Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   PC infiziert und fast lahmgelegt,Schutzprogramme schlagen nicht an... (https://www.trojaner-board.de/57187-pc-infiziert-fast-lahmgelegt-schutzprogramme-schlagen.html)

captn future 03.08.2008 01:36
PC infiziert und fast lahmgelegt,Schutzprogramme schlagen nicht an...
 
hallo alle miteinander,
habe mih zum ersten mal auf einer seite wie dieser angemeldet.ich hab versucht mir vorher die regeeln und informationen durchzulesen die nöig sind um logfiles usw reinzustellen,wiss nicht ob es geklappt hat...mal sehen.

zu meinem problem,
seit einigen tagen ist mein pc infiziert,es wird von tag zu tag schlimmer,heute habe ich schließlich de ganzen tag bis i die nacht zeit gebraucht(und meine gesamte geduld) um schließlich doch noch in dieses forum mit dem üblangsamen internetexplorer zu gelangen,nachdem sich firefox gestern einfach verabschiedet hat und opera sch nicht installieren lässt(es wird vom installer angezeigt: error drive F:/ oder so),der IE oder der virus lässt wohl auch gerade jeden dritten tastendruck verschwinden,wodurch es nochmal länger dauert(also nicht wg meinem text wundern,hab schon so leserlich wie es geht versucht),zusätzlich zu den schrecklich langen ladezeiten,abstürzen und sonstigen aussetzern.hab woanders ws von combofix gehört,aber googeln warzuletz unmöglich...weiss jemand rat?

logfiles stell ich gleich rein,,da bei mir alles wieder bspinnt und mbam einen nneustart verlangt und bei mir die taskleiste unten wieder augefallen ist,wünsht mir glück,hehe.danke im vorraus,alex.

captn future 03.08.2008 02:24
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:16:31, on 02.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\OpenOffice.org 2.0\program\soffice.exe
C:\Programme\OpenOffice.org 2.0\program\soffice.BIN
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\system32\msiexec.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: (no name) - - (no file)
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.5000.1021\de\msntb.dll (file missing)
O3 - Toolbar: Burn4Free Toolbar - {4F11ACBB-393F-4C86-A214-FF3D0D155CC3} - C:\Programme\Burn4Free Toolbar\v3.3.0.1\Burn4Free_Toolbar.dll (file missing)
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [BM8be03c8b] Rundll32.exe "C:\WINDOWS\system32\snmlfxpe.dll",s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [Noun Hide] C:\DOKUME~1\ADMINI~1\ANWEND~1\SHOWTH~1\AudioLongPlay.exe
O4 - HKCU\..\Run: [License Manager] "C:\Programme\License_Manager\license_manager.exe " /silent
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Programme\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - https://stream.web.de/mail/activex/mail_upload_11213.cab
O20 - AppInit_DLLs: vdjevq.dll
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe

--
End of file - 6150 bytes

captn future 03.08.2008 02:28
Malwarebytes' Anti-Malware 1.24
Datenbank Version: 1017
Windows 5.1.2600 Service Pack 2

02:16:18 03.08.2008
mbam-log-8-3-2008 (02-16-18).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 78430
Laufzeit: 4 hour(s), 2 minute(s), 19 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 4
Infizierte Registrierungsschlüssel: 16
Infizierte Registrierungswerte: 5
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 36

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\WINDOWS\system32\khfGxUKe.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\vcxrrdwi.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\mrovnj.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\geBqQGaX.dll (Trojan.Vundo) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0439f3e4-dafa-44ea-b29c-11cb763b239d} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{0439f3e4-dafa-44ea-b29c-11cb763b239d} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{f3b4d49e-f263-4e0c-8387-7de7b11eab30} (Trojan.Vundo) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{f3b4d49e-f263-4e0c-8387-7de7b11eab30} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{833ae189-f38c-46b6-b02a-18dbebb50349} (Trojan.BHO) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{833ae189-f38c-46b6-b02a-18dbebb50349} (Trojan.BHO) -> Delete on reboot.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\dslcnnct (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\IProxyProvider (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\gebqqgax (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Trojan.Vundo) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\88d30f17 (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\bm8be03c8b (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\New Windows\Allow\host-domain-lookup.com (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\New Windows\Allow\www.host-domain-lookup.com (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{833ae189-f38c-46b6-b02a-18dbebb50349} (Trojan.Vundo) -> Delete on reboot.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo) -> Data: c:\windows\system32\khfgxuke -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\khfgxuke -> Delete on reboot.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\mrovnj.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\khfGxUKe.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\eKUxGfhk.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\eKUxGfhk.ini2 (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\cmcrxoob.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\booxrcmc.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\eoyvbejd.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\djebvyoe.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\fkiioitu.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\utioiikf.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\hlkjsmud.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\dumsjklh.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\jopuirws.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\swriupoj.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\usecsvqf.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\fqvscesu.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\vcxrrdwi.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\iwdrrxcv.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\vdqqejyw.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\wyjeqqdv.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ygixvyns.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\snyvxigy.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\snyvxigy.ini2 (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\geBqQGaX.dll (Trojan.BHO) -> Delete on reboot.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\P89ATU4N\kb456456[1] (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\P89ATU4N\kb767887[1] (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{4111560F-C45B-4F5B-BDC9-9A9D5E65B6B2}\RP619\A0532874.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{4111560F-C45B-4F5B-BDC9-9A9D5E65B6B2}\RP619\A0532875.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{4111560F-C45B-4F5B-BDC9-9A9D5E65B6B2}\RP619\A0532876.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{4111560F-C45B-4F5B-BDC9-9A9D5E65B6B2}\RP619\A0532877.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ujbpqrkp.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\cookies.ini (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\lyxyayya.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\pskt.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\BM8be03c8b.xml (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\BM8be03c8b.txt (Trojan.Vundo) -> Quarantined and deleted successfully.

captn future 03.08.2008 02:37
trotz aller schwierigkeiten hat es erstmal geklappt mit dem schreiben in diesem forum...zum glück.

für den (not)fall aber das es sich morgen wieder verschlechtert und ich nicht mehr die gelgenheit habe von meinem pc ins inet zu gehen bzw hier zu schreiben weil wieder was spinnt: kan mir jemand kurz erklären wie ich den format C durchführe?

captn future 03.08.2008 20:13
hmm,scheint wohl ein ziemlich schwerwiegendes problem zu sein...
hab hute paar stunden hier verbracht und was von combo fix gelesen,dort hatte der beratende user aber angemerkt das man es nur auf anraten eines fachkundige laufen lassen sollte...ich weiss einfach nicht ob ich es in meinem fall machen kan oder nicht...
weiss jemand nen link mit einem ähnlichen problem,auch wenns vielleicht von einer anderen seite ist?
google will bei mir einfach nicht,andere suchmaschinen auch nicht und internet ist zum erbrechen langsam...
PS:zumindest das mit dem eintippen der tasten hat sich heute gebessert.

captn future 06.08.2008 01:05
also hab mich mal auf einen ähnlichen thread gestützt und combofix und ccleaner laufen lassen,auserdem unsichtbare und versteckte daten sichtbar gemacht.weiss aber nun beim nächsten schritt nicht welche daten ich davon im virustotal durchsuchen lassen muss...

PHP-Code:
ComboFix 08-08-02.01 Administrator 2008-08-04 23:28:02.2 NTFSx86
ausgeführt von:: C:\Dokumente und Einstellungen\Administrator\Desktop\ComboFix.exe

[color=red][b]Achtung Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/b][/color]
   
Dateien erstellt von 2008-07-04 bis 2008-08-04
.


2008-08-04 22:52 2008-08-04 22:53    <DIR>    d--------    C:\Programme\CCleaner
2008-08-04 15:30 2008-04-23 06:16    6,066,176    -----c---    C:\WINDOWS\system32\dllcache\ieframe.dll
2008-08-04 15:30 2007-04-17 11:32    2,455,488    -----c---    C:\WINDOWS\system32\dllcache\ieapfltr.dat
2008-08-04 15:30 2007-03-08 07:09    1,040,384    -----c---    C:\WINDOWS\system32\dllcache\ieframe.dll.mui
2008-08-04 15:30 2008-04-23 06:16    459,264    -----c---    C:\WINDOWS\system32\dllcache\msfeeds.dll
2008-08-04 15:30 2008-04-23 06:16    383,488    -----c---    C:\WINDOWS\system32\dllcache\ieapfltr.dll
2008-08-04 15:30 2008-04-23 06:16    267,776    -----c---    C:\WINDOWS\system32\dllcache\iertutil.dll
2008-08-04 15:30 2008-04-23 06:16    63,488    -----c---    C:\WINDOWS\system32\dllcache\icardie.dll
2008-08-04 15:30 2008-04-23 06:16    52,224    -----c---    C:\WINDOWS\system32\dllcache\msfeedsbs.dll
2008-08-04 15:30 2008-04-22 09:39    13,824    -----c---    C:\WINDOWS\system32\dllcache\ieudinit.exe
2008-08-02 22:03 2008-08-02 22:03    <DIR>    d--------    C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2008-08-02 22:02 2008-08-02 22:02    <DIR>    d--------    C:\Programme\Malwarebytes' Anti-Malware
2008-08-02 22:02 . 2008-08-02 22:02    <DIR>    d--------    C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-08-02 22:02 . 2008-07-30 20:07    38,472    --a------    C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-08-02 22:02 . 2008-07-30 20:07    17,144    --a------    C:\WINDOWS\system32\drivers\mbam.sys
2008-08-02 21:23 . 2008-08-02 21:23    91,648    --a------    C:\WINDOWS\system32\olgmmnbh.dll
2008-08-02 18:27 . 2008-08-02 18:27    <DIR>    d--------    C:\52b642604ea6cd2c63ac1c
2008-08-02 18:22 . 2008-08-02 18:22    <DIR>    d--------    C:\1b58c85c19a9ef0ff6e039d7
2008-08-02 18:12 . 2008-08-02 18:12    <DIR>    d--------    C:\Programme\Trend Micro
2008-08-02 18:01 . 2008-08-04 16:14    <DIR>    d--------    C:\WINDOWS\system32\de-de
2008-08-01 21:21 . 2008-08-01 21:20    114,176    --a------    C:\WINDOWS\system32\vdjevq.dll
2008-08-01 21:20 . 2008-08-01 21:20    114,176    --a------    C:\WINDOWS\system32\jpsoiyjx.dll
2008-08-01 02:07 . 2008-08-01 23:23    <DIR>    d--------    C:\Programme\a-squared Anti-Malware
2008-07-31 21:20 . 2008-07-31 21:20    105,472    --a------    C:\WINDOWS\system32\ppxuwx.dll
2008-07-31 21:20 . 2008-07-31 21:20    105,472    --a------    C:\WINDOWS\system32\jjivlheg.dll
2008-07-31 21:17 . 2008-07-31 21:17    91,648    --a------    C:\WINDOWS\system32\nftskmax.dll
2008-07-30 21:17 . 2008-07-30 21:17    105,472    --a------    C:\WINDOWS\system32\slwdyl.dll
2008-07-30 21:17 . 2008-07-30 21:17    105,472    --a------    C:\WINDOWS\system32\qiuppcww.dll
2008-07-30 02:26 . 2008-07-30 02:28    1,488,255    ---hs----    C:\WINDOWS\system32\snyvxigy.tmp
2008-07-29 21:16 . 2008-07-29 21:16    105,472    --a------    C:\WINDOWS\system32\yftywsac.dll
2008-07-29 21:16 . 2008-07-29 21:16    105,472    --a------    C:\WINDOWS\system32\riyylh.dll
2008-07-29 20:27 . 2008-07-29 20:27    105,472    --a------    C:\WINDOWS\system32\wppohfbt.dll
2008-07-29 20:27 . 2008-07-29 20:27    105,472    --a------    C:\WINDOWS\system32\adfqzs.dll
2008-07-29 20:25 . 2008-07-29 20:25    91,648    --a------    C:\WINDOWS\system32\hglnitqs.dll
2008-07-29 20:05 . 2008-07-29 20:05    105,472    --a------    C:\WINDOWS\system32\qvjdrv.dll
2008-07-29 20:05 . 2008-07-29 20:05    105,472    --a------    C:\WINDOWS\system32\dkseqcey.dll
2008-07-29 20:03 . 2008-07-29 20:03    91,648    --a------    C:\WINDOWS\system32\tsvmaudv.dll
2008-07-28 21:21 . 2008-07-28 21:21    <DIR>    d--------    C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-07-28 19:58 . 2008-07-28 19:58    105,472    --a------    C:\WINDOWS\system32\glmltprl.dll
2008-07-28 19:58 . 2008-07-28 19:58    105,472    --a------    C:\WINDOWS\system32\fxradx.dll
2008-07-27 00:02 . 2008-07-27 00:02    105,472    --a------    C:\WINDOWS\system32\xflikinb.dll
2008-07-27 00:02 . 2008-07-27 00:02    105,472    --a------    C:\WINDOWS\system32\ksllkv.dll
2008-07-26 23:59 . 2008-07-26 23:59    91,648    --a------    C:\WINDOWS\system32\tglmqrxe.dll
2008-07-26 11:34 . 2008-08-03 18:32    1,256    --a------    C:\WINDOWS\wininit.ini
2008-07-25 22:39 . 2008-07-25 22:39    105,472    --a------    C:\WINDOWS\system32\unnysc.dll
2008-07-25 22:39 . 2008-07-25 22:39    105,472    --a------    C:\WINDOWS\system32\singydwg.dll
2008-07-25 22:26 . 2008-08-04 15:35    <DIR>    d--------    C:\Programme\Spybot - Search & Destroy
2008-07-24 22:36 . 2008-07-24 22:36    105,472    --a------    C:\WINDOWS\system32\vnxpawau.dll
2008-07-24 22:36 . 2008-07-24 22:36    105,472    --a------    C:\WINDOWS\system32\lkpygl.dll
2008-07-24 22:35 . 2008-07-24 22:35    91,648    --a------    C:\WINDOWS\system32\dpgenlbe.dll
2008-07-23 20:49 . 2008-07-23 20:49    <DIR>    d--------    C:\Programme\Show that
2008-07-14 22:21 . 2008-07-14 22:21    <DIR>    d--------    C:\Programme\ICQ6Toolbar
2008-07-14 22:21 . 2008-07-14 22:21    <DIR>    d--------    C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ICQ
2008-07-14 22:20 . 2008-07-14 22:24    <DIR>    d--------    C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ICQ
2008-07-14 22:16 . 2008-07-24 01:15    <DIR>    d--------    C:\Programme\ICQ6

Findm Bericht
.
2008-08-04 19:04    ---------    d-----w    C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\OpenOffice.org2
2008-08-04 13:33    ---------    d-----w    C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-08-02 20:16    ---------    d-----w    C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Show that
2008-08-01 16:39    ---------    d-----w    C:\Programme\Macrogaming
2008-08-01 16:39    ---------    d-----w    C:\Programme\DAEMON Tools
2008-07-29 19:43    ---------    d-----w    C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Thisbodysoappure
2008-07-29 19:43    ---------    d-----w    C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\The Rdr User Defy
2008-07-28 19:21    ---------    d-----w    C:\Programme\Avira
2008-07-26 09:34    ---------    d-----w    C:\Programme\BearShare
2008-07-25 20:42    ---------    d-----w    C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Lavasoft
2008-07-25 15:05    3,518    ----a-w    C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\wklnhst.dat
2008-07-14 20:24    ---------    d--h--w    C:\Programme\InstallShield Installation Information
2008-06-20 17:39    247,296    ----a-w    C:\WINDOWS\system32\mswsock.dll
2008-06-20 10:45    360,320    ----a-w    C:\WINDOWS\system32\drivers\tcpip.sys
2008-06-20 10:44    138,368    ----a-w    C:\WINDOWS\system32\drivers\afd.sys
2008-06-20 09:52    225,920    ----a-w    C:\WINDOWS\system32\drivers\tcpip6.sys
2008-06-14 17:57    273,024    ------w    C:\WINDOWS\system32\drivers\bthport.sys
2008-05-30 16:55    232,075    ----a-w    C:\WINDOWS\Burn4Free_Toolbar_Uninstaller_9471.exe
2008-05-30 13:12    232,077    ----a-w    C:\WINDOWS\Burn4Free_Toolbar_Uninstaller_1869.exe
2008-05-08 18:51    33,224    ----a-w    C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2008-05-07 05:14    1,293,312    ----a-w    C:\WINDOWS\system32\quartz.dll
2007-10-24 23:34    13,411,824    ----a-w    C:\Programme\Google_Earth_BZXD.exe
2007-07-11 14:02    3,498,312    ----a-w    C:\Programme\BSLITEINSTALL525.exe
2006-12-21 00:28    25,842,736    ----a-w    C:\Programme\wmp11-windowsxp-x86-DE-DE.exe
2006-12-20 20:21    4,245,402    -c--a-w    C:\Programme\valid_wg_AIO.rar
2006-10-17 18:08    14,405,024    ----a-w    C:\Programme\GoogleEarthWin.exe
2006-10-04 16:29    7,903,487    ----a-w    C:\Programme\[EPIDEM.RU] valid wg AIO.exe
1998-12-02 00:03    1,048,576    ----a-w    C:\Programme\R203c48.mar
.

(((((((((((((((((((((((((((((   snapshot@2008-08-04_14.18.44.62   )))))))))))))))))))))))))))))))))))))))))
.
+ 2007-03-06 01:14:17    217,312    -c----w    C:\WINDOWS\ie7updates\KB938127-IE7\spuninst\spuninst.exe
+ 2007-03-06 01:15:25    377,568    -c----w    C:\WINDOWS\ie7updates\KB938127-IE7\spuninst\updspapi.dll
+ 2007-08-13 16:54:10    765,952    -c----w    C:\WINDOWS\ie7updates\KB938127-IE7\vgx.dll
+ 2007-08-13 16:39:00    123,904    -c----w    C:\WINDOWS\ie7updates\KB950759-IE7\advpack.dll
+ 2007-08-13 16:35:46    346,624    -c----w    C:\WINDOWS\ie7updates\KB950759-IE7\dxtmsft.dll
+ 2007-08-13 16:35:38    214,528    -c----w    C:\WINDOWS\ie7updates\KB950759-IE7\dxtrans.dll
+ 2007-08-13 16:54:10    131,584    -c----w    C:\WINDOWS\ie7updates\KB950759-IE7\extmgr.dll
+ 2007-08-13 16:36:26    61,952    -c----w    C:\WINDOWS\ie7updates\KB950759-IE7\icardie.dll
+ 2007-08-13 16:39:06    54,784    -c----w    C:\WINDOWS\ie7updates\KB950759-IE7\ie4uinit.exe
+ 2007-08-13 16:39:26    152,064    -c----w    C:\WINDOWS\ie7updates\KB950759-IE7\ieakeng.dll
+ 2007-08-13 16:39:54    229,376    -c----w    C:\WINDOWS\ie7updates\KB950759-IE7\ieaksie.dll
+ 2007-08-13 15:56:54    161,792    -c----w    C:\WINDOWS\ie7updates\KB950759-IE7\ieakui.dll
+ 2007-02-12 14:10:12    2,451,312    -c----w    C:\WINDOWS\ie7updates\KB950759-IE7\ieapfltr.dat
+ 2007-07-11 10:27:48    383,488    -c----w    C:\WINDOWS\ie7updates\KB950759-IE7\ieapfltr.dll
+ 2007-08-13 16:39:50    382,976    -c----w    C:\WINDOWS\ie7updates\KB950759-IE7\iedkcs32.dll
+ 2007-08-13 16:54:10    6,049,280    -c----w    C:\WINDOWS\ie7updates\KB950759-IE7\ieframe.dll
+ 2007-08-13 16:39:10    43,008    -c----w    C:\WINDOWS\ie7updates\KB950759-IE7\iernonce.dll
+ 2007-08-13 16:34:04    266,752    -c----w    C:\WINDOWS\ie7updates\KB950759-IE7\iertutil.dll
+ 2007-08-13 16:39:10    13,312    -c----w    C:\WINDOWS\ie7updates\KB950759-IE7\ieudinit.exe
+ 2007-08-13 16:43:56    622,080    -c----w    C:\WINDOWS\ie7updates\KB950759-IE7\iexplore.exe
+ 2007-08-13 16:54:10    27,136    -c----w    C:\WINDOWS\ie7updates\KB950759-IE7\jsproxy.dll
+ 2007-08-13 16:54:10    458,752    -c----w    C:\WINDOWS\ie7updates\KB950759-IE7\msfeeds.dll
+ 2007-08-13 16:54:10    50,688    -c----w    C:\WINDOWS\ie7updates\KB950759-IE7\msfeedsbs.dll
+ 2007-08-13 16:54:12    3,578,368    -c----w    C:\WINDOWS\ie7updates\KB950759-IE7\mshtml.dll
+ 2007-08-13 16:54:10    475,648    -c----w    C:\WINDOWS\ie7updates\KB950759-IE7\mshtmled.dll
+ 2007-08-13 16:44:26    192,000    -c----w    C:\WINDOWS\ie7updates\KB950759-IE7\msrating.dll
+ 2007-08-13 16:54:10    670,720    -c----w    C:\WINDOWS\ie7updates\KB950759-IE7\mstime.dll
+ 2007-08-13 16:44:06    101,376    -c----w    C:\WINDOWS\ie7updates\KB950759-IE7\occache.dll
+ 2007-08-13 16:36:12    44,544    -c----w    C:\WINDOWS\ie7updates\KB950759-IE7\pngfilt.dll
+ 2007-03-06 01:14:13    217,312    -c----w    C:\WINDOWS\ie7updates\KB950759-IE7\spuninst\spuninst.exe
+ 2007-03-06 01:15:25    377,568    -c----w    C:\WINDOWS\ie7updates\KB950759-IE7\spuninst\updspapi.dll
+ 2007-08-13 16:44:30    105,984    -c----w    C:\WINDOWS\ie7updates\KB950759-IE7\url.dll
+ 2007-08-13 16:54:10    1,162,240    -c----w    C:\WINDOWS\ie7updates\KB950759-IE7\urlmon.dll
+ 2007-08-13 16:54:10    231,424    -c----w    C:\WINDOWS\ie7updates\KB950759-IE7\webcheck.dll
+ 2007-08-13 16:54:10    818,688    -c----w    C:\WINDOWS\ie7updates\KB950759-IE7\wininet.dll
- 2007-08-13 16:39:00    123,904    ----a-w    C:\WINDOWS\system32\advpack.dll
+ 2008-04-23 04:16:29    124,928    ----a-w    C:\WINDOWS\system32\advpack.dll
- 2007-08-13 16:39:00    123,904    -c--a-w    C:\WINDOWS\system32\dllcache\advpack.dll
+ 2008-04-23 04:16:29    124,928    -c--a-w    C:\WINDOWS\system32\dllcache\advpack.dll
- 2004-11-11 12:00:00    138,496    -c--a-w    C:\WINDOWS\system32\dllcache\afd.sys
+ 2008-06-20 10:44:38    138,368    -c--a-w    C:\WINDOWS\system32\dllcache\afd.sys
- 2008-02-20 05:33:54    148,992    -c--a-w    C:\WINDOWS\system32\dllcache\dnsapi.dll
+ 2008-06-20 17:39:48    148,992    -c--a-w    C:\WINDOWS\system32\dllcache\dnsapi.dll
- 2007-08-13 16:35:46    346,624    -c--a-w    C:\WINDOWS\system32\dllcache\dxtmsft.dll
+ 2008-04-23 04:16:29    347,136    -c--a-w    C:\WINDOWS\system32\dllcache\dxtmsft.dll
- 2007-08-13 16:35:38    214,528    -c--a-w    C:\WINDOWS\system32\dllcache\dxtrans.dll
+ 2008-04-23 04:16:29    214,528    -c--a-w    C:\WINDOWS\system32\dllcache\dxtrans.dll
- 2007-08-13 16:54:10    131,584    -c--a-w    C:\WINDOWS\system32\dllcache\extmgr.dll
+ 2008-04-23 04:16:29    133,120    -c--a-w    C:\WINDOWS\system32\dllcache\extmgr.dll
- 2007-08-13 16:39:06    54,784    -c--a-w    C:\WINDOWS\system32\dllcache\ie4uinit.exe
+ 2008-04-22 07:39:48    70,656    -c--a-w    C:\WINDOWS\system32\dllcache\ie4uinit.exe
- 2007-08-13 16:39:26    152,064    -c--a-w    C:\WINDOWS\system32\dllcache\ieakeng.dll
+ 2008-04-23 04:16:29    153,088    -c--a-w    C:\WINDOWS\system32\dllcache\ieakeng.dll
- 2007-08-13 16:39:54    229,376    -c--a-w    C:\WINDOWS\system32\dllcache\ieaksie.dll
+ 2008-04-23 04:16:29    230,400    -c--a-w    C:\WINDOWS\system32\dllcache\ieaksie.dll
- 2007-08-13 15:56:54    161,792    -c--a-w    C:\WINDOWS\system32\dllcache\ieakui.dll
+ 2008-04-20 05:07:51    161,792    -c--a-w    C:\WINDOWS\system32\dllcache\ieakui.dll
- 2007-08-13 16:39:50    382,976    -c--a-w    C:\WINDOWS\system32\dllcache\iedkcs32.dll
+ 2008-04-23 04:16:29    384,512    -c--a-w    C:\WINDOWS\system32\dllcache\iedkcs32.dll
- 2007-08-13 16:39:10    43,008    -c--a-w    C:\WINDOWS\system32\dllcache\iernonce.dll
+ 2008-04-23 04:16:30    44,544    -c--a-w    C:\WINDOWS\system32\dllcache\iernonce.dll
- 2007-08-13 16:43:56    622,080    -c--a-w    C:\WINDOWS\system32\dllcache\iexplore.exe
+ 2008-04-22 07:40:19    625,664    -c--a-w    C:\WINDOWS\system32\dllcache\iexplore.exe
- 2007-08-13 16:54:10    27,136    -c--a-w    C:\WINDOWS\system32\dllcache\jsproxy.dll
+ 2008-04-23 04:16:30    27,648    -c--a-w    C:\WINDOWS\system32\dllcache\jsproxy.dll
- 2004-11-11 12:00:00    294,400    -c--a-w    C:\WINDOWS\system32\dllcache\msctf.dll
+ 2008-02-26 11:59:49    294,912    -c--a-w    C:\WINDOWS\system32\dllcache\msctf.dll
- 2007-08-13 16:54:12    3,578,368    -c--a-w    C:\WINDOWS\system32\dllcache\mshtml.dll
+ 2008-04-23 20:16:32    3,591,680    -c--a-w    C:\WINDOWS\system32\dllcache\mshtml.dll
- 2007-08-13 16:54:10    475,648    -c--a-w    C:\WINDOWS\system32\dllcache\mshtmled.dll
+ 2008-04-23 04:16:31    478,208    -c--a-w    C:\WINDOWS\system32\dllcache\mshtmled.dll
- 2007-08-13 16:44:26    192,000    -c--a-w    C:\WINDOWS\system32\dllcache\msrating.dll
+ 2008-04-23 04:16:31    193,024    -c--a-w    C:\WINDOWS\system32\dllcache\msrating.dll
- 2007-08-13 16:54:10    670,720    -c--a-w    C:\WINDOWS\system32\dllcache\mstime.dll
+ 2008-04-23 04:16:31    671,232    -c--a-w    C:\WINDOWS\system32\dllcache\mstime.dll
- 2004-11-11 12:00:00    247,296    -c--a-w    C:\WINDOWS\system32\dllcache\mswsock.dll
+ 2008-06-20 17:39:48    247,296    -c--a-w    C:\WINDOWS\system32\dllcache\mswsock.dll
- 2007-08-13 16:44:06    101,376    -c--a-w    C:\WINDOWS\system32\dllcache\occache.dll
+ 2008-04-23 04:16:31    102,912    -c--a-w    C:\WINDOWS\system32\dllcache\occache.dll
- 2007-08-13 16:36:12    44,544    -c--a-w    C:\WINDOWS\system32\dllcache\pngfilt.dll
+ 2008-04-23 04:16:31    44,544    -c--a-w    C:\WINDOWS\system32\dllcache\pngfilt.dll
- 2007-10-30 17:20:55    360,064    -c----w    C:\WINDOWS\system32\dllcache\tcpip.sys
+ 2008-06-20 10:45:13    360,320    -c--a-w    C:\WINDOWS\system32\dllcache\tcpip.sys
- 2006-08-16 09:37:30    225,664    -c--a-w    C:\WINDOWS\system32\dllcache\tcpip6.sys
+ 2008-06-20 09:52:06    225,920    -c--a-w    C:\WINDOWS\system32\dllcache\tcpip6.sys
- 2007-08-13 16:44:30    105,984    -c--a-w    C:\WINDOWS\system32\dllcache\url.dll
+ 2008-04-23 04:16:31    105,984    -c--a-w    C:\WINDOWS\system32\dllcache\url.dll
- 2007-08-13 16:54:10    1,162,240    -c--a-w    C:\WINDOWS\system32\dllcache\urlmon.dll
+ 2008-04-23 04:16:31    1,159,680    -c--a-w    C:\WINDOWS\system32\dllcache\urlmon.dll
- 2007-08-13 16:54:10    765,952    -c--a-w    C:\WINDOWS\system32\dllcache\VGX.dll
+ 2007-07-12 23:30:56    765,952    -c--a-w    C:\WINDOWS\system32\dllcache\vgx.dll
- 2007-08-13 16:54:10    231,424    -c--a-w    C:\WINDOWS\system32\dllcache\webcheck.dll
+ 2008-04-23 04:16:32    233,472    -c--a-w    C:\WINDOWS\system32\dllcache\webcheck.dll
- 2007-08-13 16:54:10    818,688    -c--a-w    C:\WINDOWS\system32\dllcache\wininet.dll
+ 2008-04-23 04:16:32    826,368    -c--a-w    C:\WINDOWS\system32\dllcache\wininet.dll
- 2008-02-20 05:33:54    148,992    ----a-w    C:\WINDOWS\system32\dnsapi.dll
+ 2008-06-20 17:39:48    148,992    ----a-w    C:\WINDOWS\system32\dnsapi.dll
- 2007-08-13 16:35:46    346,624    ----a-w    C:\WINDOWS\system32\dxtmsft.dll
+ 2008-04-23 04:16:29    347,136    ----a-w    C:\WINDOWS\system32\dxtmsft.dll
- 2007-08-13 16:35:38    214,528    ----a-w    C:\WINDOWS\system32\dxtrans.dll
+ 2008-04-23 04:16:29    214,528    ----a-w    C:\WINDOWS\system32\dxtrans.dll
- 2007-08-13 16:54:10    131,584    ----a-w    C:\WINDOWS\system32\extmgr.dll
+ 2008-04-23 04:16:29    133,120    ----a-w    C:\WINDOWS\system32\extmgr.dll
- 2007-08-13 16:36:26    61,952    ------w    C:\WINDOWS\system32\icardie.dll
+ 2008-04-23 04:16:29    63,488    ----a-w    C:\WINDOWS\system32\icardie.dll
- 2007-08-13 16:39:06    54,784    ----a-w    C:\WINDOWS\system32\ie4uinit.exe
+ 2008-04-22 07:39:48    70,656    ----a-w    C:\WINDOWS\system32\ie4uinit.exe
- 2007-08-13 16:39:26    152,064    ----a-w    C:\WINDOWS\system32\ieakeng.dll
+ 2008-04-23 04:16:29    153,088    ----a-w    C:\WINDOWS\system32\ieakeng.dll
- 2007-08-13 16:39:54    229,376    ----a-w    C:\WINDOWS\system32\ieaksie.dll
+ 2008-04-23 04:16:29    230,400    ----a-w    C:\WINDOWS\system32\ieaksie.dll
- 2007-08-13 15:56:54    161,792    ----a-w    C:\WINDOWS\system32\ieakui.dll
+ 2008-04-20 05:07:51    161,792    ----a-w    C:\WINDOWS\system32\ieakui.dll
- 2007-02-12 14:10:12    2,451,312    ------w    C:\WINDOWS\system32\ieapfltr.dat
+ 2007-04-17 09:32:38    2,455,488    ----a-w    C:\WINDOWS\system32\ieapfltr.dat
- 2007-07-11 10:27:48    383,488    ------w    C:\WINDOWS\system32\ieapfltr.dll
+ 2008-04-23 04:16:29    383,488    ----a-w    C:\WINDOWS\system32\ieapfltr.dll
- 2007-08-13 16:39:50    382,976    ----a-w    C:\WINDOWS\system32\iedkcs32.dll
+ 2008-04-23 04:16:29    384,512    ----a-w    C:\WINDOWS\system32\iedkcs32.dll
- 2007-08-13 16:54:10    6,049,280    ------w    C:\WINDOWS\system32\ieframe.dll
+ 2008-04-23 04:16:30    6,066,176    ----a-w    C:\WINDOWS\system32\ieframe.dll
- 2007-08-13 16:39:10    43,008    ----a-w    C:\WINDOWS\system32\iernonce.dll
+ 2008-04-23 04:16:30    44,544    ----a-w    C:\WINDOWS\system32\iernonce.dll
- 2007-08-13 16:34:04    266,752    ------w    C:\WINDOWS\system32\iertutil.dll
+ 2008-04-23 04:16:30    267,776    ----a-w    C:\WINDOWS\system32\iertutil.dll
- 2007-08-13 16:39:10    13,312    ----a-w    C:\WINDOWS\system32\ieudinit.exe
+ 2008-04-22 07:39:58    13,824    ----a-w    C:\WINDOWS\system32\ieudinit.exe
- 2007-08-13 16:54:10    27,136    ----a-w    C:\WINDOWS\system32\jsproxy.dll
+ 2008-04-23 04:16:30    27,648    ----a-w    C:\WINDOWS\system32\jsproxy.dll
- 2004-11-11 12:00:00    294,400    ----a-w    C:\WINDOWS\system32\MSCTF.dll
+ 2008-02-26 11:59:49    294,912    ----a-w    C:\WINDOWS\system32\msctf.dll
- 2007-08-13 16:54:10    458,752    ------w    C:\WINDOWS\system32\msfeeds.dll
+ 2008-04-23 04:16:30    459,264    ----a-w    C:\WINDOWS\system32\msfeeds.dll
- 2007-08-13 16:54:10    50,688    ------w    C:\WINDOWS\system32\msfeedsbs.dll
+ 2008-04-23 04:16:30    52,224    ----a-w    C:\WINDOWS\system32\msfeedsbs.dll
- 2007-08-13 16:54:12    3,578,368    ----a-w    C:\WINDOWS\system32\mshtml.dll
+ 2008-04-23 20:16:32    3,591,680    ----a-w    C:\WINDOWS\system32\mshtml.dll
- 2007-08-13 16:54:10    475,648    ----a-w    C:\WINDOWS\system32\mshtmled.dll
+ 2008-04-23 04:16:31    478,208    ----a-w    C:\WINDOWS\system32\mshtmled.dll
- 2007-08-13 16:44:26    192,000    ----a-w    C:\WINDOWS\system32\msrating.dll
+ 2008-04-23 04:16:31    193,024    ----a-w    C:\WINDOWS\system32\msrating.dll
- 2007-08-13 16:54:10    670,720    ----a-w    C:\WINDOWS\system32\mstime.dll
+ 2008-04-23 04:16:31    671,232    ----a-w    C:\WINDOWS\system32\mstime.dll
- 2007-08-13 16:44:06    101,376    ----a-w    C:\WINDOWS\system32\occache.dll
+ 2008-04-23 04:16:31    102,912    ----a-w    C:\WINDOWS\system32\occache.dll
- 2007-08-13 16:36:12    44,544    ----a-w    C:\WINDOWS\system32\pngfilt.dll
+ 2008-04-23 04:16:31    44,544    ----a-w    C:\WINDOWS\system32\pngfilt.dll
- 2007-11-30 11:18:34    18,808    ------w    C:\WINDOWS\system32\spmsg.dll
+ 2007-11-30 12:39:14    18,808    ------w    C:\WINDOWS\system32\spmsg.dll
- 2007-08-13 16:44:30    105,984    ----a-w    C:\WINDOWS\system32\url.dll
+ 2008-04-23 04:16:31    105,984    ----a-w    C:\WINDOWS\system32\url.dll
- 2007-08-13 16:54:10    1,162,240    ----a-w    C:\WINDOWS\system32\urlmon.dll
+ 2008-04-23 04:16:31    1,159,680    ----a-w    C:\WINDOWS\system32\urlmon.dll
- 2007-08-13 16:54:10    231,424    ----a-w    C:\WINDOWS\system32\webcheck.dll
+ 2008-04-23 04:16:32    233,472    ----a-w    C:\WINDOWS\system32\webcheck.dll
- 2007-08-13 16:54:10    818,688    ----a-w    C:\WINDOWS\system32\wininet.dll
+ 2008-04-23 04:16:32    826,368    ----a-w    C:\WINDOWS\system32\wininet.dll
.
-- Snapshot reset to current date --
.
((((((((((((((((((((((((((((   Autostart Punkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-11-11 14:00 15360]
"NBJ"="C:\Programme\Ahead\Nero BackItUp\NBJ.exe" [2005-06-02 16:03 1957888]
"Noun Hide"="C:\DOKUME~1\ADMINI~1\ANWEND~1\SHOWTH~1\AudioLongPlay.exe" [2008-07-23 20:48 499200]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 18:24 1694208]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"DAEMON Tools"="C:\Programme\DAEMON Tools\daemon.exe" [2006-09-14 22:09 157592]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-06-15 19:57 180269]
"WinampAgent"="C:\Programme\Winamp\winampa.exe" [2008-04-01 20:49 36352]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-11-11 14:00 15360]

C:\Dokumente und Einstellungen\Administrator\Startmen\Programme\Autostart\
OpenOffice.org 2.0.lnk - C:\Programme\OpenOffice.org 2.0\program\quickstart.exe [2006-01-25 18:42:22 61440]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 01:01:04 83360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\geBqQGaX]
 [BU]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=vdjevq.dll mrovnj.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"C:\\Programme\\MSN Messenger\\livecall.exe"=
"C:\\Programme\\SopCast\\SopCast.exe"=
"C:\\Programme\\concept design\\onlineTV 4\\onlineTV.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"C:\\Programme\\SopCast\\adv\\SopAdver.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"16196:TCP"= 16196:TCP:BitComet 16196 TCP
"16196:UDP"= 16196:UDP:BitComet 16196 UDP

R3 es1969;ESS 1969-Audiotreiber (WDM);C:\WINDOWS\system32\drivers\es1969.sys [2001-08-17 13:19]
S3 NtApm;Herkömmlicher NT APM-Schnittstellentreiber;C:\WINDOWS\system32\DRIVERS\NtApm.sys [2001-08-18 05:27]
.
Inhalt des "geplante Tasks" Ordners

2008-08-04 C:\WINDOWS\Tasks\A88B31359188A779.job
- c:\dokume~1\admini~1\anwend~1\showth~1\flap remote less.exe []
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

BHO-{4BBFCA5E-436B-4F71-9243-A031A9F7BC08} - (no file)
BHO-{9a5e4190-14e8-4815-8e2c-f96d56f3de82} - (no file)
BHO-{D187A56B-A33F-4CBE-9D77-459FC0BAE012} - (no file)
BHO-{F3B4D49E-F263-4E0C-8387-7DE7B11EAB30} - (no file)
Toolbar-{4F11ACBB-393F-4C86-A214-FF3D0D155CC3} - (no file)
WebBrowser-{4F11ACBB-393F-4C86-A214-FF3D0D155CC3} - (no file)


.
------- Zusätzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\l9cyhe4m.default\
FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FireFox -: prefs.js - STARTUP.HOMEPAGE - about:blank


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-04 23:32:58
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

Prozess: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\vdjevq.dll

Prozess: C:\WINDOWS\system32\lsass.exe
-> C:\WINDOWS\system32\vdjevq.dll
.
Zeit der Fertigstellung: 2008-08-04 23:38:23
ComboFix-quarantined-files.txt  2008-08-04 21:38:16
ComboFix2.txt  2008-08-04 12:19:59

Pre-Run: 1,417,883,648 Bytes frei
Post-Run: 1,417,347,072 Bytes frei

336    --- E O F ---    2008-08-04 14:15:18 

Taranis 06.08.2008 07:24
Hallo captn future,

Laut deinem ersten Hijackthis-Logfile läuft der Teatimer bei dir. Dieser behindert die Bereinigung, weil er Änderungen an der Registry (hier: das löschen schädlicher Einträge) verhindert.
Schalte ihn also aus.

Poste dann bitte nochmal ein aktuelles Hijackthis-Log und lass den Deckard System Scanner laufen.

dss.exe

1. Sämtliche offenen Fenster und Programme schließen
2. Doppelklick auf das Icon
3. Wenn der Scan beendet ist erscheinen zwei Logfiles, main.txt und extra.txt. (letzeres minimiert in der Taskleiste)

Kopiere die beiden Logfiles und stelle sie hier rein

LG
Taranis

captn future 06.08.2008 07:53
hallo teranis,danke für den post.

teatimer istdoch das vm spybot oder?den habe ich vor paar tagen wieder deinstalliert weil ich andere schutzprogramme ausprobiert habe und es zu viele wurden.sollte also schon weg sein...
dss mache ich jetzt.hier habe ich über nacht noch kaspersky runtergeladen und laufen lassen.kann man die dateien die kaspersky als infiziert ausgibt nicht manuell löschen?ich habe sie ja nun sichtbar gemacht...

HTML-Code:
-------------------------------------------------------------------------------
 PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
 Mittwoch, 6. August 2008 08:08:25
 Betriebssystem: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
 Version von Kaspersky Online Scanner: 5.0.98.1
 Letztes Update der Antiviren-Datenbanken:  5/08/2008
 Anzahl der Einträge in den Antiviren-Datenbanken: 939833
-------------------------------------------------------------------------------

Scan-Einstellungen:
        Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Standard
        Archive untersuchen: ja
        Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Arbeitsplatz:
        A:\
        C:\
        D:\
        E:\

Untersuchungsergebnisse:
        Untersuchte Objekte insgesamt: 41576
        Viren gefunden: 2
        Infizierte Objekte gefunden: 13
        Verdächtige Objekte gefunden: 0
        Untersuchungszeit: 04:51:19

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Show that\AudioLongPlay.exe        Infizierte Objekte: Trojan.Win32.Obfuscated.gen        übersprungen
C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Show that\cvpbfzre.exe        Infizierte Objekte: Trojan.Win32.Obfuscated.gen        übersprungen
C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Show that\eugxeagd.exe        Infizierte Objekte: Packed.Win32.PolyCrypt.d        übersprungen
C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Show that\jnixtrpr.exe        Infizierte Objekte: Trojan.Win32.Obfuscated.gen        übersprungen
C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Show that\orryuxhc.exe        Infizierte Objekte: Trojan.Win32.Obfuscated.gen        übersprungen
C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Show that\pgwfxkfq.exe        Infizierte Objekte: Trojan.Win32.Obfuscated.gen        übersprungen
C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Show that\pvywozzy.exe        Infizierte Objekte: Trojan.Win32.Obfuscated.gen        übersprungen
C:\Dokumente und Einstellungen\xxx\Cookies\index.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\Microsoft\Feeds Cache\index.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Verlauf\History.IE5\index.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen xxxx\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008080620080807\index.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Administrator\NTUSER.DAT        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\xxx\ntuser.dat.LOG        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\The Rdr User Defy\default grid.exe        Infizierte Objekte: Trojan.Win32.Obfuscated.gen        übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\The Rdr User Defy\error manager.exe        Infizierte Objekte: Trojan.Win32.Obfuscated.gen        übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\The Rdr User Defy\gpl poll.exe        Infizierte Objekte: Trojan.Win32.Obfuscated.gen        übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\The Rdr User Defy\Mfcd internet.exe        Infizierte Objekte: Trojan.Win32.Obfuscated.gen        übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\The Rdr User Defy\Multi new.exe        Infizierte Objekte: Trojan.Win32.Obfuscated.gen        übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Thisbodysoappure\dupegrim.exe        Infizierte Objekte: Packed.Win32.PolyCrypt.d        übersprungen
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG        Das Objekt ist gesperrt        übersprungen
C:\System Volume Information\MountPointManagerRemoteDatabase        Das Objekt ist gesperrt        übersprungen
C:\System Volume Information\_restore{4111560F-C45B-4F5B-BDC9-9A9D5E65B6B2}\RP623\change.log        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\Debug\PASSWD.LOG        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\SchedLgU.Txt        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\Sti_Trace.log        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\config\default        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\config\default.LOG        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\config\Internet.evt        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\config\SAM        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\config\SAM.LOG        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\config\SECURITY        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\config\software        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\config\software.LOG        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\config\system        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\config\system.LOG        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\h323log.txt        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\wiadebug.log        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\wiaservc.log        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\WindowsUpdate.log        Das Objekt ist gesperrt        übersprungen

Die Untersuchung wurde abgeschlossen.

captn future 06.08.2008 08:40
HTML-Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:02:29, on 06.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\OpenOffice.org 2.0\program\soffice.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\OpenOffice.org 2.0\program\soffice.BIN
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: (no name) -  - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: (no name) - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - (no file)
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [Noun Hide] C:\DOKUME~1\ADMINI~1\ANWEND~1\SHOWTH~1\AudioLongPlay.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Programme\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - https://stream.web.de/mail/activex/mail_upload_11213.cab
O20 - AppInit_DLLs: vdjevq.dll mrovnj.dll
O20 - Winlogon Notify: geBqQGaX - C:\WINDOWS\
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe

--
End of file - 5484 bytes

captn future 06.08.2008 08:42
HTML-Code:
Deckard's System Scanner v20071014.68
Run by Administrator on 2008-08-06 09:04:07
Computer is in Normal Mode.
--------------------------------------------------------------------------------

-- System Restore --------------------------------------------------------------

Successfully created a Deckard's System Scanner Restore Point.


-- Last 5 Restore Point(s) --
15: 2008-08-06 07:04:47 UTC - RP624 - Deckard's System Scanner Restore Point
14: 2008-08-04 14:10:47 UTC - RP623 - Software Distribution Service 3.0
13: 2008-08-04 13:23:02 UTC - RP622 - Software Distribution Service 3.0
12: 2008-08-04 12:04:19 UTC - RP621 - ComboFix created restore point
11: 2008-08-03 17:35:07 UTC - RP620 - Systemprüfpunkt


-- First Restore Point --
1: 2008-07-28 19:20:08 UTC - RP610 - Avira AntiVir Personal - 28.07.2008 21:19


Backed up registry hives.
Performed disk cleanup.

[color=red]Total Physical Memory: 192 MiB (512 MiB recommended).[/color]
[color=red]System Drive C: has 1.15 GiB (less than 15%) free.[/color]


-- HijackThis (run as Administrator.exe) ---------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:07:27, on 06.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\OpenOffice.org 2.0\program\soffice.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\OpenOffice.org 2.0\program\soffice.BIN
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\dss.exe
C:\PROGRA~1\TRENDM~1\HIJACK~1\Administrator.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: (no name) -  - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: (no name) - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - (no file)
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [Noun Hide] C:\DOKUME~1\ADMINI~1\ANWEND~1\SHOWTH~1\AudioLongPlay.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Programme\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - https://stream.web.de/mail/activex/mail_upload_11213.cab
O20 - AppInit_DLLs: vdjevq.dll mrovnj.dll
O20 - Winlogon Notify: geBqQGaX - C:\WINDOWS\
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe

--
End of file - 5576 bytes

-- File Associations -----------------------------------------------------------

[COLOR=red].reg - regfile - shell\open\command - regedit.exe "%1" %*[/COLOR]
[COLOR=red].scr - scrfile - shell\open\command - "%1" %*[/COLOR]


-- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled ---------------------

R1 ssmdrv - c:\windows\system32\drivers\ssmdrv.sys <Not Verified; AVIRA GmbH; >

S0 sptd - c:\windows\system32\drivers\sptd.sys (file missing)


-- Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled --------------------

R2 AntiVirScheduler (Avira AntiVir Personal – Free Antivirus Planer) - "c:\programme\avira\antivir personaledition classic\sched.exe" <Not Verified; Avira GmbH; AntiVir Workstation>
R2 Bonjour Service (Bonjour-Dienst) - c:\programme\bonjour\mdnsresponder.exe <Not Verified; Apple Inc.; Bonjour>


-- Device Manager: Disabled ----------------------------------------------------

Class GUID: {D45B1C18-C8FA-11D1-9F77-0000F805F530}
Description: Herkömmlicher NT APM-Schnittstellenknoten
Device ID: ROOT\NTAPM\0000
Manufacturer: Microsoft
Name: Herkömmlicher NT APM-Schnittstellenknoten
PNP Device ID: ROOT\NTAPM\0000
Service: NtApm


-- Scheduled Tasks -------------------------------------------------------------

2008-08-06 09:00:02      290 --ah----- C:\WINDOWS\Tasks\A88B31359188A779.job


-- Files created between 2008-07-06 and 2008-08-06 -----------------------------

2008-08-05 22:51:32        0 d-------- C:\WINDOWS\system32\Kaspersky Lab
2008-08-04 22:52:54        0 d-------- C:\Programme\CCleaner
2008-08-04 14:02:18    68096 --a------ C:\WINDOWS\zip.exe
2008-08-04 14:02:18    49152 --a------ C:\WINDOWS\VFind.exe
2008-08-04 14:02:18    212480 --a------ C:\WINDOWS\swxcacls.exe <Not Verified; SteelWerX; SteelWerX Extended Configurator ACLists>
2008-08-04 14:02:18    136704 --a------ C:\WINDOWS\swsc.exe <Not Verified; SteelWerX; SteelWerX Service Controller>
2008-08-04 14:02:18    161792 --a------ C:\WINDOWS\swreg.exe <Not Verified; SteelWerX; SteelWerX Registry Editor>
2008-08-04 14:02:18    98816 --a------ C:\WINDOWS\sed.exe
2008-08-04 14:02:18    80412 --a------ C:\WINDOWS\grep.exe
2008-08-04 14:02:18    89504 --a------ C:\WINDOWS\fdsv.exe <Not Verified; Smallfrogs Studio; >
2008-08-02 22:02:07        0 d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-08-02 21:23:48    91648 --a------ C:\WINDOWS\system32\olgmmnbh.dll
2008-08-02 18:27:51        0 d-------- C:\52b642604ea6cd2c63ac1c
2008-08-02 18:22:34        0 d-------- C:\1b58c85c19a9ef0ff6e039d7
2008-08-02 18:12:41        0 d-------- C:\Programme\Trend Micro
2008-08-02 18:01:15        0 d-------- C:\WINDOWS\system32\de-de
2008-08-01 21:21:07    114176 --a------ C:\WINDOWS\system32\vdjevq.dll
2008-08-01 21:20:53    114176 --a------ C:\WINDOWS\system32\jpsoiyjx.dll
2008-08-01 02:07:43        0 d-------- C:\Programme\a-squared Anti-Malware
2008-07-31 21:20:55    105472 --a------ C:\WINDOWS\system32\ppxuwx.dll
2008-07-31 21:20:47    105472 --a------ C:\WINDOWS\system32\jjivlheg.dll
2008-07-31 21:17:52    91648 --a------ C:\WINDOWS\system32\nftskmax.dll
2008-07-30 21:17:35    105472 --a------ C:\WINDOWS\system32\slwdyl.dll
2008-07-30 21:17:29    105472 --a------ C:\WINDOWS\system32\qiuppcww.dll
2008-07-29 21:16:11    105472 --a------ C:\WINDOWS\system32\riyylh.dll
2008-07-29 21:16:06    105472 --a------ C:\WINDOWS\system32\yftywsac.dll
2008-07-29 20:27:53    105472 --a------ C:\WINDOWS\system32\adfqzs.dll
2008-07-29 20:27:50    105472 --a------ C:\WINDOWS\system32\wppohfbt.dll
2008-07-29 20:25:22    91648 --a------ C:\WINDOWS\system32\hglnitqs.dll
2008-07-29 20:05:52    105472 --a------ C:\WINDOWS\system32\qvjdrv.dll
2008-07-29 20:05:41    105472 --a------ C:\WINDOWS\system32\dkseqcey.dll
2008-07-29 20:03:36    91648 --a------ C:\WINDOWS\system32\tsvmaudv.dll
2008-07-28 19:58:38    105472 --a------ C:\WINDOWS\system32\fxradx.dll
2008-07-28 19:58:37    105472 --a------ C:\WINDOWS\system32\glmltprl.dll
2008-07-27 00:02:56    105472 --a------ C:\WINDOWS\system32\ksllkv.dll
2008-07-27 00:02:50    105472 --a------ C:\WINDOWS\system32\xflikinb.dll
2008-07-26 23:59:45    91648 --a------ C:\WINDOWS\system32\tglmqrxe.dll
2008-07-25 22:39:04    105472 --a------ C:\WINDOWS\system32\unnysc.dll
2008-07-25 22:39:00    105472 --a------ C:\WINDOWS\system32\singydwg.dll
2008-07-24 22:36:06    105472 --a------ C:\WINDOWS\system32\lkpygl.dll
2008-07-24 22:36:05    105472 --a------ C:\WINDOWS\system32\vnxpawau.dll
2008-07-24 22:35:08    91648 --a------ C:\WINDOWS\system32\dpgenlbe.dll
2008-07-23 20:49:32        0 d-------- C:\Programme\Show that
2008-07-14 22:21:39        0 d-------- C:\Programme\ICQ6Toolbar
2008-07-14 22:16:48        0 d-------- C:\Programme\ICQ6


-- Find3M Report ---------------------------------------------------------------

2008-08-06 08:31:19        0 d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Show that
2008-08-06 08:15:28        0 d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\OpenOffice.org2
2008-08-04 23:30:54        0 d-------- C:\Programme\Gemeinsame Dateien
2008-08-02 22:03:08        0 d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2008-08-01 18:39:21        0 d-------- C:\Programme\Macrogaming
2008-08-01 18:39:15        0 d-------- C:\Programme\DAEMON Tools
2008-07-28 21:21:35        0 d-------- C:\Programme\Avira
2008-07-26 11:34:07        0 d-------- C:\Programme\BearShare
2008-07-25 22:42:46        0 d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Lavasoft
2008-07-25 17:05:17      3518 --a------ C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\wklnhst.dat
2008-07-24 01:02:03        0 d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla
2008-07-14 22:24:45        0 d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ICQ
2008-07-14 22:24:16        0 d--h----- C:\Programme\InstallShield Installation Information
2008-06-18 00:44:29      1632 --a------ C:\WINDOWS\system32\d3d8caps.dat
2008-06-18 00:44:19      1744 --a------ C:\WINDOWS\system32\d3d9caps.dat
2008-05-30 18:55:26    232075 --a------ C:\WINDOWS\Burn4Free_Toolbar_Uninstaller_9471.exe <Not Verified; Burn4Free; Burn4Free CD and DVD>
2008-05-30 15:12:31    232077 --a------ C:\WINDOWS\Burn4Free_Toolbar_Uninstaller_1869.exe <Not Verified; Burn4Free; Burn4Free CD and DVD>
2008-05-08 20:51:46    33224 --a------ C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\GDIPFONTCACHEV1.DAT


-- Registry Dump ---------------------------------------------------------------

*Note* empty entries & legit default entries are not shown


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [09.07.2001 11:50]
"DAEMON Tools"="C:\Programme\DAEMON Tools\daemon.exe" [14.09.2006 22:09]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [22.02.2008 04:25]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [15.06.2007 19:57]
"WinampAgent"="C:\Programme\Winamp\winampa.exe" [01.04.2008 20:49]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [12.02.2008 10:06]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [11.11.2004 14:00]
"NBJ"="C:\Programme\Ahead\Nero BackItUp\NBJ.exe" [02.06.2005 16:03]
"Noun Hide"="C:\DOKUME~1\ADMINI~1\ANWEND~1\SHOWTH~1\AudioLongPlay.exe" []
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [13.10.2004 18:24]

C:\Dokumente und Einstellungen\Administrator\Startmen\Programme\Autostart\
OpenOffice.org 2.0.lnk - C:\Programme\OpenOffice.org 2.0\program\quickstart.exe [25.01.2006 18:42:22]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [13.02.2001 01:01:04]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"DisableRegistryTools"=0 (0x0)
"HideLegacyLogonScripts"=0 (0x0)
"HideLogoffScripts"=0 (0x0)
"RunLogonScriptSync"=1 (0x1)
"RunStartupScriptSync"=0 (0x0)
"HideStartupScripts"=0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"HideLegacyLogonScripts"=0 (0x0)
"HideLogoffScripts"=0 (0x0)
"RunLogonScriptSync"=1 (0x1)
"RunStartupScriptSync"=0 (0x0)
"HideStartupScripts"=0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\geBqQGaX]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"appinit_dlls"=vdjevq.dll mrovnj.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders        msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll,




-- Hosts -----------------------------------------------------------------------

127.0.0.1 bin.errorprotector.com ## added by CiD
127.0.0.1 br.errorsafe.com ## added by CiD
127.0.0.1 br.winantivirus.com ## added by CiD
127.0.0.1 br.winfixer.com ## added by CiD
127.0.0.1 de.errorsafe.com ## added by CiD
127.0.0.1 de.winantivirus.com ## added by CiD
127.0.0.1 download.cdn.winsoftware.com ## added by CiD
127.0.0.1 download.errorsafe.com ## added by CiD
127.0.0.1 download.systemdoctor.com ## added by CiD
127.0.0.1 download.winantispyware.com ## added by CiD

8851 more entries in hosts file.


-- End of Deckard's System Scanner: finished at 2008-08-06 09:12:23 ------------

captn future 06.08.2008 08:45
teil 1 extra.txt

HTML-Code:
Deckard's System Scanner v20071014.68
Extra logfile - please post this as an attachment with your post.
--------------------------------------------------------------------------------

-- System Information ----------------------------------------------------------

Microsoft Windows XP Professional (build 2600) SP 2.0
Architecture: X86; Language: German

CPU 0: Intel Pentium III-Prozessor
Percentage of Memory in Use: 74%
Physical Memory (total/avail): 191.49 MiB / 47.94 MiB
Pagefile Memory (total/avail): 529.85 MiB / 101.95 MiB
Virtual Memory (total/avail): 2047.88 MiB / 1935.16 MiB

A: is Removable (No Media)
C: is Fixed (NTFS) - 8.53 GiB total, 1.15 GiB free.
D: is CDROM (No Media)
E: is CDROM (No Media)

\\.\PHYSICALDRIVE0 - IBM DNES-309170 SCSI Disk Device - 8.54 GiB - 1 partition
  \PARTITION0 (bootable) - Installierbares Dateisystem - 8.53 GiB - C:



-- Security Center -------------------------------------------------------------

AUOptions is scheduled to auto-install.
Windows Internal Firewall is enabled.

FirstRunDisabled is set.

AV: Avira AntiVir PersonalEdition v8.0.1.15 (Avira GmbH) [COLOR=RED]Disabled[/COLOR]

[HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\MSN Messenger\\msncall.exe"="C:\\Programme\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"
"C:\\Programme\\concept design\\onlineTV 3\\onlineTV.exe"="C:\\Programme\\concept design\\onlineTV 3\\onlineTV.exe:*:Enabled:onlineTV"
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Programme\\MSN Messenger\\livecall.exe"="C:\\Programme\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"C:\\Programme\\concept design\\onlineTV 4\\onlineTV.exe"="C:\\Programme\\concept design\\onlineTV 4\\onlineTV.exe:*:Enabled:onlineTV"

[HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Programme\\MSN Messenger\\livecall.exe"="C:\\Programme\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"C:\\Programme\\SopCast\\SopCast.exe"="C:\\Programme\\SopCast\\SopCast.exe:*:Enabled:SopCast Main Application"
"C:\\Programme\\concept design\\onlineTV 4\\onlineTV.exe"="C:\\Programme\\concept design\\onlineTV 4\\onlineTV.exe:*:Enabled:onlineTV"
"C:\\Programme\\Bonjour\\mDNSResponder.exe"="C:\\Programme\\Bonjour\\mDNSResponder.exe:*:Enabled:Bonjour"
"C:\\Programme\\SopCast\\adv\\SopAdver.exe"="C:\\Programme\\SopCast\\adv\\SopAdver.exe:*:Enabled:SopCast Adver"
"C:\\Programme\\ICQ6\\ICQ.exe"="C:\\Programme\\ICQ6\\ICQ.exe:*:Enabled:ICQ6"
"C:\\Programme\\Internet Explorer\\iexplore.exe"="C:\\Programme\\Internet Explorer\\iexplore.exe:*:Enabled:Internet Explorer"


-- Environment Variables -------------------------------------------------------

ALLUSERSPROFILE=C:\Dokumente und Einstellungen\All Users
APPDATA=C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
CLIENTNAME=Console
CommonProgramFiles=C:\Programme\Gemeinsame Dateien
COMPUTERNAME=HOMEPC
ComSpec=C:\WINDOWS\system32\cmd.exe
FP_NO_HOST_CHECK=NO
HOMEDRIVE=C:
HOMEPATH=\Dokumente und Einstellungen\Administrator
LOGONSERVER=\\HOMEPC
NUMBER_OF_PROCESSORS=1
OS=Windows_NT
Path=C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\system32\wbem;C:\Programme\ESTsoft\ALZip;C:\Programme\ESTsoft\ALZip\
PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
PROCESSOR_ARCHITECTURE=x86
PROCESSOR_IDENTIFIER=x86 Family 6 Model 7 Stepping 3, GenuineIntel
PROCESSOR_LEVEL=6
PROCESSOR_REVISION=0703
ProgramFiles=C:\Programme
PROMPT=$P$G
SESSIONNAME=Console
SystemDrive=C:
SystemRoot=C:\WINDOWS
TEMP=C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp
TMP=C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp
USERDOMAIN=HOMEPC
USERNAME=Administrator
USERPROFILE=C:\Dokumente und Einstellungen\Administrator
windir=C:\WINDOWS
__COMPAT_LAYER=EnableNXShowUI


-- User Profiles ---------------------------------------------------------------

Administrator [I](admin)[/I]


-- Add/Remove Programs ---------------------------------------------------------

 --> C:\Programme\Gemeinsame Dateien\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
 --> C:\WINDOWS\UNNeroVision.exe /UNINSTALL
 --> rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
Adobe Flash Player ActiveX --> C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Avira AntiVir Personal – Free Antivirus --> C:\Programme\Avira\AntiVir PersonalEdition Classic\SETUP.EXE /REMOVE
BEWERBUNGS-MASTER --> C:\WINDOWS\st6unst.exe -n "C:\Programme\BEWERBUNGS-MASTER\ST6UNST.LOG" 
Bonjour --> MsiExec.exe /I{47BF1BD6-DCAC-468F-A0AD-E5DECC2211C3}
CCleaner (remove only) --> "C:\Programme\CCleaner\uninst.exe"
CiD Help --> C:\DOKUME~1\ADMINI~1\ANWEND~1\SHOWTH~1\AudioLongPlay.exe -uninstall
concept/design onlineTV 4 --> "C:\Programme\concept design\onlineTV 4\unins000.exe"
Google Earth --> MsiExec.exe /I{1E04F83B-2AB9-4301-9EF7-E86307F79C72}
HijackThis 2.0.2 --> "C:\Programme\Trend Micro\HijackThis\HijackThis.exe" /uninstall
Hotfix for Windows Media Format 11 SDK (KB929399) --> "C:\WINDOWS\$NtUninstallKB929399$\spuninst\spuninst.exe"
ICQ6 --> "C:\Programme\InstallShield Installation Information\{60DE4033-9503-48D1-A483-7846BD217CA9}\setup.exe" -runfromtemp -l0x0009 -removeonly
J2SE Runtime Environment 5.0 Update 10 --> MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150100}
Java(TM) 6 Update 5 --> MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160050}
Kaspersky Online Scanner --> C:\WINDOWS\system32\Kaspersky Lab\Kaspersky Online Scanner\kavuninstall.exe
Malwarebytes' Anti-Malware --> "C:\Programme\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft Compression Client Pack 1.0 for Windows XP --> "C:\WINDOWS\$NtUninstallMSCompPackV1$\spuninst\spuninst.exe"
Microsoft User-Mode Driver Framework Feature Pack 1.0 --> "C:\WINDOWS\$NtUninstallWudf01000$\spuninst\spuninst.exe"
Microsoft Word 2002 --> MsiExec.exe /I{911B0407-6000-11D3-8CFE-0050048383C9}
Microsoft Works --> MsiExec.exe /I{4EA2F95F-A537-4d17-9E7F-6B3FF8D9BBE3}
Microsoft Works Suite-Add-Ins für Microsoft Word --> MsiExec.exe /I{90F1DDBF-0C56-44B0-A920-72CC90C51565}
Mozilla Firefox (3.0.1) --> C:\Programme\Mozilla Firefox\uninstall\helper.exe
MSN Toolbar --> C:\Programme\MSN Apps\MSN Toolbar\01.02.5000.1021\de\mtbs.exe c
Nero OEM --> C:\Programme\Ahead\nero\uninstall\UNNERO.exe /UNINSTALL
Nero Suite --> C:\Programme\Gemeinsame Dateien\Nero\Uninstall\Setup.exe /uninstall ExtraUninstallID=""
OpenOffice.org 2.0 --> MsiExec.exe /I{21E90952-11F1-4473-9D6C-2EE09BCB10C3}
RealPlayer --> C:\Programme\Gemeinsame Dateien\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
Setup-Start von Microsoft Works Suite 2006 --> C:\Programme\Microsoft Works Suite 2006\Setup\Launcher.exe /ARP D:\
Sicherheitsupdate für Windows XP (KB890046) --> "C:\WINDOWS\$NtUninstallKB890046$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB893756) --> "C:\WINDOWS\$NtUninstallKB893756$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB896358) --> "C:\WINDOWS\$NtUninstallKB896358$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB896422) --> "C:\WINDOWS\$NtUninstallKB896422$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB896423) --> "C:\WINDOWS\$NtUninstallKB896423$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB896424) --> "C:\WINDOWS\$NtUninstallKB896424$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB896428) --> "C:\WINDOWS\$NtUninstallKB896428$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB899587) --> "C:\WINDOWS\$NtUninstallKB899587$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB899589) --> "C:\WINDOWS\$NtUninstallKB899589$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB899591) --> "C:\WINDOWS\$NtUninstallKB899591$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB900725) --> "C:\WINDOWS\$NtUninstallKB900725$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB901017) --> "C:\WINDOWS\$NtUninstallKB901017$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB901214) --> "C:\WINDOWS\$NtUninstallKB901214$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB902400) --> "C:\WINDOWS\$NtUninstallKB902400$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB904706) --> "C:\WINDOWS\$NtUninstallKB904706$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB905414) --> "C:\WINDOWS\$NtUninstallKB905414$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB905749) --> "C:\WINDOWS\$NtUninstallKB905749$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB908519) --> "C:\WINDOWS\$NtUninstallKB908519$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB908531) --> "C:\WINDOWS\$NtUninstallKB908531$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB911280) --> "C:\WINDOWS\$NtUninstallKB911280$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB911562) --> "C:\WINDOWS\$NtUninstallKB911562$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB911567) --> "C:\WINDOWS\$NtUninstallKB911567$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB911927) --> "C:\WINDOWS\$NtUninstallKB911927$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB912812) --> "C:\WINDOWS\$NtUninstallKB912812$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB912919) --> "C:\WINDOWS\$NtUninstallKB912919$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB913446) --> "C:\WINDOWS\$NtUninstallKB913446$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB913580) --> "C:\WINDOWS\$NtUninstallKB913580$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB914388) --> "C:\WINDOWS\$NtUninstallKB914388$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB914389) --> "C:\WINDOWS\$NtUninstallKB914389$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB916281) --> "C:\WINDOWS\$NtUninstallKB916281$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB917159) --> "C:\WINDOWS\$NtUninstallKB917159$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB917344) --> "C:\WINDOWS\$NtUninstallKB917344$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB917422) --> "C:\WINDOWS\$NtUninstallKB917422$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB917953) --> "C:\WINDOWS\$NtUninstallKB917953$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB918118) --> "C:\WINDOWS\$NtUninstallKB918118$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB918439) --> "C:\WINDOWS\$NtUninstallKB918439$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB918899) --> "C:\WINDOWS\$NtUninstallKB918899$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB919007) --> "C:\WINDOWS\$NtUninstallKB919007$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB920213) --> "C:\WINDOWS\$NtUninstallKB920213$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB920214) --> "C:\WINDOWS\$NtUninstallKB920214$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB920670) --> "C:\WINDOWS\$NtUninstallKB920670$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB920683) --> "C:\WINDOWS\$NtUninstallKB920683$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB920685) --> "C:\WINDOWS\$NtUninstallKB920685$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB921398) --> "C:\WINDOWS\$NtUninstallKB921398$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB921503) --> "C:\WINDOWS\$NtUninstallKB921503$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB921883) --> "C:\WINDOWS\$NtUninstallKB921883$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB922616) --> "C:\WINDOWS\$NtUninstallKB922616$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB922760) --> "C:\WINDOWS\$NtUninstallKB922760$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB922819) --> "C:\WINDOWS\$NtUninstallKB922819$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923191) --> "C:\WINDOWS\$NtUninstallKB923191$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923414) --> "C:\WINDOWS\$NtUninstallKB923414$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923689) --> "C:\WINDOWS\$NtUninstallKB923689$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923694) --> "C:\WINDOWS\$NtUninstallKB923694$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923980) --> "C:\WINDOWS\$NtUninstallKB923980$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB924191) --> "C:\WINDOWS\$NtUninstallKB924191$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB924270) --> "C:\WINDOWS\$NtUninstallKB924270$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB924496) --> "C:\WINDOWS\$NtUninstallKB924496$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB924667) --> "C:\WINDOWS\$NtUninstallKB924667$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB925454) --> "C:\WINDOWS\$NtUninstallKB925454$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB925486) --> "C:\WINDOWS\$NtUninstallKB925486$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB925902) --> "C:\WINDOWS\$NtUninstallKB925902$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB926255) --> "C:\WINDOWS\$NtUninstallKB926255$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB926436) --> "C:\WINDOWS\$NtUninstallKB926436$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB927779) --> "C:\WINDOWS\$NtUninstallKB927779$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB927802) --> "C:\WINDOWS\$NtUninstallKB927802$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB928090) --> "C:\WINDOWS\$NtUninstallKB928090$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB928255) --> "C:\WINDOWS\$NtUninstallKB928255$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB928843) --> "C:\WINDOWS\$NtUninstallKB928843$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB929123) --> "C:\WINDOWS\$NtUninstallKB929123$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB929969) --> "C:\WINDOWS\$NtUninstallKB929969$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB930178) --> "C:\WINDOWS\$NtUninstallKB930178$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB931261) --> "C:\WINDOWS\$NtUninstallKB931261$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB931768) --> "C:\WINDOWS\$NtUninstallKB931768$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB931784) --> "C:\WINDOWS\$NtUninstallKB931784$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB932168) --> "C:\WINDOWS\$NtUninstallKB932168$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB933566) --> "C:\WINDOWS\$NtUninstallKB933566$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB933729) --> "C:\WINDOWS\$NtUninstallKB933729$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB935839) --> "C:\WINDOWS\$NtUninstallKB935839$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB935840) --> "C:\WINDOWS\$NtUninstallKB935840$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB936021) --> "C:\WINDOWS\$NtUninstallKB936021$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB937143) --> "C:\WINDOWS\$NtUninstallKB937143$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB937894) --> "C:\WINDOWS\$NtUninstallKB937894$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB938127) --> "C:\WINDOWS\$NtUninstallKB938127$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB938829) --> "C:\WINDOWS\$NtUninstallKB938829$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB939653) --> "C:\WINDOWS\$NtUninstallKB939653$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB941202) --> "C:\WINDOWS\$NtUninstallKB941202$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB941568) --> "C:\WINDOWS\$NtUninstallKB941568$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB941569) --> "C:\WINDOWS\$NtUninstallKB941569$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB941644) --> "C:\WINDOWS\$NtUninstallKB941644$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB941693) --> "C:\WINDOWS\$NtUninstallKB941693$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB942615) --> "C:\WINDOWS\$NtUninstallKB942615$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB943055) --> "C:\WINDOWS\$NtUninstallKB943055$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB943460) --> "C:\WINDOWS\$NtUninstallKB943460$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB943485) --> "C:\WINDOWS\$NtUninstallKB943485$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB944338) --> "C:\WINDOWS\$NtUninstallKB944338$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB944533) --> "C:\WINDOWS\$NtUninstallKB944533$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB944653) --> "C:\WINDOWS\$NtUninstallKB944653$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB945553) --> "C:\WINDOWS\$NtUninstallKB945553$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB946026) --> "C:\WINDOWS\$NtUninstallKB946026$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB947864) --> "C:\WINDOWS\$NtUninstallKB947864$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB948590) --> "C:\WINDOWS\$NtUninstallKB948590$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB948881) --> "C:\WINDOWS\$NtUninstallKB948881$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950749) --> "C:\WINDOWS\$NtUninstallKB950749$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950759) --> "C:\WINDOWS\$NtUninstallKB950759$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950760) --> "C:\WINDOWS\$NtUninstallKB950760$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950762) --> "C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951376-v2) --> "C:\WINDOWS\$NtUninstallKB951376-v2$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951376) --> "C:\WINDOWS\$NtUninstallKB951376$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951698) --> "C:\WINDOWS\$NtUninstallKB951698$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951748) --> "C:\WINDOWS\$NtUninstallKB951748$\spuninst\spuninst.exe"
SopCast 3.0.3 --> C:\Programme\SopCast\uninst.exe
SweetIM For Internet Explorer 1.0a --> MsiExec.exe /X{BBB1528C-2F8C-4526-9C8E-699F17AF21CA}
Update für Windows XP (KB894391) --> "C:\WINDOWS\$NtUninstallKB894391$\spuninst\spuninst.exe"
Update für Windows XP (KB898461) --> "C:\WINDOWS\$NtUninstallKB898461$\spuninst\spuninst.exe"
Update für Windows XP (KB900485) --> "C:\WINDOWS\$NtUninstallKB900485$\spuninst\spuninst.exe"
Update für Windows XP (KB910437) --> "C:\WINDOWS\$NtUninstallKB910437$\spuninst\spuninst.exe"
Update für Windows XP (KB916595) --> "C:\WINDOWS\$NtUninstallKB916595$\spuninst\spuninst.exe"
Update für Windows XP (KB920872) --> "C:\WINDOWS\$NtUninstallKB920872$\spuninst\spuninst.exe"
Update für Windows XP (KB922582) --> "C:\WINDOWS\$NtUninstallKB922582$\spuninst\spuninst.exe"
Update für Windows XP (KB927891) --> "C:\WINDOWS\$NtUninstallKB927891$\spuninst\spuninst.exe"
Update für Windows XP (KB929338) --> "C:\WINDOWS\$NtUninstallKB929338$\spuninst\spuninst.exe"
Update für Windows XP (KB930916) --> "C:\WINDOWS\$NtUninstallKB930916$\spuninst\spuninst.exe"
Update für Windows XP (KB931836) --> "C:\WINDOWS\$NtUninstallKB931836$\spuninst\spuninst.exe"
Update für Windows XP (KB932823-v3) --> "C:\WINDOWS\$NtUninstallKB932823-v3$\spuninst\spuninst.exe"
Update für Windows XP (KB933360) --> "C:\WINDOWS\$NtUninstallKB933360$\spuninst\spuninst.exe"
Update für Windows XP (KB936357) --> "C:\WINDOWS\$NtUninstallKB936357$\spuninst\spuninst.exe"
Update für Windows XP (KB938828) --> "C:\WINDOWS\$NtUninstallKB938828$\spuninst\spuninst.exe"
Update für Windows XP (KB942763) --> "C:\WINDOWS\$NtUninstallKB942763$\spuninst\spuninst.exe"
Update für Windows XP (KB942840) --> "C:\WINDOWS\$NtUninstallKB942840$\spuninst\spuninst.exe"
Update für Windows XP (KB946627) --> "C:\WINDOWS\$NtUninstallKB946627$\spuninst\spuninst.exe"
Winamp --> "C:\Programme\Winamp\UninstWA.exe"
Windows Live Messenger --> MsiExec.exe /I{279DB581-239C-4E13-97F8-0F48E40BE75C}
Windows Live Sign-in Assistant --> MsiExec.exe /I{22B3CC30-77B8-419C-AA4B-F571FDF5D66D}
Windows Media Format 11 runtime --> "C:\WINDOWS\$NtUninstallWMFDist11$\spuninst\spuninst.exe"
Windows XP-Hotfix - KB873339 --> C:\WINDOWS\$NtUninstallKB873339$\spuninst\spuninst.exe
Windows XP-Hotfix - KB885250 --> C:\WINDOWS\$NtUninstallKB885250$\spuninst\spuninst.exe
Windows XP-Hotfix - KB885835 --> C:\WINDOWS\$NtUninstallKB885835$\spuninst\spuninst.exe
Windows XP-Hotfix - KB885836 --> C:\WINDOWS\$NtUninstallKB885836$\spuninst\spuninst.exe
Windows XP-Hotfix - KB885884 --> C:\WINDOWS\$NtUninstallKB885884$\spuninst\spuninst.exe
Windows XP-Hotfix - KB886185 --> C:\WINDOWS\$NtUninstallKB886185$\spuninst\spuninst.exe
Windows XP-Hotfix - KB887472 --> C:\WINDOWS\$NtUninstallKB887472$\spuninst\spuninst.exe
Windows XP-Hotfix - KB887742 --> C:\WINDOWS\$NtUninstallKB887742$\spuninst\spuninst.exe
Windows XP-Hotfix - KB888113 --> C:\WINDOWS\$NtUninstallKB888113$\spuninst\spuninst.exe
Windows XP-Hotfix - KB888302 --> C:\WINDOWS\$NtUninstallKB888302$\spuninst\spuninst.exe
Windows XP-Hotfix - KB890859 --> "C:\WINDOWS\$NtUninstallKB890859$\spuninst\spuninst.exe"
Windows XP-Hotfix - KB891781 --> C:\WINDOWS\$NtUninstallKB891781$\spuninst\spuninst.exe
WinRAR Archivierer --> C:\Programme\WinRAR\uninstall.exe


-- Application Event Log -------------------------------------------------------

TR-Vundo 06.08.2008 08:50
Es wäre ein Riskanter Versuch! Ich glaube er wird dir den Zugriff verweigern und es wird villeicht noch schlimmer! (ich spreche aus erfahrung)

captn future 06.08.2008 08:50
teil 2 extra.txt

HTML-Code:
Event Record #/Type31 / Error
Event Submitted/Written: 08/06/2008 09:09:28 AM
Event ID/Source: 3 / crypt32
Event Description:
Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-CAB-Datei von <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab> ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung zurückgegeben.
.

Event Record #/Type26 / Error
Event Submitted/Written: 08/06/2008 02:03:42 AM
Event ID/Source: 4118 / Avira AntiVir
Event Description:
C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xmlUNKNOWN20533248

Event Record #/Type25 / Error
Event Submitted/Written: 08/06/2008 00:14:36 AM
Event ID/Source: 4118 / Avira AntiVir
Event Description:
C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Bewerbung\Deckblatt...fotograf 07.08(2).rtfACCESS_VIOLATION-293267188

Event Record #/Type24 / Error
Event Submitted/Written: 08/05/2008 11:58:18 PM
Event ID/Source: 4118 / Avira AntiVir
Event Description:
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\l9cyhe4m.default\extensions\{0225e708-b3f0-489d-b41f-936a68c79877}\searchplugin\conduit.xmlUNKNOWN20533248

Event Record #/Type20 / Warning
Event Submitted/Written: 08/05/2008 09:19:05 PM / 08/05/2008 09:19:06 PM
Event ID/Source: 4113 / Avira AntiVir
Event Description:
EXP/Flash.GenC:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\EIBBC9UE\i115_95a69fac9aa394a597a69bae9fae9aaf9ead[1].swf



-- Security Event Log ----------------------------------------------------------

No Errors/Warnings found.


-- System Event Log ------------------------------------------------------------

Event Record #/Type14360 / Error
Event Submitted/Written: 08/06/2008 08:16:52 AM
Event ID/Source: 7026 / Service Control Manager
Event Description:
Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
sptd

Event Record #/Type14339 / Error
Event Submitted/Written: 08/05/2008 11:33:19 PM
Event ID/Source: 7026 / Service Control Manager
Event Description:
Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
sptd

Event Record #/Type14334 / Warning
Event Submitted/Written: 08/05/2008 09:27:29 PM / 08/05/2008 09:27:30 PM
Event ID/Source: 18 / avgntflt
Event Description:
TIMEOUT<explorer.exe> C:\...n Classic\update.exe

Event Record #/Type14315 / Error
Event Submitted/Written: 08/05/2008 03:55:55 PM
Event ID/Source: 7026 / Service Control Manager
Event Description:
Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
sptd

Event Record #/Type14314 / Error
Event Submitted/Written: 08/05/2008 03:55:54 PM
Event ID/Source: 7022 / Service Control Manager
Event Description:
Der Dienst "Avira AntiVir Personal – Free Antivirus Guard" wurde nicht ordnungsgemäß gestartet.



-- End of Deckard's System Scanner: finished at 2008-08-06 09:12:23 ------------

captn future 06.08.2008 08:58
Zitat:
Zitat von TR-Vundo (Beitrag 360140)
Es wäre ein Riskanter Versuch! Ich glaube er wird dir den Zugriff verweigern und es wird villeicht noch schlimmer! (ich spreche aus erfahrung)
also hab jetzt zum beispiel unter "anwendungsdatei" die laut kaspersky infizierten dateien im ordner "show that" löschen können,auch anschließend im papierkorb....

captn future 06.08.2008 09:15
allerdings fand ich es merkwürdig das kaspesky in diesem "show that" ordner eine datei gelassen hat.diese sah ser verdächtig aus,hab sie mal bei virustotal hochgeladen,kann mit den daten aber nicht so richtig was anfangen...

HTML-Code:
Datei uprckcqq.exe empfangen 2008.08.06 10:08:08 (CET)
Status: Beendet

Ergebnis: 4/35 (11.43%)
 Filter Drucken der Ergebnisse 
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.8.6.2 2008.08.06 -
AntiVir 7.8.1.15 2008.08.05 -
Authentium 5.1.0.4 2008.08.05 -
Avast 4.8.1195.0 2008.08.05 -
AVG 8.0.0.156 2008.08.06 -
BitDefender 7.2 2008.08.06 Trojan.Swizzor.1
CAT-QuickHeal 9.50 2008.08.05 -
ClamAV 0.93.1 2008.08.06 -
DrWeb 4.44.0.09170 2008.08.05 -
eSafe 7.0.17.0 2008.08.05 -
eTrust-Vet 31.6.6011 2008.08.05 -
Ewido 4.0 2008.08.05 -
F-Prot 4.4.4.56 2008.08.05 -
Fortinet 3.14.0.0 2008.08.05 -
GData 2.0.7306.1023 2008.08.06 -
Ikarus T3.1.1.34.0 2008.08.06 -
K7AntiVirus 7.10.404 2008.08.05 -
Kaspersky 7.0.0.125 2008.08.06 -
McAfee 5354 2008.08.05 Swizzor.gen.c
Microsoft 1.3807 2008.08.06 Trojan:Win32/C2Lop.gen!B
NOD32v2 3331 2008.08.06 a variant of Win32/TrojanDownloader.Swizzor.D
Norman 5.80.02 2008.08.05 -
Panda 9.0.0.4 2008.08.05 -
PCTools 4.4.2.0 2008.08.05 -
Prevx1 V2 2008.08.06 -
Rising 20.56.21.00 2008.08.06 -
Sophos 4.31.0 2008.08.06 -
Sunbelt 3.1.1537.1 2008.08.06 -
Symantec 10 2008.08.06 -
TheHacker 6.2.96.393 2008.08.04 -
TrendMicro 8.700.0.1004 2008.08.06 -
VBA32 3.12.8.2 2008.08.05 -
ViRobot 2008.8.5.1324 2008.08.06 -
VirusBuster 4.5.11.0 2008.08.05 -
Webwasher-Gateway 6.6.2 2008.08.06 -
weitere Informationen
File size: 690688 bytes
MD5...: c5fbefd501bd907f96252c642b7309d6
SHA1..: 6f06fe34d2113ce27f749ad6b8823b2fd1b367ee
SHA256: 9636c8c26e0ece10c6ddee5606f8e10630032a2eee4d0571e4cd3b19a517efcb
SHA512: 359247901267d0d66c0b3bda71b2bca23a8101071471b9d59fefd523fede5501
8f96084e9a853f0f892f2357b2db41dc8556587c90054a2fc891fd6ffa9f91f8
PEiD..: Armadillo v1.71
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x40612c
timedatestamp.....: 0x47035cc0 (Wed Oct 03 09:11:28 2007)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x76d20 0x76e00 6.95 ba47e47f30677f1b96f4432e0305653b
.rdata 0x78000 0x1117c 0x10000 7.97 363df07020c4ee6c09bab26c8c44027c
.data 0x8a000 0x1df8d 0x1e000 7.13 4bde74ca09d77fa31fb050653f4129f9
.rsrc 0xa8000 0x3770 0x3800 4.49 acc0b1252434610696791168cdf10137

( 5 imports )
> USER32.dll: VkKeyScanExA, DlgDirListA, RegisterClassA, GetAltTabInfo, ChangeMenuA, RegisterClassExA, GetMenuStringA, LoadMenuW, DdeFreeStringHandle, GetClassInfoExW, LoadImageA, GetClassLongA, DdeFreeDataHandle, EqualRect, BeginDeferWindowPos
> KERNEL32.dll: GetEnvironmentStrings, QueryPerformanceCounter, TlsSetValue, ReadConsoleW, HeapDestroy, GetProcAddress, HeapFree, GetCurrentProcess, GetStartupInfoA, GetSystemTimeAsFileTime, InterlockedIncrement, GetCPInfo, GetStringTypeW, VirtualFree, WriteFile, CompareStringW, GetTimeZoneInformation, DeleteCriticalSection, GetFileType, FreeEnvironmentStringsA, HeapReAlloc, InitializeCriticalSection, CloseHandle, FreeEnvironmentStringsW, GetCurrentProcessId, OpenMutexA, GetCommandLineA, GetCurrentThread, SetLastError, IsBadWritePtr, VirtualAlloc, InterlockedDecrement, LeaveCriticalSection, HeapCreate, GetVersion, TlsGetValue, GetSystemDefaultLCID, GetCommandLineW, WideCharToMultiByte, UnhandledExceptionFilter, ExitProcess, EnterCriticalSection, LCMapStringA, GetSystemTime, TlsAlloc, SetStdHandle, GetLocalTime, CreateMutexA, InterlockedExchange, VirtualQuery, FlushFileBuffers, HeapAlloc, GetModuleHandleA, GetStdHandle, SetHandleCount, SetFilePointer, MultiByteToWideChar, SetEnvironmentVariableA, GetLastError, GetStringTypeA, ReadFile, RtlUnwind, GetModuleFileNameA, GetEnvironmentStringsW, LoadLibraryA, TlsFree, GetCurrentThreadId, GetTickCount, GetStartupInfoW, LCMapStringW, GetModuleFileNameW, TerminateProcess, CompareStringA
> comdlg32.dll: PageSetupDlgA
> SHELL32.dll: RealShellExecuteW, InternalExtractIconListW, SHInvokePrinterCommandW, SHBrowseForFolderW, FindExecutableA
> comctl32.dll: InitCommonControlsEx

( 0 exports )
 

captn future 06.08.2008 20:49
HTML-Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:43:43, on 06.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\OpenOffice.org 2.0\program\soffice.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\OpenOffice.org 2.0\program\soffice.BIN
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\internet explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: (no name) -  - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: (no name) - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - (no file)
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [Noun Hide] C:\DOKUME~1\ADMINI~1\ANWEND~1\SHOWTH~1\AudioLongPlay.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Programme\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - https://stream.web.de/mail/activex/mail_upload_11213.cab
O20 - AppInit_DLLs: vdjevq.dll mrovnj.dll
O20 - Winlogon Notify: geBqQGaX - C:\WINDOWS\
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe

--
End of file - 5460 bytes

ich habe heute alles was ich so in den anderen programmen finden konnte versucht manuell zu löschen nachdem ich die versteckten dateien sichtbar gemacht habe,sehe aber anhand des hijackthis.log nicht ob ich noch irgendwelche malware,trojaner oder sonstiges draufhabe?!

Taranis 06.08.2008 21:19
Ja, ist alles noch da:

Code:
O20 - AppInit_DLLs: vdjevq.dll mrovnj.dll
O20 - Winlogon Notify: geBqQGaX - C:\WINDOWS\

Lade bitte mal die Datei

AudioLongPlay.exe

bei VirusTotal - Free Online Virus and Malware Scan hoch oder deinstalliere das Programm gleich (über Systemsteuerung -> Software).

Taranis 06.08.2008 21:51
Du kannst folgendes mal versuchen, allerdings ohne Garantie für Leib und Leben ;) :

Lade dir bitte die
SafeModeRepair runter und entpacke sie auf deinem Desktop.

Lass Malwarebytes nochmals durchlaufen und alles Löschen, was es findet. Starte den Rechner danach neu.

Suche die folgenden drei Dateien auf deinem Rechner und merk dir, wo sie sind
Code:
vdjevq.dll
mrovnj.dll
geBqQGaX
Dann starte den Rechner in den abgesicherten Modus.
Starte Hijackthis und klicke auf Misc Tools
Wähle hier Delete files on reboot
Wähle nacheinander die obigen drei Dateien aus, die Frage nach dem Neustart beantworte solange mit nein, bis du alle Dateien ausgewählt hast.
Dann bestätige den Neustart mit ja.

Sollte dann ein Start in den normalen Modus nicht mehr möglich sein, geh wieder in den abgesicherten Modus und mach einen Doppelklick auf die SafeModeRepair.reg, danach sollte das Starten in den normalen Modus wieder funktionieren.

LG
Taranis

captn future 06.08.2008 22:12
Zitat:
Zitat von Taranis (Beitrag 360328)
Ja, ist alles noch da:

Code:
O20 - AppInit_DLLs: vdjevq.dll mrovnj.dll
O20 - Winlogon Notify: geBqQGaX - C:\WINDOWS\

Lade bitte mal die Datei

AudioLongPlay.exe

bei VirusTotal - Free Online Virus and Malware Scan hoch oder deinstalliere das Programm gleich (über Systemsteuerung -> Software).
also das mit dem abgesicherten modus ist so eine sache,ich habe den noch nie ausgeführt und kenne keinen im bekanntenkreis der mich im fall der fälle "retten" würde...gibt es keine andere möglichkeit?
audilongplay findet mein pc unter suche C: nicht,ich weiss nicht wo ich danach noch schauen soll?in software habe ich so ein programm auch nicht drin...

captn future 06.08.2008 22:15
HTML-Code:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Mittwoch, 6. August 2008  21:57

Es wird nach 1533821 Virenstämmen gesucht.

Lizenznehmer:    Avira AntiVir PersonalEdition Classic
Seriennummer:    0000149996-ADJIE-0001
Plattform:        Windows XP
Windowsversion:  (Service Pack 2)  [5.1.2600]
Boot Modus:      Normal gebootet
Benutzername:    SYSTEM
Computername:    HOMEPC

Versionsinformationen:
BUILD.DAT    : 8.1.00.295      16479 Bytes  09.04.2008 16:22:00
AVSCAN.EXE    : 8.1.2.12      311553 Bytes  18.03.2008 09:02:52
AVSCAN.DLL    : 8.1.1.0        57601 Bytes  30.01.2008 15:10:50
LUKE.DLL      : 8.1.2.9        151809 Bytes  28.02.2008 08:41:20
LUKERES.DLL  : 8.1.2.0        12545 Bytes  19.02.2008 08:39:40
ANTIVIR0.VDF  : 6.40.0.0    11030528 Bytes  18.07.2007 10:33:34
ANTIVIR1.VDF  : 7.0.5.1      8182784 Bytes  24.06.2008 19:27:23
ANTIVIR2.VDF  : 7.0.5.207    2316800 Bytes  04.08.2008 19:38:45
ANTIVIR3.VDF  : 7.0.5.212      37376 Bytes  04.08.2008 19:38:45
Engineversion : 8.1.1.15 
AEVDF.DLL    : 8.1.0.5        102772 Bytes  25.02.2008 09:58:21
AESCRIPT.DLL  : 8.1.0.61      311675 Bytes  01.08.2008 19:27:35
AESCN.DLL    : 8.1.0.23      119156 Bytes  01.08.2008 19:27:35
AERDL.DLL    : 8.1.0.20      418165 Bytes  01.08.2008 19:27:34
AEPACK.DLL    : 8.1.2.1        364917 Bytes  01.08.2008 19:27:34
AEOFFICE.DLL  : 8.1.0.21      192891 Bytes  01.08.2008 19:27:33
AEHEUR.DLL    : 8.1.0.44      1343863 Bytes  01.08.2008 19:27:32
AEHELP.DLL    : 8.1.0.15      115063 Bytes  01.08.2008 19:27:31
AEGEN.DLL    : 8.1.0.32      315765 Bytes  01.08.2008 19:27:30
AEEMU.DLL    : 8.1.0.7        430452 Bytes  01.08.2008 19:27:30
AECORE.DLL    : 8.1.1.8        172406 Bytes  01.08.2008 19:27:29
AEBB.DLL      : 8.1.0.1        53617 Bytes  01.08.2008 19:27:29
AVWINLL.DLL  : 1.0.0.7        14593 Bytes  23.01.2008 17:05:55
AVPREF.DLL    : 8.0.0.1        25857 Bytes  18.02.2008 10:29:37
AVREP.DLL    : 8.0.0.2        98344 Bytes  01.08.2008 19:27:28
AVREG.DLL    : 8.0.0.0        30977 Bytes  23.01.2008 17:05:52
AVARKT.DLL    : 1.0.0.23      307457 Bytes  12.02.2008 08:29:19
AVEVTLOG.DLL  : 8.0.0.11      114945 Bytes  28.02.2008 08:31:27
SQLITE3.DLL  : 3.3.17.1      339968 Bytes  22.01.2008 17:28:02
SMTPLIB.DLL  : 1.2.0.19        28929 Bytes  23.01.2008 17:06:34
NETNT.DLL    : 8.0.0.1          7937 Bytes  25.01.2008 12:05:07
RCIMAGE.DLL  : 8.0.0.35      2371841 Bytes  10.03.2008 14:34:46
RCTEXT.DLL    : 8.0.32.0        86273 Bytes  06.03.2008 11:58:49

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Mittwoch, 6. August 2008  21:57

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.bin' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msmsgs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winampa.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '29' Prozesse mit '29' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
      [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
      [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '22' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\hiberfil.sys
      [WARNUNG]  Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
      [WARNUNG]  Die Datei konnte nicht geöffnet werden!


Ende des Suchlaufs: Mittwoch, 6. August 2008  22:47
Benötigte Zeit: 50:18 min

Der Suchlauf wurde vollständig durchgeführt.

  3571 Verzeichnisse wurden überprüft
 172920 Dateien wurden geprüft
      0 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      0 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      2 Dateien konnten nicht durchsucht werden
 172920 Dateien ohne Befall
  1195 Archive wurden durchsucht
      2 Warnungen
      0 Hinweise
ich finde das sehr merkwürdig,diese pagefile und hiberfil file kann ich nicht bei virustotal hochladen,da steht dann nur 0 byte recieved.wenn ich es löschen will steht das sie von jemand anderem genützt wird...wie kann ich die dinger scannen bzw löschen?

EDIT

google geht ja wieder...habs rausgegoogelt wofür die da sind
http://www.supportnet.de/stat/2002/12/id119510.asp

aber trotzdem weiss ich nicht wo taranis dieses audiolongplay her hat und die anderen 2 dateien

captn future 06.08.2008 23:21
ich hab sie gelöscht.

vdjevq.dll
mrovnj.dll
geBqQGaX

waren schreibgeschützt,aber der thread mit der nützlichen software hats möglich gemacht
http://www.computerhilfen.de/hilfen-5-66376-0.html

hab da noch so einen verdächtigen ordner in C:

"System Volume Information"

der ordner ist leer steht da,ich kann ihn aber weder einsehen noch löschen...wie kann ich rausfinden was das ist?

Taranis 06.08.2008 23:27
Bin durchs DSS-Log auf die Idee gekommen, dass das Programm unter Systemsteuerung -> Software angezeigt werden könnte. Ist aber wohl nicht so.

Die Datei AudioLongPlay.exe sollte sich unter
C:\Dokumente und Einstellungen\Administrator\Anwendungen\Showth...
befinden. Beim letzten Wort bin ich mir nicht sicher, wie das vollständig heißt, ansonsten kannst du auch mal versuchen, dahin zu kommen, indem du den verkürzten Dateipfad in die Explorer-Leiste kopierst (ohne das AudioLongPlay.exe)

Code:
C:\DOKUME~1\ADMINI~1\ANWEND~1\SHOWTH~1\AudioLongPlay.exe
Ob man ums Arbeiten im abgesicherten Modus drumherumkommt und welche anderen Möglichkeiten es noch gibt, kann ich dir nicht sagen, das müsste sich mal jemand mit mehr Ahnung ankucken.

LG
Taranis

EDIT: System Volume Information - Systemwiederherstellung

captn future 07.08.2008 00:10
Zitat:
Zitat von Taranis (Beitrag 360344)
Bin durchs DSS-Log auf die Idee gekommen, dass das Programm unter Systemsteuerung -> Software angezeigt werden könnte. Ist aber wohl nicht so.

Die Datei AudioLongPlay.exe sollte sich unter
C:\Dokumente und Einstellungen\Administrator\Anwendungen\Showth...
befinden. Beim letzten Wort bin ich mir nicht sicher, wie das vollständig heißt, ansonsten kannst du auch mal versuchen, dahin zu kommen, indem du den verkürzten Dateipfad in die Explorer-Leiste kopierst (ohne das AudioLongPlay.exe)

Code:
C:\DOKUME~1\ADMINI~1\ANWEND~1\SHOWTH~1\AudioLongPlay.exe
Ob man ums Arbeiten im abgesicherten Modus drumherumkommt und welche anderen Möglichkeiten es noch gibt, kann ich dir nicht sagen, das müsste sich mal jemand mit mehr Ahnung ankucken.

LG
Taranis

EDIT: System Volume Information - Systemwiederherstellung
jep,habs grad gegoogelt,stimmt,ist systemwiederherstellung,danke.

show that heisst der ordner,er ist aber leer,diese datei kann ich dort nicht finden...unter suche auch nix,auch ohne den zusatz exe.
ich weiss einfach nicht wie ich es finden soll...

Taranis 07.08.2008 09:23
Scan mal mit fsecure Blacklight:
ftp://ftp.f-secure.com/anti-virus/tools/fsbl.exe
Das Log ist eine Textdatei, die fsbl-xxx heist, wobei xxx Zahlen sind.

captn future 07.08.2008 18:00
Zitat:
Zitat von Taranis (Beitrag 360409)
Scan mal mit fsecure Blacklight:
ftp://ftp.f-secure.com/anti-virus/tools/fsbl.exe
Das Log ist eine Textdatei, die fsbl-xxx heist, wobei xxx Zahlen sind.
hmm,der scheint auch nichts gefunden zu haben

08/07/08 12:29:42 [Info]: BlackLight Engine 1.0.70 initialized
08/07/08 12:29:42 [Info]: OS: 5.1 build 2600 (Service Pack 2)
08/07/08 12:29:42 [Note]: 7019 4
08/07/08 12:29:42 [Note]: 7005 0
08/07/08 12:29:57 [Note]: 7006 0
08/07/08 12:29:58 [Note]: 7011 1196
08/07/08 12:29:58 [Note]: 7035 0
08/07/08 12:29:59 [Note]: 7026 0
08/07/08 12:29:59 [Note]: 7026 0
08/07/08 12:30:40 [Note]: FSRAW library version 1.7.1024
08/07/08 12:44:04 [Note]: 7006 0
08/07/08 12:44:05 [Note]: 7011 1196
08/07/08 12:44:05 [Note]: 7035 0
08/07/08 12:44:06 [Note]: 7026 0
08/07/08 12:44:07 [Note]: 7026 0
08/07/08 12:44:18 [Note]: FSRAW library version 1.7.1024
08/07/08 12:44:19 [Note]: 7007 0


genauso wie der spybot,der sonst eigentlich alles gefunden hat,der mir gratuliert hat das ich nichts verdächtiges drauf habe,aber antivir hat in diesem systemwiederherstellungsordner "system volume information" trojaner gefunden!wie soll ich nun mit diesem ordner umgehen,antivir hat sie zwar gelöscht aber bin fast sicher die sind noch drauf...

captn future 07.08.2008 18:01
HTML-Code:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Donnerstag, 7. August 2008  14:54

Es wird nach 1539216 Virenstämmen gesucht.

Lizenznehmer:    Avira AntiVir PersonalEdition Classic
Seriennummer:    0000149996-ADJIE-0001
Plattform:        Windows XP
Windowsversion:  (Service Pack 2)  [5.1.2600]
Boot Modus:      Normal gebootet
Benutzername:    SYSTEM
Computername:    HOMEPC

Versionsinformationen:
BUILD.DAT    : 8.1.00.295      16479 Bytes  09.04.2008 16:22:00
AVSCAN.EXE    : 8.1.2.12      311553 Bytes  18.03.2008 09:02:52
AVSCAN.DLL    : 8.1.1.0        57601 Bytes  30.01.2008 15:10:50
LUKE.DLL      : 8.1.2.9        151809 Bytes  28.02.2008 08:41:20
LUKERES.DLL  : 8.1.2.0        12545 Bytes  19.02.2008 08:39:40
ANTIVIR0.VDF  : 6.40.0.0    11030528 Bytes  18.07.2007 10:33:34
ANTIVIR1.VDF  : 7.0.5.1      8182784 Bytes  24.06.2008 19:27:23
ANTIVIR2.VDF  : 7.0.5.207    2316800 Bytes  04.08.2008 19:38:45
ANTIVIR3.VDF  : 7.0.5.227      118272 Bytes  07.08.2008 12:49:58
Engineversion : 8.1.1.19 
AEVDF.DLL    : 8.1.0.5        102772 Bytes  25.02.2008 09:58:21
AESCRIPT.DLL  : 8.1.0.63      311673 Bytes  07.08.2008 12:50:02
AESCN.DLL    : 8.1.0.23      119156 Bytes  01.08.2008 19:27:35
AERDL.DLL    : 8.1.0.20      418165 Bytes  01.08.2008 19:27:34
AEPACK.DLL    : 8.1.2.1        364917 Bytes  01.08.2008 19:27:34
AEOFFICE.DLL  : 8.1.0.21      192891 Bytes  01.08.2008 19:27:33
AEHEUR.DLL    : 8.1.0.47      1368437 Bytes  07.08.2008 12:50:01
AEHELP.DLL    : 8.1.0.15      115063 Bytes  01.08.2008 19:27:31
AEGEN.DLL    : 8.1.0.35      315764 Bytes  07.08.2008 12:49:59
AEEMU.DLL    : 8.1.0.7        430452 Bytes  01.08.2008 19:27:30
AECORE.DLL    : 8.1.1.8        172406 Bytes  01.08.2008 19:27:29
AEBB.DLL      : 8.1.0.1        53617 Bytes  01.08.2008 19:27:29
AVWINLL.DLL  : 1.0.0.7        14593 Bytes  23.01.2008 17:05:55
AVPREF.DLL    : 8.0.0.1        25857 Bytes  18.02.2008 10:29:37
AVREP.DLL    : 8.0.0.2        98344 Bytes  01.08.2008 19:27:28
AVREG.DLL    : 8.0.0.0        30977 Bytes  23.01.2008 17:05:52
AVARKT.DLL    : 1.0.0.23      307457 Bytes  12.02.2008 08:29:19
AVEVTLOG.DLL  : 8.0.0.11      114945 Bytes  28.02.2008 08:31:27
SQLITE3.DLL  : 3.3.17.1      339968 Bytes  22.01.2008 17:28:02
SMTPLIB.DLL  : 1.2.0.19        28929 Bytes  23.01.2008 17:06:34
NETNT.DLL    : 8.0.0.1          7937 Bytes  25.01.2008 12:05:07
RCIMAGE.DLL  : 8.0.0.35      2371841 Bytes  10.03.2008 14:34:46
RCTEXT.DLL    : 8.0.32.0        86273 Bytes  06.03.2008 11:58:49

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Donnerstag, 7. August 2008  14:54

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wscntfy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.bin' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msmsgs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winampa.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '30' Prozesse mit '30' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
      [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
      [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '23' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\hiberfil.sys
      [WARNUNG]  Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
      [WARNUNG]  Die Datei konnte nicht geöffnet werden!
C:\System Volume Information\_restore{4111560F-C45B-4F5B-BDC9-9A9D5E65B6B2}\RP621\A0533032.dll
      [FUND]      Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
      [HINWEIS]  Die Datei wurde gelöscht.
C:\System Volume Information\_restore{4111560F-C45B-4F5B-BDC9-9A9D5E65B6B2}\RP621\A0533033.dll
      [FUND]      Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
      [HINWEIS]  Die Datei wurde gelöscht.
C:\System Volume Information\_restore{4111560F-C45B-4F5B-BDC9-9A9D5E65B6B2}\RP621\A0533034.dll
      [FUND]      Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
      [HINWEIS]  Die Datei wurde gelöscht.
C:\System Volume Information\_restore{4111560F-C45B-4F5B-BDC9-9A9D5E65B6B2}\RP621\A0533035.dll
      [FUND]      Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
      [HINWEIS]  Die Datei wurde gelöscht.
C:\System Volume Information\_restore{4111560F-C45B-4F5B-BDC9-9A9D5E65B6B2}\RP621\A0533036.dll
      [FUND]      Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
      [HINWEIS]  Die Datei wurde gelöscht.
C:\System Volume Information\_restore{4111560F-C45B-4F5B-BDC9-9A9D5E65B6B2}\RP623\A0536169.exe
      [FUND]      Ist das Trojanische Pferd TR/Dldr.Swizzor.Gen
      [HINWEIS]  Die Datei wurde gelöscht.
C:\System Volume Information\_restore{4111560F-C45B-4F5B-BDC9-9A9D5E65B6B2}\RP624\A0536190.exe
      [FUND]      Ist das Trojanische Pferd TR/Swizzor.1.3039
      [HINWEIS]  Die Datei wurde gelöscht.


Ende des Suchlaufs: Donnerstag, 7. August 2008  16:49
Benötigte Zeit:  1:55:39 min

Der Suchlauf wurde vollständig durchgeführt.

  3590 Verzeichnisse wurden überprüft
 174049 Dateien wurden geprüft
      7 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      7 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      0 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      2 Dateien konnten nicht durchsucht werden
 174042 Dateien ohne Befall
  1247 Archive wurden durchsucht
      2 Warnungen
      7 Hinweise

Taranis 07.08.2008 18:52
Systemwiederherstellung ausschalten, neu starten, und dann Systemwiederherstellung wieder anschalten.
Dann ist alles, was bis dahin in der Systemwiederherstellung drin ist, weg.

Systemwiederherstellung ausschalten:
Start > Systemsteuerung > System > Registerreiter Systemwiederherstellung > Systemwiederherstellung auf allen Laufwerken deaktivieren anklicken

captn future 18.08.2008 13:54
also so wie es aussieht ist mein pc geheilt.habe die letzten tage immer wieder mal antivir durchlaufen lassen und alles war sauber...

EIN RIESENGROßES DANKESCHÖN AN TARANIS!!!

jetz hab ich nur noch paar fragen:
1. sollte ich nun die versteckten dateien wieder unsichtbar machen oder spielt das keine rolle?
2.mein pc bleibt nun immer wieder hängen beim anwenden,woran könnte das liegen?


Alle Zeitangaben in WEZ +1. Es ist jetzt 13:09 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19