hat ein problem festgestellt,...

#1 seit dem ich vorgestern neu aufgesetzt habe, bekomme ich bei nahezu jedem programm die fehlermeldung: "...hat ein problem festgestellt und muss beendet werden". ich schätze mal das ist ein virus, weil ich das system genau so eingerichtet habe, wie vor der formatierung.

Logfile of HijackThis v1.99.1
Scan saved at 11:17:18, on 18.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Skype\Phone\Skype.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\ICQLite\ICQLite.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis_199.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O1 - Hosts: localhost 127.0.0.1
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [KillAndClean] "C:\Programme\KillAndClean\KillAndClean.exe"
O4 - HKCU\..\Run: [Steam] "E:\Programme\Steam\Steam.exe" -silent
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{083AB5A8-C54C-4EEF-931F-0CA880BD3B44}: NameServer = 85.255.113.198,85.255.112.138
O17 - HKLM\System\CCS\Services\Tcpip\..\{421B16D9-9B29-4070-BB40-1DAB2778D09C}: NameServer = 85.255.113.198,85.255.112.138
O17 - HKLM\System\CCS\Services\Tcpip\..\{A6AFBEA6-3867-4F30-8C6E-EB4995BE4794}: NameServer = 85.255.113.198,85.255.112.138
O17 - HKLM\System\CCS\Services\Tcpip\..\{EFA25943-932F-45AA-AFB4-CBC172DEE708}: NameServer = 85.255.113.198,85.255.112.138
O17 - HKLM\System\CS1\Services\Tcpip\..\{083AB5A8-C54C-4EEF-931F-0CA880BD3B44}: NameServer = 85.255.113.198,85.255.112.138
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

das ist das hijackthis logfile, ich hoffe damit könnt ihr was anfangen, ich hab da jetzt nichts auffälliges gefunden, aber ich bin ja auch kein spezialist

#2 Du musst wohl einmal ungeschuetzt ins Netz gegangen sein, oder aber dir etwas aus zweifelhafter Quelle heruntergeladen/installiert oder via Exploit eingefangen haben.

Dem "O17" Eintrag nach sieht es nach Rootkit aus.
Nutze Gmer http://www.gmer.net/files.php . Starte es und schaue, ob es etwas meldet. Macht es das, bitte alle Fragen mit nein beantworten, auf den Reiter Rootkit gehen, wiederum evtl. Fragen mit nein beantworten und mache einen Scan. ist dieser beendet, waehle Copy und fuege den Bericht hier ein.
__________
MfG Ralf
SEO-Spam Hunter

#3 GMER 1.0.10.10122 - http://www.gmer.net
Rootkit 2006-06-18 12:28:28
Windows 5.1.2600 Service Pack 2


---- Registry - GMER 1.0.10 ----

Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{998F73E8-C806-4CDC-BFBA-BA7A6EC6C2CE}
Reg \Registry\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion@octsc 0xE8 0x73 0x8F 0x99 ...
Reg \Registry\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion@octsc 0xE8 0x73 0x8F 0x99 ...
Reg \Registry\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion@octsc 0xE8 0x73 0x8F 0x99 ...
Reg \Registry\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion@octsc 0xE8 0x73 0x8F 0x99 ...
Reg \Registry\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion@octsc 0xE8 0x73 0x8F 0x99 ...
Reg \Registry\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion@octsc 0xE8 0x73 0x8F 0x99 ...
Reg \Registry\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion@octsc 0xE8 0x73 0x8F 0x99 ...
Reg \Registry\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion@octsc 0xE8 0x73 0x8F 0x99 ...
Reg \Registry\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion@octsc 0xE8 0x73 0x8F 0x99 ...
Reg \Registry\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion@octsc 0xE8 0x73 0x8F 0x99 ...
Reg \Registry\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion@octsc 0xE8 0x73 0x8F 0x99 ...
Reg \Registry\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion@octsc 0xE8 0x73 0x8F 0x99 ...
Reg \Registry\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion@octsc 0xE8 0x73 0x8F 0x99 ...
Reg \Registry\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion@octsc 0xE8 0x73 0x8F 0x99 ...
Reg \Registry\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion@octsc 0xE8 0x73 0x8F 0x99 ...
Reg \Registry\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion@octsc 0xE8 0x73 0x8F 0x99 ...
Reg \Registry\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion@octsc 0xE8 0x73 0x8F 0x99 ...
Reg \Registry\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion@octsc 0xE8 0x73 0x8F 0x99 ...
Reg \Registry\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion@octsc 0xE8 0x73 0x8F 0x99 ...
Reg \Registry\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion@octsc 0xE8 0x73 0x8F 0x99 ...
Reg \Registry\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion@octsc 0xE8 0x73 0x8F 0x99 ...
Reg \Registry\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion@octsc 0xE8 0x73 0x8F 0x99 ...
Reg \Registry\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion@octsc 0xE8 0x73 0x8F 0x99 ...
Reg \Registry\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion@octsc 0xE8 0x73 0x8F 0x99 ...
Reg \Registry\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion@octsc 0xE8 0x73 0x8F 0x99 ...
Reg \Registry\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins
Reg \Registry\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins@xedocne 0x72 0x27 0x00 0x00 ...
Reg \Registry\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins@repiwoh 0xD9 0x28 0x00 0x00 ...
Reg \Registry\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins@23plhps 0xD7 0x2A 0x00 0x00 ...
Reg \Registry\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins@mgcppp 0x70 0x2B 0x00 0x00 ...
Reg \Registry\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins@tesvaf 0x0A 0x2C 0x00 0x00 ...
Reg \Registry\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins@nlcalik 0xA3 0x2C 0x00 0x00 ...
Reg \Registry\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins@kwzmd 0xB1 0x02 0x00 0x00 ...
Reg \Registry\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion@octsc 0xE8 0x73 0x8F 0x99 ...
Reg \Registry\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run@dmzwk.exe C:\WINDOWS\system32\dmzwk.exe
Reg \Registry\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion@octsc 0xE8 0x73 0x8F 0x99 ...
Reg \Registry\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion@octsc 0xE8 0x73 0x8F 0x99 ...
Reg \Registry\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion@octsc 0xE8 0x73 0x8F 0x99 ...
Reg \Registry\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion@octsc 0xE8 0x73 0x8F 0x99 ...
Reg \Registry\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion@octsc 0xE8 0x73 0x8F 0x99 ...
Reg \Registry\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion@octsc 0xE8 0x73 0x8F 0x99 ...
Reg \Registry\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion@octsc 0xE8 0x73 0x8F 0x99 ...
Reg \Registry\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion@octsc 0xE8 0x73 0x8F 0x99 ...
Reg \Registry\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion@octsc 0xE8 0x73 0x8F 0x99 ...
Reg \Registry\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion@octsc 0xE8 0x73 0x8F 0x99 ...
Reg \Registry\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion@octsc 0xE8 0x73 0x8F 0x99 ...
Reg \Registry\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion@octsc 0xE8 0x73 0x8F 0x99 ...
Reg \Registry\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion@octsc 0xE8 0x73 0x8F 0x99 ...
Reg \Registry\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion@octsc 0xE8 0x73 0x8F 0x99 ...
Reg \Registry\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion@octsc 0xE8 0x73 0x8F 0x99 ...
Reg \Registry\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion@octsc 0xE8 0x73 0x8F 0x99 ...
Reg \Registry\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion@octsc 0xE8 0x73 0x8F 0x99 ...
Reg \Registry\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion@octsc 0xE8 0x73 0x8F 0x99 ...
Reg \Registry\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion@octsc 0xE8 0x73 0x8F 0x99 ...
Reg \Registry\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion@octsc 0xE8 0x73 0x8F 0x99 ...
Reg \Registry\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon@System cstco.exe
Reg \Registry\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon@System cstco.exe
Reg \Registry\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon@System cstco.exe
Reg \Registry\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon@System cstco.exe
Reg \Registry\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon@System cstco.exe
Reg \Registry\USER\S-1-5-21-1078081533-448539723-725345543-500\Software\Microsoft\Windows\ShellNoRoam\MUICache@C:\WINDOWS\system32\dmhyi.exe dmhyi

---- Files - GMER 1.0.10 ----

File C:\WINDOWS\$NtServicePackUninstall$\tcptest.exe
File C:\WINDOWS\$NtServicePackUninstall$\wbemtest.exe
File C:\WINDOWS\ServicePackFiles\i386\tcptest.exe
File C:\WINDOWS\ServicePackFiles\i386\wbemtest.exe
File C:\WINDOWS\system32\cstco.exe
File C:\WINDOWS\system32\dmzwk.exe
File C:\WINDOWS\system32\favset.exe
File C:\WINDOWS\system32\howiper.exe
File C:\WINDOWS\system32\kilacln.exe
File C:\WINDOWS\system32\pppcgm.exe
File C:\WINDOWS\system32\sphlp32.exe
File C:\WINDOWS\system32\wbem\wbemtest.exe

---- EOF - GMER 1.0.10 ----

#4 Ist ein Wareout installer.

Lasse mit gmer folgende Prozesse "killen"

File C:\WINDOWS\system32\cstco.exe
File C:\WINDOWS\system32\dmzwk.exe
File C:\WINDOWS\system32\favset.exe
File C:\WINDOWS\system32\howiper.exe
File C:\WINDOWS\system32\kilacln.exe
File C:\WINDOWS\system32\pppcgm.exe
File C:\WINDOWS\system32\sphlp32.exe


...und per Hand loeschen. Du kannst das aber auch mit Blacklight machen lassen, wenn du dir das mit gmer nicht zutraust.

Dazu Blacklight laden http://www.f-secure.com/exclude/blacklight/index.shtml , in einen extra Ordner kopieren, starten, Eula annehmen und scan druecken. Danach auf next druecken und die dort angezeigten versteckten Dateinamen einzelnd anklicken(nur die, die ich dir oben genannt habe!) und rename druecken. Danach weiter mit next und restart.

Nach dem ganzen ein neues Hijackthis log bitte.
__________
MfG Ralf
SEO-Spam Hunter

#5 Danke für die Hilfe, ich habe es mit Blacklight alles umbenannt, dh die Dateien haben jetzt ein .ren hinter dem Namen. Ich schätze diese Dateien sind jetzt unbrauchbar, aber "O17" sieht unverändert aus:


Logfile of HijackThis v1.99.1
Scan saved at 12:58:55, on 18.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Skype\Phone\Skype.exe
C:\WINDOWS\system32\wscntfy.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe
C:\WINDOWS\system32\wuauclt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O1 - Hosts: localhost 127.0.0.1
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [dmzwk.exe] C:\WINDOWS\system32\dmzwk.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [KillAndClean] "C:\Programme\KillAndClean\KillAndClean.exe"
O4 - HKCU\..\Run: [Steam] "E:\Programme\Steam\Steam.exe" -silent
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{083AB5A8-C54C-4EEF-931F-0CA880BD3B44}: NameServer = 85.255.113.198,85.255.112.138
O17 - HKLM\System\CCS\Services\Tcpip\..\{421B16D9-9B29-4070-BB40-1DAB2778D09C}: NameServer = 85.255.113.198,85.255.112.138
O17 - HKLM\System\CCS\Services\Tcpip\..\{A6AFBEA6-3867-4F30-8C6E-EB4995BE4794}: NameServer = 85.255.113.198,85.255.112.138
O17 - HKLM\System\CCS\Services\Tcpip\..\{EFA25943-932F-45AA-AFB4-CBC172DEE708}: NameServer = 85.255.113.198,85.255.112.138
O17 - HKLM\System\CS1\Services\Tcpip\..\{083AB5A8-C54C-4EEF-931F-0CA880BD3B44}: NameServer = 85.255.113.198,85.255.112.138
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

#6 Richtig, bitte die Eintreage fixen:

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O1 - Hosts: localhost 127.0.0.1
O4 - HKLM\..\Run: [dmzwk.exe] C:\WINDOWS\system32\dmzwk.exe
O4 - HKCU\..\Run: [KillAndClean] "C:\Programme\KillAndClean\KillAndClean.exe"
O17 - HKLM\System\CCS\Services\Tcpip\..\{083AB5A8-C54C-4EEF-931F-0CA880BD3B44}: NameServer = 85.255.113.198,85.255.112.138
O17 - HKLM\System\CCS\Services\Tcpip\..\{421B16D9-9B29-4070-BB40-1DAB2778D09C}: NameServer = 85.255.113.198,85.255.112.138
O17 - HKLM\System\CCS\Services\Tcpip\..\{A6AFBEA6-3867-4F30-8C6E-EB4995BE4794}: NameServer = 85.255.113.198,85.255.112.138
O17 - HKLM\System\CCS\Services\Tcpip\..\{EFA25943-932F-45AA-AFB4-CBC172DEE708}: NameServer = 85.255.113.198,85.255.112.138
O17 - HKLM\System\CS1\Services\Tcpip\..\{083AB5A8-C54C-4EEF-931F-0CA880BD3B44}: NameServer = 85.255.113.198,85.255.112.138

die umbenannten Dateien an virus@protecus.de und unter Software versuchen killandclean zu deinstallieren.

Ein datfind Report waere nicht schlecht: virus-protect.org/datfindbat.html
__________
MfG Ralf
SEO-Spam Hunter

#7 Einträge sind gefixt.
killandclean ist gelöscht
datfind report ist angehängt (sind glaub ich 4 logs)
email mit den .ren dateien ist abgeschickt (sk8erh8er@gmail.com ist meine adresse)

edit: email lässt sich nicht versenden (Einer Ihrer Anhänge enthält einen Virus und konnte nicht gesendet werden. Anhang entfernen und senden)

#8 Danke, dann weisst du ja wenigstens, wann es dich erwischt hat: 16.06.2006 20:09
__________
MfG Ralf
SEO-Spam Hunter

#9 Ich glaube ich weiß was es war:
Ein Popup von einer Seite die ich bei Google gefunden habe. Darin stand dass mein Computer möglicherweise befallen sei, das Fenster habe ich weggeklickt.. :\
Bei sowas weiß ich nciht was ich machen soll, denn diese Fenster kann man nicht anders loswerden ohne gleich den ganzen Firefox.exe zu beenden (das sind keine richtigen Popups sondern solche Windowsfelder).

Bin ich diesen Virus jetzt los?

#10 Sofern die Hijackthis Eintraege verschwunden bleiben, die wir gereinigt haben, bist du zu 99% sauber......

BTW: Gmail scheint deine Mail gebloxckt zu haben. Packe die Dateien mit zip und gib dem Archiv ein Password(infected). Danke!

Denke daran, ein AV-Programm zu installieren!
__________
MfG Ralf
SEO-Spam Hunter

#11 jetzt hat es funktioniert, die mail müsste da sein.
danke für die schnelle hilfe, top forum!

#12 Dateien sind da! Aber du hast die Dateien anscheinend schon bei Jotti pruefen lassen. Ergebnisse waren sehr interessant, sofern du sie noch hast.
__________
MfG Ralf
SEO-Spam Hunter

#13 hi ich hab ein ähnliches Problem, hab mein System auch neu aufgesetzt, bei Steam und Halflife 2 und TwoWorlds zum Beispiel kommt dieses meganervige steam.exe hat ein Problem festgestellt und muss beendet werden. Ich bitte um Hilfe!! Ich kann langsam nicht mehr! Ich hab einen Clan zu Leader in dem Game! Bitte helft mir! Dieses Problem ist nicht nur auf Steam sonder allgemein fassend.


Mein altes System: AMD Athlon 3200+, MSI k7n Delta nForce2 Chipsatz, 6800GT, 1,5 Gig Ram. Hab ihn dann aber ausm Fenster geschmissen. Und die Festplatte rausgeholt und an meinen Ersatzrechner angesteckt: AMD 64 3000+, Asus Mainboard Via Chipsatz, 1 GigaByte Ram.
Hab bei beiden Rechner dan MEM Test durchlaufen lassen, gab keine Fehler,
habe bei beiden Rechner alle Treiber aktualisiert, dirext X usw. alles neu und installiert.
Liegts an meiner Festplatte (Maxtor) das mein System so spackt, oder an mir, am Rechner und den Komponenten kann es nicht liegen hab den Rechner ja gewechselt.

Logfile of HijackThis v1.99.1
Scan saved at 22:58:09, on 17.05.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\SCardSvr.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\system32\carpserv.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Programme\Teamspeak2_RC2\TeamSpeak.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Satai.JohnnyBravo\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\ntos.exe,
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe
O4 - HKCU\..\Run: [Steam] "c:\programme\valve\steam\steam.exe" -silent
O4 - HKCU\..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\npjpi160_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\npjpi160_01.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe

bitte bitte helft mir! ich bin etz schon suicid gefährdet und spring bald selber ausm fenster!!

#14 Es liegt u.a. an diesem Irc Bot: C:\WINDOWS\system32\ntos.exe

Nutze bitte einmal Combofix und poste dessen Report.
__________
MfG Ralf
SEO-Spam Hunter

#15 Ok danke hab ich gemacht hier der Report:

"Satai.JohnnyBravo" - 2007-05-20 18:13:51 Service Pack 2
ComboFix 07-05.20.9.V - Running from: "C:\Dokumente und Einstellungen\Satai.JohnnyBravo\Desktop\"


(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\system32\wsnpoem\audio.dll.cla
C:\WINDOWS\system32\wsnpoem\audio.dll
C:\WINDOWS\system32\wsnpoem\video.dll
C:\WINDOWS\system32\wsnpoem


((((((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))


-------\combofix


((((((((((((((((((((((((((((((( Files Created from 2007-04-05 to 2007-05-20 ))))))))))))))))))))))))))))))))))


2007-05-15 18:02 <DIR> d-------- C:\WINDOWS\system32\oodag
2007-05-15 17:16 <DIR> d-------- C:\Programme\OO Software
2007-05-15 16:50 43,584 --a------ C:\WINDOWS\system32\drivers\avipbb.sys
2007-05-15 16:50 28,352 --a------ C:\WINDOWS\system32\drivers\ssmdrv.sys
2007-05-15 16:50 <DIR> d-------- C:\DOKUME~1\ALLUSE~1.WIN\ANWEND~1\AntiVir PersonalEdition Classic
2007-05-14 18:51 <DIR> d-------- C:\DOKUME~1\SATAI~1.JOH\ANWEND~1\ATI
2007-05-14 18:48 <DIR> d-------- C:\DOKUME~1\SATAI~1.JOH\ANWEND~1\DivX
2007-05-14 18:47 520,192 --------- C:\WINDOWS\system32\ati2sgag.exe
2007-05-14 18:47 <DIR> d-------- C:\Programme\ATI Technologies
2007-05-14 18:46 <DIR> d-------- C:\ATI
2007-05-14 18:43 32,768 --------- C:\WINDOWS\SHUTPC.EXE
2007-05-14 18:43 <DIR> d-------- C:\Programme\SCM Microsystems
2007-05-14 18:42 27,904 --a------ C:\WINDOWS\system32\drivers\VIAAGP1.SYS
2007-05-14 18:41 38,400 --a------ C:\WINDOWS\system32\drivers\AmdK8.sys
2007-05-14 18:41 306,688 --a------ C:\WINDOWS\IsUninst.exe
2007-05-14 18:41 <DIR> d-------- C:\Programme\AMD
2007-05-14 18:41 <DIR> d-------- C:\DOKUME~1\SATAI~1.JOH\WINDOWS
2007-05-14 18:36 16,128 --a------ C:\WINDOWS\system32\drivers\MODEMCSA.sys
2007-05-14 18:32 69,632 -ra------ C:\WINDOWS\system32\mdmxsdk.dll
2007-05-14 18:32 65,536 -ra------ C:\WINDOWS\system32\carpdll.dll
2007-05-14 18:32 622,592 -ra------ C:\WINDOWS\system32\drivers\HSF_CNXT.sys
2007-05-14 18:32 4,608 -ra------ C:\WINDOWS\system32\carpserv.exe
2007-05-14 18:32 27,786 -ra------ C:\WINDOWS\system32\HSFCI005.dll
2007-05-14 18:32 22,400 -ra------ C:\WINDOWS\system32\drivers\strmdisp.sys
2007-05-14 18:32 177,024 -ra------ C:\WINDOWS\system32\drivers\HSFHWBS2.sys
2007-05-14 18:32 11,044 -ra------ C:\WINDOWS\system32\drivers\mdmxsdk.sys
2007-05-14 18:32 1,107,072 -ra------ C:\WINDOWS\system32\drivers\HSF_DP.sys
2007-05-14 18:30 256,512 -ra------ C:\WINDOWS\system32\drivers\mrv8k51.sys
2007-05-14 18:27 41,984 -ra------ C:\WINDOWS\system32\drivers\fetnd5b.sys
2007-05-14 18:24 61,056 --a------ C:\WINDOWS\system32\drivers\ohci1394.sys
2007-05-14 18:24 6,400 --a------ C:\WINDOWS\system32\drivers\enum1394.sys
2007-05-14 18:24 53,248 --a------ C:\WINDOWS\system32\drivers\1394bus.sys
2007-05-14 18:23 5,376 --a------ C:\WINDOWS\system32\drivers\viaide.sys
2007-05-14 18:23 20,480 --a------ C:\WINDOWS\system32\drivers\usbuhci.sys
2007-05-13 22:07 <DIR> d-------- C:\Programme\Realtek AC97
2007-05-13 17:52 2,560 --------- C:\WINDOWS\system32\drivers\cdralw2k.sys
2007-05-13 17:52 2,432 --------- C:\WINDOWS\system32\drivers\cdr4_xp.sys
2007-05-13 17:52 129,784 --------- C:\WINDOWS\system32\pxafs.dll
2007-05-13 17:52 118,520 --------- C:\WINDOWS\system32\pxinsi64.exe
2007-05-13 17:52 116,472 --------- C:\WINDOWS\system32\pxcpyi64.exe
2007-05-13 17:52 <DIR> d-------- C:\Programme\DivX
2007-05-13 15:49 <DIR> d-------- C:\Programme\Reality Pump
2007-05-13 15:26 <DIR> d-------- C:\WINDOWS\system32\AGEIA
2007-05-13 15:26 <DIR> d-------- C:\Programme\AGEIA Technologies
2007-05-12 15:59 96,792 --------- C:\WINDOWS\system32\basecsp.dll
2007-05-12 15:59 86,016 --------- C:\WINDOWS\system32\pintool.exe
2007-05-12 15:59 26,112 --------- C:\WINDOWS\system32\bcsprsrc.dll
2007-05-12 15:59 151,552 --------- C:\WINDOWS\system32\ifxcardm.dll
2007-05-12 15:59 133,120 --------- C:\WINDOWS\system32\axaltocm.dll
2007-05-12 15:54 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe
2007-05-12 15:54 <DIR> d-------- C:\WINDOWS\system32\PreInstall
2007-05-12 15:50 <DIR> d--h----- C:\WINDOWS\$hf_mig$
2007-05-11 19:54 524,288 --a------ C:\WINDOWS\system32\DivXsm.exe
2007-05-11 06:37 823,296 --a------ C:\WINDOWS\system32\divx_xx0c.dll
2007-05-11 06:37 823,296 --a------ C:\WINDOWS\system32\divx_xx07.dll
2007-05-11 06:37 802,816 --a------ C:\WINDOWS\system32\divx_xx11.dll
2007-05-11 06:37 740,442 --a------ C:\WINDOWS\system32\DivX.dll
2007-05-10 20:58 24,816 --a------ C:\WINDOWS\system32\mdimon.dll
2007-05-10 20:57 <DIR> d-------- C:\WINDOWS\SHELLNEW
2007-05-10 20:57 <DIR> d-------- C:\Programme\Microsoft.NET
2007-05-08 21:03 <DIR> d-------- C:\Programme\Valve
2007-05-06 20:15 <DIR> d-------- C:\WINDOWS\nview
2007-05-06 19:39 81,768 --a------ C:\WINDOWS\system32\xinput1_3.dll
2007-05-06 19:39 443,752 --a------ C:\WINDOWS\system32\d3dx10_33.dll
2007-05-06 19:39 3,495,784 --a------ C:\WINDOWS\system32\d3dx9_33.dll
2007-05-06 19:39 261,480 --a------ C:\WINDOWS\system32\xactengine2_7.dll
2007-05-06 19:39 255,848 --a------ C:\WINDOWS\system32\xactengine2_6.dll
2007-05-06 19:39 251,672 --a------ C:\WINDOWS\system32\xactengine2_5.dll
2007-05-06 19:39 237,848 --a------ C:\WINDOWS\system32\xactengine2_4.dll
2007-05-06 19:39 2,414,360 --a------ C:\WINDOWS\system32\d3dx9_31.dll
2007-05-06 19:39 15,128 --a------ C:\WINDOWS\system32\x3daudio1_1.dll
2007-05-06 19:39 1,123,696 --a------ C:\WINDOWS\system32\D3DCompiler_33.dll
2007-05-02 21:07 <DIR> d-------- C:\Programme\ICQLite
2007-05-01 19:02 <DIR> d-------- C:\Programme\Steam
2007-04-29 14:51 <DIR> d-------- C:\Programme\GameSpy
2007-04-29 14:50 <DIR> d-------- C:\WINDOWS\system32\URTTEMP
2007-04-29 00:16 <DIR> d-------- C:\Programme\Combined Community Codec Pack
2007-04-29 00:15 <DIR> d-------- C:\DOKUME~1\ALLUSE~1.WIN\ANWEND~1\QuickTime
2007-04-27 19:26 <DIR> d-------- C:\Programme\Atari
2007-04-23 02:15 3,596,288 --a------ C:\WINDOWS\system32\qt-dx331.dll
2007-04-23 02:15 200,704 --a------ C:\WINDOWS\system32\ssldivx.dll
2007-04-23 02:15 1,044,480 --a------ C:\WINDOWS\system32\libdivx.dll
2007-04-23 02:02 73,728 --a------ C:\WINDOWS\system32\dpl100.dll
2007-04-23 02:02 593,920 --a------ C:\WINDOWS\system32\dpuGUI11.dll
2007-04-23 02:02 57,344 --a------ C:\WINDOWS\system32\dpv11.dll
2007-04-23 02:02 53,248 --a------ C:\WINDOWS\system32\dpuGUI10.dll
2007-04-23 02:02 344,064 --a------ C:\WINDOWS\system32\dpus11.dll
2007-04-23 02:02 294,912 --a------ C:\WINDOWS\system32\dpu11.dll
2007-04-23 02:02 294,912 --a------ C:\WINDOWS\system32\dpu10.dll
2007-04-23 02:02 196,608 --a------ C:\WINDOWS\system32\dtu100.dll
2007-04-23 02:01 124,472 --a------ C:\WINDOWS\system32\DivXCodecUpdateChecker.exe
2007-04-23 02:01 12,288 --a------ C:\WINDOWS\system32\DivXWMPExtType.dll
2007-04-22 15:10 <DIR> d-------- C:\DOKUME~1\SATAI~1.JOH\ANWEND~1\ICQ
2007-04-22 15:08 <DIR> d-------- C:\Programme\ICQ6
2007-04-21 22:49 22,584 --a------ C:\WINDOWS\system32\drivers\PnkBstrK.sys
2007-04-20 19:48 0 --a------ C:\WINDOWS\nsreg.dat
2007-04-20 17:30 108,144 --a------ C:\WINDOWS\system32\CmdLineExt.dll
2007-04-20 17:13 <DIR> d-------- C:\DOKUME~1\SATAI~1.JOH\ANWEND~1\AdobeUM
2007-04-20 16:55 <DIR> d-------- C:\Programme\Electronic Arts
2007-04-20 16:15 <DIR> d-------- C:\Programme\eBesucher-Browser


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-05-20 16:21:55 -------- d-----w C:\DOKUME~1\SATAI~1.JOH\ANWEND~1\Skype
2007-05-17 22:00:11 -------- d-----w C:\Programme\America's Army
2007-05-17 21:51:50 99,904 ----a-w C:\WINDOWS\system32\PnkBstrB.exe
2007-05-17 00:05:04 -------- d-----w C:\DOKUME~1\SATAI~1.JOH\ANWEND~1\teamspeak2
2007-05-14 16:47:49 -------- d--h--w C:\Programme\InstallShield Installation Information
2007-05-14 16:41:03 -------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2007-05-14 16:33:36 74,988 ----a-w C:\WINDOWS\system32\perfc007.dat
2007-05-14 16:33:36 415,124 ----a-w C:\WINDOWS\system32\perfh007.dat
2007-05-12 15:27:19 -------- d-----w C:\Programme\HLSW
2007-04-29 13:44:59 63,040 ----a-w C:\WINDOWS\system32\PnkBstrA.exe
2007-04-25 20:04:56 -------- d-----w C:\Programme\Movie Maker
2007-04-23 00:15:25 36,624 ------w C:\WINDOWS\system32\drivers\pxhelp20.sys
2007-04-22 20:43:17 -------- d-----w C:\DOKUME~1\SATAI~1.JOH\ANWEND~1\Hamachi
2007-04-21 23:19:46 26,056 ----a-w C:\WINDOWS\system32\drivers\hamachi.sys
2007-04-20 15:32:06 -------- d-----w C:\DOKUME~1\SATAI~1.JOH\ANWEND~1\Command & Conquer 3 Tiberium Wars
2007-04-19 17:10:11 -------- d-----w C:\DOKUME~1\SATAI~1.JOH\ANWEND~1\Command and Conquer 3 Tiberium Wars
2007-04-19 16:54:12 -------- d--h--r C:\DOKUME~1\SATAI~1.JOH\ANWEND~1\SecuROM
2007-04-18 20:15:05 -------- d-----w C:\Programme\The All-Seeing Eye
2007-04-18 19:41:44 -------- d-----w C:\Programme\America's Army Server Manager
2007-04-18 19:37:22 -------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2007-04-18 18:40:57 -------- d-----w C:\Programme\MSN Messenger
2007-04-18 17:50:18 -------- d-----w C:\Programme\Microsoft Digital Image 2006
2007-04-18 17:49:07 -------- d-----w C:\Programme\Gemeinsame Dateien\Nikon
2007-04-18 17:47:01 -------- d-----w C:\Programme\D-Tools
2007-04-18 16:33:06 -------- d-----w C:\Programme\Screamer Radio
2007-04-18 16:27:40 -------- d-----w C:\Programme\Jasc Software Inc
2007-04-18 16:26:20 -------- d-----w C:\Programme\Gemeinsame Dateien\Jasc Software Inc
2007-04-18 16:25:43 -------- d-----w C:\DOKUME~1\SATAI~1.JOH\ANWEND~1\Jasc Software Inc
2007-04-18 16:06:19 -------- d-----w C:\Programme\FileZilla
2007-04-18 15:58:08 -------- d-----w C:\Programme\Teamspeak2_RC2
2007-04-18 15:57:41 -------- d-----w C:\DOKUME~1\SATAI~1.JOH\ANWEND~1\Lavasoft
2007-04-18 15:57:33 -------- d-----w C:\Programme\Lavasoft
2007-04-18 15:54:32 -------- d-----w C:\Programme\Skype
2007-04-18 15:54:32 -------- d-----w C:\Programme\Gemeinsame Dateien\Skype
2007-04-18 15:53:01 -------- d-----w C:\Programme\Hamachi
2007-04-18 15:52:10 96,256 ----a-w C:\WINDOWS\system32\drivers\sptd5085.sys
2007-04-18 15:52:10 664,064 ----a-w C:\WINDOWS\system32\drivers\sptd.sys
2007-04-18 15:32:42 -------- d-----w C:\Programme\TuneUp Utilities 2006
2007-04-18 15:32:10 -------- d-----w C:\DOKUME~1\SATAI~1.JOH\ANWEND~1\TuneUp Software
2007-04-18 15:19:33 -------- d-----w C:\DOKUME~1\SATAI~1.JOH\ANWEND~1\ICQLite
2007-04-18 15:07:17 -------- d-----w C:\DOKUME~1\SATAI~1.JOH\ANWEND~1\Help
2007-04-17 17:31:29 -------- d-----w C:\Programme\xp-AntiSpy
2007-04-16 20:31:27 -------- d-----w C:\Programme\microsoft frontpage
2007-04-16 20:31:04 0 --sha-r C:\MSDOS.SYS
2007-04-16 20:31:04 0 --sha-r C:\IO.SYS
2007-04-16 20:31:04 0 ----a-w C:\CONFIG.SYS
2007-04-16 20:31:04 0 ----a-w C:\AUTOEXEC.BAT
2007-04-16 20:29:38 -------- d--h--w C:\Programme\WindowsUpdate
2007-04-16 20:29:33 -------- d-----w C:\Programme\Online-Dienste
2007-04-16 20:28:33 -------- d-----w C:\Programme\Gemeinsame Dateien\Dienste
2007-04-16 20:28:27 -------- d-----w C:\Programme\Gemeinsame Dateien\MSSoap
2007-04-16 20:27:18 21,740 ----a-w C:\WINDOWS\system32\emptyregdb.dat
2007-04-16 20:26:51 -------- d-----w C:\Programme\Online Services
2007-04-16 20:26:46 -------- d-----w C:\Programme\Messenger
2007-04-16 20:26:40 -------- d-----w C:\Programme\MSN Gaming Zone
2007-04-16 20:26:27 -------- d-----w C:\Programme\Windows NT
2007-04-16 19:44:20 -------- d-----w C:\Programme\Gemeinsame Dateien\ODBC
2007-04-16 19:44:17 -------- d-----w C:\Programme\Gemeinsame Dateien\SpeechEngines
2007-03-30 13:38:00 77,160 ----a-w C:\Programme\DSETUP.dll
2007-03-30 13:38:00 503,144 ----a-w C:\Programme\DXSETUP.exe
2007-03-30 13:38:00 1,673,576 ----a-w C:\Programme\dsetup32.dll
2007-03-15 01:58:38 315,392 ----a-w C:\WINDOWS\system32\ATIDEMGX.dll
2007-03-15 01:57:34 267,776 ----a-w C:\WINDOWS\system32\ati2dvag.dll
2007-03-15 01:57:15 1,986,560 ----a-w C:\WINDOWS\system32\drivers\ati2mtag.sys
2007-03-15 01:55:38 307,200 ----a-w C:\WINDOWS\system32\atiiiexx.dll
2007-03-15 01:50:39 122,880 ----a-w C:\WINDOWS\system32\atipdlxx.dll
2007-03-15 01:50:27 114,688 ----a-w C:\WINDOWS\system32\Oemdspif.dll
2007-03-15 01:50:19 26,112 ----a-w C:\WINDOWS\system32\Ati2mdxx.exe
2007-03-15 01:50:12 42,496 ----a-w C:\WINDOWS\system32\ati2edxx.dll
2007-03-15 01:49:59 114,688 ----a-w C:\WINDOWS\system32\ati2evxx.dll
2007-03-15 01:48:39 450,560 ----a-w C:\WINDOWS\system32\ati2evxx.exe
2007-03-15 01:47:52 53,248 ----a-w C:\WINDOWS\system32\ATIDDC.DLL
2007-03-15 01:40:10 2,820,544 ----a-w C:\WINDOWS\system32\ati3duag.dll
2007-03-15 01:29:47 1,315,712 ----a-w C:\WINDOWS\system32\ativvaxx.dll
2007-03-15 01:29:32 3,107,788 ----a-w C:\WINDOWS\system32\ativvaxx.dat
2007-03-15 01:19:32 5,402,624 ----a-w C:\WINDOWS\system32\atioglxx.dll
2007-03-15 01:16:14 258,048 ----a-w C:\WINDOWS\system32\atikvmag.dll
2007-03-15 01:14:43 17,408 ----a-w C:\WINDOWS\system32\atitvo32.dll
2007-03-15 01:10:28 356,352 ----a-w C:\WINDOWS\system32\ati2cqag.dll
2007-03-06 22:04:53 143,676 ----a-w C:\WINDOWS\system32\atiicdxx.dat


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 03:43]
"ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" [2006-07-11 12:06]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-10-22 12:22]
"NVMixerTray"="C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe" []
"SoundMan"="SOUNDMAN.EXE" []
"CARPService"="carpserv.exe" [2003-03-19 02:13 C:\WINDOWS\system32\carpserv.exe]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-04-02 10:35]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57]
"Skype"="C:\Programme\Skype\Phone\Skype.exe" [2007-03-30 13:34]
"Steam"="c:\programme\valve\steam\steam.exe" [2007-05-08 21:04]
"@"="" []
"StartCCC"="C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 12:35]
"msnmsgr"="C:\Programme\MSN Messenger\msnmsgr.exe" [2007-01-19 12:55]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runonce]
"ICQ Lite"=C:\Programme\ICQLite\ICQLite.exe -trayboot

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]
"C:\Programme\MSN Messenger\msnmsgr.exe" /background

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
nwiz.exe /install

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
SOUNDMAN.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"TUWinStylerThemeSvc"=2 (0x2)
"AntiVirScheduler"=2 (0x2)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"MsnMsgr"="C:\Programme\MSN Messenger\MsnMsgr.Exe" /background

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost *netsvcs*


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3dc68ec2-ec60-11db-b703-806d6172696f}]
AutoRun\command- D:\Setup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e5a9d1ca-0235-11dc-9d0a-806d6172696f}]
AutoRun\command- D:\Atisetup.exe



~ ~ ~ ~ ~ ~ ~ ~ Hijackthis Backups ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~

backup-20070507-165819-119
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/

backup-20070507-165819-941
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,

backup-20070507-165802-605
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

backup-20070507-165731-937
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

backup-20070507-165731-592
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

backup-20070507-165731-708
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll

backup-20070506-202554-745
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

backup-20070506-202554-525
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL

backup-20070506-202554-828
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
Contents of the 'Scheduled Tasks' folder
2007-05-11 15:56:14 C:\WINDOWS\tasks\1-Klick-Wartung.job

********************************************************************

catchme 0.3.660 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-05-20 18:20:00
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\system32\wsnpoem\audio.dll.cla
C:\WINDOWS\system32\wsnpoem\audio.dll
C:\WINDOWS\system32\wsnpoem\video.dll
C:\WINDOWS\system32\wsnpoem


((((((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))


-------\combofix


((((((((((((((((((((((((((((((( Files Created from 2007-04-05 to 2007-05-20 ))))))))))))))))))))))))))))))))))