Trojaner schickt mich auf komische Seiten
 

Hallo jungs,
ich hab das Problem dass mich irgend ein Virus wenn ich einen link anklicke auf komische Seiten wie z.b. http://thefeedyard.com/?do=search&q=DownloadLatest%20Version weiterleitet.

als ich das bemerkt habe, hab ich erst einaml den Virenscanner laufen lassen mit dem Ergebnis dass der Pc neustartet gleich nach dem Beginn des scans.

dann habe ich mich hier ein bisschen schlau gemacht und wollte einige programme runterladen doch dies funktionierte nicht da ich immer wieder auf unsinnige seiten weitergeleitet wurde.

systemwiederherstellung geht auch nicht mehr dass einzigste was ich geschafft habe war ein logfile von dem programm Hopsassa dieses heist

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.

Hidden driver "nhkfox" found!
DisplayName: nhkfox
ImagePath: \??\C:\WINDOWS\system32\drivers\shejqacl.sys
Start Type: 2 (Automatic)

Rootkit scan completed.


Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\podmenadrv" not found!
Deletion of driver "podmenadrv" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\podmena" not found!
Deletion of driver "podmena" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Completed script processing.

*******************

Finished! Terminate.

ich hoffe ihr könnt mir helfen danke

Hallo und :hallo:

Bitte niemals irgendein Skript benutzen, dass für genau einen User in einer bestimmten Situation geschrieben wurde. Versuche es mit diesem hier:
Poste das Log von Avenger (aka Hopsassa) und versuche anschliessend die Programme nochmal zu laden. Sollte das nicht funktionieren, dann melde dich.

ciao, andreas

so hab jetzt das logfile von anti malware
Malwarebytes' Anti-Malware 1.41
Datenbank Version: 2790
Windows 5.1.2600 Service Pack 2

13.09.2009 17:11:11
mbam-log-2009-09-13 (17-10-47).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 167755
Laufzeit: 1 hour(s), 48 minute(s), 55 second(s)

Infizierte Speicherprozesse: 2
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 17
Infizierte Registrierungswerte: 5
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 1
Infizierte Dateien: 22

Infizierte Speicherprozesse:
C:\WINDOWS\msa.exe (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\X\Lokale Einstellungen\Temp\b.exe (Trojan.Downloader) -> No action taken.

Infizierte Speichermodule:
C:\WINDOWS\system32\autochk.dll (Trojan.FakeAlert) -> No action taken.

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\xml.xml (Worm.Allaple) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{500bca15-57a7-4eaf-8143-8c619470b13d} (Worm.Allaple) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{500bca15-57a7-4eaf-8143-8c619470b13d} (Worm.Allaple) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{500bca15-57a7-4eaf-8143-8c619470b13d} (Worm.Allaple) -> No action taken.
HKEY_CLASSES_ROOT\xml.xml.1 (Worm.Allaple) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\NordBull (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\chrome.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\navigator.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\opera.exe (Security.Hijack) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\poprock (Trojan.Downloader) -> No action taken.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nordbull (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\autochk (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\autochk (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\poprock (Trojan.Downloader) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.FakeAlert) -> Data: c:\windows\system32\sdra64.exe -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.FakeAlert) -> Data: system32\sdra64.exe -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.Userinit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,) Good: (Userinit.exe) -> No action taken.

Infizierte Verzeichnisse:
C:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken.

Infizierte Dateien:
C:\WINDOWS\msa.exe (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\X\Lokale Einstellungen\Temp\b.exe (Trojan.Downloader) -> No action taken.
C:\WINDOWS\system32\msxml71.dll (Worm.Allaple) -> No action taken.
C:\Dokumente und Einstellungen\X\Eigene Dateien\Eigene Musik\Verschieden\Web-MediaPlayer_setup.exe (Adware.NaviPromo) -> No action taken.
C:\Dokumente und Einstellungen\X\Lokale Einstellungen\Temp\a.exe (Trojan.Dropper) -> No action taken.
C:\Dokumente und Einstellungen\X\Lokale Einstellungen\Temp\h.exe (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\X\Lokale Einstellungen\Temp\i.exe (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\X\Lokale Einstellungen\Temp\update.exe (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\X\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YBO978UC\load[2].exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> No action taken.
C:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> No action taken.
C:\Dokumente und Einstellungen\X\Startmenü\Programme\Autostart\ChkDisk.dll (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\X\Startmenü\Programme\Autostart\ChkDisk.lnk (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\system32\autochk.dll (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\system32\drivers\str.sys (Rootkit.Agent) -> No action taken.
C:\WINDOWS\system32\sdra64.exe (Trojan.FakeAlert) -> No action taken.
C:\Dokumente und Einstellungen\X\Lokale Einstellungen\Temp\nsrbgxod.bak (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\X\iexplore.exe (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\X\protect.dll (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\NetworkService\protect.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\Tasks\{7B02EF0B-A410-4938-8480-9BA26420A627}.job (Trojan.Downloader) -> No action taken.
C:\WINDOWS\Tasks\{BB65B0FB-5712-401b-B616-E69AC55E2757}.job (Trojan.Downloader) -> No action taken.

logfile von hopsassa kommt gleich
danke für die schnelle antwort

:eek: Hast du bei Malwarebytes auch Löschen lassen? Dort steht No action taken. Bei den Funden solltest du ernsthaft das in Betracht ziehen => http://www.trojaner-board.de/51262-a...sicherung.html

ciao, andreas

nein ich konnte nichts löschen ist glaube ich nur eine demo:(
also bei hopsassa habe ich deinen rat befolgt dann wollte der pc neustarten dann kam no operating system found dann musste ich abschalten und neustarten dann kamm dieses logfile

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.

Hidden driver "nhkfox" found!
DisplayName: nhkfox
ImagePath: \??\C:\WINDOWS\system32\drivers\shejqacl.sys
Start Type: 4 (Disabled)

Rootkit scan completed.

Driver "nhkfox" deleted successfully.
File "C:\WINDOWS\system32\drivers\shejqacl.sys" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

denkst du ich habe keine andere chace wie formatieren?

Dann hast du dir die falsche Version geladen. Halte dich genau an unsere Anleitung.

Man kann (fast) alles bereinigen, nur wenn die Zeit zum Bereinigen ein Mehrfaches dessen überschreitet, die eine Neuinstallation erfordert, dann fragt man sich schon, ob das überhaupt sinnvoll ist.

Bei dem, das du auf dem Rechner hattest und vermutlich noch hast, halte ich das nicht für sinnvoll. Falls du dennoch Bereinigen möchtest, dann werden weitere ca. 10 Programme auf dich zukommen.

Siehst du das Stolen.Data im Log von Malwarebytes? Du kannst davon ausgehen, dass alle deine Kennwörter schon verschickt wurden. Deshalb ändere alle deine Kennwörter von einem sauberen Rechner.

ciao, andreas

ok dankeschön dann muss ich dass wohl oder übel machen aber woher weis ich dass meine datensicherug die ich mache nicht verseucht ist und dann meinen neuinstalierten rechner wieder infiziert wenn ich die daten rüberzihe?

danke für deine schnelle hilfe

edit:

ich hab antimalware nochmal im schnelldurchlauf scannen lassen also da steht dann entfernen aber wenn ich dass drücke kommt eine fehlermeldung und das programm wird geschlossen :(
"Malwarebytes' Anti-Malware hat ein Problem festgestellt und muss beendet werden."

Klar. Das du deine Daten verlierst, möchte ich natürlich nicht. Es gibt mehrere Möglichkeiten.

1.) Du benutzt eine Live-CD zum Daten sichern => http://www.trojaner-board.de/75619-a...x-live-cd.html

2.) Wir bereinigen zumindest soweit, dass du die Daten gefahrlos sichern kannst. Vorher deinen Anmeldenamen ersetzen! Neues Skript für den Avenger:
ciao, andreas

danke schön hier das logfile:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Folder "C:\WINDOWS\system32\lowsec" deleted successfully.
Folder "C:\Dokumente und Einstellungen\x\Lokale Einstellungen\Temporary Internet Files\Content.IE5" deleted successfully.
File "C:\WINDOWS\msa.exe" deleted successfully.
File "C:\Dokumente und Einstellungen\x\Lokale Einstellungen\Temp\b.exe" deleted successfully.
File "C:\WINDOWS\system32\msxml71.dll" deleted successfully.
File "C:\Dokumente und Einstellungen\x\Eigene Dateien\Eigene Musik\Verschieden\Web-MediaPlayer_setup.exe" deleted successfully.
File "C:\Dokumente und Einstellungen\x\Lokale Einstellungen\Temp\a.exe" deleted successfully.
File "C:\Dokumente und Einstellungen\x\Lokale Einstellungen\Temp\h.exe" deleted successfully.
File "C:\Dokumente und Einstellungen\x\Lokale Einstellungen\Temp\i.exe" deleted successfully.
File "C:\Dokumente und Einstellungen\x\Lokale Einstellungen\Temp\update.exe" deleted successfully.
File "C:\Dokumente und Einstellungen\x\Startmenü\Programme\Autostart\ChkDisk.dll" deleted successfully.
File "C:\Dokumente und Einstellungen\x\Startmenü\Programme\Autostart\ChkDisk.lnk" deleted successfully.
File "C:\WINDOWS\system32\autochk.dll" deleted successfully.
File "C:\WINDOWS\system32\drivers\str.sys" deleted successfully.
File "C:\WINDOWS\system32\sdra64.exe" deleted successfully.
File "C:\Dokumente und Einstellungen\x\Lokale Einstellungen\Temp\nsrbgxod.bak" deleted successfully.

Error: file "C:\Dokumente und Einstellungen\x\iexplore.exe" not found!
Deletion of file "C:\Dokumente und Einstellungen\x\iexplore.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

File "C:\Dokumente und Einstellungen\x\protect.dll" deleted successfully.
File "C:\Dokumente und Einstellungen\NetworkService\protect.dll" deleted successfully.
File "C:\WINDOWS\Tasks\{7B02EF0B-A410-4938-8480-9BA26420A627}.job" deleted successfully.
File "C:\WINDOWS\Tasks\{BB65B0FB-5712-401b-B616-E69AC55E2757}.job" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

danke für schnelle hilfe

kann ich jetzt datensicherung machen ohne probleme ?

Jetzt bitte ich dich um einen Gefallen.

Packe den Ordner c:\avenger mit Zip oder Rar, lade das Archiv bei einem Filehoster hoch (z.B. www.materialordner.de) und schicke mir den Link als Private Nachricht.
Das weiß ich noch nicht. Du hattest zumindest ein Rootkit, dass mittlerweile beseitigt ist, aber da können noch mehr sein. Wie geht es denn dem Rechner? Gibt es eine Besserung? Gibt es noch Umleitungen im Browser? Da du die gesicherten Daten sowieso scannen musst, können wir das auch gleich machen.

1.) http://www.trojaner-board.de/51871-a...tispyware.html

2.) Kaspersky - Onlinescanner

Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware.

---> hier herunterladen => Kaspersky Online Scanner
=> Hinweise zu älteren Versionen beachten!
=> Voraussetzung: Internet Explorer 6.0 oder höher
=> die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter
=> Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken
=> Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als
=> Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten
=> Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen

3.) Überprüfe den Rechner mit PrevXCSI. Poste ein Screenshot falls etwas gefunden werden sollte oder poste Namen und Pfade.

ciao, andreas

ordner wird gezipped und pc wird gescannt melde mich wenn alles abgeschlossen ist
noch einmal vielen dank für deine behühungen

rechner geht es besser wurde bis jetzt nichtmehr weitergeleitet aber ich glaube bei antivir wird der pc immernoch neugestartet muss ich aber nochmal schauen bis gleich

ok link an dich verschickt und logfile von atispyware erstellt:

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 09/13/2009 at 08:02 PM

Application Version : 4.28.1010

Core Rules Database Version : 4097
Trace Rules Database Version: 2037

Scan type : Complete Scan
Total Scan Time : 01:31:30

Memory items scanned : 807
Memory threats detected : 1
Registry items scanned : 5413
Registry threats detected : 2
File items scanned : 67377
File threats detected : 66

Trojan.Agent/Gen-FakeAlert
C:\DOKUMENTE UND EINSTELLUNGEN\x\XOUUZ.EXE
C:\DOKUMENTE UND EINSTELLUNGEN\x\XOUUZ.EXE
[xouuz] C:\DOKUMENTE UND EINSTELLUNGEN\x\XOUUZ.EXE
C:\WINDOWS\Prefetch\XOUUZ.EXE-13703722.pf

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\x\Cookies\fege@bluestreak[2].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@tto2.traffictrack[2].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@zanox[2].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@fastclick[2].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@clicks.pangora[1].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@mediaplex[2].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@adbrite[2].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@traffictrack[2].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@casalemedia[1].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@www.etracker[1].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@adrevolver[2].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@advertising[1].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@zedo[2].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@invitemedia[1].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@a2.adserver01[1].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@zanox-affiliate[2].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@www.traffictrack[2].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@ak[1].txt
C:\Dokumente und Einstellungen\xCookies\fege@burstnet[2].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@tradedoubler[1].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@cdn.at.atwola[1].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@beepbanner[1].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@adfarm1.adition[1].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@content.yieldmanager[2].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@revsci[1].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@apmebf[1].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@tacoda[2].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@ad.ad-srv[2].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@ad.adnet[2].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@ad.adition[1].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@ads.lucidmedia[1].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@ads.heias[1].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@realmedia[1].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@tracking.3gnet[1].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@specificclick[1].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@beacons.hottraffic[1].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@ad.trackbar[1].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@media.adrevolver[1].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@a3.adserver01[2].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@adtech[2].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@interclick[1].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@247realmedia[1].txteGe\Cookies\fege@at.atwola[2].txt
C:\Dokumente und Einstellungen\
C:\Dokumente und Einstellungen\x\Cookies\fege@www.zanox-affiliate[1].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@tracking.quisma[2].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@wendybanner888[2].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@doubleclick[1].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@atdmt[1].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@paperbanner[1].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@ad.yieldmanager[1].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@go.dynamic-tracking[2].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@12finder[2].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@ad.zanox[1].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@tracking.mindshare[2].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@tribalfusion[1].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@atwola[2].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@trafficmp[2].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@adserver.adtechus[1].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@webmasterplan[1].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@eas.apm.emediate[2].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@overture[1].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@tracking[2].txt

Trojan.Agent/Gen
HKU\S-1-5-21-2738817857-1055559545-666353811-1006\SOFTWARE\XML

Trojan.Unclassified/MSXML71
C:\DOKUMENTE UND EINSTELLUNGEN\FEGE\LOKALE EINSTELLUNGEN\TEMP\MSXML71.DLL

Trojan.Dropper/Win-NV
C:\WINDOWS\MSB.EXE


dankeschön noch weitere arbeiten vornehmen?

Ich bin gerade am Grübeln, ob wir nicht doch lieber bereinigen. Denn das Zeitraubende, sprich das Scannen kommt ja sowieso auf dich zu, für den Fall, dass du sicherst. Das ist jetzt deine Entscheidung. Sichern kannst du jetzt erstmal. Denn als nächstes kommt ComboFix und da besteht immer die Möglichkeit, dass etwas schiefgeht.

Hier schonmal die Ergebnisse von Virustotal: Rustock, Renos, Bredolab, NaviPromo. Du hast so gut wie nichts ausgelassen. :)

Virustotal. MD5: 752bf69409f14231c3beb877bddc2094 a variant of Win32/Kryptik.ADD TrojanDownloader:Win32/Renos.GW SHeur2.BDDI
Virustotal. MD5: 01bf8c558d0bbd08604e2db5b7356ebe Heuristic.Crypted Trojan.Win32.Scar.ef Win32/Rootkit.Agent.NPB
Virustotal. MD5: 33eb325dcf2d41bedaf11be5d48d7ce7 a variant of Win32/Kryptik.ADD TrojanDownloader:Win32/Renos.JI Trojan.Click.27629
Virustotal. MD5: 01bf8c558d0bbd08604e2db5b7356ebe Heuristic.Crypted Trojan.Win32.Scar.ef Win32/Rootkit.Agent.NPB
Virustotal. MD5: 25c2c8ebb30b6545f47be8732b77ce69 Suspect-29!25C2C8EBB30B a variant of Win32/Kryptik.ADD TrojanDownloader:Win32/Renos.JI
Virustotal. MD5: 020c2205f4cfc85ebb914305983c1127 a variant of Win32/Kryptik.ADD TrojanDownloader:Win32/Renos.JM Suspicious File
Virustotal. MD5: 732634672572b3cf9b2982c5b51dd934 a variant of Win32/Kryptik.ADD TrojanDownloader:Win32/Renos.JM Suspicious File
Virustotal. MD5: 5cf522c2ff58ec5286149fcd9ffee3a1 Win32/TrojanDownloader.FakeAlert.AIX TrojanDownloader:Win32/Renos.JM Trojan.Packed.458
Virustotal. MD5: 01bf8c558d0bbd08604e2db5b7356ebe Heuristic.Crypted Trojan.Win32.Scar.ef Win32/Rootkit.Agent.NPB
Virustotal. MD5: 1bddf3e39368961719814f251a426a3f Trojan.Dropper.Gen Trojan-Downloader:W32/Bredolab.gen!C a variant of Win32/Kryptik.ALK
Virustotal. MD5: 2a3602131840edd6147af42fe68bb36b Heuristic.BehavesLike.Win32.Rootkit.B Backdoor:WinNT/Rustock.gen!B TR/Crypt.ZPACK.Gen
Virustotal. MD5: 7a3c560b6a15d4ca0889a58d05fe1ca1 SHeur2.BDEI (Suspicious) - DNAScan Trojan.Botnetlog.11
Virustotal. MD5: 2424168a2a62d8a9f72ef97bd77f9224 WebMediaPlayer Heuristic.LooksLike.Win32.NaviPromo.H a variant of Win32/Adware.Agent.NMZ

ciao, andreas

wie verstehe ich ich habe nichts ausgelassen soll ich da die ironie raushören dass ich mir einfach so gut wie alles eingefangen habe oder habe ich schon einiges bereinigt... hoffe das zweite glaube aber das erste :D
naja also wenn es dir nichts ausmacht würde ich gerne bereinigen dann bin ich mir sicher dass erst mal alles weg ist habe bis jetzt noch nie so genau gearbeitet sonst immer virenscan durchlaufen lassen und dachte alles wäre i.o. scheint wohl nicht so...

ich frage mich gerade nur wo ich mir die ganzen pferde eingefangen habe? kann soetwas auch bei legalen downloads passieren?

:daumenhoc
Ja, das denken viele, ich habe eine Antivirenprogramm, ich bin doch sicher. Völlig falsch.

Schau doch nur, wie wenig von den Antivirenprogrammen die neuen Schädlinge überhaupt erkennen. 3 von 41, 6 von 41. Ein Antivirenprogramm ist kein Schutz. Klicke auf den dritten Link in meiner Signatur, lies alles und lerne es auswendig. :)
Grundsätzlich schon, aber recht unwahrscheinlich. Die meisten infizieren sich, weil sie sich Keygens, Cracks und Patches laden oder Software mit P2P-Programmen laden.

Wenn du deine Daten gesichert hast, dann weiter mit ComboFix.

Solltest du noch irgendetwas mit dem Computer verbinden, wie Memorysticks, Speicherkarten, Digitalkameras, Handy, externe Laufwerke, ... dann stecke vor dem Scan alles an.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

ciao, andreas

okay erledigt hier die logdatei:


ComboFix 09-09-13.04 - FeGe 13.09.2009 21:54.1.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.49.1031.18.1022.625 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\FeGe\Desktop\cofi.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\recycler\S-1-5-21-2744553785-2674424295-4219570803-1003
c:\recycler\S-1-5-21-3514236072-64079174-4100656054-1003
c:\windows\Installer\WinRMSrv.msi
c:\windows\system32\drivers\gasfkyrndejmty.sys
c:\windows\system32\gasfkydccdxdoy.dat
c:\windows\system32\gasfkyevmlxesj.dll
c:\windows\system32\gasfkymytjbgrk.dll
c:\windows\system32\gasfkynaulhyla.dll
c:\windows\system32\gasfkytvakytiv.dat

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_gasfkypxbjdvbr
-------\Legacy_gasfkypxbjdvbr


((((((((((((((((((((((( Dateien erstellt von 2009-08-13 bis 2009-09-13 ))))))))))))))))))))))))))))))
.

2009-09-13 16:26 . 2009-09-13 16:26 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2009-09-13 16:26 . 2009-09-13 16:26 -------- d-----w- c:\programme\SUPERAntiSpyware
2009-09-13 16:26 . 2009-09-13 16:26 -------- d-----w- c:\dokumente und einstellungen\FeGe\Anwendungsdaten\SUPERAntiSpyware.com
2009-09-13 16:26 . 2009-09-13 16:26 -------- d-----w- c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-09-13 13:17 . 2009-09-13 13:17 -------- d-----w- c:\dokumente und einstellungen\FeGe\Anwendungsdaten\Malwarebytes
2009-09-13 13:16 . 2009-09-10 12:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-09-13 13:16 . 2009-09-13 13:16 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2009-09-13 13:16 . 2009-09-13 13:16 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-09-13 13:16 . 2009-09-10 12:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-09-13 01:08 . 2009-09-13 01:08 -------- d-----w- c:\windows\system32\XPSViewer
2009-09-13 01:08 . 2009-09-13 01:08 -------- d-----w- c:\programme\MSBuild
2009-09-13 01:07 . 2009-09-13 01:07 -------- d-----w- c:\programme\Reference Assemblies
2009-09-13 01:06 . 2008-07-06 12:06 117760 ------w- c:\windows\system32\prntvpt.dll
2009-09-13 01:06 . 2008-07-06 12:06 89088 -c----w- c:\windows\system32\dllcache\filterpipelineprintproc.dll
2009-09-13 01:06 . 2008-07-06 12:06 575488 -c----w- c:\windows\system32\dllcache\xpsshhdr.dll
2009-09-13 01:06 . 2008-07-06 12:06 575488 ------w- c:\windows\system32\xpsshhdr.dll
2009-09-13 01:06 . 2008-07-06 12:06 1676288 -c----w- c:\windows\system32\dllcache\xpssvcs.dll
2009-09-13 01:06 . 2008-07-06 12:06 1676288 ------w- c:\windows\system32\xpssvcs.dll
2009-09-13 01:06 . 2008-07-06 10:50 597504 -c----w- c:\windows\system32\dllcache\printfilterpipelinesvc.exe
2009-09-13 01:02 . 2009-09-13 01:02 -------- d-----w- c:\programme\MSXML 6.0
2009-09-13 00:08 . 2009-07-28 14:33 55656 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-09-13 00:08 . 2009-03-30 08:33 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
2009-09-13 00:08 . 2009-02-13 10:29 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
2009-09-13 00:08 . 2009-02-13 10:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys
2009-09-13 00:08 . 2009-09-13 00:08 -------- d-----w- c:\programme\Avira
2009-09-13 00:08 . 2009-09-13 00:08 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2009-09-12 14:32 . 2009-09-12 14:32 -------- d-----w- C:\spoolerlogs
2009-09-12 13:38 . 2009-09-12 13:38 -------- d-----w- c:\dokumente und einstellungen\FeGe\Anwendungsdaten\Ahead
2009-09-12 11:20 . 2009-09-12 11:20 -------- d-----w- c:\dokumente und einstellungen\FeGe\Anwendungsdaten\OCS
2009-09-12 00:07 . 2009-09-12 00:07 -------- d-----w- c:\programme\Ruhe
2009-08-25 09:41 . 2009-08-25 09:41 -------- d-----w- c:\dokumente und einstellungen\Besitzer\Bluetooth Software
2009-08-25 09:41 . 2009-08-25 09:41 -------- d-----w- c:\dokumente und einstellungen\Besitzer

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-09-13 19:39 . 2009-09-13 19:39 -------- d-----w- c:\programme\CCleaner
2009-09-13 01:26 . 2009-06-29 19:47 69728 ----a-w- c:\dokumente und einstellungen\FeGe\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-09-13 01:15 . 2005-08-19 02:15 86214 ----a-w- c:\windows\system32\perfc007.dat
2009-09-13 01:15 . 2005-08-19 02:15 461528 ----a-w- c:\windows\system32\perfh007.dat
2009-09-04 18:09 . 2009-06-29 20:10 -------- d-----w- c:\dokumente und einstellungen\FeGe\Anwendungsdaten\ICQ
2009-08-05 09:05 . 2005-08-19 02:14 206336 ----a-w- c:\windows\system32\mswebdvd.dll
2009-07-18 08:35 . 2009-07-18 08:35 -------- d-----w- c:\programme\Windows Media Connect 2
2009-07-18 08:33 . 2005-09-07 12:17 -------- d-----w- c:\programme\Windows Media Connect
2009-07-17 18:56 . 2005-08-19 02:14 58880 ----a-w- c:\windows\system32\atl.dll
2009-07-16 18:56 . 2009-07-16 18:56 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Adobe Systems
2009-07-16 14:39 . 2005-09-07 13:53 -------- d-----w- c:\programme\Gemeinsame Dateien\Adobe
2009-07-16 14:39 . 2009-07-16 14:39 -------- d-----w- c:\programme\Gemeinsame Dateien\Adobe Systems Shared
2009-07-13 21:43 . 2005-08-19 02:15 286208 ----a-w- c:\windows\system32\wmpdxm.dll
2009-06-29 19:48 . 2009-06-29 19:47 137 ----a-w- c:\dokumente und einstellungen\FeGe\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
2009-06-26 16:17 . 2005-08-19 02:14 665088 ----a-w- c:\windows\system32\wininet.dll
2009-06-26 16:16 . 2005-08-19 02:14 81920 ----a-w- c:\windows\system32\ieencode.dll
2009-06-16 14:53 . 2005-08-19 02:14 119808 ----a-w- c:\windows\system32\t2embed.dll
2009-06-16 14:53 . 2005-08-19 02:14 82432 ----a-w- c:\windows\system32\fontsub.dll
2005-09-07 15:59 . 2005-09-07 15:59 8 --sh--r- c:\windows\system32\31961103D8.sys
2005-09-07 15:59 . 2005-09-07 15:59 4704 -csha-w- c:\windows\system32\KGyGaAvL.sys
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2004-10-13 1694208]
"ICQ"="c:\programme\ICQ6.5\ICQ.exe" [2009-03-01 172792]
"WMPNSCFG"="c:\programme\Windows Media Player\WMPNSCFG.exe" [2006-11-03 204288]
"SUPERAntiSpyware"="c:\programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2009-09-04 1994480]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATSwpNav"="c:\programme\Fingerprint Sensor\ATSwpNav -run" [X]
"AzMixerSel"="c:\programme\Realtek\InstallShield\AzMixerSel.exe" [2005-06-11 53248]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2005-08-25 737369]
"Realtime Monitor"="c:\progra~1\CA\ETRUST~1\realmon.exe" [2004-06-25 504080]
"AOLDialer"="c:\programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe" [2004-11-09 497240]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-04 208952]
"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-04 59392]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 455168]
"ATICCC"="c:\programme\ATI Technologies\ATI.ACE\cli.exe" [2005-08-30 57344]
"LaunchAp"="c:\programme\Launch Manager\LaunchAp.exe" [2005-07-25 32768]
"HotkeyApp"="c:\programme\Launch Manager\HotkeyApp.exe" [2005-08-17 61440]
"CtrlVol"="c:\programme\Launch Manager\CtrlVol.exe" [2003-09-16 20480]
"LMgrOSD"="c:\programme\Launch Manager\OSD.exe" [2005-03-16 204800]
"Wbutton"="c:\programme\Launch Manager\Wbutton.exe" [2005-09-02 81920]
"RemoteControl"="c:\programme\Home Cinema\PowerDVD\PDVDServ.exe" [2004-11-02 32768]
"PCMService"="c:\programme\Home Cinema\PowerCinema\PCMService.exe" [2005-09-15 139264]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"Ocs_SM"="c:\dokumente und einstellungen\FeGe\Anwendungsdaten\OCS\SM\SearchAnonymizer.exe" [2009-09-12 102400]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"High Definition Audio Property Page Shortcut"="HDAShCut.exe" - c:\windows\system32\HdAShCut.exe [2005-01-07 61952]
"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.EXE [2005-08-18 14820864]
"AGRSMMSG"="AGRSMMSG.exe" - c:\windows\AGRSMMSG.exe [2005-05-11 88204]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

c:\dokumente und einstellungen\FeGe\Startmen�\Programme\Autostart\
Adobe Gamma.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2005-3-16 113664]
Microsoft-Indexerstellung.lnk - c:\programme\Microsoft Office\Office\FINDFAST.EXE [1996-12-14 111376]
Office-Start.lnk - c:\programme\Microsoft Office\Office\OSA.EXE [1996-12-14 51984]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
Microsoft Office.lnk - c:\programme\Microsoft Office\Office\OSA9.EXE [1999-2-17 65588]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2009-09-03 13:21 548352 ----a-w- c:\programme\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%ProgramFiles%\\Messenger\\msmsgs.exe"=
"%ProgramFiles%\\MSN Messenger\\msnmsgr.exe"=
"%ProgramFiles%\\AOL 9.0\\AOL.exe"=
"%ProgramFiles%\\AOL 9.0\\WAOL.exe"=
"%CommonProgramFiles%\\AOL\\ACS\\AOLACSD.exe"=
"%CommonProgramFiles%\\AOL\\ACS\\AOLDIAL.exe"=
"%WinDir%\\system32\\fxsclnt.exe"=
"%ProgramFiles%\\CA\\eTrust Antivirus\\InocIT.exe"=
"%ProgramFiles%\\CA\\eTrust Antivirus\\Realmon.exe"=
"%ProgramFiles%\\CA\\eTrust Antivirus\\InoRpc.exe"=
"%ProgramFiles%\\WIDCOMM\\Bluetooth Software\\BTTray.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\Home Cinema\\PowerCinema\\PowerCinema.exe"=
"c:\\Programme\\Home Cinema\\PowerCinema\\PCMService.exe"=

R1 SASDIFSV;SASDIFSV;c:\programme\SUPERAntiSpyware\sasdifsv.sys [04.09.2009 14:50 9968]
R1 SASKUTIL;SASKUTIL;c:\programme\SUPERAntiSpyware\SASKUTIL.SYS [04.09.2009 14:49 74480]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [13.09.2009 02:08 108289]
R2 ICQ Service;ICQ Service;c:\programme\ICQ6Toolbar\ICQ Service.exe [29.06.2009 22:11 222456]
S1 mailKmd;mailKmd; [x]
S2 SearchAnonymizer;SearchAnonymizer;c:\dokumente und einstellungen\FeGe\Anwendungsdaten\OCS\SM\SearchAnonymizerHelper.exe [12.09.2009 13:20 40960]
S3 SASENUM;SASENUM;c:\programme\SUPERAntiSpyware\SASENUM.SYS [04.09.2009 14:50 7408]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://start.icq.com/
IE: &Google-Suche - c:\programme\google\GoogleToolbar2.dll/cmsearch.html
IE: &Ins Deutsche übersetzen - c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
IE: Im Cache gespeicherte Seite - c:\programme\google\GoogleToolbar2.dll/cmcache.html
IE: Senden an &Bluetooth - c:\programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: Verweisseiten - c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
IE: Ähnliche Seiten - c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
FF - ProfilePath - c:\dokumente und einstellungen\FeGe\Anwendungsdaten\Mozilla\Firefox\Profiles\hwec9c1o.default\
FF - prefs.js: browser.startup.homepage - google.de
FF - plugin: c:\programme\Java\jre1.5.0_04\bin\NPJava11.dll
FF - plugin: c:\programme\Java\jre1.5.0_04\bin\NPJava12.dll
FF - plugin: c:\programme\Java\jre1.5.0_04\bin\NPJava13.dll
FF - plugin: c:\programme\Java\jre1.5.0_04\bin\NPJava14.dll
FF - plugin: c:\programme\Java\jre1.5.0_04\bin\NPJava32.dll
FF - plugin: c:\programme\Java\jre1.5.0_04\bin\NPJPI150_04.dll
FF - plugin: c:\programme\Java\jre1.5.0_04\bin\NPOJI610.dll
FF - plugin: c:\programme\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-09-13 22:06
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(900)
c:\programme\SUPERAntiSpyware\SASWINLO.dll
c:\windows\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2009-09-13 22:08
ComboFix-quarantined-files.txt 2009-09-13 20:08

Vor Suchlauf: 2.239.729.664 Bytes frei
Nach Suchlauf: 2.711.486.464 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

199 --- E O F --- 2009-09-13 01:18

:eek: Damit habe ich nun gar nicht gerechnet, TDSS auch noch.

Es ist mir jetzt schon mehrfach aufgestoßen, was ist dieses SearchAnonymizer?

1.) Deinstalliere SuperAntiSpyware.

2.) Deaktiviere den Wächter von Avira.

3.) Packe den Ordner c:\qoobox mit Zip oder Rar, lade das Archiv bei einem Filehoster hoch und schicke mir den Link als Private Nachricht.

4.) Aktiviere den Wächter von Avira.

ciao, andreas

Edit: Poste beide Logs von RSIT.

ok erledigt

1)info.txt logfile of random's system information tool 1.06 2009-09-13 22:39:26

======Uninstall list======

-->C:\Programme\Ahead\nero\uninstall\UNNERO.exe /UNINSTALL
-->C:\Programme\Gemeinsame Dateien\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
-->C:\WINDOWS\IsUn0407.exe -fC:\WINDOWS\orun32.isu
-->C:\WINDOWS\UNNeroVision.exe /UNINSTALL
-->C:\WINDOWS\UNNMP.exe /UNINSTALL
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
Adobe Bridge 1.0-->MsiExec.exe /I{B74D4E10-6884-0000-0000-000000000101}
Adobe Common File Installer-->MsiExec.exe /I{8EDBA74D-0686-4C99-BFDD-F894678E5101}
Adobe Flash Player 10 ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player 10 Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Help Center 1.0-->MsiExec.exe /I{E9787678-119F-4D52-B551-6739B2B22101}
Adobe Photoshop CS2-->msiexec /I {236BB7C4-4419-42FD-0409-1E257A25E34D}
Adobe Reader 7.0 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A70000000000}
Adobe Stock Photos 1.0-->MsiExec.exe /I{786C5747-0C40-4930-9AFE-113BCE553101}
Agere Systems HDA Modem-->agrsmdel
AOL Coach Version 1.0(Build:20040229.1 de)-->"C:\Programme\Gemeinsame Dateien\aolshare\Coach\AolCInUn.exe" -lang="de-de"
AOL Deutschland-->C:\Programme\Gemeinsame Dateien\aolshare\Aolunins_de.exe
AOL Meine Fotos Bildschirmschoner-->C:\Programme\Gemeinsame Dateien\AOL\Screensaver\uninst_ygpss.exe
AOL Optimized Dial-In-->"C:\Programme\Gemeinsame Dateien\AOL\ACS\AcsUninstall.exe" /c
AT Navigation Control-->MsiExec.exe /I{2A4AF2C5-1920-4287-9950-A7BE42F5C0BA}
ATI - Dienstprogramm zur Deinstallation der Software-->C:\Programme\ATI Technologies\UninstallAll\AtiCimUn.exe
ATI Catalyst Control Center-->MsiExec.exe /I{53C38B64-91AC-42CB-AAEB-699E1F32AB5F}
ATI Display Driver-->rundll32 C:\WINDOWS\system32\atiiiexx.dll,_InfEngUnInstallINFFile_RunDLL@16 -force_restart -flags:0x2010001 -inf_class:DISPLAY -clean
Avira AntiVir Personal - Free Antivirus-->C:\Programme\Avira\AntiVir Desktop\setup.exe /REMOVE
CA eTrust Antivirus-->MsiExec.exe /X{CC55BD24-C1A6-4397-8EA3-2F30E74BDA2B}
CCleaner (remove only)-->"C:\Programme\CCleaner\uninst.exe"
DivX Player-->C:\Programme\DivX\DivXPlayerUninstall.exe /PLAYER
DivX Pro-->C:\Programme\DivX\DivXCodecUninstall.exe /CODEC
Google Toolbar for Internet Explorer-->regsvr32 /u /s "c:\programme\google\googletoolbar2.dll"
High Definition Audio Driver Package - KB888111-->"C:\WINDOWS\$NtUninstallKB888111WXPSP2$\spuninst\spuninst.exe"
HighMAT-Erweiterung für den Microsoft Windows XP-Assistenten zum Schreiben von CDs-->MsiExec.exe /X{FCE65C4E-B0E8-4FBD-AD16-EDCBE6CD591F}
HijackThis 2.0.2-->"C:\Programme\trend micro\HijackThis.exe" /uninstall
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->C:\WINDOWS\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall /qb+ REBOOTPROMPT=""
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)-->C:\WINDOWS\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {A7EEA2F2-BFCD-4A54-A575-7B81A786E658} /qb+ REBOOTPROMPT=""
Hotfix for Windows Media Format 11 SDK (KB929399)-->"C:\WINDOWS\$NtUninstallKB929399$\spuninst\spuninst.exe"
Hotfix for Windows XP (KB926239)-->"C:\WINDOWS\$NtUninstallKB926239$\spuninst\spuninst.exe"
Hotfix für Windows Media Player 11 (KB939683)-->"C:\WINDOWS\$NtUninstallKB939683$\spuninst\spuninst.exe"
Hotfix für Windows XP (KB935448)-->"C:\WINDOWS\$NtUninstallKB935448$\spuninst\spuninst.exe"
Hotfix für Windows XP (KB952287)-->"C:\WINDOWS\$NtUninstallKB952287$\spuninst\spuninst.exe"
Hotfix für Windows XP (KB970653-v3)-->"C:\WINDOWS\$NtUninstallKB970653-v3$\spuninst\spuninst.exe"
ICQ Toolbar-->C:\Programme\ICQ6Toolbar\ICQUnToolbar.exe
ICQ6.5-->"C:\Programme\InstallShield Installation Information\{60DE4033-9503-48D1-A483-7846BD217CA9}\setup.exe" -runfromtemp -l0x0009 -removeonly
J2SE Runtime Environment 5.0 Update 4-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150040}
Launch Manager V1.2.4-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{D0846526-66DD-4DC9-A02C-98F9A2806812}\Setup.exe" -l0x7 -uninst
Learn2 Player (Uninstall Only)-->C:\Programme\Learn2.com\StRunner\stuninst.exe
Macromedia Shockwave Player-->C:\WINDOWS\system32\Macromed\SHOCKW~1\UNWISE.EXE C:\WINDOWS\system32\Macromed\SHOCKW~1\Install.log
Malwarebytes' Anti-Malware-->"C:\Programme\Malwarebytes' Anti-Malware\unins000.exe"
MediaShow 3.0-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{D5A9B7C0-8751-11D8-9D75-000129760D75}\setup.exe" -uninstall
Microsoft .NET Framework 1.1 German Language Pack-->MsiExec.exe /X{E78BFA60-5393-4C38-82AB-E8019E464EB4}
Microsoft .NET Framework 1.1 Hotfix (KB928366)-->"C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\hotfix.exe" "C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\M928366\M928366Uninstall.msp"
Microsoft .NET Framework 1.1-->msiexec.exe /X {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 1.1-->MsiExec.exe /X{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 2.0 Service Pack 2-->MsiExec.exe /I{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}
Microsoft .NET Framework 3.0 Service Pack 2-->MsiExec.exe /I{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}
Microsoft .NET Framework 3.5 SP1-->C:\WINDOWS\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 SP1\setup.exe
Microsoft .NET Framework 3.5 SP1-->MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}
Microsoft Compression Client Pack 1.0 for Windows XP-->"C:\WINDOWS\$NtUninstallMSCompPackV1$\spuninst\spuninst.exe"
Microsoft Office 2000 Disc 2-->MsiExec.exe /I{00040407-78E1-11D2-B60F-006097C998E7}
Microsoft Office 2000 Premium-->MsiExec.exe /I{00000407-78E1-11D2-B60F-006097C998E7}
Microsoft Office 97, Professional Edition-->C:\Programme\Microsoft Office\Office\Setup\Acme.exe /w Off97Pro.STF
Microsoft User-Mode Driver Framework Feature Pack 1.0-->"C:\WINDOWS\$NtUninstallWudf01000$\spuninst\spuninst.exe"
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}
Microsoft Windows-Journal-Viewer-->MsiExec.exe /X{43DCF766-6838-4F9A-8C91-D92DA586DFA7}
Mozilla Firefox (3.5.3)-->C:\Programme\Mozilla Firefox\uninstall\helper.exe
MSN Messenger 7.0-->MsiExec.exe /I{ABEB838C-A1A7-4C5D-B7E1-8B4314600813}
MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
MSXML 6.0 Parser (KB933579)-->MsiExec.exe /I{0A869A65-8C94-4F7C-A5C7-972D3C8CED9E}
Nero Suite-->C:\Programme\Gemeinsame Dateien\Nero\Uninstall\Setupx.exe /uninstall ExtraUninstallID=""
PhotoNow! 1.0-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{D36DD326-7280-11D8-97C8-000129760CBE}\setup.exe" -uninstall
PowerCinema-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{2637C347-9DAD-11D6-9EA2-00055D0CA761}\setup.exe" -uninstall
PowerDirector-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{CB099890-1D5F-11D5-9EA9-0050BAE317E1}\setup.exe" -uninstall
PowerDVD-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}\setup.exe" -uninstall
PowerProducer-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{B7A0CE06-068E-11D6-97FD-0050BACBF861}\setup.exe" -uninstall
QuickTime-->C:\WINDOWS\unvise32qt.exe C:\WINDOWS\system32\QuickTime\Uninstall.log
RealPlayer-->C:\Programme\Gemeinsame Dateien\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
REALTEK Gigabit and Fast Ethernet NIC Driver-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{94FB906A-CF42-4128-A509-D353026A607E}\Setup.exe" -l0x7 REMOVE
Realtek High Definition Audio Driver-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}\Setup.exe" -l0x7 -removeonly
Ruhe V 0.09-->C:\Programme\Ruhe\unins000.exe
SearchAnonymizer-->C:\Dokumente und Einstellungen\FeGe\Anwendungsdaten\OCS\SM\SearchAnonymizer.exe uninstall
Sicherheitsupdate für Step by Step Interactive Training (KB898458)-->"C:\WINDOWS\$NtUninstallKB898458$\spuninst\spuninst.exe"
Sicherheitsupdate für Step by Step Interactive Training (KB923723)-->"C:\WINDOWS\$NtUninstallKB923723$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player (KB952069)-->"C:\WINDOWS\$NtUninstallKB952069_WM9$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player (KB968816)-->"C:\WINDOWS\$NtUninstallKB968816_WM9$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player (KB973540)-->"C:\WINDOWS\$NtUninstallKB973540_WM9L$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player 10 (KB936782)-->"C:\WINDOWS\$NtUninstallKB936782_WMP10$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player 11 (KB936782)-->"C:\WINDOWS\$NtUninstallKB936782_WMP11$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player 11 (KB954154)-->"C:\WINDOWS\$NtUninstallKB954154_WM11$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB890046)-->"C:\WINDOWS\$NtUninstallKB890046$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB893066)-->"C:\WINDOWS\$NtUninstallKB893066$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB893756)-->"C:\WINDOWS\$NtUninstallKB893756$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB896358)-->"C:\WINDOWS\$NtUninstallKB896358$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB896422)-->"C:\WINDOWS\$NtUninstallKB896422$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB896423)-->"C:\WINDOWS\$NtUninstallKB896423$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB896428)-->"C:\WINDOWS\$NtUninstallKB896428$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB899587)-->"C:\WINDOWS\$NtUninstallKB899587$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB899588)-->"C:\WINDOWS\$NtUninstallKB899588$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB899591)-->"C:\WINDOWS\$NtUninstallKB899591$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB901190)-->"C:\WINDOWS\$NtUninstallKB901190$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB901214)-->"C:\WINDOWS\$NtUninstallKB901214$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923561)-->"C:\WINDOWS\$NtUninstallKB923561$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923689)-->"C:\WINDOWS\$NtUninstallKB923689$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB938464-v2)-->"C:\WINDOWS\$NtUninstallKB938464-v2$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB941569)-->"C:\WINDOWS\$NtUninstallKB941569$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB944338-v2)-->"C:\WINDOWS\$NtUninstallKB944338-v2$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB946648)-->"C:\WINDOWS\$NtUninstallKB946648$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950760)-->"C:\WINDOWS\$NtUninstallKB950760$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950762)-->"C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950974)-->"C:\WINDOWS\$NtUninstallKB950974$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951066)-->"C:\WINDOWS\$NtUninstallKB951066$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951376-v2)-->"C:\WINDOWS\$NtUninstallKB951376-v2$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951748)-->"C:\WINDOWS\$NtUninstallKB951748$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB952004)-->"C:\WINDOWS\$NtUninstallKB952004$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB952954)-->"C:\WINDOWS\$NtUninstallKB952954$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB954600)-->"C:\WINDOWS\$NtUninstallKB954600$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB955069)-->"C:\WINDOWS\$NtUninstallKB955069$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956572)-->"C:\WINDOWS\$NtUninstallKB956572$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956802)-->"C:\WINDOWS\$NtUninstallKB956802$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956803)-->"C:\WINDOWS\$NtUninstallKB956803$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956844)-->"C:\WINDOWS\$NtUninstallKB956844$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB957097)-->"C:\WINDOWS\$NtUninstallKB957097$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958470)-->"C:\WINDOWS\$NtUninstallKB958470$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958644)-->"C:\WINDOWS\$NtUninstallKB958644$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958687)-->"C:\WINDOWS\$NtUninstallKB958687$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB959426)-->"C:\WINDOWS\$NtUninstallKB959426$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960225)-->"C:\WINDOWS\$NtUninstallKB960225$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960803)-->"C:\WINDOWS\$NtUninstallKB960803$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960859)-->"C:\WINDOWS\$NtUninstallKB960859$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB961371)-->"C:\WINDOWS\$NtUninstallKB961371$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB961373)-->"C:\WINDOWS\$NtUninstallKB961373$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB961501)-->"C:\WINDOWS\$NtUninstallKB961501$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB968537)-->"C:\WINDOWS\$NtUninstallKB968537$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB969897)-->"C:\WINDOWS\$NtUninstallKB969897$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB969898)-->"C:\WINDOWS\$NtUninstallKB969898$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB970238)-->"C:\WINDOWS\$NtUninstallKB970238$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB971557)-->"C:\WINDOWS\$NtUninstallKB971557$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB971633)-->"C:\WINDOWS\$NtUninstallKB971633$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB971657)-->"C:\WINDOWS\$NtUninstallKB971657$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB971961)-->"C:\WINDOWS\$NtUninstallKB971961$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB972260)-->"C:\WINDOWS\$NtUninstallKB972260$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB973346)-->"C:\WINDOWS\$NtUninstallKB973346$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB973354)-->"C:\WINDOWS\$NtUninstallKB973354$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB973507)-->"C:\WINDOWS\$NtUninstallKB973507$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB973869)-->"C:\WINDOWS\$NtUninstallKB973869$\spuninst\spuninst.exe"
Synaptics Pointing Device Driver-->rundll32.exe "C:\Programme\Synaptics\SynTP\SynISDLL.dll",standAloneUninstall
Texas Instruments PCIxx21/x515 drivers.-->C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe /M{425ECED4-23ED-4E05-A88A-B59700DAF2AD}
Update für Windows XP (KB894391)-->"C:\WINDOWS\$NtUninstallKB894391$\spuninst\spuninst.exe"
Update für Windows XP (KB896727)-->"C:\WINDOWS\$NtUninstallKB896727$\spuninst\spuninst.exe"
Update für Windows XP (KB898461)-->"C:\WINDOWS\$NtUninstallKB898461$\spuninst\spuninst.exe"
Update für Windows XP (KB900930)-->"C:\WINDOWS\$NtUninstallKB900930$\spuninst\spuninst.exe"
Update für Windows XP (KB955839)-->"C:\WINDOWS\$NtUninstallKB955839$\spuninst\spuninst.exe"
Update für Windows XP (KB967715)-->"C:\WINDOWS\$NtUninstallKB967715$\spuninst\spuninst.exe"
Update für Windows XP (KB973815)-->"C:\WINDOWS\$NtUninstallKB973815$\spuninst\spuninst.exe"
Viewpoint Media Player-->C:\Programme\Viewpoint\Viewpoint Experience Technology\mtsAxInstaller.exe /u
Virtual DJ - Atomix Productions-->C:\PROGRA~1\VIRTUA~1\UNWISE.EXE C:\PROGRA~1\VIRTUA~1\INSTALL.LOG
Wichtiges Update für Windows Media Player 11 (KB959772)-->"C:\WINDOWS\$NtUninstallKB959772_WM11$\spuninst\spuninst.exe"
WIDCOMM Bluetooth Software-->MsiExec.exe /X{3F4EC965-28EF-45C3-B063-04B25D4E9679}
Windows Genuine Advantage v1.3.0254.0-->MsiExec.exe /I{63569CE9-FA00-469C-AF5C-E5D4D93ACF91}
Windows Imaging Component-->"C:\WINDOWS\$NtUninstallWIC$\spuninst\spuninst.exe"
Windows Installer 3.1 (KB893803)-->"C:\WINDOWS\$MSI31Uninstall_KB893803v2$\spuninst\spuninst.exe"
Windows Media Format 11 runtime-->"C:\Programme\Windows Media Player\wmsetsdk.exe" /UninstallAll
Windows Media Format 11 runtime-->"C:\WINDOWS\$NtUninstallWMFDist11$\spuninst\spuninst.exe"
Windows Media Player 11-->"C:\Programme\Windows Media Player\Setup_wm.exe" /Uninstall
Windows Media Player 11-->"C:\WINDOWS\$NtUninstallwmp11$\spuninst\spuninst.exe"
Windows XP-Hotfix - KB873333-->C:\WINDOWS\$NtUninstallKB873333$\spuninst\spuninst.exe
Windows XP-Hotfix - KB873339-->C:\WINDOWS\$NtUninstallKB873339$\spuninst\spuninst.exe
Windows XP-Hotfix - KB885250-->C:\WINDOWS\$NtUninstallKB885250$\spuninst\spuninst.exe
Windows XP-Hotfix - KB885835-->C:\WINDOWS\$NtUninstallKB885835$\spuninst\spuninst.exe
Windows XP-Hotfix - KB885836-->C:\WINDOWS\$NtUninstallKB885836$\spuninst\spuninst.exe
Windows XP-Hotfix - KB886185-->C:\WINDOWS\$NtUninstallKB886185$\spuninst\spuninst.exe
Windows XP-Hotfix - KB887472-->C:\WINDOWS\$NtUninstallKB887472$\spuninst\spuninst.exe
Windows XP-Hotfix - KB887742-->C:\WINDOWS\$NtUninstallKB887742$\spuninst\spuninst.exe
Windows XP-Hotfix - KB887797-->C:\WINDOWS\$NtUninstallKB887797$\spuninst\spuninst.exe
Windows XP-Hotfix - KB888113-->C:\WINDOWS\$NtUninstallKB888113$\spuninst\spuninst.exe
Windows XP-Hotfix - KB888302-->C:\WINDOWS\$NtUninstallKB888302$\spuninst\spuninst.exe
Windows XP-Hotfix - KB890859-->"C:\WINDOWS\$NtUninstallKB890859$\spuninst\spuninst.exe"
Windows XP-Hotfix - KB891781-->C:\WINDOWS\$NtUninstallKB891781$\spuninst\spuninst.exe
Windows XP-Hotfix - KB893086-->"C:\WINDOWS\$NtUninstallKB893086$\spuninst\spuninst.exe"
Windows-Sicherungsprogramm-->MsiExec.exe /I{76EFFC7C-17A6-479D-9E47-8E658C1695AE}
WinRAR-->C:\Programme\WinRAR\uninstall.exe
X10 Hardware(TM)-->C:\WINDOWS\UNWISE.EXE C:\PROGRA~1\X10HAR~1\Install.log

======Security center information======

AV: AntiVir Desktop

======System event log======

Computer Name: FELIX
Event Code: 4201
Message: Netzwerkadapter "\DEVICE\TCPIP_{A0762294-0B22-4C57-8DA8-082B8D2F9709}" wurde mit dem Netzwerk verbunden, und das
System wurde über das Netzwerk im normalen Zustand gestartet.

Record Number: 4102
Source Name: Tcpip
Time Written: 20090910221713.000000+120
Event Type: Informationen
User:

Computer Name: FELIX
Event Code: 4202
Message: Es wurde festgestellt, dass der Netzwerkadapter "\DEVICE\TCPIP_{A0762294-0B22-4C57-8DA8-082B8D2F9709}" vom Netzwerk getrennt wurde,
und dass die Netzwerkkonfiguration des Adapters freigegeben wurde. Möglicherweise
ist der Adapter beschädigt, falls der Adapter nicht vom Netzwerk getrennt wurde.
Wenden Sie sich an den Hersteller bezüglich aktueller Treiber.

Record Number: 4101
Source Name: Tcpip
Time Written: 20090910221708.000000+120
Event Type: Informationen
User:

Computer Name: FELIX
Event Code: 4201
Message: Netzwerkadapter "\DEVICE\TCPIP_{A0762294-0B22-4C57-8DA8-082B8D2F9709}" wurde mit dem Netzwerk verbunden, und das
System wurde über das Netzwerk im normalen Zustand gestartet.

Record Number: 4100
Source Name: Tcpip
Time Written: 20090909220214.000000+120
Event Type: Informationen
User:

Computer Name: FELIX
Event Code: 4201
Message: Netzwerkadapter "\DEVICE\TCPIP_{A0762294-0B22-4C57-8DA8-082B8D2F9709}" wurde mit dem Netzwerk verbunden, und das
System wurde über das Netzwerk im normalen Zustand gestartet.

Record Number: 4099
Source Name: Tcpip
Time Written: 20090909220014.000000+120
Event Type: Informationen
User:

Computer Name: FELIX
Event Code: 4201
Message: Netzwerkadapter "\DEVICE\TCPIP_{A0762294-0B22-4C57-8DA8-082B8D2F9709}" wurde mit dem Netzwerk verbunden, und das
System wurde über das Netzwerk im normalen Zustand gestartet.

Record Number: 4098
Source Name: Tcpip
Time Written: 20090909215809.000000+120
Event Type: Informationen
User:

=====Application event log=====

Computer Name: FELIX
Event Code: 1000
Message: Fehlgeschlagene Anwendung firefox.exe, Version 1.9.1.3497, fehlgeschlagenes Modul mozcrt19.dll, Version 8.0.0.0, Fehleradresse 0x00009cd8.

Record Number: 949
Source Name: Application Error
Time Written: 20090912184148.000000+120
Event Type: Fehler
User:

Computer Name: FELIX
Event Code: 4097
Message: Die Anwendung "C:\Programme\Mozilla Firefox\firefox.exe" hat einen Programmfehler verursacht.
Datum und Zeit des Fehlers: 12.09.2009 um 18:09:37.375
Ausnahme: c0000005 an Adresse 78139CD8 (MOZCRT19!free)

Record Number: 948
Source Name: DrWatson
Time Written: 20090912180937.000000+120
Event Type: Informationen
User:

Computer Name: FELIX
Event Code: 1000
Message: Fehlgeschlagene Anwendung firefox.exe, Version 1.9.1.3497, fehlgeschlagenes Modul mozcrt19.dll, Version 8.0.0.0, Fehleradresse 0x00009cd8.

Record Number: 947
Source Name: Application Error
Time Written: 20090912180933.000000+120
Event Type: Fehler
User:

Computer Name: FELIX
Event Code: 4097
Message: Die Anwendung "C:\Programme\Mozilla Firefox\firefox.exe" hat einen Programmfehler verursacht.
Datum und Zeit des Fehlers: 12.09.2009 um 18:06:32.812
Ausnahme: c0000005 an Adresse 78139CD8 (MOZCRT19!free)

Record Number: 946
Source Name: DrWatson
Time Written: 20090912180634.000000+120
Event Type: Informationen
User:

Computer Name: FELIX
Event Code: 1000
Message: Fehlgeschlagene Anwendung firefox.exe, Version 1.9.1.3497, fehlgeschlagenes Modul mozcrt19.dll, Version 8.0.0.0, Fehleradresse 0x00009cd8.

Record Number: 945
Source Name: Application Error
Time Written: 20090912175409.000000+120
Event Type: Fehler
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%systemroot%\system32;%systemroot%;%systemroot%\system32\wbem;C:\PROGRA~1\CA\SHARED~1\SCANEN~1;C:\PROGRA~1\CA\ETRUST~1;C:\Programme\Gemeins ame Dateien\Adobe\AGL
"windir"=%SystemRoot%
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 13 Stepping 8, GenuineIntel
"PROCESSOR_REVISION"=0d08
"NUMBER_OF_PROCESSORS"=1
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"AVENGINE"=C:\PROGRA~1\CA\SHARED~1\SCANEN~1
"INOCULAN"=C:\PROGRA~1\CA\ETRUST~1

-----------------EOF-----------------

2)

Logfile of random's system information tool 1.06 (written by random/random)
Run by FeGe at 2009-09-13 22:39:09
Microsoft Windows XP Home Edition Service Pack 2
System drive C: has 3 GB (5%) free of 48 GB
Total RAM: 1022 MB (50% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:39:25, on 13.09.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ICQ6Toolbar\ICQ Service.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\FeGe\Eigene Dateien\Downloads\RSIT.exe
C:\Programme\trend micro\FeGe.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [AzMixerSel] C:\Programme\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [ATSwpNav] "C:\Programme\Fingerprint Sensor\ATSwpNav" -run
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [LaunchAp] "C:\Programme\Launch Manager\LaunchAp.exe"
O4 - HKLM\..\Run: [HotkeyApp] "C:\Programme\Launch Manager\HotkeyApp.exe"
O4 - HKLM\..\Run: [CtrlVol] "C:\Programme\Launch Manager\CtrlVol.exe"
O4 - HKLM\..\Run: [LMgrOSD] "C:\Programme\Launch Manager\OSD.exe"
O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Ocs_SM] C:\Dokumente und Einstellungen\FeGe\Anwendungsdaten\OCS\SM\SearchAnonymizer.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6.5\ICQ.exe" silent
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {DAA3903C-AC88-4D16-B050-F21EB1F79BE6} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1126091180221
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: SearchAnonymizer - Unknown owner - C:\Dokumente und Einstellungen\FeGe\Anwendungsdaten\OCS\SM\SearchAnonymizerHelper.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 9338 bytes

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
AcroIEHlprObj Class - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll [2004-12-14 63136]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AA58ED58-01DD-4d91-8333-CF10577473F7}]
Google Toolbar Helper - c:\programme\google\googletoolbar2.dll [2005-08-11 1172992]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{2318C2B1-4965-11d4-9B18-009027A5CD4F} - &Google - c:\programme\google\googletoolbar2.dll [2005-08-11 1172992]
{855F3B16-6D32-4fe6-8A56-BBB695989046} - ICQToolBar - C:\Programme\ICQ6Toolbar\ICQToolBar.dll [2008-06-12 958712]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"High Definition Audio Property Page Shortcut"=C:\WINDOWS\system32\HDAShCut.exe [2005-01-07 61952]
"AzMixerSel"=C:\Programme\Realtek\InstallShield\AzMixerSel.exe [2005-06-11 53248]
"RTHDCPL"=C:\WINDOWS\RTHDCPL.EXE [2005-08-18 14820864]
"AGRSMMSG"=C:\WINDOWS\AGRSMMSG.exe [2005-05-11 88204]
"SynTPEnh"=C:\Programme\Synaptics\SynTP\SynTPEnh.exe [2005-08-25 737369]
"Realtime Monitor"=C:\PROGRA~1\CA\ETRUST~1\realmon.exe [2004-06-26 504080]
"AOLDialer"=C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe [2004-11-09 497240]
"IMJPMIG8.1"=C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE [2004-08-04 208952]
"MSPY2002"=C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe [2004-08-04 59392]
"PHIME2002ASync"=C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE [2004-08-04 455168]
"PHIME2002A"=C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE [2004-08-04 455168]
"ATSwpNav"=C:\Programme\Fingerprint Sensor\ATSwpNav -run []
"ATICCC"=C:\Programme\ATI Technologies\ATI.ACE\cli.exe [2005-08-31 57344]
"LaunchAp"=C:\Programme\Launch Manager\LaunchAp.exe [2005-07-25 32768]
"HotkeyApp"=C:\Programme\Launch Manager\HotkeyApp.exe [2005-08-17 61440]
"CtrlVol"=C:\Programme\Launch Manager\CtrlVol.exe [2003-09-16 20480]
"LMgrOSD"=C:\Programme\Launch Manager\OSD.exe [2005-03-16 204800]
"Wbutton"=C:\Programme\Launch Manager\Wbutton.exe [2005-09-02 81920]
"RemoteControl"=C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe [2004-11-02 32768]
"PCMService"=C:\Programme\Home Cinema\PowerCinema\PCMService.exe [2005-09-15 139264]
"NeroFilterCheck"=C:\WINDOWS\system32\NeroCheck.exe [2001-07-09 155648]
"Ocs_SM"=C:\Dokumente und Einstellungen\FeGe\Anwendungsdaten\OCS\SM\SearchAnonymizer.exe [2009-09-12 102400]
"avgnt"=C:\Programme\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"=C:\Programme\Messenger\msmsgs.exe [2004-10-13 1694208]
"ICQ"=C:\Programme\ICQ6.5\ICQ.exe [2009-03-01 172792]
"WMPNSCFG"=C:\Programme\Windows Media Player\WMPNSCFG.exe [2006-11-03 204288]

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office\OSA9.EXE

C:\Dokumente und Einstellungen\FeGe\Startmenü\Programme\Autostart
Adobe Gamma.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
Microsoft-Indexerstellung.lnk - C:\Programme\Microsoft Office\Office\FINDFAST.EXE
Office-Start.lnk - C:\Programme\Microsoft Office\Office\OSA.EXE

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent]
C:\WINDOWS\system32\Ati2evxx.dll [2005-08-30 46080]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\{1a3e09be-1e45-494b-9174-d7385b45bbf5}]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=323
"NoDriveAutoRun"=67108863
"NoDrives"=0

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"HonorAutoRunSetting"=
"NoDriveAutoRun"=
"NoDriveTypeAutoRun"=
"NoDrives"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:Enabled:Remoteunterstützung"
"%ProgramFiles%\Messenger\msmsgs.exe"="%ProgramFiles%\Messenger\msmsgs.exe:*:Enabled:Windows Messenger"
"%ProgramFiles%\MSN Messenger\msnmsgr.exe"="%ProgramFiles%\MSN Messenger\msnmsgr.exe:*:Enabled:MSN Messenger"
"%ProgramFiles%\AOL 9.0\AOL.exe"="%ProgramFiles%\AOL 9.0\AOL.exe:*:enabled:AOL 9.0"
"%ProgramFiles%\AOL 9.0\WAOL.exe"="%ProgramFiles%\AOL 9.0\WAOL.exe:*:enabled:AOL 9.0"
"%CommonProgramFiles%\AOL\ACS\AOLACSD.exe"="%CommonProgramFiles%\AOL\ACS\AOLACSD.exe:*:enabled:AOL 9.0 (Connectivity Service)"
"%CommonProgramFiles%\AOL\ACS\AOLDIAL.exe"="%CommonProgramFiles%\AOL\ACS\AOLDIAL.exe:*:enabled:AOL 9.0 (Connectivity Service Dialer)"
"%WinDir%\system32\fxsclnt.exe"="%WinDir%\system32\fxsclnt.exe:*:enabled:Microsoft Fax Console"
"%ProgramFiles%\CA\eTrust Antivirus\InocIT.exe"="%ProgramFiles%\CA\eTrust Antivirus\InocIT.exe:*:enabled:eTrust Antivirus - Local Scanner"
"%ProgramFiles%\CA\eTrust Antivirus\Realmon.exe"="%ProgramFiles%\CA\eTrust Antivirus\Realmon.exe:*:enabled:eTrust Antivirus - Realtime monitor"
"%ProgramFiles%\CA\eTrust Antivirus\InoRpc.exe"="%ProgramFiles%\CA\eTrust Antivirus\InoRpc.exe:*:enabled:eTrust Antivirus - RPC Server"
"%ProgramFiles%\WIDCOMM\Bluetooth Software\BTTray.exe"="%ProgramFiles%\WIDCOMM\Bluetooth Software\BTTray.exe:*:enabled:BTTray"
"C:\Programme\ICQ6.5\ICQ.exe"="C:\Programme\ICQ6.5\ICQ.exe:*:Enabled:ICQ6"
"C:\Programme\Home Cinema\PowerCinema\PowerCinema.exe"="C:\Programme\Home Cinema\PowerCinema\PowerCinema.exe:*:Enabled:CyberLink PowerCinema"
"C:\Programme\Home Cinema\PowerCinema\PCMService.exe"="C:\Programme\Home Cinema\PowerCinema\PCMService.exe:*:Enabled:CyberLink PowerCinema Resident Program"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:Enabled:Remoteunterstützung"
"%ProgramFiles%\Messenger\msmsgs.exe"="%ProgramFiles%\Messenger\msmsgs.exe:*:Enabled:Windows Messenger"
"%ProgramFiles%\MSN Messenger\msnmsgr.exe"="%ProgramFiles%\MSN Messenger\msnmsgr.exe:*:Enabled:MSN Messenger"
"%ProgramFiles%\AOL 9.0\AOL.exe"="%ProgramFiles%\AOL 9.0\AOL.exe:*:enabled:AOL 9.0"
"%ProgramFiles%\AOL 9.0\WAOL.exe"="%ProgramFiles%\AOL 9.0\WAOL.exe:*:enabled:AOL 9.0"
"%CommonProgramFiles%\AOL\ACS\AOLACSD.exe"="%CommonProgramFiles%\AOL\ACS\AOLACSD.exe:*:enabled:AOL 9.0 (Connectivity Service)"
"%CommonProgramFiles%\AOL\ACS\AOLDIAL.exe"="%CommonProgramFiles%\AOL\ACS\AOLDIAL.exe:*:enabled:AOL 9.0 (Connectivity Service Dialer)"
"%WinDir%\system32\fxsclnt.exe"="%WinDir%\system32\fxsclnt.exe:*:enabled:Microsoft Fax Console"
"%ProgramFiles%\CA\eTrust Antivirus\InocIT.exe"="%ProgramFiles%\CA\eTrust Antivirus\InocIT.exe:*:enabled:eTrust Antivirus - Local Scanner"
"%ProgramFiles%\CA\eTrust Antivirus\Realmon.exe"="%ProgramFiles%\CA\eTrust Antivirus\Realmon.exe:*:enabled:eTrust Antivirus - Realtime monitor"
"%ProgramFiles%\CA\eTrust Antivirus\InoRpc.exe"="%ProgramFiles%\CA\eTrust Antivirus\InoRpc.exe:*:enabled:eTrust Antivirus - RPC Server"
"%ProgramFiles%\WIDCOMM\Bluetooth Software\BTTray.exe"="%ProgramFiles%\WIDCOMM\Bluetooth Software\BTTray.exe:*:enabled:BTTray"

======List of files/folders created in the last 1 months======

2009-09-13 22:39:12 ----D---- C:\Programme\trend micro
2009-09-13 22:39:09 ----D---- C:\rsit
2009-09-13 22:26:25 ----SHD---- C:\RECYCLER
2009-09-13 22:08:37 ----A---- C:\ComboFix.txt
2009-09-13 21:47:36 ----A---- C:\Boot.bak
2009-09-13 21:47:30 ----RASHD---- C:\cmdcons
2009-09-13 21:46:02 ----A---- C:\WINDOWS\zip.exe
2009-09-13 21:46:02 ----A---- C:\WINDOWS\SWXCACLS.exe
2009-09-13 21:46:02 ----A---- C:\WINDOWS\SWSC.exe
2009-09-13 21:46:02 ----A---- C:\WINDOWS\SWREG.exe
2009-09-13 21:46:02 ----A---- C:\WINDOWS\sed.exe
2009-09-13 21:46:02 ----A---- C:\WINDOWS\PEV.exe
2009-09-13 21:46:02 ----A---- C:\WINDOWS\NIRCMD.exe
2009-09-13 21:46:02 ----A---- C:\WINDOWS\grep.exe
2009-09-13 21:39:37 ----D---- C:\Programme\CCleaner
2009-09-13 21:37:18 ----D---- C:\WINDOWS\ERDNT
2009-09-13 21:33:32 ----D---- C:\Qoobox
2009-09-13 18:26:57 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2009-09-13 18:26:48 ----D---- C:\Programme\SUPERAntiSpyware
2009-09-13 18:26:48 ----D---- C:\Dokumente und Einstellungen\FeGe\Anwendungsdaten\SUPERAntiSpyware.com
2009-09-13 18:08:56 ----A---- C:\avenger.txt
2009-09-13 15:17:03 ----D---- C:\Dokumente und Einstellungen\FeGe\Anwendungsdaten\Malwarebytes
2009-09-13 15:16:30 ----D---- C:\Programme\Malwarebytes' Anti-Malware
2009-09-13 15:16:30 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-09-13 11:44:06 ----D---- C:\Avenger
2009-09-13 03:08:14 ----D---- C:\WINDOWS\system32\XPSViewer
2009-09-13 03:08:09 ----D---- C:\Programme\MSBuild
2009-09-13 03:08:07 ----D---- C:\WINDOWS\system32\en-US
2009-09-13 03:07:59 ----D---- C:\Programme\Reference Assemblies
2009-09-13 03:06:49 ----N---- C:\WINDOWS\system32\prntvpt.dll
2009-09-13 03:06:48 ----N---- C:\WINDOWS\system32\xpssvcs.dll
2009-09-13 03:06:48 ----N---- C:\WINDOWS\system32\xpsshhdr.dll
2009-09-13 03:02:16 ----HDC---- C:\WINDOWS\$NtUninstallWIC$
2009-09-13 03:02:08 ----D---- C:\Programme\MSXML 6.0
2009-09-13 02:12:27 ----D---- C:\WINDOWS\Minidump
2009-09-13 02:08:35 ----D---- C:\Programme\Avira
2009-09-13 02:08:35 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2009-09-12 16:32:24 ----D---- C:\spoolerlogs
2009-09-12 15:38:49 ----D---- C:\Dokumente und Einstellungen\FeGe\Anwendungsdaten\Ahead
2009-09-12 13:22:04 ----D---- C:\Dokumente und Einstellungen\FeGe\Anwendungsdaten\Opera
2009-09-12 13:20:40 ----D---- C:\Dokumente und Einstellungen\FeGe\Anwendungsdaten\OCS
2009-09-12 02:07:20 ----D---- C:\Programme\Ruhe
2009-09-09 17:49:43 ----HDC---- C:\WINDOWS\$NtUninstallKB956844$
2009-09-09 17:49:15 ----HDC---- C:\WINDOWS\$NtUninstallKB968816_WM9$
2009-09-09 17:48:53 ----HDC---- C:\WINDOWS\$NtUninstallKB971961$
2009-09-04 20:27:32 ----A---- C:\WINDOWS\ModemLog_Bluetooth-Modem.txt
2009-08-26 23:57:16 ----HDC---- C:\WINDOWS\$NtUninstallKB970653-v3$
2009-08-14 12:41:00 ----A---- C:\WINDOWS\system32\hidserv.dll
2009-08-14 09:53:57 ----HDC---- C:\WINDOWS\$NtUninstallKB960859$
2009-08-14 09:53:45 ----HDC---- C:\WINDOWS\$NtUninstallKB971657$
2009-08-14 09:53:37 ----HDC---- C:\WINDOWS\$NtUninstallKB971557$
2009-08-14 09:53:28 ----HDC---- C:\WINDOWS\$NtUninstallKB973869$
2009-08-14 09:53:07 ----HDC---- C:\WINDOWS\$NtUninstallKB973540_WM9L$
2009-08-14 09:52:58 ----HDC---- C:\WINDOWS\$NtUninstallKB973507$
2009-08-14 09:52:50 ----HDC---- C:\WINDOWS\$NtUninstallKB973354$
2009-08-14 09:49:05 ----D---- C:\WINDOWS\ServicePackFiles
2009-08-14 09:49:00 ----HDC---- C:\WINDOWS\$NtUninstallKB958470$
2009-08-14 09:48:42 ----HDC---- C:\WINDOWS\$NtUninstallKB973815$

======List of files/folders modified in the last 1 months======

2009-09-13 22:39:12 ----RD---- C:\Programme
2009-09-13 22:29:49 ----RSHDC---- C:\WINDOWS\system32\dllcache
2009-09-13 22:25:14 ----SHD---- C:\WINDOWS\Installer
2009-09-13 22:25:14 ----D---- C:\Programme\Gemeinsame Dateien
2009-09-13 22:25:14 ----D---- C:\Config.Msi
2009-09-13 22:09:21 ----D---- C:\Programme\Mozilla Firefox
2009-09-13 22:08:53 ----D---- C:\WINDOWS\Temp
2009-09-13 22:08:42 ----D---- C:\WINDOWS\system32
2009-09-13 22:06:58 ----D---- C:\WINDOWS
2009-09-13 22:06:58 ----A---- C:\WINDOWS\system.ini
2009-09-13 21:57:39 ----D---- C:\WINDOWS\system32\drivers
2009-09-13 21:57:39 ----D---- C:\WINDOWS\AppPatch
2009-09-13 21:53:51 ----A---- C:\WINDOWS\SchedLgU.Txt
2009-09-13 21:53:19 ----D---- C:\WINDOWS\system32\CatRoot2
2009-09-13 21:53:13 ----A---- C:\WINDOWS\ModemLog_Agere Systems HDA Modem.txt
2009-09-13 21:51:33 ----D---- C:\WINDOWS\system32\config
2009-09-13 21:50:27 ----AH---- C:\WINDOWS\system32\FFASTLOG.TXT
2009-09-13 21:47:37 ----RASH---- C:\boot.ini
2009-09-13 21:41:40 ----D---- C:\WINDOWS\Debug
2009-09-13 21:33:51 ----HD---- C:\WINDOWS\inf
2009-09-13 21:33:39 ----HD---- C:\WINDOWS\$hf_mig$
2009-09-13 20:13:03 ----D---- C:\WINDOWS\Prefetch
2009-09-13 20:11:48 ----D---- C:\WINDOWS\system32\Lang
2009-09-13 18:08:57 ----SD---- C:\WINDOWS\Tasks
2009-09-13 03:39:01 ----D---- C:\WINDOWS\Microsoft.NET
2009-09-13 03:38:47 ----RSD---- C:\WINDOWS\assembly
2009-09-13 03:15:06 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI
2009-09-13 03:14:34 ----D---- C:\WINDOWS\WinSxS
2009-09-13 03:08:06 ----RSD---- C:\WINDOWS\Fonts
2009-09-12 16:45:26 ----A---- C:\WINDOWS\NeroDigital.ini
2009-09-08 22:41:11 ----D---- C:\WINDOWS\system32\FxsTmp
2009-09-07 20:00:40 ----D---- C:\Programme\Gemeinsame Dateien\Microsoft Shared
2009-09-07 20:00:12 ----D---- C:\WINDOWS\pchealth
2009-09-04 20:09:45 ----D---- C:\Dokumente und Einstellungen\FeGe\Anwendungsdaten\ICQ
2009-08-28 23:38:20 ----A---- C:\WINDOWS\system32\MRT.exe
2009-08-25 11:41:02 ----D---- C:\Dokumente und Einstellungen
2009-08-24 14:05:46 ----SD---- C:\Dokumente und Einstellungen\FeGe\Anwendungsdaten\Microsoft
2009-08-23 01:05:56 ----D---- C:\Medion
2009-08-21 08:50:37 ----A---- C:\WINDOWS\system32\jscript.dll
2009-08-14 09:52:53 ----D---- C:\Programme\Outlook Express

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

2.1)

R1 avgio;avgio; \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys []
R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2009-03-30 96104]
R1 Hotkey;Hotkey; C:\WINDOWS\system32\drivers\Hotkey.sys [2003-04-28 9867]
R1 intelppm;Intel-Prozessortreiber; C:\WINDOWS\system32\DRIVERS\intelppm.sys [2004-08-04 40192]
R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2009-05-11 28520]
R2 avgntflt;avgntflt; C:\WINDOWS\system32\DRIVERS\avgntflt.sys [2009-07-28 55656]
R2 BTSERIAL;Bluetooth Serial Driver; \??\C:\WINDOWS\system32\drivers\btserial.sys []
R2 BTSLBCSP;Bluetooth Port Client Driver; \??\C:\WINDOWS\system32\drivers\btslbcsp.sys []
R2 INO_FLTR;INO_FLTR; \??\C:\WINDOWS\system32\Drivers\ino_fltr.sys []
R2 irda;IrDA-Protokoll; C:\WINDOWS\system32\DRIVERS\irda.sys [2004-08-04 87424]
R3 AgereSoftModem;Agere Systems Soft Modem; C:\WINDOWS\system32\DRIVERS\AGRSM.sys [2005-05-13 1094881]
R3 Arp1394;1394-ARP-Clientprotokoll; C:\WINDOWS\system32\DRIVERS\arp1394.sys [2004-08-04 60800]
R3 ati2mtag;ati2mtag; C:\WINDOWS\system32\DRIVERS\ati2mtag.sys [2005-08-30 1333760]
R3 ATSWPDRV;AuthenTec TruePrint USB Driver (AES2500); C:\WINDOWS\System32\Drivers\ATSwpDrv.sys [2005-01-07 107890]
R3 BTKRNL;Bluetooth-Bus-Enumerator; C:\WINDOWS\system32\DRIVERS\btkrnl.sys [2005-09-06 1342138]
R3 catchme;catchme; \??\C:\DOKUME~1\FeGe\LOKALE~1\Temp\catchme.sys []
R3 CmBatt;Microsoft-Netzteiltreiber; C:\WINDOWS\system32\DRIVERS\CmBatt.sys [2004-08-04 14080]
R3 HDAudBus;Microsoft UAA Bus Driver for High Definition Audio; C:\WINDOWS\system32\DRIVERS\HDAudBus.sys [2005-01-07 138752]
R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\WINDOWS\system32\drivers\RtkHDAud.sys [2005-08-18 3856896]
R3 NIC1394;1394-Netzwerktreiber; C:\WINDOWS\system32\DRIVERS\nic1394.sys [2004-08-04 61824]
R3 NSCIRDA;NSC-Infrarotgerätetreiber; C:\WINDOWS\system32\DRIVERS\nscirda.sys [2004-08-04 28672]
R3 Rasirda;WAN-Miniport (IrDA); C:\WINDOWS\system32\DRIVERS\rasirda.sys [2001-08-17 19584]
R3 RTL8023xp;Realtek 10/100/1000 NIC Family all in one NDIS XP Driver; C:\WINDOWS\system32\DRIVERS\Rtlnicxp.sys [2005-03-04 74496]
R3 sdbus;sdbus; C:\WINDOWS\system32\DRIVERS\sdbus.sys [2004-08-04 67584]
R3 SynTP;Synaptics TouchPad Driver; C:\WINDOWS\system32\DRIVERS\SynTP.sys [2005-08-25 191168]
R3 tifm21;tifm21; C:\WINDOWS\system32\drivers\tifm21.sys [2004-07-13 67968]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2004-08-03 26624]
R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2004-08-03 57600]
R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2004-08-03 20480]
R3 w29n51;Intel(R) PRO/Wireless 2200BG Netzwerkverbindungstreiber für Windows XP; C:\WINDOWS\system32\DRIVERS\w29n51.sys [2004-10-29 3222784]
R3 wanatw;WAN Miniport (ATW); C:\WINDOWS\system32\DRIVERS\wanatw4.sys [2003-01-10 33588]
R3 XUIF;X10 USB Wireless Transceiver; C:\WINDOWS\System32\Drivers\x10ufx2.sys [2005-05-19 17792]
S1 kbdhid;Tastatur-HID-Treiber; C:\WINDOWS\system32\DRIVERS\kbdhid.sys [2004-08-04 14848]
S1 mailKmd;mailKmd; C:\WINDOWS\system32\drivers\mailKmd.sys []
S1 Wbutton;Wbutton; C:\WINDOWS\system32\drivers\Wbutton.sys []
S3 btaudio;Bluetooth-Audiogerät; C:\WINDOWS\system32\drivers\btaudio.sys [2005-09-06 401408]
S3 BTDriver;Virtueller Bluetooth-Kommunikationstreiber; C:\WINDOWS\system32\DRIVERS\btport.sys [2005-09-06 30363]
S3 BTWDNDIS;Bluetooth-LAN-Zugangsserver; C:\WINDOWS\system32\DRIVERS\btwdndis.sys [2005-09-06 148040]
S3 btwmodem;Bluetooth-Modem; C:\WINDOWS\system32\DRIVERS\btwmodem.sys [2005-09-06 30189]
S3 BTWUSB;WIDCOMM USB Bluetooth Driver; C:\WINDOWS\System32\Drivers\btwusb.sys [2005-09-06 56648]
S3 HdAudAddService;Microsoft UAA Function Driver for High Definition Audio Service; C:\WINDOWS\system32\drivers\HdAudio.sys [2005-01-07 145920]
S3 HidUsb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2001-08-17 9600]
S3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-08-18 12288]
S3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2004-08-03 31616]
S3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2004-08-03 25856]
S3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 26496]
S3 WudfPf;Windows Driver Foundation - User-mode Driver Framework Platform Driver; C:\WINDOWS\system32\DRIVERS\WudfPf.sys [2006-09-28 77568]
S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-28 82944]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AntiVirSchedulerService;Avira AntiVir Planer; C:\Programme\Avira\AntiVir Desktop\sched.exe [2009-05-13 108289]
R2 AntiVirService;Avira AntiVir Guard; C:\Programme\Avira\AntiVir Desktop\avguard.exe [2009-07-21 185089]
R2 AOL ACS;AOL Connectivity Service; C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe [2004-11-09 1140312]
R2 Ati HotKey Poller;Ati HotKey Poller; C:\WINDOWS\system32\Ati2evxx.exe [2005-08-30 376832]
R2 btwdins;Bluetooth Service; C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe [2005-09-06 258103]
R2 CLCapSvc;CyberLink Background Capture Service (CBCS); C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe [2005-09-15 258146]
R2 CLSched;CyberLink Task Scheduler (CTS); C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe [2005-09-15 114784]
R2 CyberLink Media Library Service;CyberLink Media Library Service; C:\Programme\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe [2005-09-15 1081344]
R2 ICQ Service;ICQ Service; C:\Programme\ICQ6Toolbar\ICQ Service.exe [2008-06-10 222456]
R2 InoRPC;eTrust Antivirus RPC Server; C:\Programme\CA\eTrust Antivirus\InoRpc.exe [2004-06-26 139536]
R2 InoRT;eTrust Antivirus Realtime Server; C:\Programme\CA\eTrust Antivirus\InoRT.exe [2004-06-26 241936]
R2 InoTask;eTrust Antivirus Job Server; C:\Programme\CA\eTrust Antivirus\InoTask.exe [2004-06-26 254224]
R2 Irmon;Infrarotüberwachung; C:\WINDOWS\system32\svchost.exe [2004-08-04 14336]
R2 RichVideo;Cyberlink RichVideo Service(CRVS); C:\Programme\CyberLink\Shared Files\RichVideo.exe [2005-09-15 167936]
R2 WMPNetworkSvc;Windows Media Player-Netzwerkfreigabedienst; C:\Programme\Windows Media Player\WMPNetwk.exe [2006-11-03 920576]
R2 x10nets;X10 Device Network Service; C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe [2001-11-12 20480]
S2 Fax;Fax; C:\WINDOWS\system32\fxssvc.exe [2004-08-04 268800]
S2 SearchAnonymizer;SearchAnonymizer; C:\Dokumente und Einstellungen\FeGe\Anwendungsdaten\OCS\SM\SearchAnonymizerHelper.exe [2009-09-12 40960]
S3 Adobe LM Service;Adobe LM Service; C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe [2009-07-16 72704]
S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2008-07-25 34312]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2008-07-25 69632]
S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [2008-07-29 46104]
S3 idsvc;Windows CardSpace; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2008-07-29 881664]
S3 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2004-08-04 14336]
S4 NetTcpPortSharing;Net.Tcp Port Sharing Service; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2008-07-29 132096]

-----------------EOF-----------------

Ist dein Provider AOL?

Benutzt du manchmal ein Modem um dich mit dem Internet zu verbinden?

ciao, andreas

bin ausschließlich über w-lan im internet provider ist 1und1 ich weiß auch nicht was das ist ..

aber ist vielleicht auch nicht schädlich

edit hab mal meinen rechner nach dem durchsucht mit dem ergebnis es gibt einen ordner mit dem pfad c:\windows\prefetch

der 3 dateien enthlt eine z.b. heißt SEARCHANONYMIZER.EXE-08256DD8.pf die andere SEARCHANONYMIZERHELPER.EXE-2E208647.pf und die letzte SEARCHANONYMIZERSTARTER.EXE-1EDD0A81.pf

hoffe die infos nützen etwas

Was ist SearchAnonymizer? Brauchst du das?

ciao, andreas

wenn ich wüsste zu was es nützt könnte ich dir sagen ob ich es benötige oder nicht ;)

edit hab mal meinen rechner nach dem durchsucht mit dem ergebnis es gibt einen ordner mit dem pfad c:\windows\prefetch

der 3 dateien enthlt eine z.b. heißt SEARCHANONYMIZER.EXE-08256DD8.pf die andere SEARCHANONYMIZERHELPER.EXE-2E208647.pf und die letzte SEARCHANONYMIZERSTARTER.EXE-1EDD0A81.pf

hoffe die infos nützen etwas

Da du nicht einmal weißt wozu das gut ist, kommt das weg. Solange ich das Script bastele, kannst du schonmal weiterscannen.

1.) Überprüfe den Rechner mit PrevXCSI. Poste ein Screenshot falls etwas gefunden werden sollte oder poste Namen und Pfade.

2.) Panda Active Scan

Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation

Drücke auf Jetzt Scannen!

Eine Registrierung ist nicht erforderlich!

Nachdem der Scan abgeschlossen ist drücke auf das Text-Icon Export und speichere das log auf dem Desktop.
Öffne die Datei ActiveScan.txt die sich nun auf deinem Desktop befindet und poste uns den Inhalt.

ciao, andreas

prevx sagt clean activescan läuft bis jetzt ohne befund werde gleich ergebnis editieren

Kontrolliere, ob sich bei dir diese Datei finden lässt:
Falls sie existiert, dann lade sie bitte bei uns hoch => http://www.trojaner-board.de/54791-a...ner-board.html (nur Schritt 2)

Prevx wieder deinstallieren.

ciao, andreas

Edit: Eines der beiden Antivirenprogramme (Avira oder besser CA ETrust) deinstallieren. Hier der Grund, warum dich deine Antivirenprogramme nicht gewarnt haben:
http://www.virustotal.com/de/analisi...f48-1252874190
http://www.virustotal.com/de/analisi...ec2-1252874382
http://www.virustotal.com/de/analisi...133-1252874443
http://www.virustotal.com/de/analisi...3f4-1252874572
Sie erkennen sie nicht. :)

wie meinst du eines der beiden?
ich hab nur avira was anstatt dessen?

also der scan läuft noch einige zeit die besagte datei von dir existiert bei mir nicht

danke

sorry hab was überlesen das e trust war ne testversion die muss ich noch deinstallen

ok hier das ergebnis vom active scan:
programme wurden deinstalliert

;***************************************************************************************************************************************************** ******************************
ANALYSIS: 2009-09-14 06:06:25
PROTECTIONS: 1
MALWARE: 4
SUSPECTS: 0
;***************************************************************************************************************************************************** ******************************
PROTECTIONS
Description Version Active Updated
;===================================================================================================================================================== ==============================
AntiVir Desktop 9.0.1.32 Yes Yes
;===================================================================================================================================================== ==============================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;===================================================================================================================================================== ==============================
00262020 Cookie/Atwola TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\FeGe\Cookies\fege@atwola[2].txt
02799501 Spyware/Virtumonde Spyware No 1 No No C:\Qoobox.rar[Qoobox\Quarantine\C\WINDOWS\system32\gasfkymytjbgrk.dll.vir]
02799501 Spyware/Virtumonde Spyware No 1 Yes No C:\System Volume Information\_restore{53C4C432-4C83-4FAB-ABF0-92303FF6D88A}\RP48\A0076029.dll
02799501 Spyware/Virtumonde Spyware No 1 Yes No C:\Qoobox\Quarantine\C\WINDOWS\system32\gasfkymytjbgrk.dll.vir
02885963 Rootkit/Booto.C Virus/Worm No 0 Yes No C:\System Volume Information\_restore{53C4C432-4C83-4FAB-ABF0-92303FF6D88A}\RP48\A0076030.sys
03074964 Trj/CI.A Virus/Trojan No 0 Yes No C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\gasfkyrndejmty.sys.vir
03074964 Trj/CI.A Virus/Trojan No 0 Yes No C:\Qoobox\Quarantine\C\WINDOWS\system32\gasfkyevmlxesj.dll.vir
03074964 Trj/CI.A Virus/Trojan No 0 Yes No C:\Qoobox\Quarantine\C\WINDOWS\system32\gasfkynaulhyla.dll.vir
03074964 Trj/CI.A Virus/Trojan No 0 No No C:\Qoobox.rar[Qoobox\Quarantine\C\WINDOWS\system32\drivers\gasfkyrndejmty.sys.vir]
03074964 Trj/CI.A Virus/Trojan No 0 No No C:\Qoobox.rar[Qoobox\Quarantine\C\WINDOWS\system32\gasfkyevmlxesj.dll.vir]
03074964 Trj/CI.A Virus/Trojan No 0 No No C:\Qoobox.rar[Qoobox\Quarantine\C\WINDOWS\system32\gasfkynaulhyla.dll.vir]
03074964 Trj/CI.A Virus/Trojan No 0 Yes No C:\System Volume Information\_restore{53C4C432-4C83-4FAB-ABF0-92303FF6D88A}\RP48\A0076026.sys
03074964 Trj/CI.A Virus/Trojan No 0 Yes No C:\System Volume Information\_restore{53C4C432-4C83-4FAB-ABF0-92303FF6D88A}\RP48\A0076027.dll
03074964 Trj/CI.A Virus/Trojan No 0 Yes No C:\System Volume Information\_restore{53C4C432-4C83-4FAB-ABF0-92303FF6D88A}\RP48\A0076028.dll
;===================================================================================================================================================== ==============================
SUSPECTS
Sent Location
;===================================================================================================================================================== ==============================
;===================================================================================================================================================== ==============================
VULNERABILITIES
Id Severity Description
;===================================================================================================================================================== ==============================
191613 HIGH MS08-020
187733 HIGH MS08-008
182046 HIGH MS07-067
179553 HIGH MS07-061
170904 HIGH MS07-043
157260 HIGH MS07-020
157259 HIGH MS07-019
156477 HIGH MS07-017
150249 HIGH MS07-013
150248 HIGH MS07-012
150247 HIGH MS07-011
150243 HIGH MS07-008
150242 HIGH MS07-007
150241 MEDIUM MS07-006
141033 MEDIUM MS06-075
137571 HIGH MS06-070
133379 HIGH MS06-057
129977 MEDIUM MS06-053
129976 MEDIUM MS06-052
126092 MEDIUM MS06-050
126087 HIGH MS06-046
108738 HIGH MS06-004
126082 HIGH MS06-041
123421 HIGH MS06-036
120818 HIGH MS06-025
120815 HIGH MS06-022
117384 MEDIUM MS06-018
114666 HIGH MS06-015
108738 HIGH MS06-004
108738 HIGH MS06-004
96574 HIGH MS05-053
93395 HIGH MS05-051
93454 MEDIUM MS05-049
;===================================================================================================================================================== ==============================

1.) Deinstalliere:

• Adobe Reader 7.0 - Deutsch
• AOL Coach Version 1.0(Build:20040229.1 de)
• AOL Deutschland
• AOL Meine Fotos Bildschirmschoner
• AOL Optimized Dial-In
• CA eTrust Antivirus
• Google Toolbar for Internet Explorer
• ICQ Toolbar
• J2SE Runtime Environment 5.0 Update 4
• Macromedia Shockwave Player
• Malwarebytes' Anti-Malware
• Panda Active Scan
• PrevxCSI
• SearchAnonymizer

2.) Installiere (Toolbars immer abwählen, Haken weg):

• Downloaddetails: Windows XP Service Pack 3-Netzwerkinstallationspaket für IT-Spezialisten und Entwickler
• Downloaddetails: Windows Internet Explorer 8 für Windows XP
• Download der Java-Software von Sun Microsystems
• Adobe Reader oder besser FoxIt Reader
• Adobe - Adobe Shockwave Player

3.) http://www.trojaner-board.de/51187-a...i-malware.html (Versuche es nochmal. Diesmal alle Funde löschen lassen.)

ciao, andreas

ok wird gerade alles erledigt..

ps ich führe mehrere downloads + installationen gleichzeitig durch wäre noch vor 2 tagen unddenkbar gewesen ;)

bin dir sehr dankbar

bis später

Das kann ins Auge gehen. Installationen immer nacheinander durchführen. ;)

ciao, andreas

sorry dass es so lange dauert aber malewarebytes braucht enorm zeit und die windows installation auch... aber denke spätestens um 20.00uhr bin ich fertig dann editier ich diesen beitrag!

bis gleich

edit geht doch noch ne weile maleware braucht ja ewig:(

Ich habe dich gewarnt und das ist mit Sicherheit nicht der letzte Scan. :)

ciao, andreas

hallo endlich ist der vorgang abgeschlossen :D

hier die logdatei:

Malwarebytes' Anti-Malware 1.41
Datenbank Version: 2796
Windows 5.1.2600 Service Pack 3

15.09.2009 18:34:20
mbam-log-2009-09-15 (18-34-20).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|F:\|)
Durchsuchte Objekte: 211622
Laufzeit: 12 hour(s), 13 minute(s), 20 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 7

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
F:\Datensicherung 30.06\Alcohol\GEGTER1\GEGTER\crack\Alcohol.exe (Trojan.Agent) -> Quarantined and deleted successfully.
F:\Datensicherung 30.06\Fritz\IP-Changer\nc.exe (PUP.KeyLogger) -> Quarantined and deleted successfully.
F:\Sceneload etc\Fritz!Box_reconnect\bat\nc.exe (PUP.KeyLogger) -> Quarantined and deleted successfully.
F:\Sceneload etc\Fritz!Box_reconnect\exe\nc.exe (PUP.KeyLogger) -> Quarantined and deleted successfully.
F:\System Volume Information\_restore{53C4C432-4C83-4FAB-ABF0-92303FF6D88A}\RP94\A0082759.exe (Adware.NaviPromo) -> Quarantined and deleted successfully.
F:\System Volume Information\_restore{94E17092-FE04-4DEA-9021-AAE315778466}\RP306\A0106414.exe (PUP.KeyLogger) -> Quarantined and deleted successfully.
F:\System Volume Information\_restore{94E17092-FE04-4DEA-9021-AAE315778466}\RP306\A0106489.exe (Trojan.Agent) -> Quarantined and deleted successfully.


bin allerdings heute abend unterwegs kann erst gegen 10 weitermachen kannst aber trotzdem die weitere vorgehensweise aufschreiben wenn du magst danke

mfg felix

Klar, mache ich doch gerne. Damit:
hast du gerade das gewonnen => http://www.trojaner-board.de/51262-a...sicherung.html

Du bist entlassen und ich bin raus,
andreas

ou und kannste mir vll noch kurz erklären warum steht doch da vollständig gelöscht?

F: is ne externe übrigens sind die viren auf der gewesen?