Computerhilfen.de Logo
Forum
Tipps
News
Frage stellen

Versteckte Objekte in AntiVir nach Firewall-Absturz

Hallo,

meine XP-eigene Firewall und mein AntiVir-Guard haben sich gestern von selbst deaktiviert. Heute kam es dann zu diesem Suchlauf-Ergebnis in AntiVir.
Könnt ihr mir helfen, was ich mit den 14 versteckten Objekten machen soll?
Habe außer in AntiVir noch Reinigungen in SpyBot, CCleaner, Gmer und HijackThis durchführen lassen. Bei den Programmen ist das Suchergebnis okay.

Vielen Dank schon mal!
Andi


Hier die Auswertung:
------------------------------
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Mittwoch, 19. August 2009  14:33

Es wird nach 1647178 Virenstämmen gesucht.

Lizenznehmer   : Avira AntiVir Personal - FREE Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows XP
Windowsversion : (Service Pack 3)  [5.1.2600]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : ANDREAS-1611F94

Versionsinformationen:
BUILD.DAT      : 9.0.0.407     17961 Bytes  29.07.2009 10:29:00
AVSCAN.EXE     : 9.0.3.7      466689 Bytes  21.07.2009 12:36:08
AVSCAN.DLL     : 9.0.3.0       49409 Bytes  13.02.2009 11:04:10
LUKE.DLL       : 9.0.3.2      209665 Bytes  20.02.2009 10:35:44
LUKERES.DLL    : 9.0.2.0       13569 Bytes  26.01.2009 09:41:59
ANTIVIR0.VDF   : 7.1.0.0    15603712 Bytes  27.10.2008 11:30:36
ANTIVIR1.VDF   : 7.1.4.132   5707264 Bytes  24.06.2009 08:21:42
ANTIVIR2.VDF   : 7.1.5.88    2668032 Bytes  10.08.2009 21:17:20
ANTIVIR3.VDF   : 7.1.5.132    398848 Bytes  18.08.2009 21:17:21
Engineversion  : 8.2.1.3 
AEVDF.DLL      : 8.1.1.1      106868 Bytes  28.07.2009 12:17:15
AESCRIPT.DLL   : 8.1.2.25     459130 Bytes  18.08.2009 21:17:23
AESCN.DLL      : 8.1.2.4      127348 Bytes  23.07.2009 08:59:39
AERDL.DLL      : 8.1.2.4      430452 Bytes  23.07.2009 08:59:39
AEPACK.DLL     : 8.1.3.18     401783 Bytes  28.07.2009 12:17:14
AEOFFICE.DLL   : 8.1.0.38     196987 Bytes  23.07.2009 08:59:39
AEHEUR.DLL     : 8.1.0.155   1921400 Bytes  18.08.2009 21:17:23
AEHELP.DLL     : 8.1.6.0      233846 Bytes  18.08.2009 21:17:21
AEGEN.DLL      : 8.1.1.57     356725 Bytes  18.08.2009 21:17:21
AEEMU.DLL      : 8.1.0.9      393588 Bytes  09.10.2008 13:32:40
AECORE.DLL     : 8.1.7.6      184694 Bytes  23.07.2009 08:59:39
AEBB.DLL       : 8.1.0.3       53618 Bytes  09.10.2008 13:32:40
AVWINLL.DLL    : 9.0.0.3       18177 Bytes  12.12.2008 07:47:56
AVPREF.DLL     : 9.0.0.1       43777 Bytes  03.12.2008 10:39:55
AVREP.DLL      : 8.0.0.3      155905 Bytes  20.01.2009 13:34:28
AVREG.DLL      : 9.0.0.0       36609 Bytes  07.11.2008 14:25:04
AVARKT.DLL     : 9.0.0.3      292609 Bytes  24.03.2009 14:05:37
AVEVTLOG.DLL   : 9.0.0.7      167169 Bytes  30.01.2009 09:37:04
SQLITE3.DLL    : 3.6.1.0      326401 Bytes  28.01.2009 14:03:49
SMTPLIB.DLL    : 9.2.0.25      28417 Bytes  02.02.2009 07:21:28
NETNT.DLL      : 9.0.0.0       11521 Bytes  07.11.2008 14:41:21
RCIMAGE.DLL    : 9.0.0.25    2438913 Bytes  15.05.2009 14:35:17
RCTEXT.DLL     : 9.0.37.0      87809 Bytes  17.04.2009 09:13:12

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, F:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel

Beginn des Suchlaufs: Mittwoch, 19. August 2009  14:33

Der Suchlauf nach versteckten Objekten wird begonnen.
c:\windows\system32\kbiwkmdribabvp.dll
    [INFO]      Die Datei ist nicht sichtbar.
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 4af4f1d7.qua erstellt ( QUARANTÄNE )
c:\windows\system32\kbiwkmeqwmqevp.dat
    [INFO]      Die Datei ist nicht sichtbar.
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 4b89fd38.qua erstellt ( QUARANTÄNE )
c:\windows\system32\kbiwkmfheweyuo.dll
    [INFO]      Die Datei ist nicht sichtbar.
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 4b8bc518.qua erstellt ( QUARANTÄNE )
c:\windows\system32\kbiwkmlpasacup.dat
    [INFO]      Die Datei ist nicht sichtbar.
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 4b75ad78.qua erstellt ( QUARANTÄNE )
c:\windows\system32\kbiwkmqfvksvim.dll
    [INFO]      Die Datei ist nicht sichtbar.
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 4b777558.qua erstellt ( QUARANTÄNE )
c:\windows\system32\kbiwkmwcsxylqv.dat
    [INFO]      Die Datei ist nicht sichtbar.
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 4b715db8.qua erstellt ( QUARANTÄNE )
c:\windows\system32\kbiwkmwsrsejej.dll
    [INFO]      Die Datei ist nicht sichtbar.
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 4b732598.qua erstellt ( QUARANTÄNE )
c:\windows\system32\drivers\kbiwkmqlsuvpuo.sys
    [INFO]      Die Datei ist nicht sichtbar.
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 49706ff8.qua erstellt ( QUARANTÄNE )
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\kbiwkmivpayour\main
    [INFO]      Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\kbiwkmivpayour\modules
    [INFO]      Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\kbiwkmivpayour\start
    [INFO]      Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\kbiwkmivpayour\type
    [INFO]      Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\kbiwkmivpayour\group
    [INFO]      Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\kbiwkmivpayour\imagepath
    [INFO]      Der Registrierungseintrag ist nicht sichtbar.
Es wurden '57766' Objekte überprüft, '14' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'McSACore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Rainlendar2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EM_EXEC.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Core.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MemOptimizer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SSAAD.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RocketDock.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLanNetService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Vm_sti.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLanGUI.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '41' Prozesse mit '41' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'F:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '66' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <SYSTEM>
C:\pagefile.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
    [HINWEIS]   Bei dieser Datei handelt es sich um eine Windows Systemdatei.
    [HINWEIS]   Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\WINDOWS\system32\drivers\sptd.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'F:\' <DATEN>


Ende des Suchlaufs: Mittwoch, 19. August 2009  15:21
Benötigte Zeit: 48:08 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

  11330 Verzeichnisse wurden überprüft
 286519 Dateien wurden geprüft
      0 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      8 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      2 Dateien konnten nicht durchsucht werden
 286517 Dateien ohne Befall
   2273 Archive wurden durchsucht
      2 Warnungen
      9 Hinweise
  57766 Objekte wurden beim Rootkitscan durchsucht
     14 Versteckte Objekte wurden gefunden
-------------------------------
 



Antworten zu Versteckte Objekte in AntiVir nach Firewall-Absturz:

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Malwarebytes' Anti-Malware hat keine infizierten Dateien gefunden. Spybot-Search & Destroy hat gemeldet, dass ich keine Spione auf dem PC habe. Sophos Anti-Rootkit hat nichts gefunden, GMER meldet auch nichts schädliches.
Habe nochmal einen Suchdurchlauf mit AntiVir gemacht. Die Anzahl der versteckten Objekte hat sich von 14 auf 6 reduziert:

-------AntiVir-Such-Ergebnis-------
Der Suchlauf nach versteckten Objekten wird begonnen.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\kbiwkmivpayour\main
    [INFO]      Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\kbiwkmivpayour\modules
    [INFO]      Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\kbiwkmivpayour\start
    [INFO]      Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\kbiwkmivpayour\type
    [INFO]      Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\kbiwkmivpayour\group
    [INFO]      Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\kbiwkmivpayour\imagepath
    [INFO]      Der Registrierungseintrag ist nicht sichtbar.
Es wurden '58147' Objekte überprüft, '6' versteckte Objekte wurden gefunden.


----Malwarebytes' Anti-Malware-Suchergebnis----
Datenbank Version: 2656
Windows 5.1.2600 Service Pack 3

20.08.2009 23:28:45
mbam-log-2009-08-20 (23-28-45).txt

Scan-Methode: Vollständiger Scan (C:\|F:\|)
Durchsuchte Objekte: 221283
Laufzeit: 6 hour(s), 1 minute(s), 41 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

 

----Hijack-This-Suchergebnis---

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:28:45, on 21.08.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16876)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\McAfee\SiteAdvisor\McSACore.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\avmwlanstick\wlangui.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\VM_STI.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\RocketDock\RocketDock.exe
C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\TuneUp Utilities 2008\MemOptimizer.exe
C:\Programme\Electronic Arts\EADM\Core.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Rainlendar\Rainlendar2.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Programme\HP\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: HP Print Clips - {053F9267-DC04-4294-A72C-58F732D338C0} - C:\Programme\HP\Smart Web Printing\hpswp_framework.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Programme\BitComet\tools\BitCometBHO_1.1.9.24.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: McAfee SiteAdvisor BHO - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O3 - Toolbar: McAfee SiteAdvisor Toolbar - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE Vimicro USB PC Camera (ZC0301PL)
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [RocketDock] "C:\Programme\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [SsAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2008\MemOptimizer.exe" autostart
O4 - HKCU\..\Run: [EA Core] "C:\Programme\Electronic Arts\EADM\Core.exe" -silent
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Rainlendar2] C:\Programme\Rainlendar\Rainlendar2.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: BitComet Search - {461CC20B-FB6E-4f16-8FE8-C29359DB100E} - C:\Programme\BitComet\tools\BitCometBHO_1.1.9.24.dll
O9 - Extra button: HP Sammelmappe - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Programme\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: HP Intelligente Auswahl - {700259D7-1666-479a-93B1-3250410481E8} - C:\Programme\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://a1540.g.akamai.net/7/1540/52/20070711/qtinstall.info.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Programme\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: McAfee SiteAdvisor Service - Unknown owner - C:\Programme\McAfee\SiteAdvisor\McSACore.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PACSPTISVR - Unknown owner - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: SonicStage Back-End Service - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SsBeSvc.exe
O23 - Service: Sony SCSI Helper Service - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\Fsk\SonySCSIHelperService.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: XYEBC - Unknown owner - C:\DOKUME~1\Andreas\LOKALE~1\Temp\XYEBC.exe (file missing)

--
End of file - 10944 bytes
 

 

Zitat
c:\windows\system32\kbiwkmeqwmqevp.dat

viel spass

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Könnte ein Rootkit sein.

Solltest dir mal einen Rootkit-Scanner besorgen und dein System damit scannen.

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Teatimer ausschalten!!!

Und Combofix anwenden:
http://virus-protect.org/artikel/tools/combofix.html
 

Vielen Dank!
Mit ComboFix wurde alles behoben und er hat sogar noch was anderes gefunden. Sehr geil! :-)

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Moment !!

Wo ist der Logfile von Combofix ??

Sind noch nicht fertig ;-)

ADS - WINDOWS: deleted 24 bytes in 1 streams.

Weitere Löschungen 
.

C:\non.....er.dll
c:\windows\Fonts\CaliqMed.ttf
c:\windows\Fonts\Death Magnetic 2.ttf
c:\windows\Fonts\Death Magnetic.ttf
c:\windows\Fonts\helsinki.ttf
c:\windows\Fonts\Wendelin-Fett.ttf
c:\windows\Fonts\WendelinBreitfett.ttf
c:\windows\Fonts\WendelinNormal.ttf
c:\windows\Fonts\WendelinNormalKapitaelchen.ttf
c:\windows\Fonts\WendelinNormalKursiv.ttf
c:\windows\Fonts\ZWAdobeF.TTF
c:\windows\system32\AutoRun.inf

.
Treiber/Dienste 
.

-------\Legacy_AAAAANON.....ER
-------\Legacy_kbiwkmivpayour
-------\Service_aaaaanon.....er
-------\Service_kbiwkmivpayour


Dateien erstellt von 2009-07-21 bis 2009-08-21 
.

2009-08-19 16:07 . 2009-08-19 16:07   3942048   ----a-w-   c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe
2009-08-19 16:06 . 2009-08-19 16:06   --------   d-----w-   c:\dokumente und einstellungen\Andreas\Anwendungsdaten\Malwarebytes
2009-08-19 16:06 . 2009-08-03 11:36   38160   ----a-w-   c:\windows\system32\drivers\mbamswissarmy.sys
2009-08-19 16:06 . 2009-08-19 16:07   --------   d-----w-   c:\programme\Malwarebytes Anti-Malware
2009-08-19 16:06 . 2009-08-19 16:06   --------   d-----w-   c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-08-19 16:06 . 2009-08-03 11:36   19096   ----a-w-   c:\windows\system32\drivers\mbam.sys
2009-08-18 21:14 . 2009-03-30 08:33   96104   ----a-w-   c:\windows\system32\drivers\avipbb.sys
2009-08-18 21:14 . 2009-02-13 10:29   22360   ----a-w-   c:\windows\system32\drivers\avgntmgr.sys
2009-08-18 21:14 . 2009-02-13 10:17   45416   ----a-w-   c:\windows\system32\drivers\avgntdd.sys
2009-08-18 21:14 . 2009-08-18 21:14   --------   d-----w-   c:\programme\Avira
2009-08-18 21:14 . 2009-08-18 21:14   --------   d-----w-   c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2009-08-17 20:45 . 2009-08-17 20:45   --------   d-----w-   c:\windows\system32\XPSViewer
2009-08-17 20:45 . 2009-08-17 20:45   --------   d-----w-   c:\programme\Reference Assemblies
2009-08-17 20:44 . 2008-07-06 12:06   89088   -c----w-   c:\windows\system32\dllcache\filterpipelineprintproc.dll
2009-08-17 20:44 . 2008-07-06 12:06   117760   ------w-   c:\windows\system32\prntvpt.dll
2009-08-17 20:44 . 2008-07-06 10:50   597504   -c----w-   c:\windows\system32\dllcache\printfilterpipelinesvc.exe
2009-08-17 20:44 . 2008-07-06 12:06   575488   -c----w-   c:\windows\system32\dllcache\xpsshhdr.dll
2009-08-17 20:44 . 2008-07-06 12:06   575488   ------w-   c:\windows\system32\xpsshhdr.dll
2009-08-17 20:44 . 2008-07-06 12:06   1676288   -c----w-   c:\windows\system32\dllcache\xpssvcs.dll
2009-08-17 20:44 . 2008-07-06 12:06   1676288   ------w-   c:\windows\system32\xpssvcs.dll
2009-08-17 20:44 . 2009-08-18 14:41   --------   d-----w-   c:\windows\SxsCaPendDel
2009-08-17 14:44 . 2009-07-10 13:26   1315328   -c----w-   c:\windows\system32\dllcache\msoe.dll
2009-08-05 08:59 . 2009-08-05 08:59   206336   -c----w-   c:\windows\system32\dllcache\mswebdvd.dll
2009-08-02 18:01 . 2009-08-02 18:01   --------   d-----w-   c:\windows\system32\wbem\Repository
2009-07-28 17:49 . 2009-07-28 17:49   102816   ---ha-w-   c:\windows\system32\mlfcache.dat
2009-07-28 17:47 . 2009-07-28 17:47   --------   d-----w-   c:\programme\Safari
2009-07-28 17:47 . 2009-07-28 17:47   --------   d-----w-   c:\programme\Bonjour
2009-07-25 16:11 . 2009-07-25 16:11   --------   d-----w-   c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Apple
2009-07-25 12:49 . 2009-07-25 14:09   --------   d-----w-   c:\dokumente und einstellungen\Andreas\Anwendungsdaten\skypePM
2009-07-25 12:49 . 2009-07-25 12:49   56   ---ha-w-   c:\windows\system32\ezsidmv.dat
2009-07-25 12:47 . 2009-07-25 18:05   --------   d-----w-   c:\dokumente und einstellungen\Andreas\Anwendungsdaten\Skype
2009-07-25 12:47 . 2009-07-25 12:47   --------   d-----w-   c:\programme\Gemeinsame Dateien\Skype
2009-07-25 12:47 . 2009-07-25 12:47   --------   d-----r-   c:\programme\Skype
2009-07-25 12:47 . 2009-07-25 12:47   --------   d-----w-   c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype
2009-07-25 12:19 . 2009-07-25 12:19   --------   d-----w-   c:\windows\CatRoot
2009-07-25 12:19 . 2006-03-10 08:22   194933   ----a-w-   c:\windows\system32\drivers\usbVM31b.sys
2009-07-25 12:19 . 2004-12-15 17:01   40960   ----a-w-   c:\windows\Vm_sti.exe
2009-07-25 12:19 . 2004-12-10 12:30   61440   ----a-w-   c:\windows\system32\VM31bSTI.dll
2009-07-25 12:19 . 2004-12-10 08:07   94208   ----a-w-   c:\windows\VMCap.exe
2009-07-25 12:19 . 2004-12-09 13:41   57344   ----a-w-   c:\windows\StillCap.exe
2009-07-25 12:19 . 2004-03-08 15:00   24576   ----a-w-   c:\windows\RunSetup.dll
2009-07-25 12:19 . 2002-10-16 07:29   49152   ----a-w-   c:\windows\amcap.exe
2009-07-25 12:19 . 2000-10-31 10:00   307200   ----a-w-   c:\windows\vidcap32.Exe
2009-07-25 12:19 . 2009-07-25 12:19   --------   d-----w-   c:\programme\Vimicro

.
Find3M Bericht
.
2009-08-21 10:13 . 2006-12-23 23:15   --------   d-----w-   c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-08-18 17:09 . 2009-04-23 15:43   --------   d-----w-   c:\dokumente und einstellungen\Andreas\Anwendungsdaten\Any Video Converter
2009-08-18 17:09 . 2009-04-23 15:43   --------   d-----w-   c:\programme\Video Converter
2009-08-18 15:48 . 2006-12-05 22:31   --------   d-----w-   c:\programme\Winamp
2009-08-18 14:45 . 2004-08-04 12:00   81118   ----a-w-   c:\windows\system32\perfc007.dat
2009-08-18 14:45 . 2004-08-04 12:00   452310   ----a-w-   c:\windows\system32\perfh007.dat
2009-08-18 14:43 . 2006-12-05 18:30   133352   ----a-w-   c:\dokumente und einstellungen\Andreas\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-08-17 20:41 . 2007-01-11 16:39   --------   d-----w-   c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2009-08-17 15:42 . 2006-12-07 17:15   --------   d-----w-   c:\programme\Mp3tag
2009-08-05 08:59 . 2004-08-04 12:00   206336   ----a-w-   c:\windows\system32\mswebdvd.dll
2009-08-04 18:37 . 2006-12-08 17:48   --------   d-----w-   c:\programme\RocketDock
2009-08-02 18:01 . 2006-12-23 23:15   --------   d-----w-   c:\programme\Spybot - Search & Destroy
2009-07-28 14:33 . 2009-03-21 12:52   55656   ----a-w-   c:\windows\system32\drivers\avgntflt.sys
2009-07-25 12:19 . 2006-12-04 15:24   --------   d--h--w-   c:\programme\InstallShield Installation Information
2009-07-24 19:14 . 2006-12-04 15:09   --------   d-----w-   c:\programme\Gemeinsame Dateien\InstallShield
2009-07-21 13:13 . 2009-07-21 13:13   --------   d-----w-   c:\programme\Fifa Master
2009-07-18 13:57 . 2008-07-21 09:35   --------   d-----w-   c:\dokumente und einstellungen\All Users\Anwendungsdaten\DVD Shrink
2009-07-17 19:01 . 2004-08-04 12:00   58880   ----a-w-   c:\windows\system32\atl.dll
2009-07-14 15:05 . 2009-07-14 15:01   --------   d-----w-   c:\programme\ICQ6.5
2009-07-14 15:03 . 2008-04-08 17:37   --------   d-----w-   c:\programme\ICQ6
2009-07-13 21:43 . 2004-08-04 12:00   286208   ----a-w-   c:\windows\system32\wmpdxm.dll
2009-07-01 18:17 . 2009-07-01 18:17   69632   ----a-w-   c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer\Installer Cache\Safari 4.30.19.1\SetupAdmin.exe
2009-06-29 15:55 . 2004-08-04 12:00   827392   ----a-w-   c:\windows\system32\wininet.dll
2009-06-29 15:55 . 2004-08-04 12:00   78336   ----a-w-   c:\windows\system32\ieencode.dll
2009-06-29 15:55 . 2004-08-04 12:00   17408   ----a-w-   c:\windows\system32\corpol.dll
2009-06-25 14:33 . 2009-06-25 14:33   520192   ----a-w-   c:\windows\system32\UEFA 2008 (de).scr
2009-06-25 08:25 . 2004-08-04 12:00   737792   ----a-w-   c:\windows\system32\lsasrv.dll
2009-06-25 08:25 . 2004-08-04 12:00   56832   ----a-w-   c:\windows\system32\secur32.dll
2009-06-25 08:25 . 2004-08-04 12:00   54272   ----a-w-   c:\windows\system32\wdigest.dll
2009-06-25 08:25 . 2004-08-04 12:00   301568   ----a-w-   c:\windows\system32\kerberos.dll
2009-06-25 08:25 . 2004-08-04 12:00   147456   ----a-w-   c:\windows\system32\schannel.dll
2009-06-25 08:25 . 2004-08-04 12:00   136192   ----a-w-   c:\windows\system32\msv1_0.dll
2009-06-24 11:18 . 2004-08-04 12:00   92928   ----a-w-   c:\windows\system32\drivers\ksecdd.sys
2009-06-23 18:42 . 2009-02-08 17:05   --------   d-----w-   c:\dokumente und einstellungen\All Users\Anwendungsdaten\Electronic Arts
2009-06-23 18:40 . 2009-06-23 18:40   10134   ----a-r-   c:\dokumente und einstellungen\Andreas\Anwendungsdaten\Microsoft\Installer\{E3E71D07-CD27-46CB-8448-16D4FB29AA13}\ARPPRODUCTICON.exe
2009-06-23 18:40 . 2009-06-23 18:40   --------   d-----w-   c:\programme\Microsoft WSE
2009-06-23 18:21 . 2009-06-23 18:21   --------   d-----w-   c:\programme\Alcohol Soft
2009-06-23 18:15 . 2009-06-23 18:15   --------   d-----w-   c:\dokumente und einstellungen\Andreas\Anwendungsdaten\DAEMON Tools Pro
2009-06-16 14:36 . 2004-08-04 12:00   81920   ----a-w-   c:\windows\system32\fontsub.dll
2009-06-16 14:36 . 2004-08-04 12:00   119808   ----a-w-   c:\windows\system32\t2embed.dll
2009-06-15 10:43 . 2004-08-04 12:00   78848   ----a-w-   c:\windows\system32\telnet.exe
2009-06-10 14:13 . 2004-08-04 12:00   85504   ----a-w-   c:\windows\system32\avifil32.dll
2009-06-10 07:19 . 2006-12-04 14:52   2066432   ----a-w-   c:\windows\system32\mstscax.dll
2009-06-10 06:14 . 2004-08-04 12:00   132096   ----a-w-   c:\windows\system32\wkssvc.dll
2009-06-03 19:09 . 2004-08-04 12:00   1296896   ----a-w-   c:\windows\system32\quartz.dll
2000-01-01 00:00 . 2000-01-01 00:00   23   --sh--r-   c:\windows\mtlid64s2.dat
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RocketDock"="c:\programme\RocketDock\RocketDock.exe" [2007-09-02 495616]
"SsAAD.exe"="c:\progra~1\Sony\SONICS~1\SsAAD.exe" [2007-02-05 476728]
"TuneUp MemOptimizer"="c:\programme\TuneUp Utilities 2008\MemOptimizer.exe" [2008-06-11 154368]
"EA Core"="c:\programme\Electronic Arts\EADM\Core.exe" [2009-04-29 3338240]
"Rainlendar2"="c:\programme\Rainlendar\Rainlendar2.exe" [2009-02-21 4333568]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-06-01 7618560]
"NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]
"AVMWlanClient"="c:\programme\avmwlanstick\wlangui.exe" [2008-09-05 1794048]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2009-01-05 413696]
"BigDogPath"="c:\windows\VM_STI.EXE" [2004-12-15 40960]
"MSConfig"="c:\windows\PCHealth\HelpCtr\Binaries\MSConfig.exe" [2008-04-14 172544]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"SkyTel"="SkyTel.EXE" - c:\windows\SkyTel.exe [2006-05-16 2879488]
"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2006-06-01 16208384]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2006-08-16 1617920]
"NvMediaCenter"="NvMCTray.dll" - c:\windows\system32\nvmctray.dll [2006-06-01 86016]
"Logitech Utility"="Logi_MwX.Exe" - c:\windows\LOGI_MWX.EXE [2003-03-04 19968]
"BluetoothAuthenticationAgent"="bthprops.cpl" - c:\windows\system32\bthprops.cpl [2008-04-14 110592]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"DWQueuedReporting"="c:\progra~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe" [2007-08-24 437160]
"Nokia.PCSync"="c:\programme\Nokia\Nokia PC Suite 6\PcSync2.exe" [2007-03-27 1744896]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"MaxRecentDocs"= 11 (0xb)

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=c:\windows\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Andreas^Startmenü^Programme^Autostart^Adobe Gamma.lnk]
path=c:\dokumente und einstellungen\Andreas\Startmenü\Programme\Autostart\Adobe Gamma.lnk
backup=c:\windows\pss\Adobe Gamma.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"XYEBC"=3 (0x3)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
"ctfmon.exe"=c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" -atboottime
"SunJavaUpdateSched"="c:\programme\Java\jre1.5.0_09\bin\jusched.exe"
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
"GrooveMonitor"="c:\programme\Microsoft Office\Office12\GrooveMonitor.exe"
"RemoteControl"=c:\programme\CyberLink\PowerDVD\PDVDServ.exe
"HP Software Update"=c:\programme\HP\HP Software Update\HPWuSchd2.exe
"PCSuiteTrayApplication"=c:\programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
"CONNECTScheduler"="c:\programme\Sony\CONNECTAutoUpdate\CONNECTScheduler.exe" /RUN_SCHEDULER
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\BitComet\\BitComet.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Programme\\Nokia\\Nokia Software Updater\\nsu_ui_client.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Nokia\\Service Layer\\A\\nsl_host_process.exe"=
"c:\\Valve\\Condition Zero\\czero.exe"=
"c:\\Programme\\Electronic Arts\\EADM\\Core.exe"=
"c:\\Programme\\Real\\RealPlayer\\realplay.exe"=
"c:\\Programme\\SopCast\\adv\\SopAdver.exe"=
"c:\\Programme\\SopCast\\SopCast.exe"=
"f:\\EA Sports\\FIFA 09\\FIFA09.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"24798:TCP"= 24798:TCP:BitComet 24798 TCP
"24798:UDP"= 24798:UDP:BitComet 24798 UDP
"23758:TCP"= 23758:TCP:BitComet 23758 TCP
"23758:UDP"= 23758:UDP:BitComet 23758 UDP

R1 Asapi;Asapi;c:\windows\system32\drivers\asapi.sys [06.12.2006 00:21 10240]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [18.08.2009 23:14 108289]
R2 McAfee SiteAdvisor Service;McAfee SiteAdvisor Service;c:\programme\McAfee\SiteAdvisor\McSACore.exe [03.10.2008 19:44 210216]
R3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\drivers\fwlanusb.sys [29.08.2008 13:29 265088]
S3 aaudstum;aaudstum;\??\c:\dokume~1\Andreas\LOKALE~1\Temp\aaudstum.sys --> c:\dokume~1\Andreas\LOKALE~1\Temp\aaudstum.sys [?]
S3 avmeject;AVM Eject;c:\windows\system32\drivers\avmeject.sys [29.08.2008 13:30 4352]
S3 getPlus(R) Helper;getPlus(R) Helper;c:\programme\NOS\bin\getPlus_HelperSvc.exe [03.12.2008 22:59 33752]
S3 MaplomL;MaplomL;


S3 MEMSWEEP2;MEMSWEEP2;\??\c:\windows\system32\4.tmp --> c:\windows\system32\4.tmp [?]
S3 vmfilter323;323 filter service, Normal;c:\windows\system32\drivers\vmfilter323.sys [04.01.2009 01:04 476672]
S3 ZSMC326;Vimicro USB2.0 PC Camera(VC0323);c:\windows\system32\Drivers\usbvm323.sys --> c:\windows\system32\Drivers\usbvm323.sys [?]
S4 XYEBC;XYEBC;c:\dokume~1\Andreas\LOKALE~1\Temp\XYEBC.exe --> c:\dokume~1\Andreas\LOKALE~1\Temp\XYEBC.exe [?]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12   REG_MULTI_SZ      Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt   REG_MULTI_SZ      hpqcxs08 hpqddsvc

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uInternet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch
uInternet Settings,ProxyOverride = *.local
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Save YouTube Video as MP3
FF - ProfilePath - c:\dokumente und einstellungen\Andreas\Anwendungsdaten\Mozilla\Firefox\Profiles\cg6gu2eh.default\
FF - prefs.js: browser.search.selectedEngine - Rapidshare FileFinder
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&q=
FF - plugin: c:\programme\Java\jre1.5.0_09\bin\NPJava11.dll
FF - plugin: c:\programme\Java\jre1.5.0_09\bin\NPJava12.dll
FF - plugin: c:\programme\Java\jre1.5.0_09\bin\NPJava13.dll
FF - plugin: c:\programme\Java\jre1.5.0_09\bin\NPJava14.dll
FF - plugin: c:\programme\Java\jre1.5.0_09\bin\NPJava32.dll
FF - plugin: c:\programme\Java\jre1.5.0_09\bin\NPJPI150_09.dll
FF - plugin: c:\programme\Java\jre1.5.0_09\bin\NPOJI610.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- Firefox Richtlinien ----
FF - user.js: network.http.max-connections-per-server - 8
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.notify.interval - 600000
FF - user.js: nglayout.initialpaint.delay - 600
FF - user.js: content.switch.threshold - 1000000
c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.enforce_same_site_origin", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.cache_size", 51200);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.ogg.enabled", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.wave.enabled", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.autoplay.enabled", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.urlbar.autocomplete.enabled", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("capability.policy.mailnews.*.wholeText", "noAccess");
c:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.storage.default_quota",      5120);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("content.sink.event_probe_rate", 3);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.http.prompt-temp-redirect", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("layout.css.dpi", -1);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("layout.css.devPixelsPerPx", -1);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("gestures.enable_single_finger_input", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.max_chrome_script_run_time", 0);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.tcp.sendbuffer", 131072);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("geo.enabled", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.remember_cert_checkbox_default_setting", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr", "moz35");
c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-cjkt", "moz35");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.blocklist.level", 2);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.restrict.typed", "~");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.default.behavior", 0);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.history",     true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.formdata",    true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.passwords",   false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.downloads",   true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cookies",     true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cache",       true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.sessions",    true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.offlineApps", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.siteSettings", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.history",                 true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.formdata",                true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.passwords",               false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.downloads",               true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cookies",                 true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cache",                   true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.sessions",                true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.offlineApps",             false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.siteSettings",            false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.sanitize.migrateFx3Prefs",    false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.ssl_override_behavior", 2);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("security.alternate_certificate_error_page", "certerror");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.autostart", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.dont_prompt_on_enter", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("geo.wifi.uri", "https://www.google.com/loc/json");
.

***********************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-08-22 00:24
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

*****************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MEMSWEEP2]
"ImagePath"="\??\c:\windows\system32\4.tmp"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1645522239-484763869-725345543-1004\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:1c,08,43,32,03,c0,f5,c2,2f,0d,91,6a,61,1d,fa,3f,70,6d,32,8a,1a,ea,ba,
   7b,84,bd,5a,fe,c1,64,a4,3e,ea,04,37,58,da,7b,18,bd,fc,20,44,70,a4,57,0b,ae,\
"??"=hex:5d,2e,bc,00,9b,07,bc,9c,34,34,87,88,c9,ab,ca,0d

[HKEY_USERS\S-1-5-21-1645522239-484763869-725345543-1004\Software\SecuROM\License information*]
"datasecu"=hex:ee,b3,20,c4,a2,8a,bf,27,9b,c6,7f,1b,57,7e,d6,98,62,c3,f8,65,1b,
   ed,96,63,fa,33,3e,3c,f5,12,7d,ec,35,96,ba,ce,75,21,82,2f,b4,e1,f2,9c,a8,1d,\
"rkeysecu"=hex:6e,a4,df,89,aa,5d,b1,5a,a4,63,04,78,46,cb,24,4e
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(2932)
c:\programme\RocketDock\RocketDock.dll
c:\programme\McAfee\SiteAdvisor\saHook.dll
c:\programme\Logitech\MouseWare\System\LgWndHk.dll
c:\programme\Gemeinsame Dateien\Logitech\Scrolling\LgMsgHk.dll
c:\windows\system32\WPDShServiceObj.dll
c:\programme\Nokia\Nokia PC Suite 6\PhoneBrowser.dll
c:\programme\Nokia\Nokia PC Suite 6\PCSCM.dll
c:\programme\Nokia\Nokia PC Suite 6\Lang\PhoneBrowser_ger.nlr
c:\programme\Nokia\Nokia PC Suite 6\Resource\PhoneBrowser_Nokia.ngr
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\programme\avmwlanstick\WLanNetService.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\rundll32.exe
c:\windows\system32\rundll32.exe
c:\programme\Logitech\MouseWare\system\EM_EXEC.EXE
c:\windows\system32\wscntfy.exe

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Bitte formatieren!

Sogar die ADS (Alternate Data Streams) sind infziert.

Bring es schnell hinter dir.

Scheiße, wohl zu früh gefreut.
Kann ich denn noch alle Daten sichern oder sind die ebenfalls befallen?

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Kannst du sichern.

Okay, werd ich dann tun.
Danke für deine Hilfe!
Hab noch ne Frage: Wie kann ich diese Probleme, die ich hatte, umgehen, sodass das System nicht erneut infiziert wird? Kannst du mir ein paar Tipps geben oder Programme empfehlen, die mich davor schützen?

Hab ja momentan noch AntiVir drauf und benutze nur die Windows Firewall.
Habe mich kurz belesen, dass die Internet Security von COMODO momentan die beste Lösung in Sachen Internet-Sicherheit & Freeware ist. Was hälst du davon?
Zusätzlich würde ich Spybot, CCleaner, Combofix, TuneUp nutzen.
Wäre super, wenn du mir paar Tipps geben könntest. :-)
Danke schonmal!

hi,

Zitat
Hab ja momentan noch AntiVir drauf und benutze nur die Windows Firewall.
gut. solltest du weiter nutzen.
Zitat
Habe mich kurz belesen, dass die Internet Security von COMODO momentan die beste Lösung in Sachen Internet-Sicherheit & Freeware ist.
antivir & winFW reichen.
Zitat
Zusätzlich würde ich Spybot, CCleaner, Combofix, TuneUp nutzen.
gut. bei spybot den teatimer abschalten. (immer updaten und sys imunisieren!).
UND bei tuneup finger weg von 1klick wartung sovie registry "säuberung".
Zitat
Wäre super, wenn du mir paar Tipps geben könntest. :-)
die tips von EGJ folgen  :)

mfg Zidane 

von Combofix die Finger lassen.
Das ist ein sehr starkes Tool und sollte niemals auf eigene Faust angewendet werden.

Ich danke euch für die Tipps!
Dann habe ich scheinbar vorher nicht allzu viel falsch gemacht. ;-)
Bin weiterhin für jeden Tipp offen... also immer her damit! Egal, zu welchem Thema. :-)

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Bitte brain.exe kaufen.Sehr teuer,lizenz muß wöchentlich erneuert werden.
Images mit acronis oder clonezilla anlegen,dann nicht als Admin arbeiten und auch nicht alle sinnfreien pogramme instalieren.Von einer PFW ist gennerell abstand zu nehmen.
Den IE nach möglichkeit ignorieren und aktive inhalte in Firefox nicht ausführen,auch nicht im IE.
Ansonsten guck mal in mein profil,eienge intresannte links sind da vermerkt.englich sollte man dafür aber können.


« Google Casino unter EingabefeldWindows Vista: wieso kann ich keine verbindungen zu serevern aufbaun »
 

Schnelle Hilfe: Hier nach ähnlichen Fragen und passenden Tipps suchen!