Trojaner-Board - Windowsclick.com Trojaner hat meinen PC befallen

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Windowsclick.com Trojaner hat meinen PC befallen (https://www.trojaner-board.de/76587-windowsclick-com-trojaner-hat-meinen-pc-befallen.html)

sheryO

20.08.2009 12:38

Windowsclick.com Trojaner hat meinen PC befallen

Hallo,
seit gestern werde ich meistens auf die Seite "windowsclick.com" weitergeleitet, wenn ich eine in Google angezeigte Seite aufrufen will.

Ich habe auch schon einiges über diesen Trojaner gelesen, allerdings weiß ich immern noch nicht so genau, was ich tun muss.

Eine Systemwiederherstellung habe ich auch schon versucht, allerdings sind keine Speicherpunkte vorhanden.

Ich hoffe ihr könnt mir helfen!

MfG
sheryO

Ich habe einfach mal einen Logfile von Hyjack kopiert:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:31:04, on 20.08.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\ICQ6Toolbar\ICQ Service.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\PnkBstrB.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\Samsung\ComSMMgr\ssmmgr.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\ICQ6.5\ICQ.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\mbam-setup.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.2.4204.1700\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Programme\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Samsung Common SM] "C:\WINDOWS\Samsung\ComSMMgr\ssmmgr.exe" /autorun
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [swg] "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [WEB.DE_WEB.DE MultiMessenger] "C:\Programme\WEB.DE\WEB.DE MultiMessenger\MESSENGR.EXE" /hide
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [DAEMON Tools Lite] D:\DAEMON Tools Lite\daemon.exe -autorun
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6.5\ICQ.exe" silent
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=about:blank
O17 - HKLM\System\CCS\Services\Tcpip\..\{0B316D96-1017-4617-B52A-C617BD9C68B8}: NameServer = 192.168.100.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{0B316D96-1017-4617-B52A-C617BD9C68B8}: NameServer = 192.168.100.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{0B316D96-1017-4617-B52A-C617BD9C68B8}: NameServer = 192.168.100.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Google Update Service (gupdate1c95c6770dd76de) (gupdate1c95c6770dd76de) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe

--
End of file - 7237 bytes

Moritz009

20.08.2009 13:28

Halli Hallo und :hallo:

bitte ackere diese Liste hier ab und poste alle anfallenden Logs hier.
Liebe Grüße Moritz009

sheryO

20.08.2009 15:31

Ich hab jetzt alle 3 Programme runtergeladen(CCleaner hatte ich schon), nur dieses Malwarebyte' Anti-Malware funktioniert nicht. Wenn ich es doppelklicke passiert einfach nichts.

Ich poste trotzdem mal den Logfile, den mir RSIT beschert hat:

Teil 1

Zitat:

Logfile of random's system information tool 1.06 (written by random/random)
Run by Administrator at 2009-08-20 16:30:13
Microsoft Windows XP Professional Service Pack 3
System drive C: has 4 GB (13%) free of 30 GB
Total RAM: 2046 MB (71% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:30:16, on 20.08.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ICQ6Toolbar\ICQ Service.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\Samsung\ComSMMgr\ssmmgr.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe
C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\ICQ6.5\ICQ.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Malwarebytes' Anti-Malware\mbam.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\mbam-setup.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\mbam-setup.exe
C:\Programme\Malwarebytes' Anti-Malware\mbam.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\RSIT.exe
C:\Programme\Trend Micro\HijackThis\Administrator.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.2.4204.1700\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Programme\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Samsung Common SM] "C:\WINDOWS\Samsung\ComSMMgr\ssmmgr.exe" /autorun
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [swg] "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [WEB.DE_WEB.DE MultiMessenger] "C:\Programme\WEB.DE\WEB.DE MultiMessenger\MESSENGR.EXE" /hide
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [DAEMON Tools Lite] D:\DAEMON Tools Lite\daemon.exe -autorun
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6.5\ICQ.exe" silent
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=about:blank
O17 - HKLM\System\CCS\Services\Tcpip\..\{0B316D96-1017-4617-B52A-C617BD9C68B8}: NameServer = 192.168.100.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{0B316D96-1017-4617-B52A-C617BD9C68B8}: NameServer = 192.168.100.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{0B316D96-1017-4617-B52A-C617BD9C68B8}: NameServer = 192.168.100.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Google Update Service (gupdate1c95c6770dd76de) (gupdate1c95c6770dd76de) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe

--
End of file - 7490 bytes

======Scheduled tasks folder======

C:\WINDOWS\tasks\ErrorSmart Scheduled Scan.job
C:\WINDOWS\tasks\Google Software Updater.job
C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
C:\WINDOWS\tasks\User_Feed_Synchronization-{117DDDD8-B5A2-4142-9C91-0696CDDE48BA}.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{02478D38-C3F9-4efb-9B51-7695ECA05670}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
Adobe PDF Link Helper - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2009-02-27 75128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{22BF413B-C6D2-4d91-82A9-A0F997BA588C}]
Skype add-on (mastermind) - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll [2009-02-04 1082880]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F}]
C:\Programme\Spybot - Search & Destroy\SDHelper.dll [2005-05-31 853672]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
SSVHelper Class - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll [2008-02-22 509328]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AA58ED58-01DD-4d91-8333-CF10577473F7}]
Google Toolbar Helper - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll [2009-07-23 256112]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}]
Google Toolbar Notifier BHO - C:\Programme\Google\GoogleToolbarNotifier\5.2.4204.1700\swg.dll [2009-07-23 761840]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C84D72FE-E17D-4195-BB24-76C02E2E7C4E}]
Google Dictionary Compression sdch - C:\Programme\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll [2009-07-23 458736]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{855F3B16-6D32-4fe6-8A56-BBB695989046} - ICQToolBar - C:\Programme\ICQ6Toolbar\ICQToolBar.dll [2008-12-09 958200]
{2318C2B1-4965-11d4-9B18-009027A5CD4F} - Google Toolbar - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll [2009-07-23 256112]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Verknüpfung mit der High Definition Audio-Eigenschaftenseite"=C:\WINDOWS\system32\HDAudPropShortcut.exe [2004-03-17 61952]
"QuickTime Task"=C:\Programme\QuickTime\qttask.exe [2006-06-28 98304]
"Samsung Common SM"=C:\WINDOWS\Samsung\ComSMMgr\ssmmgr.exe [2005-07-03 372736]
"KernelFaultCheck"=C:\WINDOWS\system32\dumprep 0 -k []
"Adobe Photo Downloader"=C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe [2007-03-16 63712]
"Adobe Reader Speed Launcher"=C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe [2009-02-27 35696]
"avgnt"=C:\Programme\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"swg"=C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe [2007-08-05 68856]
"WEB.DE_WEB.DE MultiMessenger"=C:\Programme\WEB.DE\WEB.DE MultiMessenger\MESSENGR.EXE [2009-01-28 4863408]
"Skype"=C:\Programme\Skype\Phone\Skype.exe [2009-02-04 23975720]
"DAEMON Tools Lite"=D:\DAEMON Tools Lite\daemon.exe -autorun []
"ICQ"=C:\Programme\ICQ6.5\ICQ.exe [2009-03-01 172792]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent]
C:\WINDOWS\system32\Ati2evxx.dll [2006-06-07 61440]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{F60A0B68-AF3A-C1D2-CD09-5A81A136D2BA}"= []

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"=msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, credssp.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\PEVSystemStart]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\procexp90.Sys]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=145

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"HonorAutoRunSetting"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\NAMCO BANDAI Games\Warhammer® Mark of Chaos\Warhammer.exe"="C:\Programme\NAMCO BANDAI Games\Warhammer® Mark of Chaos\Warhammer.exe:*:Enabled:Warhammer®: Mark of Chaos™"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Programme\Warcraft III\Warcraft III.exe"="C:\Programme\Warcraft III\Warcraft III.exe:*:Enabled:Warcraft III"
"C:\Programme\Windows Live\Messenger\msnmsgr.exe"="C:\Programme\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\Programme\Windows Live\Messenger\livecall.exe"="C:\Programme\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"G:\Warcraft III\Warcraft III.exe"="G:\Warcraft III\Warcraft III.exe:*:Enabled:Warcraft III"
"C:\Programme\The Creative Assembly\Rome - Total War\RomeTW.exe"="C:\Programme\The Creative Assembly\Rome - Total War\RomeTW.exe:*:Enabled:Rome: Total War"
"C:\Programme\WEB.DE\WEB.DE MultiMessenger\MESSENGR.EXE"="C:\Programme\WEB.DE\WEB.DE MultiMessenger\MESSENGR.EXE:*:Disabled:WEB.DE MultiMessenger"
"F:\EtE Projekt\Brief\hltv.exe"="F:\EtE Projekt\Brief\hltv.exe:*:Enabled:HLTV Launcher"
"C:\Programme\ICQ6.5\ICQ.exe"="C:\Programme\ICQ6.5\ICQ.exe:*:Enabled:ICQ6"
"C:\Programme\Garena\Garena.exe"="C:\Programme\Garena\Garena.exe:*:Enabled:Garena"
"C:\WINDOWS\system32\PnkBstrA.exe"="C:\WINDOWS\system32\PnkBstrA.exe:*:Enabled:PnkBstrA"
"C:\WINDOWS\system32\PnkBstrB.exe"="C:\WINDOWS\system32\PnkBstrB.exe:*:Enabled:PnkBstrB"
"C:\Dokumente und Einstellungen\Administrator\Desktop\Call of Duty 2\Call of Duty 2 ###\CoD2MP_s.exe"="C:\Dokumente und Einstellungen\Administrator\Desktop\Call of Duty 2\Call of Duty 2 ###\CoD2MP_s.exe:*:Enabled:CoD2MP_s"
"C:\Programme\Yahoo!\Messenger\YahooMessenger.exe"="C:\Programme\Yahoo!\Messenger\YahooMessenger.exe:*:Enabled:Yahoo! Messenger"
"C:\Programme\Skype\Phone\Skype.exe"="C:\Programme\Skype\Phone\Skype.exe:*:Enabled:Skype"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Programme\Windows Live\Messenger\msnmsgr.exe"="C:\Programme\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\Programme\Windows Live\Messenger\livecall.exe"="C:\Programme\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{bed7392d-5349-11de-9ac9-0013d3ba5c8b}]
shell\auto\command - E:\Knight.exe open
shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Knight.exe open
shell\explore\command - E:\Knight.exe open
shell\find\command - E:\Knight.exe open
shell\install\command - E:\Knight.exe open
shell\open\command - E:\Knight.exe open

======List of files/folders created in the last 1 months======

2009-08-20 16:09:39 ----A---- C:\WINDOWS\isRS-000.tmp
2009-08-20 15:58:37 ----D---- C:\Programme\Avira
2009-08-20 15:58:37 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2009-08-20 15:48:30 ----D---- C:\rsit
2009-08-20 15:43:50 ----D---- C:\Programme\Malwarebytes' Anti-Malware
2009-08-20 15:43:50 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-08-20 13:30:10 ----D---- C:\WINDOWS\ERDNT
2009-08-20 13:30:08 ----SD---- C:\test.com
2009-08-20 13:30:06 ----A---- C:\WINDOWS\system32\CF15595.exe
2009-08-20 13:29:26 ----D---- C:\Qoobox
2009-08-18 20:00:02 ----D---- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Yahoo!
2009-08-18 19:59:19 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Yahoo!
2009-08-18 19:59:17 ----D---- C:\Programme\Yahoo!
2009-08-13 14:25:12 ----HDC---- C:\WINDOWS\$NtUninstallKB960859$
2009-08-13 14:24:19 ----HDC---- C:\WINDOWS\$NtUninstallKB971657$
2009-08-13 14:24:13 ----HDC---- C:\WINDOWS\$NtUninstallKB971557$
2009-08-13 14:24:05 ----HDC---- C:\WINDOWS\$NtUninstallKB956744$
2009-08-13 14:23:59 ----HDC---- C:\WINDOWS\$NtUninstallKB973869$
2009-08-13 14:23:53 ----HDC---- C:\WINDOWS\$NtUninstallKB973507$
2009-08-13 14:23:47 ----HDC---- C:\WINDOWS\$NtUninstallKB973354$
2009-08-13 14:23:39 ----HDC---- C:\WINDOWS\$NtUninstallKB973540_WM9$
2009-08-13 14:22:04 ----HDC---- C:\WINDOWS\$NtUninstallKB973815$
2009-07-21 12:35:41 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ubisoft
2009-07-21 12:35:01 ----A---- C:\WINDOWS\system32\PnkBstrB.exe
2009-07-21 12:35:00 ----A---- C:\WINDOWS\system32\PnkBstrA.exe
2009-07-21 12:35:00 ----A---- C:\WINDOWS\system32\pbsvc.exe
2009-07-21 12:34:43 ----A---- C:\WINDOWS\system32\xactengine2_10.dll
2009-07-21 12:34:42 ----A---- C:\WINDOWS\system32\d3dx9_36.dll
2009-07-21 12:34:42 ----A---- C:\WINDOWS\system32\d3dx10_36.dll
2009-07-21 12:34:42 ----A---- C:\WINDOWS\system32\D3DCompiler_36.dll
2009-07-21 12:34:41 ----A---- C:\WINDOWS\system32\xactengine2_9.dll
2009-07-21 12:34:41 ----A---- C:\WINDOWS\system32\d3dx9_35.dll
2009-07-21 12:34:41 ----A---- C:\WINDOWS\system32\d3dx10_35.dll
2009-07-21 12:34:41 ----A---- C:\WINDOWS\system32\D3DCompiler_35.dll
2009-07-21 12:34:40 ----A---- C:\WINDOWS\system32\xactengine2_8.dll
2009-07-21 12:34:40 ----A---- C:\WINDOWS\system32\X3DAudio1_2.dll
2009-07-21 12:34:40 ----A---- C:\WINDOWS\system32\d3dx9_34.dll
2009-07-21 12:34:40 ----A---- C:\WINDOWS\system32\d3dx10_34.dll
2009-07-21 12:34:40 ----A---- C:\WINDOWS\system32\D3DCompiler_34.dll
2009-07-21 12:34:39 ----A---- C:\WINDOWS\system32\xinput1_3.dll
2009-07-21 12:34:38 ----A---- C:\WINDOWS\system32\xactengine2_7.dll
2009-07-21 12:34:37 ----A---- C:\WINDOWS\system32\d3dx10_33.dll
2009-07-21 12:34:37 ----A---- C:\WINDOWS\system32\D3DCompiler_33.dll
2009-07-21 12:34:36 ----A---- C:\WINDOWS\system32\xactengine2_6.dll
2009-07-21 12:34:36 ----A---- C:\WINDOWS\system32\d3dx9_33.dll
2009-07-21 12:34:35 ----A---- C:\WINDOWS\system32\xactengine2_5.dll
2009-07-21 12:34:35 ----A---- C:\WINDOWS\system32\xactengine2_4.dll
2009-07-21 12:34:35 ----A---- C:\WINDOWS\system32\x3daudio1_1.dll
2009-07-21 12:34:35 ----A---- C:\WINDOWS\system32\d3dx9_32.dll
2009-07-21 12:34:35 ----A---- C:\WINDOWS\system32\d3dx9_31.dll
2009-07-21 12:34:34 ----A---- C:\WINDOWS\system32\xinput1_2.dll
2009-07-21 12:34:34 ----A---- C:\WINDOWS\system32\xinput1_1.dll
2009-07-21 12:34:34 ----A---- C:\WINDOWS\system32\xactengine2_3.dll
2009-07-21 12:34:34 ----A---- C:\WINDOWS\system32\xactengine2_2.dll
2009-07-21 12:34:34 ----A---- C:\WINDOWS\system32\xactengine2_1.dll
2009-07-21 12:34:30 ----A---- C:\WINDOWS\system32\d3dx9_30.dll
2009-07-21 12:34:29 ----A---- C:\WINDOWS\system32\xinput9_1_0.dll
2009-07-21 12:34:29 ----A---- C:\WINDOWS\system32\xactengine2_0.dll
2009-07-21 12:34:29 ----A---- C:\WINDOWS\system32\x3daudio1_0.dll
2009-07-21 12:34:29 ----A---- C:\WINDOWS\system32\d3dx9_29.dll
2009-07-21 12:34:29 ----A---- C:\WINDOWS\system32\d3dx9_28.dll
2009-07-21 12:34:28 ----A---- C:\WINDOWS\system32\d3dx9_26.dll
2009-07-21 12:34:28 ----A---- C:\WINDOWS\system32\d3dx9_25.dll
2009-07-21 12:34:27 ----A---- C:\WINDOWS\system32\d3dx9_24.dll
2009-07-21 12:24:17 ----D---- C:\Programme\DAEMON Tools Toolbar

sheryO

20.08.2009 15:33

Teil 2

Zitat:

======List of files/folders modified in the last 1 months======

2009-08-20 16:27:54 ----D---- C:\WINDOWS
2009-08-20 16:26:44 ----D---- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Skype
2009-08-20 16:25:23 ----D---- C:\WINDOWS\Temp
2009-08-20 16:25:22 ----D---- C:\WINDOWS\system32\CatRoot2
2009-08-20 16:25:18 ----D---- C:\WINDOWS\system32
2009-08-20 16:25:15 ----SD---- C:\WINDOWS\Tasks
2009-08-20 16:20:17 ----N---- C:\WINDOWS\SchedLgU.Txt
2009-08-20 16:09:36 ----D---- C:\WINDOWS\system32\drivers
2009-08-20 15:58:55 ----HD---- C:\WINDOWS\inf
2009-08-20 15:58:37 ----D---- C:\Programme
2009-08-20 15:53:47 ----SHD---- C:\WINDOWS\Installer
2009-08-20 15:53:46 ----D---- C:\WINDOWS\WinSxS
2009-08-20 15:38:15 ----D---- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\skypePM
2009-08-20 13:39:27 ----D---- C:\Programme\Garena
2009-08-20 13:11:49 ----D---- C:\Programme\Mozilla Firefox
2009-08-20 12:59:17 ----D---- C:\WINDOWS\Prefetch
2009-08-19 15:36:03 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
2009-08-14 17:46:28 ----D---- C:\WINDOWS\Debug
2009-08-13 14:25:13 ----RSHDC---- C:\WINDOWS\system32\dllcache
2009-08-13 14:25:00 ----A---- C:\WINDOWS\win.ini
2009-08-13 14:24:04 ----HD---- C:\WINDOWS\$hf_mig$
2009-08-13 14:23:48 ----D---- C:\Programme\Outlook Express
2009-08-05 10:59:36 ----A---- C:\WINDOWS\system32\mswebdvd.dll
2009-07-30 02:49:14 ----A---- C:\WINDOWS\system32\MRT.exe
2009-07-29 14:46:30 ----D---- C:\Programme\Internet Explorer
2009-07-21 12:35:00 ----D---- C:\WINDOWS\system32\LogFiles
2009-07-21 12:34:58 ----D---- C:\Programme\Gemeinsame Dateien\Microsoft Shared
2009-07-21 12:34:44 ----D---- C:\WINDOWS\system32\DirectX
2009-07-21 12:34:31 ----D---- C:\WINDOWS\Microsoft.NET
2009-07-21 12:27:19 ----HD---- C:\Programme\InstallShield Installation Information
2009-07-21 12:21:19 ----D---- C:\WINDOWS\system32\Restore

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 avgio;avgio; \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys []
R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2009-03-30 96104]
R1 intelppm;Intel-Prozessortreiber; C:\WINDOWS\system32\DRIVERS\intelppm.sys [2008-04-14 40448]
R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2009-05-11 28520]
R2 avgntflt;avgntflt; C:\WINDOWS\system32\DRIVERS\avgntflt.sys [2009-07-28 55656]
R2 DgiVecp;Team MFP Comm Driver; C:\WINDOWS\System32\Drivers\DgiVecp.sys [2005-03-14 41984]
R3 Arp1394;1394-ARP-Clientprotokoll; C:\WINDOWS\system32\DRIVERS\arp1394.sys [2008-04-14 60800]
R3 ati2mtag;ati2mtag; C:\WINDOWS\system32\DRIVERS\ati2mtag.sys [2006-06-07 1580544]
R3 ATIAVAIW;ATI T200 Unified AVStream service; C:\WINDOWS\system32\DRIVERS\atinavt2.sys [2006-05-03 166528]
R3 E100B;Intel(R) PRO Network Connection Driver; C:\WINDOWS\system32\DRIVERS\e100b325.sys [2006-01-12 163328]
R3 HdAudAddService;Microsoft UAA-Funktionstreiber für den High Definition Audio-Dienst; C:\WINDOWS\system32\drivers\HdAudio.sys [2004-03-17 113664]
R3 HDAudBus;Microsoft UAA-Bustreiber für High Definition Audio; C:\WINDOWS\system32\DRIVERS\HDAudBus.sys [2008-04-13 144384]
R3 NIC1394;1394-Netzwerktreiber; C:\WINDOWS\system32\DRIVERS\nic1394.sys [2008-04-14 61824]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2008-04-14 30208]
R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2008-04-14 59520]
R3 usbstor;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-14 26368]
R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2008-04-14 20608]
S3 afs2kg7s;afs2kg7s; C:\WINDOWS\system32\drivers\afs2kg7s.sys []
S3 CCDECODE;Untertiteldecoder; C:\WINDOWS\system32\DRIVERS\CCDECODE.sys [2008-04-14 17024]
S3 GarenaPEngine;GarenaPEngine; \??\C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\USR3.tmp []
S3 HidUsb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-14 10368]
S3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-08-18 12288]
S3 MPE;BDA MPE-Filter; C:\WINDOWS\system32\DRIVERS\MPE.sys [2008-04-14 15232]
S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\WINDOWS\system32\drivers\MSTEE.sys [2008-04-14 5504]
S3 NABTSFEC;NABTS/FEC VBI-Codec; C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys [2008-04-14 85248]
S3 NdisIP;Microsoft TV-/Videoverbindung; C:\WINDOWS\system32\DRIVERS\NdisIP.sys [2008-04-14 10880]
S3 PCANDIS5;PCANDIS5 NDIS Protocol Driver; \??\C:\WINDOWS\system32\PCANDIS5.SYS []
S3 PRISM_A02;Sinus 154 stick; C:\WINDOWS\system32\DRIVERS\PRISMA02.sys [2005-10-19 357792]
S3 SLIP;BDA Slip De-Framer; C:\WINDOWS\system32\DRIVERS\SLIP.sys [2008-04-14 11136]
S3 streamip;BDA-IPSink; C:\WINDOWS\system32\DRIVERS\StreamIP.sys [2008-04-14 15232]
S3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2008-04-14 25856]
S3 WSTCODEC;World Standard Teletext-Codec; C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS [2008-04-14 19200]
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AntiVirSchedulerService;Avira AntiVir Planer; C:\Programme\Avira\AntiVir Desktop\sched.exe [2009-05-13 108289]
R2 AntiVirService;Avira AntiVir Guard; C:\Programme\Avira\AntiVir Desktop\avguard.exe [2009-07-21 185089]
R2 Ati HotKey Poller;Ati HotKey Poller; C:\WINDOWS\system32\Ati2evxx.exe [2006-06-07 409600]
R2 ICQ Service;ICQ Service; C:\Programme\ICQ6Toolbar\ICQ Service.exe [2008-10-19 222456]
R2 PnkBstrA;PnkBstrA; C:\WINDOWS\system32\PnkBstrA.exe [2009-07-21 66872]
R2 PnkBstrB;PnkBstrB; C:\WINDOWS\system32\PnkBstrB.exe [2009-07-21 107832]
S2 gupdate1c95c6770dd76de;Google Update Service (gupdate1c95c6770dd76de); C:\Programme\Google\Update\GoogleUpdate.exe [2009-02-18 133104]
S2 gusvc;Google Software Updater; C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-03-21 183280]
S3 aspnet_state;ASP.NET-Statusdienst; C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_state.exe [2004-07-15 32768]
S3 ose;Office Source Engine; C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE [2002-12-31 89136]
S3 WLSetupSvc;Windows Live Setup Service; C:\Programme\Windows Live\installer\WLSetupSvc.exe [2007-10-25 266240]

-----------------EOF-----------------

Mit freundlichen Grüßen
sheryO

Moritz009

20.08.2009 15:50

EDIT: Oha, da warst du, Andreas wohl schneler als ich^^ Na ja, Dann geht´s jetzt besser bei dir weiter!:)
Liebe Grüße Moritz009

john.doe

20.08.2009 15:50

Hallo und :hallo:

Rootkitwarnung! Du hast eine schwere Infektion die nur mit sehr viel Zeitaufwand zu bereinigen ist. Deshalb empfehle ich dir die schnelle und sichere Methode => http://www.trojaner-board.de/51262-a...sicherung.html

Solltest du trotzdem die Bereinigung vorziehen, dann beginne mit ComboFix. Vorher solltest du jedoch deine Daten auf externe Medien oder andere Partitionen sichern.

Solltest du noch irgendetwas mit dem Computer verbinden, wie Memorysticks, Speicherkarten, Digitalkameras, Handy, externe Laufwerke, ... dann stecke vor dem Scan alles an.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

ciao, andreas

sheryO

21.08.2009 14:29

Ich habe die zweite Bereinigungsmethode mit CCleaner und ComboFix gewählt, da sie mir doch einfacher erschien.

Hier das Log von ComboFix:

Zitat:

ComboFix 09-08-20.07 - Administrator 21.08.2009 15:19.1.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.2046.1676 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Administrator\Desktop\cofi.exe
AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\recover.reg
c:\windows\system32\drivers\UACkwfnldouwe.sys
c:\windows\system32\instsrv.exe
c:\windows\system32\UACabpawqteoe.dll
c:\windows\system32\uacinit.dll
c:\windows\system32\UACoybppynkcx.dll
c:\windows\system32\UACrrwopphqpx.dll
c:\windows\system32\UACsdstaeclfa.db
c:\windows\system32\UACuerxrbqiel.dat

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_UACd.sys
-------\Legacy_UACd.sys

((((((((((((((((((((((( Dateien erstellt von 2009-07-21 bis 2009-08-21 ))))))))))))))))))))))))))))))
.

2009-08-21 12:57 . 2009-08-21 12:57 -------- d-----w- c:\programme\CCleaner
2009-08-20 13:58 . 2009-08-20 13:58 -------- d-----w- c:\dokumente und einstellungen\LocalService\Startmenü
2009-08-20 13:58 . 2009-07-28 14:33 55656 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-08-20 13:58 . 2009-03-30 08:33 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
2009-08-20 13:58 . 2009-02-13 10:29 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
2009-08-20 13:58 . 2009-02-13 10:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys
2009-08-20 13:58 . 2009-08-20 13:58 -------- d-----w- c:\programme\Avira
2009-08-20 13:58 . 2009-08-20 13:58 -------- d-----w- c:\dokume~1\ALLUSE~1\ANWEND~1\Avira
2009-08-20 13:48 . 2009-08-20 13:48 -------- d-----w- C:\rsit
2009-08-20 13:43 . 2009-08-03 11:36 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-08-20 13:43 . 2009-08-20 14:21 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2009-08-20 13:43 . 2009-08-20 13:43 -------- d-----w- c:\dokume~1\ALLUSE~1\ANWEND~1\Malwarebytes
2009-08-20 13:43 . 2009-08-03 11:36 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-08-20 13:37 . 2009-08-20 13:37 -------- d-sh--w- c:\windows\system32\config\systemprofile\IETldCache
2009-08-20 11:30 . 2009-08-20 11:30 -------- d-s---w- C:\test.com
2009-08-19 15:32 . 2009-08-19 15:32 71168 ----a-w- c:\windows\system32\drivers\kbccdbdwpspwiwul.sys
2009-08-18 18:10 . 2009-08-18 18:10 -------- d-----w- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Yahoo
2009-08-18 18:00 . 2009-08-18 18:00 -------- d-----w- c:\dokume~1\ADMINI~1\ANWEND~1\Yahoo!
2009-08-18 17:59 . 2009-08-20 10:29 -------- d-----w- c:\dokume~1\ALLUSE~1\ANWEND~1\Yahoo!
2009-08-18 17:59 . 2009-08-20 10:29 -------- d-----w- c:\programme\Yahoo!
2009-08-13 08:04 . 2009-07-10 13:26 1315328 -c----w- c:\windows\system32\dllcache\msoe.dll
2009-08-05 08:59 . 2009-08-05 08:59 206336 -c----w- c:\windows\system32\dllcache\mswebdvd.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-08-21 12:50 . 2009-03-08 11:37 -------- d-----w- c:\dokume~1\ADMINI~1\ANWEND~1\Skype
2009-08-20 17:51 . 2009-03-08 11:40 -------- d-----w- c:\dokume~1\ADMINI~1\ANWEND~1\skypePM
2009-08-20 11:39 . 2009-07-09 12:34 -------- d-----w- c:\programme\Garena
2009-08-19 13:36 . 2008-12-06 12:48 -------- d-----w- c:\dokume~1\ALLUSE~1\ANWEND~1\Google Updater
2009-08-07 15:57 . 2008-05-13 09:07 112985 ----a-w- c:\windows\War3Unin.dat
2009-08-05 08:59 . 2002-12-31 12:00 206336 ----a-w- c:\windows\system32\mswebdvd.dll
2009-07-21 10:35 . 2009-07-21 10:35 -------- d-----w- c:\dokume~1\ALLUSE~1\ANWEND~1\Ubisoft
2009-07-21 10:35 . 2009-07-21 10:35 22328 ----a-w- c:\windows\system32\drivers\PnkBstrK.sys
2009-07-21 10:35 . 2009-07-21 10:35 22328 ----a-w- c:\dokume~1\ADMINI~1\ANWEND~1\PnkBstrK.sys
2009-07-21 10:35 . 2009-07-21 10:35 107832 ----a-w- c:\windows\system32\PnkBstrB.exe
2009-07-21 10:35 . 2009-07-21 10:35 66872 ----a-w- c:\windows\system32\PnkBstrA.exe
2009-07-21 10:35 . 2009-07-21 10:35 2337865 ----a-w- c:\windows\system32\pbsvc.exe
2009-07-21 10:27 . 2006-06-28 09:47 -------- d--h--w- c:\programme\InstallShield Installation Information
2009-07-21 10:24 . 2009-07-21 10:24 -------- d-----w- c:\programme\DAEMON Tools Toolbar
2009-07-21 10:21 . 2009-07-21 10:21 721904 ----a-w- c:\windows\system32\drivers\sptd.sys
2009-07-17 19:01 . 2002-12-31 12:00 58880 ----a-w- c:\windows\system32\atl.dll
2009-07-12 10:21 . 2002-12-31 12:00 233472 ----a-w- c:\windows\system32\wmpdxm.dll
2009-07-03 16:55 . 2002-12-31 12:00 915456 ----a-w- c:\windows\system32\wininet.dll
2009-07-03 16:51 . 2008-08-19 12:36 -------- d-----w- c:\dokume~1\ADMINI~1\ANWEND~1\SPORE Creature Creator
2009-07-03 16:51 . 2006-07-17 08:28 107888 ----a-w- c:\windows\system32\CmdLineExt.dll
2009-06-19 16:03 . 2009-06-19 16:03 552 ----a-w- c:\windows\system32\d3d8caps.dat
2009-06-16 14:36 . 2002-12-31 12:00 81920 ----a-w- c:\windows\system32\fontsub.dll
2009-06-16 14:36 . 2002-12-31 12:00 119808 ----a-w- c:\windows\system32\t2embed.dll
2009-06-15 10:43 . 2002-12-31 12:00 78848 ----a-w- c:\windows\system32\telnet.exe
2009-06-15 10:43 . 2002-12-31 12:00 82944 ----a-w- c:\windows\system32\tlntsess.exe
2009-06-10 14:13 . 2002-12-31 12:00 85504 ----a-w- c:\windows\system32\avifil32.dll
2009-06-10 07:19 . 2006-06-28 09:32 2066432 ----a-w- c:\windows\system32\mstscax.dll
2009-06-10 06:14 . 2002-12-31 12:00 132096 ----a-w- c:\windows\system32\wkssvc.dll
2009-06-03 19:09 . 2002-12-31 12:00 1296896 ----a-w- c:\windows\system32\quartz.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-08-05 68856]
"WEB.DE_WEB.DE MultiMessenger"="c:\programme\WEB.DE\WEB.DE MultiMessenger\MESSENGR.EXE" [2009-01-28 4863408]
"Skype"="c:\programme\Skype\Phone\Skype.exe" [2009-02-04 23975720]
"ICQ"="c:\programme\ICQ6.5\ICQ.exe" [2009-03-01 172792]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2006-06-28 98304]
"Samsung Common SM"="c:\windows\Samsung\ComSMMgr\ssmmgr.exe" [2005-07-03 372736]
"Adobe Photo Downloader"="c:\programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" [2007-03-16 63712]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAudPropShortcut.exe" - c:\windows\system32\Hdaudpropshortcut.exe [2004-03-17 61952]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoSMHelp"= 1 (0x1)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\NAMCO BANDAI Games\\Warhammer® Mark of Chaos\\Warhammer.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"g:\\Warcraft III\\Warcraft III.exe"=
"c:\\Programme\\The Creative Assembly\\Rome - Total War\\RomeTW.exe"=
"c:\\Programme\\WEB.DE\\WEB.DE MultiMessenger\\MESSENGR.EXE"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\Garena\\Garena.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [20.08.2009 15:58 108289]
R2 ICQ Service;ICQ Service;c:\programme\ICQ6Toolbar\ICQ Service.exe [15.05.2009 21:03 222456]
S2 gupdate1c95c6770dd76de;Google Update Service (gupdate1c95c6770dd76de);c:\programme\Google\Update\GoogleUpdate.exe [12.12.2008 16:39 133104]
S3 GarenaPEngine;GarenaPEngine;\??\c:\dokume~1\ADMINI~1\LOKALE~1\Temp\USR3.tmp --> c:\dokume~1\ADMINI~1\LOKALE~1\Temp\USR3.tmp [?]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

ShellExecuteHooks-{F60A0B68-AF3A-C1D2-CD09-5A81A136D2BA} - (no file)

.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
TCP: {0B316D96-1017-4617-B52A-C617BD9C68B8} = 192.168.100.1
FF - ProfilePath - c:\dokume~1\ADMINI~1\ANWEND~1\Mozilla\Firefox\Profiles\9oes8frx.default\
FF - prefs.js: browser.search.selectedEngine - GoogIe
FF - prefs.js: browser.startup.homepage - hxxp://start.icq.com/
FF - prefs.js: keyword.URL - hxxp://www.offos.com/search/?ie=UTF-8&oe=UTF-8&sourceid=navclient&gfns=1&rls=8QYAJ5lM&q=
FF - plugin: c:\programme\Google\Google Updater\2.4.1536.6592\npCIDetect13.dll
FF - plugin: c:\programme\Google\Update\1.2.183.7\npGoogleOneClick8.dll

---- FIREFOX Richtlinien ----

FF - user.js: browser.search.selectedEngine - GoogIe
FF - user.js: keyword.URL - hxxp://www.offos.com/search/?ie=UTF-8&oe=UTF-8&sourceid=navclient&gfns=1&rls=8QYAJ5lM&q=
FF - user.js: yahoo.homepage.dontask - true.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-08-21 15:26
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\GarenaPEngine]
"ImagePath"="\??\c:\dokume~1\ADMINI~1\LOKALE~1\Temp\USR3.tmp"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-746137067-1177238915-725345543-500\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (Administrator)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,ec,4d,9c,31,04,6c,1f,4f,93,b3,4a,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,ec,4d,9c,31,04,6c,1f,4f,93,b3,4a,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10c.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10c.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}]
@Denied: (A 2) (Everyone)
@="IFlashBroker3"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h–€|ÿÿÿÿ¤•€|ù•6~*]
"7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(508)
c:\windows\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2009-08-21 15:27
ComboFix-quarantined-files.txt 2009-08-21 13:27

Vor Suchlauf: 3.999.973.376 Bytes frei
Nach Suchlauf: 3.985.137.664 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

195 --- E O F --- 2009-08-13 12:25

john.doe

21.08.2009 15:20

Zitat:

da sie mir doch einfacher erschien.

:lach: Das ist nur der Anfang einer ganz langen Kette. ;)

Hast du dir ErrorSmart freiwillig installiert?

ciao, andreas

sheryO

21.08.2009 15:34

Ich habe mir Error Smart sicher nicht selbst runtergeladen, da ich bis vor wenigen Minuten noch nicht mal wusste, was Error Smart für ein Programm ist.
Jetzt weiß ich, nachdem ich danach gegoogelt habe, dass es ein verbrecherisches Spyware Programm ist.

Und außer mir kommt auch keiner an den PC, bis auf meinen Computerfachmann, der meinen Computer repariert, wenn er mal kaputt sein sollte. Ihm vertraue ich aber und ich bin davon überzeugt, dass er mir, falls er es runtergeladen haben sollte, nicht damit schaden wollte.

Zitat:

Das ist nur der Anfang einer ganz langen Kette.

Dann sag mir am besten gleich, was ich als nächtes tun soll.

P.S.: Das Problem mit der Weiterleitung auf Windowsclick.com hatte ich nach ComboFix nicht mehr.

MfG
sheryO

john.doe

21.08.2009 15:37

Poste bitte das fehlende Log von RSIT.

Start => Ausführen => c:\rsit\info.txt => OK

ciao, andreas

sheryO

21.08.2009 16:07

Sry, das hab ich wohl übersehen...

Zitat:

info.txt logfile of random's system information tool 1.06 2009-08-20 15:48:34

======Uninstall list======

-->MsiExec.exe /I{403EF592-953B-4794-BCEF-ECAB835C2095}
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{4F6DFDC8-7EAA-4B9B-AC3A-AE04F77D81CF}\Setup.exe" -l0x7
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
ACDSee 32-->C:\PROGRA~1\ACDSee32\UNWISE.EXE C:\PROGRA~1\ACDSee32\INSTALL.LOG
Adobe Flash Player 10 ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player 10 Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Reader 9.1.2 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A91000000001}
Adobe® Photoshop® Album Starter Edition 3.2-->MsiExec.exe /I{A654A805-41D9-40C7-AA46-4AF04F044D61}
AssaultCube v0.93-->"C:\Programme\AssaultCube\uninstall.exe"
ATI Display Driver-->rundll32 C:\WINDOWS\system32\atiiiexx.dll,_InfEngUnInstallINFFile_RunDLL@16 -force_restart -flags:0x2010001 -inf_class:DISPLAY -clean
Avira AntiVir Personal - Free Antivirus-->C:\Programme\Avira\AntiVir PersonalEdition Classic\SETUP.EXE /REMOVE
CleanUp!-->C:\Programme\CleanUp!\uninstall.exe
ClearType Tuning Control Panel Applet-->MsiExec.exe /I{C9E4932C-8417-4E4C-A0E3-EE534810AB4D}
DynaGeo 3.1f-->"C:\Programme\DynaGeo\unins000.exe"
FIFA 2004-->C:\Programme\EA SPORTS\FIFA 2004\EAUninstall.exe
Filzip 2.01-->C:\Programme\FilZip\unins000.exe
Garena-->C:\Programme\Garena\uninst.exe
GIMP 2.6.5-->"C:\Programme\GIMP-2.0\setup\unins000.exe"
Google Chrome-->"C:\Programme\Google\Chrome\Application\2.0.172.39\Installer\setup.exe" --uninstall --system-level
Google Toolbar for Internet Explorer-->"C:\Programme\Google\Google Toolbar\Component\GoogleToolbarManager_E582EA556D8DE101.exe" /uninstall
Google Toolbar for Internet Explorer-->MsiExec.exe /I{18455581-E099-4BA8-BC6B-F34B2F06600C}
Google Update Helper-->MsiExec.exe /I{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}
Google Updater-->"C:\Programme\Google\Google Updater\GoogleUpdater.exe" -uninstall
Grand Theft Auto Vice City-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{4B35F00C-E63D-40DC-9839-DF15A33EAC46}\Setup.exe" -l0x7
GUILD WARS-->"C:\Programme\GUILD WARS\Gw.exe" -uninstall
HdR Die Rückkehr des Königs tm-->C:\Programme\EA GAMES\HdR Die Rückkehr des Königs tm\EAUninstall.exe
High Definition Audio Driver Package - KB835221-->C:\WINDOWS\$NtUninstallKB835221WXP$\spuninst\spuninst.exe
HijackThis 2.0.2-->"C:\Programme\Trend Micro\HijackThis\HijackThis.exe" /uninstall
Hotfix für Windows Internet Explorer 7 (KB947864)-->"C:\WINDOWS\ie7updates\KB947864-IE7\spuninst\spuninst.exe"
Hotfix für Windows XP (KB952287)-->"C:\WINDOWS\$NtUninstallKB952287$\spuninst\spuninst.exe"
ICQ Toolbar-->C:\Programme\ICQ6Toolbar\ICQUnToolbar.exe
ICQ6.5-->"C:\Programme\InstallShield Installation Information\{60DE4033-9503-48D1-A483-7846BD217CA9}\setup.exe" -runfromtemp -l0x0009 -removeonly
Intel(R) PRO Network Connections Drivers-->Prounstl.exe
Intel(R) PRO Network Connections-->MsiExec.exe /I{205C26CB-6D52-458C-A87F-1EE77F9625C6}
Java(TM) 6 Update 5-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160050}
K-Lite Codec Pack 2.72 Full-->"C:\Programme\K-Lite Codec Pack\unins000.exe"
Malwarebytes' Anti-Malware-->"C:\Programme\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft .NET Framework 1.1 German Language Pack-->MsiExec.exe /X{E78BFA60-5393-4C38-82AB-E8019E464EB4}
Microsoft .NET Framework 1.1 Hotfix (KB928366)-->"C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\hotfix.exe" "C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\M928366\M928366Uninstall.msp"
Microsoft .NET Framework 1.1-->msiexec.exe /X {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 1.1-->MsiExec.exe /X{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft Internationalized Domain Names Mitigation APIs-->"C:\WINDOWS\$NtServicePackUninstallIDNMitigationAPIs$\spuninst\spuninst.exe"
Microsoft National Language Support Downlevel APIs-->"C:\WINDOWS\$NtServicePackUninstallNLSDownlevelMapping$\spuninst\spuninst.exe"
Microsoft Office Professional Edition 2003-->MsiExec.exe /I{90110407-6000-11D3-8CFE-0150048383C9}
Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053-->MsiExec.exe /X{770657D0-A123-3C07-8E44-1C83EC895118}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
Mozilla Firefox (3.0.13)-->C:\Programme\Mozilla Firefox\uninstall\helper.exe
MSXML 4.0 SP2 (KB927978)-->MsiExec.exe /I{37477865-A3F1-4772-AD43-AAFC6BCFF99F}
MSXML 4.0 SP2 (KB936181)-->MsiExec.exe /I{C04E32E0-0416-434D-AFB9-6969D703A9EF}
MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
Nero 6 Reloaded PlugIn Pack v2.0.5 by GEAR for www.goldesel.to-->MsiExec.exe /X{8DD42AE0-5F59-4AA7-8DCB-B6CC7C1C08EB}
Nero 6 Ultra Edition-->C:\Programme\Ahead\nero\uninstall\UNNERO.exe /UNINSTALL
Nero BurnRights-->C:\WINDOWS\UNNeroBurnRights.exe /UNINSTALL
phase5-->"C:\Programme\phase5\uninstall.exe"
PowerDVD-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}\Setup.exe" -uninstall
PunkBuster Services-->C:\WINDOWS\system32\pbsvc.exe -u
QuickTime-->C:\WINDOWS\unvise32qt.exe C:\WINDOWS\system32\QuickTime\Uninstall.log
Rome - Total War - Gold Edition-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{2E97F7E8-ABDE-4E0D-B0AD-B6B4BAD89E24}\setup.exe" -l0x7 -removeonly
Samsung ML-2010 Series-->C:\WINDOWS\Samsung\ML-2010\SETUP.EXE
Sicherheitsupdate für Windows Internet Explorer 7 (KB938127-v2)-->"C:\WINDOWS\ie7updates\KB938127-v2-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB950759)-->"C:\WINDOWS\ie7updates\KB950759-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB953838)-->"C:\WINDOWS\ie7updates\KB953838-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB956390)-->"C:\WINDOWS\ie7updates\KB956390-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB958215)-->"C:\WINDOWS\ie7updates\KB958215-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB960714)-->"C:\WINDOWS\ie7updates\KB960714-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB961260)-->"C:\WINDOWS\ie7updates\KB961260-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB963027)-->"C:\WINDOWS\ie7updates\KB963027-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB969897)-->"C:\WINDOWS\ie7updates\KB969897-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 8 (KB969897)-->"C:\WINDOWS\ie8updates\KB969897-IE8\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 8 (KB972260)-->"C:\WINDOWS\ie8updates\KB972260-IE8\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player (KB952069)-->"C:\WINDOWS\$NtUninstallKB952069_WM9$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player (KB973540)-->"C:\WINDOWS\$NtUninstallKB973540_WM9$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB913433)-->C:\WINDOWS\system32\MacroMed\Flash\genuinst.exe C:\WINDOWS\system32\MacroMed\Flash\KB913433.inf
Sicherheitsupdate für Windows XP (KB923561)-->"C:\WINDOWS\$NtUninstallKB923561$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB938464)-->"C:\WINDOWS\$NtUninstallKB938464$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB941569)-->"C:\WINDOWS\$NtUninstallKB941569$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB946648)-->"C:\WINDOWS\$NtUninstallKB946648$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950760)-->"C:\WINDOWS\$NtUninstallKB950760$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950762)-->"C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950974)-->"C:\WINDOWS\$NtUninstallKB950974$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951066)-->"C:\WINDOWS\$NtUninstallKB951066$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951376)-->"C:\WINDOWS\$NtUninstallKB951376$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951376-v2)-->"C:\WINDOWS\$NtUninstallKB951376-v2$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951698)-->"C:\WINDOWS\$NtUninstallKB951698$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951748)-->"C:\WINDOWS\$NtUninstallKB951748$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB952004)-->"C:\WINDOWS\$NtUninstallKB952004$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB952954)-->"C:\WINDOWS\$NtUninstallKB952954$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB953839)-->"C:\WINDOWS\$NtUninstallKB953839$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB954211)-->"C:\WINDOWS\$NtUninstallKB954211$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB954459)-->"C:\WINDOWS\$NtUninstallKB954459$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB954600)-->"C:\WINDOWS\$NtUninstallKB954600$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB955069)-->"C:\WINDOWS\$NtUninstallKB955069$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956391)-->"C:\WINDOWS\$NtUninstallKB956391$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956572)-->"C:\WINDOWS\$NtUninstallKB956572$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956744)-->"C:\WINDOWS\$NtUninstallKB956744$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956802)-->"C:\WINDOWS\$NtUninstallKB956802$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956803)-->"C:\WINDOWS\$NtUninstallKB956803$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956841)-->"C:\WINDOWS\$NtUninstallKB956841$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB957095)-->"C:\WINDOWS\$NtUninstallKB957095$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB957097)-->"C:\WINDOWS\$NtUninstallKB957097$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958644)-->"C:\WINDOWS\$NtUninstallKB958644$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958687)-->"C:\WINDOWS\$NtUninstallKB958687$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958690)-->"C:\WINDOWS\$NtUninstallKB958690$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB959426)-->"C:\WINDOWS\$NtUninstallKB959426$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960225)-->"C:\WINDOWS\$NtUninstallKB960225$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960715)-->"C:\WINDOWS\$NtUninstallKB960715$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960803)-->"C:\WINDOWS\$NtUninstallKB960803$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960859)-->"C:\WINDOWS\$NtUninstallKB960859$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB961371)-->"C:\WINDOWS\$NtUninstallKB961371$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB961373)-->"C:\WINDOWS\$NtUninstallKB961373$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB961501)-->"C:\WINDOWS\$NtUninstallKB961501$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB968537)-->"C:\WINDOWS\$NtUninstallKB968537$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB969898)-->"C:\WINDOWS\$NtUninstallKB969898$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB970238)-->"C:\WINDOWS\$NtUninstallKB970238$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB971557)-->"C:\WINDOWS\$NtUninstallKB971557$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB971633)-->"C:\WINDOWS\$NtUninstallKB971633$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB971657)-->"C:\WINDOWS\$NtUninstallKB971657$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB973346)-->"C:\WINDOWS\$NtUninstallKB973346$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB973354)-->"C:\WINDOWS\$NtUninstallKB973354$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB973507)-->"C:\WINDOWS\$NtUninstallKB973507$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB973869)-->"C:\WINDOWS\$NtUninstallKB973869$\spuninst\spuninst.exe"
Sinus 154 stick-->C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe /M{AB947851-5B71-4AFD-AA05-A0685938EE34}
Skype™ 4.0-->MsiExec.exe /X{24D753CA-6AE9-4E30-8F5F-EFC93E08BF3D}
Snapshot (remove only)-->"C:\Programme\Snapshot\uninstall.exe"
Spelling Dictionaries Support For Adobe Reader 9-->MsiExec.exe /I{AC76BA86-7AD7-5464-3428-900000000004}
SPORE™ Labor Basisversion-->"C:\Programme\InstallShield Installation Information\{ECEE0279-785F-4CB3-9F28-E69813234BF8}\setup.exe" -runfromtemp -l0x0007 -removeonly
Spybot - Search & Destroy 1.4-->"C:\Programme\Spybot - Search & Destroy\unins000.exe"
Stronghold 2-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{16D2C649-CBA8-44EE-B730-12584667D487}\setup.exe" -l0x7 -removeonly
TEW2005-->C:\PROGRA~1\GDS\TEW2005\UNWISE.EXE C:\PROGRA~1\GDS\TEW2005\INSTALL.LOG
Total Commander (Remove or Repair)-->c:\totalcmd\tcuninst.exe
Tweak UI-->MsiExec.exe /I{64649281-4B5D-4425-A0F7-E79F6756FFC8}
Update für Windows Internet Explorer 8 (KB971930)-->"C:\WINDOWS\ie8updates\KB971930-IE8\spuninst\spuninst.exe"
Update für Windows XP (KB951072-v2)-->"C:\WINDOWS\$NtUninstallKB951072-v2$\spuninst\spuninst.exe"
Update für Windows XP (KB951978)-->"C:\WINDOWS\$NtUninstallKB951978$\spuninst\spuninst.exe"
Update für Windows XP (KB955839)-->"C:\WINDOWS\$NtUninstallKB955839$\spuninst\spuninst.exe"
Update für Windows XP (KB967715)-->"C:\WINDOWS\$NtUninstallKB967715$\spuninst\spuninst.exe"
Update für Windows XP (KB973815)-->"C:\WINDOWS\$NtUninstallKB973815$\spuninst\spuninst.exe"
VideoLAN VLC media player 0.8.5-->C:\Programme\VideoLAN\VLC\uninstall.exe
Warhammer® Mark of Chaos-->C:\Programme\InstallShield Installation Information\{5F374D5D-DB43-4263-9C29-BAB2C93FEFE6}\setup.exe -runfromtemp -l0x0007 -removeonly
WEB.DE MultiMessenger-->C:\Programme\WEB.DE\WEB.DE MultiMessenger\uninst.exe
Win2PDF 1.94-->C:\WINDOWS\system32\spool\drivers\w32x86\2\Win2PDF\unins000.exe
Winamp (remove only)-->"C:\Programme\Winamp\UninstWA.exe"
Windows Internet Explorer 8-->"C:\WINDOWS\ie8\spuninst\spuninst.exe"
Windows Live installer-->MsiExec.exe /X{7A7B0BF3-2F00-4F03-8A9B-6ABCC07B90C6}
Windows XP Service Pack 3-->"C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe"
WinZip-->"C:\Programme\WinZip\winzip32.exe" /uninstall
xp-AntiSpy 3.97-->C:\Programme\xp-AntiSpy\Uninstall.exe

=====HijackThis Backups=====

O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe [2008-05-19]
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-05-19]
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-05-19]

======Security center information======

AV: Avira AntiVir PersonalEdition

======System event log======

Computer Name: PC-***
Event Code: 7035
Message: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "RAS-Verbindungsverwaltung" gesendet.

Record Number: 47154
Source Name: Service Control Manager
Time Written: 20090724125034.000000+120
Event Type: Informationen
User: PC-***\Administrator

Computer Name: PC-***
Event Code: 7036
Message: Dienst "Telefonie" befindet sich jetzt im Status "Ausgeführt".

Record Number: 47153
Source Name: Service Control Manager
Time Written: 20090724125034.000000+120
Event Type: Informationen
User:

Computer Name: PC-***
Event Code: 7035
Message: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "SSDP-Suchdienst" gesendet.

Record Number: 47152
Source Name: Service Control Manager
Time Written: 20090724125034.000000+120
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

Computer Name: PC-***
Event Code: 7036
Message: Dienst "NLA (Network Location Awareness)" befindet sich jetzt im Status "Ausgeführt".

Record Number: 47151
Source Name: Service Control Manager
Time Written: 20090724125034.000000+120
Event Type: Informationen
User:

Computer Name: PC-***
Event Code: 7036
Message: Dienst "Kompatibilität für schnelle Benutzerumschaltung" befindet sich jetzt im Status "Ausgeführt".

Record Number: 47150
Source Name: Service Control Manager
Time Written: 20090724125033.000000+120
Event Type: Informationen
User:

=====Application event log=====

Computer Name: PC-***
Event Code: 4096
Message:
Record Number: 5
Source Name: Avira AntiVir
Time Written: 20090730161240.000000+120
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

Computer Name: PC-***
Event Code: 1800
Message: Der Windows-Sicherheitscenterdienst wurde gestartet.

Record Number: 4
Source Name: SecurityCenter
Time Written: 20090730161238.000000+120
Event Type: Informationen
User:

Computer Name: PC-***
Event Code: 0
Message:
Record Number: 3
Source Name: gusvc
Time Written: 20090730161235.000000+120
Event Type: Informationen
User:

Computer Name: PC-***
Event Code: 0
Message:
Record Number: 2
Source Name: ICQ Service
Time Written: 20090730161235.000000+120
Event Type: Informationen
User:

Computer Name: PC-***
Event Code: 0
Message:
Record Number: 1
Source Name: gupdate1c95c6770dd76de
Time Written: 20090730161234.000000+120
Event Type: Informationen
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem
"windir"=%SystemRoot%
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=15
"PROCESSOR_IDENTIFIER"=x86 Family 15 Model 4 Stepping 4, GenuineIntel
"PROCESSOR_REVISION"=0404
"NUMBER_OF_PROCESSORS"=2
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP

-----------------EOF-----------------

john.doe

21.08.2009 16:29

1.) Deinstalliere:

Google Toolbar for Internet Explorer
Google Update Helper (falls möglich)
Google Updater (falls möglich)
ICQ Toolbar
Java(TM) 6 Update 5
Mozilla Firefox (3.0.13)
Spybot - Search & Destroy 1.4
VideoLAN VLC media player 0.8.5

2.) Scripten mit Combofix

Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code:

KILLALL::
 

Driver::

afs2kg7s

ICQ Service

gupdate1c95c6770dd76de

gusvc
 

RegLock::

[HKEY_USERS\S-1-5-21-746137067-1177238915-725345543-500\Software\Microsoft\Internet Explorer\User Preferences]

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}]

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}]
 

Registry::

[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\GarenaPEngine]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]

"{F60A0B68-AF3A-C1D2-CD09-5A81A136D2BA}"=-

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\procexp90.Sys]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{bed7392d-5349-11de-9ac9-0013d3ba5c8b}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"swg"=-

"WEB.DE_WEB.DE MultiMessenger"=-

"Skype"=-

"ICQ"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"QuickTime Task"=-

"Adobe Photo Downloader"=-

"Adobe Reader Speed Launcher"=-

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"=-
 

Folder::

C:\rsit

c:\programme\Google\GoogleToolbarNotifier
 

File::

C:\WINDOWS\tasks\ErrorSmart Scheduled Scan.job

C:\WINDOWS\tasks\Google Software Updater.job

C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job

C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
 

FileLook::

c:\windows\system32\telnet.exe
 

DirLook::

c:\dokumente und einstellungen\LocalService\Startmenü

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

Nun die Datei cfscript.txt auf das Sysmbol von Combofix ziehen!

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

Danach das Log von Combofix ohne zu Editieren posten. Nur wenn dein Vor- und Nachname ersichtlich ist, dann entferne ihn.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

3.) Installiere (Toolbars immer abwählen, Haken weg):

ciao, andreas

sheryO

21.08.2009 17:31

Hier das gewünschte Log:

Zitat:

ComboFix 09-08-20.07 - Administrator 21.08.2009 18:22.2.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.2046.1590 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Administrator\Desktop\cofi.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Administrator\Desktop\cfscript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

FILE ::
"c:\windows\tasks\ErrorSmart Scheduled Scan.job"
"c:\windows\tasks\Google Software Updater.job"
"c:\windows\tasks\GoogleUpdateTaskMachineCore.job"
"c:\windows\tasks\GoogleUpdateTaskMachineUA.job"
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\programme\Google\GoogleToolbarNotifier
c:\programme\Google\GoogleToolbarNotifier\swg-3.1.807.1746\SearchWithGoogleUpdate.exe
c:\programme\Google\GoogleToolbarNotifier\swg-5.1.1309.15642\SearchWithGoogleUpdate.exe
C:\rsit
c:\rsit\info.txt
c:\rsit\log.txt
c:\windows\tasks\ErrorSmart Scheduled Scan.job
c:\windows\tasks\GoogleUpdateTaskMachineCore.job
c:\windows\tasks\GoogleUpdateTaskMachineUA.job

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_GUPDATE1C95C6770DD76DE
-------\Service_gupdate1c95c6770dd76de

((((((((((((((((((((((( Dateien erstellt von 2009-07-21 bis 2009-08-21 ))))))))))))))))))))))))))))))
.

2009-08-21 12:57 . 2009-08-21 12:57 -------- d-----w- c:\programme\CCleaner
2009-08-20 13:58 . 2009-08-20 13:58 -------- d-----w- c:\dokumente und einstellungen\LocalService\Startmenü
2009-08-20 13:58 . 2009-07-28 14:33 55656 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-08-20 13:58 . 2009-03-30 08:33 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
2009-08-20 13:58 . 2009-02-13 10:29 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
2009-08-20 13:58 . 2009-02-13 10:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys
2009-08-20 13:58 . 2009-08-20 13:58 -------- d-----w- c:\programme\Avira
2009-08-20 13:58 . 2009-08-20 13:58 -------- d-----w- c:\dokume~1\ALLUSE~1\ANWEND~1\Avira
2009-08-20 13:43 . 2009-08-03 11:36 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-08-20 13:43 . 2009-08-20 14:21 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2009-08-20 13:43 . 2009-08-20 13:43 -------- d-----w- c:\dokume~1\ALLUSE~1\ANWEND~1\Malwarebytes
2009-08-20 13:43 . 2009-08-03 11:36 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-08-20 13:37 . 2009-08-20 13:37 -------- d-sh--w- c:\windows\system32\config\systemprofile\IETldCache
2009-08-20 11:30 . 2009-08-20 11:30 -------- d-s---w- C:\test.com
2009-08-19 15:32 . 2009-08-19 15:32 71168 ----a-w- c:\windows\system32\drivers\kbccdbdwpspwiwul.sys
2009-08-18 18:10 . 2009-08-18 18:10 -------- d-----w- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Yahoo
2009-08-18 18:00 . 2009-08-18 18:00 -------- d-----w- c:\dokume~1\ADMINI~1\ANWEND~1\Yahoo!
2009-08-18 17:59 . 2009-08-20 10:29 -------- d-----w- c:\dokume~1\ALLUSE~1\ANWEND~1\Yahoo!
2009-08-18 17:59 . 2009-08-20 10:29 -------- d-----w- c:\programme\Yahoo!
2009-08-13 08:04 . 2009-07-10 13:26 1315328 -c----w- c:\windows\system32\dllcache\msoe.dll
2009-08-05 08:59 . 2009-08-05 08:59 206336 -c----w- c:\windows\system32\dllcache\mswebdvd.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-08-21 16:17 . 2006-06-28 09:46 -------- d-----w- c:\programme\VideoLAN
2009-08-21 16:17 . 2009-03-08 11:37 -------- d-----w- c:\dokume~1\ADMINI~1\ANWEND~1\Skype
2009-08-21 16:16 . 2009-03-08 11:40 -------- d-----w- c:\dokume~1\ADMINI~1\ANWEND~1\skypePM
2009-08-21 16:15 . 2006-06-28 09:44 -------- d-----w- c:\programme\Spybot - Search & Destroy
2009-08-21 16:14 . 2006-06-28 09:44 -------- d-----w- c:\dokume~1\ALLUSE~1\ANWEND~1\Spybot - Search & Destroy
2009-08-21 16:13 . 2006-06-28 09:45 -------- d-----w- c:\programme\Java
2009-08-21 16:11 . 2006-06-28 09:47 -------- d-----w- c:\programme\Google
2009-08-21 15:09 . 2009-07-09 12:34 -------- d-----w- c:\programme\Garena
2009-08-21 14:39 . 2008-08-19 12:36 -------- d-----w- c:\dokume~1\ADMINI~1\ANWEND~1\SPORE Creature Creator
2009-08-21 14:01 . 2009-03-07 16:15 -------- d-----w- c:\dokume~1\ADMINI~1\ANWEND~1\gtk-2.0
2009-08-07 15:57 . 2008-05-13 09:07 112985 ----a-w- c:\windows\War3Unin.dat
2009-08-05 08:59 . 2002-12-31 12:00 206336 ----a-w- c:\windows\system32\mswebdvd.dll
2009-07-21 10:35 . 2009-07-21 10:35 -------- d-----w- c:\dokume~1\ALLUSE~1\ANWEND~1\Ubisoft
2009-07-21 10:35 . 2009-07-21 10:35 22328 ----a-w- c:\windows\system32\drivers\PnkBstrK.sys
2009-07-21 10:35 . 2009-07-21 10:35 22328 ----a-w- c:\dokume~1\ADMINI~1\ANWEND~1\PnkBstrK.sys
2009-07-21 10:35 . 2009-07-21 10:35 107832 ----a-w- c:\windows\system32\PnkBstrB.exe
2009-07-21 10:35 . 2009-07-21 10:35 66872 ----a-w- c:\windows\system32\PnkBstrA.exe
2009-07-21 10:35 . 2009-07-21 10:35 2337865 ----a-w- c:\windows\system32\pbsvc.exe
2009-07-21 10:27 . 2006-06-28 09:47 -------- d--h--w- c:\programme\InstallShield Installation Information
2009-07-21 10:24 . 2009-07-21 10:24 -------- d-----w- c:\programme\DAEMON Tools Toolbar
2009-07-21 10:21 . 2009-07-21 10:21 721904 ----a-w- c:\windows\system32\drivers\sptd.sys
2009-07-17 19:01 . 2002-12-31 12:00 58880 ----a-w- c:\windows\system32\atl.dll
2009-07-12 10:21 . 2002-12-31 12:00 233472 ----a-w- c:\windows\system32\wmpdxm.dll
2009-07-03 16:55 . 2002-12-31 12:00 915456 ------w- c:\windows\system32\wininet.dll
2009-07-03 16:51 . 2006-07-17 08:28 107888 ----a-w- c:\windows\system32\CmdLineExt.dll
2009-06-19 16:03 . 2009-06-19 16:03 552 ----a-w- c:\windows\system32\d3d8caps.dat
2009-06-16 14:36 . 2002-12-31 12:00 81920 ----a-w- c:\windows\system32\fontsub.dll
2009-06-16 14:36 . 2002-12-31 12:00 119808 ----a-w- c:\windows\system32\t2embed.dll
2009-06-15 10:43 . 2002-12-31 12:00 78848 ----a-w- c:\windows\system32\telnet.exe
2009-06-15 10:43 . 2002-12-31 12:00 82944 ----a-w- c:\windows\system32\tlntsess.exe
2009-06-10 14:13 . 2002-12-31 12:00 85504 ----a-w- c:\windows\system32\avifil32.dll
2009-06-10 07:19 . 2006-06-28 09:32 2066432 ----a-w- c:\windows\system32\mstscax.dll
2009-06-10 06:14 . 2002-12-31 12:00 132096 ----a-w- c:\windows\system32\wkssvc.dll
2009-06-03 19:09 . 2002-12-31 12:00 1296896 ----a-w- c:\windows\system32\quartz.dll
.

(((((((((((((((((((((((((((((((((((((((((((( Look )))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.

--- c:\windows\system32\telnet.exe ---
Company: Microsoft Corporation
File Description: Microsoft Telnetclient
File Version: 5.1.2600.5829 (xpsp_sp3_gdr.090612-1411)
Product Name: Betriebssystem Microsoft® Windows®
Copyright: © Microsoft Corporation. Alle Rechte vorbehalten.
Original Filename: telnetc.exe
File size: 78848
Created time: 2002-12-31 12:00
Modified time: 2009-06-15 10:43
MD5: 3E65CE2F7E864415ED6CF8926AA9A904
SHA1: 9B4694279619F4BEBEAAC176A0FA7C4D76069CB5

---- Directory of c:\dokumente und einstellungen\LocalService\Startmenü ----

((((((((((((((((((((((((((((( SnapShot@2009-08-21_13.26.05 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-07-11 22:02 . 2009-07-11 22:02 159032 c:\windows\WinSxS\x86_Microsoft.VC90.ATL_1fc8b3b9a1e18e3b_9.0.30729.4148_x-ww_353599c2\atl90.dll
+ 2009-08-21 15:03 . 2009-08-21 15:03 195584 c:\windows\Installer\1cf86.msi
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Samsung Common SM"="c:\windows\Samsung\ComSMMgr\ssmmgr.exe" [2005-07-03 372736]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAudPropShortcut.exe" - c:\windows\system32\Hdaudpropshortcut.exe [2004-03-17 61952]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoSMHelp"= 1 (0x1)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\NAMCO BANDAI Games\\Warhammer® Mark of Chaos\\Warhammer.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"g:\\Warcraft III\\Warcraft III.exe"=
"c:\\Programme\\The Creative Assembly\\Rome - Total War\\RomeTW.exe"=
"c:\\Programme\\WEB.DE\\WEB.DE MultiMessenger\\MESSENGR.EXE"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\Garena\\Garena.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [20.08.2009 15:58 108289]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
TCP: {0B316D96-1017-4617-B52A-C617BD9C68B8} = 192.168.100.1
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-08-21 18:26
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h–€|ÿÿÿÿ¤•€|ù•6~*]
"7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(508)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(2788)
c:\windows\system32\webcheck.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\windows\system32\PnkBstrA.exe
c:\windows\system32\PnkBstrB.exe
c:\windows\system32\ati2evxx.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-08-21 18:28 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-08-21 16:28
ComboFix2.txt 2009-08-21 13:27

Vor Suchlauf: 3.994.427.392 Bytes frei
Nach Suchlauf: 3.910.475.776 Bytes frei

180 --- E O F --- 2009-08-21 15:03

john.doe

21.08.2009 17:42

Das sieht doch schon viel freundlicher aus. :)

Weiter mit:

1.) http://www.trojaner-board.de/51187-a...i-malware.html (vorher Update durchführen!)

2.) http://www.trojaner-board.de/51871-a...tispyware.html

ciao, andreas

sheryO

21.08.2009 19:19

Hier das Log von Malwarebytes' Anti Malware:

Zitat:

Malwarebytes' Anti-Malware 1.40
Datenbank Version: 2670
Windows 5.1.2600 Service Pack 3

21.08.2009 19:17:06
mbam-log-2009-08-21 (19-17-06).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|G:\|H:\|J:\|)
Durchsuchte Objekte: 178863
Laufzeit: 22 minute(s), 22 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 6
Infizierte Dateien: 31

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\ErrorSmart (Rogue.ErrorSmart) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSMHelp (Hijack.Help) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ErrorSmart (Rogue.ErrorSmart) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ErrorSmart\Log (Rogue.ErrorSmart) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ErrorSmart\Registry Backups (Rogue.ErrorSmart) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Gratispacket\Anwendungsdaten\ErrorSmart (Rogue.ErrorSmart) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Gratispacket\Anwendungsdaten\ErrorSmart\Log (Rogue.ErrorSmart) -> Quarantined and deleted successfully.
C:\Programme\ErrorSmart (Rogue.ErrorSmart) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\Qoobox\Quarantine\C\WINDOWS\system32\UACoybppynkcx.dll.vir (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\UACrrwopphqpx.dll.vir (Rogue.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{8AE9923E-890A-46D6-81D7-BD8C12E861DF}\RP171\A0072942.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{8AE9923E-890A-46D6-81D7-BD8C12E861DF}\RP171\A0072943.dll (Rogue.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ErrorSmart\Log\2008 Nov 21 - 03_01_31 PM_671.log (Rogue.ErrorSmart) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ErrorSmart\Log\2008 Nov 21 - 03_01_43 PM_593.log (Rogue.ErrorSmart) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ErrorSmart\Log\2008 Nov 21 - 04_47_50 PM_484.log (Rogue.ErrorSmart) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ErrorSmart\Log\2008 Nov 21 - 04_47_58 PM_937.log (Rogue.ErrorSmart) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ErrorSmart\Log\2008 Nov 21 - 08_34_56 AM_906.log (Rogue.ErrorSmart) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ErrorSmart\Log\2008 Nov 21 - 08_35_00 AM_546.log (Rogue.ErrorSmart) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ErrorSmart\Registry Backups\2008-05-20_14-19-26.reg (Rogue.ErrorSmart) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ErrorSmart\Registry Backups\2008-06-07_20-01-34.reg (Rogue.ErrorSmart) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ErrorSmart\Registry Backups\2008-06-20_09-07-39.reg (Rogue.ErrorSmart) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ErrorSmart\Registry Backups\2008-06-23_17-19-31.reg (Rogue.ErrorSmart) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ErrorSmart\Registry Backups\2008-06-26_09-02-18.reg (Rogue.ErrorSmart) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ErrorSmart\Registry Backups\2008-07-14_11-09-52.reg (Rogue.ErrorSmart) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ErrorSmart\Registry Backups\2008-07-17_14-38-23.reg (Rogue.ErrorSmart) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ErrorSmart\Registry Backups\2008-07-22_12-59-59.reg (Rogue.ErrorSmart) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ErrorSmart\Registry Backups\2008-07-22_15-40-14.reg (Rogue.ErrorSmart) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ErrorSmart\Registry Backups\2008-08-15_17-03-24.reg (Rogue.ErrorSmart) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ErrorSmart\Registry Backups\2008-08-31_13-48-06.reg (Rogue.ErrorSmart) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ErrorSmart\Registry Backups\2008-09-10_13-01-27.reg (Rogue.ErrorSmart) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ErrorSmart\Registry Backups\2008-09-11_13-52-50.reg (Rogue.ErrorSmart) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ErrorSmart\Registry Backups\2008-09-21_17-59-55.reg (Rogue.ErrorSmart) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ErrorSmart\Registry Backups\2008-09-26_13-48-41.reg (Rogue.ErrorSmart) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ErrorSmart\Registry Backups\2008-10-17_19-00-51.reg (Rogue.ErrorSmart) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ErrorSmart\Registry Backups\2008-10-29_18-08-19.reg (Rogue.ErrorSmart) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ErrorSmart\Registry Backups\2008-11-09_18-49-47.reg (Rogue.ErrorSmart) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Gratispacket\Anwendungsdaten\ErrorSmart\Log\2008 Nov 21 - 05_51_39 PM_703.log (Rogue.ErrorSmart) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Gratispacket\Anwendungsdaten\ErrorSmart\Log\2008 Nov 21 - 05_51_46 PM_843.log (Rogue.ErrorSmart) -> Quarantined and deleted successfully.
C:\Programme\ErrorSmart\ErrorSmart.exe.BAK (Rogue.ErrorSmart) -> Quarantined and deleted successfully.

Und hier das Log von SUPER AntiSpyware

Zitat:

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 08/21/2009 at 08:11 PM

Application Version : 4.27.1002

Core Rules Database Version : 4066
Trace Rules Database Version: 2006

Scan type : Complete Scan
Total Scan Time : 00:39:27

Memory items scanned : 457
Memory threats detected : 0
Registry items scanned : 5161
Registry threats detected : 0
File items scanned : 84120
File threats detected : 11

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@de.at.atwola[1].txt
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@at.atwola[2].txt
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@im.banner.t-online[1].txt
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@content.yieldmanager[2].txt
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@atwola[1].txt
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@cdn.at.atwola[1].txt
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@doubleclick[1].txt
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@advertising[2].txt
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@content.yieldmanager[3].txt
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@ad.yieldmanager[2].txt
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@tacoda[1].txt

MfG
sheryO

john.doe

21.08.2009 19:28

SuperAntiSpyware deinstallieren oder den Wächter deaktivieren, falls du es behalten möchtest.

1.) Panda Active Scan

Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation

Drücke auf Jetzt Scannen!

Eine Registrierung ist nicht erforderlich!

Nachdem der Scan abgeschlossen ist drücke auf das Text-Icon Export und speichere das log auf dem Desktop.
Öffne die Datei ActiveScan.txt die sich nun auf deinem Desktop befindet und poste uns den Inhalt.

2.) Überprüfe den Rechner mit PrevXCSI. Poste ein Screenshot falls etwas gefunden werden sollte.

ciao, andreas

sheryO

22.08.2009 14:20

Ich lasse gerade dieses Panda Active Scan meinen PC scannen.
Das hat auch soweit gut funktioniert, nur jetzt bleibt der Scan schon seit mehr als einer Stunde bei 17% stehen.
"Stehen bleiben" heißt in diesem Fall, dass sich nicht die Anzeige von 17% nicht ändert, die bearbeiteten Element wechseln aber ständig. Bei diesen bearbeiteten Elementen handelt es sich z.B. um C:\WINDOWS\Installer\9cc6e1.msp[unk_1760].
Von 1% bis 17% hat er dagegen nur etwa 20 Minuten gebraucht.

Ich weiß, solche Scans können teilweise echt lange dauern, aber ich wundere mich halt, dass es jetzt schon so lange bei 17% steht.

Ich hoffe, ihr könnt mir kurz sagen, ob das normal ist oder nicht.

MfG
sheryO

Edit: Hat sich erledigt, inzwischen hat es fertig gescannt.

sheryO

22.08.2009 15:10

Hier das Log von Panda Active Scan:

Zitat:

;***************************************************************************************************************************************************** ******************************
ANALYSIS: 2009-08-22 15:57:58
PROTECTIONS: 1
MALWARE: 4
SUSPECTS: 0
;***************************************************************************************************************************************************** ******************************
PROTECTIONS
Description Version Active Updated
;===================================================================================================================================================== ==============================
AntiVir Desktop 9.0.1.32 Yes Yes
;===================================================================================================================================================== ==============================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;===================================================================================================================================================== ==============================
00139061 Cookie/Doubleclick TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@doubleclick[1].txt
02537438 Spyware/Virtumonde Spyware No 1 Yes No C:\System Volume Information\_restore{8AE9923E-890A-46D6-81D7-BD8C12E861DF}\RP171\A0072941.sys
02537438 Spyware/Virtumonde Spyware No 1 Yes No C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\UACkwfnldouwe.sys.vir
02885963 Rootkit/Booto.C Virus/Worm No 0 Yes No C:\System Volume Information\_restore{8AE9923E-890A-46D6-81D7-BD8C12E861DF}\RP171\A0072945.sys
02885963 Rootkit/Booto.C Virus/Worm No 0 Yes No C:\System Volume Information\_restore{8AE9923E-890A-46D6-81D7-BD8C12E861DF}\RP175\A0073592.sys
03074964 Trj/CI.A Virus/Trojan No 0 Yes No C:\System Volume Information\_restore{8AE9923E-890A-46D6-81D7-BD8C12E861DF}\RP171\A0072944.dll
03074964 Trj/CI.A Virus/Trojan No 0 Yes No C:\Qoobox\Quarantine\C\WINDOWS\system32\UACabpawqteoe.dll.vir
;===================================================================================================================================================== ==============================
SUSPECTS
Sent Location N
;===================================================================================================================================================== ==============================
;===================================================================================================================================================== ==============================
VULNERABILITIES
Id Severity Description N
;===================================================================================================================================================== ==============================
;===================================================================================================================================================== ==============================

Jetzt zum Prevx 3.0:

Leider kann ich keine Screenshots machen, da meiner Tastatur die Taste dazu fehlt...
Daher habe ich einfach alles abgeschrieben:

Zitat:

Scan Result: Infected
1 infection has been indentified in your system
Status: L Threat
Name: kbccdbdwpspwiwul.sys in c:\windows\system32\drivers\
Threat Identified: Medium Risk Malware

MfG
sheryO

john.doe

22.08.2009 15:26

Scripten mit Combofix

Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code:

KILLALL::
 

File::

c:\windows\system32\drivers\kbccdbdwpspwiwul.sys

C:\WINDOWS\Installer\9cc6e1.msp

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

Nun die Datei cfscript.txt auf das Sysmbol von Combofix ziehen!

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

Danach das Log von Combofix ohne zu Editieren posten. Nur wenn dein Vor- und Nachname ersichtlich ist, dann entferne ihn.

sheryO

22.08.2009 15:41

Hier ist das Log:

Zitat:

ComboFix 09-08-21.02 - Administrator 22.08.2009 16:32.3.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.2046.1592 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Administrator\Desktop\Malware Abwehrsystem\cofi.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Administrator\Desktop\cfscript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

FILE ::
"c:\windows\Installer\9cc6e1.msp"
"c:\windows\system32\drivers\kbccdbdwpspwiwul.sys"
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\Installer\9cc6e1.msp
c:\windows\system32\drivers\kbccdbdwpspwiwul.sys

.
((((((((((((((((((((((( Dateien erstellt von 2009-07-22 bis 2009-08-22 ))))))))))))))))))))))))))))))
.

2009-08-22 13:59 . 2009-08-22 13:59 27656 ----a-w- c:\windows\system32\drivers\pxsec.sys
2009-08-22 13:59 . 2009-08-22 13:59 22024 ----a-w- c:\windows\system32\drivers\pxscan.sys
2009-08-22 13:59 . 2009-08-22 13:59 -------- d-----w- c:\programme\Prevx
2009-08-22 13:59 . 2009-08-22 14:00 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\PrevxCSI
2009-08-22 11:16 . 2008-06-19 15:24 28544 ----a-w- c:\windows\system32\drivers\pavboot.sys
2009-08-22 11:16 . 2009-08-22 11:16 -------- d-----w- c:\programme\Panda Security
2009-08-21 17:24 . 2009-08-22 11:08 117760 ----a-w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL
2009-08-21 17:23 . 2009-08-21 17:23 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2009-08-21 17:23 . 2009-08-21 17:23 -------- d-----w- c:\programme\SUPERAntiSpyware
2009-08-21 17:23 . 2009-08-21 17:23 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\SUPERAntiSpyware.com
2009-08-21 17:22 . 2009-08-21 17:22 -------- d-----w- c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-08-21 16:52 . 2009-08-21 16:52 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2009-08-21 16:44 . 2009-08-21 16:44 -------- d-----w- c:\programme\The KMPlayer
2009-08-21 16:40 . 2009-08-21 16:40 411368 ----a-w- c:\windows\system32\deploytk.dll
2009-08-21 16:40 . 2009-08-21 16:40 152576 ----a-w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Sun\Java\jre1.6.0_15\lzma.dll
2009-08-21 12:57 . 2009-08-21 12:57 -------- d-----w- c:\programme\CCleaner
2009-08-20 13:58 . 2009-08-20 13:58 -------- d-----w- c:\dokumente und einstellungen\LocalService\Startmenü
2009-08-20 13:58 . 2009-07-28 14:33 55656 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-08-20 13:58 . 2009-03-30 08:33 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
2009-08-20 13:58 . 2009-02-13 10:29 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
2009-08-20 13:58 . 2009-02-13 10:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys
2009-08-20 13:58 . 2009-08-20 13:58 -------- d-----w- c:\programme\Avira
2009-08-20 13:58 . 2009-08-20 13:58 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2009-08-20 13:43 . 2009-08-03 11:36 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-08-20 13:43 . 2009-08-20 14:21 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2009-08-20 13:43 . 2009-08-20 13:43 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-08-20 13:43 . 2009-08-03 11:36 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-08-20 13:37 . 2009-08-20 13:37 -------- d-sh--w- c:\windows\system32\config\systemprofile\IETldCache
2009-08-20 11:30 . 2009-08-20 11:30 -------- d-s---w- C:\test.com
2009-08-18 18:10 . 2009-08-18 18:10 -------- d-----w- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Yahoo
2009-08-18 18:00 . 2009-08-18 18:00 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Yahoo!
2009-08-18 17:59 . 2009-08-20 10:29 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Yahoo!
2009-08-18 17:59 . 2009-08-20 10:29 -------- d-----w- c:\programme\Yahoo!
2009-08-13 08:04 . 2009-07-10 13:26 1315328 -c----w- c:\windows\system32\dllcache\msoe.dll
2009-08-05 08:59 . 2009-08-05 08:59 206336 -c----w- c:\windows\system32\dllcache\mswebdvd.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-08-21 16:40 . 2006-06-28 09:45 -------- d-----w- c:\programme\Java
2009-08-21 16:17 . 2006-06-28 09:46 -------- d-----w- c:\programme\VideoLAN
2009-08-21 16:17 . 2009-03-08 11:37 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Skype
2009-08-21 16:16 . 2009-03-08 11:40 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\skypePM
2009-08-21 16:15 . 2006-06-28 09:44 -------- d-----w- c:\programme\Spybot - Search & Destroy
2009-08-21 16:14 . 2006-06-28 09:44 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-08-21 16:11 . 2006-06-28 09:47 -------- d-----w- c:\programme\Google
2009-08-21 15:09 . 2009-07-09 12:34 -------- d-----w- c:\programme\Garena
2009-08-21 14:39 . 2008-08-19 12:36 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\SPORE Creature Creator
2009-08-21 14:01 . 2009-03-07 16:15 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\gtk-2.0
2009-08-07 15:57 . 2008-05-13 09:07 112985 ----a-w- c:\windows\War3Unin.dat
2009-08-05 08:59 . 2002-12-31 12:00 206336 ----a-w- c:\windows\system32\mswebdvd.dll
2009-07-21 10:35 . 2009-07-21 10:35 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Ubisoft
2009-07-21 10:35 . 2009-07-21 10:35 22328 ----a-w- c:\windows\system32\drivers\PnkBstrK.sys
2009-07-21 10:35 . 2009-07-21 10:35 22328 ----a-w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\PnkBstrK.sys
2009-07-21 10:35 . 2009-07-21 10:35 22328 ----a-w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\PnkBstrK.sys
2009-07-21 10:35 . 2009-07-21 10:35 107832 ----a-w- c:\windows\system32\PnkBstrB.exe
2009-07-21 10:35 . 2009-07-21 10:35 66872 ----a-w- c:\windows\system32\PnkBstrA.exe
2009-07-21 10:35 . 2009-07-21 10:35 2337865 ----a-w- c:\windows\system32\pbsvc.exe
2009-07-21 10:27 . 2006-06-28 09:47 -------- d--h--w- c:\programme\InstallShield Installation Information
2009-07-21 10:24 . 2009-07-21 10:24 -------- d-----w- c:\programme\DAEMON Tools Toolbar
2009-07-21 10:21 . 2009-07-21 10:21 721904 ----a-w- c:\windows\system32\drivers\sptd.sys
2009-07-17 19:01 . 2002-12-31 12:00 58880 ----a-w- c:\windows\system32\atl.dll
2009-07-12 10:21 . 2002-12-31 12:00 233472 ----a-w- c:\windows\system32\wmpdxm.dll
2009-07-03 16:55 . 2002-12-31 12:00 915456 ------w- c:\windows\system32\wininet.dll
2009-07-03 16:51 . 2006-07-17 08:28 107888 ----a-w- c:\windows\system32\CmdLineExt.dll
2009-06-19 16:03 . 2009-06-19 16:03 552 ----a-w- c:\windows\system32\d3d8caps.dat
2009-06-16 14:36 . 2002-12-31 12:00 81920 ----a-w- c:\windows\system32\fontsub.dll
2009-06-16 14:36 . 2002-12-31 12:00 119808 ----a-w- c:\windows\system32\t2embed.dll
2009-06-15 10:43 . 2002-12-31 12:00 78848 ----a-w- c:\windows\system32\telnet.exe
2009-06-15 10:43 . 2002-12-31 12:00 82944 ----a-w- c:\windows\system32\tlntsess.exe
2009-06-10 14:13 . 2002-12-31 12:00 85504 ----a-w- c:\windows\system32\avifil32.dll
2009-06-10 07:19 . 2006-06-28 09:32 2066432 ----a-w- c:\windows\system32\mstscax.dll
2009-06-10 06:14 . 2002-12-31 12:00 132096 ----a-w- c:\windows\system32\wkssvc.dll
2009-06-03 19:09 . 2002-12-31 12:00 1296896 ----a-w- c:\windows\system32\quartz.dll
.

((((((((((((((((((((((((((((( SnapShot@2009-08-21_13.26.05 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-08-22 14:36 . 2009-08-22 14:36 16384 c:\windows\temp\Perflib_Perfdata_750.dat
+ 2009-08-21 17:23 . 2009-08-21 17:23 65024 c:\windows\Installer\{CDDCBBF1-2703-46BC-938B-BCC81A1EEAAA}\IconCDDCBBF15.exe
+ 2009-08-21 17:23 . 2009-08-21 17:23 18944 c:\windows\Installer\{CDDCBBF1-2703-46BC-938B-BCC81A1EEAAA}\IconCDDCBBF13.exe
+ 2009-07-11 22:02 . 2009-07-11 22:02 159032 c:\windows\WinSxS\x86_Microsoft.VC90.ATL_1fc8b3b9a1e18e3b_9.0.30729.4148_x-ww_353599c2\atl90.dll
+ 2009-08-21 16:40 . 2009-08-21 16:40 149280 c:\windows\system32\javaws.exe
+ 2009-08-21 16:40 . 2009-08-21 16:40 145184 c:\windows\system32\javaw.exe
+ 2009-08-21 16:40 . 2009-08-21 16:40 145184 c:\windows\system32\java.exe
+ 2009-08-21 16:40 . 2009-08-21 16:40 537600 c:\windows\Installer\d646b.msi
+ 2009-08-21 15:03 . 2009-08-21 15:03 195584 c:\windows\Installer\1cf86.msi
+ 2009-04-17 06:59 . 2009-04-17 06:59 128256 c:\windows\Downloaded Program Files\as2stubie.dll
+ 2009-08-21 17:23 . 2009-08-21 17:23 1516544 c:\windows\Installer\43894.msi
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Samsung Common SM"="c:\windows\Samsung\ComSMMgr\ssmmgr.exe" [2005-07-03 372736]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-08-21 149280]
"Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAudPropShortcut.exe" - c:\windows\system32\Hdaudpropshortcut.exe [2004-03-17 61952]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2008-12-22 10:05 356352 ----a-w- c:\programme\SUPERAntiSpyware\SASWINLO.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\NAMCO BANDAI Games\\Warhammer® Mark of Chaos\\Warhammer.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"g:\\Warcraft III\\Warcraft III.exe"=
"c:\\Programme\\The Creative Assembly\\Rome - Total War\\RomeTW.exe"=
"c:\\Programme\\WEB.DE\\WEB.DE MultiMessenger\\MESSENGR.EXE"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\Garena\\Garena.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [22.08.2009 13:16 28544]
R0 pxscan;pxscan;c:\windows\system32\drivers\pxscan.sys [22.08.2009 15:59 22024]
R0 pxsec;pxsec;c:\windows\system32\drivers\pxsec.sys [22.08.2009 15:59 27656]
R1 SASDIFSV;SASDIFSV;c:\programme\SUPERAntiSpyware\sasdifsv.sys [05.08.2009 16:06 9968]
R1 SASKUTIL;SASKUTIL;c:\programme\SUPERAntiSpyware\SASKUTIL.SYS [05.08.2009 16:06 74480]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [20.08.2009 15:58 108289]
R2 CSIScanner;CSIScanner;c:\programme\Prevx\prevx.exe [22.08.2009 15:59 4368952]
S3 SASENUM;SASENUM;c:\programme\SUPERAntiSpyware\SASENUM.SYS [05.08.2009 16:06 7408]

--- Andere Dienste/Treiber im Speicher ---

*NewlyCreated* - PAVBOOT

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
Inhalt des "geplante Tasks" Ordners

2009-08-22 c:\windows\Tasks\User_Feed_Synchronization-{117DDDD8-B5A2-4142-9C91-0696CDDE48BA}.job
- c:\windows\system32\msfeedssync.exe [2007-08-13 02:31]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
TCP: {0B316D96-1017-4617-B52A-C617BD9C68B8} = 192.168.100.1
FF - ProfilePath - c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\9oes8frx.default\
FF - prefs.js: browser.search.selectedEngine - GoogIe
FF - prefs.js: browser.startup.homepage - hxxp://start.icq.com/
FF - prefs.js: keyword.URL - hxxp://www.offos.com/search/?ie=UTF-8&oe=UTF-8&sourceid=navclient&gfns=1&rls=8QYAJ5lM&q=
FF - plugin: c:\programme\Google\Update\1.2.183.7\npGoogleOneClick8.dll

---- FIREFOX Richtlinien ----

FF - user.js: browser.search.selectedEngine - GoogIe
FF - user.js: keyword.URL - hxxp://www.offos.com/search/?ie=UTF-8&oe=UTF-8&sourceid=navclient&gfns=1&rls=8QYAJ5lM&q=
FF - user.js: yahoo.homepage.dontask - truec:\programme\Mozilla Firefox\greprefs\all.js - pref("media.enforce_same_site_origin", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.cache_size", 51200);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.ogg.enabled", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.wave.enabled", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.autoplay.enabled", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.urlbar.autocomplete.enabled", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("capability.policy.mailnews.*.wholeText", "noAccess");
c:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.storage.default_quota", 5120);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("content.sink.event_probe_rate", 3);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.http.prompt-temp-redirect", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("layout.css.dpi", -1);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("layout.css.devPixelsPerPx", -1);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("gestures.enable_single_finger_input", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.max_chrome_script_run_time", 0);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.tcp.sendbuffer", 131072);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("geo.enabled", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.remember_cert_checkbox_default_setting", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr", "moz35");
c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-cjkt", "moz35");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.blocklist.level", 2);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.restrict.typed", "~");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.default.behavior", 0);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.history", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.formdata", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.passwords", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.downloads", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cookies", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cache", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.sessions", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.offlineApps", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.siteSettings", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.history", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.formdata", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.passwords", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.downloads", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cookies", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cache", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.sessions", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.offlineApps", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.siteSettings", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.sanitize.migrateFx3Prefs", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.ssl_override_behavior", 2);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("security.alternate_certificate_error_page", "certerror");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.autostart", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.dont_prompt_on_enter", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("geo.wifi.uri", "https://www.google.com/loc/json");
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-08-22 16:37
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(512)
c:\programme\SUPERAntiSpyware\SASWINLO.dll
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(1572)
c:\windows\system32\webcheck.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\windows\system32\ati2evxx.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\system32\PnkBstrA.exe
c:\windows\system32\PnkBstrB.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-08-22 16:39 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-08-22 14:39
ComboFix2.txt 2009-08-21 16:28
ComboFix3.txt 2009-08-21 13:27

Vor Suchlauf: 3.575.201.792 Bytes frei
Nach Suchlauf: 3.532.341.248 Bytes frei

245 --- E O F --- 2009-08-21 15:03

MfG
sheryO

john.doe

22.08.2009 15:59

1.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.
Nach Neustart kann sie wieder aktiviert werden.

2.) Deinstalliere:

Panda Active Scan
PrevxCSI
SuperAntiSpyware (oder deaktiviere den Wächter, falls du es behalten möchtest)

3.) Füttere ComboFix (cofi.exe) mit folgendem Script:

Code:

KILLALL::
 

Driver::

pavboot

pxscan

SASDIFSV

SASKUTIL

CSIScanner

SASENUM
 

Registry::

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SunJavaUpdateSched"=-
 

Folder::

c:\programme\VideoLAN

c:\programme\Spybot - Search & Destroy

c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy

c:\programme\DAEMON Tools Toolbar

4.) Start => Ausführen => combofix /u => OK

5.) Kaspersky - Onlinescanner

Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware.

---> hier herunterladen => Kaspersky Online Scanner
=> Hinweise zu älteren Versionen beachten!
=> Voraussetzung: Internet Explorer 6.0 oder höher
=> die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter
=> Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken
=> Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als
=> Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten
=> Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen

ciao, andreas

sheryO

22.08.2009 17:44

Schritt 1-4 habe ich erfolgreich durchgeführt. Hier schonmal das Log von ComboFix:

Zitat:

ComboFix 09-08-21.02 - Administrator 22.08.2009 17:58.4.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.2046.1661 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Administrator\Desktop\Malware Abwehrsystem\cofi.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Administrator\Desktop\cfscript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Logs\Checks.061027-1641.txt
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Statistics.ini
c:\programme\DAEMON Tools Toolbar
c:\programme\Spybot - Search & Destroy
c:\programme\Spybot - Search & Destroy\Help\Deutsch.chm
c:\programme\Spybot - Search & Destroy\Includes\Browserpages.sbs
c:\programme\Spybot - Search & Destroy\Includes\Cookies.sbi
c:\programme\Spybot - Search & Destroy\Includes\Cookies.sbs
c:\programme\Spybot - Search & Destroy\Includes\Dialer.sbi
c:\programme\Spybot - Search & Destroy\Includes\Dialer.sbs
c:\programme\Spybot - Search & Destroy\Includes\Domains.sbs
c:\programme\Spybot - Search & Destroy\Includes\Hijackers.sbi
c:\programme\Spybot - Search & Destroy\Includes\Keyloggers.sbi
c:\programme\Spybot - Search & Destroy\Includes\Logs.uts
c:\programme\Spybot - Search & Destroy\Includes\Malware.sbi
c:\programme\Spybot - Search & Destroy\Includes\ProcWatch.sbs
c:\programme\Spybot - Search & Destroy\Includes\PUPS.sbi
c:\programme\Spybot - Search & Destroy\Includes\RegWatch.sbs
c:\programme\Spybot - Search & Destroy\Includes\Revision.sbi
c:\programme\Spybot - Search & Destroy\Includes\Revision.sbs
c:\programme\Spybot - Search & Destroy\Includes\Searchpages.sbs
c:\programme\Spybot - Search & Destroy\Includes\Security.sbi
c:\programme\Spybot - Search & Destroy\Includes\Services.sbs
c:\programme\Spybot - Search & Destroy\Includes\Spybots.sbi
c:\programme\Spybot - Search & Destroy\Includes\Targets.Deutsch.nfo
c:\programme\Spybot - Search & Destroy\Includes\Tracks.uti
c:\programme\Spybot - Search & Destroy\Includes\Trojans.sbi
c:\programme\Spybot - Search & Destroy\Includes\URL-Blacklist.sbs
c:\programme\Spybot - Search & Destroy\Updates\advcheck.zip
c:\programme\Spybot - Search & Destroy\Updates\clsid.zip
c:\programme\Spybot - Search & Destroy\Updates\desc.deutsch.zip
c:\programme\Spybot - Search & Destroy\Updates\desc.english.zip
c:\programme\Spybot - Search & Destroy\Updates\help.deutsch.zip
c:\programme\Spybot - Search & Destroy\Updates\help.english.zip
c:\programme\Spybot - Search & Destroy\Updates\helpres.english.zip
c:\programme\Spybot - Search & Destroy\Updates\includes.zip
c:\programme\Spybot - Search & Destroy\Updates\lang.deutsch.zip
c:\programme\Spybot - Search & Destroy\Updates\online.ini
c:\programme\Spybot - Search & Destroy\Updates\skins.main.zip
c:\programme\Spybot - Search & Destroy\Updates\tools.zip
c:\programme\VideoLAN

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_CSISCANNER
-------\Legacy_PAVBOOT
-------\Legacy_PXSCAN
-------\Legacy_SASDIFSV
-------\Legacy_SASENUM
-------\Legacy_SASKUTIL
-------\Service_pxscan

((((((((((((((((((((((( Dateien erstellt von 2009-07-22 bis 2009-08-22 ))))))))))))))))))))))))))))))
.

2009-08-22 11:16 . 2009-08-22 15:52 -------- d-----w- c:\programme\Panda Security
2009-08-21 17:23 . 2009-08-21 17:23 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2009-08-21 17:23 . 2009-08-22 15:53 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\SUPERAntiSpyware.com
2009-08-21 17:23 . 2009-08-22 15:53 -------- d-----w- c:\programme\SUPERAntiSpyware
2009-08-21 16:52 . 2009-08-21 16:52 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2009-08-21 16:44 . 2009-08-21 16:44 -------- d-----w- c:\programme\The KMPlayer
2009-08-21 16:40 . 2009-08-21 16:40 411368 ----a-w- c:\windows\system32\deploytk.dll
2009-08-21 16:40 . 2009-08-21 16:40 152576 ----a-w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Sun\Java\jre1.6.0_15\lzma.dll
2009-08-21 12:57 . 2009-08-21 12:57 -------- d-----w- c:\programme\CCleaner
2009-08-20 13:58 . 2009-08-20 13:58 -------- d-----w- c:\dokumente und einstellungen\LocalService\Startmenü
2009-08-20 13:58 . 2009-07-28 14:33 55656 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-08-20 13:58 . 2009-03-30 08:33 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
2009-08-20 13:58 . 2009-02-13 10:29 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
2009-08-20 13:58 . 2009-02-13 10:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys
2009-08-20 13:58 . 2009-08-20 13:58 -------- d-----w- c:\programme\Avira
2009-08-20 13:58 . 2009-08-20 13:58 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2009-08-20 13:43 . 2009-08-03 11:36 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-08-20 13:43 . 2009-08-20 14:21 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2009-08-20 13:43 . 2009-08-20 13:43 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-08-20 13:43 . 2009-08-03 11:36 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-08-20 13:37 . 2009-08-20 13:37 -------- d-sh--w- c:\windows\system32\config\systemprofile\IETldCache
2009-08-20 11:30 . 2009-08-20 11:30 -------- d-s---w- C:\test.com
2009-08-18 18:10 . 2009-08-18 18:10 -------- d-----w- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Yahoo
2009-08-18 18:00 . 2009-08-18 18:00 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Yahoo!
2009-08-18 17:59 . 2009-08-20 10:29 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Yahoo!
2009-08-18 17:59 . 2009-08-20 10:29 -------- d-----w- c:\programme\Yahoo!
2009-08-13 08:04 . 2009-07-10 13:26 1315328 -c----w- c:\windows\system32\dllcache\msoe.dll
2009-08-05 08:59 . 2009-08-05 08:59 206336 -c----w- c:\windows\system32\dllcache\mswebdvd.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-08-21 16:40 . 2006-06-28 09:45 -------- d-----w- c:\programme\Java
2009-08-21 16:17 . 2009-03-08 11:37 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Skype
2009-08-21 16:16 . 2009-03-08 11:40 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\skypePM
2009-08-21 16:11 . 2006-06-28 09:47 -------- d-----w- c:\programme\Google
2009-08-21 15:09 . 2009-07-09 12:34 -------- d-----w- c:\programme\Garena
2009-08-21 14:39 . 2008-08-19 12:36 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\SPORE Creature Creator
2009-08-21 14:01 . 2009-03-07 16:15 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\gtk-2.0
2009-08-07 15:57 . 2008-05-13 09:07 112985 ----a-w- c:\windows\War3Unin.dat
2009-08-05 08:59 . 2002-12-31 12:00 206336 ----a-w- c:\windows\system32\mswebdvd.dll
2009-07-21 10:35 . 2009-07-21 10:35 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Ubisoft
2009-07-21 10:35 . 2009-07-21 10:35 22328 ----a-w- c:\windows\system32\drivers\PnkBstrK.sys
2009-07-21 10:35 . 2009-07-21 10:35 22328 ----a-w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\PnkBstrK.sys
2009-07-21 10:35 . 2009-07-21 10:35 22328 ----a-w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\PnkBstrK.sys
2009-07-21 10:35 . 2009-07-21 10:35 107832 ----a-w- c:\windows\system32\PnkBstrB.exe
2009-07-21 10:35 . 2009-07-21 10:35 66872 ----a-w- c:\windows\system32\PnkBstrA.exe
2009-07-21 10:35 . 2009-07-21 10:35 2337865 ----a-w- c:\windows\system32\pbsvc.exe
2009-07-21 10:27 . 2006-06-28 09:47 -------- d--h--w- c:\programme\InstallShield Installation Information
2009-07-21 10:21 . 2009-07-21 10:21 721904 ----a-w- c:\windows\system32\drivers\sptd.sys
2009-07-17 19:01 . 2002-12-31 12:00 58880 ----a-w- c:\windows\system32\atl.dll
2009-07-12 10:21 . 2002-12-31 12:00 233472 ----a-w- c:\windows\system32\wmpdxm.dll
2009-07-03 16:55 . 2002-12-31 12:00 915456 ------w- c:\windows\system32\wininet.dll
2009-07-03 16:51 . 2006-07-17 08:28 107888 ----a-w- c:\windows\system32\CmdLineExt.dll
2009-06-19 16:03 . 2009-06-19 16:03 552 ----a-w- c:\windows\system32\d3d8caps.dat
2009-06-16 14:36 . 2002-12-31 12:00 81920 ----a-w- c:\windows\system32\fontsub.dll
2009-06-16 14:36 . 2002-12-31 12:00 119808 ----a-w- c:\windows\system32\t2embed.dll
2009-06-15 10:43 . 2002-12-31 12:00 78848 ----a-w- c:\windows\system32\telnet.exe
2009-06-15 10:43 . 2002-12-31 12:00 82944 ----a-w- c:\windows\system32\tlntsess.exe
2009-06-10 14:13 . 2002-12-31 12:00 85504 ----a-w- c:\windows\system32\avifil32.dll
2009-06-10 07:19 . 2006-06-28 09:32 2066432 ----a-w- c:\windows\system32\mstscax.dll
2009-06-10 06:14 . 2002-12-31 12:00 132096 ----a-w- c:\windows\system32\wkssvc.dll
2009-06-03 19:09 . 2002-12-31 12:00 1296896 ----a-w- c:\windows\system32\quartz.dll
.

((((((((((((((((((((((((((((( SnapShot@2009-08-21_13.26.05 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-08-22 16:02 . 2009-08-22 16:02 16384 c:\windows\temp\Perflib_Perfdata_6e0.dat
+ 2009-07-11 22:02 . 2009-07-11 22:02 159032 c:\windows\WinSxS\x86_Microsoft.VC90.ATL_1fc8b3b9a1e18e3b_9.0.30729.4148_x-ww_353599c2\atl90.dll
+ 2009-08-21 16:40 . 2009-08-21 16:40 149280 c:\windows\system32\javaws.exe
+ 2009-08-21 16:40 . 2009-08-21 16:40 145184 c:\windows\system32\javaw.exe
+ 2009-08-21 16:40 . 2009-08-21 16:40 145184 c:\windows\system32\java.exe
+ 2009-08-21 16:40 . 2009-08-21 16:40 537600 c:\windows\Installer\d646b.msi
+ 2009-08-21 15:03 . 2009-08-21 15:03 195584 c:\windows\Installer\1cf86.msi
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Samsung Common SM"="c:\windows\Samsung\ComSMMgr\ssmmgr.exe" [2005-07-03 372736]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAudPropShortcut.exe" - c:\windows\system32\Hdaudpropshortcut.exe [2004-03-17 61952]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\NAMCO BANDAI Games\\Warhammer® Mark of Chaos\\Warhammer.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"g:\\Warcraft III\\Warcraft III.exe"=
"c:\\Programme\\The Creative Assembly\\Rome - Total War\\RomeTW.exe"=
"c:\\Programme\\WEB.DE\\WEB.DE MultiMessenger\\MESSENGR.EXE"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\Garena\\Garena.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [20.08.2009 15:58 108289]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
Inhalt des "geplante Tasks" Ordners

2009-08-22 c:\windows\Tasks\User_Feed_Synchronization-{117DDDD8-B5A2-4142-9C91-0696CDDE48BA}.job
- c:\windows\system32\msfeedssync.exe [2007-08-13 02:31]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
TCP: {0B316D96-1017-4617-B52A-C617BD9C68B8} = 192.168.100.1
FF - ProfilePath - c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\9oes8frx.default\
FF - prefs.js: browser.search.selectedEngine - GoogIe
FF - prefs.js: browser.startup.homepage - hxxp://start.icq.com/
FF - prefs.js: keyword.URL - hxxp://www.offos.com/search/?ie=UTF-8&oe=UTF-8&sourceid=navclient&gfns=1&rls=8QYAJ5lM&q=
FF - plugin: c:\programme\Google\Update\1.2.183.7\npGoogleOneClick8.dll

---- FIREFOX Richtlinien ----

FF - user.js: browser.search.selectedEngine - GoogIe
FF - user.js: keyword.URL - hxxp://www.offos.com/search/?ie=UTF-8&oe=UTF-8&sourceid=navclient&gfns=1&rls=8QYAJ5lM&q=
FF - user.js: yahoo.homepage.dontask - truec:\programme\Mozilla Firefox\greprefs\all.js - pref("media.enforce_same_site_origin", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.cache_size", 51200);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.ogg.enabled", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.wave.enabled", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.autoplay.enabled", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.urlbar.autocomplete.enabled", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("capability.policy.mailnews.*.wholeText", "noAccess");
c:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.storage.default_quota", 5120);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("content.sink.event_probe_rate", 3);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.http.prompt-temp-redirect", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("layout.css.dpi", -1);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("layout.css.devPixelsPerPx", -1);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("gestures.enable_single_finger_input", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.max_chrome_script_run_time", 0);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.tcp.sendbuffer", 131072);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("geo.enabled", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.remember_cert_checkbox_default_setting", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr", "moz35");
c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-cjkt", "moz35");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.blocklist.level", 2);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.restrict.typed", "~");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.default.behavior", 0);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.history", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.formdata", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.passwords", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.downloads", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cookies", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cache", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.sessions", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.offlineApps", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.siteSettings", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.history", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.formdata", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.passwords", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.downloads", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cookies", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cache", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.sessions", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.offlineApps", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.siteSettings", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.sanitize.migrateFx3Prefs", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.ssl_override_behavior", 2);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("security.alternate_certificate_error_page", "certerror");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.autostart", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.dont_prompt_on_enter", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("geo.wifi.uri", "https://www.google.com/loc/json");
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-08-22 18:02
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h–€|ÿÿÿÿ¤•€|ù•6~*]
"7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(512)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(3360)
c:\windows\system32\webcheck.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\windows\system32\ati2evxx.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\system32\PnkBstrA.exe
c:\windows\system32\PnkBstrB.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-08-22 18:05 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-08-22 16:04
ComboFix2.txt 2009-08-22 14:39
ComboFix3.txt 2009-08-21 16:28
ComboFix4.txt 2009-08-21 13:27

Vor Suchlauf: 4.050.460.672 Bytes frei
Nach Suchlauf: 3.998.375.936 Bytes frei

266 --- E O F --- 2009-08-21 15:03

Bei Schritt 5 gelingt es mir allerdings nicht, den Online Scanner zu installieren. Nachdem ich die Lizenzbedingungen akzeptiert habe, fängt er an zu installieren. Nach einiger Zeit erscheint dann jedoch die Meldung, dass ich Administratorrechte benötige und bei(m) IE die Sicherheitsstufe 3 einstellen soll. Administratorrechte habe ich, aber ich weiß nicht, was eine IE Sicherheitsstufe ist.

john.doe

22.08.2009 17:56

Start => Einstellungen => Systemsteuerung => Internetoptionen => Karte: Sicherheit => Schieberegler auf Stufe 3 schieben

oder:

Karte: Sicherheit => Klick auf Vertrauenswürdige Sites => Klick auf Sites => www.kaspersky.com => Haken weg bei "Für Sites....." => Hinzufügen => OK

ciao, andreas

sheryO

22.08.2009 21:01

So, hier ist dann auch der Log von Kaspersky:

Zitat:

-------------------------------------------------------------------------------
PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Samstag, 22. August 2009 21:59:18
Betriebssystem: Microsoft Windows XP Professional, Service Pack 3 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.98.2
Letztes Update der Antiviren-Datenbanken: 22/08/2009
Anzahl der Einträge in den Antiviren-Datenbanken: 2433705
-------------------------------------------------------------------------------

Scan-Einstellungen:
Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Standard
Archive untersuchen: ja
Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Arbeitsplatz:
C:\
D:\
E:\
G:\
H:\
J:\
O:\
U:\

Untersuchungsergebnisse:
Untersuchte Objekte insgesamt: 84863
Viren gefunden: 0
Infizierte Objekte gefunden: 0
Verdächtige Objekte gefunden: 0
Untersuchungszeit: 00:55:20

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\Dokumente und Einstellungen\Administrator\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\IETldCache\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Feeds\{5588ACFD-6436-411B-A5CE-666AE6A92D3D}~\WebSlices~\Web Slice-Katalog~.feed-ms Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Feeds Cache\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Internet Explorer\Recovery\Active\RecoveryStore.{9547B858-8F42-11DE-9B9D-0013D3BA5C8B}.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Internet Explorer\Recovery\Active\{25FF9545-8F43-11DE-9B9D-0013D3BA5C8B}.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Internet Explorer\Recovery\Active\{9547B859-8F42-11DE-9B9D-0013D3BA5C8B}.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\~DF2DF3.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\~DF2EF8.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\~DF2F10.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\~DF31D6.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\~DF3204.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\~DF3935.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\~DF42F8.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\~DFD8E7.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\PrivacIE\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\Verlauf\History.IE5\MSHist012009082220090823\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\avguard.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\System Volume Information\_restore{8AE9923E-890A-46D6-81D7-BD8C12E861DF}\RP2\change.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\Internet.evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\drivers\sptd.sys Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\temp\Perflib_Perfdata_6f0.dat Das Objekt ist gesperrt übersprungen
C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen
D:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
D:\System Volume Information\_restore{8AE9923E-890A-46D6-81D7-BD8C12E861DF}\RP2\change.log Das Objekt ist gesperrt übersprungen
G:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
G:\System Volume Information\_restore{8AE9923E-890A-46D6-81D7-BD8C12E861DF}\RP2\change.log Das Objekt ist gesperrt übersprungen

Die Untersuchung wurde abgeschlossen.

MfG
sheryO

john.doe

22.08.2009 21:18

Das sieht alles gut aus. Wie geht es dem Rechner? Noch irgendwelche Auffälligkeiten oder Meldungen?

Deinstalliere Kaspersky Online Scanner.

ciao, andreas

sheryO

23.08.2009 10:22

Den Kaspersky Online Scanner habe ich schon gestern, direkt nach dem Scan deinstalliert. Dem PC geht es, soweit ich das beurteilen kann, auch gut. Er ist wieder viel schneller und die Weiterleitung nach Windowsclick.com erfolgt auch nicht mehr. Sollte es wieder zu Problemen kommen, werde ich mich hier wieder melden.

Und nochmal Vielen Dank für die Hilfe!:daumenhoc

MfG
sheryO

john.doe

23.08.2009 11:59

1.) Start => Ausführen => combofix /u => OK

2.) Du bist entlassen. :)

ciao, andreas

Alle Zeitangaben in WEZ +1. Es ist jetzt 03:31 Uhr.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19