Trojaner-Board - Werde Security Master AV trotz Berücksichtigung der Forenthreads nicht los

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Werde Security Master AV trotz Berücksichtigung der Forenthreads nicht los (https://www.trojaner-board.de/88390-security-master-av-trotz-beruecksichtigung-forenthreads-los.html)

Werde Security Master AV trotz Berücksichtigung der Forenthreads nicht los

Hi,

das schädliche Programm ist seit 18. Juli 2010 gegen 18:00 Uhr das erste mal aufgefallen. In der Tray-Leiste links neben der Uhrzeit ist jetzt auch das Windows-Sicherheitscenter zu sehen. Außerdem treten oftmals Popups auf die mir sagen, dass dieser und jener Schädling zu entfernen ist, genau wie in eurem Thread "h**p://www.trojaner-board.de/86586-security-master-av-entfernen.html" beschrieben bzw auf den Screenshots ersichtlich.

An diesen habe ich mich auch gehalten und alle nötigen Programme und Scans etc durchlaufen lassen.

Ich wäre sehr froh wenn mir jemand dazu helfen könnte!
Alle notwendigen Logfiles sollten im Anhang zu finden sein.

Rkill Log:
This log file is located at C:\rkill.log.
Please post this only if requested to by the person helping you.
Otherwise you can close this log when you wish.
Ran as Kate on 19.07.2010 at 14:58:59.

Processes terminated by Rkill or while it was running:

C:\Windows\system32\DllHost.exe
C:\Windows\system32\DllHost.exe
C:\Users\***\Desktop\rkill.com

Rkill completed on 19.07.2010 at 14:59:05.

Vielen Dank für eure Hilfe schonmal im Voraus!
PS: Im Anti-Malware Log kommt mir die erste infizierte Datei merkwürdig vor!

Hallo und :hallo:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Doppelklick auf die OTL.exe
Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
Unter Extra Registry, wähle bitte Use SafeList
Klicke nun auf Run Scan links oben
Wenn der Scan beendet wurde werden 2 Logfiles erstellt
Poste die Logfiles hier in den Thread.

Vielen Dank für deine Antwort!
OTL geladen, Scan ist durch und nun die Logs siehe Anhang.

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Außerdem musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!!

Code:

:OTL

O33 - MountPoints2\{032f1e47-7f63-11dd-a6d2-001e4cdd61f3}\Shell - "" = AutoRun

O33 - MountPoints2\{032f1e47-7f63-11dd-a6d2-001e4cdd61f3}\Shell\AutoRun\command - "" = F:\arun.exe -- File not found

O33 - MountPoints2\{b8c7902b-3324-11dd-8921-001e4cdd61f3}\Shell - "" = AutoRun

O33 - MountPoints2\{b8c7902b-3324-11dd-8921-001e4cdd61f3}\Shell\AutoRun\command - "" = G:\Autorun.exe -- File not found

[2010.07.18 17:45:38 | 000,000,000 | -HSD | C] -- C:\ProgramData\SMWAAOMAV

[2010.07.18 17:45:26 | 000,000,000 | -HSD | C] -- C:\ProgramData\a028271

[2010.07.15 20:30:12 | 000,000,020 | ---- | M] () -- C:\Users\***\AppData\Roaming\hwzypv.dat

[2010.07.07 10:18:50 | 000,011,914 | ---- | M] () -- C:\Users\***\AppData\Roaming\wklnhst.dat

@Alternate Data Stream - 96 bytes -> C:\ProgramData\TEMP:ED810E46

@Alternate Data Stream - 94 bytes -> C:\ProgramData\TEMP:D994162E

@Alternate Data Stream - 154 bytes -> C:\ProgramData\TEMP:C22674B6

@Alternate Data Stream - 136 bytes -> C:\ProgramData\TEMP:EEB25EAE

@Alternate Data Stream - 131 bytes -> C:\ProgramData\TEMP:943E8182

@Alternate Data Stream - 129 bytes -> C:\ProgramData\TEMP:9857FAE3

@Alternate Data Stream - 128 bytes -> C:\ProgramData\TEMP:0AC32449

@Alternate Data Stream - 124 bytes -> C:\ProgramData\TEMP:517B507A

@Alternate Data Stream - 122 bytes -> C:\ProgramData\TEMP:9ACB70D7

@Alternate Data Stream - 122 bytes -> C:\ProgramData\TEMP:56C17A93

@Alternate Data Stream - 121 bytes -> C:\ProgramData\TEMP:DFC5A2B2

@Alternate Data Stream - 120 bytes -> C:\ProgramData\TEMP:C210B4D5

@Alternate Data Stream - 118 bytes -> C:\ProgramData\TEMP:85C3B823

@Alternate Data Stream - 113 bytes -> C:\ProgramData\TEMP:8401B6D5

@Alternate Data Stream - 112 bytes -> C:\ProgramData\TEMP:A7DA2BCD

@Alternate Data Stream - 112 bytes -> C:\ProgramData\TEMP:39C7B7C6

@Alternate Data Stream - 109 bytes -> C:\ProgramData\TEMP:A8ADE5D8

@Alternate Data Stream - 109 bytes -> C:\ProgramData\TEMP:70E897B5

@Alternate Data Stream - 108 bytes -> C:\ProgramData\TEMP:DA9A5EA8

@Alternate Data Stream - 107 bytes -> C:\ProgramData\TEMP:51F17BB8

@Alternate Data Stream - 106 bytes -> C:\ProgramData\TEMP:B845F669

@Alternate Data Stream - 105 bytes -> C:\ProgramData\TEMP:24FECE50

@Alternate Data Stream - 105 bytes -> C:\ProgramData\TEMP:07241935

@Alternate Data Stream - 104 bytes -> C:\ProgramData\TEMP:F9E10A82

@Alternate Data Stream - 103 bytes -> C:\ProgramData\TEMP:331B76C7

@Alternate Data Stream - 102 bytes -> C:\ProgramData\TEMP:7A0EFE63

@Alternate Data Stream - 102 bytes -> C:\ProgramData\TEMP:43982D5E

@Alternate Data Stream - 102 bytes -> C:\ProgramData\TEMP:09064307

@Alternate Data Stream - 101 bytes -> C:\ProgramData\TEMP:B904C348

:Commands

[purity]

[resethosts]

[emptytemp]

Klick dann auf den Button Run Fixes!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Danke dir!
Kann das Log leider nicht anhängen, da ungültige Datei (?)

Zitat:

All processes killed
========== OTL ==========
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{032f1e47-7f63-11dd-a6d2-001e4cdd61f3}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{032f1e47-7f63-11dd-a6d2-001e4cdd61f3}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{032f1e47-7f63-11dd-a6d2-001e4cdd61f3}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{032f1e47-7f63-11dd-a6d2-001e4cdd61f3}\ not found.
File F:\arun.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b8c7902b-3324-11dd-8921-001e4cdd61f3}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{b8c7902b-3324-11dd-8921-001e4cdd61f3}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b8c7902b-3324-11dd-8921-001e4cdd61f3}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{b8c7902b-3324-11dd-8921-001e4cdd61f3}\ not found.
File G:\Autorun.exe not found.
C:\ProgramData\SMWAAOMAV folder moved successfully.
C:\ProgramData\a028271\SMAVSys folder moved successfully.
C:\ProgramData\a028271\Quarantine Items folder moved successfully.
C:\ProgramData\a028271\BackUp folder moved successfully.
C:\ProgramData\a028271 folder moved successfully.
File C:\Users\***\AppData\Roaming\hwzypv.dat not found.
File C:\Users\***\AppData\Roaming\wklnhst.dat not found.
ADS C:\ProgramData\TEMP:ED810E46 deleted successfully.
ADS C:\ProgramData\TEMP:D994162E deleted successfully.
ADS C:\ProgramData\TEMP:C22674B6 deleted successfully.
ADS C:\ProgramData\TEMP:EEB25EAE deleted successfully.
ADS C:\ProgramData\TEMP:943E8182 deleted successfully.
ADS C:\ProgramData\TEMP:9857FAE3 deleted successfully.
ADS C:\ProgramData\TEMP:0AC32449 deleted successfully.
ADS C:\ProgramData\TEMP:517B507A deleted successfully.
ADS C:\ProgramData\TEMP:9ACB70D7 deleted successfully.
ADS C:\ProgramData\TEMP:56C17A93 deleted successfully.
ADS C:\ProgramData\TEMP:DFC5A2B2 deleted successfully.
ADS C:\ProgramData\TEMP:C210B4D5 deleted successfully.
ADS C:\ProgramData\TEMP:85C3B823 deleted successfully.
ADS C:\ProgramData\TEMP:8401B6D5 deleted successfully.
ADS C:\ProgramData\TEMP:A7DA2BCD deleted successfully.
ADS C:\ProgramData\TEMP:39C7B7C6 deleted successfully.
ADS C:\ProgramData\TEMP:A8ADE5D8 deleted successfully.
ADS C:\ProgramData\TEMP:70E897B5 deleted successfully.
ADS C:\ProgramData\TEMP:DA9A5EA8 deleted successfully.
ADS C:\ProgramData\TEMP:51F17BB8 deleted successfully.
ADS C:\ProgramData\TEMP:B845F669 deleted successfully.
ADS C:\ProgramData\TEMP:24FECE50 deleted successfully.
ADS C:\ProgramData\TEMP:07241935 deleted successfully.
ADS C:\ProgramData\TEMP:F9E10A82 deleted successfully.
ADS C:\ProgramData\TEMP:331B76C7 deleted successfully.
ADS C:\ProgramData\TEMP:7A0EFE63 deleted successfully.
ADS C:\ProgramData\TEMP:43982D5E deleted successfully.
ADS C:\ProgramData\TEMP:09064307 deleted successfully.
ADS C:\ProgramData\TEMP:B904C348 deleted successfully.
========== COMMANDS ==========
C:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 41620 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: ***
->Temp folder emptied: 850930 bytes
->Temporary Internet Files folder emptied: 1346710 bytes
->Java cache emptied: 60644576 bytes
->FireFox cache emptied: 39113787 bytes
->Google Chrome cache emptied: 0 bytes
->Flash cache emptied: 51110 bytes

User: Public

User: ***
->Temp folder emptied: 279318908 bytes
->Temporary Internet Files folder emptied: 206027733 bytes
->Java cache emptied: 69327813 bytes
->FireFox cache emptied: 35219387 bytes
->Flash cache emptied: 85182 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 1248 bytes
%systemroot%\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 5884075 bytes
%systemroot%\system32\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment folder emptied: 743 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 666,00 mb

OTL by OldTimer - Version 3.2.9.1 log created on 07222010_202611

Files\Folders moved on Reboot...
File\Folder C:\Users\***\AppData\Local\Temp\Kalender für die Damen 2010.pps not found!
File\Folder C:\Users\***\AppData\Local\Temp\Kalender für die Herren 2010.pps not found!

Registry entries deleted on Reboot...

Zitat:

File C:\Users\***\AppData\Roaming\hwzypv.dat not found.
File C:\Users\***\AppData\Roaming\wklnhst.dat not found.

hast Du das ausgeternte wieder vorher zurück in Deinen echten Benutzernamen benannt?
Sonst funktioniert das Script nicht.

ja habe ich, lediglich im log nochmal "versternt"

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Alle Ratschläge befolgt.
Hier das Log:

Combofix Logfile:

Code:

ComboFix 10-07-22.01 - *** 22.07.2010  22:02:45.1.2 - x86

Microsoft® Windows Vista™ Home Premium   6.0.6002.2.1252.49.1031.18.2045.1317 [GMT 2:00]

ausgeführt von:: c:\users\***\Desktop\cofi.exe

SP: Spybot - Search and Destroy *disabled* (Updated) {ED588FAF-1B8F-43B4-ACA8-8E3C85DADBE9}

SP: Windows-Defender *disabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}

.
 

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.
 

c:\users\***\AppData\Roaming\Microsoft\Windows\Recent\ANTIGEN.dll

c:\users\***\AppData\Roaming\Microsoft\Windows\Recent\ANTIGEN.drv

c:\users\***\AppData\Roaming\Microsoft\Windows\Recent\cid.sys

c:\users\***\AppData\Roaming\Microsoft\Windows\Recent\CLSV.drv

c:\users\***\AppData\Roaming\Microsoft\Windows\Recent\CLSV.tmp

c:\users\***\AppData\Roaming\Microsoft\Windows\Recent\DBOLE.dll

c:\users\***\AppData\Roaming\Microsoft\Windows\Recent\DBOLE.tmp

c:\users\***\AppData\Roaming\Microsoft\Windows\Recent\delfile.drv

c:\users\***\AppData\Roaming\Microsoft\Windows\Recent\dudl.tmp

c:\users\***\AppData\Roaming\Microsoft\Windows\Recent\eb.drv

c:\users\***\AppData\Roaming\Microsoft\Windows\Recent\eb.sys

c:\users\***\AppData\Roaming\Microsoft\Windows\Recent\energy.dll

c:\users\***\AppData\Roaming\Microsoft\Windows\Recent\energy.drv

c:\users\***\AppData\Roaming\Microsoft\Windows\Recent\energy.exe

c:\users\***\AppData\Roaming\Microsoft\Windows\Recent\exec.exe

c:\users\***\AppData\Roaming\Microsoft\Windows\Recent\exec.tmp

c:\users\***\AppData\Roaming\Microsoft\Windows\Recent\fan.tmp

c:\users\***\AppData\Roaming\Microsoft\Windows\Recent\fix.dll

c:\users\***\AppData\Roaming\Microsoft\Windows\Recent\FW.dll

c:\users\***\AppData\Roaming\Microsoft\Windows\Recent\FW.drv

c:\users\***\AppData\Roaming\Microsoft\Windows\Recent\gid.exe

c:\users\***\AppData\Roaming\Microsoft\Windows\Recent\grid.tmp

c:\users\***\AppData\Roaming\Microsoft\Windows\Recent\hymt.sys

c:\users\***\AppData\Roaming\Microsoft\Windows\Recent\kernel32.dll

c:\users\***\AppData\Roaming\Microsoft\Windows\Recent\kernel32.drv

c:\users\***\AppData\Roaming\Microsoft\Windows\Recent\kernel32.exe

c:\users\***\AppData\Roaming\Microsoft\Windows\Recent\kernel32.tmp

c:\users\***\AppData\Roaming\Microsoft\Windows\Recent\pal.sys

c:\users\***\AppData\Roaming\Microsoft\Windows\Recent\PE.dll

c:\users\***\AppData\Roaming\Microsoft\Windows\Recent\PE.exe

c:\users\***\AppData\Roaming\Microsoft\Windows\Recent\PE.tmp

c:\users\***\AppData\Roaming\Microsoft\Windows\Recent\ppal.dll

c:\users\***\AppData\Roaming\Microsoft\Windows\Recent\runddl.dll

c:\users\***\AppData\Roaming\Microsoft\Windows\Recent\runddl.tmp

c:\users\***\AppData\Roaming\Microsoft\Windows\Recent\sld.drv

c:\users\***\AppData\Roaming\Microsoft\Windows\Recent\sld.exe

c:\users\***\AppData\Roaming\Microsoft\Windows\Recent\std.dll

c:\users\***\AppData\Roaming\Microsoft\Windows\Recent\tjd.drv

c:\users\***\AppData\Roaming\Microsoft\Windows\Recent\tjd.sys

c:\windows\system32\st325614.dll
 

.

(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))

.
 

-------\Service_Boonty Games
 
 

(((((((((((((((((((((((   Dateien erstellt von 2010-06-22 bis 2010-07-22  ))))))))))))))))))))))))))))))

.
 

2010-07-22 18:26 . 2010-07-22 18:26        --------        d-----w-        C:\_OTL

2010-07-19 12:28 . 2010-07-19 15:33        --------        d-----w-        c:\program files\trend micro

2010-07-19 12:28 . 2010-07-19 12:31        --------        d-----w-        C:\rsit

2010-07-19 12:26 . 2010-07-19 12:26        --------        d-----w-        c:\program files\CCleaner

2010-07-19 11:52 . 2010-07-19 11:52        --------        d-----w-        c:\users\***\AppData\Roaming\Malwarebytes

2010-07-19 11:52 . 2010-04-29 10:19        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys

2010-07-19 11:52 . 2010-07-19 11:52        --------        d-----w-        c:\programdata\Malwarebytes

2010-07-19 11:52 . 2010-07-19 11:52        --------        d-----w-        c:\program files\Malwarebytes' Anti-Malware

2010-07-19 11:52 . 2010-04-29 10:19        20952        ----a-w-        c:\windows\system32\drivers\mbam.sys

2010-07-18 21:44 . 2010-07-18 21:45        --------        d-----w-        c:\programdata\Exorcist DS

2010-07-18 18:22 . 2010-07-19 15:27        --------        d-----w-        c:\programdata\Spybot - Search & Destroy

2010-07-18 18:22 . 2010-07-18 18:28        --------        d-----w-        c:\program files\Spybot - Search & Destroy
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-07-22 20:16 . 2008-05-30 11:32        12        ----a-w-        c:\windows\bthservsdp.dat

2010-07-22 18:05 . 2008-07-02 09:49        --------        d-----w-        c:\users\***\AppData\Roaming\ICQ

2010-07-20 13:16 . 2009-05-30 20:18        --------        d-----w-        c:\users\***\AppData\Roaming\Skype

2010-07-20 12:16 . 2008-07-05 13:36        --------        d-----w-        c:\users\***\AppData\Roaming\ICQ

2010-07-20 12:16 . 2009-05-30 20:19        --------        d-----w-        c:\users\***\AppData\Roaming\skypePM

2010-07-19 11:42 . 2009-08-14 21:32        --------        d-----w-        c:\program files\Avira

2010-07-18 21:42 . 2010-04-20 20:55        --------        d-----w-        c:\program files\DEUTSCHLAND SPIELT

2010-07-15 18:30 . 2010-07-15 18:30        20        ----a-w-        c:\users\***\AppData\Roaming\hwzypv.dat

2010-07-07 08:18 . 2008-06-16 19:16        11914        ----a-w-        c:\users\***\AppData\Roaming\wklnhst.dat

2010-07-04 13:27 . 2009-02-25 14:48        --------        d-----r-        c:\program files\Skype

2010-07-04 10:18 . 2009-09-09 18:23        --------        d-----w-        c:\program files\ICQ6.5

2010-06-26 11:47 . 2009-02-25 14:48        --------        d-----w-        c:\users\***\AppData\Roaming\Skype

2010-06-26 11:45 . 2009-02-25 14:50        --------        d-----w-        c:\users\***\AppData\Roaming\skypePM

2010-06-23 14:11 . 2008-05-30 17:55        --------        d-----w-        c:\programdata\Roxio

2010-06-23 14:01 . 2006-11-02 15:33        618442        ----a-w-        c:\windows\system32\perfh007.dat

2010-06-23 14:01 . 2006-11-02 15:33        122648        ----a-w-        c:\windows\system32\perfc007.dat

2010-06-21 15:21 . 2010-06-21 15:21        --------        d-----w-        c:\users\***\AppData\Roaming\ProtectDisc

2010-06-12 19:37 . 2010-06-12 19:37        --------        d-----w-        c:\users\***\AppData\Roaming\UNOUndercover

2010-06-12 19:37 . 2010-03-28 22:06        --------        d-----w-        c:\users\***\AppData\Roaming\Zylom

2010-06-09 18:53 . 2010-01-20 19:58        --------        d-----w-        c:\program files\ICQ7.0

2010-06-05 18:51 . 2010-06-05 18:51        --------        d-----w-        c:\users\***\AppData\Roaming\Octoshape

2010-05-21 12:14 . 2009-10-03 23:40        221568        ------w-        c:\windows\system32\MpSigStub.exe

2009-05-01 21:02 . 2009-05-01 21:02        1044480        ----a-w-        c:\program files\mozilla firefox\plugins\libdivx.dll

2009-05-01 21:02 . 2009-05-01 21:02        200704        ----a-w-        c:\program files\mozilla firefox\plugins\ssldivx.dll

2008-05-30 17:44 . 2008-05-30 17:44        76        --sh--r-        c:\windows\CT4CET.bin

2007-02-22 01:55 . 2007-02-22 01:55        8192        --sha-w-        c:\windows\Users\Default\NTUSER.DAT

.
 

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ICQ"="c:\program files\ICQ7.0\ICQ.exe" [2010-06-08 133368]

"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-19 1008184]

"OEM02Mon.exe"="c:\windows\OEM02Mon.exe" [2007-05-09 36864]

"SigmatelSysTrayApp"="c:\program files\SigmaTel\C-Major Audio\WDM\sttray.exe" [2007-09-13 405504]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]

"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-02-18 248040]

"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2009-11-10 417792]

"Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2010-04-29 1090952]
 

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\

Adobe Gamma Loader.lnk - c:\program files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2009-3-14 110592]
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"ConsentPromptBehaviorUser"= 2 (0x2)

"EnableUIADesktopToggle"= 0 (0x0)
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"mixer"=wdmaud.drv
 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]

@="Driver"
 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]

@="Service"
 

[HKLM\~\startupfolder\C:^Users^***^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^CurseClientStartup.ccip]

path=c:\users\***\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\CurseClientStartup.ccip

backup=c:\windows\pss\CurseClientStartup.ccip.Startup

backupExtension=.Startup
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]

2008-10-15 00:04        39792        ----a-w-        c:\program files\Adobe\Reader 8.0\Reader\reader_sl.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AlcoholAutomount]

2008-03-20 16:46        217544        ----a-w-        c:\program files\Alcohol Soft\Alcohol 120\AxCmd.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Apoint]

2007-07-02 11:29        159744        ----a-w-        c:\program files\DellTPad\Apoint.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]

2008-07-24 15:02        490952        ----a-w-        c:\program files\DAEMON Tools Lite\daemon.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DELL Webcam Manager]

2007-07-27 14:43        118784        ------w-        c:\program files\Dell\Dell Webcam Manager\DellWMgr.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ehTray.exe]

2008-01-19 07:33        125952        ----a-w-        c:\windows\ehome\ehtray.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ]

2009-11-16 15:36        172792        ----a-w-        c:\program files\ICQ6.5\ICQ.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]

2006-07-11 10:15        3144800        ------w-        c:\program files\ICQLite\ICQLite.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSPM Startup]

2006-10-03 09:35        221184        ----a-w-        c:\progra~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSScheduler]

2006-10-03 09:37        81920        ----a-w-        c:\program files\Common Files\InstallShield\UpdateService\issch.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]

2009-11-12 15:33        141600        ----a-w-        c:\program files\iTunes\iTunesHelper.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]

2008-02-22 03:46        13515296        ----a-w-        c:\windows\System32\nvcpl.dll
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NVHotkey]

2008-02-22 03:46        92704        ----a-w-        c:\windows\System32\nvhotkey.dll
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]

2008-02-22 03:46        92704        ----a-w-        c:\windows\System32\nvmctray.dll
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvSvc]

2008-02-22 03:46        166432        ----a-w-        c:\windows\System32\nvsvc.dll
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Octoshape Streaming Services]

2009-01-08 13:44        70936        ----a-w-        c:\users\***\AppData\Roaming\Octoshape\Octoshape Streaming Services\OctoshapeClient.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OEM02Mon.exe]

2007-05-09 15:01        36864        ----a-w-        c:\windows\OEM02Mon.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCMService]

2007-11-01 13:39        189736        ------w-        c:\program files\Dell\MediaDirect\PCMService.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]

2009-11-10 22:08        417792        ----a-w-        c:\program files\QuickTime\QTTask.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RoxWatchTray]

2006-11-05 09:22        221184        ----a-w-        c:\program files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]

2009-07-14 17:04        1217784        ----a-w-        c:\program files\Steam\Steam.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]

"AntiVirusOverride"=dword:00000001

"VistaSp2"=hex(b):ba,a8,f4,4d,53,e5,c9,01
 

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [x]

R2 gupdate1cacec2fe26d700;Google Update Service (gupdate1cacec2fe26d700);c:\program files\Google\Update\GoogleUpdate.exe [2010-03-28 133104]

R3 GarenaPEngine;GarenaPEngine;c:\users\***\AppData\Local\Temp\FKS6EA4.tmp [x]

R4 sptd;sptd;c:\windows\system32\Drivers\sptd.sys [2008-09-10 717296]

S2 AESTFilters;Andrea ST Filters Service;c:\windows\system32\aestsrv.exe [2007-09-20 73728]

S2 SBSDWSCService;SBSD Security Center Service;c:\program files\Spybot - Search & Destroy\SDWinSec.exe [2009-01-26 1153368]

S2 TeamViewer4;TeamViewer 4;c:\program files\TeamViewer\Version4\TeamViewer_Service.exe [2009-08-24 185640]
 
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

bthsvcs        REG_MULTI_SZ           BthServ

HPZ12        REG_MULTI_SZ           Pml Driver HPZ12 Net Driver HPZ12

LocalServiceAndNoImpersonation        REG_MULTI_SZ           FontCache

.

Inhalt des "geplante Tasks" Ordners
 

2010-07-22 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\program files\Google\Update\GoogleUpdate.exe [2010-03-28 22:06]
 

2010-07-22 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\program files\Google\Update\GoogleUpdate.exe [2010-03-28 22:06]

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = hxxp://start.icq.com/

uInternet Settings,ProxyOverride = *.local

DPF: {226ACC34-3194-40E2-9AE8-834FCFE9E80D} - hxxp://games.bigfishgames.com/en_mysteryofsharkisla/online/MysteryOfSharkIslandWeb.1.0.0.8.cab

DPF: {7D4733C0-C43B-4A81-AF43-F9B20D1F8348} - hxxp://www.octoshape.com/files/octosetupGotFrag.cab

FF - ProfilePath - c:\users\***\AppData\Roaming\Mozilla\Firefox\Profiles\3ejtw2ll.default\

FF - prefs.js: browser.startup.homepage - hxxp://start.icq.com/skins/

FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&q=

FF - plugin: c:\program files\Google\Update\1.2.183.29\npGoogleOneClick8.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\npdeployJava1.dll

FF - plugin: c:\programdata\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll

FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
 

---- FIREFOX Richtlinien ----

c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 

c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.proxy.type",                  5);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.ipc.plugins.timeoutSecs", 45);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("accelerometer.enabled", true);

c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);

c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");

c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);

c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation",  false);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.nptest.dll", true);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npswf32.dll", true);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npctrl.dll", true);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npqtplugin.dll", true);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -
 

WebBrowser-{ECDEE021-0D17-467F-A1FF-C7A115230949} - (no file)

MSConfigStartUp-swg - c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
 
 
 

**************************************************************************
 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net

Rootkit scan 2010-07-22 22:17

Windows 6.0.6002 Service Pack 2 NTFS
 

Scanne versteckte Prozesse... 
 

Scanne versteckte Autostarteinträge... 
 

Scanne versteckte Dateien... 
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************
 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\GarenaPEngine]

"ImagePath"="\??\c:\users\***\AppData\Local\Temp\FKS6EA4.tmp"

.

--------------------- Gesperrte Registrierungsschluessel ---------------------
 

[HKEY_USERS\S-1-5-21-1666829011-3442692542-773869868-1000\Software\SecuROM\License information*]

"datasecu"=hex:83,4f,60,f8,d8,64,53,8d,f1,15,f6,39,d7,09,ab,1f,a2,52,f7,4f,0b,

   82,39,cb,28,df,39,22,bc,2d,a3,03,9f,89,49,97,e9,08,e3,53,8b,d0,1a,97,f0,32,\

"rkeysecu"=hex:c7,39,b3,04,40,b2,dc,0e,d5,1b,66,62,43,cf,8e,5a
 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
 

- - - - - - - > 'Explorer.exe'(3044)

c:\program files\Roxio\Drag-to-Disc\Shellex.dll

c:\windows\system32\DLAAPI_W.DLL

c:\program files\Roxio\Drag-to-Disc\ShellRes.dll

.

------------------------ Weitere laufende Prozesse ------------------------

.

c:\windows\system32\WLANExt.exe

c:\program files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

c:\program files\Bonjour\mDNSResponder.exe

c:\program files\Intel\Wireless\Bin\EvtEng.exe

c:\program files\Intel\Wireless\Bin\RegSrvc.exe

c:\windows\system32\STacSV.exe

c:\program files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

c:\windows\system32\conime.exe

.

**************************************************************************

.

Zeit der Fertigstellung: 2010-07-22  22:29:00 - PC wurde neu gestartet

ComboFix-quarantined-files.txt  2010-07-22 20:28
 

Vor Suchlauf: 18 Verzeichnis(se), 36.455.649.280 Bytes frei

Nach Suchlauf: 21 Verzeichnis(se), 36.099.608.576 Bytes frei
 

- - End Of File - - 92963641832D06A61974DDA8D81CE3FE

--- --- ---

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus

Anschließend den bootkit_remover herunterladen. Entpacke das Tool in einen eigenen Ordner auf dem Desktop und führe in diesem Ordner die Datei remove.exe aus.

Wenn Du Windows Vista oder Windows 7 verwendest, musst Du die remover.exe über ein Rechtsklick => als Administrator ausführen

Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen.
Poste dann bitte, ob es Veränderungen gibt und wenn ja in welchem device. Am besten alles posten was die remover.exe ausgibt.

Logs + Screenshot vom Bootkit Remover siehe Anhang.

Sry, hab Deinen Strang übersehen...
Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

hi,

danke das du dich wieder gemeldet hast! =)
hier die Logs:

Zitat:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4377

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18928

01.08.2010 20:09:30
mbam-log-2010-08-01 (20-09-30).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 384890
Laufzeit: 1 Stunde(n), 58 Minute(n), 44 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Zitat:

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 08/01/2010 at 06:04 PM

Application Version : 4.41.1000

Core Rules Database Version : 5297
Trace Rules Database Version: 3109

Scan type : Complete Scan
Total Scan Time : 03:05:06

Memory items scanned : 565
Memory threats detected : 0
Registry items scanned : 9080
Registry threats detected : 0
File items scanned : 249204
File threats detected : 32

Adware.Tracking Cookie
C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@webmasterplan[1].txt
C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@content.yieldmanager[3].txt
C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@adserver.traffictrack[1].txt
C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@content.yieldmanager[2].txt
C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@atwola[1].txt
C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@ad.yieldmanager[2].txt
C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@tradedoubler[1].txt
C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@zanox[1].txt
C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@doubleclick[1].txt
C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@adfarm1.adition[2].txt
C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@imrworldwide[2].txt
C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@apmebf[2].txt
cdn5.specificclick.net [ C:\Users\***\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\HMHUGLUK ]
ia.media-imdb.com [ C:\Users\***\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\HMHUGLUK ]
imagesrv.adition.com [ C:\Users\***\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\HMHUGLUK ]
media.scanscout.com [ C:\Users\***\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\HMHUGLUK ]
objects.tremormedia.com [ C:\Users\***\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\HMHUGLUK ]
s0.2mdn.net [ C:\Users\***\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\HMHUGLUK ]
secure-us.imrworldwide.com [ C:\Users\***\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\HMHUGLUK ]
www.adservercentral.info [ C:\Users\***\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\HMHUGLUK ]
adserv.quality-channel.de [ C:\Users\***\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\3EECCUUR ]
cdn5.specificclick.net [ C:\Users\***\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\3EECCUUR ]
imagesrv.adition.com [ C:\Users\***\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\3EECCUUR ]
media.scanscout.com [ C:\Users\***\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\3EECCUUR ]
media.xfire.com [ C:\Users\***\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\3EECCUUR ]
secure-us.imrworldwide.com [ C:\Users\***\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\3EECCUUR ]

Adware.Flash Tracking Cookie
C:\Users\***\AppData\Roaming\MACROMEDIA\FLASH PLAYER\#SHAREDOBJECTS\HMHUGLUK\IA.MEDIA-IMDB.COM
C:\Users\***\AppData\Roaming\MACROMEDIA\FLASH PLAYER\#SHAREDOBJECTS\HMHUGLUK\OBJECTS.TREMORMEDIA.COM
C:\Users\***\AppData\Roaming\MACROMEDIA\FLASH PLAYER\#SHAREDOBJECTS\HMHUGLUK\SECURE-US.IMRWORLDWIDE.COM

Trojan.Agent/Gen-ImageDocFake
C:\USERS\***\DESKTOP\FOTOS\MALLORCA_2007\MALLORCA 2007 026.JPG
C:\USERS\***\DESKTOP\FOTOS\PARIS_2008\PARIS 182.JPG
C:\USERS\***\DESKTOP\FOTOS\PRIVAT\***\FOTOSHOOT\FOTOSHOOTING 020.JPG

Sieht ok aus, da wurden nur Cookies und einige Überreste gefunden.
Noch Probleme oder weitere Funde in der Zwischenzeit?

nein, scheint alles in ordnung zu sein!

vielen dank für deine hilfe :)

Gut, dann bitte die Updates prüfen, hier mein Leitfaden dazu:

Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update

PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player

Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.