Hi Dave,
thank you very much for your reply. I executed all the steps you listed.
HJT found only this entry: O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
not the other two.
Please find the relevant logs below.
Thanks again and a happy new year to you!
Tilman
SecurityCheck-log:
Results of screen317's Security Check version 0.99.8
Windows XP Service Pack 3
Internet Explorer 8
``````````````````````````````
Antivirus/Firewall Check: Avira AntiVir Personal - Free Antivirus
Online Armor 4.0
Avira successfully updated!
```````````````````````````````
Anti-malware/Other Utilities Check: Malwarebytes' Anti-Malware
TuneUp Utilities 2009
CCleaner
Java(TM) 6 Update 23
Adobe Flash Player 10.0.45.2
Adobe Reader 9 - Deutsch
Out of date Adobe Reader installed! Mozilla Firefox (3.6.13)
````````````````````````````````
Process Check:
objlist.exe by Laurent Avira Antivir avgnt.exe
Avira Antivir avguard.exe
Tall Emu Online Armor OAcat.exe
Tall Emu Online Armor oasrv.exe
Tall Emu Online Armor oaui.exe
Tall Emu Online Armor OAhlp.exe
``````````End of Log```````````` ComboFix-log (sorry, in German again. The program did not ask to choose a language):
ComboFix 11-01-01.01 - Männchen 01.01.2011 20:54:05.1.2 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.1014.590 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Männchen\desktop\commy.exe.exe
Benutzte Befehlsschalter :: /stepdel
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
FW: Online Armor Firewall *Disabled* {B797DAA0-7E2E-4711-8BB3-D12744F1922A}
* Neuer Wiederherstellungspunkt wurde erstellt
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\windows\system32\arp.exe
c:\windows\system32\SCardSvr.exe
.
((((((((((((((((((((((( Dateien erstellt von 2010-12-01 bis 2011-01-01 ))))))))))))))))))))))))))))))
.
2010-12-29 07:39 . 2010-12-29 07:39 -------- d-----w- c:\dokumente und einstellungen\Männchen\Anwendungsdaten\Avira
2010-12-28 13:29 . 2010-12-28 13:29 388096 ----a-r- c:\dokumente und einstellungen\Männchen\Anwendungsdaten\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
2010-12-28 13:29 . 2010-12-28 13:29 -------- d-----w- c:\programme\Trend Micro
2010-12-28 13:14 . 2010-12-28 13:14 -------- d-----w- c:\programme\Gemeinsame Dateien\Java
2010-12-28 13:14 . 2010-11-12 17:53 472808 ----a-w- c:\windows\system32\deployJava1.dll
2010-12-28 13:14 . 2010-11-12 17:53 472808 ----a-w- c:\programme\Mozilla Firefox\plugins\npdeployJava1.dll
2010-12-28 13:05 . 2010-12-28 13:05 -------- d-----w- c:\dokumente und einstellungen\Männchen\Anwendungsdaten\Malwarebytes
2010-12-28 13:05 . 2010-12-20 17:09 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-12-28 13:05 . 2010-12-28 13:05 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-12-28 13:05 . 2010-12-20 17:08 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-12-28 13:05 . 2010-12-28 13:05 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2010-12-28 11:57 . 2010-12-28 11:57 -------- d-----w- c:\dokumente und einstellungen\Männchen\Anwendungsdaten\SUPERAntiSpyware.com
2010-12-28 11:57 . 2010-12-28 11:57 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2010-12-28 11:56 . 2010-12-28 11:57 -------- d-----w- c:\programme\SUPERAntiSpyware
2010-12-28 11:07 . 2010-12-28 11:42 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\OnlineArmor
2010-12-28 11:07 . 2010-12-28 11:07 -------- d-----w- c:\dokumente und einstellungen\Männchen\Anwendungsdaten\OnlineArmor
2010-12-28 11:07 . 2010-07-07 11:25 22600 ----a-w- c:\windows\system32\drivers\OAmon.sys
2010-12-28 11:07 . 2010-07-07 11:25 28232 ----a-w- c:\windows\system32\drivers\OAnet.sys
2010-12-28 11:07 . 2010-07-07 11:25 236104 ----a-w- c:\windows\system32\drivers\OADriver.sys
2010-12-28 11:07 . 2010-12-28 11:07 -------- d-----w- c:\programme\Emsisoft
2010-12-28 10:57 . 2010-12-13 07:39 135096 ----a-w- c:\windows\system32\drivers\avipbb.sys
2010-12-28 10:57 . 2010-12-13 07:39 61960 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2010-12-28 10:57 . 2010-06-17 13:27 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys
2010-12-28 10:57 . 2010-06-17 13:27 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
2010-12-28 10:57 . 2010-12-28 10:57 -------- d-----w- c:\programme\Avira
2010-12-28 10:57 . 2010-12-28 10:57 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2010-12-28 10:49 . 2010-12-28 10:49 -------- d-----w- c:\windows\system32\wbem\Repository
2010-12-28 10:44 . 2010-12-28 10:47 -------- d-s---w- c:\dokumente und einstellungen\Administrator
2010-12-15 09:06 . 2010-11-02 15:17 40960 -c----w- c:\windows\system32\dllcache\ndproxy.sys
2010-12-15 09:05 . 2010-10-11 14:59 45568 -c----w- c:\windows\system32\dllcache\wab.exe
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-11-18 18:12 . 2008-04-29 16:07 86016 ----a-w- c:\windows\system32\isign32.dll
2010-11-12 15:34 . 2009-09-18 09:42 73728 ----a-w- c:\windows\system32\javacpl.cpl
2010-11-06 00:21 . 2008-04-29 10:55 916480 ----a-w- c:\windows\system32\wininet.dll
2010-11-06 00:21 . 2008-04-29 10:55 43520 ----a-w- c:\windows\system32\licmgr10.dll
2010-11-06 00:21 . 2008-04-29 10:55 1469440 ------w- c:\windows\system32\inetcpl.cpl
2010-11-03 12:25 . 2008-04-29 10:55 385024 ----a-w- c:\windows\system32\html.iec
2010-11-02 15:17 . 2008-04-29 10:55 40960 ----a-w- c:\windows\system32\drivers\ndproxy.sys
2010-10-28 13:12 . 2008-04-29 10:55 290048 ----a-w- c:\windows\system32\atmfd.dll
2010-10-26 13:58 . 2008-04-29 10:55 1862400 ----a-w- c:\windows\system32\win32k.sys
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-09-18 39408]
"ccleaner"="c:\programme\CCleaner\CCleaner.exe" [2010-12-21 2162488]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2009-03-15 1434920]
"RTHDCPL"="RTHDCPL.EXE" [2009-03-15 17529856]
"Persistence"="c:\windows\system32\igfxpers.exe" [2009-02-15 137752]
"BTMeter"="c:\programme\Battery Meter\BTMeter.exe" [2008-11-05 623912]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]
"Google Quick Search Box"="c:\programme\Google\Quick Search Box\GoogleQuickSearchBox.exe" [2009-09-18 122368]
"TrueImageMonitor.exe"="c:\programme\Acronis\TrueImageHome\TrueImageMonitor.exe" [2009-09-12 5082488]
"Acronis Scheduler2 Service"="c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" [2009-09-12 357800]
"dellsupportcenter"="c:\programme\Dell Support Center\bin\sprtcmd.exe" [2009-06-03 206064]
"DivXUpdate"="c:\programme\DivX\DivX Update\DivXUpdate.exe" [2010-09-16 1164584]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-12-13 281768]
"@OnlineArmor GUI"="c:\programme\Emsisoft\Online Armor\oaui.exe" [2010-07-07 6854984]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Bluetooth.lnk - c:\programme\WIDCOMM\Bluetooth Software\BTTray.exe [2008-9-29 604776]
Dienstprogramm fr Dell Wireless WLAN Karte.lnk - c:\windows\system32\rundll32.exe [2008-4-29 33792]
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 304128]
"{4F07DA45-8170-4859-9B5F-037EF2970034}"= "c:\progra~1\Emsisoft\ONLINE~1\oaevent.dll" [2010-07-07 924488]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2009-09-03 22:21 548352 ----a-w- c:\programme\SUPERAntiSpyware\SASWINLO.DLL
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\GoToAssist]
2009-08-03 08:10 10536 ----a-w- c:\programme\Citrix\GoToAssist\514\g2awinlogon.dll
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
"dellsupportcenter"="c:\programme\Dell Support Center\bin\sprtcmd.exe" /P dellsupportcenter
"Broadcom Wireless Manager UI"=c:\windows\system32\WLTRAY.exe
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe"
"WSED"=c:\programme\WSED\WSED.exe
"CapsLKNotify"=c:\programme\CapsLKNotify\CapsLKNotify.exe
"OA012Mon"=c:\windows\OA012Mon.exe
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Dell Video Chat\\DellVideoChat.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
R0 EMSC;COMPAL Embedded System Control;c:\windows\system32\drivers\EMSC.sys [03.08.2009 09:02 14248]
R0 tdrpman251;Acronis Try&Decide and Restore Points filter (build 251);c:\windows\system32\drivers\tdrpm251.sys [18.09.2009 11:43 902432]
R1 OADevice;OADriver;c:\windows\system32\drivers\OADriver.sys [28.12.2010 12:07 236104]
R1 OAmon;OAmon;c:\windows\system32\drivers\OAmon.sys [28.12.2010 12:07 22600]
R1 OAnet;OAnet;c:\windows\system32\drivers\OAnet.sys [28.12.2010 12:07 28232]
R1 SASDIFSV;SASDIFSV;c:\programme\SUPERAntiSpyware\sasdifsv.sys [17.02.2010 19:25 12872]
R1 SASKUTIL;SASKUTIL;c:\programme\SUPERAntiSpyware\SASKUTIL.SYS [10.05.2010 19:41 67656]
R2 afcdpsrv;Acronis Nonstop Backup service;c:\programme\Gemeinsame Dateien\Acronis\CDP\afcdpsrv.exe [18.09.2009 11:43 2326920]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [28.12.2010 11:57 135336]
R2 OAcat;Online Armor Helper Service;c:\programme\Emsisoft\Online Armor\oacat.exe [28.12.2010 12:07 1283400]
R3 afcdp;afcdp;c:\windows\system32\drivers\afcdp.sys [18.09.2009 11:43 159168]
R3 CtClsFlt;Creative Camera Class Upper Filter Driver;c:\windows\system32\drivers\CtClsFlt.sys [03.08.2009 09:12 143840]
R3 OA012Afx;Provides a software interface to control audio effects of OA012 camera.;c:\windows\system32\drivers\OA012Afx.sys [03.08.2009 11:39 135168]
R3 OA012Ufd;Creative Camera OA012 Upper Filter Driver;c:\windows\system32\drivers\OA012Ufd.sys [03.08.2009 11:39 133632]
R3 OA012Vid;Creative Camera OA012 Function Driver;c:\windows\system32\drivers\OA012Vid.sys [03.08.2009 11:39 272032]
R3 RSUSBSTOR;RtsUStor.Sys Realtek USB Card Reader;c:\windows\system32\drivers\RtsUStor.sys [03.08.2009 11:38 162816]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [20.03.2010 00:16 135664]
S2 SvcOnlineArmor;Online Armor;c:\programme\Emsisoft\Online Armor\oasrv.exe [28.12.2010 12:07 3364680]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [03.08.2009 11:37 1684736]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
getPlusHelper REG_MULTI_SZ getPlusHelper
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners
2011-01-01 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2009\OneClickStarter.exe [2009-07-15 10:07]
2011-01-01 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-03-19 23:15]
2011-01-01 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-03-19 23:15]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
IE: Google Sidewiki... - c:\programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_950DF09FAB501E03.dll/cmsidewiki.html
IE: Send to &Bluetooth Device... - c:\programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: Send To Bluetooth - c:\programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
FF - ProfilePath - c:\dokumente und einstellungen\Männchen\Anwendungsdaten\Mozilla\Firefox\Profiles\pjiy6lqe.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.gmx.de
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Skype extension for Firefox: {B13721C7-F507-4982-B2E5-502A71474FED} - c:\programme\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}
FF - Ext: Java Quick Starter:
[email protected] - c:\programme\Java\jre6\lib\deploy\jqs\ff
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
FF - Ext: Adobe DLM (powered by getPlus(R)): {E2883E8F-472F-4fb0-9522-AC9BF37916A7} - %profile%\extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7}
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: nglayout.initialpaint.delay - 600
FF - user.js: content.notify.interval - 600000
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.switch.threshold - 600000
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer,
http://www.gmer.netRootkit scan 2011-01-01 20:59
Windows 5.1.2600 Service Pack 3 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'winlogon.exe'(920)
c:\programme\SUPERAntiSpyware\SASWINLO.DLL
c:\programme\Citrix\GoToAssist\514\G2AWinLogon.dll
c:\windows\System32\BCMLogon.dll
.
Zeit der Fertigstellung: 2011-01-01 21:01:16
ComboFix-quarantined-files.txt 2011-01-01 20:01
Vor Suchlauf: 11 Verzeichnis(se), 41.009.147.904 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 41.057.349.632 Bytes frei
WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect
- - End Of File - - 7367B28C4716357F4BAC49DEA61FB27A