unbekannter Virus

[kira]

hi

1.
deinstalliere:
unter `Systemsteuerung -->Software -->Ändern/Entfernen...`

Code:

Ask Toolbar <- Adware -Toolbar

2.
Lade Malwarebytes Anti-Malware (ca. 2 MB) von einem dieser Downloadspiegel herunter:

Malwarebytes - MajorGeeks.com - BestTechie

• Anwendbar auf Windows 2000, XP, Vista und Windows 7.
• Installiere das Programm in den vorgegebenen Pfad.
• Denke daran, bei Vista das Programm als Admin zu starten, ansonsten per Doppelklick starten.
• Lasse es online updaten (Reiter Updates), sofern sich das Programm bereits auf dem Rechner befand.
• Aktiviere "Komplett Scan durchführen" => Scan.
• Wähle alle verfügbaren Laufwerke aus und starte den Scan.
• Wenn der Scan beendet ist, klicke auf "Zeige Resultate".
• Bei Funden in C:\System Volume Information den Haken entfernen.
  Ansonsten wird dieser Systemwiederherstellungspunkt nicht mehr funktionieren.
  Er könnte jedoch trotz Malware noch gebraucht werden.
  
• Versichere Dich, dass ansonsten alle Funde markiert sind und drücke "Löschen".
• Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter "Scan-Berichte" finden.
• Berichte, wie der Rechner nun läuft.

Hier findest Du eine ausführliche und bebilderte Anleitung

3.
poste erneut - nach der vorgenommenen Reinigungsaktion:
► TrendMicro™ HijackThis™ -Logfile - Keine offenen Fenster, solang bis HijackThis läuft!!

[doesunonn]

hi nochmal.
ich habe versucht die ask toolbar zu löschen aber es hat nicht funktioniert da der fehler "runtime error" angezeigt wurde.
daraus schließe ich mal das die noch irgendwie aktiv ist.
meine frage wäre dann wie kann ich die ask toolbar deaktivieren um sie zu löschen?? oder ist es notwendig sie zu löschen um schritt 2 durchzuführen??

[kira]

Gehe in den abgesicherten Modus (Link bitte unbedingt anklicken & lesen!) von windows und deinstalliere von dort: "Ask Toolbar"
Drücke beim Hochfahren des rechners [F8] solange, bis du eine auswahlmöglichkeit hast:

- Abgesicherter Modus
- Abgesicherter Modus mit Netzwerktreibern
- Abgesicherter Modus mit Eingabeaufforderung

[doesunonn]

hi
ich habe diese ask toolbar jetzt gelöscht.
außerdem habe ich den malwarebytes anti malware scan gemacht und die objekte gelöscht.
hier ist der logfile davon.

Code:

03.05.2010 16:12:50
mbam-log-2010-05-03 (16-12-50).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 208561
Laufzeit: 49 Minute(n), 43 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 4
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\avsuite (Rogue.AntivirusSuite) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\avsuite (Rogue.AntivirusSuite) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\avsoft (Trojan.Fraudpack) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\avsoft (Trojan.Fraudpack) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

[doesunonn]

hier ist das logfile von hijackthis

Code:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:32:41, on 03.05.2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS.0\System32\smss.exe
C:\WINDOWS.0\system32\winlogon.exe
C:\WINDOWS.0\system32\services.exe
C:\WINDOWS.0\system32\lsass.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\Explorer.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\Programme\Mozilla Firefox\firefox.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:5555
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS.0\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS.0\system32\hkcmd.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [hohgkgkj] C:\Dokumente und Einstellungen\Administrator.HOME-PC\Lokale Einstellungen\Anwendungsdaten\ichxalqyf\yckeodstssd.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS.0\system32\ctfmon.exe
O4 - HKCU\..\Run: [hohgkgkj] C:\Dokumente und Einstellungen\Administrator.HOME-PC\Lokale Einstellungen\Anwendungsdaten\ichxalqyf\yckeodstssd.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {5067A26B-1337-4436-8AFE-EE169C2DA79F} - C:\WINDOWS.0\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Skype add-on for Internet Explorer - {5067A26B-1337-4436-8AFE-EE169C2DA79F} - C:\WINDOWS.0\system32\shdocvw.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\WINDOWS.0\system32\shdocvw.dll
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe (file missing)
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FsUsbExService - Teruten - C:\WINDOWS.0\system32\FsUsbExService.Exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: LckFldService - Unknown owner - C:\WINDOWS.0\system32\LckFldService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NBService - Unknown owner - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe (file missing)
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Programme\CDBurnerXP\NMSAccessU.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUpUtilities2006\WinStylerThemeSvc.exe

--
End of file - 5853 bytes

[doesunonn]

wie man sieht ist wieder diese zeile die ich am anfang gelöscht habe wieder da

Code:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:5555

[doesunonn]

hi nochmal
ich habe den malwarebyte antimalware scan nochmal gemacht und dann erkannt das die infizierten dateien nur in die qurantäne verschoben wurden. ich habe sie dann anschließend alle endgültig gelöscht.
zudem habe ich nochmal die im letzten eintrag angegebene zeile, die ich auch am anfang schon gelöscht habe, nochmal gefixt, aber bei jedem neustart des computers ist sie bei einem weiteren hijackthis scan wieder da.
der computer an sich läuft auch nicht wieder. außer im abgesicherten modus lässt sich kein programm öffnen und wenn man auf den windows internet explorer geht kommt die nachricht das der besuch dieser seite (google usw.) meinem pc schaden würde und ich diese seite deshalb nicht besuchen kann.

[kira]

1.
Schliesse alle Programme einschliesslich Internet Explorer und fixe mit Hijackthis die Einträge aus der nachfolgenden Codebox (HijackThis starten--> `Do a system scan only`--> Einträge auswählen--> Häckhen setzen--> "Fix checked"klicken-->PC neu aufstarten) - fixe NUR Die von mir angegebenen Einträge!:
HijackThis erstellt ein Backup, Falls bei "Fixen" etwas schief geht, kann man unter "View the list of backups"- die Objekte wiederherstellen

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:5555
O4 - HKLM\..\Run: [hohgkgkj] C:\Dokumente und Einstellungen\Administrator.HOME-PC\Lokale Einstellungen\Anwendungsdaten\ichxalqyf\yckeodstssd.exe
O4 - HKCU\..\Run: [hohgkgkj] C:\Dokumente und Einstellungen\Administrator.HOME-PC\Lokale Einstellungen\Anwendungsdaten\ichxalqyf\yckeodstssd.exe

2.

**Vor dem Löschen temporärer Dateien sollte man unbedingt alle Anwendungen beenden!
**lösche nur den Inhalt der Ordner, nicht die Ordner selbst! - (Inhalt markieren und löschen)
**Der Temp Ordner,ist für temporäre Dateien,also der Inhalt kann man ohne weiteres löschen.- Dateien, die noch in Benutzung sind,nicht löschbar.

• klick auf START -> ausführen (schreib rein): cleanmgr -> ok.[/b]Vergewissere dich, dass die Temporary Files, Temporary Internet Files, und der Papierkorb (Recycle Bin) geleert werden.
  Klicke ok.
• gehe auf START -> ausführen (schreib rein): %temp% -> ok.[/b]
  Ordnerinhalt markieren dann löschen - Du leerst damit den/die Ordner C:\DOKUME~1\Dein Name\LOKALE~1\Temp\
• Mach das für jedes Benutzerkonto.
• Danach soll auch der Papierkorb geleert werden

3.
Öffne CCleaner - Anleitung CCleaner

• "Cleaner"->"Analysieren"->Klick auf den Button "Start CCleaner"
• "Registry""Fehler suchen"-> "Fehler beheben"->"Alle beheben"
• Starte dein System neu auf

4.
Lade ComboFix von einen dieser Download-Spiegel herunter:
BleepingComputer - ForoSpyware

ACHTUNG!:

• Reihenfolge und Anweisungen gründlich lesen und streng einhalten!!
• Falls es Probleme gibt,bitte nichts machen, sondern zuerst bei uns nachfragen!!

* Wichtig !! Speichere ComboFix auf dem Desktop

• Deaktivere Deine Anti-Virus- und Anti-Spyware-Programme. Normalerweise kannst Du dies über einen Rechtsklick auf das Systemtray-Icon tun. Die Programme könnten sonst eventuell unsere Programme bei deren Arbeit stören.
• Doppelklicke auf die ComboFix.exe und folge den Anweisungen.
• ComboFix wird schauen, ob die Microsoft-Windows-Wiederherstellungskonsole installiert ist. Dies ist Teil des Prozesses. Angesichts der Art von Malware Infizierungen, die es heute gibt, wird dringend empfohlen, diese Wiederherstellungskonsole auf dem PC installiert zu haben, bevor jegliche Reinigung von Malware durchgeführt wird.
• Folge den Anweisungen, um ComboFix das Herunterladen und Installieren der Wiederherstellungskonsole zu ermöglichen und stimme dem Lizenzvertrag (EULA) zu, sobald Du dazu aufgefordert wirst.

**Zur Information: Sollte die Wiederherstellungskonsole schon installiert sein, so wird ComboFix seine Malware-Entfernungsprozedur normal fortfahren.



Sobald die Wiederherstellungskonsole durch ComboFix installiert wurde, solltest Du folgende Nachricht sehen:



Klicke "Ja", um mit dem Suchlauf nach Malware fortzufahren.

ACHTUNG!: Bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein.
Dies kann dazu führen, dass ComboFix sich aufhängt.

Wenn ComboFix fertig ist, wird es ein Log erstellen. Bitte füge die C:\ComboFix.txt Deiner nächsten Antwort bei.
Nicht vergessen, die deaktivierten Programme wieder zu aktivieren!

Hinweis für Mitleser
Bitte Combofix nicht auf eigene Faust einsetzen. Wenn keine entsprechende Infektion vorliegt, kann das den Rechner lahmlegen und/oder nachhaltig schädigen!

[doesunonn]

danke für die schnelle antqort.
werde ich morgen direkt mit beginnen.

[doesunonn]

hi hier ist das logfile vom letzten punkt

Code:

ComboFix 10-05-03.06 - Administrator 04.05.2010  16:11:36.1.2 - x86 NETWORK
ausgeführt von:: c:\dokumente und einstellungen\Administrator.HOME-PC\Eigene Dateien\Downloads\ComboFix.exe
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\Administrator.HOME-PC\Lokale Einstellungen\Anwendungsdaten\ichxalqyf
c:\dokumente und einstellungen\Administrator.HOME-PC\Lokale Einstellungen\Anwendungsdaten\ichxalqyf\yckeodstssd.exe
c:\programme\WindowsUpdate
c:\windows.0\system32\tmp48.tmp
c:\windows.0\system32\tmp49.tmp

.
(((((((((((((((((((((((   Dateien erstellt von 2010-04-04 bis 2010-05-04  ))))))))))))))))))))))))))))))
.

2010-05-03 13:19 . 2010-04-29 13:39	38224	----a-w-	c:\windows.0\system32\drivers\mbamswissarmy.sys
2010-05-03 13:19 . 2010-05-03 13:19	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2010-05-03 13:19 . 2010-04-29 13:39	20952	----a-w-	c:\windows.0\system32\drivers\mbam.sys
2010-04-17 14:17 . 2010-04-24 19:17	43520	----a-w-	c:\windows.0\system32\CmdLineExt03.dll

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-01 13:29 . 2008-07-26 12:04	--------	d-----w-	c:\programme\GAMI
2010-04-30 11:27 . 2006-06-01 19:06	85336	----a-w-	c:\windows.0\system32\perfc007.dat
2010-04-30 11:27 . 2006-06-01 19:06	461976	----a-w-	c:\windows.0\system32\perfh007.dat
2010-03-22 21:32 . 2010-02-09 18:40	--------	d-----w-	c:\dokumente und einstellungen\Administrator.HOME-PC\Anwendungsdaten\gtk-2.0
2010-03-21 14:01 . 2010-03-21 13:57	--------	d-----w-	c:\programme\DirectX
2010-03-21 13:34 . 2010-03-21 13:22	109072752	----a-w-	c:\programme\directx_feb2010_redist.exe
2010-03-20 22:51 . 2007-06-24 12:02	--------	d--h--w-	c:\programme\InstallShield Installation Information
2010-02-04 12:37 . 2010-02-04 12:37	152576	----a-w-	c:\dokumente und einstellungen\Administrator.HOME-PC\Anwendungsdaten\Sun\Java\jre1.6.0_17\lzma.dll
2010-02-04 12:37 . 2010-02-04 12:37	79488	----a-w-	c:\dokumente und einstellungen\Administrator.HOME-PC\Anwendungsdaten\Sun\Java\jre1.6.0_17\gtapi.dll
2010-02-04 09:21 . 2010-02-04 09:21	525656	----a-w-	C:\DXSETUP.exe
2010-02-04 09:21 . 2010-02-04 09:21	94040	----a-w-	C:\DSETUP.dll
2010-02-04 09:21 . 2010-02-04 09:21	1691480	----a-w-	C:\dsetup32.dll
2008-05-05 18:26 . 2005-08-15 15:10	1637	----a-w-	c:\programme\D2P.exe.config
2006-03-24 09:37 . 2006-03-24 09:37	1105920	----a-w-	c:\programme\D2P.exe
2006-03-24 09:37 . 2006-03-24 09:37	323584	----a-w-	c:\programme\CommonGUI.dll
2006-03-24 09:37 . 2006-03-24 09:37	122880	----a-w-	c:\programme\CommonUtils.dll
2006-03-23 13:14 . 2006-03-23 13:14	105594	----a-r-	c:\programme\D2P.chm
2005-11-30 19:59 . 2005-11-30 19:59	49152	----a-w-	c:\programme\AxInterop.SHDocVw.dll
2005-11-30 19:59 . 2005-11-30 19:59	131072	----a-w-	c:\programme\Interop.SHDocVw.dll
2005-09-22 19:05 . 2005-09-22 19:05	53248	----a-w-	c:\programme\Interop.Shell32.dll
2005-04-04 07:52 . 2005-04-04 07:52	765952	----a-r-	c:\programme\CDDBUI.dll
2005-04-04 07:52 . 2005-04-04 07:52	589824	----a-r-	c:\programme\CDDBControl.dll
2005-04-04 07:52 . 2005-04-04 07:52	143360	----a-w-	c:\programme\Interop.CDDBCONTROLLib.dll
2005-04-04 07:52 . 2005-04-04 07:52	12800	----a-w-	c:\programme\Interop.CDDBUICONTROLLib.dll
2005-03-10 10:06 . 2005-03-10 10:06	86016	----a-r-	c:\programme\CddbLangJA.dll
2005-03-10 10:06 . 2005-03-10 10:06	81920	----a-r-	c:\programme\CddbLangKO.dll
2005-03-10 10:06 . 2005-03-10 10:06	77824	----a-r-	c:\programme\CddbLangZT.dll
2005-03-10 10:06 . 2005-03-10 10:06	77824	----a-r-	c:\programme\CddbLangZH.dll
2005-03-10 10:06 . 2005-03-10 10:06	110592	----a-r-	c:\programme\CddbLangPT_BR.dll
2005-03-10 10:06 . 2005-03-10 10:06	110592	----a-r-	c:\programme\CddbLangNL.dll
2005-03-10 10:06 . 2005-03-10 10:06	110592	----a-r-	c:\programme\CddbLangIT.dll
2005-03-10 10:06 . 2005-03-10 10:06	110592	----a-r-	c:\programme\CddbLangFR.dll
2005-03-10 10:06 . 2005-03-10 10:06	110592	----a-r-	c:\programme\CddbLangES.dll
2005-03-10 10:06 . 2005-03-10 10:06	110592	----a-r-	c:\programme\CddbLangDE.dll
2005-03-10 10:06 . 2005-03-10 10:06	106496	----a-r-	c:\programme\CddbLangSV.dll
2005-03-10 10:06 . 2005-03-10 10:06	102400	----a-r-	c:\programme\CddbLangTH.dll
2004-11-09 09:07 . 2004-11-09 09:07	606	----a-r-	c:\programme\D2P.exe.manifest
2004-11-09 09:07 . 2004-11-09 09:07	0	----a-r-	c:\programme\D2P.exe.local
2004-08-03 21:56 . 2004-08-03 21:56	49152	----a-w-	c:\programme\AxInterop.WMPLib.dll
2004-08-03 21:56 . 2004-08-03 21:56	270336	----a-w-	c:\programme\Interop.WMPLib.dll
2004-08-03 20:01 . 2004-08-03 20:01	49152	----a-w-	c:\programme\Interop.IWshRuntimeLibrary.dll
2009-05-01 21:02 . 2009-05-01 21:02	1044480	----a-w-	c:\programme\mozilla firefox\plugins\libdivx.dll
2009-05-01 21:02 . 2009-05-01 21:02	200704	----a-w-	c:\programme\mozilla firefox\plugins\ssldivx.dll
2006-05-03 10:06 . 2009-06-02 15:22	163328	--sh--r-	c:\windows.0\system32\flvDX.dll
2007-02-21 11:47 . 2009-06-02 15:22	31232	--sh--r-	c:\windows.0\system32\msfDX.dll
2008-03-16 13:30 . 2009-06-02 15:22	216064	--sh--r-	c:\windows.0\system32\nbDX.dll
2009-04-26 21:22 . 2008-04-14 14:25	37121312	--sha-w-	c:\windows.0\system32\drivers\fidbox.dat
2009-04-26 21:22 . 2008-04-14 14:25	545312	--sha-w-	c:\windows.0\system32\drivers\fidbox2.dat
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RemoteControl"="c:\programme\CyberLink\PowerDVD\PDVDServ.exe" [2004-11-02 32768]
"IgfxTray"="c:\windows.0\system32\igfxtray.exe" [2004-08-20 155648]
"HotKeysCmds"="c:\windows.0\system32\hkcmd.exe" [2004-08-20 118784]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2008-01-10 385024]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-09-18 185896]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-03-24 952768]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows.0\system32\CTFMON.EXE" [2006-06-01 15360]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Administrator.HOME-PC^Startmenü^Programme^Autostart^Picture Motion Browser Medien-Prüfung.lnk]
path=c:\dokumente und einstellungen\Administrator.HOME-PC\Startmenü\Programme\Autostart\Picture Motion Browser Medien-Prüfung.lnk
backup=c:\windows.0\pss\Picture Motion Browser Medien-Prüfung.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
2007-06-27 17:03	152872	----a-w-	c:\programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
2006-06-01 19:06	15360	----a-w-	c:\windows.0\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2008-01-15 02:22	267048	----a-w-	c:\programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LightScribe Control Panel]
2008-01-24 11:32	2289664	----a-w-	c:\programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]
2009-02-06 16:51	3885408	----a-w-	c:\programme\Windows Live\Messenger\msnmsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2007-03-01 13:57	153136	----a-w-	c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WEB.DE Update]
2009-08-11 09:22	4540272	----a-w-	c:\programme\Web.de\LiveUpdate\WEB.DE Update.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=

R0 sfsync03;StarForce Protection Synchronization Driver (version 3.x);c:\windows.0\system32\drivers\sfsync03.sys [06.12.2005 17:11 35328]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [15.08.2009 14:41 108289]
S2 FsUsbExService;FsUsbExService;c:\windows.0\system32\FsUsbExService.Exe [14.09.2009 17:05 233472]
S3 FsUsbExDisk;FsUsbExDisk;c:\windows.0\system32\FsUsbExDisk.Sys [14.09.2009 17:05 36608]
S3 iatmunin;iatmunin;\??\c:\dokume~1\ADMINI~1.HOM\LOKALE~1\Temp\iatmunin.sys --> c:\dokume~1\ADMINI~1.HOM\LOKALE~1\Temp\iatmunin.sys [?]
S3 ss_bbus;SAMSUNG USB Mobile Device (WDM);c:\windows.0\system32\drivers\ss_bbus.sys [14.09.2009 17:05 90112]
S3 ss_bmdfl;SAMSUNG USB Mobile Modem (Filter);c:\windows.0\system32\drivers\ss_bmdfl.sys [14.09.2009 17:05 14976]
S3 ss_bmdm;SAMSUNG USB Mobile Modem;c:\windows.0\system32\drivers\ss_bmdm.sys [14.09.2009 17:05 121856]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
2008-01-24 11:30	451872	----a-w-	c:\programme\Gemeinsame Dateien\LightScribe\LSRunOnce.exe
.
Inhalt des "geplante Tasks" Ordners

2010-02-12 c:\windows.0\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUpUtilities2006\SystemOptimizer.exe [2005-08-24 00:29]

2010-04-15 c:\windows.0\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2007-08-29 11:34]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uInternet Settings,ProxyOverride = <local>
FF - ProfilePath - c:\dokumente und einstellungen\Administrator.HOME-PC\Anwendungsdaten\Mozilla\Firefox\Profiles\mch7e1s8.default\
FF - prefs.js: browser.search.defaulturl - hxxp://suche.web.de/search/web/?origin=searchplugin&su=
FF - prefs.js: browser.search.selectedEngine - Ask
FF - prefs.js: browser.startup.homepage - hxxp://start.icq.com/
FF - prefs.js: keyword.URL - hxxp://toolbar.ask.com/toolbarv/askRedirect?o=13165&gct=&gc=1&q=

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation",  false);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

Toolbar-SITEguard - (no file)
MSConfigStartUp-RegistryMechanic - c:\programme\Registry Mechanic\RegMech.exe
AddRemove-Folder Access 2.0.0 Full Version - e:\progra~1\FOLDER~1\FOLDER~1.EXE



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-05-04 16:17
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(596)
c:\windows.0\system32\sfc_os.dll
.
Zeit der Fertigstellung: 2010-05-04  16:21:02
ComboFix-quarantined-files.txt  2010-05-04 14:20

Vor Suchlauf: 4.929.413.120 Bytes frei
Nach Suchlauf: 4.966.887.424 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS.0
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS.0="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

- - End Of File - - A0A9BDC54F74DF6489431A4751507373