mein system stirbt bitte helft mir

[georg003]

also meinen rechner kann man eigentlich nur als honeypot beschreiben bisher kam ich aber recht gut damit zurecht nur jetzt bin ich ratlos ich habe ein paar sachen die ich nicht weg bekomme wie zum beispiel amsrea.dll

hier meine logfile ich hoffe ihr helft mir auch wenn ich ein idiot bin

Code:

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 23:47:56, on 22.02.2008
Platform: Windows XP  (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\System32\LckFldService.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Spyware Doctor\svcntaux.exe
C:\Programme\Spyware Doctor\swdsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\UAService7.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Spyware Doctor\SDTrayApp.exe
E:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\Teamspeak2_RC2\TeamSpeak.exe
C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\PixArt\PAC207\Monitor.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Google\Google Updater\GoogleUpdater.exe
C:\Programme\VIA\RAID\raid_tool.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\hack.PCNATOR\Desktop\hack wear\HiJackThis_v2.exe

F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: dcads - {733716E1-76D2-4003-AC39-845281C0EF85} - C:\WINDOWS\System32\nsk8.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O2 - BHO: (no name) - {ED9EBD20-59DF-4AF8-BD56-C5C036454F14} - C:\WINDOWS\System32\ddccb.dll
O2 - BHO: (no name) - {F5477A87-63BC-476E-ABD7-3A535D55BC16} - C:\WINDOWS\System32\amstrea.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [RemoteControl] "E:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [TerraTec Remote Control] "C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [Monitor] C:\WINDOWS\PixArt\PAC207\Monitor.exe
O4 - HKLM\..\Run: [SDTray] "C:\Programme\Spyware Doctor\SDTrayApp.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [f895a70f] rundll32.exe "C:\WINDOWS\System32\tggvmagj.dll",b
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [WinUpdater] "C:\Program Files\winvi\update.exe" /background
O4 - HKCU\..\Run: [WebSUpdater] "C:\Program Files\winvi\wupda.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Google Updater.lnk = C:\Programme\Google\Google Updater\GoogleUpdater.exe
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Programme\VIA\RAID\raid_tool.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by101fd.bay101.hotmail.msn.co...s/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/wind...?1199797974419
O20 - Winlogon Notify: fccaaya - C:\WINDOWS\
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: LckFldService - Unknown owner - C:\WINDOWS\System32\LckFldService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Spyware Doctor Auxiliary Service (sdAuxService) - Unknown owner - C:\Programme\Spyware Doctor\svcntaux.exe
O23 - Service: Spyware Doctor Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe
O23 - Service: Internetverbindungsfirewall/Gemeinsame Nutzung der Internetverbindung (SharedAccess) - Unknown owner - C:\WINDOWS\C:\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\System32\UAService7.exe

--
End of file - 7805 bytes

[markusg]

Hi und willkommen!
Bitte unternimm keinerlei Reinigungsversuche ohne uns!

Vergewissere dich zunächst, dass du auf deinem Rechner alles siehst:
(siehe diese Abbildungen, unser Dankeschön an Rene-gad)
In den Ordneroptionen sollte zuerst das Häkchen entfernt werden bei "geschützte Systemdateien ausblenden" und etwas weiter unten wählt man bei "Versteckte Ordner und Verzeichnisse" den Punkt "Alle Dateien und Ordner anzeigen".

Lies alle unsere Anleitungen bitte gründlich durch
bevor du sie anwendest.

• Arbeite bitte diese Anleitung gründlich ab: 'Neu hier? Bitte abarbeiten.'
  
• Zeige uns alle Ergebnisse und ein DSS Scan Log, entsprechend dieser Anleitung:

lade bitte den Deckard's System Scanner (DSS) herunter und speichere ihn auf deinem Desktop.
NB: du musst mit Administrator-Rechten angemeldet sein, um dieses Programm laufen lassen zu können.

1. Schließe ALLE Anwendungen und Fenster.
2. Mach einen Doppelklick auf die dss.exe um sie auszuführen und folge den Prompts.
3. Wenn der Scan vollendet ist, werden sich zwei Textdateien öffnen -

   main.txt <- dieses wird maximiert dargestellt und
   extra.txt <- dieses wird als minmierte Datei dargestellt

4. Kopiere (STRG+A und STRG+C) und füge (STRG+V) den Inhalt von main.txt und den Inhalt von extra.txt in deine nächste Antwort.

Die Logdateien können sehr lang werden, verwende bitte den vb-Code, siehe Abbildung.

[georg003]

also hier die gewünschten dss log´s

Code:

Deckard's System Scanner v20071014.68
Run by hack on 2008-02-23 18:16:39
Computer is in Normal Mode.
--------------------------------------------------------------------------------

-- System Restore --------------------------------------------------------------

System Restore is disabled; attempting to re-enable...failed; access is denied.


Backed up registry hives.
Performed disk cleanup.

System Drive C: has 0.49 GiB (less than 15%) free.


-- HijackThis Clone ------------------------------------------------------------


Emulating logfile of Trend Micro HijackThis v2.0.2
Scan saved at 2008-02-23 18:20:28
Platform: Windows XP  (5.01.2600)
MSIE: Internet Explorer (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\system32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\explorer.exe
E:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\PixArt\PAC207\Monitor.exe
C:\Programme\Spyware Doctor\SDTrayApp.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\TGTSoft\StyleXP\StyleXP.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Google\Google Updater\GoogleUpdater.exe
C:\Programme\VIA\RAID\raid_tool.exe
C:\WINDOWS\system32\LckFldService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Spyware Doctor\svcntaux.exe
C:\Programme\Spyware Doctor\swdsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\UAService7.exe
C:\WINDOWS\system32\msiexec.exe
C:\Dokumente und Einstellungen\hack.PCNATOR\Desktop\dss.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.com/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.com/search?q=%s
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com/ie
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.google.com/ie
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.com/ie
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: dcads - {733716E1-76D2-4003-AC39-845281C0EF85} - C:\WINDOWS\system32\nsk8.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {AEB75590-D42B-482E-BD6C-669A4FD0E469} - C:\WINDOWS\system32\ddccb.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O2 - BHO: (no name) - {F5477A87-63BC-476E-ABD7-3A535D55BC16} - C:\WINDOWS\system32\amstrea.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [RemoteControl] "E:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [TerraTec Remote Control] "C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [Monitor] C:\WINDOWS\PixArt\PAC207\Monitor.exe
O4 - HKLM\..\Run: [SDTray] "C:\Programme\Spyware Doctor\SDTrayApp.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [f895a70f] rundll32.exe "C:\WINDOWS\System32\tggvmagj.dll",b
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\RunOnceEx: [Flags] 128
O4 - HKLM\..\RunOnceEx: [Title] UnHackMe Rootkit Check
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [WinUpdater] "C:\Program Files\winvi\update.exe" /background
O4 - HKCU\..\Run: [WebSUpdater] "C:\Program Files\winvi\wupda.exe" /background
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Google Updater.lnk = C:\Programme\Google\Google Updater\GoogleUpdater.exe
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Programme\VIA\RAID\raid_tool.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Verwandte - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\Web\RELATED.HTM
O9 - Extra 'Tools' menuitem: @shdoclc.dll,-864 - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\Web\RELATED.HTM
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} () - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by101fd.bay101.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1199797974419
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {EE483724-C785-5540-A85D-43B50CE9C111} () - http://performanceoptimizer.com/files/PerformanceOptimizerPre_Installer.cab
O18 - Protocol: lid - {5C135180-9973-46D9-ABF4-148267CBB8BF} - C:\WINDOWS\system32\msvidctl.dll
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\Programme\MSN Messenger\msgrapp.8.0.0812.00.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\Programme\MSN Messenger\msgrapp.8.0.0812.00.dll
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: LckFldService - Unknown owner - C:\WINDOWS\system32\LckFldService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Remote Print Spooler - Unknown owner - C:\WINDOWS\system32\spoolsc.exe
O23 - Service: Spyware Doctor Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe
O23 - Service: Spyware Doctor Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe
O23 - Service: Internetverbindungsfirewall/Gemeinsame Nutzung der Internetverbindung (SharedAccess) - Unknown owner - C:\WINDOWS\C:\WINDOWS\System32\svchost.exe -k netsvcs
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Programme\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\system32\UAService7.exe
O23 - Service: Windows PE Debugger - Unknown owner - C:\WINDOWS\system32\lviss.exe


--
End of file - 9678 bytes

Code:

-- HijackThis Fixed Entries (C:\Dokumente und Einstellungen\hack.PCNATOR\Desktop\hack wear\backups\) --------------------------------------------------------------------------------

backup-20080127-201405-842 O4 - HKLM\..\Run: [spa_start] C:\WINDOWS\System32\Rundll32.exe "C:\WINDOWS\System32\spads.dll" DllVerify
backup-20080127-201558-236 O4 - HKLM\..\Run: [Salestart(1)] "C:\Programme\Gemeinsame Dateien\SchutzTool\strpmon.exe" dm=http://schutztool.com ad=http://schutztool.com sd=http://painst.schutztool.com
backup-20080127-201558-319 O4 - HKLM\..\Run: [Salestart] "C:\Programme\Gemeinsame Dateien\SichererAntivirus\stmon.exe" dm=http://sichererantivirus.com; ad=http://sichererantivirus.com
backup-20080127-201627-468 O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
backup-20080211-135838-471 O16 - DPF: {3BA4271E-5C1E-48E2-B432-D8BF420DD31D} - http://deuscleaneronline.com/CleanerInstall.cab
backup-20080222-232117-312 O23 - Service: Windows PE Debugger - Unknown owner - C:\WINDOWS\system32\lviss.exe (file missing)
backup-20080222-234430-140 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.fetchtoday.com/start.php
backup-20080222-234430-389 O20 - Winlogon Notify: vffbeoxf - vffbeoxf.dll (file missing)
backup-20080222-234431-676 O23 - Service: Internetverbindungsfirewall/Gemeinsame Nutzung der Internetverbindung (SharedAccess) - Unknown owner - C:\WINDOWS\C:\WINDOWS\System32\svchost.exe (file missing)
backup-20080222-234431-853 O23 - Service: Remote Print Spooler - Unknown owner - C:\WINDOWS\system32\spoolsc.exe (file missing)
backup-20080222-234526-390 O2 - BHO: (no name) - {429698e1-bd6b-46d9-849b-0895bc6d6fdb} - (no file)
backup-20080222-234526-463 O2 - BHO: e404 helper - {C03FD59D-9104-44B7-929A-9EAA0BA05211} - (no file)
backup-20080222-234526-723 O2 - BHO: (no name) - {393C2547-B2AB-422C-87AF-385238C73416} - (no file)
backup-20080222-234526-990 O2 - BHO: (no name) - {A95B2816-1D7E-4561-A202-68C0DE02353A} - C:\WINDOWS\System32\vffbeoxf.dll (file missing)
backup-20080222-234526-997 O2 - BHO: {82780a27-57a2-5088-fd64-80d109875c45} - {54c57890-1d08-46df-8805-2a7572a08728} - C:\WINDOWS\System32\ktrawbgs.dll (file missing)
backup-20080223-000748-801 O2 - BHO: (no name) - {ED9EBD20-59DF-4AF8-BD56-C5C036454F14} - C:\WINDOWS\System32\ddccb.dll
backup-20080223-000800-797 O2 - BHO: (no name) - {F5477A87-63BC-476E-ABD7-3A535D55BC16} - C:\WINDOWS\System32\amstrea.dll
backup-20080223-000853-744 O2 - BHO: (no name) - {ED9EBD20-59DF-4AF8-BD56-C5C036454F14} - C:\WINDOWS\System32\ddccb.dll
backup-20080223-000911-490 O2 - BHO: (no name) - {F5477A87-63BC-476E-ABD7-3A535D55BC16} - C:\WINDOWS\System32\amstrea.dll
backup-20080223-001028-366 O20 - Winlogon Notify: fccaaya - C:\WINDOWS\

-- File Associations -----------------------------------------------------------

.reg - regfile - shell\open\command - "regedit.exe" "%1"


-- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled ---------------------

R0 csgziedn - c:\windows\system32\drivers\hpfmdhcl.dat
R0 sfdrv01 (StarForce Protection Environment Driver (version 1.x)) - c:\windows\system32\drivers\sfdrv01.sys <Not Verified; Protection Technology; StarForce Protection System>
R0 sfhlp02 (StarForce Protection Helper Driver (version 2.x)) - c:\windows\system32\drivers\sfhlp02.sys <Not Verified; Protection Technology; StarForce Protection System>
R0 sfsync02 (StarForce Protection Synchronization Driver (version 2.x)) - c:\windows\system32\drivers\sfsync02.sys <Not Verified; Protection Technology; StarForce Protection System>
R1 SASDIFSV - c:\programme\superantispyware\sasdifsv.sys
R1 SASKUTIL - c:\programme\superantispyware\saskutil.sys
R1 SSHDRV79 - c:\windows\system32\drivers\sshdrv79.sys <Not Verified; ; ProtectCD>
R1 SSHDRV85 - c:\windows\system32\drivers\sshdrv85.sys <Not Verified; ; ProtectCD>
R1 StyleXPHelper - c:\programme\tgtsoft\stylexp\stylexphelper.exe <Not Verified; Windows (R) 2000 DDK provider; Windows (R) 2000 DDK driver>
R3 Afc (PPdus ASPI Shell) - c:\windows\system32\drivers\afc.sys <Not Verified; Arcsoft, Inc.; Arcsoft(R) ASPI Shell>
R3 pfc (Padus ASPI Shell) - c:\windows\system32\drivers\pfc.sys <Not Verified; Padus, Inc.; Padus(R) ASPI Shell>
R3 SASENUM - c:\programme\superantispyware\sasenum.sys <Not Verified; SuperAdBlocker, Inc.; SuperAntiSpyware>

S1 kcp - c:\windows\system32\drivers\kcp.sys (file missing)
S3 HWIONT - e:\programme\moretv.353\hwiont.sys <Not Verified; The freeware company; Windws NT hardware access driver>
S3 iatmunin - c:\dokume~1\temp\lokale~1\temp\iatmunin.sys (file missing)
S3 SbcpHid - c:\windows\system32\drivers\sbcphid.sys
S3 sony_ssm.sys - c:\dokume~1\combom~1\lokale~1\temp\sony_ssm.sys (file missing)
S3 TraceDriver - c:\windows\system32\tracedriver.sys (file missing)
S3 TTCinergyT2 (TerraTec Cinergy T² Driver (TTCinergyT2.sys)) - c:\windows\system32\drivers\ttcinergyt2.sys <Not Verified; TerraTec Electronic GmbH; Cinergy T²>


-- Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled --------------------

R0 Nla (NLA (Network Location Awareness)) - \systemroot\c:\windows\system32\svchost.exe -k netsvcs (file missing)
R2 AntiVirScheduler (AntiVir PersonalEdition Classic Planer) - "c:\programme\avira\antivir personaledition classic\sched.exe" <Not Verified; Avira GmbH; Scheduler>
R2 LckFldService - c:\windows\system32\lckfldservice.exe <Not Verified; ; LckFldService>
R2 StyleXPService - "c:\programme\tgtsoft\stylexp\stylexpservice.exe" <Not Verified; ; StyleXPService Module>
R2 UserAccess7 (SecuROM User Access Service (V7)) - c:\windows\system32\uaservice7.exe <Not Verified; Sony DADC Austria AG.; >

S3 SharedAccess (Internetverbindungsfirewall/Gemeinsame Nutzung der Internetverbindung) - \systemroot\c:\windows\system32\svchost.exe -k netsvcs (file missing)
S4 Remote Print Spooler - "c:\windows\system32\spoolsc.exe" (file missing)
S4 Windows PE Debugger - "c:\windows\system32\lviss.exe" (file missing)


-- Device Manager: Disabled ----------------------------------------------------

Class GUID: {36FC9E60-C465-11CF-8056-444553540000}
Description: USB (Universal Serial Bus)-Controller
Device ID: PCI\VEN_1106&DEV_3104&SUBSYS_31041849&REV_86\3&61AAA01&0&84
Manufacturer: 
Name: USB (Universal Serial Bus)-Controller
PNP Device ID: PCI\VEN_1106&DEV_3104&SUBSYS_31041849&REV_86\3&61AAA01&0&84
Service: 


-- Scheduled Tasks -------------------------------------------------------------

2008-02-22 17:15:00       408 --a------ C:\WINDOWS\Tasks\1-Klick-Wartung.job
2008-02-18 21:24:02       276 --a------ C:\WINDOWS\Tasks\AppleSoftwareUpdate.job


-- Files created between 2008-01-23 and 2008-02-23 -----------------------------

2008-02-23 18:14:47         0 d-------- C:\Programme\Sunbelt Software
2008-02-23 16:38:29         0 d-------- C:\Programme\SUPERAntiSpyware
2008-02-23 16:38:12         0 d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-02-22 23:20:43        19 --a------ C:\WINDOWS\System32\f895b581
2008-02-22 22:39:44         0 d-------- C:\Programme\winvi
2008-02-22 13:36:19         0 d-------- C:\Programme\Spyware Doctor
2008-02-22 11:24:10    179011 --ahs---- C:\WINDOWS\System32\bccdd.ini2
2008-02-22 11:24:06    327168 -----n--- C:\WINDOWS\System32\ddccb.dll
2008-02-22 11:13:51         0 d-------- C:\kav
2008-02-21 16:46:34         0 d-------- C:\Programme\Helper
2008-02-21 16:44:44         2 --a------ C:\-124409952
2008-02-21 16:44:41     54764 --a------ C:\WINDOWS\system\tap64drv
2008-02-21 16:21:03         0 --a------ C:\WINDOWS\C
2008-02-16 16:14:09         0 d-------- C:\Programme\InternetGameBox
2008-02-15 17:07:05         0 d-------- C:\Programme\MAIET
2008-02-12 22:34:05       432 --a------ C:\WINDOWS\System32\mfsv.bin
2008-02-11 13:34:30         0 d-------- C:\Programme\WinADR(MP3Recorder)
2008-02-09 18:00:51        63 --a------ C:\WINDOWS\System32\mslck.dat
2008-02-09 17:59:17        32 --a------ C:\WINDOWS\System32\Mlkf.dll
2008-02-09 17:58:41     36864 --a------ C:\WINDOWS\System32\LckFldService.exe <Not Verified; ; LckFldService>
2008-02-09 17:58:39    368912 --a------ C:\WINDOWS\System32\vbar332.dll <Not Verified; Microsoft Corporation; Microsoft Visual Basic for Applications>
2008-02-09 17:58:39    153088 --a------ C:\WINDOWS\System32\fldlckun.exe
2008-02-09 17:58:39         0 d-------- C:\Programme\FolderAccess
2008-02-08 18:53:02    233472 --a------ C:\WINDOWS\System32\nsk8.dll
2008-02-08 12:45:35    187392 --a------ C:\WINDOWS\System32\JPGUtils.dll
2008-02-08 12:45:33         0 d-------- C:\Programme\WinCustomize
2008-02-08 12:29:00         0 d-------- C:\Programme\FileSubmit
2008-02-08 11:07:20         0 d-------- C:\Programme\OneStepSearch
2008-02-02 14:22:31         0 d-------- C:\Programme\Risk
2008-01-30 15:52:54         0 d-------- C:\Programme\NCH Software
2008-01-30 15:41:02    304160 --a------ C:\PA207.DAT
2008-01-30 15:36:25         0 d-------- C:\Programme\Gemeinsame Dateien\ArcSoft
2008-01-30 15:36:24     11776 --a------ C:\WINDOWS\System32\drivers\afc.sys <Not Verified; Arcsoft, Inc.; Arcsoft(R) ASPI Shell>
2008-01-30 15:36:07    212480 --a------ C:\WINDOWS\PCDLIB32.DLL <Not Verified; Eastman Kodak; Kodak Photo CD Access Developer Toolkit>
2008-01-30 15:36:06         0 d-------- C:\Programme\ArcSoft
2008-01-30 15:34:21         0 d-------- C:\WINDOWS\PixArt
2008-01-30 15:34:21         0 d-------- C:\Programme\Trust
2008-01-30 15:34:21         0 d-------- C:\Programme\Gemeinsame Dateien\PAC207
2008-01-27 19:33:55    262144 --a------ C:\ntuser.dat
2008-01-27 13:12:43     29696 --a------ C:\WINDOWS\System32\VB5StKit.dll <Not Verified; Microsoft Corporation; Microsoft® Visual Basic for Windows>
2008-01-27 13:12:43     99866 --a------ C:\WINDOWS\System32\VB5DE.dll <Not Verified; Microsoft Corporation; Visual Basic Environment>
2008-01-27 13:12:43     72704 --a------ C:\WINDOWS\ST5UNST.EXE <Not Verified; Microsoft Corporation; Microsoft® Visual Basic für Windows>
2008-01-26 17:04:05         0 d-------- C:\Programme\Media5 Software
2008-01-25 22:56:00         0 d-------- C:\Programme\VstPlugins
2008-01-25 22:54:59         0 d-------- C:\Programme\Image-Line
2008-01-25 14:11:22         0 d-------- C:\Programme\Teamspeak2_RC2
2008-01-23 21:10:33         0 d-------- C:\Programme\Gemeinsame Dateien\xing shared
2008-01-23 21:10:10         0 d-------- C:\Programme\Gemeinsame Dateien\Real
2008-01-23 21:10:05         0 d-------- C:\Programme\Real
2008-01-23 20:46:42         0 d-------- C:\Programme\Gemeinsame Dateien\Java
2008-01-23 16:09:03         0 dr------- C:\Dokumente und Einstellungen\All Users\Application Data\schutztool
2008-01-23 16:09:01         0 dr------- C:\Dokumente und Einstellungen\All Users\Application Data\SalesMon
2008-01-23 16:08:57         0 d-------- C:\Programme\SchutzTool
2008-01-23 16:08:57         0 d-------- C:\Programme\Gemeinsame Dateien\SchutzTool


-- Find3M Report ---------------------------------------------------------------

2008-02-23 16:38:29         0 d-------- C:\Dokumente und Einstellungen\hack.PCNATOR\Anwendungsdaten\SUPERAntiSpyware.com
2008-02-23 16:38:12         0 d-------- C:\Programme\Gemeinsame Dateien
2008-02-22 14:56:33         0 d-------- C:\Dokumente und Einstellungen\hack.PCNATOR\Anwendungsdaten\PC Tools
2008-02-22 13:37:52    585728 --a------ C:\WINDOWS\System32\msvcr80.dll <Not Verified; Microsoft Corporation; Microsoft® Visual Studio® .NET>
2008-02-22 11:36:43         0 d-------- C:\Dokumente und Einstellungen\hack.PCNATOR\Anwendungsdaten\LimeWire
2008-02-21 16:44:34         0 d-------- C:\Programme\Winamp
2008-02-21 16:21:17         0 d-------- C:\Dokumente und Einstellungen\hack.PCNATOR\Anwendungsdaten\PrevxCSI
2008-02-18 18:08:03         0 d--h----- C:\Programme\InstallShield Installation Information
2008-02-15 11:37:40         0 d-------- C:\Programme\VVSN
2008-02-15 11:37:40         0 d-------- C:\Programme\themexp
2008-02-11 16:52:22     80112 --a------ C:\WINDOWS\System32\dcads-remove.exe
2008-02-05 21:53:18         0 d-------- C:\Dokumente und Einstellungen\hack.PCNATOR\Anwendungsdaten\Real
2008-02-05 16:25:45         0 d-------- C:\Dokumente und Einstellungen\hack.PCNATOR\Anwendungsdaten\Cyberlink
2008-02-04 17:56:24         0 d-------- C:\Programme\ICQLite
2008-02-04 09:59:57         0 d-------- C:\Dokumente und Einstellungen\hack.PCNATOR\Anwendungsdaten\eMule
2008-01-31 16:11:47         0 d-------- C:\Programme\LimeWire
2008-01-30 17:34:36         0 d-------- C:\Dokumente und Einstellungen\hack.PCNATOR\Anwendungsdaten\Macromedia
2008-01-30 16:06:37         0 d-------- C:\Dokumente und Einstellungen\hack.PCNATOR\Anwendungsdaten\skypePM
2008-01-30 15:51:40         0 d-------- C:\Dokumente und Einstellungen\hack.PCNATOR\Anwendungsdaten\NCH Swift Sound
2008-01-30 15:44:43         0 d-------- C:\Dokumente und Einstellungen\hack.PCNATOR\Anwendungsdaten\Adobe
2008-01-30 15:37:12         0 d-------- C:\Dokumente und Einstellungen\hack.PCNATOR\Anwendungsdaten\ArcSoft
2008-01-27 18:03:25         0 d--hs---- C:\Programme\outlook
2008-01-27 16:42:47         0 d-------- C:\Programme\Gemeinsame Dateien\SichererAntivirus
2008-01-27 16:21:32         0 d-------- C:\Dokumente und Einstellungen\hack.PCNATOR\Anwendungsdaten\SichererAntivirus
2008-01-27 15:32:48         0 d-------- C:\Dokumente und Einstellungen\hack.PCNATOR\Anwendungsdaten\InstallShield
2008-01-27 15:20:19         0 d-------- C:\Dokumente und Einstellungen\hack.PCNATOR\Anwendungsdaten\Help
2008-01-27 10:44:25         0 d-------- C:\Programme\Google
2008-01-25 23:02:59         0 d-------- C:\Dokumente und Einstellungen\hack.PCNATOR\Anwendungsdaten\AdobeUM
2008-01-25 22:52:32         0 d-------- C:\Dokumente und Einstellungen\hack.PCNATOR\Anwendungsdaten\Uniblue
2008-01-24 16:54:41         0 d-------- C:\Dokumente und Einstellungen\hack.PCNATOR\Anwendungsdaten\Sun
2008-01-24 12:57:38         0 d-------- C:\Dokumente und Einstellungen\hack.PCNATOR\Anwendungsdaten\teamspeak2
2008-01-24 10:46:00         0 d-------- C:\Programme\Java
2008-01-23 16:14:04         0 d-------- C:\Dokumente und Einstellungen\hack.PCNATOR\Anwendungsdaten\schutztool
2008-01-22 16:47:31         0 d-------- C:\Dokumente und Einstellungen\hack.PCNATOR\Anwendungsdaten\vlc
2008-01-22 16:10:09         0 d-------- C:\Dokumente und Einstellungen\hack.PCNATOR\Anwendungsdaten\ICQLite
2008-01-22 15:09:03         0 d-------- C:\Programme\Deus Cleaner
2008-01-22 13:35:27         0 d-------- C:\Programme\Dealio
2008-01-22 13:31:30     84729 --a------ C:\WINDOWS\System32\mysidesearch_sidebar_uninstall.exe
2008-01-20 18:20:13         0 d-------- C:\Dokumente und Einstellungen\hack.PCNATOR\Anwendungsdaten\Talkback
2008-01-20 18:20:00         0 d-------- C:\Dokumente und Einstellungen\hack.PCNATOR\Anwendungsdaten\Mozilla
2008-01-20 18:16:35         0 d-------- C:\Programme\Gemeinsame Dateien\Dienste
2008-01-20 18:16:33         0 d-------- C:\Programme\Messenger
2008-01-20 18:16:33         0 d-------- C:\Dokumente und Einstellungen\hack.PCNATOR\Anwendungsdaten\Identities
2008-01-20 17:44:51         0 d-------- C:\Programme\Avira
2008-01-20 17:37:33      1152 --a------ C:\WINDOWS\System32\windrv.sys
2008-01-20 17:36:54         0 d-------- C:\Programme\AF Uninstalls
2008-01-20 17:31:04        32 --a------ C:\WINDOWS\hip
2008-01-20 17:11:33         0 d-------- C:\Programme\Spyware-Secure
2008-01-18 15:00:18     40731 --a------ C:\WINDOWS\System32\superiorads-uninst.exe
2008-01-18 15:00:16     77379 --a------ C:\WINDOWS\System32\dcads_sidebar_uninstall.exe
2008-01-18 13:58:48         0 d-------- C:\Programme\webHancer
2008-01-18 13:57:16     62464 --a------ C:\WINDOWS\System32\bszip.dll <Not Verified; BigSpeedSoft; BigSpeed Zip DLL>
2008-01-16 14:34:58   1991936 --a------ C:\WINDOWS\System32\kernel1.exe <Not Verified; Microsoft Corporation; Betriebssystem Microsoft® Windows®>
2008-01-16 13:03:34    327680 --a------ C:\WINDOWS\System32\mysidesearch_sidebar.dll
2008-01-09 18:47:06    413696 --a------ C:\WINDOWS\System32\wrap_oal.dll <Not Verified; Creative Labs; Creative Labs OpenAL32>
2008-01-09 18:47:06     86016 --a------ C:\WINDOWS\System32\OpenAL32.dll <Not Verified; Portions (C) Creative Labs Inc. and NVIDIA Corp.; Standard OpenAL(TM) Library>
2008-01-09 18:47:06         0 d-------- C:\Programme\OpenAL
2008-01-09 18:46:18         0 d-------- C:\Programme\NGD Studios
2008-01-09 11:53:19      1391 --a------ C:\WINDOWS\mozver.dat
2008-01-08 22:04:58         0 d-------- C:\Programme\Apple Software Update
2008-01-08 21:07:45         0 --a------ C:\WINDOWS\nsreg.dat
2008-01-08 20:02:16         0 d-------- C:\Programme\TGTSoft
2008-01-08 16:38:57         0 d-------- C:\Programme\Gemeinsame Dateien\Blizzard Entertainment
2008-01-08 14:13:34         0 d--h----- C:\Programme\WindowsUpdate
2008-01-08 14:11:44    316594 --a------ C:\WINDOWS\System32\perfh007.dat
2008-01-08 14:11:44     48156 --a------ C:\WINDOWS\System32\perfc007.dat
2007-12-24 14:07:08    319488 --a------ C:\WINDOWS\System32\dcads_sidebar.dll


-- Registry Dump ---------------------------------------------------------------

*Note* empty entries & legit default entries are not shown


[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{733716E1-76D2-4003-AC39-845281C0EF85}]
08.02.2008 18:53	233472	--a------	C:\WINDOWS\System32\nsk8.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{AEB75590-D42B-482E-BD6C-669A4FD0E469}]
22.02.2008 11:24	327168	---------	C:\WINDOWS\System32\ddccb.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{F5477A87-63BC-476E-ABD7-3A535D55BC16}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [11.08.2006 21:43]
"RemoteControl"="E:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe" [08.12.2003 16:35]
"Cmaudio"="cmicnfg.cpl" []
"nwiz"="nwiz.exe" [11.08.2006 21:43 C:\WINDOWS\system32\nwiz.exe]
"TerraTec Remote Control"="C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe" [14.07.2005 09:45]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [24.09.2006 02:24]
"NvMediaCenter"="C:\WINDOWS\System32\NvMcTray.dll" [11.08.2006 21:43]
"ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" [11.07.2006 11:15]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [25.09.2007 01:11]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [23.01.2008 21:10]
"RegistryMechanic"="" []
"Monitor"="C:\WINDOWS\PixArt\PAC207\Monitor.exe" [03.11.2006 11:01]
"SDTray"="C:\Programme\Spyware Doctor\SDTrayApp.exe" [22.02.2008 15:22]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [22.02.2008 23:01]
"f895a70f"="C:\WINDOWS\System32\tggvmagj.dll" []
"KernelFaultCheck"="C:\WINDOWS\system32\dumprep 0 -k" []

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [18.08.2001 12:00]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [02.08.2001 06:14]
"STYLEXP"="C:\Programme\TGTSoft\StyleXP\StyleXP.exe" [24.05.2006 19:31]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [27.01.2008 10:44]
"WinUpdater"="C:\Program Files\winvi\update.exe" []
"WebSUpdater"="C:\Program Files\winvi\wupda.exe" []
"SUPERAntiSpyware"="C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" [21.06.2007 14:06]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runonce]
"ICQ Lite"=C:\Programme\ICQLite\ICQLite.exe -trayboot

C:\Dokumente und Einstellungen\All Users\Startmen?\Programme\Autostart\
Adobe Gamma Loader.exe.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [24.09.2005 17:05:29]
Google Updater.lnk - C:\Programme\Google\Google Updater\GoogleUpdater.exe [27.01.2008 10:44:26]
VIA RAID TOOL.lnk - C:\Programme\VIA\RAID\raid_tool.exe [19.08.2005 19:37:02]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ForceActiveDesktopOn"=1

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= C:\Programme\SUPERAntiSpyware\SASSEH.DLL [20.12.2006 13:55 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon] 
C:\Programme\SUPERAntiSpyware\SASWINLO.dll 19.04.2007 13:41 294912 C:\Programme\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"= msv1_0 C:\WINDOWS\System32\ddccb.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdauxservice"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdcoreservice"

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
Usnsvc	usnsvc




-- End of Deckard's System Scanner: finished at 2008-02-23 18:21:24 ------------

Code:

Deckard's System Scanner v20071014.68
Extra logfile - please post this as an attachment with your post.
--------------------------------------------------------------------------------

-- System Information ----------------------------------------------------------

Microsoft Windows XP Professional (build 2600)
Architecture: X86; Language: German

CPU 0: AMD Athlon(tm) XP 3000+
Percentage of Memory in Use: 37%
Physical Memory (total/avail): 1023.48 MiB / 636.84 MiB
Pagefile Memory (total/avail): 6926.3 MiB / 6429.32 MiB
Virtual Memory (total/avail): 2047.88 MiB / 1945.65 MiB

C: is Fixed (NTFS) - 9.77 GiB total, 0.53 GiB free. 
D: is CDROM (No Media)
E: is Fixed (NTFS) - 29.29 GiB total, 9.46 GiB free. 
F: is Fixed (NTFS) - 29.29 GiB total, 19.97 GiB free. 
G: is Fixed (NTFS) - 29.29 GiB total, 18.52 GiB free. 
H: is Fixed (NTFS) - 30.34 GiB total, 2.04 GiB free. 

\\.\PHYSICALDRIVE0 - SAMSUNG SP1614N - 128 GiB - 5 partitions
  \PARTITION0 (bootable) - Installierbares Dateisystem - 9.77 GiB - C:
  \PARTITION1 - Installierbares Dateisystem - 29.29 GiB - E:
  \PARTITION2 - Installierbares Dateisystem - 29.29 GiB - F:
  \PARTITION3 - Installierbares Dateisystem - 29.29 GiB - G:
  \PARTITION4 - Installierbares Dateisystem - 30.34 GiB - H:



-- Security Center -------------------------------------------------------------

AUOptions is disabled.


-- Environment Variables -------------------------------------------------------

ALLUSERSPROFILE=C:\Dokumente und Einstellungen\All Users
APPDATA=C:\Dokumente und Einstellungen\hack.PCNATOR\Anwendungsdaten
CLASSPATH=.;C:\Programme\Java\jre1.5.0_06\lib\ext\QTJava.zip
CLIENTNAME=Console
CommonProgramFiles=C:\Programme\Gemeinsame Dateien
COMPUTERNAME=PCNATOR
ComSpec=C:\WINDOWS\system32\cmd.exe
HOMEDRIVE=C:
HOMEPATH=\Dokumente und Einstellungen\hack.PCNATOR
LOGONSERVER=\\PCNATOR
NUMBER_OF_PROCESSORS=1
OS=Windows_NT
Path=C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\system32\wbem;G:\games\ThriXXX\3D SexVilla;C:\Programme\QuickTime\QTSystem
PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
PROCESSOR_ARCHITECTURE=x86
PROCESSOR_IDENTIFIER=x86 Family 6 Model 10 Stepping 0, AuthenticAMD
PROCESSOR_LEVEL=6
PROCESSOR_REVISION=0a00
ProgramFiles=C:\Programme
PROMPT=$P$G
QTJAVA=C:\Programme\Java\jre1.5.0_06\lib\ext\QTJava.zip
SESSIONNAME=Console
SystemDrive=C:
SystemRoot=C:\WINDOWS
TEMP=C:\DOKUME~1\HACK~1.PCN\LOKALE~1\Temp
TMP=C:\DOKUME~1\HACK~1.PCN\LOKALE~1\Temp
USERDOMAIN=PCNATOR
USERNAME=hack
USERPROFILE=C:\Dokumente und Einstellungen\hack.PCNATOR
windir=C:\WINDOWS


-- User Profiles ---------------------------------------------------------------

Catisback (admin)
combomaster (admin)
hack (admin)
hack.PCNATOR (admin)
 (admin)


-- Add/Remove Programs ---------------------------------------------------------

 --> C:\PROGRA~1\FOLDER~1\FOLDER~1.EXE UnInstall
 --> C:\Programme\Gemeinsame Dateien\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
 --> rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
AC3Filter (remove only) --> C:\Programme\AC3Filter\uninstall.exe
Adobe Flash Player 9 ActiveX --> C:\WINDOWS\System32\Macromed\Flash\FlashUtil9b.exe -uninstallDelete
Adobe Photoshop 6.0 --> C:\WINDOWS\ISUN0407.EXE -ff:\adobe\Uninst.isu -cf:\adobe\Uninst.dll
Adobe Reader 6.0.1 --> MsiExec.exe /I{AC76BA86-7AD7-1033-7B44-A00000000001}
Adobe Shockwave Player --> C:\WINDOWS\system32\Macromed\SHOCKW~1\UNWISE.EXE C:\WINDOWS\system32\Macromed\SHOCKW~1\Install.log
Adobe SVG Viewer --> C:\WINDOWS\IsUn0407.exe -f"C:\WINDOWS\System32\Adobe\SVG Viewer\Uninst.isu"
Advanced WMA MP3 Converter version 1.2 --> "C:\Programme\Media5 Software\Advanced WMA MP3 Converter\unins000.exe"
Apple Software Update --> MsiExec.exe /I{B74F042E-E1B9-4A5B-8D46-387BB172F0A4}
ArcSoft VideoImpression 2 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{244E21B9-164C-4EC1-AED8-9BD64161E66D}\setup.exe" -l0x7 
Avira AntiVir PersonalEdition Classic --> C:\Programme\Avira\AntiVir PersonalEdition Classic\SETUP.EXE /REMOVE
Browser Optimizer Dcads --> C:\WINDOWS\System32\dcads-remove.exe
Browser Optimizer Superiorads --> C:\WINDOWS\System32\superiorads-uninst.exe
C-Media 3D Audio --> C:\WINDOWS\CMIUnInstall.exe
Canon PIXMA iP4000 --> C:\WINDOWS\System32\CNMCP64.exe "-PRINTERNAMECanon PIXMA iP4000" "-HELPERDLLC:\BJPrinter\CNMWINDOWS\Canon PIXMA iP4000 Installer\Inst2\cnmis.dll" "-RCDLLC:\BJPrinter\CNMWINDOWS\Canon PIXMA iP4000 Installer\Inst2\cnmi0407.dll"
Canon Utilities Easy-PhotoPrint --> C:\Programme\Canon\Easy-PhotoPrint\uninst.exe C:\Programme\Canon\Easy-PhotoPrint\uninst.ini
Canon Utilities Easy-PrintToolBox --> C:\WINDOWS\BJPSUNST.EXE
CD-LabelPrint --> "C:\Programme\Canon\CD-LabelPrint\Uninstal.exe" Canon.CDLabelPrint.Application
Cinergy Digital 2 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{F67BF1DF-8461-46DA-BAF2-DAE86548C547}\setup.exe" -l0x7 
Cole2k Media - Codec Pack (Standard) 6.0.7 --> C:\WINDOWS\System32\C2MP\Uninst.exe
DivX 5.0.2 Bundle --> C:\WINDOWS\unvise32.exe C:\Programme\DivX\uninstal.log
Dungeon Siege 2 --> "G:\games\Dungeon Siege 2\UNINSTAL.EXE" /runtemp /uninstall
DVD Solution --> C:\Programme\Uninstall_CDS.exe
eMule --> "G:\eMule\Uninstall.exe"
Favorit --> "c:\dokumente und einstellungen\hack\lokale einstellungen\anwendungsdaten\dzxmkynlae.exe" -uninstall
Folder Access 2.1 Free Version --> C:\PROGRA~1\FOLDER~1\UNWISE.EXE C:\PROGRA~1\FOLDER~1\INSTALL.LOG
G-Force --> C:\Programme\SoundSpectrum\G-Force\Uninstall.exe
Google Updater --> "C:\Programme\Google\Google Updater\GoogleUpdater.exe" -uninstall
ICQ 5.1 --> C:\Programme\ICQLite\ICQLiteUninstall.EXE
IL Download Manager --> C:\Programme\Image-Line\Downloader\uninstall.exe
Indeo® XP Software --> C:\WINDOWS\IsUninst.exe -fC:\Programme\Ligos\Indeo\UninstXP.isu
InternetGameBox --> C:\Programme\InternetGameBox\uninst.exe
IZArc 3.4.1.6 --> C:\Programme\IZArc\unins000.exe
J2SE Runtime Environment 5.0 Update 3 --> MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150030}
Java(TM) 6 Update 3 --> MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160030}
LimeWire 4.16.3 --> "C:\Programme\LimeWire\uninstall.exe"
LiveUpdate BVRP Software --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{76E41F43-59D2-4F30-BA42-9A762EE1E8DE}\Setup.exe" -l0x7 
Living Waters --> C:\PROGRA~1\FILESU~1\LIVING~1\UNWISE.EXE C:\PROGRA~1\FILESU~1\LIVING~1\INSTALL.LOG
MAIET entertainment - Gunz --> C:\Programme\MAIET\Gunz\Uninstall.exe
Microsoft Internet Explorer 6 SP1 --> rundll32 C:\WINDOWS\System32\setupwbv.dll,IE6Maintenance C:\Programme\Internet Explorer\Deinstallation von Internet Explorer\W2KEXCP.EXE /u
Microsoft Visual C++ 2005 Redistributable --> MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
mobile PhoneTools --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{F18E8A0F-BE99-4305-96A5-6C0FD9D7D999}\setup.exe" -l0x7 
MoreTV 3.53 --> e:\Programme\MoreTV.353\Setup.exe Uninstall
Mozilla Firefox (2.0.0.12) --> C:\Programme\Mozilla Firefox\uninstall\helper.exe
Multimedia Launcher --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{1FBF6C24-C1FD-4101-A42B-0C564F9E8E79}\setup.exe"  -uninstall
MySidesearch Search Assistant --> C:\WINDOWS\System32\mysidesearch_sidebar_uninstall.exe
Nero OEM --> C:\Programme\Ahead\nero\uninstall\UNNERO.exe /UNINSTALL
Nimo Codecs Pack v5.0 (Remove Only) --> "C:\Programme\NimoCodec Pack\uninstall.exe"
NVIDIA Drivers --> C:\WINDOWS\System32\nvudisp.exe UninstallGUI
OneStep Search 1.0 build 164 --> C:\Programme\OneStepSearch\uninstall.exe
OpenAL --> "C:\Programme\OpenAL\OpenALwEAX.exe" /U /S
PowerDVD --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}\setup.exe"  -uninstall
PowerProducer --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{B7A0CE06-068E-11D6-97FD-0050BACBF861}\setup.exe"  -uninstall
QuickTime --> MsiExec.exe /I{55BF0E5F-EA8E-4C13-A8B4-9E4857F5A2DE}
RealPlayer --> C:\Programme\Gemeinsame Dateien\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
Registry Mechanic 7.0 --> "C:\Programme\Registry Mechanic\unins000.exe"
Search Assistant Dcads --> C:\WINDOWS\System32\dcads_sidebar_uninstall.exe
Spyware Doctor 5.0 --> C:\Programme\Spyware Doctor\unins000.exe
Star Wars Republic Commando --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{DFAE9340-E8BB-4433-9A08-C8334DAFE1B9}\Setup.exe" -l0x7 
StyleXP (remove only) --> "C:\Programme\TGTSoft\StyleXP\StyleXP-uninstall.exe"
Sunbelt Personal Firewall --> MsiExec.exe /X{BFD080F6-3BF0-40E1-9507-9CA969C35870}
SUPERAntiSpyware Free Edition --> MsiExec.exe /X{CDDCBBF1-2703-46BC-938B-BCC81A1EEAAA}
SweetIM For Internet Explorer 1.0a --> MsiExec.exe /X{BBB1528C-2F8C-4526-9C8E-699F17AF21CA}
TeamSpeak 2 RC2 --> C:\Programme\Teamspeak2_RC2\unins001.exe
Themexp.org File --> C:\PROGRA~1\themexp\THEMEX~1.ORG\UNWISE.EXE C:\PROGRA~1\themexp\THEMEX~1.ORG\INSTALL.LOG
Usb to Serial Driver 1.12.25 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\00\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{7F46E168-E0F4-45EA-81F5-80488334B609}\Setup.exe" -l0x7 
Vampire - The Masquerade Bloodlines --> C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\9\INTEL3~1\IDriver.exe /M{08F8FD7C-44A5-4423-B87C-EBD3D94C9F87} /l1031  /x
VIA Plattform-Geräte-Manager --> C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe /M{20D4A895-748C-4D88-871C-FDB1695B0169} 
VideoLAN VLC media player 0.8.6a --> E:\utilities\VLC\uninstall.exe
WinADR(MP3 Recorder) --> C:\PROGRA~1\WINADR~1\UNWISE.EXE C:\PROGRA~1\WINADR~1\INSTALL.LOG
Winamp (remove only) --> "C:\Programme\Winamp\UninstWA.exe"
Windows Live Messenger --> MsiExec.exe /I{8DCBD4B1-DD30-4A9A-ADF7-FA3162B596C4}
Windows Live Sign-in Assistant --> MsiExec.exe /I{F652D238-5F29-42D5-BAF3-0115EF977EC2}
Windows XP-Hotfix - KB828741 --> C:\WINDOWS\$NtUninstallKB828741$\spuninst\spuninst.exe
Windows XP-Hotfix - KB842773 --> C:\WINDOWS\$NtUninstallKB842773$\spuninst\spuninst.exe
WinRAR archiver --> C:\Programme\WinRAR\uninstall.exe
winvi (remove only) --> "C:\Programme\winvi\uninst.exe"


-- Application Event Log -------------------------------------------------------

Event Record #/Type12 / Warning
Event Submitted/Written: 02/23/2008 06:20:44 PM
Event ID/Source: 4113 / H+BEDV AntiVir
Event Description:
AntiVir erkannte in der Datei
C:\WINDOWS\System32\ddccb.dll
verdächtigen Code mit der Bezeichnung 'TR/Vundo.Gen'!

Event Record #/Type11 / Warning
Event Submitted/Written: 02/23/2008 06:19:01 PM
Event ID/Source: 4113 / H+BEDV AntiVir
Event Description:
AntiVir erkannte in der Datei
C:\WINDOWS\System32\amstrea.dll
verdächtigen Code mit der Bezeichnung 'TR/Delphi.Downloader.Gen'!

Event Record #/Type8 / Warning
Event Submitted/Written: 02/23/2008 06:05:18 PM
Event ID/Source: 4113 / H+BEDV AntiVir
Event Description:
AntiVir erkannte in der Datei
C:\WINDOWS\System32\ddccb.dll
verdächtigen Code mit der Bezeichnung 'TR/Vundo.Gen'!

Event Record #/Type7 / Warning
Event Submitted/Written: 02/23/2008 06:05:06 PM
Event ID/Source: 4113 / H+BEDV AntiVir
Event Description:
AntiVir erkannte in der Datei
C:\WINDOWS\System32\ddccb.dll
verdächtigen Code mit der Bezeichnung 'TR/Vundo.Gen'!

Event Record #/Type6 / Warning
Event Submitted/Written: 02/23/2008 06:04:58 PM
Event ID/Source: 4113 / H+BEDV AntiVir
Event Description:
AntiVir erkannte in der Datei
C:\WINDOWS\System32\ddccb.dll
verdächtigen Code mit der Bezeichnung 'TR/Vundo.Gen'!



-- Security Event Log ----------------------------------------------------------

No Errors/Warnings found.


-- System Event Log ------------------------------------------------------------

Event Record #/Type293 / Error
Event Submitted/Written: 02/23/2008 05:58:16 PM
Event ID/Source: 7011 / Service Control Manager
Event Description:
Zeitüberschreitung (30000 ms) beim Warten auf eine Transaktionsrückmeldung von Dienst NVSvc.

Event Record #/Type257 / Error
Event Submitted/Written: 02/23/2008 05:43:26 PM
Event ID/Source: 7011 / Service Control Manager
Event Description:
Zeitüberschreitung (30000 ms) beim Warten auf eine Transaktionsrückmeldung von Dienst NVSvc.

Event Record #/Type256 / Error
Event Submitted/Written: 02/23/2008 05:43:09 PM
Event ID/Source: 7011 / Service Control Manager
Event Description:
Zeitüberschreitung (30000 ms) beim Warten auf eine Transaktionsrückmeldung von Dienst AudioSrv.

Event Record #/Type234 / Error
Event Submitted/Written: 02/23/2008 05:32:36 PM
Event ID/Source: 7011 / Service Control Manager
Event Description:
Zeitüberschreitung (30000 ms) beim Warten auf eine Transaktionsrückmeldung von Dienst NVSvc.

Event Record #/Type204 / Error
Event Submitted/Written: 02/23/2008 05:05:14 PM
Event ID/Source: 7034 / Service Control Manager
Event Description:
Dienst "LckFldService" wurde unerwartet beendet. Dies ist bereits 1 Mal passiert.



-- End of Deckard's System Scanner: finished at 2008-02-23 18:21:24 ------------

[markusg]

also du bist mir hoffendlich nciht böse wenn ich dir sag das du selbst schuld bist...
dein system hat noch keinerlei updates das ist farlässig.
Bitte nur auf dieser seite surfen und auf denen die ich dir nenne.
überprüfe folgende dateien:

C:\WINDOWS\system32\nsk8.dll
C:\WINDOWS\system32\amstrea.dll
C:\WINDOWS\System32\tggvmagj.dll
C:\WINDOWS\System32\fldlckun.exe

zeige ergebniss mit tabellenkopf und zusätzliche informatioenen.
http://www.virustotal.com/en/indexf.html
inhalt von ordner nennen:
C:\WINDOWS\System32\f895b581
C:\Programme\winvi
c:\-124409952

[georg003]

ich weiß aber als ich den rechber vor 2 jahren gekauft habe war das betriebssystem dabei ich habe es mit dem beiliegenden key telefonisch aktiviert das hat auch geklappt aber als ich dann das system updaten wollte hieß es ihr key ist ungültig !!!

hab mich dann noch 2 mal mit microsoft telefonisch rumgeärgert und es dann aufgegeben und war leider bis jetzt zu geizig mir ein neues betriebssystem zu leisten !!!

aber hier alles gewünschte

Code:

 Datei nsk8.dll empfangen 2008.02.23 19:49:21 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 5/32 (15.63%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 29.
Geschätzte Startzeit is zwischen 92 und 131 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email: 	
	
Antivirus 	Version 	letzte aktualisierung 	Ergebnis
AhnLab-V3	2008.2.22.0	2008.02.22	-
AntiVir	7.6.0.67	2008.02.22	ADSPY/Bho.WT
Authentium	4.93.8	2008.02.23	-
Avast	4.7.1098.0	2008.02.22	-
AVG	7.5.0.516	2008.02.22	-
BitDefender	7.2	2008.02.23	Adware.Fotomoto.Gen
CAT-QuickHeal	9.50	2008.02.22	-
ClamAV	0.92.1	2008.02.23	-
DrWeb	4.44.0.09170	2008.02.23	-
eSafe	7.0.15.0	2008.02.21	-
eTrust-Vet	31.3.5557	2008.02.23	-
Ewido	4.0	2008.02.23	-
FileAdvisor	1	2008.02.23	-
Fortinet	3.14.0.0	2008.02.23	-
F-Prot	4.4.2.54	2008.02.22	-
F-Secure	6.70.13260.0	2008.02.22	-
Ikarus	T3.1.1.20	2008.02.23	AdWare.Fotomoto
Kaspersky	7.0.0.125	2008.02.23	-
McAfee	5236	2008.02.22	-
Microsoft	1.3204	2008.02.23	-
NOD32v2	2898	2008.02.23	-
Norman	5.80.02	2008.02.22	-
Panda	9.0.0.4	2008.02.23	-
Prevx1	V2	2008.02.23	Generic.Malware
Rising	20.32.52.00	2008.02.23	-
Sophos	4.26.0	2008.02.23	-
Sunbelt	3.0.893.0	2008.02.23	-
Symantec	10	2008.02.23	-
TheHacker	6.2.9.228	2008.02.23	-
VBA32	3.12.6.1	2008.02.21	-
VirusBuster	4.3.26:9	2008.02.23	-
Webwasher-Gateway	6.6.2	2008.02.23	Ad-Spyware.Bho.WT
weitere Informationen
File size: 233472 bytes
MD5: 953501e20a6682043aac6ae8a00d4b80
SHA1: 08686ad95408fe65b0d48f0ffc8480468321de58
PEiD: Armadillo v1.xx - v2.xx
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=A970716000EDB38890D603A77B5B6B003EEF3D27

Code:

 Datei amstrea.dll empfangen 2008.02.23 20:02:50 (CET)
Status: Beendet
Ergebnis: 4/32 (12.50%)
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Antivirus 	Version 	letzte aktualisierung 	Ergebnis
AhnLab-V3 	2008.2.22.0 	2008.02.22 	-
AntiVir 	7.6.0.67 	2008.02.22 	-
Authentium 	4.93.8 	2008.02.23 	-
Avast 	4.7.1098.0 	2008.02.22 	-
AVG 	7.5.0.516 	2008.02.22 	-
BitDefender 	7.2 	2008.02.23 	-
CAT-QuickHeal 	9.50 	2008.02.22 	-
ClamAV 	0.92.1 	2008.02.23 	-
DrWeb 	4.44.0.09170 	2008.02.23 	-
eSafe 	7.0.15.0 	2008.02.21 	-
eTrust-Vet 	31.3.5557 	2008.02.23 	Win32/Kvol!generic
Ewido 	4.0 	2008.02.23 	-
FileAdvisor 	1 	2008.02.23 	-
Fortinet 	3.14.0.0 	2008.02.23 	-
F-Prot 	4.4.2.54 	2008.02.22 	-
F-Secure 	6.70.13260.0 	2008.02.22 	-
Ikarus 	T3.1.1.20 	2008.02.23 	Virus.Trojan.Win32.Pakes.cdw
Kaspersky 	7.0.0.125 	2008.02.23 	-
McAfee 	5236 	2008.02.22 	-
Microsoft 	1.3204 	2008.02.23 	Trojan:Win32/Boaxxe.B
NOD32v2 	2898 	2008.02.23 	-
Norman 	5.80.02 	2008.02.22 	-
Panda 	9.0.0.4 	2008.02.23 	Suspicious file
Prevx1 	V2 	2008.02.23 	-
Rising 	20.32.52.00 	2008.02.23 	-
Sophos 	4.26.0 	2008.02.23 	-
Sunbelt 	3.0.893.0 	2008.02.23 	-
Symantec 	10 	2008.02.23 	-
TheHacker 	6.2.9.228 	2008.02.23 	-
VBA32 	3.12.6.1 	2008.02.21 	-
VirusBuster 	4.3.26:9 	2008.02.23 	-
Webwasher-Gateway 	6.6.2 	2008.02.23 	-
weitere Informationen
File size: 97792 bytes
MD5: 0082b4555c669f8b5194eb578db94d91
SHA1: dffe377114efa9dae825c14f69151ccb61c86db1
PEiD: -
packers: UPX
packers: UPX
packers: PE_Patch.UPX, UPX

Code:

 Datei fldlckun.exe empfangen 2008.02.23 20:45:24 (CET)
Status: Beendet
Ergebnis: 0/32 (0.00%)
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Antivirus 	Version 	letzte aktualisierung 	Ergebnis
AhnLab-V3 	2008.2.22.0 	2008.02.22 	-
AntiVir 	7.6.0.67 	2008.02.22 	-
Authentium 	4.93.8 	2008.02.23 	-
Avast 	4.7.1098.0 	2008.02.22 	-
AVG 	7.5.0.516 	2008.02.22 	-
BitDefender 	7.2 	2008.02.23 	-
CAT-QuickHeal 	9.50 	2008.02.22 	-
ClamAV 	0.92.1 	2008.02.23 	-
DrWeb 	4.44.0.09170 	2008.02.23 	-
eSafe 	7.0.15.0 	2008.02.21 	-
eTrust-Vet 	31.3.5557 	2008.02.23 	-
Ewido 	4.0 	2008.02.23 	-
FileAdvisor 	1 	2008.02.23 	-
Fortinet 	3.14.0.0 	2008.02.23 	-
F-Prot 	4.4.2.54 	2008.02.22 	-
F-Secure 	6.70.13260.0 	2008.02.22 	-
Ikarus 	T3.1.1.20 	2008.02.23 	-
Kaspersky 	7.0.0.125 	2008.02.23 	-
McAfee 	5236 	2008.02.22 	-
Microsoft 	1.3204 	2008.02.23 	-
NOD32v2 	2898 	2008.02.23 	-
Norman 	5.80.02 	2008.02.22 	-
Panda 	9.0.0.4 	2008.02.23 	-
Prevx1 	V2 	2008.02.23 	-
Rising 	20.32.52.00 	2008.02.23 	-
Sophos 	4.26.0 	2008.02.23 	-
Sunbelt 	3.0.893.0 	2008.02.23 	-
Symantec 	10 	2008.02.23 	-
TheHacker 	6.2.9.228 	2008.02.23 	-
VBA32 	3.12.6.1 	2008.02.21 	-
VirusBuster 	4.3.26:9 	2008.02.23 	-
Webwasher-Gateway 	6.6.2 	2008.02.23 	-
weitere Informationen
File size: 153088 bytes
MD5: 973567b98cdfc147df4e60471d9df072
SHA1: 3c4735750c99c63e6861170a8c459a608594211e
PEiD: Armadillo v1.71

die datei C:\WINDOWS\System32\tggvmagj.dll
giebt es überhauptnicht

C:\WINDOWS\System32\f895b581
ist eine datei

Code:

 Datei f895b581 empfangen 2008.02.23 21:04:19 (CET)
Status: Beendet
Ergebnis: 0/32 (0.00%)
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Antivirus 	Version 	letzte aktualisierung 	Ergebnis
AhnLab-V3 	2008.2.22.0 	2008.02.22 	-
AntiVir 	7.6.0.67 	2008.02.22 	-
Authentium 	4.93.8 	2008.02.23 	-
Avast 	4.7.1098.0 	2008.02.22 	-
AVG 	7.5.0.516 	2008.02.22 	-
BitDefender 	7.2 	2008.02.23 	-
CAT-QuickHeal 	9.50 	2008.02.22 	-
ClamAV 	0.92.1 	2008.02.23 	-
DrWeb 	4.44.0.09170 	2008.02.23 	-
eSafe 	7.0.15.0 	2008.02.21 	-
eTrust-Vet 	31.3.5557 	2008.02.23 	-
Ewido 	4.0 	2008.02.23 	-
FileAdvisor 	1 	2008.02.23 	-
Fortinet 	3.14.0.0 	2008.02.23 	-
F-Prot 	4.4.2.54 	2008.02.22 	-
F-Secure 	6.70.13260.0 	2008.02.22 	-
Ikarus 	T3.1.1.20 	2008.02.23 	-
Kaspersky 	7.0.0.125 	2008.02.23 	-
McAfee 	5236 	2008.02.22 	-
Microsoft 	1.3204 	2008.02.23 	-
NOD32v2 	2898 	2008.02.23 	-
Norman 	5.80.02 	2008.02.22 	-
Panda 	9.0.0.4 	2008.02.23 	-
Prevx1 	V2 	2008.02.23 	-
Rising 	20.32.52.00 	2008.02.23 	-
Sophos 	4.26.0 	2008.02.23 	-
Sunbelt 	3.0.893.0 	2008.02.23 	-
Symantec 	10 	2008.02.23 	-
TheHacker 	6.2.9.228 	2008.02.23 	-
VBA32 	3.12.6.1 	2008.02.21 	-
VirusBuster 	4.3.26:9 	2008.02.23 	-
Webwasher-Gateway 	6.6.2 	2008.02.23 	-

c:\-124409952
ist auch eine datei

Code:

 Datei -124409952 empfangen 2008.02.23 21:13:15 (CET)
Status: Beendet
Ergebnis: 0/32 (0.00%)
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Antivirus 	Version 	letzte aktualisierung 	Ergebnis
AhnLab-V3 	2008.2.22.0 	2008.02.22 	-
AntiVir 	7.6.0.67 	2008.02.22 	-
Authentium 	4.93.8 	2008.02.23 	-
Avast 	4.7.1098.0 	2008.02.22 	-
AVG 	7.5.0.516 	2008.02.22 	-
BitDefender 	7.2 	2008.02.23 	-
CAT-QuickHeal 	9.50 	2008.02.22 	-
ClamAV 	0.92.1 	2008.02.23 	-
DrWeb 	4.44.0.09170 	2008.02.23 	-
eSafe 	7.0.15.0 	2008.02.21 	-
eTrust-Vet 	31.3.5557 	2008.02.23 	-
Ewido 	4.0 	2008.02.23 	-
FileAdvisor 	1 	2008.02.23 	-
Fortinet 	3.14.0.0 	2008.02.23 	-
F-Prot 	4.4.2.54 	2008.02.22 	-
F-Secure 	6.70.13260.0 	2008.02.22 	-
Ikarus 	T3.1.1.20 	2008.02.23 	-
Kaspersky 	7.0.0.125 	2008.02.23 	-
McAfee 	5236 	2008.02.22 	-
Microsoft 	1.3204 	2008.02.23 	-
NOD32v2 	2898 	2008.02.23 	-
Norman 	5.80.02 	2008.02.22 	-
Panda 	9.0.0.4 	2008.02.23 	-
Prevx1 	V2 	2008.02.23 	-
Rising 	20.32.52.00 	2008.02.23 	-
Sophos 	4.26.0 	2008.02.23 	-
Sunbelt 	3.0.893.0 	2008.02.23 	-
Symantec 	10 	2008.02.23 	-
TheHacker 	6.2.9.228 	2008.02.23 	-
VBA32 	3.12.6.1 	2008.02.21 	-
VirusBuster 	4.3.26:9 	2008.02.23 	-
Webwasher-Gateway 	6.6.2 	2008.02.23 	-
weitere Informationen
File size: 2 bytes
MD5: 444bcb3a3fcf8389296c49467f27e1d6
SHA1: 7a85f4764bbd6daf1c3545efbbf0f279a6dc0beb
PEiD: -

und die ordnerinhalte sind

C:\Programme\winvi
ein game zusatz für online games aber unbedenklich
schmeiß ich gleich runter brauch ich eh nich mehr

[markusg]

da fehlen dnch dateien

[georg003]

sorry war noch nich ganz fertig

aber sag mal was sagst du zu
C:WINDOWS\System32\ddccb.dll
und C:WINDOWS\System32\amstream.dll
und C:\WINDOWS\system32\lsass.exe

[markusg]

das du erst mal einen schritt abarbeiten solllst befor wir zum nächsten kommen.

[georg003]

hab ich doch hab oben alles hinzugefügt

[markusg]

sorry hatte ich übersehen.
dann weiter hiermit:
Datei-Upload:

• besuche folgende Netz-Adresse:
• http://www.thespykiller.co.uk/index.php?board=1.0
• du brauchst dich nicht zu registrieren.
• Eröffne einen neuen Thread mit dem Button (1) "New Topic"
• Damit klappt ein neues Fenster auf:

Gib deinen Namen (2) und deine Email-Adresse (3) an.
Gib in der Betreffzeile (" ADSPY/Bho.WT ") (4) an, um welche Malware es sich handelt.

Verweise auf deinen Thread bei uns (5), gib die URL deines Threads bei uns an:

Code:

 http://www.hijackthis-forum.de/showthread.php?p=180512#post180512

Suche nun mit der Funktion "Browse" (6) die Datei

C:\WINDOWS\system32\nsk8.dll
C:\WINDOWS\system32\amstrea.dll


und lade sie hoch.

Gib bitte folgende Information dazu an:

[code]Aditional information
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.2.22.0 2008.02.22 -
AntiVir 7.6.0.67 2008.02.22 ADSPY/Bho.WT
Authentium 4.93.8 2008.02.23 -
Avast 4.7.1098.0 2008.02.22 -
AVG 7.5.0.516 2008.02.22 -
BitDefender 7.2 2008.02.23 Adware.Fotomoto.Gen
CAT-QuickHeal 9.50 2008.02.22 -
ClamAV 0.92.1 2008.02.23 -
DrWeb 4.44.0.09170 2008.02.23 -
eSafe 7.0.15.0 2008.02.21 -
eTrust-Vet 31.3.5557 2008.02.23 -
Ewido 4.0 2008.02.23 -
FileAdvisor 1 2008.02.23 -
Fortinet 3.14.0.0 2008.02.23 -
F-Prot 4.4.2.54 2008.02.22 -
F-Secure 6.70.13260.0 2008.02.22 -
Ikarus T3.1.1.20 2008.02.23 AdWare.Fotomoto
Kaspersky 7.0.0.125 2008.02.23 -
McAfee 5236 2008.02.22 -
Microsoft 1.3204 2008.02.23 -
NOD32v2 2898 2008.02.23 -
Norman 5.80.02 2008.02.22 -
Panda 9.0.0.4 2008.02.23 -
Prevx1 V2 2008.02.23 Generic.Malware
Rising 20.32.52.00 2008.02.23 -
Sophos 4.26.0 2008.02.23 -
Sunbelt 3.0.893.0 2008.02.23 -
Symantec 10 2008.02.23 -
TheHacker 6.2.9.228 2008.02.23 -
VBA32 3.12.6.1 2008.02.21 -
VirusBuster 4.3.26:9 2008.02.23 -
Webwasher-Gateway 6.6.2 2008.02.23 Ad-Spyware.Bho.WT
weitere Informationen
File size: 233472 bytes
MD5: 953501e20a6682043aac6ae8a00d4b80
SHA1: 08686ad95408fe65b0d48f0ffc8480468321de58
PEiD: Armadillo v1.xx - v2.xx
Aditional information
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.2.22.0 2008.02.22 -
AntiVir 7.6.0.67 2008.02.22 -
Authentium 4.93.8 2008.02.23 -
Avast 4.7.1098.0 2008.02.22 -
AVG 7.5.0.516 2008.02.22 -
BitDefender 7.2 2008.02.23 -
CAT-QuickHeal 9.50 2008.02.22 -
ClamAV 0.92.1 2008.02.23 -
DrWeb 4.44.0.09170 2008.02.23 -
eSafe 7.0.15.0 2008.02.21 -
eTrust-Vet 31.3.5557 2008.02.23 Win32/Kvol!generic
Ewido 4.0 2008.02.23 -
FileAdvisor 1 2008.02.23 -
Fortinet 3.14.0.0 2008.02.23 -
F-Prot 4.4.2.54 2008.02.22 -
F-Secure 6.70.13260.0 2008.02.22 -
Ikarus T3.1.1.20 2008.02.23 Virus.Trojan.Win32.Pakes.cdw
Kaspersky 7.0.0.125 2008.02.23 -
McAfee 5236 2008.02.22 -
Microsoft 1.3204 2008.02.23 Trojan:Win32/Boaxxe.B
NOD32v2 2898 2008.02.23 -
Norman 5.80.02 2008.02.22 -
Panda 9.0.0.4 2008.02.23 Suspicious file
Prevx1 V2 2008.02.23 -
Rising 20.32.52.00 2008.02.23 -
Sophos 4.26.0 2008.02.23 -
Sunbelt 3.0.893.0 2008.02.23 -
Symantec 10 2008.02.23 -
TheHacker 6.2.9.228 2008.02.23 -
VBA32 3.12.6.1 2008.02.21 -
VirusBuster 4.3.26:9 2008.02.23 -
Webwasher-Gateway 6.6.2 2008.02.23 -
weitere Informationen
File size: 97792 bytes
MD5: 0082b4555c669f8b5194eb578db94d91
SHA1: dffe377114efa9dae825c14f69151ccb61c86db1
PEiD: -
packers: UPX
packers: UPX
packers: PE_Patch.UPX, UPX
PHP-Code:
Drücke auf "Post" (7).

Nun hast du einen neuen Thread mit dem Anhang deiner Datei
bei "thespykiller" eröffnet, man wird die Datei finden, analysieren und
an die Hersteller von Antivirus- und Anti-Spyware-Programmen weiterleiten.

Somit haben du und andere User eine Chance,
dass diese neue Infektion erkannt und entfernt werden kann.

Hinweis: nur authorisierte User können die hochgeladenen Dateien sehen. Bitte vermeide es, Dateien mehr als einmal hochzuladen.
Danke

Sei so nett und poste den Link zu deinem neuen Thread bei The Spykiller hier in deinen Thread.
Du wirst in deinem neuen Thread bei thespykiller benachrichtigt, welche Art Malware diese Datei
ist.
Bitte kopiere die Antwort hierher und poste sie.

Bitte füge die Dateien danach der Quarantäne von Antivir zu.
Antivir über den Schirm öffnen Qarantäne auswählen zu den dateien gehen und hinzufügen.
Mache dann hiermit weiter:

Einige Scans auf Dateien, Prozesse und Registryeinträge, die vor den meisten anderen Scannern versteckt werden (durch ein sogenanntes Rootkit). Während
dieser Scans soll(en):

• alle anderen Scanner gegen Viren, Spyware, usw deaktiviert sein
• keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN
  nicht vergessen)
• nichts am Rechner getan werden
• nach jedem Scan der Rechner neu gestartet werden

Gmer scannen lassen

• Lade
  dir Gmer von dieser Seite runter und entpacke es auf deinen Desktop.
• Starte gmer.exe. Alle anderen Programme
  sollen geschlossen sein.
• Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
• Wenn der Scan fertig ist klicke auf "Copy" um
  das Log in die Zwischenablage zu kopieren. Mit "Ok" wird Gmer beendet.
• Füge das Log aus der Zwischenablage in deine Antwort hier ein.

Catchme
scannen lassen

• Lade dir Catchme runter auf deinen Desktop.
• Starte Catchme.exe.
  Alle anderen Programme sollen geschlossen sein. Mit "Scan" starten.
• Falls nach dem Ende des Scans im Fenster Dateien stehen, dann klicke auf "Zip" damit
  eine Kopie dieser Dateien erzeugt wird. Die Dateien werden dabei nicht entfernt.
• Das Log ist in catchme.log, füge es vollständig in deine Antwort
  ein.

RootkitRevealer scannen lassen

• Lade RootkitRevealer
  runter und entpacke das Archiv in einen eigenen Ordner, z.B. C:\programme\rootkitrevealer.
• Starte in diesem Ordner RootkitRevealer.exe.
  Alle anderen Programme schließen.
• Starte durch Klick auf "Scan".
• Wenn der Scan fertig ist das Logfile mit File -> Save abspeichern.

Blacklight
scannen lassen

• Lade F-Secure Blacklight herunter in einen eigenen Ordner, z.B. C:\programme\blacklight.
• Starte
  in diesem Ordner fsbl.exe. Alle anderen Programme schließen.
• Klick "I accept the agreement", "next", "Scan".
• Wenn der Scan fertig ist beende
  Blacklight mit "Close".
• Im Verzeichnis von Blacklight findest Du das erstellte Log fsbl-XXX.log, anstelle der XXX steht eine längere Folge von Ziffern.

Scanner wieder einschalten, bevor Du ins Netz gehst!

-> Nun bitte alle Logs posten.