Hi,

I have apparently caught a very nasty Trojan "Trojandownloader.Win32.Bagle.agn". It was hidden in a file which I downloaded "Epson Twain Pro Scanner Driver 1.52A.zip". Off course I checked this file after download with the avast virus scanner which I have installed on my desktop and avast said the files contained in that zip-file are all clean ("setup.exe; SLON.nfo; thdise.dll").

Immediately after the setup process I recognized that avast, Zone Alarm and the S&D Teatimer where shut down.I unplugged the internet cable and tried to reboot in secure mode. However in would not work; the normal boot up sequence started again, thus making it impossible to boot in secure mode.

Then I tried to restart avast, Zone Alarm and Spybot S&D but without success. After that I tried to reinstall these programs, also without any effect except the message for each try: "No valid win32 program". Online virus checks where also blocked.

Thus I copied the zip-file onto a usb-stick and had it checked by Kaspersky online virus check on a separate notebook (thanks god I have this one, so I am able to get into the internet and communicate). The result was: infected with Trojan-Downloader.Win32.Bagle.agn! And it was first discovered by Kaspersky on November 25, 2008 only. So at least as infection is concerned, my desktop is really up-to-date...

Then, after some digging in the internet I found Geeks to Go! and the topic posted by KarolF. Sounds similar to my problem, but not the same..

I have read very carefully the text of "Must Read This Before Posting A Hijackthis Log" and tried to work through it step by step with my infected desktop. The bad news is that neither HijackThis nor ATF-Cleaner can be installed on the PC. There is only a message window stating that the program is "no valid win32 program". Thus setup does not even start. And there is no HijakThis Log available to be posted here. However, ERUNT could be installed and ran without any problem.

So, I am a little confused whether or not there could be a cure for that nasty invader.

Here is an additional info which might be helpful: Windows XP SP3; avast 4.8; Zone Alarm; Spybot S&D; are all regularly updated either automatically or at least once a week manually (only Spybot S&D).

Thanks a lot for any help!

Rockfish2008

Hello, my name is fenzodahl512 and welcome to Geekstogo.. Please do the following...


Please download ComboFix from Here or Here to your Desktop.

**Note: In the event you already have Combofix, this is a new version that I need you to download. It is important that it is saved and renamed following this process directly to your desktop**

1. If you are using Firefox, make sure that your download settings are as follows:
   
   • Tools->Options->Main tab
   • Set to "Always ask me where to Save the files".
2. During the download, rename Combofix to Combo-Fix as follows:
   
   
   
   
   
   
3. It is important you rename Combofix during the download, but not after.
4. Please do not rename Combofix to other names, but only to the one indicated.
5. Close any open browsers.
6. Close/disable all anti virus and anti malware programs so they do not interfere with the running of ComboFix.
   
   -----------------------------------------------------------
   
   
   • Very Important! Temporarily disable your anti-virus, script blocking and any anti-malware real-time protection before performing a scan. They can interfere with ComboFix or remove some of its embedded files which may cause "unpredictable results".
   • Click on this link to see a list of programs that should be disabled. The list is not all inclusive. If yours is not listed and you don't know how to disable it, please ask.
     
     -----------------------------------------------------------
   
   
   • Close any open browsers.
   • WARNING: Combofix will disconnect your machine from the Internet as soon as it starts
   • Please do not attempt to re-connect your machine back to the Internet until Combofix has completely finished.
   • If there is no internet connection after running Combofix, then restart your computer to restore back your connection.
   
   
   -----------------------------------------------------------
7. Double click on combo-Fix.exe & follow the prompts.
8. When finished, it will produce a report for you.
9. Please post the "C:\Combo-Fix.txt" along with a new HijackThis log for further review.

**Note: Do not mouseclick combo-fix's window while it's running. That may cause it to stall**

Hi Fenzodahl512,

thanks for your quick reply!
I did the check with Combo-Fix and it worked out well (i hope at least).
After this check my PC even could do the HijackThis check which was blocked by the virus before.

Here are the corresponding logs:

Combo-Fix:

ComboFix 08-11-29.03 - Hans-Jürgen 2008-11-30 11:35:18.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.707 [GMT 1:00]

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.
ADS - WINDOWS: deleted 24 bytes in 1 streams.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\inst.exe
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m\data.oct
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m\flec006.exe
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m\list.oct
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m\shared\2P2S 4.0.zip
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m\shared\A+_Printer_Monitor_3.2_[Serial].zip
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m\shared\ABC_Amber_QuattroPro_Converter_2.08_[Key+Serial].zip
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m\shared\Advanced Directory Comparison and Synchronization 1.21.zip
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m\shared\Advanced_Maillist_Verify_4.27_Cracked.zip
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m\shared\Advanced_Visual_Fox_Pro_To_HTML_Table_Converter_1.1.zip
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m\shared\AdvantageWebLogAnalyzer_4.3.zip
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m\shared\Agile MOV Video Converter 3.1.zip
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m\shared\All Video to VCD SVCD DVD Converter 3.2.zip
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m\shared\Animals_Photo_Screensaver_Volume_2_1.zip
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m\shared\Aural_Comprehension_Express_(ACE)_3.0.zip
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m\shared\Axogon Mutator 1.0.3.zip
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m\shared\BadBlue Excel Web Spreadsheet Collaboration Server 2.72b [With Crack].zip
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m\shared\Best Keywords Finder 1.2.zip
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m\shared\Calorie Counter 7.0.zip
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m\shared\Candice_Michelle_Bikini_and_Lingerie_Screensaver_1.zip
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m\shared\CD_Secure_2.00.zip
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m\shared\Chilkat Ruby Zip Library 1.0.zip
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m\shared\Compress_SWF_1.25.zip
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m\shared\Container_1.5.zip
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m\shared\Cookie_Crumble_1.0.zip
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m\shared\Coolest Place Under the Sun! 2.0.zip
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m\shared\Copyist 7.0.zip
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m\shared\CpuIdle_Extreme_6.0b.zip
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m\shared\CuteClipboard 4.3.zip
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m\shared\CyberView_Image_4.5.4.zip
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m\shared\Day Of Hearts Screensaver.zip
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m\shared\DBSync for MS Access & PostgreSQL 2.2.0.zip
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m\shared\Digital_Diary_1.2.zip
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m\shared\Dogs 7 Screensaver.zip
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m\shared\Drill-Down_Tally_2007_(Educational_Edition)_4.143.zip
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m\shared\DXF Sharp Viewer 1.1.5.zip
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m\shared\Easy_ScreenSaver_Maker_2.0.zip
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m\shared\EZY Retriever 1.138.zip
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m\shared\File Downloader 1.11 Build 76.2.zip
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m\shared\FileCOPA_FTP_Server_1.01.zip
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m\shared\FileStorm_1.7.zip
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m\shared\Fish_Cursors_1.0.zip
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m\shared\FlashPIC_Developer_3.18.zip
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m\shared\FlashShare Flash Optimizer 1.0.zip
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m\shared\FlashyEffects_1.2.1.zip
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m\shared\Folder_Icon_Maker_2.zip
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m\shared\Free Audio Mixer 3.0.0.0.zip
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m\shared\Friday_Girl_1.0_Key.zip
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m\shared\FTP Synchronizer Professional 2.3.31.110.zip
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m\shared\guMa_4.35.zip
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m\shared\Guns_Girls_Lawyers_Dollars_1.25.01.zip
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m\shared\HealthFrame_Lite_2.1.6.zip
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m\shared\HTML_Stripper_3.0.zip
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m\shared\Identity_Finder_2.6_Key.zip
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m\shared\iListBox_3.451_build_451.zip
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m\shared\ImagePackIT_1.0.6.30357.zip
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m\shared\Imagistik_Icon_Tool_1.0.2657.16288.zip
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m\shared\Indus_Standard_SDK_1.0.4.zip
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m\shared\Inspiring_Angels_Screensaver_1.0_Serial.zip
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m\shared\Instant_Web_Page_Generator_1.0.zip
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m\shared\iTunes_Repair_Tool_for_Vista_1.0.zip
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m\shared\Javascript_Menu_Builder_Titanium_1.3_(Cracked).zip
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m\shared\JurikSoft_Compression_Library_1.1.0_(Crack).zip
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m\shared\LDS Toolbar Extension 0.97.zip
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m\shared\League_Maker_2000_1.4.zip
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m\shared\Lenogo_DVD_to_iPod_Converter_+_Video_to_iPod_Powerpack_6.1_(Crack).zip
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m\shared\Logan_Pro_1.6.zip
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m\shared\MathAid_SAT._Math_Practice_15.63_Patch.zip
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m\shared\MathRRR_Package_1.zip
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m\shared\Memorize His Word 2.1.1.16825.zip
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m\shared\Microsoft Locale Builder 1.0.174.0 Beta 2.zip
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m\shared\Mimer_SQL_Engine_9.2.3c.zip
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m\shared\Mindlink_2005_Underground_build_1.0.51.zip
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m\shared\MladenovicSoft_Invoice_System_2_2.0.zip
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m\shared\MPEG4_Direct_Maker_5.6.0.zip
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m\shared\My Address Book 4.8.1.zip
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m\shared\My Photo Slide Show 1.11.154.zip
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m\shared\Naruto Screensaver.zip
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m\shared\Norton.Antivirus.2005.French.zip
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m\shared\NSIS Patch Generator 1.0.2.zip
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m\shared\Nuevo TouchPOS 3.3.7 (With Crack).zip
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m\shared\On_Line_Timer_1.20.zip
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m\shared\Pardon_3.1.0.291.zip
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m\shared\Php2Html_1.0.0.25_KeyGen.zip
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m\shared\Ploing2_1.22.zip
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m\shared\Program_Plus_1.09.zip
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m\shared\RESX2WORD 1.0.zip
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m\shared\Revolver_Mail_2005.4.1.zip
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m\shared\Rip Clip 2.1.zip
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m\shared\River Past Video Cleaner Pro 7.7.1.zip
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m\shared\RRs Unit Converter 3.0c.zip
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m\shared\Rune_Great_Hall_map.zip
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m\shared\Satellite_Image_Browser_2.zip
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m\shared\Schmaili 8.41.zip
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m\shared\SelfCron_2.20.0068_(Crack).zip
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m\shared\ServiceCentre 1.45.100.zip
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m\shared\ShadowClock_1.5.zip
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m\shared\Shen Khar Venakhi Screensaver 1.0.zip
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m\shared\Simple_Program_Suite_1.2.zip
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m\shared\Skype Toolbar for Internet Explorer 2.1.0.12.zip
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m\shared\Smart_Chart_1.6_(Patch).zip
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m\shared\Software Monitor 2.01.zip
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m\shared\Sophos.Antivirus.v6.0.3.Win2kXP2k3.Multilingual.Retail-ARN.zip
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m\shared\SoundTaxi Professional 3.1.1.zip
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m\shared\Speed_Typing_1.4_build_42.zip
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m\shared\SpeedSim_0.9.6.0b.zip
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m\shared\Spread_Server_2.0_Key.zip
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m\shared\Star_Lords_Imperial_Order_1.08.zip
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m\shared\StealthDisk_2004.1.909.zip
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m\shared\Surreal.FX_Basic_1.0.zip
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m\shared\SWAT_3_Elite_Edition_European_data_update.zip
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m\shared\Tabby Cat Clock Screensaver 1.0.zip
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m\shared\TechnoRiver_Free_Barcode_Software_Component_2.0.zip
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m\shared\Teroid_Data_Graph_1.0.zip
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m\shared\THBPdf 1.0.3.0.zip
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m\shared\titanium.panda.antivirus.v2.05.03.zip
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m\shared\Treasure_Chamber_3D_Screensaver_1.5_Cracked.zip
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m\shared\Ulove_Photo_Slideshow_Maker_1.0.0.1_Patch.zip
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m\shared\Ultra-Prompter 2.0.2.47.zip
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m\shared\VbSMS_2.2.zip
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m\shared\VeroCAD_3.42.268.zip
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m\shared\Video_Edit_Converter_Gold_3.zip
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m\shared\Weather_Report_Screensaver_1.3.1.276_Patch.zip
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m\shared\Website Capture Plugin for Windows Live Writer 1.1.0.0.zip
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m\shared\WildPresenter Pro 3.204 [Patch].zip
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m\shared\Window Wack 1.0.1242.2751.zip
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m\shared\WinTiles_Plus_-_Automated_Windows_Organizer_1.2_(Key).zip
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m\shared\xFunction_2.17_[Patch].zip
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m\shared\Xilisoft DVD to 3GP Converter 5.0.34.0509.zip
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m\shared\XP_Web_Buttons_3.52_[Cracked].zip
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m\shared\Zg cd extractor 1.0.zip
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m\shared\Zip Contents Renamer 1.0.zip
c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\m\srvlist.oct
c:\windows\Downloaded Program Files\setup.inf
c:\windows\system32\drivers\downld
c:\windows\system32\drivers\downld\1008687.exe
c:\windows\system32\drivers\downld\1016750.exe
c:\windows\system32\drivers\downld\1084578.exe
c:\windows\system32\drivers\downld\1106328.exe
c:\windows\system32\drivers\downld\1311531.exe
c:\windows\system32\drivers\downld\1326828.exe
c:\windows\system32\drivers\downld\1513671.exe
c:\windows\system32\drivers\downld\1519656.exe
c:\windows\system32\drivers\srosa.sys
c:\windows\system32\drivers\srosa2.sys
c:\windows\system32\drivers\winfilse.exe
c:\windows\system32\mdelk.exe
c:\windows\system32\wintems.exe
f:\microsoft activesync\Wcescomm.exe

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_SROSA
-------\Legacy_SROSA
-------\Legacy_SK9OU0S
-------\Service_asc3550p
-------\Service_sK9Ou0s


((((((((((((((((((((((( Dateien erstellt von 2008-10-28 bis 2008-11-30 ))))))))))))))))))))))))))))))
.

2008-11-28 11:28 . 2008-11-28 11:28 <DIR> d-------- c:\programme\ERUNT
2008-11-25 20:38 . 2008-11-25 20:38 <DIR> d-------- c:\windows\system32\IOSUBSYS
2008-11-25 20:27 . 2008-11-25 20:27 <DIR> d-------- c:\programme\Gemeinsame Dateien\MAGIX
2008-11-25 20:27 . 2008-11-25 20:31 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\MAGIX
2008-11-25 20:27 . 2007-04-27 10:43 120,200 --a------ c:\windows\system32\DLLDEV32i.dll
2008-11-25 15:05 . 2008-11-25 15:05 <DIR> d-------- C:\DESKJET
2008-11-25 14:20 . 2008-11-25 14:20 <DIR> d-------- c:\programme\Western Digital Technologies
2008-11-25 10:44 . 2008-11-25 10:52 20,358 --a------ c:\windows\vgirl.prf
2008-11-16 12:12 . 2008-11-16 12:12 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TechSmith
2008-11-16 12:03 . 2008-11-16 12:06 <DIR> d-------- c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2008-11-16 11:21 . 2008-11-16 11:21 82 --a------ c:\windows\printhse.ini
2008-11-12 20:57 . 2008-11-12 20:57 103,360 --a------ c:\windows\system32\drivers\AnyDVD.sys
2008-11-12 07:16 . 2008-09-04 18:15 1,106,944 -----c--- c:\windows\system32\dllcache\msxml3.dll
2008-11-12 07:16 . 2008-10-24 12:21 455,296 -----c--- c:\windows\system32\dllcache\mrxsmb.sys
2008-11-10 10:52 . 2008-11-10 10:52 <DIR> d-------- c:\programme\Gemeinsame Dateien\xing shared
2008-11-10 10:52 . 2008-11-10 10:52 <DIR> d-------- c:\programme\Gemeinsame Dateien\Real
2008-11-07 14:48 . 2008-11-07 14:49 <DIR> d-------- c:\programme\QuickTime
2008-11-07 14:37 . 1999-08-19 12:41 79,492 --a------ c:\windows\Tsunami.ttf
2008-11-06 20:06 . 2008-11-06 20:06 93,128 --a------ c:\windows\system32\ElbyCDIO.dll
2008-10-28 23:00 . 2008-09-08 11:41 333,824 -----c--- c:\windows\system32\dllcache\srv.sys
2008-10-28 22:59 . 2008-08-14 14:19 2,191,488 -----c--- c:\windows\system32\dllcache\ntoskrnl.exe
2008-10-28 22:59 . 2008-08-14 14:19 2,147,840 -----c--- c:\windows\system32\dllcache\ntkrnlmp.exe
2008-10-28 22:59 . 2008-08-14 14:19 2,068,352 -----c--- c:\windows\system32\dllcache\ntkrnlpa.exe
2008-10-28 22:59 . 2008-08-14 14:19 2,026,496 -----c--- c:\windows\system32\dllcache\ntkrpamp.exe
2008-10-28 22:59 . 2008-09-15 16:24 1,846,528 -----c--- c:\windows\system32\dllcache\win32k.sys
2008-10-28 22:59 . 2008-10-15 17:35 337,408 -----c--- c:\windows\system32\dllcache\netapi32.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-28 10:13 --------- d-----w c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\Spamihilator
2008-11-27 10:46 368,036 --sha-w c:\windows\system32\drivers\fidbox.idx
2008-11-27 10:46 30,109,728 --sha-w c:\windows\system32\drivers\fidbox.dat
2008-11-24 13:38 --------- d-----w c:\programme\Gemeinsame Dateien\Adobe
2008-11-12 16:05 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-11-07 13:48 --------- d-----w c:\programme\Gemeinsame Dateien\Apple
2008-10-24 11:21 455,296 ------w c:\windows\system32\drivers\mrxsmb.sys
2008-10-08 20:23 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\WinZip
2008-10-02 22:26 --------- d-----w c:\programme\Ontrack
2008-09-30 19:12 --------- d--h--w c:\programme\InstallShield Installation Information
2008-06-13 21:34 47,360 ----a-w c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\pcouffin.sys
2008-04-18 09:47 55,880 ----a-w c:\dokumente und einstellungen\Hans-Jürgen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2008-07-06 18:27 32,768 --sha-w c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008070620080707\index.dat
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AnyDVD"="f:\tools\SlySoft\AnyDVD\AnyDVDtray.exe" [2008-11-17 2272192]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"Creative WebCam Tray"="c:\programme\Creative\Shared Files\CamTray.exe" [2005-10-27 299008]
"LightScribe Control Panel"="c:\programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe" [2008-08-22 2363392]
"SpybotSD TeaTimer"="c:\pcp-si\tools\start\Spybot - Search & Destroy\Spybot - Search & Destroy\TeaTimer.exe" [2008-09-16 1833296]
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2008-04-14 1695232]
"Eraser"="c:\pcp-si\tools\start\Eraser\eraser.exe" [2006-04-09 634880]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-03-18 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Creative WebCam Tray"="c:\programme\Creative\Shared Files\CAMTRAY.EXE" [2005-10-27 299008]
"UnlockerAssistant"="c:\programme\Unlocker\UnlockerAssistant.exe" [2008-11-30 15872]
"avast!"="c:\pcp-si\Tools\Start\Avast\ashDisp.exe" [2008-11-30 81000]
"TrueImageMonitor.exe"="c:\programme\Acronis\TrueImageHome\TrueImageMonitor.exe" [2006-10-16 1164912]
"AcronisTimounterMonitor"="c:\programme\Acronis\TrueImageHome\TimounterMonitor.exe" [2006-10-16 1941784]
"Acronis Scheduler2 Service"="c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" [2006-10-16 87584]
"UpdReg"="c:\windows\UpdReg.EXE" [2000-05-11 90112]
"CTStartup"="c:\programme\Creative\Splash Screen\CTEaxSpl.EXE" [2001-12-20 28672]
"DMXLauncher"="c:\programme\Roxio\Media Experience\DMXLauncher.exe" [2006-08-14 102400]
"itype"="c:\programme\Microsoft IntelliType Pro\itype.exe" [2007-08-31 988584]
"IntelliPoint"="c:\programme\Microsoft IntelliPoint\ipoint.exe" [2007-08-31 1037736]
"ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-02-28 315392]
"NVMixerTray"="c:\programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe" [2004-12-20 131072]
"ZoneAlarm Client"="c:\pcp-si\tools\start\ZoneAlarm\zlclient.exe" [2008-11-30 919016]
"SecurDisc"="f:\nero7essentials lg bundle\Nero 7\InCD\NBHGui.exe" [2007-11-26 1629480]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2008-09-06 413696]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-11-10 185872]
"Adobe Photo Downloader"="f:\tools\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" [2005-06-23 57344]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]
"WinampAgent"="f:\tools\Winamp\winampa.exe" [2008-01-15 37376]
"Spamihilator"="c:\pcp-si\tools\start\Spamihilator\spamihilator.exe" [2008-04-21 1081856]
"RoxWatchTray"="c:\programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe" [2006-08-10 221184]
"NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2007-03-01 153136]
"Jet Detection"="c:\programme\Creative\SBLive\PROGRAM\ADGJDet.exe" [2001-11-29 28672]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2008-07-30 289064]
"InCD"="f:\nero7essentials lg bundle\Nero 7\InCD\InCD.exe" [2007-11-26 1057064]
"CloneCDTray"="f:\tools\SlySoft\CloneCD\CloneCDTray.exe" [2006-09-28 57344]
"AppleSyncNotifier"="c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2008-07-22 116040]
"WINDVDPatch"="CTHELPER.EXE" [2002-07-02 c:\windows\system32\CTHELPER.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
Hardcopy.LNK - f:\tools\Hardcopy\hardcopy.exe [2008-04-06 1280000]
Microsoft Office.lnk - f:\ms office xp\Office10\OSA.EXE [2001-02-13 83360]
WinZip Quick Pick.lnk - f:\tools\WinZip11\WZQKPICK.EXE [2008-09-23 415072]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.HFYU"= huffyuv.dll
"VIDC.ACDV"= ACDV.dll
"msacm.ctmp3"= c:\windows\system32\ctmp3.acm

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^InterVideo WinCinema Manager.lnk]
backup=c:\windows\pss\InterVideo WinCinema Manager.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^ISDNWatch.lnk]
backup=c:\windows\pss\ISDNWatch.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^SATARaid.lnk]
backup=c:\windows\pss\SATARaid.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Hans-Jürgen^Startmenü^Programme^Autostart^Adobe Gamma.lnk]
backup=c:\windows\pss\Adobe Gamma.lnkStartup
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DMXLauncher

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"f:\microsoft activesync\rapimgr.exe"= f:\microsoft activesync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"f:\microsoft activesync\WCESMgr.exe"= f:\microsoft activesync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"c:\\Programme\\SightSpeed\\SightSpeed.exe"=
"f:\\MS Office XP\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"f:\\TOOLS\\eMule\\emule.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
"3389:TCP"= 3389:TCP:*:Disabled:@xpsp2res.dll,-22009

R0 Si3112r;Silicon Image SiI 3112 SATARaid Controller;c:\windows\system32\DRIVERS\si3112r.sys [2008-01-08 85333]
R2 AVMPORT;AVMPORT;c:\windows\system32\drivers\avmport.sys [2008-01-10 73472]
R2 fpcibase;AVM FRITZ!Card PCI;c:\windows\system32\DRIVERS\fpcibase.sys [1998-05-26 444416]
R2 MZCCntrl;T-Online WLAN Adapter Steuerungsdienst;c:\programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe [2008-01-08 61440]
R3 AVMWAN;AVM NDIS WAN CAPI-Treiber;c:\windows\system32\DRIVERS\avmwan.sys [2008-01-08 37568]
R3 NETFRITZ;AVM FRITZ!web PPP over ISDN;c:\windows\system32\DRIVERS\NETFRITZ.SYS [2008-01-10 297984]
R3 P0630VID;Creative WebCam Live!;c:\windows\system32\DRIVERS\P0630Vid.sys [2008-01-08 91797]
S1 aswSP;avast! Self Protection; []
S2 aswFsBlk;aswFsBlk;c:\windows\system32\DRIVERS\aswFsBlk.sys []
S2 RoxLiveShare10;LiveShare P2P Server 10;"c:\programme\Gemeinsame Dateien\Roxio Shared\10.0\SharedCOM\RoxLiveShare10.exe" []
S2 SessionLauncher;SessionLauncher;c:\dokume~1\HANS-J~1\LOKALE~1\Temp\DX9\SessionLauncher.exe []
S3 AdobeActiveFileMonitor7.0;Adobe Active File Monitor V7;c:\programme\Adobe\Photoshop Elements 7.0\PhotoshopElementsFileAgent.exe [2008-09-16 169312]
S3 Ch2kPS2;Cherry PS/2 Tastatur Treiber (CDI);c:\windows\system32\DRIVERS\Ch2kPS2.sys [2003-09-04 120590]
S3 Ch2kPS2M;Cherry PS/2 Maus Treiber (CDI);c:\windows\system32\DRIVERS\Ch2kPS2M.sys [2003-08-14 49813]
S3 MACNDIS5;MACNDIS5 NDIS Protocol Driver;\??\c:\progra~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS [2008-01-08 17280]
S3 siusbmod;siusbmod;c:\windows\system32\DRIVERS\siusbmod.sys [2004-07-08 26880]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
tapisrv REG_MULTI_SZ Tapisrv

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
"c:\programme\Gemeinsame Dateien\LightScribe\LSRunOnce.exe"
.
Inhalt des "geplante Tasks" Ordners

2008-11-24 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

WebBrowser-{8FF5E180-ABDE-46EB-B09E-D2AAB95CABE3} - (no file)
HKCU-Run-H/PC Connection Agent - f:\microsoft activesync\Wcescomm.exe
HKCU-Run-Uniblue Registry Booster - n:\daten3 - download\Download\Programs\Registry Booster\Ordner 1\RegistryBooster.exe
HKLM-Run-nForce Tray Options - sstray.exe
HKU-Default-RunOnce-RegisterAll - c:\programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\toregall.exe



**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-30 11:38:56
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
CTStartup = c:\programme\Creative\Splash Screen\CTEaxSpl.EXE /run???????h??????s?????\?w? ?w???????w???w4???????.??w4???????4???TA?s4???????L?3?????\??? ??? ???\???\???????????5?7~e?7~\???\???????X?a??????C@?\???\??????s????\??????s\???0?3?A??s0?3??C@?x???`|?w\?????@

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(944)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'lsass.exe'(1004)
c:\windows\system32\relog_ap.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\windows\system32\drivers\CDAC11BA.EXE
c:\windows\system32\CTSVCCDA.EXE
f:\nero7essentials lg bundle\Nero 7\InCD\InCDsrv.exe
c:\programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
c:\programme\Microsoft IntelliType Pro\dpupdchk.exe
c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
f:\tools\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
c:\windows\system32\MsPMSPSv.exe
c:\programme\Canon\CAL\CALMAIN.exe
c:\programme\iPod\bin\iPodService.exe
c:\programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\CPSHelpRunner.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-11-30 11:44:00 - PC wurde neu gestartet [Hans-Jürgen]
ComboFix-quarantined-files.txt 2008-11-30 10:43:57

Vor Suchlauf: 18 Verzeichnis(se), 20,539,981,824 Bytes frei
Nach Suchlauf: 18 Verzeichnis(se), 20,524,445,696 Bytes frei

361 --- E O F --- 2008-11-12 16:05:56


HijackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:48:28, on 30.11.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\system32\CTsvcCDA.exe
F:\Nero7Essentials LG Bundle\Nero 7\InCD\InCDsrv.exe
C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\Roxio\Media Experience\DMXLauncher.exe
C:\Programme\Microsoft IntelliType Pro\itype.exe
C:\Programme\Microsoft IntelliPoint\ipoint.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
F:\Nero7Essentials LG Bundle\Nero 7\InCD\NBHGui.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
F:\Tools\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\Microsoft IntelliType Pro\dpupdchk.exe
C:\WINDOWS\system32\CTHELPER.EXE
F:\Tools\Winamp\winampa.exe
C:\PCP-SI\tools\start\Spamihilator\spamihilator.exe
C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\Programme\iTunes\iTunesHelper.exe
F:\Nero7Essentials LG Bundle\Nero 7\InCD\InCD.exe
F:\Tools\SlySoft\CloneCD\CloneCDTray.exe
F:\Tools\SlySoft\AnyDVD\AnyDVDtray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe
C:\PCP-SI\tools\start\Spybot - Search & Destroy\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Messenger\msmsgs.exe
C:\PCP-SI\tools\start\Eraser\eraser.exe
F:\TOOLS\Hardcopy\hardcopy.exe
F:\TOOLS\WinZip11\WZQKPICK.EXE
F:\Tools\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Programme\Canon\CAL\CALMAIN.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\CPSHelpRunner.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
F:\TOOLS\Geeks to go\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - F:\TOOLS\Snagit 8\SnagItBHO.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - F:\TOOLS\rpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PCP-SI\tools\start\SPYBOT~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - F:\TOOLS\Snagit 8\SnagItIEAddin.dll
O4 - HKLM\..\Run: [Creative WebCam Tray] C:\Programme\Creative\Shared Files\CAMTRAY.EXE
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [avast!] C:\PCP-SI\Tools\Start\Avast\ashDisp.exe
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [CTStartup] C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [DMXLauncher] "C:\Programme\Roxio\Media Experience\DMXLauncher.exe"
O4 - HKLM\..\Run: [itype] "C:\Programme\Microsoft IntelliType Pro\itype.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\PCP-SI\tools\start\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SecurDisc] F:\Nero7Essentials LG Bundle\Nero 7\InCD\NBHGui.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Adobe Photo Downloader] "F:\Tools\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [WinampAgent] F:\Tools\Winamp\winampa.exe
O4 - HKLM\..\Run: [Spamihilator] "C:\PCP-SI\tools\start\Spamihilator\spamihilator.exe"
O4 - HKLM\..\Run: [RoxWatchTray] "C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [InCD] F:\Nero7Essentials LG Bundle\Nero 7\InCD\InCD.exe
O4 - HKLM\..\Run: [CloneCDTray] "F:\Tools\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKCU\..\Run: [AnyDVD] F:\Tools\SlySoft\AnyDVD\AnyDVDtray.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Creative WebCam Tray] C:\Programme\Creative\Shared Files\CamTray.exe
O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe -hidden
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\PCP-SI\tools\start\Spybot - Search & Destroy\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Eraser] C:\PCP-SI\tools\start\Eraser\eraser.exe -hide
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Hardcopy.LNK = F:\TOOLS\Hardcopy\hardcopy.exe
O4 - Global Startup: Microsoft Office.lnk = F:\MS Office XP\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = F:\TOOLS\WinZip11\WZQKPICK.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\MSOFFI~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://F:\MSOFFI~1\Office12\EXCEL.EXE/3000
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - F:\MICROS~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - F:\MICROS~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - F:\MICROS~1\INetRepl.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - F:\MSOFFI~1\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PCP-SI\tools\start\SPYBOT~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PCP-SI\tools\start\SPYBOT~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {54BE6B6F-3056-470B-97E1-BB92E051B6C4} (DeviceEnum Class) - http://h20264.www2.hp.com/ediags/dd/instal...nosticsxp2k.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftu...b?1199868189765
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab
O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} (Driver Agent ActiveX Control) - http://driveragent.com/files/driveragent.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7D88D163-9697-46EE-8B31-3068104E7A53}: NameServer = 192.168.120.252,192.168.120.253
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Active File Monitor V7 (AdobeActiveFileMonitor7.0) - Adobe Systems Incorporated - C:\Programme\Adobe\Photoshop Elements 7.0\PhotoshopElementsFileAgent.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - F:\Nero7Essentials LG Bundle\Nero 7\InCD\InCDsrv.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: NBService - Nero AG - F:\Nero7Essentials LG Bundle\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: Roxio UPnP Renderer 9 - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Sonic Shared\RoxioUPnPRenderer9.exe
O23 - Service: Roxio Upnp Server 9 - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Sonic Shared\RoxioUpnpService9.exe
O23 - Service: LiveShare P2P Server 10 (RoxLiveShare10) - Unknown owner - C:\Programme\Gemeinsame Dateien\Roxio Shared\10.0\SharedCOM\RoxLiveShare10.exe (file missing)
O23 - Service: LiveShare P2P Server 9 (RoxLiveShare9) - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxLiveShare9.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: Roxio Hard Drive Watcher 9 (RoxWatch9) - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe
O23 - Service: SessionLauncher - Unknown owner - C:\DOKUME~1\HANS-J~1\LOKALE~1\Temp\DX9\SessionLauncher.exe (file missing)
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - F:\Tools\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Programme\Gemeinsame Dateien\SureThing Shared\stllssvr.exe

--
End of file - 14296 bytes

Is there anything I have to do, still ?

Thanks again,
Rockfish2008

Please download Malwarebytes' Anti-Malware from HERE or HERE

Note: If you already have Malwarebytes' Anti-Malware, just run and update it.. Then do a "Perform Full Scan"

Double Click mbam-setup.exe to install the application.

• Make sure a checkmark is placed next to Update Malwarebytes' Anti-Malware and Launch Malwarebytes' Anti-Malware, then click Finish.
• If an update is found, it will download and install the latest version.
• Once the program has loaded, select "Perform Full Scan", then click Scan.
• The scan may take some time to finish,so please be patient.
• When the scan is complete, click OK, then Show Results to view the results.
• Make sure that everything is checked, and click Remove Selected.
• When disinfection is completed, a log will open in Notepad and you may be prompted to Restart.(See Extra Note)
• The log is automatically saved by MBAM and can be viewed by clicking the Logs tab in MBAM.
• Copy&Paste the entire report in your next reply.

Extra Note:
If MBAM encounters a file that is difficult to remove,you will be presented with 1 of 2 prompts,click OK to either and let MBAM proceed with the disinfection process,if asked to restart the computer,please do so immediately.



Also, tell me, how is your computer now?

Hi Fenzodahl512,

mbam scanned my complete PC.
Here is the logfile:
Malwarebytes' Anti-Malware 1.30
Database version: 1439
Windows 5.1.2600 Service Pack 3

01.12.2008 08:53:31
mbam-log-2008-12-01 (08-19-31).txt

Scan type: Full Scan (C:\|D:\|E:\|F:\|G:\|H:\|M:\|)
Objects scanned: 228885
Time elapsed: 3 hour(s), 14 minute(s), 23 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 2

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
F:\TOOLS\ACDSee\Installationsdateien\setup.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
F:\TOOLS\XP\XPstart.exe (Trojan.Downloader) -> Quarantined and deleted successfully.

In general the PC works like normal: boot sequence is relatively quick like before the infection; response time is very quick (especially the windows explorer was a real lame duck after the infection); Spybot S&D and its TeaTimer start and work well. However, ZoneAlarm (zlclient.exe) and avast Antivirus (ashAvast.exe) cannot be started. The message I get when I doubleclick them is "(programname) is no valid Win32 application".

Seems that I have to install the firewall and the antivirus program completely new. Right, or can I fix those corrupted programs?

Anything else I should do?

Thanks again for your help and advice!

Rockfish2008

Yup.. I think you have to uninstall >> reinstall both programs.. Do that first and then tell me more about it


One more scans before I can set you free


Please download Dr.Web CureIt to the Desktop:

• Please reboot into Safe Mode
• Once you are in Safe Mode, double-click the launch.exe file and Allow to run the express scan
• This will scan the files currently running in memory and when something is found, click the yes button when it asks you if you want to cure it. This is only a short scan.
• Once the short scan has finished, please do a re-scan.. This time, choose Complete Scan
• Click the green arrow button at the right, and the scan will start.
• After the scan finished, click Select all
• Click on Cure and choose Move incurable
• When the scan has finished, in the menu, click File and choose Save report list
• Save the report to your Desktop. The report will be called DrWeb.csv
• Close Dr.Web Cureit.

This post has been edited by fenzodahl512: Dec 1 2008, 03:36 AM

Hi Fenzodahl512,

Dr.Web did the complete scan and found some more files of interest. Shall I post the logfile or just delete those files Dr.Web moved?

Just another question: Is there any link where I can look up what the Trojandownloader Win32.Beagle.agn possibly
induced to be downloaded to my PC? Could it be that this is not malware but some other program I really do not wantn to have on the computer?

Thanks for your help!

Rockfish2008

Well, I take your words as Dr.Web finds nothing of my concern too


Trojan Beagle is malware.. The nasty and stubborn ones.. It prevent you from running/visiting any antivirus/security sites/programs..


Lets do this...


Please download OTCleanIt and save it to Desktop.

• Make sure you have internet connection..
• Double-click OTCleanIt.exe
• Click the CleanUp! button.
• Select Yes when the "Begin cleanup Process?" prompt appears.
• If you are prompted to Reboot during the cleanup, select Yes

NEXT


Let's clean your Restore Points and set a new one:

Reset and Re-enable your System Restore to remove infected files that have been backed up by Windows. The files in System Restore are protected to prevent any programs from changing those files. This is the only way to clean these files: (You will lose all previous Restore Points which are likely to be infected)
To create a new Restore Point.

• On the Desktop, right-click My Computer.
• Click Properties.
• Click the System Restore tab.
• Check Turn off System Restore.
• Click Apply, and then click OK. This will flush your old System Restore.
• Then please UNCHECK the Turn off System Restore.
• Click again on Apply, and then click OK. This will create a new Restore Point

System Restore will now be active again

If you are using Windows Vista, please go HERE for tutorial on how to use, disable and enable System Restore

Then please create a fresh Restore Point... Please visit this webpage if you do not know how..

If you are using Windows Vista, please visit this webpage for more information.



Lastly, to keep your operating system up to date please visit the link below monthly

• Microsoft Windows Update

Please read these excellent articles by miekiemoes :
Help! My computer is slow!