Firewall nicht aktivierbar + Virusalarm BSInstall5.2.5.1

#1 Hilfe PC verseucht!
Hab schon versucht, den anderen Threads zu folgen, komme aber nicht weiter!
Braucht lange zum Hochfahren und ewig zum Herunterfahren...
Seit ich dann versucht habe mit RegCleaner und TweakNow RegCleaner den PC zu entmüllen....oder wie auch immer.....geht er noch schlechter.
Hinzu kam:
Windows-Firewall kann nicht aktiviert werden, diese Meldung:
"Aufgrund eines unbekannten Problems konnten die Einstellungen des Windows-Firewalls nicht angezeigt werden."

BSInstall5.2.5.1.exe wird als Trojaner von AntiVir gefunden, konnte aber nicht gelöscht werden. Habe versucht mithilfe des entsprechenden Threads alles in Griff zu bekommen, bin aber unsicher ob alles entfernt wurde.

Hier die 6 datfind.bat - logs....ich hoffe ich hab wenigstens bis dahin alles richtig gemacht! ;-)

system32.txt

28.12.2006 10:07 2.206 wpa.dbl
08.12.2006 11:02 41.034 perfc009.dat
08.12.2006 11:02 314.706 perfh009.dat
08.12.2006 11:02 49.372 perfc007.dat
08.12.2006 11:02 320.338 perfh007.dat
08.12.2006 11:02 732.342 PerfStringBackup.INI
26.11.2006 18:46 34.308 BASSMOD.dll
25.08.2006 04:47 39.672 vxblock.dll
25.08.2006 04:47 63.144 pxcpya64.exe
25.08.2006 04:47 129.784 pxafs.dll
25.08.2006 04:47 379.640 pxwave.dll
25.08.2006 04:47 1.309.432 pxsfs.dll
25.08.2006 04:47 183.032 pxmas.dll
25.08.2006 04:47 115.880 pxinsi64.exe
25.08.2006 04:47 62.632 pxinsa64.exe
25.08.2006 04:47 67.240 pxhpinst.exe
25.08.2006 04:47 477.944 pxdrv.dll
25.08.2006 04:47 514.808 px.dll

systemtemp.txt

Datentr„ger in Laufwerk C: ist WIN XP
Volumeseriennummer: 44A3-B6D4

Verzeichnis von C:\

28.12.2006 18:38 0 systemtemp.txt
28.12.2006 18:37 96.025 system32.txt
28.12.2006 17:01 704.643.072 pagefile.sys
28.12.2006 13:29 1.706 avenger.txt
28.12.2006 13:22 12.274 ComboFix.txt
30.11.2006 01:04 211 boot.ini
01.11.2006 09:34 19.036 MPMSetup.log
01.11.2006 09:24 39.436 SDSSetup.log
26.07.2006 16:42 36.421 debug.log
28.05.2006 19:08 569.402 bot.log
25.05.2006 23:21 3.145.782 bubble_backgrn.bmp
25.05.2006 23:15 0 uniq
08.04.2006 20:46 27.640 drwtsn32.log
12.12.2005 16:51 0 IO.SYS
12.12.2005 16:51 0 MSDOS.SYS
12.12.2005 16:51 0 AUTOEXEC.BAT
12.12.2005 16:51 0 CONFIG.SYS
11.11.2004 13:00 4.952 bootfont.bin
11.11.2004 13:00 47.564 NTDETECT.COM
11.11.2004 13:00 251.184 ntldr
20 Datei(en) 708.894.705 Bytes
0 Verzeichnis(se), 2.963.070.976 Bytes frei
system.txt

Datentr„ger in Laufwerk C: ist WIN XP
Volumeseriennummer: 44A3-B6D4

Verzeichnis von C:\WINDOWS

28.12.2006 18:33 425.550 WindowsUpdate.log
28.12.2006 17:02 50 wiaservc.log
28.12.2006 17:02 159 wiadebug.log
28.12.2006 17:01 0 0.log
28.12.2006 17:01 2.048 bootstat.dat
26.12.2006 10:51 1.409 QTFont.for
26.12.2006 10:51 54.156 QTFont.qfn
12.12.2006 22:21 116 NeroDigital.ini
06.12.2006 23:37 38 AviSplitter.INI
01.12.2006 09:13 59 cdplayer.ini
30.11.2006 01:04 617 win.ini
30.11.2006 01:04 259 system.ini
10.11.2006 16:29 415.108 Wir k”nnen alles.exe
10.11.2006 16:29 304.284 Wir k”nnen alles.scr
10.11.2006 16:29 29.696 mickey32.dll
30.07.2006 08:34 35.953 _detmp.3
29.07.2006 22:48 36.238 _detmp.1
25.05.2006 23:19 606.848 flashax.exe
25.05.2006 23:19 12.288 impborl.dll
25.05.2006 23:12 1.765.552 emoma_women_screensaver.scr
23.04.2006 22:31 65 gvcasinos.ini
06.04.2006 15:05 597 WSST_Screen_Saver.ini
01.02.2006 14:08 2.359.350 webshots.bmp
19.01.2006 20:43 180.224 UninstallWSST.exe
09.01.2006 10:30 99.970 UninstallFirefox.exe
09.01.2006 10:29 3.694 mozver.dat
15.12.2005 00:50 400 ODBC.INI
12.12.2005 21:23 0 nsreg.dat
12.12.2005 16:58 8.192 REGLOCS.OLD
12.12.2005 16:51 0 control.ini
12.12.2005 16:51 316.640 WMSysPr9.prx
12.12.2005 16:51 4.161 ODBCINST.INI
12.12.2005 16:49 749 WindowsShell.Manifest
12.12.2005 16:45 37 vbaddin.ini
12.12.2005 16:45 36 vb.ini
12.12.2005 16:40 0 Sti_Trace.log
15.11.2005 00:51 59.152 zllsputility.exe
11.11.2004 13:00 65.832 Santa Fe-Stuck.bmp
11.11.2004 13:00 65.978 Seifenblase.bmp
11.11.2004 13:00 9.522 Zapotek.bmp
11.11.2004 13:00 17.362 Rhododendron.bmp
11.11.2004 13:00 153.600 regedit.exe
11.11.2004 13:00 17.062 Kaffeetasse.bmp
11.11.2004 13:00 15.872 TASKMAN.EXE
11.11.2004 13:00 1.405 msdfmap.ini
11.11.2004 13:00 65.954 Pr„riewind.bmp
11.11.2004 13:00 50.688 twain_32.dll
11.11.2004 13:00 49.680 twunk_16.exe
11.11.2004 13:00 25.600 twunk_32.exe
11.11.2004 13:00 26.680 F„cher.bmp
11.11.2004 13:00 16.730 Feder.bmp
11.11.2004 13:00 10.752 hh.exe
11.11.2004 13:00 707 _default.pif
11.11.2004 13:00 18.944 vmmreg32.dll
11.11.2004 13:00 80 explorer.scf
11.11.2004 13:00 17.336 Angler.bmp
11.11.2004 13:00 1.035.264 explorer.exe
11.11.2004 13:00 2 desktop.ini
11.11.2004 13:00 94.800 twain.dll
11.11.2004 13:00 26.582 Granit.bmp
11.11.2004 13:00 257.568 winhelp.exe
11.11.2004 13:00 288.768 winhlp32.exe
11.11.2004 13:00 48.680 winnt.bmp
11.11.2004 13:00 48.680 winnt256.bmp
11.11.2004 13:00 82.944 clock.avi
11.11.2004 13:00 70.144 NOTEPAD.EXE
11.11.2004 13:00 34.818 wmprfDEU.prx
11.11.2004 13:00 1.272 Blaue Spitzen 16.bmp
02.06.2004 09:13 65.024 soundman.exe
02.06.2004 09:12 164 avrack.ini
02.06.2004 09:12 208.896 alcupd.exe
02.06.2004 09:12 139.264 alcrmv.exe
04.05.2004 09:48 49.152 _detmp.2
04.05.2004 09:48 49.152 _detmp.4
29.03.2004 16:45 551.936 th_inst2.exe
17.11.1998 12:44 328.704 IsUn0407.exe
76 Datei(en) 10.735.293 Bytes
0 Verzeichnis(se), 2.963.066.880 Bytes frei
tmp.txt

Datentr„ger in Laufwerk C: ist WIN XP
Volumeseriennummer: 44A3-B6D4

Verzeichnis von C:\WINDOWS\Temp

down.txt

Datentr„ger in Laufwerk C: ist WIN XP
Volumeseriennummer: 44A3-B6D4

Verzeichnis von C:\WINDOWS\Downloaded Program Files

12.12.2005 16:49 65 desktop.ini
10.11.2005 14:05 876 jinstall-1_5_0_06.inf
27.08.2005 13:30 5.065 swflash.inf
13.04.2005 16:23 77.824 AddrBookATL.dll
16.02.2005 00:25 294.912 hidinputmonitorx.ocx
16.02.2005 00:25 55.008 wmvhdrating.ocx
16.02.2005 00:25 49.152 A9.ocx
7 Datei(en) 482.902 Bytes
0 Verzeichnis(se), 2.963.066.880 Bytes frei
sys.txt

Datentr„ger in Laufwerk C: ist WIN XP
Volumeseriennummer: 44A3-B6D4

Verzeichnis von C:\

28.12.2006 18:38 0 sys.txt
28.12.2006 18:38 605 down.txt
28.12.2006 18:38 110 tmp.txt
28.12.2006 18:38 4.029 system.txt
28.12.2006 18:38 1.177 systemtemp.txt
28.12.2006 18:37 96.025 system32.txt
28.12.2006 17:01 704.643.072 pagefile.sys
28.12.2006 13:29 1.706 avenger.txt
28.12.2006 13:22 12.274 ComboFix.txt
30.11.2006 01:04 211 boot.ini
01.11.2006 09:34 19.036 MPMSetup.log
01.11.2006 09:24 39.436 SDSSetup.log
26.07.2006 16:42 36.421 debug.log
28.05.2006 19:08 569.402 bot.log
25.05.2006 23:21 3.145.782 bubble_backgrn.bmp
25.05.2006 23:15 0 uniq
08.04.2006 20:46 27.640 drwtsn32.log
12.12.2005 16:51 0 MSDOS.SYS
12.12.2005 16:51 0 IO.SYS
12.12.2005 16:51 0 AUTOEXEC.BAT
12.12.2005 16:51 0 CONFIG.SYS
11.11.2004 13:00 4.952 bootfont.bin
11.11.2004 13:00 47.564 NTDETECT.COM
11.11.2004 13:00 251.184 ntldr
24 Datei(en) 708.900.626 Bytes
0 Verzeichnis(se), 2.963.062.784 Bytes frei


Vielleicht hilft das ja auch noch:

ComboFix.txt

Administrator - 06-12-28 13:20:18.93 Service Pack 2
ComboFix 06.11.27 - Running from: "C:\Dokumente und Einstellungen\Administrator\Desktop"

((((((((((((((((((((((((((((((( Files Created from 2006-11-28 to 2006-12-28 ))))))))))))))))))))))))))))))))))


2006-12-28 13:15 <DIR> d-------- C:\Programme\CleanUp!
2006-12-28 13:11 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Recent
2006-12-28 13:11 <DIR> d-------- C:\Programme\Yahoo!
2006-12-28 13:11 <DIR> d-------- C:\Programme\CCleaner
2006-12-17 05:18 <DIR> d-------- C:\Programme\ffdshow
2006-12-07 20:25 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\CasaPortale.de
2006-12-02 01:53 <DIR> d-------- C:\Programme\BearShare Applications
2006-11-30 02:40 2,560 --------- C:\WINDOWS\system32\drivers\cdralw2k.sys
2006-11-30 02:40 2,432 --------- C:\WINDOWS\system32\drivers\cdr4_xp.sys
2006-11-30 02:40 129,784 --------- C:\WINDOWS\system32\pxafs.dll
2006-11-30 02:40 115,880 --------- C:\WINDOWS\system32\pxinsi64.exe
2006-11-29 10:08 <DIR> d-------- C:\Programme\Everest Poker
2006-11-29 09:31 66,560 --a------ C:\WINDOWS\system32\cdm.dll
2006-11-29 09:31 431,616 --a------ C:\WINDOWS\system32\wuapi.dll
2006-11-29 09:31 36,864 --a------ C:\WINDOWS\system32\wups.dll
2006-11-29 09:31 192,000 --a------ C:\WINDOWS\system32\iuengine.dll
2006-11-29 09:31 183,808 --a------ C:\WINDOWS\system32\wuaueng1.dll
2006-11-29 09:31 168,448 --a------ C:\WINDOWS\system32\wuauclt1.exe
2006-11-29 09:31 120,320 --a------ C:\WINDOWS\system32\wuweb.dll
2006-11-29 09:31 113,664 --a------ C:\WINDOWS\system32\wucltui.dll
2006-11-29 09:31 111,616 --a------ C:\WINDOWS\system32\wuauclt.exe
2006-11-29 09:31 1,134,592 --a------ C:\WINDOWS\system32\wuaueng.dll
2006-11-29 09:31 <DIR> d-------- C:\WINDOWS\system32\SoftwareDistribution
2006-11-29 00:18 <DIR> d-------- C:\Programme\TweakNow RegCleaner Std
2006-11-29 00:12 <DIR> d-------- C:\Programme\Spybot - Search & Destroy
2006-11-29 00:12 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2006-11-29 00:02 <DIR> d-------- C:\Programme\RegCleaner
2006-11-28 23:49 <DIR> d-------- C:\WINDOWS\Minidump


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))

[color=red]Rootkit driver pe386 is present. A rootkit scan is required[/color]

2006-12-28 13:19 -------- d-------- C:\Programme\Mozilla Firefox
2006-12-28 12:35 -------- d-------- C:\Programme\BearShare
2006-12-27 12:44 -------- d-------- C:\Programme\PokerStars
2006-12-22 18:00 -------- d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Skype
2006-12-22 12:20 -------- d-------- C:\Programme\AntiVir PersonalEdition Classic
2006-12-19 18:09 -------- d-------- C:\Programme\CloneDVD
2006-12-19 12:49 34304 --a------ C:\WINDOWS\system32\drivers\avgntdd.sys
2006-12-19 12:49 14848 --a------ C:\WINDOWS\system32\drivers\avgntmgr.sys
2006-12-17 05:24 -------- d-------- C:\Programme\Winamp
2006-12-14 20:07 -------- d-------- C:\Programme\TVgenial
2006-11-29 00:09 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-11-29 00:08 -------- d-------- C:\Programme\DVD Shrink
2006-11-29 00:08 -------- d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Macromedia
2006-11-29 00:07 -------- d-------- C:\Programme\Gemeinsame Dateien\Adobe
2006-11-26 22:56 39488 --a------ C:\WINDOWS\system32\drivers\Pcouffin.sys
2006-11-26 22:49 -------- d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Elaborate Bytes
2006-11-26 22:42 -------- d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Azureus
2006-11-26 20:20 33952 --a------ C:\WINDOWS\system32\drivers\oreans32.sys
2006-11-26 18:46 34308 --a------ C:\WINDOWS\system32\BASSMOD.dll
2006-11-26 18:44 40 ---hs---- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\.zreglib
2006-11-24 16:12 -------- d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\DIMAGE
2006-11-24 16:11 -------- d-------- C:\Programme\DiMAGE Viewer
2006-11-14 23:48 -------- d-------- C:\Programme\Free WMA to MP3 Converter
2006-11-14 19:35 -------- d-------- C:\Programme\Azureus
2006-11-13 20:11 -------- d-------- C:\Programme\ICQLite
2006-11-10 16:29 415108 --a------ C:\WINDOWS\Wir k”nnen alles.exe
2006-11-10 16:29 304284 --a------ C:\WINDOWS\Wir k”nnen alles.scr
2006-11-10 16:29 29696 --a------ C:\WINDOWS\mickey32.dll
2006-11-01 09:35 -------- d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\XCPCSync.OEM
2006-11-01 09:32 -------- d-------- C:\Programme\Mobile Phone Manager
2006-11-01 09:31 -------- d-------- C:\Programme\Gemeinsame Dateien\XCPCSync.OEM
2006-11-01 09:22 -------- d-------- C:\Programme\Gemeinsame Dateien


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"ATIModeChange"="Ati2mdxx.exe"
"ATIPTA"="C:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe"
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"KernelFaultCheck"=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,\
65,6d,33,32,5c,64,75,6d,70,72,65,70,20,30,20,2d,6b,00
"TkBellExe"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,de,02,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,f2,01,00,00,23,00,00,00,7c,00,00,00,72,00,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
"NoActiveDesktop"=dword:00000000
"ClassicShell"=dword:00000000
"ForceActiveDesktopOn"=dword:00000000

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000001
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Adobe Reader - Schnellstart.lnk"
"backup"="C:\\WINDOWS\\pss\\Adobe Reader - Schnellstart.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\Adobe\\Reader\\READER~1.EXE "
"item"="Adobe Reader - Schnellstart"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AnyDVD]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="AnyDVD"
"hkey"="HKLM"
"command"="\"C:\\Programme\\SlySoft\\AnyDVD\\AnyDVD.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ICQLite"
"hkey"="HKLM"
"command"="\"C:\\Programme\\ICQLite\\ICQLite.exe\" -minimize"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="iTunesHelper"
"hkey"="HKLM"
"command"="\"C:\\Programme\\iTunes\\iTunesHelper.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NeroCheck"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="qttask"
"hkey"="HKLM"
"command"="\"C:\\Programme\\QuickTime Alternative\\qttask.exe\" -atboottime"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RDC_RUN]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="RDC"
"hkey"="HKCU"
"command"="C:\\Programme\\Ragonsoft\\RDC2\\RDC.exe rdc"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ScheduleSync.Siemens.SmartSync.5.2.exe]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ScheduleSync"
"hkey"="HKLM"
"command"="C:\\Programme\\Mobile Phone Manager\\SmartSync\\ScheduleSync.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="TeaTimer"
"hkey"="HKCU"
"command"="C:\\Programme\\Spybot - Search & Destroy\\TeaTimer.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="realsched"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TPSMain]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="TPSMain"
"hkey"="HKLM"
"command"="TPSMain.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"CVPND"=dword:00000002
"MySQL"=dword:00000002
"iPodService"=dword:00000003

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\xdudtt

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

Completion time: 06-12-28 13:21:17.75
C:\ComboFix.txt ... 06-12-28 13:21

#2 gmer
http://virus-protect.org/zip/gmer.zip
. Starte es und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit nein beantworten, auf den Reiter rootkit gehen, wiederum die Frage mit nein beantworten und mit Hilfe von copy den Bericht hier einfuegen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. ist dieser Beendet, wähle Copy und füge den Bericht ein.
__________
MfG Sabina

rund um die PC-Sicherheit

#3 GMER 1.0.12.12011 - http://www.gmer.net
Rootkit scan 2006-12-28 23:41:54
Windows 5.1.2600 Service Pack 2


---- Devices - GMER 1.0.12 ----

Device \FileSystem\Ntfs \Ntfs IRP_MJ_CREATE 83D24520
Device \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_INFORMATION 83D242BA

---- Threads - GMER 1.0.12 ----

Thread 4:1252 83D23D00

---- EOF - GMER 1.0.12 ----

#4 Hijackthis
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
Beim Erststart: klicke auf "Do a system scan and save a log file". ss öffnet sich der Text-Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Logfile of HijackThis v1.99.1
Scan saved at 23:46:48, on 28.12.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\cidaemon.exe
D:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programme\ICQLite\ICQLite.exe
D:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\WinRAR\WinRAR.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Rar$EX00.437\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {22E5D91F-89E6-4405-AD9C-0AF27BA6F06B} (HidInputMonitorX Control) - file://E:\components\hidinputmonitorx.ocx
O16 - DPF: {426784E5-24B2-4708-820D-117342FAD009} (Cimporter Object) - http://www.hyves.de/cab/outlookaddressbook.cab
O16 - DPF: {4F63D44B-6274-4D60-8AB1-CAA7116B8AF3} (A9Helper.A9) - file://E:\components\A9.ocx
O16 - DPF: {7030CC6C-1A88-4591-BB5A-651B9F7F0C30} (WMVHDRatingCtrl Class) - file://E:\components\wmvhdrating.ocx
O20 - Winlogon Notify: xdudtt - xdudtt.dll (file missing)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe

#6 da sind noch reste von einem haxdoor-trojaner vorhanden

««
http://www.f-secure.com/blacklight/
starte die Datei, nimm die Lizenzbestimmung an und waehle scan, wenn es mit dem Scan fertig ist, druecke next und danach close. Nun befindet sich im selben Ordner von Blacklight eine FSB*.TXT Datei
poste das log

»»
poste dieses log
http://virus-protect.org/registry_stuff.html
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Blacklight geht leider nicht....

The Scan was not completed due to an error.
No hidden items were found.

Was kann ich sonst machen?
DATFind?

Der Find Stuff spuckt keinen Log aus....
Er läuft durch und schließt dann wieder die Eingabeaufforderung.
Beim ersten mal hatte ich auch noch nen Blue-screen dazu!

#8
das ist der haxdoor - du hast wahrscheinlich eine email geoeffnet, die du nicht oeffnen solltest - formatiere - ist das beste, wenn du meinen Rat hoeren willst
http://www.geocities.jp/kiskzo/xdudtt.dll.html
http://www.searchengines.pl/phpbb203/pliki/picasso/virus/logi/xdudtt.txt

du kannst es noch mit haxfix versuchen
http://users.telenet.be/marcvn/spyware/1541877.htm
aber ich wuerde dennoch formatieren
__________
MfG Sabina

rund um die PC-Sicherheit

#9 Vielen Dank trotzdem schonmal!

HaxFix findet auch nichts!

Hmmm....Formatieren ist immer so ne Sache....Schade, ich dachte man kann es so irgendwie hin bekommen.
Aber es gibt wohl keine andere Möglichkeit!

#10 mache es so: versuche es mit einer Wiederherstellung
allerdings muss der Wiederherstellungspunkt vor dem klick auf die verseuchte mail sein...
dann poste das neue log vom HijackThis

««
Systemwiederherstellung Start -> Hilfe und Support -> zur Option "Computeränderungen mit der Systemwiederherstellung rückgängig machen"
Dort wählt man: "Computer zu einem früheren Zeitpunkt wiederherstellen" -> Weiter
Die fett angezeigten Daten im Kalender zeigen die gesetzten Wiederherstellungspunkte.
__________
MfG Sabina

rund um die PC-Sicherheit