Trojaner-Board - "sonderbare" Einträge in der Registry

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - "sonderbare" Einträge in der Registry (https://www.trojaner-board.de/70364-sonderbare-eintraege-registry.html)

Ui, das war ja eine prima Idee: Alles weg! :aplaus:

Und der iclean-Report ist jetzt so schön kurz:

iclean log 24.02.2009 12:07:55

Windows XP SP3, Using advanced Kernel functions

Processes
---------
512 - \SystemRoot\System32\smss.exe - \SystemRoot\System32\smss.exe
576 - \??\C:\WINDOWS\system32\csrss.exe - \??\C:\WINDOWS\system32\csrss.exe
600 - \??\C:\WINDOWS\system32\winlogon.exe - \??\C:\WINDOWS\system32\winlogon.exe
644 - C:\WINDOWS\system32\services.exe - Anwendung für Dienste und Controller
656 - C:\WINDOWS\system32\lsass.exe - LSA Shell (Export Version)
816 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
884 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
952 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1044 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1096 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1116 - C:\WINDOWS\system32\ZoneLabs\vsmon.exe - TrueVector Service (Signed)
1440 - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe - avast! Antivirus updating service (Signed)
1500 - C:\Programme\Alwil Software\Avast4\ashServ.exe - avast! antivirus service (Signed)
1580 - C:\WINDOWS\Explorer.EXE - Windows Explorer
1892 - C:\WINDOWS\system32\CmUCReye.exe - CmCardMonitor MFC Application
1924 - C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe - avast! service GUI component (Signed)
1932 - C:\WINDOWS\system32\brsvc01a.exe - brsvc01a
1988 - C:\WINDOWS\system32\brss01a.exe - brss01a.exe
1996 - C:\Programme\ScanSoft\PaperPort\pptd40nt.exe - PaperPort Print to Desktop for NT
2016 - C:\WINDOWS\system32\spoolsv.exe - Spooler SubSystem App
2032 - C:\Programme\Brother\ControlCenter2\brctrcen.exe - ControlCenter2 Main Program
184 - C:\WINDOWS\RTHDCPL.EXE - Realtek HD Audio Control Panel
196 - PocketWebSync.e - PocketWebSync.e
200 - C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe - RealNetworks Scheduler (Signed)
208 - C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe - ZoneAlarm Client (Signed)
264 - C:\WINDOWS\system32\ctfmon.exe - CTF Loader
372 - C:\Programme\Messenger\msmsgs.exe - Windows Messenger
680 - C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe - Status Monitor (Main)
1672 - c:\programme\a-squared free\a2service.exe - a-squared Service (Signed)
1080 - C:\Programme\ICQ6Toolbar\ICQ Service.exe - ICQIEUpdater Module (Signed)
2072 - C:\WINDOWS\system32\nvsvc32.exe - NVIDIA Driver Helper Service, Version 81.82
2140 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
2504 - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe - avast! e-Mail Scanner Service (Signed)
2784 - C:\Programme\Alwil Software\Avast4\ashWebSv.exe - avast! Web Scanner (Signed)
3084 - C:\WINDOWS\System32\alg.exe - Application Layer Gateway Service
1180 - C:\Programme\Java\jre6\bin\jqs.exe - Java(TM) Quick Starter Service (Signed)
3996 - C:\WINDOWS\system32\wbem\wmiapsrv.exe - WMI-Leistungsadapter-Dienst
1172 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1488 - C:\Programme\Spybot - Search & Destroy\SpybotSD.exe - Spybot - Search & Destroy (Signed)
1956 - C:\Programme\Spybot - Search & Destroy\TeaTimer.exe - System settings protector (Signed)
396 - C:\Programme\trojaner-board\iclean\iclean.exe - Interactive Cleaner

Services
--------
c:\programme\a-squared free\a2service.exe=a2free
C:\WINDOWS\system32\alg.exe=ALG
c:\programme\alwil software\avast4\aswupdsv.exe=aswUpdSv
C:\WINDOWS\system32\svchost.exe=AudioSrv
c:\programme\alwil software\avast4\ashserv.exe=avast! Antivirus
c:\programme\alwil software\avast4\ashmaisv.exe=avast! Mail Scanner
c:\programme\alwil software\avast4\ashwebsv.exe=avast! Web Scanner
C:\WINDOWS\system32\svchost.exe=BITS
c:\windows\system32\brsvc01a.exe=Brother XP spl Service
C:\WINDOWS\system32\svchost.exe=Browser
C:\WINDOWS\system32\svchost.exe=CryptSvc
C:\WINDOWS\system32\svchost.exe=DcomLaunch
C:\WINDOWS\system32\svchost.exe=Dhcp
C:\WINDOWS\system32\svchost.exe=Dnscache
C:\WINDOWS\system32\svchost.exe=ERSvc
C:\WINDOWS\system32\services.exe=Eventlog
c:\windows\system32\svchost.exe=EventSystem
C:\WINDOWS\system32\svchost.exe=FastUserSwitchingCompatibility
C:\WINDOWS\system32\svchost.exe=helpsvc
C:\WINDOWS\system32\svchost.exe=HidServ
C:\WINDOWS\system32\svchost.exe=HTTPFilter
c:\programme\icq6toolbar\icq service.exe=ICQ Service
C:\WINDOWS\system32\svchost.exe=lanmanserver
C:\WINDOWS\system32\svchost.exe=lanmanworkstation
C:\WINDOWS\system32\svchost.exe=LmHosts
C:\WINDOWS\system32\svchost.exe=Netman
C:\WINDOWS\system32\svchost.exe=Nla
C:\WINDOWS\system32\nvsvc32.exe=NVSvc
C:\WINDOWS\system32\services.exe=PlugPlay
C:\WINDOWS\system32\lsass.exe=PolicyAgent
C:\WINDOWS\system32\lsass.exe=ProtectedStorage
C:\WINDOWS\system32\svchost.exe=RasMan
C:\WINDOWS\system32\svchost.exe=RpcSs
C:\WINDOWS\system32\lsass.exe=SamSs
C:\WINDOWS\system32\svchost.exe=Schedule
C:\WINDOWS\system32\svchost.exe=seclogon
C:\WINDOWS\system32\svchost.exe=SENS
C:\WINDOWS\system32\svchost.exe=SharedAccess
C:\WINDOWS\system32\svchost.exe=ShellHWDetection
C:\WINDOWS\system32\spoolsv.exe=Spooler
C:\WINDOWS\system32\svchost.exe=srservice
C:\WINDOWS\system32\svchost.exe=SSDPSRV
C:\WINDOWS\system32\svchost.exe=stisvc
C:\WINDOWS\system32\svchost.exe=TapiSrv
C:\WINDOWS\system32\svchost.exe=TermService
C:\WINDOWS\system32\svchost.exe=Themes
C:\WINDOWS\system32\svchost.exe=TrkWks
c:\windows\system32\zonelabs\vsmon.exe=vsmon
C:\WINDOWS\system32\svchost.exe=W32Time
C:\WINDOWS\system32\svchost.exe=WebClient
C:\WINDOWS\system32\svchost.exe=winmgmt
c:\windows\system32\wbem\wmiapsrv.exe=WmiApSrv
C:\WINDOWS\system32\svchost.exe=wscsvc
C:\WINDOWS\system32\svchost.exe=wuauserv
C:\WINDOWS\system32\svchost.exe=WZCSVC
c:\programme\java\jre6\bin\jqs.exe=JavaQuickStarterService

Registry
--------
000=HKCU\Run: CTFMON.EXE=c:\windows\system32\ctfmon.exe
000=HKCU\Run: MSMSGS="c:\programme\messenger\msmsgs.exe" /background
000=HKCU\Run: SpybotSD TeaTimer=c:\programme\spybot - search & destroy\teatimer.exe
000=HKLM\Run: Adobe Reader Speed Launcher="c:\programme\adobe\reader 8.0\reader\reader_sl.exe"
000=HKLM\Run: Alcmtr=c:\windows\alcmtr.exe
000=HKLM\Run: avast!=c:\progra~1\alwils~1\avast4\ashdisp.exe
000=HKLM\Run: CmUCRRun=c:\windows\system32\cmucreye.exe
000=HKLM\Run: ControlCenter2.0=c:\programme\brother\controlcenter2\brctrcen.exe
000=HKLM\Run: IndexSearch=c:\programme\scansoft\paperport\indexsearch.exe
000=HKLM\Run: NvCplDaemon=c:\windows\system32\nvcpl.dll
000=HKLM\Run: NvMediaCenter=c:\windows\system32\rundll32.exe
000=HKLM\Run: NWEReboot=
000=HKLM\Run: nwiz=c:\windows\system32\nwiz.exe
000=HKLM\Run: OgoSync=c:\programme\pocket web sync\pocketwebsync.exe
000=HKLM\Run: PaperPort PTD=c:\programme\scansoft\paperport\pptd40nt.exe
000=HKLM\Run: RTHDCPL=c:\windows\rthdcpl.exe
000=HKLM\Run: SetDefPrt=c:\programme\brother\brmfl05a\brstdvpt.exe
000=HKLM\Run: SSBkgdUpdate="c:\programme\gemeinsame dateien\scansoft shared\ssbkgdupdate\ssbkgdupdate.exe" -embedding -boot
000=HKLM\Run: SunJavaUpdateSched="c:\programme\java\jre6\bin\jusched.exe"
000=HKLM\Run: TkBellExe="c:\programme\gemeinsame dateien\real\update_ob\realsched.exe" -osboot
000=HKLM\Run: ZoneAlarm Client="c:\programme\zone labs\zonealarm\zlclient.exe"
001=Firewall bypass: %windir%\Network Diagnostic\xpnetdiag.exe=c:\windows\network diagnostic\xpnetdiag.exe
001=Firewall bypass: %windir%\system32\sessmgr.exe=c:\windows\system32\sessmgr.exe
001=Firewall bypass: C:\Programme\ICQ6\ICQ.exe=c:\programme\icq6\icq.exe
001=Firewall bypass: C:\Programme\ICQLite\ICQLite.exe=c:\programme\icqlite\icqlite.exe
020=SSODL: CDBurn=C:\WINDOWS\system32\shell32.dll
020=SSODL: PostBootReminder=C:\WINDOWS\system32\shell32.dll
020=SSODL: SysTray=c:\windows\system32\stobject.dll
020=SSODL: WebCheck=c:\windows\system32\webcheck.dll
030=BHO: {3049C3E9-B461-4BC5-8870-4C09146192CA}=c:\programme\real\realplayer\rpbrowserrecordplugin.dll (RealPlayer Download and Record Plugin for Internet Explorer)
030=BHO: {53707962-6F74-2D53-2644-206D7942484F}=c:\progra~1\spybot~1\sdhelper.dll (Spybot-S&D IE Protection)
030=BHO: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}=c:\programme\java\jre6\bin\ssv.dll (Java(tm) Plug-In SSV Helper)
030=BHO: {DBC80044-A445-435b-BC74-9C25C1C588A9}=c:\programme\java\jre6\bin\jp2ssv.dll (Java(tm) Plug-In 2 SSV Helper)
030=BHO: {E7E6F031-17CE-4C07-BC86-EABFE594F69C}=c:\programme\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll (JQSIEStartDetectorImpl Class)
031=Toolbar: {01E04581-4EEE-11D0-BFE9-00AA005B4383}=C:\WINDOWS\system32\browseui.dll
031=Toolbar: {0E5CBF21-D15F-11D0-8301-00AA005B4383}=C:\WINDOWS\system32\shell32.dll
031=Toolbar: ITBar7Layout=(null)
032=RestrictedZOne: *.f*ckdenniss.com
032=RestrictedZOne: *.f*cknicepics.com
032=RestrictedZOne: *.free-f*cking-video.com
032=RestrictedZOne: *.hausaufgaben–referate.de
032=RestrictedZOne: *.needf*cknow.com
032=RestrictedZOne: *.satisf*cktion.net
032=RestrictedZOne: *.wwwsearchdrive.info
032=RestrictedZOne: *.{undo}888.com
032=RestrictedZone: .download-video.12w.net
032=RestrictedZone: w*w.163.com
032=RestrictedZone: site.accessorygeeks.com
032=RestrictedZone: w*w.accessorygeeks.com
032=RestrictedZone: w*w.site.accessorygeeks.com
032=RestrictedZone: w*w.apmebf.com
032=RestrictedZone: w*w.apps.deskwizz
032=RestrictedZone: w*w.bealent.com
032=RestrictedZone: .autocontext.begun.ru
032=RestrictedZone: w*w.by.ru
032=RestrictedZone: .list2007.spywarebot.hop.clickbank.net
032=RestrictedZone: .spywarebot.hop.clickbank.net
032=RestrictedZone: .hacker.com.cn
032=RestrictedZone: urawa.cool.ne.jp
032=RestrictedZone: w*w.emjcd.com
032=RestrictedZone: w*w.filestore.com
032=RestrictedZone: w*w.gamehouse.com
032=RestrictedZone: w*w.hao123.com
032=RestrictedZone: .mn.haoyuming.net
032=RestrictedZone: .ray2jing.go1.icpcn.com
032=RestrictedZone: w*w.kqzyfj.com
032=RestrictedZone: w*w.livenewgambling.net
032=RestrictedZone: w*w.lovedai.cn
032=RestrictedZone: {undo}w*w.meine-grußkarten.de
032=RestrictedZone: search.netzany.co
032=RestrictedZone: w*w.nht-team.org
032=RestrictedZone: .ray2jing.808.nuno.cn
032=RestrictedZone: s17.opentracker.net
032=RestrictedZone: server1.opentracker.net
032=RestrictedZone: w*w.opentracker.net
032=RestrictedZone: w*w.pochta.ru
032=RestrictedZone: .d34s.qfdfqawd.cn
032=RestrictedZone: w*w.richwebplaying.com
032=RestrictedZone: .download-now.rmp1.info
032=RestrictedZone: w*w.securitylab.ru
032=RestrictedZone: .destruktor.to.pl
032=RestrictedZone: .xyk.txshi.com
032=RestrictedZone: w*w.uklotttery.us
032=RestrictedZone: .world-sex.urllogs.com
032=RestrictedZone: .fla.vwdqwnmwk.cn
032=RestrictedZone: w*w.webbrowser.tv
032=RestrictedZone: w*w.wuqing17173.cn
032=RestrictedZone: w*w.w*w-my-spyware-software.info
032=RestrictedZone: ad.yieldmanager.com
032=RestrictedZone: w*w.ad.yieldmanager.com

Startup Folders
---------------
Common: desktop.ini
Common: status monitor.lnk -> C:\PROGRA~1\Brother\Brmfcmon\BrMfcWnd.exe
Personal: desktop.ini

HOSTS
-----
# Copyright (c) 1993-1999 Microsoft Corp.
#
# Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
# für Windows 2000 verwendet wird.
#
# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
# Hostnamen stehen.
# Die IP-Adresse und der Hostname müssen durch mindestens ein
# Leerzeichen getrennt sein.
#
# Zusätzliche Kommentare (so wie in dieser Datei) können in
# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
# aber müssen mit dem Zeichen '#' eingegeben werden.
#
# Zum Beispiel:
#
# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost

127.0.0.1 localhost
# Start of entries inserted by Spybot - Search & Destroy
# End of entries inserted by Spybot - Search & Destroy

Nur - wie werd ich jetzt Spybot (vielleicht inklusive TeaTimer) wieder los?
Der Kamerad scheint ja ein bißchen hartnäckig zu sein...

Liebe Grüße,
tapsi

Zitat:

Zitat von undoreal (Beitrag 415978)

Folgende Einträge solltest du mit iClean reparieren lassen:

PS: a-Squared würde ich aus dem Autostrat nehmen => den Hintergrund.Wächter deaktiveren.

Ich habe gerade noch mal nach a-squared geschaut:
In Programme > Autostart ist nur mein Drucker.
a-squared ist auch nicht unter Systemsteuerung > Software eingetragen, hat aber trotzdem noch Einträge unter c:/Programme/a-squared.

Soll ich den Ordner einfach löschen?

Liebe Grüße,
tapsi

a-Squard läuft bei dir als prozess! Muss also definitv noch installiert sein. Und in der Taskleiste unten rechts sollte das Symbol auch auftauchen!

Spybot deinstallieren und den Ordner löschen. Dann die 032 Einträge mit iClean reparieren lassen.
Danach solltest du a-Squared deinstallieren.

Hey Du,

lieb, dass Du noch mal vorbeigeschaut hast. :)

Spybot hab ich deinstalliert, den Rest gelöscht.

Soll ich jetzt wirklich alle 032-Einträge mit iclean löschen?

Und das mit a-squared versteh ich leider überhaupt nicht.
Es gibt den Ordner zwar noch, aber da ist nur eine einzige exe-datei drin (und andere Dateien), und zwar a2services.exe. Wenn man da drauf klickt, passiert aber nichts. Naja, zumindest nichts, was ich sehen kann. Das scheint aber genau das Ding zu sein, das unter "Prozesse" läuft.

Unter Systemsteuerung > Software ist a-squared auch nicht eingetragen, und eine uninstall-Datei ist auch nirgends.

Rechts unten in der Taskleiste ist a-squared auch nicht, nur links unten. Aber wenn man draufklickt, findet er die Verweisdatei nicht.

Ich wollte jetzt clever sein und a-squared noch mal installieren und noch mal deinstallieren. Geht aber nicht, weil das Installationsprogramm die Datei a2services.exe nicht ersetzen kann. Wenn ich den Prozess beende, ist er immer sofort wieder da. Hast Du vielleicht noch einen Trick, wie ich die Datei loswerde?

Danke.

Liebe Grüße,
tapsi

Alle 032 Restricetd Zone Einträge löschen, ja.

Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:

Doppelklick auf das Avenger-Symbol http://saved.im/mzi3ntr4adf5/trert.jpg

Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code:

Folders to delete:

c:\programme\a-squared free

http://saved.im/mzi3ndg3nta0/aven.jpg

Schliesse nun alle Programme und Browser-Fenster

Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet

Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Danach a-Squarde nochmal neuinstallieren, dann wieder deinstallieren und den evtl. verbleibenen Ordner löschen.
Danach cCleaner laufen lassen Punkte1&2.

avenger.txt lautet:

Logfile of The Avenger Version 2.0, (c) by Swandog46
h**p://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Folder "c:\programme\a-squared free" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Der Ordner war dann auch weg.

Okay. Beim Installieren von a-squared kam zwar die Fehlermeldung: "Beim Installieren von a-squared gibt es folgende Fehlermeldung: Service "a-squared Free Service" failed to install with error: "System Error. Code: 1073. Der angegebene Dienst ist bereits vorhanden."
> ok-Button

Dann hat das Setup aber bestätigt, dass a-squared erfolgreich installiert wurde und es hat sich auch brav deinstallieren lassen, der Ordner samt Inhalt ist weg.

Jetzt bin ich Spybot und a-squared wohl los. *gutfind*

Das iclean-log sieht jetzt so aus:

iclean log 25.02.2009 12:55:41

Windows XP SP3, Using advanced Kernel functions

Processes
---------
516 - \SystemRoot\System32\smss.exe - \SystemRoot\System32\smss.exe
580 - \??\C:\WINDOWS\system32\csrss.exe - \??\C:\WINDOWS\system32\csrss.exe
604 - \??\C:\WINDOWS\system32\winlogon.exe - \??\C:\WINDOWS\system32\winlogon.exe
648 - C:\WINDOWS\system32\services.exe - Anwendung für Dienste und Controller
660 - C:\WINDOWS\system32\lsass.exe - LSA Shell (Export Version)
816 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
876 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
948 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1040 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1092 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1104 - C:\WINDOWS\system32\ZoneLabs\vsmon.exe - TrueVector Service (Signed)
1364 - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe - avast! Antivirus updating service (Signed)
1424 - C:\Programme\Alwil Software\Avast4\ashServ.exe - avast! antivirus service (Signed)
1644 - C:\WINDOWS\system32\brsvc01a.exe - brsvc01a
1676 - C:\WINDOWS\system32\brss01a.exe - brss01a.exe
1684 - C:\WINDOWS\system32\spoolsv.exe - Spooler SubSystem App
1940 - C:\WINDOWS\Explorer.EXE - Windows Explorer
800 - C:\WINDOWS\system32\CmUCReye.exe - CmCardMonitor MFC Application
836 - C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe - avast! service GUI component (Signed)
932 - C:\Programme\ScanSoft\PaperPort\pptd40nt.exe - PaperPort Print to Desktop for NT
1028 - C:\Programme\Brother\ControlCenter2\brctrcen.exe - ControlCenter2 Main Program
1068 - C:\Programme\Java\jre6\bin\jusched.exe - Java(TM) Platform SE binary (Signed)
1276 - C:\WINDOWS\RTHDCPL.EXE - Realtek HD Audio Control Panel
1316 - PocketWebSync.e - PocketWebSync.e
1592 - C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe - RealNetworks Scheduler (Signed)
1700 - C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe - ZoneAlarm Client (Signed)
1792 - C:\WINDOWS\system32\ctfmon.exe - CTF Loader
1820 - C:\Programme\Messenger\msmsgs.exe - Windows Messenger
1896 - C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe - Status Monitor (Main)
176 - C:\Programme\ICQ6Toolbar\ICQ Service.exe - ICQIEUpdater Module (Signed)
1124 - C:\Programme\Java\jre6\bin\jqs.exe - Java(TM) Quick Starter Service (Signed)
788 - C:\WINDOWS\system32\nvsvc32.exe - NVIDIA Driver Helper Service, Version 81.82
1796 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
2280 - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe - avast! e-Mail Scanner Service (Signed)
2448 - C:\Programme\Alwil Software\Avast4\ashWebSv.exe - avast! Web Scanner (Signed)
2916 - C:\WINDOWS\System32\alg.exe - Application Layer Gateway Service
3044 - C:\WINDOWS\system32\wbem\wmiapsrv.exe - WMI-Leistungsadapter-Dienst
2812 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
3600 - C:\Programme\Mozilla Firefox\firefox.exe - Firefox (Signed)
3088 - C:\Programme\trojaner-board\iclean\iclean.exe - Interactive Cleaner

Services
--------
C:\WINDOWS\system32\alg.exe=ALG
c:\programme\alwil software\avast4\aswupdsv.exe=aswUpdSv
C:\WINDOWS\system32\svchost.exe=AudioSrv
c:\programme\alwil software\avast4\ashserv.exe=avast! Antivirus
c:\programme\alwil software\avast4\ashmaisv.exe=avast! Mail Scanner
c:\programme\alwil software\avast4\ashwebsv.exe=avast! Web Scanner
c:\windows\system32\brsvc01a.exe=Brother XP spl Service
C:\WINDOWS\system32\svchost.exe=Browser
C:\WINDOWS\system32\svchost.exe=CryptSvc
C:\WINDOWS\system32\svchost.exe=DcomLaunch
C:\WINDOWS\system32\svchost.exe=Dhcp
C:\WINDOWS\system32\svchost.exe=Dnscache
C:\WINDOWS\system32\svchost.exe=ERSvc
C:\WINDOWS\system32\services.exe=Eventlog
c:\windows\system32\svchost.exe=EventSystem
C:\WINDOWS\system32\svchost.exe=FastUserSwitchingCompatibility
C:\WINDOWS\system32\svchost.exe=helpsvc
C:\WINDOWS\system32\svchost.exe=HidServ
C:\WINDOWS\system32\svchost.exe=HTTPFilter
c:\programme\icq6toolbar\icq service.exe=ICQ Service
c:\programme\java\jre6\bin\jqs.exe=JavaQuickStarterService
C:\WINDOWS\system32\svchost.exe=lanmanserver
C:\WINDOWS\system32\svchost.exe=lanmanworkstation
C:\WINDOWS\system32\svchost.exe=LmHosts
C:\WINDOWS\system32\svchost.exe=Netman
C:\WINDOWS\system32\svchost.exe=Nla
C:\WINDOWS\system32\nvsvc32.exe=NVSvc
C:\WINDOWS\system32\services.exe=PlugPlay
C:\WINDOWS\system32\lsass.exe=PolicyAgent
C:\WINDOWS\system32\lsass.exe=ProtectedStorage
C:\WINDOWS\system32\svchost.exe=RasMan
C:\WINDOWS\system32\svchost.exe=RpcSs
C:\WINDOWS\system32\lsass.exe=SamSs
C:\WINDOWS\system32\svchost.exe=Schedule
C:\WINDOWS\system32\svchost.exe=seclogon
C:\WINDOWS\system32\svchost.exe=SENS
C:\WINDOWS\system32\svchost.exe=SharedAccess
C:\WINDOWS\system32\svchost.exe=ShellHWDetection
C:\WINDOWS\system32\spoolsv.exe=Spooler
C:\WINDOWS\system32\svchost.exe=srservice
C:\WINDOWS\system32\svchost.exe=SSDPSRV
C:\WINDOWS\system32\svchost.exe=stisvc
C:\WINDOWS\system32\svchost.exe=TapiSrv
C:\WINDOWS\system32\svchost.exe=TermService
C:\WINDOWS\system32\svchost.exe=Themes
C:\WINDOWS\system32\svchost.exe=TrkWks
c:\windows\system32\zonelabs\vsmon.exe=vsmon
C:\WINDOWS\system32\svchost.exe=W32Time
C:\WINDOWS\system32\svchost.exe=WebClient
C:\WINDOWS\system32\svchost.exe=winmgmt
c:\windows\system32\wbem\wmiapsrv.exe=WmiApSrv
C:\WINDOWS\system32\svchost.exe=wscsvc
C:\WINDOWS\system32\svchost.exe=wuauserv
C:\WINDOWS\system32\svchost.exe=WZCSVC

Registry
--------
000=HKCU\Run: CTFMON.EXE=c:\windows\system32\ctfmon.exe
000=HKCU\Run: MSMSGS="c:\programme\messenger\msmsgs.exe" /background
000=HKLM\Run: Adobe Reader Speed Launcher="c:\programme\adobe\reader 8.0\reader\reader_sl.exe"
000=HKLM\Run: Alcmtr=c:\windows\alcmtr.exe
000=HKLM\Run: avast!=c:\progra~1\alwils~1\avast4\ashdisp.exe
000=HKLM\Run: CmUCRRun=c:\windows\system32\cmucreye.exe
000=HKLM\Run: ControlCenter2.0=c:\programme\brother\controlcenter2\brctrcen.exe
000=HKLM\Run: IndexSearch=c:\programme\scansoft\paperport\indexsearch.exe
000=HKLM\Run: NvCplDaemon=c:\windows\system32\nvcpl.dll
000=HKLM\Run: NvMediaCenter=c:\windows\system32\rundll32.exe
000=HKLM\Run: NWEReboot=
000=HKLM\Run: nwiz=c:\windows\system32\nwiz.exe
000=HKLM\Run: OgoSync=c:\programme\pocket web sync\pocketwebsync.exe
000=HKLM\Run: PaperPort PTD=c:\programme\scansoft\paperport\pptd40nt.exe
000=HKLM\Run: RTHDCPL=c:\windows\rthdcpl.exe
000=HKLM\Run: SetDefPrt=c:\programme\brother\brmfl05a\brstdvpt.exe
000=HKLM\Run: SSBkgdUpdate="c:\programme\gemeinsame dateien\scansoft shared\ssbkgdupdate\ssbkgdupdate.exe" -embedding -boot
000=HKLM\Run: SunJavaUpdateSched="c:\programme\java\jre6\bin\jusched.exe"
000=HKLM\Run: TkBellExe="c:\programme\gemeinsame dateien\real\update_ob\realsched.exe" -osboot
000=HKLM\Run: ZoneAlarm Client="c:\programme\zone labs\zonealarm\zlclient.exe"
001=Firewall bypass: %windir%\Network Diagnostic\xpnetdiag.exe=c:\windows\network diagnostic\xpnetdiag.exe
001=Firewall bypass: %windir%\system32\sessmgr.exe=c:\windows\system32\sessmgr.exe
001=Firewall bypass: C:\Programme\ICQ6\ICQ.exe=c:\programme\icq6\icq.exe
001=Firewall bypass: C:\Programme\ICQLite\ICQLite.exe=c:\programme\icqlite\icqlite.exe
020=SSODL: CDBurn=C:\WINDOWS\system32\shell32.dll
020=SSODL: PostBootReminder=C:\WINDOWS\system32\shell32.dll
020=SSODL: SysTray=c:\windows\system32\stobject.dll
020=SSODL: WebCheck=c:\windows\system32\webcheck.dll
030=BHO: {3049C3E9-B461-4BC5-8870-4C09146192CA}=c:\programme\real\realplayer\rpbrowserrecordplugin.dll (RealPlayer Download and Record Plugin for Internet Explorer)
030=BHO: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}=c:\programme\java\jre6\bin\ssv.dll (Java(tm) Plug-In SSV Helper)
030=BHO: {DBC80044-A445-435b-BC74-9C25C1C588A9}=c:\programme\java\jre6\bin\jp2ssv.dll (Java(tm) Plug-In 2 SSV Helper)
030=BHO: {E7E6F031-17CE-4C07-BC86-EABFE594F69C}=c:\programme\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll (JQSIEStartDetectorImpl Class)
031=Toolbar: {01E04581-4EEE-11D0-BFE9-00AA005B4383}=C:\WINDOWS\system32\browseui.dll
031=Toolbar: {0E5CBF21-D15F-11D0-8301-00AA005B4383}=C:\WINDOWS\system32\shell32.dll
031=Toolbar: ITBar7Layout=(null)

Startup Folders
---------------
Common: desktop.ini
Common: status monitor.lnk -> C:\PROGRA~1\Brother\Brmfcmon\BrMfcWnd.exe
Personal: desktop.ini

HOSTS
-----
# Copyright (c) 1993-1999 Microsoft Corp.
#
# Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
# für Windows 2000 verwendet wird.
#
# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
# Hostnamen stehen.
# Die IP-Adresse und der Hostname müssen durch mindestens ein
# Leerzeichen getrennt sein.
#
# Zusätzliche Kommentare (so wie in dieser Datei) können in
# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
# aber müssen mit dem Zeichen '#' eingegeben werden.
#
# Zum Beispiel:
#
# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost

127.0.0.1 localhost
# Start of entries inserted by Spybot - Search & Destroy
# End of entries inserted by Spybot - Search & Destroy

@ undoreal:

Vielen lieben Dank fürs Helfen! Das ist echt nett von Dir, dass Du so Leuten wie mir, die sich nur auskennen, wenn alles läuft, auf die Sprünge hilfst.
:daumenhoc

Liebe Grüße,
tapsi

:) immer gerne.

Ich schreib' dir hier nochmal ein paar Tips zusammen damit du dir keine unnötigen Schutzprogramme installierst:

Installiere keine Anti-Spyware/Anti-Malware oder sonstige "Sicherheits"-Programme sondern nur ein normales AntiViren Programm wie zum Beispiel: AntiVir free, Panda, Kaspersky's Internet Security 2009 oder avast free.
Mit einem Anti-Malware-Scanner ohne Wächter wie SuperAntiSpyware oder Anti-Malware kann der PC bei Verdacht überprüft werden.
.
Halte immer alle Anwendungen aktuell (Secunia PSI kann hier wertvolle Hilfe leisten).
.
Update die Viren-Signaturen deines Anti-Viren Programmes reglemäßig.
.
Beachte bitte, dass jegliche Anti-Viren Scanner (auch in Kombination) nur einen Bruchteil aller Schädlinge finden!
.
Update auch regelmäßig die Hardwaretreiber (Grafikkarte, Soundkarte).
.
Das Windows Update sollte automatisch erfolgen -> Der Frischmacher.
.
Das aktuelle ServicePack sollte installiert sein:
- XP_ ServicePack3
- Vista_ ServicePack1
.
Eine vernünftige Ordneransicht erschwert es Malware sich vor dir zu verstecken -> Einstellungen.
.
Bei Windows Vista können einige Dienste deaktiviert werden: TechNET
.
Windows-Firewall aktivieren: (Wenn beim installiertem AV-Prog eine Firewall dabei ist so kann diese verwendet werden!)
- XP_ Firewall
- Vista_ Firewall
  Vista_Firewall punktgenau konfigurieren
.
Internetoptionen sicher gestallten: Start->Systemsteuerung->Internetoptionen
- Sicherheit: -> höchste Stufe
  Wähle danach: Stufe anpassen. Ändere die Einstellung: Anwendungen und uns. Dateien starten -> "Bestätigen"
  und Installation von Desktopobj. -> "Bestätigen".
- Datenschutz: -> alle Cookies blockieren
Nutze nicht den MS-InternetExplorer sondern einen alternativen Browser wie FireFox, Opera o.ä..
.
Räume den Rechner regelmäßig mit dem cCleaner auf; Punkte 1&2.
.
Als letztes der wichtigste Punkt: Downloade dir keine illegalen oder nicht vertrauenswürdigen Daten aus dem Internet! Besonders Filesharing Tauschbörsen wie eMule, Kazaa, Bittorrent und andere Peer-to-Peer (P2P) Netzwerke sind extrem gefährlich! Sehr häufig sind die Dateien mit Schädlingen infiziert die von keinem Virenscanner entdeckt werden!!
.
Allgemeine Informationen zu dieser Problematik

Häufig gestellte Fragen: XP | Vista

Zusätzlich kannst du natürlich immer gerne hier posten wenn du absolut nicht weiterkommst.. ;)

Hi!

Danke. Hardwaretreiber werde ich in den nächsten Tagen mal suchen und Secunia PSI werd ich mir auch mal anschaun. Internetoptionen werd ich mir jetzt gleich mal vornehmen.

Wenn das alles getan ist, bin ich so sicher, wie man bei aller Unsicherheit sein kann. :heilig:

Vielen Dank noch mal für alles.
Liebe Grüße,

tapsi