Bluescreen-Screensaver, Viren-Meldung-Hintergrund und Antivirenprogs-Sperre

Dieses Thema Bluescreen-Screensaver, Viren-Meldung-Hintergrund und Antivirenprogs-Sperre im Forum "Viren, Trojaner, Spyware etc." wurde erstellt von Dulian de Mar, 11. Okt. 2008.

Thema: Bluescreen-Screensaver, Viren-Meldung-Hintergrund und Antivirenprogs-Sperre Hallo! Habe seit kurzem ein Haufen von Problemen aufeinmal bekommen. Anstatt meines normalen Bildschirmschoners...

  1. Hallo!

    Habe seit kurzem ein Haufen von Problemen aufeinmal bekommen.

    Anstatt meines normalen Bildschirmschoners kommt jetzt immer ein Bluescreen-Bildschirmschoner mit Boot-Vortäuschung. Mein Hintergrund zeigt Warning! Spyware detected. Win32/Adaware Virtumonde und Win32/Privacy RemoverM.64 please acitivate your antivirus software to....

    Virenprogramme funktionieren nicht mehr, manchmal rebootet der Pc einfach wenn ich anfange zu scannen und wenn ich andere Anti-Viren-Programme über Google laden will, lassen sich die Seiten nicht öffnen. Auch Direktlinks zu Online-Scans gehen nicht, dafür öffnet sich dann eine Werbe-Seite.

    Insgesamt ist der PC langsamer und lauter geworden. Auch das Internet ist langsamer.

    Hier die Log-Files:
    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 16:37:18, on 11.10.2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    D:\Programme\Lavasoft\Ad-Aware\aawservice.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    D:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
    D:\Programme\AVPersonal\AVWUPSRV.EXE
    D:\Programme\StormII\stormliv.exe
    C:\WINDOWS\system32\nvsvc32.exe
    D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    D:\Programme\Windows Live\Messenger\msnmsgr.exe
    C:\WINDOWS\System32\svchost.exe
    D:\Programme\Winamp\Winamp.exe
    D:\Programme\Windows Live\Messenger\usnsvc.exe
    D:\Programme\Mozilla Firefox\firefox.exe
    D:\Programme\Trend Micro\HijackThis\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://loginnet.passport.com/ppsecure/md5auth.srf?lc=1031
    R3 - URLSearchHook: (no name) - {bd0e4d83-654e-4213-965b-fcbe887061f4} - (no file)
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [WinampAgent] D:\Programme\Winamp\winampa.exe
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AVPersonal\AVGNT.EXE /min
    O4 - HKLM\..\Run: [Easy-PrintToolBox] D:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
    O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
    O4 - HKLM\..\Run: [DCPPaid] C:\WINDOWS\system32\DCPPaid.exe /P
    O4 - HKLM\..\Run: [5c07dbc3] rundll32.exe C:\WINDOWS\system32\gcyqkkis.dll,b
    O4 - HKCU\..\RunOnce: [FlashPlayerUpdate] D:\Programme\Mozilla Firefox\plugins\NPSWF32_FlashUtil.exe -p
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User->LOKALER DIENST')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User->NETZWERKDIENST')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User->SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User->Default user')
    O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O8 - Extra context menu item: Easy-WebPrint - Drucken - res://D:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
    O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://D:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
    O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://D:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
    O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://D:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
    O9 - Extra->Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
    O9 - Extra button: AcronisPop-up Blocker - {2E071ADC-ADF8-4b4b-8ACB-EDC49E6D45A2} - C:\WINDOWS\system32\shdocvw.dll
    O9 - Extra->Tools' menuitem: Acronis Pop-up Blocker - {2E071ADC-ADF8-4b4b-8ACB-EDC49E6D45A2} - C:\WINDOWS\system32\shdocvw.dll
    O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - D:\Programme\WinHTTrack\WinHTTrackIEBar.dll
    O9 - Extra->Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - D:\Programme\WinHTTrack\WinHTTrackIEBar.dll
    O9 - Extra button: Knowledge Base Suche - {8b2d996f-b7d1-4961-a929-414d9cf5ba7b} - http://support.microsoft.com/default.aspx?scid=FH;EN-US;KBHOWTO (file missing)
    O9 - Extra->Tools' menuitem: Knowledge Base Suche - {8b2d996f-b7d1-4961-a929-414d9cf5ba7b} - http://support.microsoft.com/default.aspx?scid=FH;EN-US;KBHOWTO (file missing)
    O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
    O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
    O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://townoflove.spaces.live.com//PhotoUpload/MsnPUpld.cab
    O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
    O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://go.divx.com/plugin/DivXBrowserPlugin.cab
    O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://static.ak.studivz.net/photouploader/ImageUploader4.cab?nocache=20071128-1
    O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
    O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
    O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
    O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab31267.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{E6C35485-AB31-43B9-B162-C97D37609264}: NameServer = 192.168.1.1
    O20 - AppInit_DLLs: ngucpu.dll
    O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - D:\Programme\Lavasoft\Ad-Aware\aawservice.exe
    O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
    O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Programme\AVPersonal\AVWUPSRV.EXE
    O23 - Service: Contrl Center of Storm Media (ccosm) - ???????????? - D:\Programme\StormII\stormliv.exe
    O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - D:\Programme\MAGIX\Common\Database\bin\fbserver.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
    O23 - Service: iPodService - Apple Computer, Inc. - D:\Programme\iPod\bin\iPodService.exe
    O23 - Service: License Management Service ESD - element5 - C:\Programme\Gemeinsame Dateien\element5 Shared\Service\Licence Manager ESD.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe[br][br]Erstellt am: 11.10.08 um 16:43:39[hr][br]Silent Runners.vbs, revision 58, http://www.silentrunners.org/
    Operating System: Windows XP SP2
    Output limited to non-default values, except where indicated by {++}


    Startup items buried in registry:
    ---------------------------------

    HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\ {++}
    FlashPlayerUpdate = D:\Programme\Mozilla Firefox\plugins\NPSWF32_FlashUtil.exe -p [Adobe Systems, Inc.]

    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
    SoundMan = SOUNDMAN.EXE [Realtek Semiconductor Corp.]
    WinampAgent = D:\Programme\Winamp\winampa.exe [null data]
    NeroFilterCheck = C:\WINDOWS\system32\NeroCheck.exe [Ahead Software Gmbh]
    nwiz = nwiz.exe /install [NVIDIA Corporation]
    NvMediaCenter = RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit [MS]
    AVGCtrl = D:\Programme\AVPersonal\AVGNT.EXE /min [H+BEDV Datentechnik GmbH]
    Easy-PrintToolBox = D:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon [CANON INC.]
    MSConfig = C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto [MS]
    DCPPaid = C:\WINDOWS\system32\DCPPaid.exe /P [null data]
    5c07dbc3 = rundll32.exe C:\WINDOWS\system32\gcyqkkis.dll,b [MS]

    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
    {01D940DF-0E52-4A04-AB2A-5A1D17B79922}\(Default) = (no title provided)
    -> {HKLM...CLSID} = (no title provided)
    \InProcServer32\(Default) = C:\WINDOWS\system32\yvxvtsxt.dll [null data]
    {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
    -> {HKLM...CLSID} = AcroIEHlprObj Class
    \InProcServer32\(Default) = D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll [Adobe Systems Incorporated]
    {07FAA62B-2F85-4009-ADA2-F2B5D7E74C74}\(Default) = (no title provided)
    -> {HKLM...CLSID} = (no title provided)
    \InProcServer32\(Default) = C:\WINDOWS\system32\ljJAQheD.dll [null data]
    {31C729B1-D88E-42D0-B3D7-1EC0A970C91C}\(Default) = (no title provided)
    -> {HKLM...CLSID} = (no title provided)
    \InProcServer32\(Default) = C:\WINDOWS\system32\tuvVOEXn.dll [null data]
    {9030D464-4C02-4ABF-8ECC-5164760863C6}\(Default) = (no title provided)
    -> {HKLM...CLSID} = Windows Live Anmelde-Hilfsprogramm
    \InProcServer32\(Default) = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [MS]
    {a7e23ad3-123e-409a-b082-cddb683a11b5}\(Default) = {5b11a386-bddc-280b-a904-e3213da32e7a}
    -> {HKLM...CLSID} = (no title provided)
    \InProcServer32\(Default) = C:\WINDOWS\system32\ngucpu.dll [null data]

    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
    {792F0537-F929-4eb7-AC1D-FB6334C71550} = LG Phone
    -> {HKLM...CLSID} = LG Phone
    \InProcServer32\(Default) = D:\PROGRA~1\LG PC Suite 2\Phone Manager\Phone.dll [LG Electornics]
    {FC9FB64A-1EB2-4CCF-AF5E-1A497A9B5C2D} = Messenger Sharing Folders
    -> {HKLM...CLSID} = Meine freigegebenen Ordner
    \InProcServer32\(Default) = D:\Programme\Windows Live\Messenger\fsshext.8.5.1302.1018.dll [MS]

    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
    <<!>> {07FAA62B-2F85-4009-ADA2-F2B5D7E74C74} = *c (unwritable string)
    -> {HKLM...CLSID} = (no title provided)
    \InProcServer32\(Default) = C:\WINDOWS\system32\ljJAQheD.dll [null data]

    HKLM\SYSTEM\CurrentControlSet\Control\Lsa\
    <<!>> Authentication Packages = msv1_0|C:\WINDOWS\system32\tuvVOEXn

    HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\
    <<!>> BootExecute = autocheck autochk *|lsdelete [null data]

    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
    <<!>> ljJAQheD\DLLName = ljJAQheD.dll [null data]

    HKLM\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\
    {0561EC90-CE54-4f0c-9C55-E226110A740C}\(Default) = Haali Column Provider
    -> {HKLM...CLSID} = Haali Column Provider
    \InProcServer32\(Default) = D:\Programme\Haali\MatroskaSplitter\mmfinfo.dll [null data]
    {C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}\(Default) = OpenOffice.org Column Handler
    -> {HKLM...CLSID} = (no title provided)
    \InProcServer32\(Default) = D:\Programme\OpenOffice.org 2.0\program\shlxthdl.dll [Sun Microsystems, Inc.]
    {F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = PDF Column Info
    -> {HKLM...CLSID} = PDF Shell Extension
    \InProcServer32\(Default) = D:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll [Adobe Systems, Inc.]

    HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\
    AntiVir/Win\(Default) = {a7cda720-84ee-11d0-b5c0-00001b3ca278}
    -> {HKLM...CLSID} = (no title provided)
    \InProcServer32\(Default) = D:\Programme\AVPersonal\AVShlExt.DLL [H+BEDV Datentechnik GmbH]
    TrojanHunter\(Default) = {EBDF1F20-C829-11D1-8233-FF20AF3E97A9}
    -> {HKLM...CLSID} = TrojanHunter Menu Shell Extension
    \InProcServer32\(Default) = D:\PROGRA~1\TROJAN~1.5\contmenu.dll [null data]
    TuneUp Shredder Shell Extension\(Default) = {4858E7D9-8E12-45a3-B6A3-1CD128C9D403}
    -> {HKLM...CLSID} = TuneUp Shredder Shell Extension
    \InProcServer32\(Default) = D:\Programme\TuneUp Utilities 2007\SDShelEx-win32.dll [TuneUp Software GmbH]
    WinRAR\(Default) = {B41DB860-8EE4-11D2-9906-E49FADC173CA}
    -> {HKLM...CLSID} = WinRAR
    \InProcServer32\(Default) = D:\Programme\WinRAR\rarext.dll [null data]

    HKLM\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\
    jetAudio\(Default) = {8D1636FD-CA49-4B4E-90E4-0A20E03A15E8}
    -> {HKLM...CLSID} = JetFlExt
    \InProcServer32\(Default) = D:\Programme\JetAudio\JetFlExt.dll [JetAudio, Inc.]
    TrojanHunter\(Default) = {EBDF1F20-C829-11D1-8233-FF20AF3E97A9}
    -> {HKLM...CLSID} = TrojanHunter Menu Shell Extension
    \InProcServer32\(Default) = D:\PROGRA~1\TROJAN~1.5\contmenu.dll [null data]
    TuneUp Shredder Shell Extension\(Default) = {4858E7D9-8E12-45a3-B6A3-1CD128C9D403}
    -> {HKLM...CLSID} = TuneUp Shredder Shell Extension
    \InProcServer32\(Default) = D:\Programme\TuneUp Utilities 2007\SDShelEx-win32.dll [TuneUp Software GmbH]
    WinRAR\(Default) = {B41DB860-8EE4-11D2-9906-E49FADC173CA}
    -> {HKLM...CLSID} = WinRAR
    \InProcServer32\(Default) = D:\Programme\WinRAR\rarext.dll [null data]

    HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\
    AntiVir/Win\(Default) = {a7cda720-84ee-11d0-b5c0-00001b3ca278}
    -> {HKLM...CLSID} = (no title provided)
    \InProcServer32\(Default) = D:\Programme\AVPersonal\AVShlExt.DLL [H+BEDV Datentechnik GmbH]
    jetAudio\(Default) = {8D1636FD-CA49-4B4E-90E4-0A20E03A15E8}
    -> {HKLM...CLSID} = JetFlExt
    \InProcServer32\(Default) = D:\Programme\JetAudio\JetFlExt.dll [JetAudio, Inc.]
    TrojanHunter\(Default) = {EBDF1F20-C829-11D1-8233-FF20AF3E97A9}
    -> {HKLM...CLSID} = TrojanHunter Menu Shell Extension
    \InProcServer32\(Default) = D:\PROGRA~1\TROJAN~1.5\contmenu.dll [null data]
    WinRAR\(Default) = {B41DB860-8EE4-11D2-9906-E49FADC173CA}
    -> {HKLM...CLSID} = WinRAR
    \InProcServer32\(Default) = D:\Programme\WinRAR\rarext.dll [null data]


    Group Policies {GPedit.msc branch and setting}:
    -----------------------------------------------

    Note: detected settings may not have any effect.

    HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\

    NoLowDiskSpaceChecks = (REG_DWORD) dword:0x00000001
    {unrecognized setting}

    ForceClassicControlPanel = (REG_DWORD) dword:0x00000001
    {unrecognized setting}

    NoRecentDocsMenu = (REG_DWORD) dword:0x00000001
    {unrecognized setting}

    NoInstrumentation = (REG_DWORD) dword:0x00000001
    {unrecognized setting}

    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\

    DisableLocalMachineRun = (REG_DWORD) dword:0x00000001
    {unrecognized setting}

    DisableLocalMachineRunOnce = (REG_DWORD) dword:0x00000001
    {unrecognized setting}

    DisableCurrentUserRun = (REG_DWORD) dword:0x00000001
    {unrecognized setting}

    DisableCurrentUserRunOnce = (REG_DWORD) dword:0x00000001
    {unrecognized setting}

    NoCDBurning = (REG_DWORD) dword:0x00000000
    {unrecognized setting}

    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer\Infodelivery\Restrictions\

    NoUpdateCheck = (REG_DWORD) dword:0x00000001
    {unrecognized setting}

    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\

    shutdownwithoutlogon = (REG_DWORD) dword:0x00000001
    {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
    Shutdown: Allow system to be shut down without having to log on}

    undockwithoutlogon = (REG_DWORD) dword:0x00000001
    {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
    Devices: Allow undock without having to log on}


    Active Desktop and Wallpaper:
    -----------------------------

    Active Desktop may be disabled at this entry:
    HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

    Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
    HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
    Wallpaper = C:\WINDOWS\system32\phcrndj0ee1e.bmp

    Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
    HKCU\Control Panel\Desktop\
    Wallpaper = C:\WINDOWS\system32\phcrndj0ee1e.bmp


    Enabled Screen Saver:
    ---------------------

    HKCU\Control Panel\Desktop\
    SCRNSAVE.EXE = C:\WINDOWS\system32\blphcrndj0ee1e.scr [Sysinternals]


    Windows Portable Device AutoPlay Handlers
    -----------------------------------------

    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\Handlers\

    DSVideoCameraArrival\
    Provider = Video Edit Magic
    ProgID = Shell.HWEventHandlerShellExecute
    InitCmdLine = D:\Programme\Deskshare\Video Edit Magic 4.2\Video Edit Magic.exe /CAPTURE
    HKLM\SOFTWARE\Classes\Shell.HWEventHandlerShellExecute\CLSID\(Default) = {FFB8655F-81B9-4fce-B89C-9A6BA76D13E7}
    -> {HKLM...CLSID} = ShellExecute HW Event Handler
    \LocalServer32\(Default) = rundll32.exe shell32.dll,SHCreateLocalServerRunDll {FFB8655F-81B9-4fce-B89C-9A6BA76D13E7} [MS]

    iTunesBurnCDOnArrival\
    Provider = iTunes
    InvokeProgID = iTunes.BurnCD
    InvokeVerb = burn
    HKLM\SOFTWARE\Classes\iTunes.BurnCD\shell\burn\command\(Default) = D:\Programme\iTunes\iTunes.exe /AutoPlayBurn %L [Apple Computer, Inc.]

    iTunesImportSongsOnArrival\
    Provider = iTunes
    InvokeProgID = iTunes.ImportSongsOnCD
    InvokeVerb = import
    HKLM\SOFTWARE\Classes\iTunes.ImportSongsOnCD\shell\import\command\(Default) = D:\Programme\iTunes\iTunes.exe /AutoPlayImportSongs %L [Apple Computer, Inc.]

    iTunesPlaySongsOnArrival\
    Provider = iTunes
    InvokeProgID = iTunes.PlaySongsOnCD
    InvokeVerb = play
    HKLM\SOFTWARE\Classes\iTunes.PlaySongsOnCD\shell\play\command\(Default) = D:\Programme\iTunes\iTunes.exe /playCD %L [Apple Computer, Inc.]

    iTunesShowSongsOnArrival\
    Provider = iTunes
    InvokeProgID = iTunes.ShowSongsOnCD
    InvokeVerb = showsongs
    HKLM\SOFTWARE\Classes\iTunes.ShowSongsOnCD\shell\showsongs\command\(Default) = D:\Programme\iTunes\iTunes.exe /AutoPlayShowSongs %L [Apple Computer, Inc.]

    JABurnCDAudioOnArrival\
    Provider = jetAudio
    InvokeProgID = jetAudio.MediaHandler
    InvokeVerb = burncd
    HKLM\SOFTWARE\Classes\jetAudio.MediaHandler\shell\burncd\command\(Default) = D:\Programme\JetAudio\jetAudio.exe /burncd %1 [JetAudio, Inc.]

    JACreateAlbumOnArrival\
    Provider = jetAudio
    InvokeProgID = jetAudio.MediaHandler
    InvokeVerb = createalbum
    HKLM\SOFTWARE\Classes\jetAudio.MediaHandler\shell\createalbum\command\(Default) = D:\Programme\JetAudio\jetAudio.exe /createalbum %1 [JetAudio, Inc.]

    JAPlayCDAudioOnArrival\
    Provider = jetAudio
    InvokeProgID = jetAudio.MediaHandler
    InvokeVerb = playcd
    HKLM\SOFTWARE\Classes\jetAudio.MediaHandler\shell\playcd\command\(Default) = D:\Programme\JetAudio\jetAudio.exe /playcd %1 [JetAudio, Inc.]

    JAPlayDVDMovieOnArrival\
    Provider = jetAudio
    InvokeProgID = jetAudio.MediaHandler
    InvokeVerb = playdvd
    HKLM\SOFTWARE\Classes\jetAudio.MediaHandler\shell\playdvd\command\(Default) = D:\Programme\JetAudio\jetAudio.exe /playdvd %1 [JetAudio, Inc.]

    JAPlayMediaOnArrival\
    Provider = jetAudio
    InvokeProgID = jetAudio.MediaHandler
    InvokeVerb = playmedia
    HKLM\SOFTWARE\Classes\jetAudio.MediaHandler\shell\playmedia\DropTarget\CLSID = {8D1636FD-CA49-4B4E-90E4-0A20E03A15E8}
    -> {HKLM...CLSID} = JetFlExt
    \InProcServer32\(Default) = D:\Programme\JetAudio\JetFlExt.dll [JetAudio, Inc.][br][br]Erstellt am: 11.10.08 um 16:46:40[hr][br]JARipCDAudioOnArrival\
    Provider = jetAudio
    InvokeProgID = jetAudio.MediaHandler
    InvokeVerb = ripcd
    HKLM\SOFTWARE\Classes\jetAudio.MediaHandler\shell\ripcd\command\(Default) = D:\Programme\JetAudio\jetAudio.exe /ripcd %1 [JetAudio, Inc.]

    MSVideoCameraArrival\
    Provider = @D:\Programme\Movie Maker\1031\wmm2res.dll,-100
    ProgID = Shell.HWEventHandlerShellExecute
    InitCmdLine = D:\Programme\Movie Maker\moviemk.exe /RECORD
    HKLM\SOFTWARE\Classes\Shell.HWEventHandlerShellExecute\CLSID\(Default) = {FFB8655F-81B9-4fce-B89C-9A6BA76D13E7}
    -> {HKLM...CLSID} = ShellExecute HW Event Handler
    \LocalServer32\(Default) = rundll32.exe shell32.dll,SHCreateLocalServerRunDll {FFB8655F-81B9-4fce-B89C-9A6BA76D13E7} [MS]

    MXCDRBurningCDArrival\
    Provider = MAGIX Goya
    InvokeProgID = Magix.MXCDR
    InvokeVerb = Show
    HKLM\SOFTWARE\Classes\Magix.MXCDR\shell\Show\DropTarget\CLSID = {FF482932-87EF-409E-9C02-48E9FF861CBF}
    -> {HKLM...CLSID} = MXCDR AutoplayClass
    \LocalServer32\(Default) = D:\Programme\MAGIX\Goya_burnR_mxcdr\Goya.exe [MAGIX AG]

    MXFotomakerBrowseOnArrival\
    Provider = MAGIX Digital Foto Maker 2008
    InvokeProgID = Magix.Fotomaker
    InvokeVerb = Brws
    HKLM\SOFTWARE\Classes\Magix.Fotomaker\shell\Brws\DropTarget\CLSID = {51BD566E-A02D-4387-9A82-D929EA8C20B0}
    -> {HKLM...CLSID} = MXFotomaker Autoplay Class
    \LocalServer32\(Default) = D:\Programme\MAGIX\Foto_Manager_2008\FotoMaker.exe [MAGIX]

    MXFotomakerBurningCDArrival\
    Provider = MAGIX Digital Foto Maker 2008
    InvokeProgID = Magix.Fotomaker
    InvokeVerb = Burn
    HKLM\SOFTWARE\Classes\Magix.Fotomaker\shell\Burn\DropTarget\CLSID = {51BD566E-A02D-4387-9A82-D929EA8C20B0}
    -> {HKLM...CLSID} = MXFotomaker Autoplay Class
    \LocalServer32\(Default) = D:\Programme\MAGIX\Foto_Manager_2008\FotoMaker.exe [MAGIX]

    MXFotomakerPlayAudioOnArrival\
    Provider = MAGIX Digital Foto Maker 2008
    InvokeProgID = Magix.Fotomaker
    InvokeVerb = PlayA
    HKLM\SOFTWARE\Classes\Magix.Fotomaker\shell\PlayA\DropTarget\CLSID = {51BD566E-A02D-4387-9A82-D929EA8C20B0}
    -> {HKLM...CLSID} = MXFotomaker Autoplay Class
    \LocalServer32\(Default) = D:\Programme\MAGIX\Foto_Manager_2008\FotoMaker.exe [MAGIX]

    MXFotomakerPlayCDOnArrival\
    Provider = MAGIX Digital Foto Maker 2008
    InvokeProgID = Magix.Fotomaker
    InvokeVerb = PlayCD
    HKLM\SOFTWARE\Classes\Magix.Fotomaker\shell\PlayCD\DropTarget\CLSID = {51BD566E-A02D-4387-9A82-D929EA8C20B0}
    -> {HKLM...CLSID} = MXFotomaker Autoplay Class
    \LocalServer32\(Default) = D:\Programme\MAGIX\Foto_Manager_2008\FotoMaker.exe [MAGIX]

    MXFotomakerShowPicturesOnArrival\
    Provider = MAGIX Digital Foto Maker 2008
    InvokeProgID = Magix.Fotomaker
    InvokeVerb = ShwPic
    HKLM\SOFTWARE\Classes\Magix.Fotomaker\shell\ShwPic\DropTarget\CLSID = {51BD566E-A02D-4387-9A82-D929EA8C20B0}
    -> {HKLM...CLSID} = MXFotomaker Autoplay Class
    \LocalServer32\(Default) = D:\Programme\MAGIX\Foto_Manager_2008\FotoMaker.exe [MAGIX]

    MXSuiteBurningCDArrival\
    Provider = MAGIX Goya burnR
    InvokeProgID = Magix.MXSuite
    InvokeVerb = Show
    HKLM\SOFTWARE\Classes\Magix.MXSuite\shell\Show\DropTarget\CLSID = {F9AD4E4F-B992-4B84-AC51-9F990D5F4738}
    -> {HKLM...CLSID} = MAGIXSuite Autoplay Class
    \LocalServer32\(Default) = D:\Programme\MAGIX\Goya_burnR\Goya.exe [MAGIX AG]

    MxVideoDeLuxeVideoCameraArrival\
    Provider = MAGIX Video deluxe 2008 PLUS
    ProgID = Magix.videodeLuxe
    HKLM\SOFTWARE\Classes\Magix.videodeLuxe\CLSID\(Default) = {1810360D-0FC7-474B-ABC1-84E96BF51D2F}
    -> {HKLM...CLSID} = videodeLuxe AutoplayClass
    \LocalServer32\(Default) = D:\Programme\MAGIX\Video_deluxe_2008_PLUS\Videodeluxe.exe [MAGIX AG]

    NeroAutoPlay2AudioToNeroDigital\
    Provider = Nero Burning ROM
    InvokeProgID = Nero.AutoPlay2
    InvokeVerb = PlayCDAudioOnArrival_AudioToNeroDigital
    HKLM\SOFTWARE\Classes\Nero.AutoPlay2\shell\PlayCDAudioOnArrival_AudioToNeroDigital\command\(Default) = D:\Programme\Ahead\nero\nero.exe /Dialog:SaveTracks /Drive:%L [Ahead Software AG]

    NeroAutoPlay2CDAudio\
    Provider = Nero Burning ROM
    InvokeProgID = Nero.AutoPlay2
    InvokeVerb = HandleCDBurningOnArrival_CDAudio
    HKLM\SOFTWARE\Classes\Nero.AutoPlay2\shell\HandleCDBurningOnArrival_CDAudio\command\(Default) = D:\Programme\Ahead\nero\nero.exe /New:AudioCD /Drive:%L [Ahead Software AG]

    NeroAutoPlay2CopyCD\
    Provider = Nero Burning ROM
    InvokeProgID = Nero.AutoPlay2
    InvokeVerb = PlayCDAudioOnArrival_CopyCD
    HKLM\SOFTWARE\Classes\Nero.AutoPlay2\shell\PlayCDAudioOnArrival_CopyCD\command\(Default) = D:\Programme\Ahead\nero\nero.exe /Dialog:DiscCopy /Drive:%L [Ahead Software AG]

    NeroAutoPlay2DataDisc\
    Provider = Nero Burning ROM
    InvokeProgID = Nero.AutoPlay2
    InvokeVerb = HandleCDBurningOnArrival_DataDisc
    HKLM\SOFTWARE\Classes\Nero.AutoPlay2\shell\HandleCDBurningOnArrival_DataDisc\command\(Default) = D:\Programme\Ahead\nero\nero.exe /New:ISODisc /Drive:%L [Ahead Software AG]

    NeroAutoPlay2LaunchNeroStartSmart\
    Provider = Nero StartSmart
    InvokeProgID = Nero.AutoPlay2
    InvokeVerb = HandleCDBurningOnArrival_LaunchNeroStartSmart
    HKLM\SOFTWARE\Classes\Nero.AutoPlay2\shell\HandleCDBurningOnArrival_LaunchNeroStartSmart\command\(Default) = D:\Programme\Ahead\Nero StartSmart\NeroStartSmart.exe /AutoPlay /Drive:%L [Ahead Software AG]

    NeroAutoPlay2RipCD\
    Provider = Nero Burning ROM
    InvokeProgID = Nero.AutoPlay2
    InvokeVerb = PlayCDAudioOnArrival_RipCD
    HKLM\SOFTWARE\Classes\Nero.AutoPlay2\shell\PlayCDAudioOnArrival_RipCD\command\(Default) = D:\Programme\Ahead\nero\nero.exe /Dialog:SaveTracks /Drive:%L [Ahead Software AG]

    RPCDBurningOnArrival\
    Provider = RealPlayer
    InvokeProgID = RealPlayer.CDBurn.6
    InvokeVerb = open
    HKLM\SOFTWARE\Classes\RealPlayer.CDBurn.6\shell\open\command\(Default) = D:\Programme\Real\RealPlayer\RealPlay.exe /burn %1 [RealNetworks, Inc.]

    RPDeviceOnArrival\
    Provider = RealPlayer
    ProgID = RealPlayer.HWEventHandler
    HKLM\SOFTWARE\Classes\RealPlayer.HWEventHandler\CLSID\(Default) = {67E76F1D-BDE2-4052-913C-2752366192D2}
    -> {HKLM...CLSID} = RealNetworks Scheduler
    \LocalServer32\(Default) = C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -autoplay [RealNetworks, Inc.]

    RPPlayCDAudioOnArrival\
    Provider = RealPlayer
    InvokeProgID = RealPlayer.AudioCD.6
    InvokeVerb = play
    HKLM\SOFTWARE\Classes\RealPlayer.AudioCD.6\shell\play\command\(Default) = D:\Programme\Real\RealPlayer\RealPlay.exe /play %1 [RealNetworks, Inc.]

    RPPlayDVDMovieOnArrival\
    Provider = RealPlayer
    InvokeProgID = RealPlayer.DVD.6
    InvokeVerb = play
    HKLM\SOFTWARE\Classes\RealPlayer.DVD.6\shell\play\command\(Default) = D:\Programme\Real\RealPlayer\RealPlay.exe /dvd %1 [RealNetworks, Inc.]

    RPPlayMediaOnArrival\
    Provider = RealPlayer
    InvokeProgID = RealPlayer.AutoPlay.6
    InvokeVerb = open
    HKLM\SOFTWARE\Classes\RealPlayer.AutoPlay.6\shell\open\command\(Default) = D:\Programme\Real\RealPlayer\RealPlay.exe /autoplay %1 [RealNetworks, Inc.]


    Startup items in PAD & All Users startup folders:
    -----------------------------------------------------

    C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
    Adobe Gamma Loader.exe -> shortcut to: C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [Adobe Systems, Inc.]
    Adobe Reader - Schnellstart -> shortcut to: D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [Adobe Systems Incorporated]


    Enabled Scheduled Tasks:
    ------------------------

    1-Click Maintenance -> launches: D:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe /schedulestart [TuneUp Software GmbH]
    1-Klick-Wartung -> launches: D:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe /schedulestart [TuneUp Software GmbH]
    AppleSoftwareUpdate -> launches: D:\Programme\Apple Software Update\SoftwareUpdate.exe -task [Apple Inc.]


    Winsock2 Service Provider DLLs:
    -------------------------------

    Namespace Service Providers

    HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
    000000000001\LibraryPath = %SystemRoot%\System32\mswsock.dll [MS]
    000000000002\LibraryPath = %SystemRoot%\System32\winrnr.dll [MS]
    000000000003\LibraryPath = %SystemRoot%\System32\mswsock.dll [MS]

    Transport Service Providers

    HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
    0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
    %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 19
    %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


    Toolbars, Explorer Bars, Extensions:
    ------------------------------------

    Explorer Bars

    HKLM\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\

    HKLM\SOFTWARE\Classes\CLSID\{03C1C47F-0538-4645-8372-D3109B9FC636}\(Default) = Easy-WebPrint
    Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar]
    InProcServer32\(Default) = D:\Programme\Canon\Easy-WebPrint\Toolband.dll [null data]

    Extensions (Tools menu items, main toolbar menu buttons)

    HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\
    {08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
    MenuText = Sun Java Konsole
    CLSIDExtension = {CAFEEFAC-0015-0000-0001-ABCDEFFEDCBC}
    -> {HKLM...CLSID} = Java Plug-in 1.5.0_01
    \InProcServer32\(Default) = D:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll [Sun Microsystems, Inc.]

    {2E071ADC-ADF8-4B4B-8ACB-EDC49E6D45A2}\
    ButtonText = Acronis Pop-up Blocker
    MenuText = Acronis Pop-up Blocker
    CLSIDExtension = {2E071ADC-ADF8-4b4b-8ACB-EDC49E6D45A2}

    {36ECAF82-3300-8F84-092E-AFF36D6C7040}\
    ButtonText = Run WinHTTrack
    MenuText = Launch WinHTTrack
    CLSIDExtension = {86529161-034E-4F8A-88D2-3C625E612E04}
    -> {HKLM...CLSID} = WinHTTrackLauncher Class
    \InProcServer32\(Default) = D:\Programme\WinHTTrack\WinHTTrackIEBar.dll [null data]

    {8B2D996F-B7D1-4961-A929-414D9CF5BA7B}\
    ButtonText = Knowledge Base Suche
    MenuText = Knowledge Base Suche
    Exec = http://support.microsoft.com/default.aspx?scid=FH;EN-US;KBHOWTO [file not found]


    Miscellaneous IE Hijack Points
    ------------------------------

    HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs\
    <<H>> TuneUp = file://C|/Dokumente und Einstellungen/All Users/Anwendungsdaten/TuneUp Software/Common/base.css [file not found]


    Running Services (Display Name, Service Name, Path {Service DLL}):
    ------------------------------------------------------------------

    AntiVir Service, AntiVirService, D:\PROGRAMME\AVPERSONAL\AVGUARD.EXE [H+BEDV Datentechnik GmbH]
    AntiVir Update, AVWUpSrv, D:\Programme\AVPersonal\AVWUPSRV.EXE [H+BEDV Datentechnik GmbH, Germany]
    Contrl Center of Storm Media, ccosm, D:\Programme\StormII\stormliv.exe /asservice [************ (unwritable string)]
    Lavasoft Ad-Aware Service, aawservice, D:\Programme\Lavasoft\Ad-Aware\aawservice.exe [Lavasoft]
    Messenger USN Journal Reader-Service für freigegebene Ordner, usnjsvc, D:\Programme\Windows Live\Messenger\usnsvc.exe [MS]
    NVIDIA Display Driver Service, NVSvc, C:\WINDOWS\system32\nvsvc32.exe [NVIDIA Corporation]
    TuneUp Designerweiterung, UxTuneUp, C:\WINDOWS\System32\svchost.exe -k netsvcs {C:\WINDOWS\System32\uxtuneup.dll [TuneUp Software GmbH]}


    Keyboard Driver Filters:
    ------------------------

    HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E96B-E325-11CE-BFC1-08002BE10318}\
    UpperFilters = <<!>> KID_SYS [Kensington Technology Group]


    Print Monitors:
    ---------------

    HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors\
    Canon BJ Language Monitor iP4200\Driver = CNMLM78.DLL [CANON INC.]


    ---------- (launch time: 2008-10-11 16:41:36)
    <<!>>: Suspicious data at a malware launch point.
    <<H>>: Suspicious data at a browser hijack point.

    + This report excludes default entries except where indicated.
    + To see *everywhere* the script checks and *everything* it finds,
    launch it from a command prompt or a shortcut with the -all parameter.
    + To search all directories of local fixed drives for DESKTOP.INI
    DLL launch points, use the -supp parameter or answer No at the
    first message box and Yes at the second message box.
    ---------- (total run time: 43 seconds, including 3 seconds for message boxes)
     
  2. SP3 gibt es mittlerweile ...
    http://www.wintotal.de/Software/?id=4549

    Kannst du diese Programme zuordnen?
    StormII (stormliv.exe)
    gcyqkkis.dll [sub]sehr verdächtig[/sub]
    ngucpu.dll [sub]sehr verdächtig[/sub]

    Den Rest überlasse ich @schrauber, er kennt sich da besser aus.

    pan_fee
     
  3. stormliv is eher nicht, da das schon ewig drauf ist und die anderen probleme alle neu dazu gekommen sind.

    lasse jetzt combofix drüberlaufen...
     
  4. auf den ersten blick geht jetzt alles wieder! :1

    ComboFix 08-10-11.01 - PAD 2008-10-12 13:29:22.1 - NTFSx86
    Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.561 [GMT 2:00]
    Benutzte Befehlsschalter :: D:\Desktop\WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
    .

    (((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\WINDOWS\system32\beadxspp.dll
    C:\WINDOWS\system32\bfllnttc.dll
    C:\WINDOWS\system32\blphcrndj0ee1e.scr
    C:\WINDOWS\system32\Cache
    C:\WINDOWS\system32\cbXOIxYs.dll
    C:\WINDOWS\system32\cttnllfb.ini
    C:\WINDOWS\system32\cyqclr.dll
    C:\WINDOWS\system32\cyqophrk.ini
    C:\WINDOWS\system32\dao350.dll
    C:\WINDOWS\system32\dtaagl.dll
    C:\WINDOWS\system32\eahulp.dll
    C:\WINDOWS\system32\fausofeq.dll
    C:\WINDOWS\system32\fpihhpio.dll
    C:\WINDOWS\system32\gcyqkkis.dll
    C:\WINDOWS\system32\gdlvixhs.ini
    C:\WINDOWS\system32\geBuSIYO.dll
    C:\WINDOWS\system32\haeuvbjk.dll
    C:\WINDOWS\system32\hgGvsqpO.dll
    C:\WINDOWS\system32\iifcBtSI.dll
    C:\WINDOWS\system32\jvegcbpt.ini
    C:\WINDOWS\system32\klxafj.dll
    C:\WINDOWS\system32\krhpoqyc.dll
    C:\WINDOWS\system32\ljJAQheD.dll
    C:\WINDOWS\system32\lknkvh.dll
    C:\WINDOWS\system32\lnmtkgiq.dll
    C:\WINDOWS\system32\lphcrndj0ee1e.exe
    C:\WINDOWS\system32\ngucpu.dll
    C:\WINDOWS\system32\nXEOVvut.ini
    C:\WINDOWS\system32\nXEOVvut.ini2
    C:\WINDOWS\system32\nxucfrab.dll
    C:\WINDOWS\system32\oxfskvip.ini
    C:\WINDOWS\system32\packet.dll
    C:\WINDOWS\system32\phcrndj0ee1e.bmp
    C:\WINDOWS\system32\pivksfxo.dll
    C:\WINDOWS\system32\qefosuaf.ini
    C:\WINDOWS\system32\qhbvvz.dll
    C:\WINDOWS\system32\qjyccacs.dll
    C:\WINDOWS\system32\rpecdeem.dll
    C:\WINDOWS\system32\shxivldg.dll
    C:\WINDOWS\system32\sikkqycg.ini
    C:\WINDOWS\system32\smmbsdvt.dll
    C:\WINDOWS\system32\TDSSadw.dll
    C:\WINDOWS\system32\TDSSerrors.log
    C:\WINDOWS\system32\tdssinit.dll
    C:\WINDOWS\system32\tdssl.dll
    C:\WINDOWS\system32\TDSSlog.dll
    C:\WINDOWS\system32\tdssmain.dll
    C:\WINDOWS\system32\tdssserf.dll
    C:\WINDOWS\system32\tdssserf1.dll
    C:\WINDOWS\system32\TDSSservers.dat
    C:\WINDOWS\system32\tpbcgevj.dll
    C:\WINDOWS\system32\tuvVOEXn.dll
    C:\WINDOWS\system32\uxtkgtxx.dll
    C:\WINDOWS\system32\wbujlpua.dll
    C:\WINDOWS\system32\yljdkj.dll
    C:\WINDOWS\system32\yvxvtsxt.dll
    D:\Programme\XP Antivirus

    .
    ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
    .

    -------\Legacy_MAINSERVICE


    ((((((((((((((((((((((( Dateien erstellt von 2008-09-12 bis 2008-10-12 ))))))))))))))))))))))))))))))
    .

    2008-10-11 01:55 . 2008-10-11 01:55 120 ---hs---- C:\WINDOWS\system32\scaccyjq.ini
    2008-10-11 01:29 . 2008-10-11 01:29 <DIR> d-------- D:\Programme\Trend Micro
    2008-10-10 22:21 . 2008-10-10 22:21 <DIR> d-------- D:\Programme\Lavasoft
    2008-10-10 22:21 . 2008-10-10 22:22 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
    2008-10-09 19:01 . 2008-10-09 19:01 120 ---hs---- C:\WINDOWS\system32\xxtgktxu.ini
    2008-10-08 01:38 . 2008-10-08 01:38 <DIR> d-------- D:\Programme\Enigma Software Group
    2008-10-08 01:24 . 2008-10-08 01:24 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avg8
    2008-10-08 01:20 . 2008-10-08 01:20 <DIR> d-------- D:\Programme\AVG
    2008-10-06 17:18 . 2008-02-07 17:10 <DIR> d--h----- C:\ckis
    2008-10-06 17:15 . 2008-10-07 23:38 <DIR> d-------- D:\Programme\Kaspersky Lab
    2008-10-06 17:11 . 2008-10-06 17:11 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files
    2008-10-03 20:44 . 2008-10-03 20:44 <DIR> d-------- C:\Dokumente und Einstellungen\PAD\Anwendungsdaten\Leadertech
    2008-10-02 17:12 . 2008-05-30 14:11 3,850,760 --a------ C:\WINDOWS\system32\D3DX9_38.dll
    2008-10-02 17:12 . 2008-03-05 15:56 3,786,760 --a------ C:\WINDOWS\system32\D3DX9_37.dll
    2008-10-02 17:12 . 2008-03-05 15:56 1,420,824 --a------ C:\WINDOWS\system32\D3DCompiler_37.dll
    2008-10-02 17:12 . 2008-03-05 16:03 479,752 --a------ C:\WINDOWS\system32\XAudio2_0.dll
    2008-10-02 17:12 . 2008-02-05 23:07 462,864 --a------ C:\WINDOWS\system32\d3dx10_37.dll
    2008-10-02 17:12 . 2008-03-05 16:03 238,088 --a------ C:\WINDOWS\system32\xactengine3_0.dll
    2008-10-02 17:12 . 2008-03-05 16:00 25,608 --a------ C:\WINDOWS\system32\X3DAudio1_3.dll
    2008-10-02 17:10 . 2008-10-02 17:10 <DIR> d-------- C:\WINDOWS\Logs
    2008-09-14 21:44 . 2008-09-14 21:44 <DIR> d-------- D:\Programme\PlayFirst
    2008-09-14 21:44 . 2008-09-14 21:44 <DIR> d-------- C:\Dokumente und Einstellungen\PAD\Anwendungsdaten\PlayFirst

    .
    (((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-10-10 20:21 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
    2008-10-07 23:29 --------- d-----w D:\Programme\ants
    2008-10-07 20:55 --------- d-----w C:\Dokumente und Einstellungen\PAD\Anwendungsdaten\Azureus
    2008-10-06 18:31 24,040 ----a-w C:\WINDOWS\TMPG001.TMP
    2008-10-06 15:22 --------- d-----w D:\Programme\ESET
    2008-10-05 15:41 --------- d-----w D:\Programme\Tweak-XP Pro 4
    2008-10-03 18:19 --------- d-----w D:\Programme\EA Sports
    2008-10-03 07:52 --------- d-----w D:\Programme\Messenger Plus! Live
    2008-09-30 18:56 --------- d-----w C:\Dokumente und Einstellungen\PAD\Anwendungsdaten\OpenOffice.org2
    2008-09-29 23:36 --------- d-----w D:\Programme\Winamp
    2008-09-24 17:57 --------- d-----w C:\Dokumente und Einstellungen\Philip\Anwendungsdaten\OpenOffice.org2
    2004-09-28 01:00 26,240 ----a-w C:\WINDOWS\inf\RAMDSK.SYS
    .

    (((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
    FlashPlayerUpdate=D:\Programme\Mozilla Firefox\plugins\NPSWF32_FlashUtil.exe [2006-11-09 190072]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    WinampAgent=D:\Programme\Winamp\winampa.exe [2004-12-20 33792]
    NeroFilterCheck=C:\WINDOWS\system32\NeroCheck.exe [2001-07-09 155648]
    NvMediaCenter=C:\WINDOWS\system32\NvMcTray.dll [2004-11-11 81920]
    AVGCtrl=D:\Programme\AVPersonal\AVGNT.EXE [2005-11-04 180327]
    Easy-PrintToolBox=D:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE [2004-01-14 409600]
    MSConfig=C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe [2004-11-11 160768]
    DCPPaid=C:\WINDOWS\system32\DCPPaid.exe [2008-10-12 434176]
    SoundMan=SOUNDMAN.EXE [2004-11-11 C:\WINDOWS\SOUNDMAN.EXE]
    nwiz=nwiz.exe [2004-11-11 C:\WINDOWS\system32\nwiz.exe]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    CTFMON.EXE=C:\WINDOWS\system32\CTFMON.EXE [2004-11-11 15360]

    C:\Dokumente und Einstellungen\Philip\Startmen\Programme\Autostart\
    OpenOffice.org 2.0.lnk - D:\Programme\OpenOffice.org 2.0\program\quickstart.exe [2005-09-23 61440]

    C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
    Adobe Gamma Loader.exe.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2005-05-15 110592]
    Adobe Reader - Schnellstart.lnk - D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
    DisableCurrentUserRun= 1 (0x1)
    DisableCurrentUserRunOnce= 1 (0x1)

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
    ForceClassicControlPanel= 1 (0x1)
    NoInstrumentation= 1 (0x1)

    [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
    ForceClassicControlPanel= 1 (0x1)

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
    AppInit_DLLs=cyqclr.dll

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
    vidc.iv41= IR41_32.DLL
    msacm.l3acm= L3codecp.acm
    vidc.div3= DivXc32.dll
    vidc.div4= DivXc32f.dll
    vidc.ap41= DivXc32f.dll
    vidc.dvx4= divx4.dll
    msacm.divxa32= DivXa32.acm
    vidc.xvid= xvid.dll
    vidc.DAVC= davcvfw.dll
    vidc.VSSH= vssh264.dll
    VIDC.WMV3= D:\PROGRA~1\COMBIN~1\Filters\wmv9vcm.dll
    vidc.xivd= D:\Programme\StormII\codec\xvidvfw.dll
    vidc.tscc= C:\WINDOWS\system32\tsccvid.dll
    vidc.VP70= C:\WINDOWS\system32\vp7vfw.dll
    vidc.aasc= aasc32.dll
    vidc.aas4= aasc32.dll
    vidc.UCDO= clrviddd.dll
    vidc.avrn= avidavicodec.dll
    vidc.advj= avidavicodec.dll
    vidc.asv1= asusasv1.dll
    vidc.asv2= asusasv2.dll
    vidc.asvx= asusasv2.dll
    vidc.vdom= vdowave.drv
    vidc.I263= i263_32.drv
    vidc.VCR2= ativcr2.dll
    vidc.lsvx= lsvxdec.dll

    [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^PAD^Startmenü^Programme^Autostart^Wecker für Windows 6.lnk]
    path=C:\Dokumente und Einstellungen\PAD\Startmenü\Programme\Autostart\Wecker für Windows 6.lnk
    backup=C:\WINDOWS\pss\Wecker für Windows 6.lnkStartup

    [HKEY_LOCAL_MACHINE\software\microsoft\security center]
    AntiVirusDisableNotify=dword:00000001
    UpdatesDisableNotify=dword:00000001
    AntiVirusOverride=dword:00000001

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    %windir%\\system32\\sessmgr.exe=
    D:\\SysReset\\mirc.exe=
    D:\\Programme\\Miranda IM\\miranda32.exe=
    D:\\Desktop\\eMule0-1.45a\\emule.exe=
    D:\\Programme\\Firefox\\firefox.exe=
    D:\\Programme\\MotoGP2\\motogp2.exe=
    D:\\Programme\\DC++\\DCPlusPlus.exe=
    D:\\mIRC\\mirc.exe=
    D:\\Programme\\Soulseek\\slsk.exe=
    D:\\Programme\\BPFTP Server\\bpftpserver.exe=
    D:\\Programme\\ants\\ants.exe=
    D:\\Programme\\A4Proxy\\A4Proxy.exe=
    D:\\Programme\\LimeWire\\LimeWire.exe=
    D:\\Programme\\Java\\jre1.5.0_01\\bin\\javaw.exe=
    D:\\Programme\\VoipBuster.com\\VoipBuster\\VoipBuster.exe=
    D:\\Programme\\LeechFTP\\Leechftp.exe=
    D:\\Programme\\Kiri\\Kiri.exe=
    D:\\Programme\\iTunes\\iTunes.exe=
    D:\\Programme\\Firefox\\plugins\\alhlp.exe=
    D:\\Programme\\MultiProxy\\MProxy.exe=
    D:\\Programme\\VideoLAN\\VLC\\vlc.exe=
    D:\\Programme\\GameSpy Arcade\\Aphex.exe=
    D:\\Programme\\Miranda\\miranda32.exe=
    D:\\Programme\\FlashFXP\\flashfxp.exe=
    D:\\Programme\\TVUPlayer\\TVUPlayer.exe=
    D:\\Programme\\PPLive\\PPLive.exe=
    D:\\Programme\\TVAnts\\Tvants.exe=
    D:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe=
    D:\\Programme\\Windows Live\\Messenger\\livecall.exe=
    D:\\Programme\\Azureus\\Azureus.exe=
    D:\\Programme\\Veoh Networks\\Veoh\\VeohClient.exe=[br][br]Erstellt am: 12.10.08 um 13:50:29[hr][br]R0 Copystar;Copystar;C:\WINDOWS\system32\DRIVERS\copystar.sys [2002-06-01 82400]
    R0 dcpp2k;dcpp2k;C:\WINDOWS\system32\drivers\dcpp2k.sys [2003-08-27 505370]
    R1 kid_sys;Kensington Input Devices Class filter driver;C:\WINDOWS\system32\drivers\KID_SYS.sys [2001-09-26 11920]
    R1 papycpu;papycpu;C:\WINDOWS\system32\drivers\papycpu.sys [1998-10-06 1984]
    R2 acedrv10;acedrv10;C:\WINDOWS\system32\drivers\acedrv10.sys [2007-07-27 330144]
    R2 acehlp10;acehlp10;C:\WINDOWS\system32\drivers\acehlp10.sys [2007-07-27 251680]
    R2 ccosm;Contrl Center of Storm Media;D:\Programme\StormII\stormliv.exe [2008-05-28 475136]
    R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-11-11 14336]
    R3 avgntdw;avgntdw;D:\PROGRAMME\AVPERSONAL\AVGNTDW.SYS [2005-06-07 32896]
    R3 Cap7134;MEDION (7134) WDM Video Capture;C:\WINDOWS\system32\DRIVERS\Cap7134.sys [2002-07-29 424704]
    R3 PhTVTune;MEDION TV-TUNER 7134 MK2/3;C:\WINDOWS\system32\DRIVERS\PhTVTune.sys [2002-07-29 24288]
    R3 SISNICXP;SiS PCI Fast Ethernet Adapter Driver for NDIS51;C:\WINDOWS\system32\DRIVERS\sisnicxp.sys [2004-11-11 32768]
    S2 AVWUpSrv;AntiVir Update;D:\Programme\AVPersonal\AVWUPSRV.EXE [2005-11-04 45096]
    S3 ASPI;Advanced SCSI Programming Interface Driver;C:\WINDOWS\System32\DRIVERS\ASPI32.sys [2002-07-17 16512]
    S3 bfastfao;bfastfao;C:\DOKUME~1\Philip\LOKALE~1\Temp\bfastfao.sys [ ]
    S3 DLPORTIO;DLPORTIO;D:\Programme\Visoly\XtremeLink\DLPORTIO.SYS [1999-01-10 3584]
    S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;D:\Programme\MAGIX\Common\Database\bin\fbserver.exe [2005-11-17 1527900]
    S3 ntxpusb;Gravis USB device driver;C:\WINDOWS\system32\drivers\ntxpusb.sys [2002-02-26 266432]
    S3 tap0801;TAP-Win32 Adapter V8;C:\WINDOWS\system32\DRIVERS\tap0801.sys [2006-06-16 23552]
    S3 v800bus;Sony Ericsson V800-Vodafone 802SE driver (WDM);C:\WINDOWS\system32\DRIVERS\v800bus.sys [2004-08-09 52416]
    S3 v800mdfl;Sony Ericsson V800-Vodafone 802SE USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\v800mdfl.sys [2004-08-09 6160]
    S3 v800mdm;Sony Ericsson V800-Vodafone 802SE USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\v800mdm.sys [2004-08-09 84544]
    S3 v800mgmt;Sony Ericsson V800-Vodafone 802SE USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\v800mgmt.sys [2004-08-09 77760]
    S3 v800obex;Sony Ericsson V800-Vodafone 802SE USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\v800obex.sys [2004-08-09 75584]
    S3 VAGINIT;VAGINIT;C:\WINDOWS\system32\Drivers\vaginit.sys [2000-09-13 168888]
    S3 VAGWRITER;VAGWRITER;C:\WINDOWS\system32\drivers\vagio.sys [2001-01-28 170508]

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
    UxTuneUp

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0bf208e3-dbde-11dc-89e7-0010dc7af434}]
    \Shell\AutoRun\command - wscript.exe .\.vbs
    \Shell\open\command - wscript.exe .\.vbs

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{30fb2e36-529d-11dd-8afc-0010dc7af434}]
    \Shell\AutoRun\command - wscript.exe .\.vbs
    \Shell\open\command - wscript.exe .\.vbs

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d89f0df2-2a7e-11dd-8a9f-0010dc7af434}]
    \Shell\AutoRun\command - wscript.exe .\.vbs
    \Shell\open\command - wscript.exe .\.vbs

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e566be34-e6d8-11dc-8a00-0010dc7af434}]
    \Shell\AutoRun\command - wscript.exe .\`.vbs
    \Shell\open\command - wscript.exe .\`.vbs

    *Newly Created Service* - HELPSVC
    .
    Inhalt des geplante Tasks Ordners

    2008-10-10 C:\WINDOWS\Tasks\1-Click Maintenance.job
    - D:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe [2006-11-23 17:46]

    2008-10-10 C:\WINDOWS\Tasks\1-Klick-Wartung.job
    - D:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe [2006-11-23 17:46]

    2008-10-07 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
    - D:\Programme\Apple Software Update\SoftwareUpdate.exe [2008-04-11 17:57]
    .
    - - - - Entfernte verwaiste Registrierungseinträge - - - -

    BHO-{01D940DF-0E52-4A04-AB2A-5A1D17B79922} - C:\WINDOWS\system32\yvxvtsxt.dll
    BHO-{07FAA62B-2F85-4009-ADA2-F2B5D7E74C74} - C:\WINDOWS\system32\ljJAQheD.dll
    BHO-{b793054e-af49-47cd-860a-b3cca1e76e15} - C:\WINDOWS\system32\cyqclr.dll
    BHO-{DFD3EDD8-BCC3-42C5-8897-A2BFCFA7D1AD} - C:\WINDOWS\system32\tuvVOEXn.dll
    ShellExecuteHooks-{07FAA62B-2F85-4009-ADA2-F2B5D7E74C74} - C:\WINDOWS\system32\ljJAQheD.dll
    MSConfigStartUp-Java Update - C:\DOKUME~1\PAD\LOKALE~1\Temp\firefox.exe


    .
    ------- Zusätzlicher Suchlauf -------
    .
    FireFox -: Profile - C:\Dokumente und Einstellungen\PAD\Anwendungsdaten\Mozilla\Firefox\Profiles\l2dc5fa3.default\
    FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
    FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.google.de
    FF -: plugin - D:\Programme\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll
    FF -: plugin - D:\Programme\Anti-Leech\ALNN\npalnn.dll
    FF -: plugin - D:\Programme\Java\jre1.5.0_01\bin\NPJava11.dll
    FF -: plugin - D:\Programme\Java\jre1.5.0_01\bin\NPJava12.dll
    FF -: plugin - D:\Programme\Java\jre1.5.0_01\bin\NPJava13.dll
    FF -: plugin - D:\Programme\Java\jre1.5.0_01\bin\NPJava14.dll
    FF -: plugin - D:\Programme\Java\jre1.5.0_01\bin\NPJava32.dll
    FF -: plugin - D:\Programme\Java\jre1.5.0_01\bin\NPJPI150_01.dll
    FF -: plugin - D:\Programme\Java\jre1.5.0_01\bin\NPOJI610.dll
    FF -: plugin - D:\Programme\Mozilla Firefox\plugins\NPZInst.dll
    FF -: plugin - D:\Programme\StormII\Codec\Plugins\nppl3260.dll
    FF -: plugin - D:\Programme\StormII\Codec\Plugins\npqtplugin.dll
    FF -: plugin - D:\Programme\StormII\Codec\Plugins\nprpjplug.dll
    FF -: plugin - D:\Programme\Veoh Networks\Veoh\Plugins\noreg\NPVeohVersion.dll
    .

    **************************************************************************

    catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-10-12 13:36:34
    Windows 5.1.2600 Service Pack 2 NTFS

    Scanne versteckte Prozesse...

    Scanne versteckte Autostarteinträge...

    Scanne versteckte Dateien...

    Scan erfolgreich abgeschlossen
    versteckte Dateien: 0

    **************************************************************************
    .
    ------------------------ Weitere laufende Prozesse ------------------------
    .
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\rundll32.exe
    .
    **************************************************************************
    .
    Zeit der Fertigstellung: 2008-10-12 13:42:39 - PC wurde neu gestartet
    ComboFix-quarantined-files.txt 2008-10-12 11:42:33

    Vor Suchlauf: 1,316,540,416 Bytes frei
    Nach Suchlauf: 1,258,827,776 Bytes frei

    WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
    [boot loader]
    timeout=2
    default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
    [operating systems]
    C:\CMDCONS\BOOTSECT.DAT=Microsoft Windows Recovery Console /cmdcons
    multi(0)disk(0)rdisk(0)partition(1)\WINDOWS=Microsoft Windows XP Professional /noexecute=optin /fastdetect

    315 --- E O F --- 2008-09-11 13:20:33
     
  5. Scripten mit Combofix


    • Öffne den Editor ( Start -> Zubehör -> Editor ) kopiere nun folgenden Text in das weiße Feld:
    Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

    • Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!
    [​IMG]


    Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann


    ===

    http://www.wintotal-forum.de/index.php/topic,147847.0.html

    von dieser seite die anleitungen für malwarebytes und und smitfraudfix abarbeiten, logs posten

    ===

    Ich möchte prüfen, ob bestimmte Dateien noch auf Deinem System sind, dazu bitte den Text aus der Codebox:

    Code:
    @echo off
    set log=%userprofile%\Desktop\files.txt
    if exist %log% del %log%
    
    for %%d in (c d e f g h i j k l m n o p q r s t u v w x y z) do (
      if exist %%d:\ (
        %%d:
        cd \
        dir *.vbs;autorun.inf /s
        dir *.vbs;autorun.inf /ah /s
        attrib
      )
    ) >> %log%
    start notepad %log%
    
    in den Editor (Start => ausführen => notepad (reinschreiben) => OK) kopieren und als findfile.bat mit->Speichern unter' auf dem Desktop speichern (bei Dateityp auf All types umstellen), Du solltest jetzt auf dem Desktop diese Datei finden => findfile.bat => die findfile.bat per Doppelklick starten. Nach kurzer Zeit sollte sich Dein Editor öffnen und die Datei files.txt präsentieren. Bitte kopiere den Inhalt hier in den Thread.

    Sollte es während der Ausführung des Skriptes zu einer Fehlermeldung Windows kein Datenträger kommen, kannst Du beruhigt auf Weiter klicken. Das liegt daran, dass ein Datenträger (z. B. ein Kartenlesegerät) leer ist.
     
  6. Scripten mit Combofix => hat geklappt, dateien wurden gelöscht.
    ----------

    Malwarebytes' Anti-Malware 1.28
    Datenbank Version: 1261
    Windows 5.1.2600 Service Pack 2

    12.10.2008 23:58:43
    mbam-log-2008-10-12 (23-58-40).txt

    Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|Q:\|S:\|)
    Durchsuchte Objekte: 205282
    Laufzeit: 3 hour(s), 6 minute(s), 7 second(s)

    Infizierte Speicherprozesse: 0
    Infizierte Speichermodule: 0
    Infizierte Registrierungsschlüssel: 0
    Infizierte Registrierungswerte: 0
    Infizierte Dateiobjekte der Registrierung: 0
    Infizierte Verzeichnisse: 0
    Infizierte Dateien: 32

    Infizierte Speicherprozesse:
    (Keine bösartigen Objekte gefunden)

    Infizierte Speichermodule:
    (Keine bösartigen Objekte gefunden)

    Infizierte Registrierungsschlüssel:
    (Keine bösartigen Objekte gefunden)

    Infizierte Registrierungswerte:
    (Keine bösartigen Objekte gefunden)

    Infizierte Dateiobjekte der Registrierung:
    (Keine bösartigen Objekte gefunden)

    Infizierte Verzeichnisse:
    (Keine bösartigen Objekte gefunden)

    Infizierte Dateien:
    C:\Qoobox\Quarantine\C\WINDOWS\system32\hgGvsqpO.dll.vir (Trojan.Vundo) -> No action taken.
    C:\Qoobox\Quarantine\C\WINDOWS\system32\beadxspp.dll.vir (Trojan.Vundo) -> No action taken.
    C:\Qoobox\Quarantine\C\WINDOWS\system32\bfllnttc.dll.vir (Trojan.Vundo) -> No action taken.
    C:\Qoobox\Quarantine\C\WINDOWS\system32\cbXOIxYs.dll.vir (Trojan.Vundo) -> No action taken.
    C:\Qoobox\Quarantine\C\WINDOWS\system32\cyqclr.dll.vir (Trojan.Vundo) -> No action taken.
    C:\Qoobox\Quarantine\C\WINDOWS\system32\dtaagl.dll.vir (Trojan.Vundo) -> No action taken.
    C:\Qoobox\Quarantine\C\WINDOWS\system32\eahulp.dll.vir (Trojan.Vundo) -> No action taken.
    C:\Qoobox\Quarantine\C\WINDOWS\system32\fausofeq.dll.vir (Trojan.Vundo) -> No action taken.
    C:\Qoobox\Quarantine\C\WINDOWS\system32\fpihhpio.dll.vir (Trojan.Vundo) -> No action taken.
    C:\Qoobox\Quarantine\C\WINDOWS\system32\gcyqkkis.dll.vir (Trojan.Vundo) -> No action taken.
    C:\Qoobox\Quarantine\C\WINDOWS\system32\geBuSIYO.dll.vir (Trojan.Vundo) -> No action taken.
    C:\Qoobox\Quarantine\C\WINDOWS\system32\haeuvbjk.dll.vir (Trojan.Vundo) -> No action taken.
    C:\Qoobox\Quarantine\C\WINDOWS\system32\iifcBtSI.dll.vir (Trojan.Vundo) -> No action taken.
    C:\Qoobox\Quarantine\C\WINDOWS\system32\klxafj.dll.vir (Trojan.Vundo) -> No action taken.
    C:\Qoobox\Quarantine\C\WINDOWS\system32\krhpoqyc.dll.vir (Trojan.Vundo) -> No action taken.
    C:\Qoobox\Quarantine\C\WINDOWS\system32\ljJAQheD.dll.vir (Trojan.Vundo) -> No action taken.
    C:\Qoobox\Quarantine\C\WINDOWS\system32\lknkvh.dll.vir (Trojan.Vundo) -> No action taken.
    C:\Qoobox\Quarantine\C\WINDOWS\system32\lnmtkgiq.dll.vir (Trojan.Vundo) -> No action taken.
    C:\Qoobox\Quarantine\C\WINDOWS\system32\ngucpu.dll.vir (Trojan.Vundo) -> No action taken.
    C:\Qoobox\Quarantine\C\WINDOWS\system32\nxucfrab.dll.vir (Trojan.Vundo) -> No action taken.
    C:\Qoobox\Quarantine\C\WINDOWS\system32\pivksfxo.dll.vir (Trojan.Vundo) -> No action taken.
    C:\Qoobox\Quarantine\C\WINDOWS\system32\qhbvvz.dll.vir (Trojan.Vundo) -> No action taken.
    C:\Qoobox\Quarantine\C\WINDOWS\system32\qjyccacs.dll.vir (Trojan.Vundo) -> No action taken.
    C:\Qoobox\Quarantine\C\WINDOWS\system32\rpecdeem.dll.vir (Trojan.Vundo) -> No action taken.
    C:\Qoobox\Quarantine\C\WINDOWS\system32\shxivldg.dll.vir (Trojan.Vundo) -> No action taken.
    C:\Qoobox\Quarantine\C\WINDOWS\system32\smmbsdvt.dll.vir (Trojan.Vundo) -> No action taken.
    C:\Qoobox\Quarantine\C\WINDOWS\system32\tpbcgevj.dll.vir (Trojan.Vundo) -> No action taken.
    C:\Qoobox\Quarantine\C\WINDOWS\system32\tuvVOEXn.dll.vir (Trojan.Vundo) -> No action taken.
    C:\Qoobox\Quarantine\C\WINDOWS\system32\wbujlpua.dll.vir (Trojan.Vundo) -> No action taken.
    C:\Qoobox\Quarantine\C\WINDOWS\system32\yljdkj.dll.vir (Trojan.Vundo) -> No action taken.
    C:\Qoobox\Quarantine\C\WINDOWS\system32\yvxvtsxt.dll.vir (Trojan.Vundo) -> No action taken.
    C:\WINDOWS\system32\cmdow.exe (Malware.Tool) -> No action taken.

    --------

    SmitFraudFix v2.359

    Scan done at 16:35:01,85, 13.10.2008
    Run from D:\Desktop\SmitfraudFix
    OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
    The filesystem type is NTFS
    Fix run in normal mode

    »»»»»»»»»»»»»»»»»»»»»»»» Process

    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    D:\Programme\Lavasoft\Ad-Aware\aawservice.exe
    C:\WINDOWS\system32\spoolsv.exe
    D:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
    D:\Programme\AVPersonal\AVWUPSRV.EXE
    D:\Programme\StormII\stormliv.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\SOUNDMAN.EXE
    D:\Programme\Winamp\winampa.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\RUNDLL32.EXE
    D:\Programme\AVPersonal\AVGNT.EXE
    D:\Programme\Windows Live\Messenger\msnmsgr.exe
    C:\WINDOWS\system32\wuauclt.exe
    D:\Programme\Windows Live\Messenger\usnsvc.exe
    D:\Programme\Azureus\Azureus.exe
    D:\Programme\Mozilla Firefox\firefox.exe
    D:\Programme\Winamp\Winamp.exe
    C:\WINDOWS\system32\cmd.exe

    »»»»»»»»»»»»»»»»»»»»»»»» hosts


    »»»»»»»»»»»»»»»»»»»»»»»» C:\


    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

    C:\WINDOWS\system32\AntiSpy.exe FOUND !

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


    »»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\PAD


    »»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\PAD\Application Data


    »»»»»»»»»»»»»»»»»»»»»»»» Start Menu


    »»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\PAD\FAVORI~1


    »»»»»»»»»»»»»»»»»»»»»»»» Desktop


    »»»»»»»»»»»»»»»»»»»»»»»» D:\Programme


    »»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


    »»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
    Source=About:Home
    SubscribedURL=About:Home
    FriendlyName=Die derzeitige Homepage


    »»»»»»»»»»»»»»»»»»»»»»»» o4Patch
    !!!Attention, following keys are not inevitably infected!!!

    o4Patch
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri



    »»»»»»»»»»»»»»»»»»»»»»»» IEDFix
    !!!Attention, following keys are not inevitably infected!!!

    IEDFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri



    »»»»»»»»»»»»»»»»»»»»»»»» VACFix
    !!!Attention, following keys are not inevitably infected!!!

    VACFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri


    »»»»»»»»»»»»»»»»»»»»»»»» 404Fix
    !!!Attention, following keys are not inevitably infected!!!

    404Fix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri


    »»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix
    !!!Attention, following keys are not inevitably infected!!!

    AntiXPVSTFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri



    »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
    !!!Attention, following keys are not inevitably infected!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll


    »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
    !!!Attention, following keys are not inevitably infected!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
    AppInit_DLLs=


    »»»»»»»»»»»»»»»»»»»»»»»» Winlogon
    !!!Attention, following keys are not inevitably infected!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    Userinit=C:\\WINDOWS\\system32\\userinit.exe,
    System=


    »»»»»»»»»»»»»»»»»»»»»»»» RK



    »»»»»»»»»»»»»»»»»»»»»»»» DNS

    Description: SiS 900-Based PCI Fast Ethernet Adapter - Paketplaner-Miniport
    DNS Server Search Order: 192.168.1.1

    HKLM\SYSTEM\CCS\Services\Tcpip\..\{E6C35485-AB31-43B9-B162-C97D37609264}: NameServer=192.168.1.1
    HKLM\SYSTEM\CS1\Services\Tcpip\..\{E6C35485-AB31-43B9-B162-C97D37609264}: NameServer=192.168.1.1
    HKLM\SYSTEM\CS2\Services\Tcpip\..\{E6C35485-AB31-43B9-B162-C97D37609264}: NameServer=192.168.1.1


    »»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


    »»»»»»»»»»»»»»»»»»»»»»»» End

    [br][br]Erstellt am: 13.10.08 um 16:46:46[hr][br]findfile.bat

    Datentr„ger in Laufwerk C: ist WINDOWS
    Volumeseriennummer: 5C07-DB6C

    Verzeichnis von C:\temp\photosmart

    30.01.2003 18:55 43 autorun.inf
    1 Datei(en) 43 Bytes

    Verzeichnis von C:\WINDOWS\SoftwareDistribution\Download\d7ca437757bb79190d8fe0f22734e38b

    12.12.2007 12:33 18.917 tscinst.vbs
    30.10.2007 12:06 13.801 tscuinst.vbs
    2 Datei(en) 32.718 Bytes

    Verzeichnis von C:\WINDOWS\SoftwareDistribution\Download\d7ca437757bb79190d8fe0f22734e38b\ip

    02.04.2007 15:10 85.813 adsutil.vbs
    1 Datei(en) 85.813 Bytes

    Verzeichnis von C:\WINDOWS\system32

    11.11.2004 14:00 98.604 eventquery.vbs
    11.11.2004 14:00 168.720 pagefileconfig.vbs
    11.11.2004 14:00 36.045 prncnfg.vbs
    11.11.2004 14:00 25.679 prndrvr.vbs
    11.11.2004 14:00 21.806 prnjobs.vbs
    11.11.2004 14:00 32.871 prnmngr.vbs
    11.11.2004 14:00 29.878 prnport.vbs
    11.11.2004 14:00 16.046 prnqctl.vbs
    11.11.2004 14:00 3.758 pubprn.vbs
    9 Datei(en) 433.407 Bytes

    Verzeichnis von C:\WINDOWS\system32\dllcache

    11.11.2004 14:00 98.604 evtquery.vbs
    11.11.2004 14:00 168.720 pagefile.vbs
    11.11.2004 14:00 36.045 prncnfg.vbs
    11.11.2004 14:00 25.679 prndrvr.vbs
    11.11.2004 14:00 21.806 prnjobs.vbs
    11.11.2004 14:00 32.871 prnmngr.vbs
    11.11.2004 14:00 29.878 prnport.vbs
    11.11.2004 14:00 16.046 prnqctl.vbs
    11.11.2004 14:00 3.758 pubprn.vbs
    9 Datei(en) 433.407 Bytes

    Anzahl der angezeigten Dateien:
    22 Datei(en) 985.388 Bytes
    0 Verzeichnis(se), 1.199.542.272 Bytes frei
    Datentr„ger in Laufwerk C: ist WINDOWS
    Volumeseriennummer: 5C07-DB6C
    A C:\.rnd
    A C:\AUTOEXEC.BAT
    A C:\avi_log.txt
    A C:\Boot.bak
    A SH C:\BOOT.BKK
    A SHR C:\boot.ini
    A SHR C:\bootfont.bin
    A C:\CDRipperAutoDetect.txt
    A C:\cmldr
    A C:\ComboFix.txt
    A C:\CONFIG.SYS
    A C:\dvdlog.txt
    A C:\hf.path
    A SH C:\hiberfil.sys
    A SHR C:\IO.SYS
    A C:\LOGFILE.TXT
    A SHR C:\MSDOS.SYS
    A C:\NPSWF32.dll
    A SHR C:\NTDETECT.COM
    A SHR C:\ntldr
    A SH C:\pagefile.sys
    A C:\rapport.txt
    A H C:\sqmdata00.sqm
    A H C:\sqmdata01.sqm
    A H C:\sqmnoopt00.sqm
    A H C:\sqmnoopt01.sqm
    A C:\Tech_Vista.log
    A C:\TRACE.LOG
    A C:\Verknpfung mit Stufftr„ger 0.1 (D).lnk
    Datentr„ger in Laufwerk D: ist Stufftr„ger 0.1
    Volumeseriennummer: E0B9-ABFC

    Verzeichnis von D:\Desktop

    11.10.2008 01:48 399.648 Silent Runners.vbs
    1 Datei(en) 399.648 Bytes

    Verzeichnis von D:\Programme\Bluetooth Remote Control\Profiles

    01.10.2006 22:48 8.077 File Browser.vbs
    31.08.2006 12:40 27.691 Itune.vbs
    05.03.2006 23:40 36.564 Power Point.vbs
    3 Datei(en) 72.332 Bytes

    Anzahl der angezeigten Dateien:
    4 Datei(en) 471.980 Bytes
    0 Verzeichnis(se), 1.738.891.264 Bytes frei
    Datentr„ger in Laufwerk D: ist Stufftr„ger 0.1
    Volumeseriennummer: E0B9-ABFC
    A D:\jap.conf
    A H D:\sqmnoopt00.sqm
    Datentr„ger in Laufwerk E: ist RECOVER
    Volumeseriennummer: 8CB0-39BD
    Datentr„ger in Laufwerk E: ist RECOVER
    Volumeseriennummer: 8CB0-39BD
    A SH E:\desktop.ini
    A E:\browser.log
    A E:\sites_sets.xml
    A E:\saved.hst
    A E:\Verknpfung mit Stufftr„ger 0.1 (D).lnk
    A E:\Old_School.avi
    A E:\National.Geographic.The.Living.Edens.14of24.Thailand.DVB.x264.AAC.mkv
    Datentr„ger in Laufwerk Q: ist Stufftr„ger
    Volumeseriennummer: 3CBA-FE16

    Verzeichnis von Q:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MAGIX\Video_deluxe_2008_PLUS\DVD\WMV_DISC

    22.09.2004 13:14 229 autorun.inf
    1 Datei(en) 229 Bytes

    Verzeichnis von Q:\T-Shirt Design Kit - Complete package (+++BEST+++)\T-Shirt Design Kit - Complete package (+++BEST+++)\t-shirt_design_kit

    15.08.1996 01:58 45 AUTORUN.INF
    1 Datei(en) 45 Bytes

    Verzeichnis von Q:\Tools\Nero Burning ROM 5.5.9.8

    28.01.1998 12:35 42 AUTORUN.INF
    1 Datei(en) 42 Bytes

    Anzahl der angezeigten Dateien:
    3 Datei(en) 316 Bytes
    0 Verzeichnis(se), 1.261.752.320 Bytes frei
    Datentr„ger in Laufwerk Q: ist Stufftr„ger
    Volumeseriennummer: 3CBA-FE16
    A Q:\Video1.mpg
    A Q:\Video2.avi
    A Q:\Video3.avi
    A Q:\Video4.avi
    A Q:\Video5.mp3
    A Q:\Video.avi
    A Q:\Video6.avi
    A Q:\Video6.avi
    A Q:\Lied1.mp3
    A Q:\Dokumente
    A Q:\Lied2.mp3
    Q:\Lied3.mp3
     
  7. wo ist das zweite log von combofix, bitte posten.

    ===

    wechsle in den abgesicherten modus, smitfraudfix starten, option 2 wählen, log posten.

    ===

    von der seite mit den anleitungen tool sdfix abarbeiten, log posten.
     
  8. erstaunlich, dass da überhaupt noch platz für windows ist.... ;D

    vor kurzem auf einmal bekommen :?
     
  9. 2tes comofix log

    ComboFix 08-10-11.01 - PAD 2008-10-12 20:17:46.2 - NTFSx86
    Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.484 [GMT 2:00]
    ausgeführt von:: D:\Desktop\ComboFix.exe
    Benutzte Befehlsschalter :: D:\Desktop\cfscript.txt
    * Neuer Wiederherstellungspunkt wurde erstellt

    FILE ::
    C:\WINDOWS\system32\scaccyjq.ini
    C:\WINDOWS\system32\xxtgktxu.ini
    .

    (((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\WINDOWS\system32\scaccyjq.ini
    C:\WINDOWS\system32\xxtgktxu.ini

    .
    ((((((((((((((((((((((( Dateien erstellt von 2008-09-12 bis 2008-10-12 ))))))))))))))))))))))))))))))
    .

    2008-10-11 01:29 . 2008-10-11 01:29 <DIR> d-------- D:\Programme\Trend Micro
    2008-10-10 22:21 . 2008-10-10 22:21 <DIR> d-------- D:\Programme\Lavasoft
    2008-10-10 22:21 . 2008-10-10 22:22 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
    2008-10-08 01:38 . 2008-10-08 01:38 <DIR> d-------- D:\Programme\Enigma Software Group
    2008-10-08 01:24 . 2008-10-08 01:24 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avg8
    2008-10-06 17:18 . 2008-02-07 17:10 <DIR> d--h----- C:\ckis
    2008-10-06 17:15 . 2008-10-07 23:38 <DIR> d-------- D:\Programme\Kaspersky Lab
    2008-10-06 17:11 . 2008-10-06 17:11 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files
    2008-10-03 20:44 . 2008-10-03 20:44 <DIR> d-------- C:\Dokumente und Einstellungen\PAD\Anwendungsdaten\Leadertech
    2008-10-02 17:12 . 2008-05-30 14:11 3,850,760 --a------ C:\WINDOWS\system32\D3DX9_38.dll
    2008-10-02 17:12 . 2008-03-05 15:56 3,786,760 --a------ C:\WINDOWS\system32\D3DX9_37.dll
    2008-10-02 17:12 . 2008-03-05 15:56 1,420,824 --a------ C:\WINDOWS\system32\D3DCompiler_37.dll
    2008-10-02 17:12 . 2008-03-05 16:03 479,752 --a------ C:\WINDOWS\system32\XAudio2_0.dll
    2008-10-02 17:12 . 2008-02-05 23:07 462,864 --a------ C:\WINDOWS\system32\d3dx10_37.dll
    2008-10-02 17:12 . 2008-03-05 16:03 238,088 --a------ C:\WINDOWS\system32\xactengine3_0.dll
    2008-10-02 17:12 . 2008-03-05 16:00 25,608 --a------ C:\WINDOWS\system32\X3DAudio1_3.dll
    2008-10-02 17:10 . 2008-10-02 17:10 <DIR> d-------- C:\WINDOWS\Logs
    2008-09-14 21:44 . 2008-09-14 21:44 <DIR> d-------- D:\Programme\PlayFirst
    2008-09-14 21:44 . 2008-09-14 21:44 <DIR> d-------- C:\Dokumente und Einstellungen\PAD\Anwendungsdaten\PlayFirst

    .
    (((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-10-12 16:48 --------- d-----w D:\Programme\BPFTP
    2008-10-12 16:47 --------- d-----w D:\Programme\4Musics OGG to MP3 Converter
    2008-10-10 20:21 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
    2008-10-07 23:29 --------- d-----w D:\Programme\ants
    2008-10-07 20:55 --------- d-----w C:\Dokumente und Einstellungen\PAD\Anwendungsdaten\Azureus
    2008-10-06 18:31 24,040 ----a-w C:\WINDOWS\TMPG001.TMP
    2008-10-06 15:22 --------- d-----w D:\Programme\ESET
    2008-10-05 15:41 --------- d-----w D:\Programme\Tweak-XP Pro 4
    2008-10-03 18:19 --------- d-----w D:\Programme\EA Sports
    2008-10-03 07:52 --------- d-----w D:\Programme\Messenger Plus! Live
    2008-09-30 18:56 --------- d-----w C:\Dokumente und Einstellungen\PAD\Anwendungsdaten\OpenOffice.org2
    2008-09-29 23:36 --------- d-----w D:\Programme\Winamp
    2008-09-24 17:57 --------- d-----w C:\Dokumente und Einstellungen\Philip\Anwendungsdaten\OpenOffice.org2
    .

    ((((((((((((((((((((((((((((( snapshot@2008-10-12_13.42.06.93 )))))))))))))))))))))))))))))))))))))))))
    .
    - 2005-05-14 17:04:45 8,738 ----a-w C:\WINDOWS\pchealth\helpctr\Config\Cntstore.bin
    + 2008-10-12 14:45:45 8,972 ----a-w C:\WINDOWS\pchealth\helpctr\Config\Cntstore.bin
    - 2005-05-14 17:04:43 86,327 ----a-w C:\WINDOWS\pchealth\helpctr\OfflineCache\index.dat
    + 2008-10-12 14:46:40 86,327 ----a-w C:\WINDOWS\pchealth\helpctr\OfflineCache\index.dat
    - 2005-05-14 17:04:45 2,112 ----a-w C:\WINDOWS\pchealth\helpctr\PackageStore\SkuStore.bin
    + 2008-10-12 14:46:40 2,426 ----a-w C:\WINDOWS\pchealth\helpctr\PackageStore\SkuStore.bin
    - 2008-10-12 11:35:47 434,176 ----a-w C:\WINDOWS\system32\DCPPaid.exe
    + 2008-10-12 18:22:35 434,176 ----a-w C:\WINDOWS\system32\DCPPaid.exe
    .
    (((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
    FlashPlayerUpdate=D:\Programme\Mozilla Firefox\plugins\NPSWF32_FlashUtil.exe [2006-11-09 190072]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    WinampAgent=D:\Programme\Winamp\winampa.exe [2004-12-20 33792]
    NeroFilterCheck=C:\WINDOWS\system32\NeroCheck.exe [2001-07-09 155648]
    NvMediaCenter=C:\WINDOWS\system32\NvMcTray.dll [2004-11-11 81920]
    AVGCtrl=D:\Programme\AVPersonal\AVGNT.EXE [2005-11-04 180327]
    Easy-PrintToolBox=D:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE [2004-01-14 409600]
    MSConfig=C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe [2004-11-11 160768]
    DCPPaid=C:\WINDOWS\system32\DCPPaid.exe [2008-10-12 434176]
    SoundMan=SOUNDMAN.EXE [2004-11-11 C:\WINDOWS\SOUNDMAN.EXE]
    nwiz=nwiz.exe [2004-11-11 C:\WINDOWS\system32\nwiz.exe]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    CTFMON.EXE=C:\WINDOWS\system32\CTFMON.EXE [2004-11-11 15360]

    C:\Dokumente und Einstellungen\Philip\Startmen\Programme\Autostart\
    OpenOffice.org 2.0.lnk - D:\Programme\OpenOffice.org 2.0\program\quickstart.exe [2005-09-23 61440]

    C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
    Adobe Gamma Loader.exe.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2005-05-15 110592]
    Adobe Reader - Schnellstart.lnk - D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
    DisableCurrentUserRun= 1 (0x1)
    DisableCurrentUserRunOnce= 1 (0x1)

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
    ForceClassicControlPanel= 1 (0x1)
    NoInstrumentation= 1 (0x1)

    [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
    ForceClassicControlPanel= 1 (0x1)

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
    vidc.iv41= IR41_32.DLL
    msacm.l3acm= L3codecp.acm
    vidc.div3= DivXc32.dll
    vidc.div4= DivXc32f.dll
    vidc.ap41= DivXc32f.dll
    vidc.dvx4= divx4.dll
    msacm.divxa32= DivXa32.acm
    vidc.xvid= xvid.dll
    vidc.DAVC= davcvfw.dll
    vidc.VSSH= vssh264.dll
    VIDC.WMV3= D:\PROGRA~1\COMBIN~1\Filters\wmv9vcm.dll
    vidc.xivd= D:\Programme\StormII\codec\xvidvfw.dll
    vidc.tscc= C:\WINDOWS\system32\tsccvid.dll
    vidc.VP70= C:\WINDOWS\system32\vp7vfw.dll
    vidc.aasc= aasc32.dll
    vidc.aas4= aasc32.dll
    vidc.UCDO= clrviddd.dll
    vidc.avrn= avidavicodec.dll
    vidc.advj= avidavicodec.dll
    vidc.asv1= asusasv1.dll
    vidc.asv2= asusasv2.dll
    vidc.asvx= asusasv2.dll
    vidc.vdom= vdowave.drv
    vidc.I263= i263_32.drv
    vidc.VCR2= ativcr2.dll
    vidc.lsvx= lsvxdec.dll[br][br]Erstellt am: 13.10.08 um 18:46:21[hr][br][HKLM\~\startupfolder\C:^Dokumente und Einstellungen^PAD^Startmenü^Programme^Autostart^Wecker für Windows 6.lnk]
    path=C:\Dokumente und Einstellungen\PAD\Startmenü\Programme\Autostart\Wecker für Windows 6.lnk
    backup=C:\WINDOWS\pss\Wecker für Windows 6.lnkStartup

    [HKEY_LOCAL_MACHINE\software\microsoft\security center]
    AntiVirusDisableNotify=dword:00000001
    UpdatesDisableNotify=dword:00000001
    AntiVirusOverride=dword:00000001

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    %windir%\\system32\\sessmgr.exe=
    D:\\SysReset\\mirc.exe=
    D:\\Programme\\Miranda IM\\miranda32.exe=
    D:\\Desktop\\eMule0-1.45a\\emule.exe=
    D:\\Programme\\Firefox\\firefox.exe=
    D:\\Programme\\MotoGP2\\motogp2.exe=
    D:\\Programme\\DC++\\DCPlusPlus.exe=
    D:\\mIRC\\mirc.exe=
    D:\\Programme\\Soulseek\\slsk.exe=
    D:\\Programme\\BPFTP Server\\bpftpserver.exe=
    D:\\Programme\\ants\\ants.exe=
    D:\\Programme\\LimeWire\\LimeWire.exe=
    D:\\Programme\\Java\\jre1.5.0_01\\bin\\javaw.exe=
    D:\\Programme\\VoipBuster.com\\VoipBuster\\VoipBuster.exe=
    D:\\Programme\\LeechFTP\\Leechftp.exe=
    D:\\Programme\\Kiri\\Kiri.exe=
    D:\\Programme\\iTunes\\iTunes.exe=
    D:\\Programme\\Firefox\\plugins\\alhlp.exe=
    D:\\Programme\\MultiProxy\\MProxy.exe=
    D:\\Programme\\VideoLAN\\VLC\\vlc.exe=
    D:\\Programme\\GameSpy Arcade\\Aphex.exe=
    D:\\Programme\\Miranda\\miranda32.exe=
    D:\\Programme\\FlashFXP\\flashfxp.exe=
    D:\\Programme\\TVUPlayer\\TVUPlayer.exe=
    D:\\Programme\\PPLive\\PPLive.exe=
    D:\\Programme\\TVAnts\\Tvants.exe=
    D:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe=
    D:\\Programme\\Windows Live\\Messenger\\livecall.exe=
    D:\\Programme\\Azureus\\Azureus.exe=
    D:\\Programme\\Veoh Networks\\Veoh\\VeohClient.exe=

    R0 Copystar;Copystar;C:\WINDOWS\system32\DRIVERS\copystar.sys [2002-06-01 82400]
    R0 dcpp2k;dcpp2k;C:\WINDOWS\system32\drivers\dcpp2k.sys [2003-08-27 505370]
    R1 kid_sys;Kensington Input Devices Class filter driver;C:\WINDOWS\system32\drivers\KID_SYS.sys [2001-09-26 11920]
    R1 papycpu;papycpu;C:\WINDOWS\system32\drivers\papycpu.sys [1998-10-06 1984]
    R2 acedrv10;acedrv10;C:\WINDOWS\system32\drivers\acedrv10.sys [2007-07-27 330144]
    R2 acehlp10;acehlp10;C:\WINDOWS\system32\drivers\acehlp10.sys [2007-07-27 251680]
    R2 ccosm;Contrl Center of Storm Media;D:\Programme\StormII\stormliv.exe [2008-05-28 475136]
    R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-11-11 14336]
    R3 avgntdw;avgntdw;D:\PROGRAMME\AVPERSONAL\AVGNTDW.SYS [2005-06-07 32896]
    R3 Cap7134;MEDION (7134) WDM Video Capture;C:\WINDOWS\system32\DRIVERS\Cap7134.sys [2002-07-29 424704]
    R3 PhTVTune;MEDION TV-TUNER 7134 MK2/3;C:\WINDOWS\system32\DRIVERS\PhTVTune.sys [2002-07-29 24288]
    R3 SISNICXP;SiS PCI Fast Ethernet Adapter Driver for NDIS51;C:\WINDOWS\system32\DRIVERS\sisnicxp.sys [2004-11-11 32768]
    S2 AVWUpSrv;AntiVir Update;D:\Programme\AVPersonal\AVWUPSRV.EXE [2005-11-04 45096]
    S3 ASPI;Advanced SCSI Programming Interface Driver;C:\WINDOWS\System32\DRIVERS\ASPI32.sys [2002-07-17 16512]
    S3 bfastfao;bfastfao;C:\DOKUME~1\Philip\LOKALE~1\Temp\bfastfao.sys [ ]
    S3 DLPORTIO;DLPORTIO;D:\Programme\Visoly\XtremeLink\DLPORTIO.SYS [1999-01-10 3584]
    S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;D:\Programme\MAGIX\Common\Database\bin\fbserver.exe [2005-11-17 1527900]
    S3 ntxpusb;Gravis USB device driver;C:\WINDOWS\system32\drivers\ntxpusb.sys [2002-02-26 266432]
    S3 tap0801;TAP-Win32 Adapter V8;C:\WINDOWS\system32\DRIVERS\tap0801.sys [2006-06-16 23552]
    S3 v800bus;Sony Ericsson V800-Vodafone 802SE driver (WDM);C:\WINDOWS\system32\DRIVERS\v800bus.sys [2004-08-09 52416]
    S3 v800mdfl;Sony Ericsson V800-Vodafone 802SE USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\v800mdfl.sys [2004-08-09 6160]
    S3 v800mdm;Sony Ericsson V800-Vodafone 802SE USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\v800mdm.sys [2004-08-09 84544]
    S3 v800mgmt;Sony Ericsson V800-Vodafone 802SE USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\v800mgmt.sys [2004-08-09 77760]
    S3 v800obex;Sony Ericsson V800-Vodafone 802SE USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\v800obex.sys [2004-08-09 75584]
    S3 VAGINIT;VAGINIT;C:\WINDOWS\system32\Drivers\vaginit.sys [2000-09-13 168888]
    S3 VAGWRITER;VAGWRITER;C:\WINDOWS\system32\drivers\vagio.sys [2001-01-28 170508]

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
    UxTuneUp
    .
    Inhalt des geplante Tasks Ordners

    2008-10-10 C:\WINDOWS\Tasks\1-Click Maintenance.job
    - D:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe [2006-11-23 17:46]

    2008-10-10 C:\WINDOWS\Tasks\1-Klick-Wartung.job
    - D:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe [2006-11-23 17:46]

    2008-10-07 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
    - D:\Programme\Apple Software Update\SoftwareUpdate.exe [2008-04-11 17:57]
    .

    **************************************************************************

    catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-10-12 20:41:10
    Windows 5.1.2600 Service Pack 2 NTFS

    Scanne versteckte Prozesse...

    Scanne versteckte Autostarteinträge...

    Scanne versteckte Dateien...

    Scan erfolgreich abgeschlossen
    versteckte Dateien: 0

    **************************************************************************
    .
    ------------------------ Weitere laufende Prozesse ------------------------
    .
    D:\Programme\Lavasoft\Ad-Aware\aawservice.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\rundll32.exe
    .
    **************************************************************************
    .
    Zeit der Fertigstellung: 2008-10-12 20:46:04 - PC wurde neu gestartet
    ComboFix-quarantined-files.txt 2008-10-12 18:45:53
    ComboFix2.txt 2008-10-12 11:42:40

    Vor Suchlauf: 1.173.028.864 Bytes frei
    Nach Suchlauf: 1,203,798,016 Bytes frei

    222 --- E O F --- 2008-09-11 13:20:33
     
  10. start > ausführen > schreibe cmd > enter

    schreibe sc stop bfastfao > enter

    schreibe sc delete bfastfao > enter

    schreibe exit > enter

    ===

    rest der angeforderten tools abarbeiten aus obiger anleitung.