown owner - C:\Programme\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Programme\Symantec AntiVirus\DefWatch.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: InCD Helper (read only) (InCDsrvR) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: MBAMService - Malwarebytes - C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Programme\Symantec AntiVirus\SavRoam.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Steganos Live Encryption Engine (Version 503) [Service] (SLEE_503_SERVICE) - Unknown owner - C:\WINDOWS\system32\SLEE503.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Programme\Symantec AntiVirus\Rtvscan.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 11086 bytes

-- Files created between 2008-05-15 and 2008-06-15 -----------------------------

2008-06-12 21:54:08 0 d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-06-12 21:34:01 0 d-------- C:\VundoFix Backups
2008-06-12 21:09:35 0 d-------- C:\WINDOWS\pss
2008-06-12 21:07:13 0 d-------- C:\Dokumente und Einstellungen\OP\temp
2008-06-12 20:26:08 0 d-------- C:\MSNCleaner
2008-06-10 19:21:34 0 dr-h----- C:\Dokumente und Einstellungen\OP\Recent
2008-06-02 21:34:40 0 d-------- C:\Programme\Native Instruments
2008-06-01 18:14:35 23600 --a------ C:\WINDOWS\system32\drivers\drhard.sys <Not Verified; Licensed for Gebhard Software; DRHARD Device Driver for Windows 95/98/ME/NT/2000/2003/XP/XP64>
2008-06-01 18:14:30 0 d-------- C:\Programme\Dr. Hardware 2008
2008-05-23 21:30:52 0 d-------- C:\Programme\pdf24
2008-05-18 13:57:30 40448 --a------ C:\WINDOWS\system32\SmartToolsSlicer.dll <Not Verified; Medienagentur Fichtner & Meyer, Munich, Germany; Slice>
2008-05-18 13:57:29 247808 --a------ C:\WINDOWS\system32\osenxpsuite2007.dll <Not Verified; Osen Kusnadi; OsenXPSuite 2007 Pro 2.0 Dynamic Link Library>
2008-05-18 13:35:37 0 d-------- C:\Programme\SmartTools
2008-05-17 13:03:13 0 d-------- C:\Programme\Opera
2008-05-16 19:32:43 0 d-------- C:\Programme\CCleaner


-- Find3M Report ---------------------------------------------------------------

2008-06-15 21:47:29 0 d-------- C:\Programme\Symantec AntiVirus
2008-06-15 16:24:02 0 d-------- C:\Dokumente und Einstellungen\OP\Anwendungsdaten\teamspeak2
2008-06-15 12:41:31 0 d-------- C:\Programme\GemMasterGerman
2008-06-15 12:41:04 0 d-------- C:\Programme\ESTsoft
2008-06-15 12:41:04 0 d-------- C:\Dokumente und Einstellungen\OP\Anwendungsdaten\ESTsoft
2008-06-12 21:54:15 0 d-------- C:\Dokumente und Einstellungen\OP\Anwendungsdaten\Malwarebytes
2008-06-12 21:07:34 0 d-------- C:\Dokumente und Einstellungen\OP\Anwendungsdaten\TeamViewer
2008-05-22 18:41:22 0 d-------- C:\Dokumente und Einstellungen\OP\Anwendungsdaten\WEBDE
2008-05-20 21:44:01 0 d-------- C:\Programme\Warcraft III
2008-05-18 13:58:07 0 d-------- C:\Dokumente und Einstellungen\OP\Anwendungsdaten\SmartTools
2008-05-17 13:03:23 0 d-------- C:\Dokumente und Einstellungen\OP\Anwendungsdaten\Opera
2008-05-11 02:03:48 0 d-------- C:\Programme\Microsoft CAPICOM 2.1.0.2
2008-05-10 21:49:07 0 d-------- C:\Programme\MSN Messenger
2008-05-10 16:14:35 461056 --a------ C:\WINDOWS\system32\perfh007.dat
2008-05-10 16:14:35 85710 --a------ C:\WINDOWS\system32\perfc007.dat
2008-05-10 15:28:28 0 d-------- C:\Programme\Messenger
2008-05-10 15:27:59 0 d-------- C:\Programme\Movie Maker
2008-05-10 15:24:12 0 d-------- C:\Programme\Windows NT
2008-05-10 00:51:52 0 d-------- C:\Programme\Microsoft Works
2008-05-10 00:51:04 0 d-------- C:\Programme\Microsoft.NET
2008-05-07 00:48:25 2235 --a------ C:\WINDOWS\mozver.dat
2008-05-06 00:21:02 0 d-------- C:\Programme\Gemeinsame Dateien
2008-05-06 00:21:02 0 d-------- C:\Programme\Gemeinsame Dateien\xing shared
2008-05-06 00:20:53 0 d-------- C:\Programme\Gemeinsame Dateien\Real
2008-05-05 08:09:43 0 d-------- C:\Dokumente und Einstellungen\OP\Anwendungsdaten\Steganos Security Suite 6
2008-04-28 18:46:30 0 d--h----- C:\Programme\InstallShield Installation Information
2008-04-27 23:16:17 0 d-------- C:\Programme\JkDefrag
2008-04-26 00:15:54 0 d-------- C:\Programme\iTunes
2008-04-26 00:15:41 0 d-------- C:\Programme\iPod
2008-04-26 00:13:43 0 d-------- C:\Programme\QuickTime
2008-04-26 00:08:26 0 d-------- C:\Programme\Apple Software Update
2008-04-19 20:11:33 0 d-------- C:\Dokumente und Einstellungen\OP\Anwendungsdaten\foobar2000
2008-04-18 23:18:51 0 d-------- C:\Programme\ICQ6
2008-04-04 20:42:31 190757 -----n--- C:\Dokumente und Einstellungen\OP\Anwendungsdaten\NMM-MetaData.db


-- Registry Dump ---------------------------------------------------------------

*Note* empty entries & legit default entries are not shown


[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{04E8FBE9-8894-4452-BFB3-B141FC66AB10}]
C:\WINDOWS\system32\iifecbXP.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{2E6C0586-8189-4427-9771-4DDF9FF92C08}]
C:\WINDOWS\system32\iiffGWOg.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{94E03D9F-F097-4FD8-B119-5B1C23655FC9}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{B89C8268-74E0-4EDC-A269-1F6FF4155889}]
C:\WINDOWS\system32\hgGyvULf.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{EAFE29D5-F1D0-4829-872F-D456F516ED40}]
C:\WINDOWS\system32\tuvTnNHA.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [22.09.2005 17:42 C:\WINDOWS\soundman.exe]
"RemoteControl"="C:\Programme\CyberLink\PowerDVD\PDVDServ.exe" [02.11.2004 21:24]
"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.exe" [10.08.2004 21:00]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_05\bin\jusched.exe" [26.08.2005 19:14]
"eRecoveryService"="C:\Acer\Empowering Technology\eRecovery\Monitor.exe" [16.11.2005 18:00]
"ccApp"="C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [04.10.2005 13:42]
"ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [21.06.2007 22:54]
"StartCCC"="C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [10.11.2006 13:35]
"BrMfcWnd"="C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe" [28.03.2006 16:48]
"SetDefPrt"="C:\Programme\Brother\Brmfl06a\BrStDvPt.exe" [26.01.2005 19:02]
"ControlCenter3"="C:\Programme\Brother\ControlCenter3\brctrcen.exe" [10.04.2006 15:58]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [12.01.2006 16:40]
"InCD"="C:\Programme\Ahead\InCD\InCD.exe" [23.03.2006 18:06]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [11.01.2008 23:16]
"vptray"="C:\PROGRA~1\SYMANT~1\\vptray.exe" [15.11.2005 14:28]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [28.03.2008 23:37]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [30.03.2008 10:36]
"KernelFaultCheck"="C:\WINDOWS\system32\dumprep 0 -k" []

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [14.04.2008 04:22]

C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [13.02.2001 03:01:04]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"InstallVisualStyle"=C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"=C:\WINDOWS\Resources\Themes\Royale.theme

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\dimsntfy]
C:\WINDOWS\System32\dimsntfy.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"= msv1_0 C:\WINDOWS\system32\iiffGWOg

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll,

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vds]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{533C5B84-EC70-11D2-9505-00C04F79DEAF}]
@="Volume shadow copy"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Windows Media Player"=wmplayer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
p2psvc p2psvc p2pimsvc p2pgasvc PNRPSvc
eapsvcs eaphost
dot3svc dot3svc

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
napagent
hkmsvc

*Newly Created Service* - INT15.SYS



-- End of Deckard's System Scanner: finished at 2008-06-15 21:54:41 ----------

Hi,
wir räumen noch ein wenig auf:

Fixen

• Hijackthis aufrufen
• Do a system scan only anklicken
• Haken vor die zu fixenden Einträge setzen:
  
  Zitat:

  O2 - BHO: (no name) - {04E8FBE9-8894-4452-BFB3-B141FC66AB10} - C:\WINDOWS\system32\iifecbXP.dll (file missing) O2 - BHO: (no name) - {2E6C0586-8189-4427-9771-4DDF9FF92C08} - C:\WINDOWS\system32\iiffGWOg.dll (file missing) O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: (no name) - {94E03D9F-F097-4FD8-B119-5B1C23655FC9} - (no file) O2 - BHO: (no name) - {B89C8268-74E0-4EDC-A269-1F6FF4155889} - C:\WINDOWS\system32\hgGyvULf.dll (file missing) O2 - BHO: (no name) - {EAFE29D5-F1D0-4829-872F-D456F516ED40} - C:\WINDOWS\system32\tuvTnNHA.dll (file missing)

• Unten auf Fix checked klicken

Dein Java ist übrigens veraltet. Am besten (alle Versionen) über Start->Systemsteuerung->Software deinstallieren und danach das neueste Java von sun installieren.

Habt ihr die kostenpflichtige Version von MBAM installiert? :eek: Das wäre/ist eigentlich nicht nötig gewesen.
Habt ihr zufällig die Daten des Bluescreens noch aufgeschrieben und könntet sie hier posten? Wie habt ihr das Problem gelöst?

lg myrtille

so, hab das mit hijack this so gemacht wie du gesagt hast. das mit java ähm... was ist java und wozu braucht man das? >.<

und was ich noch sagen wollte - es ist ein familien pc, der also meinem dad gehört und nicht mir. Er war von donnerstag-samstag weg, also wollte also lieber nichts tun was irgendwie noch mehr schaden am pc hätte anrichten können. (das mit dem msn trojaner/virus was auch immer das jetzt war, war ja meine schuld q.q ) Als er dann zurückgekommen ist, fand er das so toll das ich mich da in einem forum drüber informiert hatte und meinte ja das könnte ich dann ja doch alles selber machen (väter -.-") Wo dann MBAM auch noch was gefunden hat, im gegensatz zu dem spybot dingens was wir hatten, war er so begeistert von dem programm, dass er gleich die kostenpflichtige version gekauft hat.

das mit dem bluescreen:
konnte es ja wie gesagt nich mehr lesen, war dann aber auch bis samstag nachmittag nichtmehr am pc. der lies sich dann auch wieder normal hochfahren und nachdem MBAM den scan komplett durchgekriegt hat und auch was gefunden+weggemacht hat, kam auch kein bluescreen mehr^^
hab es dementsprechend auch leider nichtmehr abschreiben können.

Hi,
ich werd euch sicher keinen Vorwurf daraus machen, dass ihr die Entwickler von MBAM unterstützt.:D
Hatte nur befürchtet, dass es da ein Missverständnis gegeben hat und ihr dachtet ich hätte euch ein kostenpflichtiges Programm empfohlen.
Prinzipiell wird hier alles mit kostenlosen Programmen bereinigt.

Wenn du nicht wirklich weißt, wofür du java brauchst, dann würde ich es einfach deinstallieren.
Wenn Java doch gebraucht wird, dann wird da schon explizit draufhingewiesen.

Java wird zb bei einigen Browsergames und ähnlichem genutzt. (Nicht zu verwechseln mit Javascript, dass funktioniert auch ohne java noch ;) )

Poste bitte noch ein neues Hijackthislog
lg myrtille

ah, mein dad spielt öfter welche von den browser games, deswegen haben wir wohl java^^ werd ihm das mit der neuen version dann mal sagen.

hier ist das hijackthis log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:31:41, on 15.06.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Symantec AntiVirus\DefWatch.exe
C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\WINDOWS\system32\SLEE503.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Symantec AntiVirus\Rtvscan.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Malwarebytes' Anti-Malware\mbamtrayctrl.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
C:\Acer\Empowering Technology\eRecovery\Monitor.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Programme\Brother\Brmfcmon\BrMfcmon.exe
C:\Programme\Brother\ControlCenter3\brccMCtl.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\PROGRA~1\SYMANT~1\vptray.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Dokumente und Einstellungen\OP\Desktop\This.exe.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\Monitor.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [BrMfcWnd] C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl06a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter3] C:\Programme\Brother\ControlCenter3\brctrcen.exe /autorun
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\\vptray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [SSS6_Suite] "C:\Programme\Steganos Security Suite 6\sss.exe" /booting (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [SSS6_SAFE] "C:\Programme\Steganos Security Suite 6\safe.exe" /booting (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [SSS6_SPM] "C:\Programme\Steganos Security Suite 6\spm.exe" /booting (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {45A0A292-ECC6-4D8F-9EA9-A4BD411D24C1} (king.com) - http://cash.games.web.de/ctl/kingcomie.cab
O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - https://stream.web.de/mail/activex/m...load_11213.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/wind...?1194099939525
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab56907.cab
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://www.adobe.com/products/acrobat/nos/gp.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1C92D66A-B40D-4157-A35D-5EECFDEA40F9}: NameServer = 192.168.2.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{1C92D66A-B40D-4157-A35D-5EECFDEA40F9}: NameServer = 192.168.2.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{1C92D66A-B40D-4157-A35D-5EECFDEA40F9}: NameServer = 192.168.2.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe Active File Monitor V5 (AdobeActiveFileMonitor5.0) - Unknown owner - C:\Programme\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Programme\Symantec AntiVirus\DefWatch.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: InCD Helper (read only) (InCDsrvR) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: MBAMService - Malwarebytes - C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Programme\Symantec AntiVirus\SavRoam.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Steganos Live Encryption Engine (Version 503) [Service] (SLEE_503_SERVICE) - Unknown owner - C:\WINDOWS\system32\SLEE503.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Programme\Symantec AntiVirus\Rtvscan.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 10379 bytes

Hi,
das Log sieht gut aus. Es sind allerdings noch einige unnötige Einträge drin.
Ich vermute allerdings, dass du die nicht unbedingt eigenmächtig rausnehmen möchtest!?

Die Einträge sind "überflüssig" aber nicht gefährlich.

lg myrtille

uhm machen diese überflüssigen einträge irgendwas außer das sie überflüssig sind? xD
bzw bringt das irgendwas die rauszunehmen?

Naja, sie werden bei jedem Rechnerstart mitgestartet und laufen daher auch immer mit.
Wenn ihr einen neuen/schnellen Rechner habt, macht das wahrscheinlich nicht viel aus, wenn ihr jedoch einen etwas älteren Rechner habt, kann es sich schon lohnen solche Programme zu deaktivieren.

lg myrtille

also wir haben (wenn ich das richtig abgelesen hab) einen AMD Athlon(tm) 64X2 Dual Core Processor 3800+ 2.01 Ghz 2,00 GB RAM
müsste schon unter die kategorie neu/schnell fallen oder? hab nichsoviel plan von xD

aber möchte mich an dieser stelle nochmal ganz herzlich bei dir bedanken myrtille :kloppen:
hätte das ansonsten wirklich nicht hingekriegt vielen vielen dank :)

Gern geschehen. :)

Schneller als meine Kiste auf jedenfall ;)

Dann lassen wir es wie es ist.

lg myrtille :)

ach ja letzte sache noch: die ganzen programme die ich ja gedownloadet hatte um den pc wieder clean zu kriegen, soll ich die einfach auf dem pc lassen oder wieder deinstallieren? also die programme die ich meine wären:

avenger
vundofix
msncleaner
dss
hijackthis

ach ja und die umstellungen als ich die wmplayer.exe mit hilfe des links http://www.trojaner-board.de/59624-a...-sichtbar.html gesucht hatte. die auch wieder zurückstellen?

Hi,
avenger, dss und vundofix kannst du einfach löschen. Dazu gehören auch die Ordner C:\vundofix backups, C:\Deckard und C:\avenger.
MSNCleaner kenn ich nihct, das kann man evtl über Start->Systemsteuerung->Software deinstallieren oder es besitzt eventuell eine Deinstallationsroutine wenn man es startet?

Hijackthis kannst du ebenfalls über Start->systemsteuerung->Software deinstallieren.

Insgesamt würde ich sagen, dass du all diese Programm löschen/entfernen kannst, aus dem simplen Grund, dass es sich um Analysetools und spezialisierte Tools handelt, die nur unter bestimmten Umständen hilfreich sind, bzw deren Ergebnisse interpretiert werden müssen.

Solltest du erneut Probleme haben, dann kannst du dich wieder hier im Forum melden und man wird dich entweder beten andere Programme herunterzuladen oder die neuen Versionen der jetzt verwandten Programme.
Insofern hast du wenig Nutzen, wenn du die Programme jetzt behältst.

EDIT: Du kannst die Einstellungen natürlich zurückstellen, allerdings halte ich das für wenig empfehlenswert, insbesondere solltest du die Dateiendungen nicht ausblenden lassen.
Woher weißt du sonst ob dir jemand ein Textdokument oder eine ausführbare Datei zuschickt?
Wenn du die Dateiendungen einblenden lässt, siehst du sofort ob die Datei "neues_textdokument.txt" oder "neues_textdokument.exe" heißt. Viren arbeiten viel mit solchen Tricks, um den Nutzer glauben zu lassen, die Datei wäre ungefährlich.


lg myrtille

okeh :D werd die dann wohl mal runterschmeißen

ich ahbe das gleiche problem könntet ihr mir auch helfen ?