Virusbefall - Virus Detection Alert

#1 Hallo,

ich hoffe ihr könnt mir helfen, alleine schaffe ich es nicht mehr.
Ich habe mir vor ca 2 Wochen einen Virus durch einen Download eingefangen.

Er betrieft vor allem den Internet Explorer, immer wenn ich ihn öffne, erscheinen ungewünschte Werbeseite von diversen Anbietern, in der rechten Symbolleiste erscheint ein Symbol das ich nicht kenne und es öffent ein Fenster mit Virus Detection Alert und der Rechner wird immer langsamer.
Das Problem tritt nur beim IE auf, beim Firefox zB gar nicht.
Da ich allerdings auf den IE nicht ganz verzichten kann, sollte er wieder laufen.

Anbei die gesammelten Logdateien:

Logfile of HijackThis v1.99.1
Scan saved at 07:53:08, on 23.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Panasonic\HPLSMAN\hplsman.exe
C:\Programme\Panasonic\Disprot\IDRot.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Programme\Panasonic\HotKey Appendix\HKEYAPP.EXE
C:\Programme\Panasonic\HPLSMAN\hplskey.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Panasonic\DispRot\IDRot.exe
C:\Programme\Panasonic\MEISKB\meiskb.exe
C:\Programme\Panasonic\CheckNet\CheckNet.exe
C:\Programme\RMClient\PMCTray.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Techniker\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Hotkey] C:\WINDOWS\System32\hkeyman.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [Panasonic HotKey Manager] C:\Programme\Panasonic\HotKey Appendix\HKEYAPP.EXE
O4 - HKLM\..\Run: [HPlsKey] C:\Programme\Panasonic\HPLSMAN\hplskey.exe
O4 - HKLM\..\Run: [JobHisInit] C:\Programme\RMClient\JobHisInit.exe
O4 - HKLM\..\Run: [MplSetUp] C:\Programme\RMClient\MplSetUp.exe
O4 - HKLM\..\Run: [CTDrive] rundll32.exe C:\WINDOWS\system32\drvlej.dll,startup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: CheckNet.lnk = C:\Programme\Panasonic\CheckNet\CheckNet.exe
O4 - Global Startup: Display Rotation Tool.lnk = ?
O4 - Global Startup: SmartDeviceMonitor for Client.lnk = C:\Programme\RMClient\PMClient.exe
O4 - Global Startup: Software Keyboard.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Toolbars\Restrictions present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1159859772797
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AVSync Manager (AvSynMgr) - Unknown owner - C:\Programme\Network Associates\VirusScan\Avsynmgr.exe
O23 - Service: McShield - Network Associates, Inc. - C:\Programme\Gemeinsame Dateien\Network Associates\McShield\Mcshield.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\System32\S24EvMon.exe
O23 - Service: vwservice - Unknown owner - C:\WINDOWS\system32\vwsrv.exe



Cleanup wurde von mir ausgeführt, wie beschrieben.


"Techniker" - 07-04-23 8:23:54 Service Pack 2 [SAFE MODE]
ComboFix 07-04-22.6V - Running from: "C:\Dokumente und Einstellungen\Techniker\Desktop\"


(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ Purity ~ ~ ~ ~ ~ ~ ~ ~~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~
Folders Quarantined:
C:\qoobox\purity\C\WINDOWS\RACLE~1
C:\qoobox\purity\C\WINDOWS\RACLE~1\dvdplay.exe
C:\qoobox\purity\C\WINDOWS\RACLE~1\RACLE~1
C:\qoobox\purity\C\WINDOWS\system32\ICROSO~1.NET
C:\qoobox\purity\C\WINDOWS\system32\ICROSO~1.NET\l?ass.exe


((((((((((((((((((((((((((((((( Files Created from 2007-03-23 to 2007-04-23 ))))))))))))))))))))))))))))))))))


2007-04-23 08:23 49,152 --a------ C:\WINDOWS\nircmd.exe
2007-04-22 15:55 <DIR> d-------- C:\Programme\VAG-COM
2007-04-22 15:47 <DIR> d----c--- C:\WINDOWS\system32\DRVSTORE
2007-04-22 15:47 <DIR> d-------- C:\WINDOWS\LastGood.Tmp
2007-04-22 15:47 <DIR> d-------- C:\Programme\DIFX
2007-04-22 15:46 <DIR> d-------- C:\Ross-Tech
2007-04-20 09:25 <DIR> d-------- C:\Programme\Look2meRemover
2007-04-20 09:15 93,696 --a------ C:\WINDOWS\system32\drvlej.dll
2007-04-19 13:02 76,560 --a------ C:\WINDOWS\system32\drivers\tmcomm.sys
2007-04-19 12:59 <DIR> d-------- C:\DOKUME~1\TECHNI~1\.housecall6.6
2007-04-19 11:25 2 --a------ C:\WINDOWS\system32\wnscpicomsv.exe
2007-04-19 11:24 93,696 --a------ C:\WINDOWS\system32\drvxog.dll
2007-04-19 11:24 60,928 --a------ C:\WINDOWS\system32\tzptfs.dll
2007-04-19 10:35 <DIR> d--hs---- C:\WINDOWS\CSC
2007-04-19 08:16 <DIR> d-------- C:\VundoFix Backups
2007-04-18 12:26 7,168 --a------ C:\WINDOWS\system32\vwsrv.exe
2007-04-18 09:35 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Spybot - Search & Destroy
2007-04-18 09:09 <DIR> d-------- C:\DOKUME~1\TECHNI~1\ANWEND~1\Media Player Classic
2007-04-17 08:02 <DIR> d-------- C:\DOKUME~1\TECHNI~1\ANWEND~1\Lavasoft
2007-04-17 08:01 <DIR> d-------- C:\Programme\Lavasoft
2007-04-13 15:56 1 --a------ C:\WINDOWS\system32\ps.dat
2007-04-13 11:46 40,847 --a------ C:\WINDOWS\system32\mac1.dll
2007-04-13 11:46 40,847 --a------ C:\WINDOWS\system32\mac.dll
2007-04-12 16:37 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\TomTom
2007-04-12 16:23 <DIR> d-------- C:\Programme\TomTom HOME
2007-04-12 16:23 <DIR> d-------- C:\DOKUME~1\TECHNI~1\ANWEND~1\InstallShield
2007-04-11 14:53 10,752 --a------ C:\WINDOWS\system32\ff_vfw.dll
2007-04-11 14:52 348,160 --a------ C:\WINDOWS\system32\msvcr71.dll
2007-04-11 14:52 <DIR> d-------- C:\Programme\K-Lite Codec Pack
2007-04-11 14:43 1,415,680 --a------ C:\WINDOWS\system32\wmv9vcm.dll
2007-04-11 14:25 <DIR> d-------- C:\Programme\Windows Media Connect 2
2007-04-11 13:48 <DIR> d-------- C:\WINDOWS\system32\drivers\UMDF
2007-04-11 11:12 36,864 --a------ C:\WINDOWS\system32\drivers\SSHDRV61.sys
2007-04-11 11:12 21,504 --a------ C:\WINDOWS\system32\drivers\SSHDRV51.sys


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2007-04-12 16:23 -------- d--h----- C:\Programme\installshield installation information
2007-04-03 08:23 -------- d-------- C:\Programme\mobilex
2007-03-29 07:55 -------- d-------- C:\Programme\mozilla thunderbird
2007-03-26 07:25 48552 --a------ C:\WINDOWS\system32\perfc007.dat
2007-03-26 07:25 317168 --a------ C:\WINDOWS\system32\perfh007.dat
2007-03-17 15:44 293376 --a------ C:\WINDOWS\system32\winsrv.dll
2007-03-14 14:46 -------- d--h----- C:\Programme\zero g registry
2007-03-14 14:46 -------- d-------- C:\Programme\jalbum
2007-03-08 17:36 579072 --a------ C:\WINDOWS\system32\user32.dll
2007-03-08 17:36 40960 --a------ C:\WINDOWS\system32\mf3216.dll
2007-03-08 17:36 281600 --a------ C:\WINDOWS\system32\gdi32.dll
2007-03-08 17:32 1843712 --a------ C:\WINDOWS\system32\win32k.sys
2007-03-02 11:26 -------- d-------- C:\Programme\uhlemann
2007-02-05 22:18 185856 --a------ C:\WINDOWS\system32\upnphost.dll
2007-02-01 13:57 3428 --a------ C:\WINDOWS\mozver.dat


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
{02478D38-C3F9-4EFB-9B51-7695ECA05670} C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
{1557B435-8242-4686-9AA3-9265BF7525A4} C:\WINDOWS\system32\mjitghkk.dll [x]
{33161E98-0A6C-4d3c-BD62-3A7D56137F52} C:\WINDOWS\system32\mac.dll
{53707962-6F74-2D53-2644-206D7942484F} C:\PROGRA~1\SPYBOT~1\SDHelper.dll
{6494A646-69A0-382D-A348-19E34D95F99A} C:\WINDOWS\system32\tzptfs.dll
{943B8410-666B-47EF-99E3-22B65F7B0B79} C:\WINDOWS\system32\ydajkcdf.dll [x]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"AGRSMMSG"="AGRSMMSG.exe"
"Hotkey"="C:\\WINDOWS\\System32\\hkeyman.exe"
"IgfxTray"="C:\\WINDOWS\\System32\\igfxtray.exe"
"HotKeysCmds"="C:\\WINDOWS\\System32\\hkcmd.exe"
"PRONoMgr.exe"="C:\\Programme\\Intel\\NCS\\PROSet\\PRONoMgr.exe"
"Panasonic HotKey Manager"="C:\\Programme\\Panasonic\\HotKey Appendix\\HKEYAPP.EXE"
"HPlsKey"="C:\\Programme\\Panasonic\\HPLSMAN\\hplskey.exe"
"JobHisInit"="C:\\Programme\\RMClient\\JobHisInit.exe"
"MplSetUp"="C:\\Programme\\RMClient\\MplSetUp.exe"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe"
"SpybotSD TeaTimer"="C:\\Programme\\Spybot - Search & Destroy\\TeaTimer.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"NoDispScrSavPage"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"DisableLocalUserRun"=dword:00000000
"NoWelcomeScreen"=dword:00000001
"NoDesktopCleanupWizard"=dword:00000001
"NoActiveDesktop"="1"
"NoSetActiveDesktop"=dword:00000001
"NoSimpleStartMenu"=dword:00000001
"NoStartMenuEjectPC"=dword:00000001
"NoRecentDocsMenu"=dword:00000001
"NoStartMenuMFUprogramsList"="1"
"NoLogoff"=dword:00000001
"NoAutoTrayNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\HPLSNTF
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\Sebring
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tuvwxwx
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winlbf32
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\xxyvu

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa
Authentication Packages REG_MULTI_SZ msv1_0\0\0
Security Packages REG_MULTI_SZ kerberos\0msv1_0\0schannel\0wdigest\0\0
Notification Packages REG_MULTI_SZ scecli\0\0


[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService REG_MULTI_SZ DnsCache\0\0
rpcss REG_MULTI_SZ RpcSs\0\0
imgsvc REG_MULTI_SZ StiSvc\0\0
termsvcs REG_MULTI_SZ TermService\0\0
HTTPFilter REG_MULTI_SZ HTTPFilter\0\0
DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0
WudfServiceGroup REG_MULTI_SZ WUDFSvc\0\0


[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\##Andreas#D-A-CH]
Shell\AutoRun\command W:\InstallTomTomHOME.exe

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\##Andreas#G]
Shell\AutoRun\command Y:\autoplay.exe

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{fb3187d2-e901-11db-8326-000cf11fcc62}]
Shell\AutoRun\command E:\InstallTomTomHOME.exe

********************************************************************

catchme 0.3.660 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-04-23 08:26:53
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


********************************************************************

Completion time: 07-04-23 8:27:03
C:\ComboFix-quarantined-files.txt ... 07-04-23 08:27



Datentr„ger in Laufwerk C: ist XP
Volumeseriennummer: B0FE-0090

Verzeichnis von C:\WINDOWS\system32

23.04.2007 08:21 2.206 wpa.dbl
20.04.2007 09:15 93.696 drvlej.dll
20.04.2007 08:33 143 mcrh.tmp
19.04.2007 11:27 2.238 ClickToFindandFixErrors_Intl.ico
19.04.2007 11:25 2 wnscpicomsv.exe
19.04.2007 11:24 93.696 drvxog.dll
18.04.2007 12:26 7.168 vwsrv.exe
13.04.2007 15:56 1 ps.dat
13.04.2007 11:49 40.847 mac.dll
13.04.2007 11:49 16.227 helper.xml
13.04.2007 11:46 40.847 mac1.dll
13.04.2007 11:45 12.288 v7.exe~
11.04.2007 14:26 16.832 amcompat.tlb
11.04.2007 14:26 23.392 nscompat.tlb
04.04.2007 08:09 123.728 FNTCACHE.DAT
03.04.2007 22:48 13.511.640 MRT.exe
02.04.2007 14:21 428.032 swreg.exe
26.03.2007 07:25 311.938 perfh009.dat
26.03.2007 07:25 40.326 perfc009.dat
26.03.2007 07:25 48.552 perfc007.dat
26.03.2007 07:25 317.168 perfh007.dat
26.03.2007 07:25 723.744 PerfStringBackup.INI
19.03.2007 20:30 60.928 tzptfs.dll
17.03.2007 15:44 293.376 winsrv.dll
09.03.2007 13:51 270.336 xpsp3res.dll
08.03.2007 17:36 40.960 mf3216.dll
08.03.2007 17:36 281.600 gdi32.dll
08.03.2007 17:36 579.072 user32.dll
08.03.2007 17:32 1.843.712 win32k.sys
28.02.2007 18:02 2.182.656 ntoskrnl.exe
28.02.2007 18:02 2.059.904 ntkrnlpa.exe
21.02.2007 21:00 10.752 ff_vfw.dll
19.02.2007 11:15 122.142 TZLog.log
15.02.2007 19:01 337.280 WgaTray.exe
15.02.2007 19:01 1.476.992 LegitCheckControl.dll
15.02.2007 19:00 236.928 WgaLogon.dll
05.02.2007 22:18 185.856 upnphost.dll


Datentr„ger in Laufwerk C: ist XP
Volumeseriennummer: B0FE-0090

Verzeichnis von C:\DOKUME~1\TECHNI~1\LOKALE~1\Temp

04.10.2006 09:23 668 datFind.bat
1 Datei(en) 668 Bytes
0 Verzeichnis(se), 470.212.608 Bytes frei


Datentr„ger in Laufwerk C: ist XP
Volumeseriennummer: B0FE-0090

Verzeichnis von C:\WINDOWS

23.04.2007 08:07 0 0.log
23.04.2007 08:06 2.048 bootstat.dat
22.04.2007 16:14 1.085.039 WindowsUpdate.log
22.04.2007 15:56 6.428 setupapi.log
22.04.2007 15:47 5.444 DPINST.LOG
21.04.2007 03:52 86.528 catchme.exe
19.04.2007 11:18 386.336 ntbtlog.txt
19.04.2007 08:46 32.626 SchedLgU.Txt
18.04.2007 14:28 1.274.143 iis6.log
18.04.2007 14:28 2.058 comsetup.log
18.04.2007 14:28 173.619 ntdtcsetup.log
18.04.2007 14:28 509.129 tsoc.log
18.04.2007 14:28 1.374 imsins.log
18.04.2007 14:28 53.959 tabletoc.log
18.04.2007 14:28 37.875 ocmsn.log
18.04.2007 14:28 11.791 KB928090-IE7.log
18.04.2007 14:28 187.354 netfxocm.log
18.04.2007 14:28 44.177 medctroc.Log
18.04.2007 14:28 2.916 ocgen.log
18.04.2007 14:28 55.017 msgsocm.log
18.04.2007 14:28 1.090.895 FaxSetup.log
18.04.2007 14:28 354.088 msmqinst.log
18.04.2007 14:28 0 setupact.log
18.04.2007 14:27 118.129 updspapi.log
18.04.2007 14:24 18.530 KB929969.log
18.04.2007 09:22 44.919 spupdsvc.log
18.04.2007 09:19 39.330 ie7_main.log
18.04.2007 09:19 99.142 ie7.log
18.04.2007 09:11 15.553 IDNMitigationAPIs.log
18.04.2007 09:11 1.244 avmcoins.log
18.04.2007 09:08 15.228 NLSDownlevelMapping.log
18.04.2007 09:06 12.523 KB915865.log
11.04.2007 14:28 1.374 imsins.BAK
11.04.2007 14:28 6.020 KB926239.log
11.04.2007 14:27 3.965 MSCompPackV1.log
11.04.2007 14:26 17.303 wmp11.log
11.04.2007 14:26 2.987 wmsetup10.log
11.04.2007 14:26 1.586 win.ini
11.04.2007 14:24 52.671 WMFDist11.log
11.04.2007 14:21 12.043 Wudf01000Inst.log
11.04.2007 14:13 7.737 KB929399.log
11.04.2007 14:03 44.522 KB917734.log
11.04.2007 13:35 316.640 WMSysPr9.prx
11.04.2007 11:46 4.179 scad3.INI
11.04.2007 11:33 1.916 ModemLog_MC45 (GPRS).txt
11.04.2007 07:43 14.863 KB931784.log
11.04.2007 07:43 12.968 KB931261.log
11.04.2007 07:43 13.290 KB930178.log
11.04.2007 07:42 15.521 KB932168.log
04.04.2007 07:55 12.960 KB925902.log
16.03.2007 10:02 12.630 KB929338.log
02.03.2007 11:16 110 SPROJMAN.INI
02.03.2007 11:07 1.024 SPG4.INI
28.02.2007 08:58 7.852 WgaNotify.log
19.02.2007 11:16 20.676 KB927779.log
19.02.2007 11:16 17.289 KB927802.log
19.02.2007 11:16 17.862 KB928255.log
19.02.2007 11:15 14.310 KB924667.log
19.02.2007 11:15 26.809 KB931836.log
19.02.2007 11:15 16.569 KB926436.log
19.02.2007 11:14 16.468 KB918118.log
19.02.2007 11:13 20.322 KB928090.log
19.02.2007 11:12 11.155 KB928843.log
10.02.2007 21:11 291 SWW5.INI
01.02.2007 13:57 3.428 mozver.dat
01.02.2007 09:26 5.645 KB925454.log


Datentr„ger in Laufwerk C: ist XP
Volumeseriennummer: B0FE-0090

Verzeichnis von C:\WINDOWS\temp


Datentr„ger in Laufwerk C: ist XP
Volumeseriennummer: B0FE-0090

Verzeichnis von C:\WINDOWS\Downloaded Program Files

07.06.2006 11:09 1.249 erma.inf
26.05.2005 04:19 291 wuweb.inf
18.01.2004 14:27 65 desktop.ini
25.08.2003 19:12 1.096 iuctl.inf
22.08.2003 22:10 226 opuc.inf
20.06.2003 07:12 728 jinstall-1_4_2.inf
6 Datei(en) 3.655 Bytes
0 Verzeichnis(se), 470.171.648 Bytes frei


Datentr„ger in Laufwerk C: ist XP
Volumeseriennummer: B0FE-0090

Verzeichnis von C:\

23.04.2007 08:28 0 sys.txt
23.04.2007 08:28 527 down.txt
23.04.2007 08:28 106 tmp.txt
23.04.2007 08:28 17.809 system.txt
23.04.2007 08:28 284 systemtemp.txt
23.04.2007 08:27 113.194 system32.txt
23.04.2007 08:27 8.571 ComboFix.txt
23.04.2007 08:27 7.441 ComboFix-quarantined-files.txt
23.04.2007 08:06 792.723.456 pagefile.sys
19.04.2007 08:16 154 VundoFix.txt
13.04.2007 11:49 2 -1325530992
30.01.2007 13:32 59 wepkeys.txt
16.10.2006 13:17 136.854 DFS.prn
11.10.2006 12:48 210 boot.ini
11.10.2006 12:23 47.564 NTDETECT.COM
11.10.2006 12:23 251.184 ntldr
28.05.2004 12:53 147.728 ASYCFILT.DLL
29.01.2004 21:16 0 COMLOG.txt
29.01.2004 20:27 192 BcBtRmv.log
18.01.2004 14:29 0 IO.SYS
18.01.2004 14:29 0 MSDOS.SYS
18.01.2004 14:29 0 AUTOEXEC.BAT
18.01.2004 14:29 0 CONFIG.SYS
18.01.2004 13:44 512 BOOTSECT.DOS
23.08.2001 13:00 4.952 bootfont.bin
25 Datei(en) 793.460.799 Bytes
0 Verzeichnis(se), 470.167.552 Bytes frei


Ich sag schon mal DANKE, das ihr mir ggf helfen könnt.

Andreas

#2 Versuche bitte folgende Dinge aus dem System32 Ordner im abgesicherten Modus zu loewschen, bzw umzubenennen:

20.04.2007 09:15 93.696 drvlej.dll
20.04.2007 08:33 143 mcrh.tmp
19.04.2007 11:27 2.238 ClickToFindandFixErrors_Intl.ico
19.04.2007 11:25 2 wnscpicomsv.exe
19.04.2007 11:24 93.696 drvxog.dll
18.04.2007 12:26 7.168 vwsrv.exe
13.04.2007 15:56 1 ps.dat
13.04.2007 11:49 40.847 mac.dll
13.04.2007 11:49 16.227 helper.xml
13.04.2007 11:46 40.847 mac1.dll
13.04.2007 11:45 12.288 v7.exe~

abgesciherter Modus: http://www.bsi.bund.de/av/texte/wiederher.htm

Dort auch bitte mit hilfe von Hijackthis folgende Eintraege anhaken und fix checked druecken:
O4 - HKLM\..\Run: [CTDrive] rundll32.exe C:\WINDOWS\system32\drvlej.dll,startup
O23 - Service: vwservice - Unknown owner - C:\WINDOWS\system32\vwsrv.exe

Dann neu starten und neues Hijackthis und combofix report posten.
__________
MfG Ralf
SEO-Spam Hunter

#3 Hallo Ralf,

ich hab deine Liste abgearbeitet.
Bis auf den nicht mehr vorhandenen Eintrag der drvlej.dll habe ich alles gefunden und gelöscht. (Leider war da auch die Einstellung des WLANs mit dabei).

hier die neuen Dateien aus HiJack und Combofix.

Logfile of HijackThis v1.99.1
Scan saved at 12:41:04, on 23.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Panasonic\HPLSMAN\hplsman.exe
C:\Programme\Panasonic\Disprot\IDRot.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Programme\Panasonic\HotKey Appendix\HKEYAPP.EXE
C:\Programme\Panasonic\HPLSMAN\hplskey.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Panasonic\DispRot\IDRot.exe
C:\Programme\Panasonic\MEISKB\meiskb.exe
C:\Programme\Panasonic\CheckNet\CheckNet.exe
C:\Programme\RMClient\PMCTray.exe
C:\Dokumente und Einstellungen\Techniker\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1557B435-8242-4686-9AA3-9265BF7525A4} - C:\WINDOWS\system32\mjitghkk.dll (file missing)
O2 - BHO: Helper Class - {33161E98-0A6C-4d3c-BD62-3A7D56137F52} - C:\WINDOWS\system32\mac.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {6494A646-69A0-382D-A348-19E34D95F99A} - C:\WINDOWS\system32\tzptfs.dll
O2 - BHO: (no name) - {6EE04DD0-4290-4114-BF3A-74AB65A06D2C} - (no file)
O2 - BHO: (no name) - {943B8410-666B-47EF-99E3-22B65F7B0B79} - C:\WINDOWS\system32\ydajkcdf.dll (file missing)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Hotkey] C:\WINDOWS\System32\hkeyman.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [Panasonic HotKey Manager] C:\Programme\Panasonic\HotKey Appendix\HKEYAPP.EXE
O4 - HKLM\..\Run: [HPlsKey] C:\Programme\Panasonic\HPLSMAN\hplskey.exe
O4 - HKLM\..\Run: [JobHisInit] C:\Programme\RMClient\JobHisInit.exe
O4 - HKLM\..\Run: [MplSetUp] C:\Programme\RMClient\MplSetUp.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: CheckNet.lnk = C:\Programme\Panasonic\CheckNet\CheckNet.exe
O4 - Global Startup: Display Rotation Tool.lnk = ?
O4 - Global Startup: SmartDeviceMonitor for Client.lnk = C:\Programme\RMClient\PMClient.exe
O4 - Global Startup: Software Keyboard.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Toolbars\Restrictions present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1159859772797
O20 - Winlogon Notify: HPLSNTF - C:\WINDOWS\SYSTEM32\HPLSNtf.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: Sebring - C:\WINDOWS\System32\LgNotify.dll
O20 - Winlogon Notify: tuvwxwx - C:\WINDOWS\
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: winlbf32 - C:\WINDOWS\
O20 - Winlogon Notify: xxyvu - C:\WINDOWS\
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AVSync Manager (AvSynMgr) - Unknown owner - C:\Programme\Network Associates\VirusScan\Avsynmgr.exe
O23 - Service: McShield - Network Associates, Inc. - C:\Programme\Gemeinsame Dateien\Network Associates\McShield\Mcshield.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\System32\S24EvMon.exe



und hier die combofix


"Techniker" - 07-04-23 12:48:54 Service Pack 2 [SAFE MODE]
ComboFix 07-04-22.6V - Running from: "C:\Dokumente und Einstellungen\Techniker\Desktop\"


(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ Purity ~ ~ ~ ~ ~ ~ ~ ~~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~
Folders Quarantined:
C:\qoobox\purity\C\WINDOWS\RACLE~1
C:\qoobox\purity\C\WINDOWS\RACLE~1\dvdplay.exe
C:\qoobox\purity\C\WINDOWS\RACLE~1\RACLE~1
C:\qoobox\purity\C\WINDOWS\system32\ICROSO~1.NET
C:\qoobox\purity\C\WINDOWS\system32\ICROSO~1.NET\l?ass.exe


((((((((((((((((((((((((((((((( Files Created from 2007-03-23 to 2007-04-23 ))))))))))))))))))))))))))))))))))


2007-04-23 08:23 49,152 --a------ C:\WINDOWS\nircmd.exe
2007-04-22 15:55 <DIR> d-------- C:\Programme\VAG-COM
2007-04-22 15:47 <DIR> d----c--- C:\WINDOWS\system32\DRVSTORE
2007-04-22 15:47 <DIR> d-------- C:\WINDOWS\LastGood.Tmp
2007-04-22 15:47 <DIR> d-------- C:\Programme\DIFX
2007-04-22 15:46 <DIR> d-------- C:\Ross-Tech
2007-04-20 09:25 <DIR> d-------- C:\Programme\Look2meRemover
2007-04-19 13:02 76,560 --a------ C:\WINDOWS\system32\drivers\tmcomm.sys
2007-04-19 12:59 <DIR> d-------- C:\DOKUME~1\TECHNI~1\.housecall6.6
2007-04-19 11:24 60,928 --a------ C:\WINDOWS\system32\tzptfs.dll
2007-04-19 10:35 <DIR> d--hs---- C:\WINDOWS\CSC
2007-04-19 08:16 <DIR> d-------- C:\VundoFix Backups
2007-04-18 09:35 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Spybot - Search & Destroy
2007-04-18 09:09 <DIR> d-------- C:\DOKUME~1\TECHNI~1\ANWEND~1\Media Player Classic
2007-04-17 08:02 <DIR> d-------- C:\DOKUME~1\TECHNI~1\ANWEND~1\Lavasoft
2007-04-17 08:01 <DIR> d-------- C:\Programme\Lavasoft
2007-04-12 16:37 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\TomTom
2007-04-12 16:23 <DIR> d-------- C:\Programme\TomTom HOME
2007-04-12 16:23 <DIR> d-------- C:\DOKUME~1\TECHNI~1\ANWEND~1\InstallShield
2007-04-11 14:53 10,752 --a------ C:\WINDOWS\system32\ff_vfw.dll
2007-04-11 14:52 348,160 --a------ C:\WINDOWS\system32\msvcr71.dll
2007-04-11 14:52 <DIR> d-------- C:\Programme\K-Lite Codec Pack
2007-04-11 14:43 1,415,680 --a------ C:\WINDOWS\system32\wmv9vcm.dll
2007-04-11 14:25 <DIR> d-------- C:\Programme\Windows Media Connect 2
2007-04-11 13:48 <DIR> d-------- C:\WINDOWS\system32\drivers\UMDF
2007-04-11 11:12 36,864 --a------ C:\WINDOWS\system32\drivers\SSHDRV61.sys
2007-04-11 11:12 21,504 --a------ C:\WINDOWS\system32\drivers\SSHDRV51.sys


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2007-04-12 16:23 -------- d--h----- C:\Programme\installshield installation information
2007-04-03 08:23 -------- d-------- C:\Programme\mobilex
2007-03-29 07:55 -------- d-------- C:\Programme\mozilla thunderbird
2007-03-26 07:25 48552 --a------ C:\WINDOWS\system32\perfc007.dat
2007-03-26 07:25 317168 --a------ C:\WINDOWS\system32\perfh007.dat
2007-03-17 15:44 293376 --a------ C:\WINDOWS\system32\winsrv.dll
2007-03-14 14:46 -------- d--h----- C:\Programme\zero g registry
2007-03-14 14:46 -------- d-------- C:\Programme\jalbum
2007-03-08 17:36 579072 --a------ C:\WINDOWS\system32\user32.dll
2007-03-08 17:36 40960 --a------ C:\WINDOWS\system32\mf3216.dll
2007-03-08 17:36 281600 --a------ C:\WINDOWS\system32\gdi32.dll
2007-03-08 17:32 1843712 --a------ C:\WINDOWS\system32\win32k.sys
2007-03-02 11:26 -------- d-------- C:\Programme\uhlemann
2007-02-05 22:18 185856 --a------ C:\WINDOWS\system32\upnphost.dll
2007-02-01 13:57 3428 --a------ C:\WINDOWS\mozver.dat


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
{02478D38-C3F9-4EFB-9B51-7695ECA05670} C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
{1557B435-8242-4686-9AA3-9265BF7525A4} C:\WINDOWS\system32\mjitghkk.dll [x]
{33161E98-0A6C-4d3c-BD62-3A7D56137F52} C:\WINDOWS\system32\mac.dll [x]
{53707962-6F74-2D53-2644-206D7942484F} C:\PROGRA~1\SPYBOT~1\SDHelper.dll
{6494A646-69A0-382D-A348-19E34D95F99A} C:\WINDOWS\system32\tzptfs.dll
{943B8410-666B-47EF-99E3-22B65F7B0B79} C:\WINDOWS\system32\ydajkcdf.dll [x]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"AGRSMMSG"="AGRSMMSG.exe"
"Hotkey"="C:\\WINDOWS\\System32\\hkeyman.exe"
"IgfxTray"="C:\\WINDOWS\\System32\\igfxtray.exe"
"HotKeysCmds"="C:\\WINDOWS\\System32\\hkcmd.exe"
"PRONoMgr.exe"="C:\\Programme\\Intel\\NCS\\PROSet\\PRONoMgr.exe"
"Panasonic HotKey Manager"="C:\\Programme\\Panasonic\\HotKey Appendix\\HKEYAPP.EXE"
"HPlsKey"="C:\\Programme\\Panasonic\\HPLSMAN\\hplskey.exe"
"JobHisInit"="C:\\Programme\\RMClient\\JobHisInit.exe"
"MplSetUp"="C:\\Programme\\RMClient\\MplSetUp.exe"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe"
"SpybotSD TeaTimer"="C:\\Programme\\Spybot - Search & Destroy\\TeaTimer.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"NoDispScrSavPage"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"DisableLocalUserRun"=dword:00000000
"NoWelcomeScreen"=dword:00000001
"NoDesktopCleanupWizard"=dword:00000001
"NoActiveDesktop"="1"
"NoSetActiveDesktop"=dword:00000001
"NoSimpleStartMenu"=dword:00000001
"NoStartMenuEjectPC"=dword:00000001
"NoRecentDocsMenu"=dword:00000001
"NoStartMenuMFUprogramsList"="1"
"NoLogoff"=dword:00000001
"NoAutoTrayNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\HPLSNTF
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\Sebring
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tuvwxwx
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winlbf32
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\xxyvu

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa
Authentication Packages REG_MULTI_SZ msv1_0\0\0
Security Packages REG_MULTI_SZ kerberos\0msv1_0\0schannel\0wdigest\0\0
Notification Packages REG_MULTI_SZ scecli\0\0


[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService REG_MULTI_SZ DnsCache\0\0
rpcss REG_MULTI_SZ RpcSs\0\0
imgsvc REG_MULTI_SZ StiSvc\0\0
termsvcs REG_MULTI_SZ TermService\0\0
HTTPFilter REG_MULTI_SZ HTTPFilter\0\0
DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0
WudfServiceGroup REG_MULTI_SZ WUDFSvc\0\0


[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\##Andreas#D-A-CH]
Shell\AutoRun\command W:\InstallTomTomHOME.exe

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\##Andreas#G]
Shell\AutoRun\command Y:\autoplay.exe

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{fb3187d2-e901-11db-8326-000cf11fcc62}]
Shell\AutoRun\command E:\InstallTomTomHOME.exe

********************************************************************

catchme 0.3.660 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-04-23 12:50:30
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


********************************************************************

Completion time: 07-04-23 12:50:40
C:\ComboFix-quarantined-files.txt ... 07-04-23 12:50
C:\ComboFix2.txt ... 07-04-23 12:48
C:\ComboFix3.txt ... 07-04-23 12:44


DANKE !!!

#4 Interessant. Wo hat deine Software denn die Infos zum Wlan abgespeichert?
Diese Datei solltest du ja nicht loeschen! 23.04.2007 08:21 2.206 wpa.dbl

So, dann koennen wir jetzt "weiterfixen"

O2 - BHO: (no name) - {1557B435-8242-4686-9AA3-9265BF7525A4} - C:\WINDOWS\system32\mjitghkk.dll (file missing)
O2 - BHO: Helper Class - {33161E98-0A6C-4d3c-BD62-3A7D56137F52} - C:\WINDOWS\system32\mac.dll (file missing)
O2 - BHO: (no name) - {6494A646-69A0-382D-A348-19E34D95F99A} - C:\WINDOWS\system32\tzptfs.dll
O2 - BHO: (no name) - {6EE04DD0-4290-4114-BF3A-74AB65A06D2C} - (no file)
O2 - BHO: (no name) - {943B8410-666B-47EF-99E3-22B65F7B0B79} - C:\WINDOWS\system32\ydajkcdf.dll (file missing)
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Toolbars\Restrictions present
O20 - Winlogon Notify: tuvwxwx - C:\WINDOWS\
O20 - Winlogon Notify: winlbf32 - C:\WINDOWS\
O20 - Winlogon Notify: xxyvu - C:\WINDOWS\

Dann neu starten, nocheinmal combofix laufen lassen und erneut ein Hijackthislog+Combofix posten.
__________
MfG Ralf
SEO-Spam Hunter

#5 Hallo Ralf,

das mit dem WLAN ist ja auch nicht so schlimm, es ist jetzt halt nur umständlicher ... gelöscht habe ich nur die von Dir angegebenen Dateien.

Hier das Log aus dem HiJack:
Logfile of HijackThis v1.99.1
Scan saved at 15:19:34, on 23.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Panasonic\HPLSMAN\hplsman.exe
C:\Programme\Panasonic\Disprot\IDRot.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Programme\Panasonic\HotKey Appendix\HKEYAPP.EXE
C:\Programme\Panasonic\HPLSMAN\hplskey.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Panasonic\DispRot\IDRot.exe
C:\Programme\Panasonic\MEISKB\meiskb.exe
C:\Programme\Panasonic\CheckNet\CheckNet.exe
C:\Programme\RMClient\PMCTray.exe
C:\Dokumente und Einstellungen\Techniker\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1557B435-8242-4686-9AA3-9265BF7525A4} - (no file)
O2 - BHO: (no name) - {33161E98-0A6C-4d3c-BD62-3A7D56137F52} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {6494A646-69A0-382D-A348-19E34D95F99A} - (no file)
O2 - BHO: (no name) - {6EE04DD0-4290-4114-BF3A-74AB65A06D2C} - (no file)
O2 - BHO: (no name) - {943B8410-666B-47EF-99E3-22B65F7B0B79} - (no file)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Hotkey] C:\WINDOWS\System32\hkeyman.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [Panasonic HotKey Manager] C:\Programme\Panasonic\HotKey Appendix\HKEYAPP.EXE
O4 - HKLM\..\Run: [HPlsKey] C:\Programme\Panasonic\HPLSMAN\hplskey.exe
O4 - HKLM\..\Run: [JobHisInit] C:\Programme\RMClient\JobHisInit.exe
O4 - HKLM\..\Run: [MplSetUp] C:\Programme\RMClient\MplSetUp.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: CheckNet.lnk = C:\Programme\Panasonic\CheckNet\CheckNet.exe
O4 - Global Startup: Display Rotation Tool.lnk = ?
O4 - Global Startup: SmartDeviceMonitor for Client.lnk = C:\Programme\RMClient\PMClient.exe
O4 - Global Startup: Software Keyboard.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Toolbars\Restrictions present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1159859772797
O20 - Winlogon Notify: HPLSNTF - C:\WINDOWS\SYSTEM32\HPLSNtf.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: Sebring - C:\WINDOWS\System32\LgNotify.dll
O20 - Winlogon Notify: tuvwxwx - C:\WINDOWS\
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: winlbf32 - C:\WINDOWS\
O20 - Winlogon Notify: xxyvu - C:\WINDOWS\
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AVSync Manager (AvSynMgr) - Unknown owner - C:\Programme\Network Associates\VirusScan\Avsynmgr.exe
O23 - Service: McShield - Network Associates, Inc. - C:\Programme\Gemeinsame Dateien\Network Associates\McShield\Mcshield.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\System32\S24EvMon.exe


und hier die txt aus dem Combofix

"Techniker" - 07-04-23 15:20:12 Service Pack 2 [SAFE MODE]
ComboFix 07-04-22.6V - Running from: "C:\Dokumente und Einstellungen\Techniker\Desktop\"


(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ Purity ~ ~ ~ ~ ~ ~ ~ ~~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~
Folders Quarantined:
C:\qoobox\purity\C\WINDOWS\RACLE~1
C:\qoobox\purity\C\WINDOWS\RACLE~1\dvdplay.exe
C:\qoobox\purity\C\WINDOWS\RACLE~1\RACLE~1
C:\qoobox\purity\C\WINDOWS\system32\ICROSO~1.NET
C:\qoobox\purity\C\WINDOWS\system32\ICROSO~1.NET\l?ass.exe


((((((((((((((((((((((((((((((( Files Created from 2007-03-23 to 2007-04-23 ))))))))))))))))))))))))))))))))))


2007-04-23 08:23 49,152 --a------ C:\WINDOWS\nircmd.exe
2007-04-22 15:55 <DIR> d-------- C:\Programme\VAG-COM
2007-04-22 15:47 <DIR> d----c--- C:\WINDOWS\system32\DRVSTORE
2007-04-22 15:47 <DIR> d-------- C:\WINDOWS\LastGood.Tmp
2007-04-22 15:47 <DIR> d-------- C:\Programme\DIFX
2007-04-22 15:46 <DIR> d-------- C:\Ross-Tech
2007-04-20 09:25 <DIR> d-------- C:\Programme\Look2meRemover
2007-04-19 13:02 76,560 --a------ C:\WINDOWS\system32\drivers\tmcomm.sys
2007-04-19 12:59 <DIR> d-------- C:\DOKUME~1\TECHNI~1\.housecall6.6
2007-04-19 10:35 <DIR> d--hs---- C:\WINDOWS\CSC
2007-04-19 08:16 <DIR> d-------- C:\VundoFix Backups
2007-04-18 09:35 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Spybot - Search & Destroy
2007-04-18 09:09 <DIR> d-------- C:\DOKUME~1\TECHNI~1\ANWEND~1\Media Player Classic
2007-04-17 08:02 <DIR> d-------- C:\DOKUME~1\TECHNI~1\ANWEND~1\Lavasoft
2007-04-17 08:01 <DIR> d-------- C:\Programme\Lavasoft
2007-04-12 16:37 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\TomTom
2007-04-12 16:23 <DIR> d-------- C:\Programme\TomTom HOME
2007-04-12 16:23 <DIR> d-------- C:\DOKUME~1\TECHNI~1\ANWEND~1\InstallShield
2007-04-11 14:53 10,752 --a------ C:\WINDOWS\system32\ff_vfw.dll
2007-04-11 14:52 348,160 --a------ C:\WINDOWS\system32\msvcr71.dll
2007-04-11 14:52 <DIR> d-------- C:\Programme\K-Lite Codec Pack
2007-04-11 14:43 1,415,680 --a------ C:\WINDOWS\system32\wmv9vcm.dll
2007-04-11 14:25 <DIR> d-------- C:\Programme\Windows Media Connect 2
2007-04-11 13:48 <DIR> d-------- C:\WINDOWS\system32\drivers\UMDF
2007-04-11 11:12 36,864 --a------ C:\WINDOWS\system32\drivers\SSHDRV61.sys
2007-04-11 11:12 21,504 --a------ C:\WINDOWS\system32\drivers\SSHDRV51.sys


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2007-04-12 16:23 -------- d--h----- C:\Programme\installshield installation information
2007-04-03 08:23 -------- d-------- C:\Programme\mobilex
2007-03-29 07:55 -------- d-------- C:\Programme\mozilla thunderbird
2007-03-26 07:25 48552 --a------ C:\WINDOWS\system32\perfc007.dat
2007-03-26 07:25 317168 --a------ C:\WINDOWS\system32\perfh007.dat
2007-03-17 15:44 293376 --a------ C:\WINDOWS\system32\winsrv.dll
2007-03-14 14:46 -------- d--h----- C:\Programme\zero g registry
2007-03-14 14:46 -------- d-------- C:\Programme\jalbum
2007-03-08 17:36 579072 --a------ C:\WINDOWS\system32\user32.dll
2007-03-08 17:36 40960 --a------ C:\WINDOWS\system32\mf3216.dll
2007-03-08 17:36 281600 --a------ C:\WINDOWS\system32\gdi32.dll
2007-03-08 17:32 1843712 --a------ C:\WINDOWS\system32\win32k.sys
2007-03-02 11:26 -------- d-------- C:\Programme\uhlemann
2007-02-05 22:18 185856 --a------ C:\WINDOWS\system32\upnphost.dll
2007-02-01 13:57 3428 --a------ C:\WINDOWS\mozver.dat


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
{02478D38-C3F9-4EFB-9B51-7695ECA05670} C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
{53707962-6F74-2D53-2644-206D7942484F} C:\PROGRA~1\SPYBOT~1\SDHelper.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"AGRSMMSG"="AGRSMMSG.exe"
"Hotkey"="C:\\WINDOWS\\System32\\hkeyman.exe"
"IgfxTray"="C:\\WINDOWS\\System32\\igfxtray.exe"
"HotKeysCmds"="C:\\WINDOWS\\System32\\hkcmd.exe"
"PRONoMgr.exe"="C:\\Programme\\Intel\\NCS\\PROSet\\PRONoMgr.exe"
"Panasonic HotKey Manager"="C:\\Programme\\Panasonic\\HotKey Appendix\\HKEYAPP.EXE"
"HPlsKey"="C:\\Programme\\Panasonic\\HPLSMAN\\hplskey.exe"
"JobHisInit"="C:\\Programme\\RMClient\\JobHisInit.exe"
"MplSetUp"="C:\\Programme\\RMClient\\MplSetUp.exe"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe"
"SpybotSD TeaTimer"="C:\\Programme\\Spybot - Search & Destroy\\TeaTimer.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"NoDispScrSavPage"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"DisableLocalUserRun"=dword:00000000
"NoWelcomeScreen"=dword:00000001
"NoDesktopCleanupWizard"=dword:00000001
"NoActiveDesktop"="1"
"NoSetActiveDesktop"=dword:00000001
"NoSimpleStartMenu"=dword:00000001
"NoStartMenuEjectPC"=dword:00000001
"NoRecentDocsMenu"=dword:00000001
"NoStartMenuMFUprogramsList"="1"
"NoLogoff"=dword:00000001
"NoAutoTrayNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\HPLSNTF
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\Sebring
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tuvwxwx
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winlbf32
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\xxyvu

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa
Authentication Packages REG_MULTI_SZ msv1_0\0\0
Security Packages REG_MULTI_SZ kerberos\0msv1_0\0schannel\0wdigest\0\0
Notification Packages REG_MULTI_SZ scecli\0\0


[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService REG_MULTI_SZ DnsCache\0\0
rpcss REG_MULTI_SZ RpcSs\0\0
imgsvc REG_MULTI_SZ StiSvc\0\0
termsvcs REG_MULTI_SZ TermService\0\0
HTTPFilter REG_MULTI_SZ HTTPFilter\0\0
DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0
WudfServiceGroup REG_MULTI_SZ WUDFSvc\0\0


[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\##Andreas#D-A-CH]
Shell\AutoRun\command W:\InstallTomTomHOME.exe

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\##Andreas#G]
Shell\AutoRun\command Y:\autoplay.exe

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{fb3187d2-e901-11db-8326-000cf11fcc62}]
Shell\AutoRun\command E:\InstallTomTomHOME.exe

********************************************************************

catchme 0.3.660 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-04-23 15:21:49
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


********************************************************************

Completion time: 07-04-23 15:21:55
C:\ComboFix-quarantined-files.txt ... 07-04-23 15:21
C:\ComboFix2.txt ... 07-04-23 15:19
C:\ComboFix3.txt ... 07-04-23 12:51


Andreas

#6 Du musst die von mir eangegebenen Eintraege bei Hijackthis nochmal "fxen". Am besten im abgesicherten Modus und bei geschlossenem Internetexplorer.

Lasse bitte zusaetzlich noch cureit im abgesicherten Modus den Rechner pruefen.
http://freedrweb.com/?lng=de
__________
MfG Ralf
SEO-Spam Hunter

#7 Hallo Ralf,

sorry, mein Fehler. Ich versuche das was Du mir schreibst, so gut wie möglich nachzuvollziehen, ich bin Dir sozusagen ausgeliefert ... :-)

Hier das Log aus HiJack

Logfile of HijackThis v1.99.1
Scan saved at 16:26:54, on 23.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Panasonic\HPLSMAN\hplsman.exe
C:\Programme\Panasonic\Disprot\IDRot.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\Techniker\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Hotkey] C:\WINDOWS\System32\hkeyman.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [Panasonic HotKey Manager] C:\Programme\Panasonic\HotKey Appendix\HKEYAPP.EXE
O4 - HKLM\..\Run: [HPlsKey] C:\Programme\Panasonic\HPLSMAN\hplskey.exe
O4 - HKLM\..\Run: [JobHisInit] C:\Programme\RMClient\JobHisInit.exe
O4 - HKLM\..\Run: [MplSetUp] C:\Programme\RMClient\MplSetUp.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: CheckNet.lnk = C:\Programme\Panasonic\CheckNet\CheckNet.exe
O4 - Global Startup: Display Rotation Tool.lnk = ?
O4 - Global Startup: SmartDeviceMonitor for Client.lnk = C:\Programme\RMClient\PMClient.exe
O4 - Global Startup: Software Keyboard.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Toolbars\Restrictions present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1159859772797
O20 - Winlogon Notify: HPLSNTF - C:\WINDOWS\SYSTEM32\HPLSNtf.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: Sebring - C:\WINDOWS\System32\LgNotify.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AVSync Manager (AvSynMgr) - Unknown owner - C:\Programme\Network Associates\VirusScan\Avsynmgr.exe
O23 - Service: McShield - Network Associates, Inc. - C:\Programme\Gemeinsame Dateien\Network Associates\McShield\Mcshield.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\System32\S24EvMon.exe



Hier das Log aus Combofix

"Techniker" - 07-04-23 16:27:42 Service Pack 2 [SAFE MODE]
ComboFix 07-04-22.6V - Running from: "C:\Dokumente und Einstellungen\Techniker\Desktop\"


(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ Purity ~ ~ ~ ~ ~ ~ ~ ~~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~
Folders Quarantined:
C:\qoobox\purity\C\WINDOWS\RACLE~1
C:\qoobox\purity\C\WINDOWS\RACLE~1\dvdplay.exe
C:\qoobox\purity\C\WINDOWS\RACLE~1\RACLE~1
C:\qoobox\purity\C\WINDOWS\system32\ICROSO~1.NET
C:\qoobox\purity\C\WINDOWS\system32\ICROSO~1.NET\l?ass.exe


((((((((((((((((((((((((((((((( Files Created from 2007-03-23 to 2007-04-23 ))))))))))))))))))))))))))))))))))


2007-04-23 08:23 49,152 --a------ C:\WINDOWS\nircmd.exe
2007-04-22 15:55 <DIR> d-------- C:\Programme\VAG-COM
2007-04-22 15:47 <DIR> d----c--- C:\WINDOWS\system32\DRVSTORE
2007-04-22 15:47 <DIR> d-------- C:\WINDOWS\LastGood.Tmp
2007-04-22 15:47 <DIR> d-------- C:\Programme\DIFX
2007-04-22 15:46 <DIR> d-------- C:\Ross-Tech
2007-04-20 09:25 <DIR> d-------- C:\Programme\Look2meRemover
2007-04-19 13:02 76,560 --a------ C:\WINDOWS\system32\drivers\tmcomm.sys
2007-04-19 12:59 <DIR> d-------- C:\DOKUME~1\TECHNI~1\.housecall6.6
2007-04-19 10:35 <DIR> d--hs---- C:\WINDOWS\CSC
2007-04-19 08:16 <DIR> d-------- C:\VundoFix Backups
2007-04-18 09:35 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Spybot - Search & Destroy
2007-04-18 09:09 <DIR> d-------- C:\DOKUME~1\TECHNI~1\ANWEND~1\Media Player Classic
2007-04-17 08:02 <DIR> d-------- C:\DOKUME~1\TECHNI~1\ANWEND~1\Lavasoft
2007-04-17 08:01 <DIR> d-------- C:\Programme\Lavasoft
2007-04-12 16:37 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\TomTom
2007-04-12 16:23 <DIR> d-------- C:\Programme\TomTom HOME
2007-04-12 16:23 <DIR> d-------- C:\DOKUME~1\TECHNI~1\ANWEND~1\InstallShield
2007-04-11 14:53 10,752 --a------ C:\WINDOWS\system32\ff_vfw.dll
2007-04-11 14:52 348,160 --a------ C:\WINDOWS\system32\msvcr71.dll
2007-04-11 14:52 <DIR> d-------- C:\Programme\K-Lite Codec Pack
2007-04-11 14:43 1,415,680 --a------ C:\WINDOWS\system32\wmv9vcm.dll
2007-04-11 14:25 <DIR> d-------- C:\Programme\Windows Media Connect 2
2007-04-11 13:48 <DIR> d-------- C:\WINDOWS\system32\drivers\UMDF
2007-04-11 11:12 36,864 --a------ C:\WINDOWS\system32\drivers\SSHDRV61.sys
2007-04-11 11:12 21,504 --a------ C:\WINDOWS\system32\drivers\SSHDRV51.sys


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2007-04-12 16:23 -------- d--h----- C:\Programme\installshield installation information
2007-04-03 08:23 -------- d-------- C:\Programme\mobilex
2007-03-29 07:55 -------- d-------- C:\Programme\mozilla thunderbird
2007-03-26 07:25 48552 --a------ C:\WINDOWS\system32\perfc007.dat
2007-03-26 07:25 317168 --a------ C:\WINDOWS\system32\perfh007.dat
2007-03-17 15:44 293376 --a------ C:\WINDOWS\system32\winsrv.dll
2007-03-14 14:46 -------- d--h----- C:\Programme\zero g registry
2007-03-14 14:46 -------- d-------- C:\Programme\jalbum
2007-03-08 17:36 579072 --a------ C:\WINDOWS\system32\user32.dll
2007-03-08 17:36 40960 --a------ C:\WINDOWS\system32\mf3216.dll
2007-03-08 17:36 281600 --a------ C:\WINDOWS\system32\gdi32.dll
2007-03-08 17:32 1843712 --a------ C:\WINDOWS\system32\win32k.sys
2007-03-02 11:26 -------- d-------- C:\Programme\uhlemann
2007-02-05 22:18 185856 --a------ C:\WINDOWS\system32\upnphost.dll
2007-02-01 13:57 3428 --a------ C:\WINDOWS\mozver.dat


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
{02478D38-C3F9-4EFB-9B51-7695ECA05670} C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
{53707962-6F74-2D53-2644-206D7942484F} C:\PROGRA~1\SPYBOT~1\SDHelper.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"AGRSMMSG"="AGRSMMSG.exe"
"Hotkey"="C:\\WINDOWS\\System32\\hkeyman.exe"
"IgfxTray"="C:\\WINDOWS\\System32\\igfxtray.exe"
"HotKeysCmds"="C:\\WINDOWS\\System32\\hkcmd.exe"
"PRONoMgr.exe"="C:\\Programme\\Intel\\NCS\\PROSet\\PRONoMgr.exe"
"Panasonic HotKey Manager"="C:\\Programme\\Panasonic\\HotKey Appendix\\HKEYAPP.EXE"
"HPlsKey"="C:\\Programme\\Panasonic\\HPLSMAN\\hplskey.exe"
"JobHisInit"="C:\\Programme\\RMClient\\JobHisInit.exe"
"MplSetUp"="C:\\Programme\\RMClient\\MplSetUp.exe"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe"
"SpybotSD TeaTimer"="C:\\Programme\\Spybot - Search & Destroy\\TeaTimer.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"NoDispScrSavPage"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"DisableLocalUserRun"=dword:00000000
"NoWelcomeScreen"=dword:00000001
"NoDesktopCleanupWizard"=dword:00000001
"NoActiveDesktop"="1"
"NoSetActiveDesktop"=dword:00000001
"NoSimpleStartMenu"=dword:00000001
"NoStartMenuEjectPC"=dword:00000001
"NoRecentDocsMenu"=dword:00000001
"NoStartMenuMFUprogramsList"="1"
"NoLogoff"=dword:00000001
"NoAutoTrayNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\HPLSNTF
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\Sebring

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa
Authentication Packages REG_MULTI_SZ msv1_0\0\0
Security Packages REG_MULTI_SZ kerberos\0msv1_0\0schannel\0wdigest\0\0
Notification Packages REG_MULTI_SZ scecli\0\0


[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService REG_MULTI_SZ DnsCache\0\0
rpcss REG_MULTI_SZ RpcSs\0\0
imgsvc REG_MULTI_SZ StiSvc\0\0
termsvcs REG_MULTI_SZ TermService\0\0
HTTPFilter REG_MULTI_SZ HTTPFilter\0\0
DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0
WudfServiceGroup REG_MULTI_SZ WUDFSvc\0\0


[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\##Andreas#D-A-CH]
Shell\AutoRun\command W:\InstallTomTomHOME.exe

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\##Andreas#G]
Shell\AutoRun\command Y:\autoplay.exe

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{fb3187d2-e901-11db-8326-000cf11fcc62}]
Shell\AutoRun\command E:\InstallTomTomHOME.exe

********************************************************************

catchme 0.3.660 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-04-23 16:31:07
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


********************************************************************

Completion time: 07-04-23 16:31:14
C:\ComboFix-quarantined-files.txt ... 07-04-23 16:31
C:\ComboFix2.txt ... 07-04-23 15:22
C:\ComboFix3.txt ... 07-04-23 15:19


Das cureit hat im abgesichertem Modus keine Viren gefunden.

Andreas

#8 Das sieht recht gut aus. Loesche bitte noch diesen Ordner: C:\qoobox
__________
MfG Ralf
SEO-Spam Hunter

#9 Hallo Ralf,

den Ordner habe ich gelöscht und auch aus dem Papierkorb entfernt.

War´s das dann ?
Ich probier nix aus, solange Du nicht das OK dazu gibst !!!

Andreas

#10 Das sieht sauber aus. Du kannst zur Sicherheit noch ein datfindbat Report der letzten 30 Tage posten http://virus-protect.org/datfindbat.html und ein Scan mit ewidomicro machen http://downloads.ewido.net/ewido_micro.exe , aber ich denke, das passt.
__________
MfG Ralf
SEO-Spam Hunter

#11 Hallo Ralf,

das mit dem ewido_micro funktionier noch nicht, ich habe noch keine Verbindung ins Internet für den Download der Database auf dem Laptop.

Also hier nur die datfind Files:

Datentr„ger in Laufwerk C: ist XP
Volumeseriennummer: B0FE-0090

Verzeichnis von C:\WINDOWS\system32

23.04.2007 08:21 2.206 wpa.dbl
11.04.2007 14:26 16.832 amcompat.tlb
11.04.2007 14:26 23.392 nscompat.tlb
04.04.2007 08:09 123.728 FNTCACHE.DAT
03.04.2007 22:48 13.511.640 MRT.exe
02.04.2007 14:21 428.032 swreg.exe
26.03.2007 07:25 40.326 perfc009.dat
26.03.2007 07:25 311.938 perfh009.dat
26.03.2007 07:25 317.168 perfh007.dat
26.03.2007 07:25 48.552 perfc007.dat
26.03.2007 07:25 723.744 PerfStringBackup.INI
17.03.2007 15:44 293.376 winsrv.dll
09.03.2007 13:51 270.336 xpsp3res.dll
08.03.2007 17:36 579.072 user32.dll
08.03.2007 17:36 281.600 gdi32.dll
08.03.2007 17:36 40.960 mf3216.dll
08.03.2007 17:32 1.843.712 win32k.sys


Datentr„ger in Laufwerk C: ist XP
Volumeseriennummer: B0FE-0090

Verzeichnis von C:\DOKUME~1\TECHNI~1\LOKALE~1\Temp


Datentr„ger in Laufwerk C: ist XP
Volumeseriennummer: B0FE-0090

Verzeichnis von C:\WINDOWS

23.04.2007 17:09 2.048 bootstat.dat
23.04.2007 17:08 1.092.880 WindowsUpdate.log
23.04.2007 17:07 1.203.542 ntbtlog.txt
23.04.2007 08:07 0 0.log
22.04.2007 15:56 6.428 setupapi.log
22.04.2007 15:47 5.444 DPINST.LOG
21.04.2007 03:52 86.528 catchme.exe
19.04.2007 08:46 32.626 SchedLgU.Txt
18.04.2007 14:28 1.274.143 iis6.log
18.04.2007 14:28 2.058 comsetup.log
18.04.2007 14:28 173.619 ntdtcsetup.log
18.04.2007 14:28 509.129 tsoc.log
18.04.2007 14:28 1.374 imsins.log
18.04.2007 14:28 53.959 tabletoc.log
18.04.2007 14:28 37.875 ocmsn.log
18.04.2007 14:28 11.791 KB928090-IE7.log
18.04.2007 14:28 187.354 netfxocm.log
18.04.2007 14:28 44.177 medctroc.Log
18.04.2007 14:28 2.916 ocgen.log
18.04.2007 14:28 55.017 msgsocm.log
18.04.2007 14:28 1.090.895 FaxSetup.log
18.04.2007 14:28 354.088 msmqinst.log
18.04.2007 14:28 0 setupact.log
18.04.2007 14:27 118.129 updspapi.log
18.04.2007 14:24 18.530 KB929969.log
18.04.2007 09:22 44.919 spupdsvc.log
18.04.2007 09:19 39.330 ie7_main.log
18.04.2007 09:19 99.142 ie7.log
18.04.2007 09:11 15.553 IDNMitigationAPIs.log
18.04.2007 09:11 1.244 avmcoins.log
18.04.2007 09:08 15.228 NLSDownlevelMapping.log
18.04.2007 09:06 12.523 KB915865.log
11.04.2007 14:28 1.374 imsins.BAK
11.04.2007 14:28 6.020 KB926239.log
11.04.2007 14:27 3.965 MSCompPackV1.log
11.04.2007 14:26 17.303 wmp11.log
11.04.2007 14:26 2.987 wmsetup10.log
11.04.2007 14:26 1.586 win.ini
11.04.2007 14:24 52.671 WMFDist11.log
11.04.2007 14:21 12.043 Wudf01000Inst.log
11.04.2007 14:13 7.737 KB929399.log
11.04.2007 14:03 44.522 KB917734.log
11.04.2007 13:35 316.640 WMSysPr9.prx
11.04.2007 11:46 4.179 scad3.INI
11.04.2007 11:33 1.916 ModemLog_MC45 (GPRS).txt
11.04.2007 07:43 14.863 KB931784.log
11.04.2007 07:43 12.968 KB931261.log
11.04.2007 07:43 13.290 KB930178.log
11.04.2007 07:42 15.521 KB932168.log
04.04.2007 07:55 12.960 KB925902.log
16.03.2007 10:02 12.630 KB929338.log
02.03.2007 11:16 110 SPROJMAN.INI
02.03.2007 11:07 1.024 SPG4.INI


Datentr„ger in Laufwerk C: ist XP
Volumeseriennummer: B0FE-0090

Verzeichnis von C:\WINDOWS\temp

23.04.2007 17:09 255 WGAErrLog.txt
1 Datei(en) 255 Bytes
0 Verzeichnis(se), 433.922.048 Bytes frei


Datentr„ger in Laufwerk C: ist XP
Volumeseriennummer: B0FE-0090

Verzeichnis von C:\WINDOWS\Downloaded Program Files

07.06.2006 11:09 1.249 erma.inf
26.05.2005 04:19 291 wuweb.inf
18.01.2004 14:27 65 desktop.ini
25.08.2003 19:12 1.096 iuctl.inf
22.08.2003 22:10 226 opuc.inf
20.06.2003 07:12 728 jinstall-1_4_2.inf
6 Datei(en) 3.655 Bytes
0 Verzeichnis(se), 433.922.048 Bytes frei


Datentr„ger in Laufwerk C: ist XP
Volumeseriennummer: B0FE-0090

Verzeichnis von C:\

23.04.2007 18:20 0 sys.txt
23.04.2007 18:20 527 down.txt
23.04.2007 18:19 267 tmp.txt
23.04.2007 18:19 17.809 system.txt
23.04.2007 18:19 125 systemtemp.txt
23.04.2007 18:19 112.606 system32.txt
23.04.2007 17:09 792.723.456 pagefile.sys
23.04.2007 16:31 7.574 ComboFix.txt
23.04.2007 16:31 7.441 ComboFix-quarantined-files.txt
23.04.2007 15:22 7.840 ComboFix2.txt
23.04.2007 15:19 7.840 ComboFix3.txt
23.04.2007 12:51 8.203 1.txt
23.04.2007 12:41 5.591 1.log
23.04.2007 11:20 341 VundoFix.txt
13.04.2007 11:49 2 -1325530992

Andreas

#12 Also ich sehe so nichts mehr......
__________
MfG Ralf
SEO-Spam Hunter

#13 Hallo Ralf,

das ist gut, das ist sehr gut. DANKE !!!

Die Arbeit die Ihr hier macht ist wirklich klasse !
Ich hab wieder einiges gelernt (insbesondere mit dem Umgang von Downloads).
Ich werd jetzt meine Rechner noch sicherer machen.
Gibt es von Euch in der Richtung irgendwelche Tipps ?

und einen habe ich noch ...
Jetzt geht mein Windows allgemein nicht mehr so richtig ... :-)
USB Stick wird nicht mehr erkannt, WLAN läßt sich nicht mehr installieren.
Ich werd morgen mal versuchen die Installation von XP drüber laufen zu lassen.
Ansonsten werd ich wohl nicht um eine Neuinstallatio drumherum kommen.

Andreas