Drive Clean, Internet Explorer stürtzt permanent ab

#1 hallo zusammen,

habe mich hier ein wenig umgeschaut und einiges zu diesem thema gefunden. ich komme aber nicht weiter und hoffe, dass mir jemand helfen kann.

seit dem download eines keygen bekomme ich die meldung pornoseiten besucht zu haben, anschließend dann ein fenster wo man driveclean runterladen kann. desweiteren flackert der IE ständig und diverse popups öffnen sich, nach einer weile stürtzt der IE ab.

ich habe eine hijackthis und eine combofix logflie erzeugt. bitte schauts euch mal an. vielen dank im voraus für eure unterstützung.


Logfile of HijackThis v1.99.1
Scan saved at 00:02:12, on 15.06.2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Florian Lüling\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis_199.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {37bd6c62-7500-4fb9-9890-ecb70fa9c44b} - C:\WINDOWS\system32\mqdsvc.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar4.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar4.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\mqdsvc.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\mqdsvc.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/094137e92a34c041fc16/netzip/RdxIE601_de.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E6273C7C-B7EA-4D79-B7A9-19DA41C61B4F}: NameServer = 195.50.140.114 195.50.140.252
O20 - Winlogon Notify: mqdsvc - C:\WINDOWS\SYSTEM32\mqdsvc.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe


und hier der scan von combofix:


ComboFix 07-06-13.3 - C:\Dokumente und Einstellungen\Name\Desktop\ComboFix.exe
"Florian L�ling" - 2007-06-14 23:42:02 NTFS


(((((((((((((((((((((((((((((((((((((((((((( V Log )))))))))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\awtqon.dll
C:\WINDOWS\gebcbc.dll
C:\WINDOWS\qopopo.dll
C:\WINDOWS\ursrrs.dll
C:\WINDOWS\noqtwa.ini
C:\WINDOWS\cbcbeg.ini
C:\WINDOWS\opopoq.ini
C:\WINDOWS\srrsru.ini


* * * POST RUN FILES/FOLDERS * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *


((((((((((((((((((((((((( Files Created from 2007-05-14 to 2007-06-14 )))))))))))))))))))))))))))))))


2007-06-14 23:41 49,152 --a------ C:\WINDOWS\nircmd.exe
2007-06-12 16:02 <DIR> d-------- C:\WINDOWS\LastGood
2007-06-12 13:31 <DIR> d-------- C:\Programme\Lavasoft
2007-06-12 13:31 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Lavasoft
2007-06-12 13:26 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2007-06-08 16:28 77,824 --a------ C:\WINDOWS\system32\mqdsvc.dll
2007-06-08 16:13 54 --a------ C:\WINDOWS\SW_Win2000X24.DLL
2007-06-08 16:05 <DIR> d-------- C:\DOKUME~1\FLORIA~1\ANWEND~1\Help
2007-06-08 15:38 45,056 --a------ C:\WINDOWS\system32\unredmon.exe
2007-06-08 15:38 116,224 --a------ C:\WINDOWS\system32\redmonnt.dll
2007-06-08 15:38 <DIR> d-------- C:\Programme\FreePDF_XP
2007-06-08 15:38 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\FreePDF
2007-06-08 15:37 <DIR> d-------- C:\Programme\gs
2007-06-08 15:12 <DIR> d-------- C:\DOKUME~1\FLORIA~1\ANWEND~1\PDFCreator
2007-06-04 15:18 9,344 --a------ C:\WINDOWS\system32\drivers\NSDriver.sys
2007-06-04 15:17 8,320 --a------ C:\WINDOWS\system32\drivers\AWRTRD.sys
2007-06-04 15:14 6,272 --a------ C:\WINDOWS\system32\drivers\AWRTPD.sys


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-06-14 20:46:23 -------- d-----w C:\Programme\eMule
2007-06-14 20:18:15 49,372 ----a-w C:\WINDOWS\system32\perfc007.dat
2007-06-14 20:18:15 320,424 ----a-w C:\WINDOWS\system32\perfh007.dat
2007-06-14 19:35:18 7,845 ----a-w C:\WINDOWS\mozver.dat
2007-06-11 09:24:25 -------- d-----w C:\Programme\StarMoney 5.0 S-Edition
2007-04-24 20:29:12 -------- d-----w C:\Programme\IrfanView
2007-04-13 13:19:52 7,680 ----a-w C:\WINDOWS\system32\lsdelete.exe
2007-03-14 21:35:49 632,320 ----a-w C:\WINDOWS\fpuninst.exe


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
{37bd6c62-7500-4fb9-9890-ecb70fa9c44b}=C:\WINDOWS\system32\mqdsvc.dll [2007-06-08 16:28]
{53707962-6F74-2D53-2644-206D7942484F}=C:\Programme\Spybot - Search & Destroy\SDHelper.dll [2005-05-31 01:04]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}=C:\Programme\Java\jre1.5.0_08\bin\ssv.dll [2006-07-26 03:17]
{AA58ED58-01DD-4d91-8333-CF10577473F7}=c:\programme\google\googletoolbar4.dll [2007-01-20 00:55]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-04-25 20:07]
"Adobe Photo Downloader"="C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" []
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-12-10 18:45]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2005-05-31 01:04]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe" [2007-02-03 22:14]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"Windows Firewall Service"=winserviceup.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\mqdsvc]
mqdsvc.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\aawservice]


Contents of the 'Scheduled Tasks' folder
2007-05-23 16:21:04 C:\WINDOWS\tasks\AppleSoftwareUpdate.job

**************************************************************************

catchme 0.3.721 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-06-14 23:45:30
Windows 5.1.2600 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-06-14 23:46:15 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 2007-06-14 23:46

--- E O F ---



was soll ich jetzt tun???

vielen dank und viele grüße

nauthia

#2 Hallo nauthia,

dein Rechner ist offen wie ein Scheunentor!

Gehe auf www.virustotal.com und lade folgende Datei hoch:

C:\WINDOWS\SYSTEM32\mqdsvc.dll

Poste das Ergebnis hier.

Danach: Download Internet Explorer 7.0 + Updates: http://update.microsoft.com/windowsupdate/v6/default.aspx?ln=de
Danach Download Service Pack 2: http://www.chip.de/downloads/c1_downloads_13012933.html
__________
Mailen Sie mir! Kaffeefahrtentermine an truelife@habmalnefrage.de - Bitte Abfahrtsort, -zeit und -datum angeben!

#3 hi, da dein betriebssystem total veraltet ist, trenne es vom internet, so lange, bis wir mit der reinigung fertig sind. bitte nur die programme laden die wir dir nennen und sonst bitte das netz meiden.
1. lad dir smitfraudfix:
http://siri.geekstogo.com/SmitfraudFix_De.php
bitte option 1 im normalen und option 2 im abgesicherten modus durchführen! log unbedingt beide posten!
2. lad dir vundofix:
www.atribune.org
anleitung:
www.hijackthis-forum.de/archive/index.php/t-18415.html - 14k -
bitte so lang scannen, bis nichts mehr gefunden wird, poste bitte alle logs!
3. rootkitscanns:
www.hijackthis-forum.de/showthread.php?t=20219 - 38k -
bitte nutze alle diese scanner! du musst unbedingt die verbindung zum internet trennen und alle programme wie antivirenprogramm abschalten!
4. verbinde dich mit dem internet und poste folgende logs:
1. smitfraudfix
2. vundofix
3. alle rootkitscans
4. hijackthislog aber:
hijackthis muss in einem eigenen ordner laufen! benenne die hijackthis.exe in hjt.com um, dies ist nötig geworden, da sich malware vor der .exe verstecken kann! dann scan and safe log klicken und dieses posten.
5. erneutes combofixlog.

#4 hi, befor wir das system updaten, erst die reinigung durchführen!

#5 aloha truelife, moin virenfinder,

ein windows update kann ich irgendwie nicht durchführen, habe scheinbar keine gültige lizenz. kann man sich da auch anders helfen?

hier schon mal die ergebnisse von virustotal:

Antivirus Version Update Result
AhnLab-V3 2007.6.20.1 06.20.2007 no virus found
AntiVir 7.4.0.34 06.20.2007 ADSPY/Virtumonde.KE
Authentium 4.93.8 06.19.2007 no virus found
Avast 4.7.997.0 06.20.2007 no virus found
AVG 7.5.0.467 06.20.2007 Adware Generic2.CQN
BitDefender 7.2 06.20.2007 no virus found
CAT-QuickHeal 9.00 06.20.2007 AdWare.Virtumonde.ke (Not a Virus)
ClamAV devel-20070416 06.20.2007 no virus found
DrWeb 4.33 06.20.2007 Trojan.DownLoader.23130
eSafe 7.0.15.0 06.19.2007 no virus found
eTrust-Vet 30.8.3730 06.20.2007 Win32/Darksma!generic
Ewido 4.0 06.20.2007 Adware.Virtumonde
FileAdvisor 1 06.20.2007 No Thread detected
Fortinet 2.91.0.0 06.20.2007 Adware/VirtuMonde
F-Prot 4.3.2.48 06.19.2007 W32/Adware.KBI
F-Secure 6.70.13030.0 06.20.2007 no virus found
Ikarus T3.1.1.8 06.20.2007 not-a-virus:AdWare.Win32.Virtumonde.ke
Kaspersky 4.0.2.24 06.20.2007 not-a-virus:AdWare.Win32.Virtumonde.ke
McAfee 5057 06.20.2007 Vundo
Microsoft 1.2607 06.20.2007 no virus found
NOD32v2 2341 06.20.2007 Win32/TrojanDownloader.ConHook.NAG
Norman 5.80.02 06.20.2007 W32/Virtumonde.GVC
Panda 9.0.0.4 06.20.2007 Spyware/DuncanMonitor
Prevx1 V2 06.20.2007 no virus found
Sophos 4.18.0 06.12.2007 Mal/Behav-010
Sunbelt 2.2.907.0 06.09.2007 no virus found
Symantec 10 06.20.2007 no virus found
TheHacker 6.1.6.136 06.20.2007 no virus found
VBA32 3.12.0.2 06.20.2007 AdWare.Win32.Virtumonde.ke
VirusBuster 4.3.23:9 06.20.2007 no virus found
Webwasher-Gateway 6.0.1 06.20.2007 Ad-Spyware.Virtumonde.KE
Aditional Information
File size: 77824 bytes
MD5: 297a7d2e968eef68ca1fe5c5ad21a648
SHA1: 9f06ea9814ec82585efa23a401ce97d1d139000f
Bit9 info: http://fileadvisor.bit9.com/services/extinfo.aspx?md5=297a7d2e968eef68ca1fe5c5ad21a648

die anderen scans poste ich gleich.

gruß nauthica

_________________________________________________________

moin,

so, habe alle scans durchgeführt, hier die ergebnisse:

1. SmitFraudFix

SmitFraudFix v2.195

Scan done at 21:51:50,61, 20.06.2007
Run from C:\Dokumente und Einstellungen\Name\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Florian L�ling


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Florian L�ling\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\FLORIA~1\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: WAN (PPP/SLIP) Interface
DNS Server Search Order: 195.50.140.114
DNS Server Search Order: 195.50.140.252

HKLM\SYSTEM\CCS\Services\Tcpip\..\{E6273C7C-B7EA-4D79-B7A9-19DA41C61B4F}: NameServer=195.50.140.114 195.50.140.252
HKLM\SYSTEM\CS2\Services\Tcpip\..\{E6273C7C-B7EA-4D79-B7A9-19DA41C61B4F}: NameServer=195.50.140.114 195.50.140.252


»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End

2. SmitFraudFix im abgesicherten Modus

SmitFraudFix v2.195

Scan done at 17:54:05,19, 21.06.2007
Run from C:\Dokumente und Einstellungen\Florian L�ling\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» DNS



»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End

3. vundofix (hat nichts gefunden)

4. rootkitscan

HKU\.DEFAULT\Control Panel\International 21.06.2007 18:04 0 bytes Security mismatch.
HKU\.DEFAULT\Control Panel\International\Geo 21.06.2007 18:04 0 bytes Security mismatch.
HKU\S-1-5-21-1085031214-842925246-1060284298-1003\Control Panel\International 21.06.2007 18:04 0 bytes Security mismatch.
HKU\S-1-5-21-1085031214-842925246-1060284298-1003\Control Panel\International\Geo 21.06.2007 18:04 0 bytes Security mismatch.
HKU\S-1-5-21-1085031214-842925246-1060284298-1003\RemoteAccess\InternetProfile 20.08.2006 15:37 5 bytes Data mismatch between Windows API and raw hive data.
HKU\S-1-5-18\Control Panel\International 21.06.2007 18:04 0 bytes Security mismatch.
HKU\S-1-5-18\Control Panel\International\Geo 21.06.2007 18:04 0 bytes Security mismatch.
HKLM\SECURITY\Policy\Secrets\SAC* 15.08.2006 13:54 0 bytes Key name contains embedded nulls (*)
HKLM\SECURITY\Policy\Secrets\SAI* 15.08.2006 13:54 0 bytes Key name contains embedded nulls (*)

5. hijackthis scan

Logfile of HijackThis v1.99.1
Scan saved at 18:00:44, on 21.06.2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Dokumente und Einstellungen\Florian Lüling\Desktop\htj.com.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {37bd6c62-7500-4fb9-9890-ecb70fa9c44b} - C:\WINDOWS\system32\mqdsvc.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar4.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar4.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\mqdsvc.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\mqdsvc.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/094137e92a34c041fc16/netzip/RdxIE601_de.cab
O20 - Winlogon Notify: mqdsvc - C:\WINDOWS\SYSTEM32\mqdsvc.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe

6. combofix scan

ComboFix 07-06-13.3 - C:\Dokumente und Einstellungen\Florian L�ling\Desktop\ComboFix.exe
"Florian L�ling" - 2007-06-21 18:01:52 NTFS


((((((((((((((((((((((((( Files Created from 2007-05-21 to 2007-06-21 )))))))))))))))))))))))))))))))


2007-06-21 15:13 <DIR> dr------- C:\DOKUME~1\LOCALS~1\Eigene Dateien
2007-06-20 22:22 <DIR> dr------- C:\DOKUME~1\ADMINI~1\Eigene Dateien
2007-06-20 21:51 1,616 --a------ C:\WINDOWS\system32\tmp.reg
2007-06-20 20:48 <DIR> d-------- C:\VundoFix Backups
2007-06-14 23:41 49,152 --a------ C:\WINDOWS\nircmd.exe
2007-06-12 16:02 <DIR> d-------- C:\WINDOWS\LastGood
2007-06-12 13:31 <DIR> d-------- C:\Programme\Lavasoft
2007-06-12 13:31 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Lavasoft
2007-06-12 13:26 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2007-06-08 16:28 77,824 --a------ C:\WINDOWS\system32\mqdsvc.dll
2007-06-08 16:13 54 --a------ C:\WINDOWS\SW_Win2000X24.DLL
2007-06-08 16:05 <DIR> d-------- C:\DOKUME~1\FLORIA~1\ANWEND~1\Help
2007-06-08 15:38 45,056 --a------ C:\WINDOWS\system32\unredmon.exe
2007-06-08 15:38 116,224 --a------ C:\WINDOWS\system32\redmonnt.dll
2007-06-08 15:38 <DIR> d-------- C:\Programme\FreePDF_XP
2007-06-08 15:38 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\FreePDF
2007-06-08 15:37 <DIR> d-------- C:\Programme\gs
2007-06-08 15:12 <DIR> d-------- C:\DOKUME~1\FLORIA~1\ANWEND~1\PDFCreator
2007-06-04 15:18 9,344 --a------ C:\WINDOWS\system32\drivers\NSDriver.sys
2007-06-04 15:17 8,320 --a------ C:\WINDOWS\system32\drivers\AWRTRD.sys
2007-06-04 15:14 6,272 --a------ C:\WINDOWS\system32\drivers\AWRTPD.sys


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-06-21 09:52:49 -------- d-----w C:\Programme\StarMoney 5.0 S-Edition
2007-06-14 20:46:23 -------- d-----w C:\Programme\eMule
2007-06-14 20:18:15 49,372 ----a-w C:\WINDOWS\system32\perfc007.dat
2007-06-14 20:18:15 320,424 ----a-w C:\WINDOWS\system32\perfh007.dat
2007-06-14 19:35:18 7,845 ----a-w C:\WINDOWS\mozver.dat
2007-04-24 20:29:12 -------- d-----w C:\Programme\IrfanView
2007-04-13 13:19:52 7,680 ----a-w C:\WINDOWS\system32\lsdelete.exe


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
{37bd6c62-7500-4fb9-9890-ecb70fa9c44b}=C:\WINDOWS\system32\mqdsvc.dll [2007-06-08 16:28]
{53707962-6F74-2D53-2644-206D7942484F}=C:\Programme\Spybot - Search & Destroy\SDHelper.dll [2005-05-31 01:04]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}=C:\Programme\Java\jre1.5.0_08\bin\ssv.dll [2006-07-26 03:17]
{AA58ED58-01DD-4d91-8333-CF10577473F7}=c:\programme\google\googletoolbar4.dll [2007-01-20 00:55]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-04-25 20:07]
"Adobe Photo Downloader"="C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" []
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-12-10 18:45]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2005-05-31 01:04]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe" [2007-02-03 22:14]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"Windows Firewall Service"=winserviceup.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\mqdsvc]
mqdsvc.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\aawservice]


Contents of the 'Scheduled Tasks' folder
2007-06-20 16:21:01 C:\WINDOWS\tasks\AppleSoftwareUpdate.job

**************************************************************************

catchme 0.3.721 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-06-21 18:03:20
Windows 5.1.2600 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-06-21 18:04:07
C:\ComboFix-quarantined-files.txt ... 2007-06-21 18:03
C:\ComboFix2.txt ... 2007-06-14 23:46

--- E O F ---


so, das wars. ich hoffe ihr könnt was damit anfangen. freue mich auf euer feedback. vielen dank im voraus. gruß nauthica