Drivecleaner (schon wieder)

#1 Tag zusammen,

als ich (leider) auf einer unseriösen Seite gesurft habe, hab ich ausversehen mir ein Rootkit gezogen (schon mit Blacklight entfernt)
Trotzdem kommen über Norton immer wieder Trojan.LowZones Warnung und die Windows Message, dass ich zu viele Sex-Seiten besucht habe (mit ordentlichen Rechtschreibfehlern ... ) und verweist mich auf verscheidene Seiten
(Wie im titel genannt Drivecleaner)
Ich hab HiJackThis ausgeführt, und das ist log file:

Logfile of HijackThis v1.99.1
Scan saved at 19:05:13, on 29.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\ONLINE\MOZILL~1\FIREFOX.EXE
C:\Programme\Online\Norton AntiVirus\navstub.exe
C:\Dokumente und Einstellungen\Timmey\Eigene Dateien\I-netdownloads\HijackThis.exe
C:\Programme\Online\Norton AntiVirus\NAVW32.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Programme\Online\osCheck.exe"
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [WMDM PMSP Service] C:\WINDOWS\system32\cssrss.exe
O4 - HKLM\..\Run: [icq.com] rundll32.exe "C:\WINDOWS\system32\qryheaex.dll",forkonce
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BitTorrent] "C:\Programme\BitTorrent\bittorrent.exe" --force_start_minimized
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O10 - Unknown file in Winsock LSP: c:\spiele\gg-game\filter.dll
O10 - Unknown file in Winsock LSP: c:\spiele\gg-game\filter.dll
O10 - Unknown file in Winsock LSP: c:\spiele\gg-game\filter.dll
O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone
O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone
O17 - HKLM\System\CCS\Services\Tcpip\..\{53B8F95E-3D68-4B3E-A75A-0796E4699D7C}: NameServer = 192.168.69.25
O17 - HKLM\System\CS1\Services\Tcpip\..\{53B8F95E-3D68-4B3E-A75A-0796E4699D7C}: NameServer = 192.168.69.25
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h cltCommon (file missing)
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\VAScanner\comHost.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Symantec IS Password Validation (ISPwdSvc) - Symantec Corporation - C:\Programme\Online\isPwdSvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: LiveUpdate Notice Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PifEng.dll (file missing)
O23 - Service: NMIndexingService - Unknown owner - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe

ich kann Antivir/ad-aware/blacklight laufen lassen wie ich will, es kommt trotzdem.

Danke für Hilfe im vorraus !

Grez Roofy

#2 Lasse diese Datei: C:\WINDOWS\system32\cssrss.exe
bei Jotti und virustotal prüfen. Poste beide Ergebnisse komplett.

Felix

[Edit by Felix]
"und" eingefügt
__________
Keine Anfragen per E-Mail und PN!

#3 Nur Punkt 1.2.3. http://board.protecus.de/t23188.htm
__________
MfG Argus

#4 Schritt 1 getan

Schritt 2:

Zitat

"Timmey" - 2007-07-01 17:15:17 - ComboFix 07-06-27.7 - Service Pack 2 NTFS


(((((((((((((((((((((((((((((((((((((((((((( V Log )))))))))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\system32\qomjkhi.dll
C:\WINDOWS\system32\xbadd.bak1
C:\WINDOWS\system32\xbadd.bak2
C:\WINDOWS\system32\xbadd.ini
C:\WINDOWS\system32\xbadd.ini2
C:\WINDOWS\system32\xbadd.tmp
C:\WINDOWS\system32\xbadd.bak1
C:\WINDOWS\system32\xbadd.bak2
C:\WINDOWS\system32\xbadd.ini
C:\WINDOWS\system32\xbadd.ini2
C:\WINDOWS\system32\xbadd.tmp
C:\WINDOWS\system32\xbadd.bak1
C:\WINDOWS\system32\xbadd.bak2
C:\WINDOWS\system32\xbadd.ini
C:\WINDOWS\system32\xbadd.ini2
C:\WINDOWS\system32\xbadd.tmp
C:\WINDOWS\system32\ddabx.dll
C:\WINDOWS\system32\byxwuvt.dll


* * * POST RUN FILES/FOLDERS * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *



((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\mgrs.exe
C:\WINDOWS\system32\nso12k.sys


((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))


-------\LEGACY_DRIVER
-------\LEGACY_NM
-------\Driver
-------\nm


((((((((((((((((((((((((( Files Created from 2007-06-01 to 2007-07-01 )))))))))))))))))))))))))))))))


2007-07-01 17:15 66,112 --a------ C:\WINDOWS\system32\fnshlfbw.dll
2007-07-01 17:14 49,152 --a------ C:\WINDOWS\nircmd.exe
2007-07-01 17:12 128,576 --a------ C:\WINDOWS\system32\tohqttox.dll
2007-07-01 17:08 128,576 --a------ C:\WINDOWS\system32\xsiqgqtu.dll
2007-06-30 23:50 <DIR> d-------- C:\DOKUME~1\Timmey\.thumbnails
2007-06-30 23:19 <DIR> d-------- C:\Programme\Steam
2007-06-30 21:45 <DIR> d-------- C:\Programme\LD-Anime
2007-06-27 07:16 <DIR> d-------- C:\Programme\PHP
2007-06-26 20:25 66,112 --a------ C:\WINDOWS\system32\gcqnskna.dll
2007-06-24 18:32 <DIR> d-------- C:\DOKUME~1\Timmey\ANWEND~1\uTorrent
2007-06-24 18:24 <DIR> d-------- C:\DOKUME~1\Timmey\ANWEND~1\Help
2007-06-24 14:59 22,112 -ra------ C:\WINDOWS\system32\drivers\COH_Mon.sys
2007-06-23 14:20 <DIR> d-------- C:\DOKUME~1\Timmey\.gimp-2.3
2007-06-23 14:19 <DIR> d-------- C:\Programme\GIMP-2.0
2007-06-18 20:11 <DIR> d-------- C:\Programme\xp-AntiSpy
2007-06-18 16:05 <DIR> d-------- C:\WINDOWS\system32\URTTEMP
2007-06-05 21:55 <DIR> d-------- C:\Programme\MSXML 4.0
2007-06-05 20:38 <DIR> d-------- C:\Programme\qip
2007-06-03 12:22 306,688 --a------ C:\WINDOWS\IsUninst.exe
2007-06-03 12:21 9,728 --------- C:\WINDOWS\system\regsvr32.exe
2007-06-03 12:21 6,912 --a------ C:\WINDOWS\system32\drivers\NTIDrvr.sys
2007-06-03 12:21 1,024 -r-h----- C:\WINDOWS\system32\NTIMPEG2.dll
2007-06-03 12:21 1,024 -r-h----- C:\WINDOWS\system32\NTICDMK32.dll
2007-06-03 12:21 <DIR> d-------- C:\WINDOWS\Vbox
2007-06-03 12:21 <DIR> d-------- C:\WINDOWS\system32\Iosubsys
2007-06-03 12:21 <DIR> d-------- C:\Programme\NewTech Infosystems
2007-06-03 12:19 <DIR> d-------- C:\WINDOWS\system32\appmgmt
2007-06-03 12:12 <DIR> d-------- C:\DOKUME~1\Timmey\ANWEND~1\Ahead
2007-06-03 12:11 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Ahead
2007-06-03 12:10 <DIR> d-------- C:\Programme\Nero
2007-06-03 12:09 <DIR> d-------- C:\WINDOWS\RegisteredPackages
2007-06-03 12:03 <DIR> d-------- C:\DOKUME~1\Timmey\ANWEND~1\BitTorrent
2007-06-03 12:02 <DIR> d-------- C:\Programme\BitTorrent
2007-06-03 12:02 <DIR> d-------- C:\Program Files


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-06-30 22:05:49 -------- d-----w C:\Programme\Gemeinsame Dateien\Symantec Shared
2007-06-30 20:24:53 -------- d-----w C:\DOKUME~1\Timmey\ANWEND~1\teamspeak2
2007-06-30 16:28:14 -------- d-----w C:\Programme\Trillian
2007-06-26 18:35:27 74,988 ----a-w C:\WINDOWS\system32\perfc007.dat
2007-06-26 18:35:27 415,124 ----a-w C:\WINDOWS\system32\perfh007.dat
2007-06-24 05:54:39 674 ----a-w C:\WINDOWS\mozver.dat
2007-06-18 18:14:22 -------- d-----w C:\Programme\Messenger
2007-06-17 14:54:47 -------- d--h--w C:\Programme\InstallShield Installation Information
2007-05-30 18:01:06 -------- d-----w C:\Programme\Gemeinsame Dateien\Blizzard Entertainment
2007-05-28 11:08:52 -------- d-----w C:\DOKUME~1\Timmey\ANWEND~1\vlc
2007-05-28 11:08:22 -------- d-----w C:\Programme\VideoLAN
2007-05-27 13:00:26 -------- d-----w C:\DOKUME~1\Timmey\ANWEND~1\InstallShield
2007-05-26 13:39:29 -------- d-----w C:\Programme\WinPcap
2007-05-26 13:34:19 -------- d-----w C:\Programme\AskPBar
2007-05-25 16:09:06 -------- d-----w C:\Programme\Winamp
2007-05-25 13:58:56 -------- d-----w C:\Programme\Progammieren
2007-05-25 13:57:32 -------- d-----w C:\Programme\totalcmd
2007-05-25 13:49:19 -------- d-----w C:\DOKUME~1\Timmey\ANWEND~1\Apple Computer
2007-05-25 13:49:15 -------- d-----w C:\Programme\iTunes
2007-05-25 13:49:10 -------- d-----w C:\Programme\iPod
2007-05-25 13:48:59 -------- d-----w C:\Programme\QuickTime
2007-05-25 13:48:30 -------- d-----w C:\Programme\Apple Software Update
2007-05-25 12:39:44 -------- d-----w C:\Programme\Futuremark
2007-05-25 12:37:29 -------- d-----w C:\DOKUME~1\Timmey\ANWEND~1\CyberLink
2007-05-25 11:30:38 -------- d-----w C:\DOKUME~1\Timmey\ANWEND~1\Talkback
2007-05-25 10:24:24 -------- d-----w C:\DOKUME~1\Timmey\ANWEND~1\Thunderbird
2007-05-25 10:23:17 -------- d-----w C:\Programme\CyberLink
2007-05-25 10:23:01 -------- d-----w C:\Programme\Mozilla Thunderbird
2007-05-25 10:22:59 -------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2007-05-25 10:06:53 -------- d-----w C:\DOKUME~1\Timmey\ANWEND~1\Lavasoft
2007-05-25 10:06:03 -------- d-----w C:\Programme\Lavasoft
2007-05-25 10:05:47 -------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2007-05-25 08:12:58 -------- d-----w C:\Programme\Online
2007-05-25 08:12:49 -------- d-----w C:\Programme\Symantec
2007-05-25 08:12:48 48,776 ----a-w C:\WINDOWS\system32\S32EVNT1.DLL
2007-05-25 08:12:48 115,000 ----a-w C:\WINDOWS\system32\drivers\SYMEVENT.SYS
2007-05-25 07:50:28 -------- d-----w C:\Programme\Realtek
2007-05-25 07:48:48 -------- d-----w C:\Programme\VIA
2007-05-25 05:35:19 -------- d-----w C:\Programme\Gemeinsame Dateien\ODBC
2007-05-25 05:35:16 -------- d-----w C:\Programme\Gemeinsame Dateien\SpeechEngines
2007-05-25 05:18:36 22,880 ----a-w C:\WINDOWS\system32\emptyregdb.dat
2007-05-25 05:00:50 -------- d-----w C:\Programme\microsoft frontpage
2007-05-25 05:00:40 0 --sha-r C:\MSDOS.SYS
2007-05-25 05:00:40 0 --sha-r C:\IO.SYS
2007-05-25 05:00:40 0 ----a-w C:\CONFIG.SYS
2007-05-25 05:00:40 0 ----a-w C:\AUTOEXEC.BAT
2007-05-25 04:59:54 -------- d-----w C:\Programme\Online-Dienste
2007-05-25 04:59:19 -------- d-----w C:\Programme\Gemeinsame Dateien\Dienste
2007-05-25 04:59:13 -------- d-----w C:\Programme\Gemeinsame Dateien\MSSoap
2007-05-25 04:58:39 -------- d--h--w C:\Programme\WindowsUpdate
2007-05-25 04:58:39 -------- d-----w C:\Programme\Online Services
2007-05-25 04:58:33 -------- d-----w C:\Programme\MSN Gaming Zone
2007-05-24 23:40:24 0 ----a-w C:\WINDOWS\nsreg.dat
2007-05-24 23:31:40 -------- d-----w C:\Programme\Movie Maker
2007-05-24 23:30:24 -------- d-----w C:\Programme\Windows NT
2007-05-16 15:11:44 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll
2007-04-25 14:22:27 144,896 ----a-w C:\WINDOWS\system32\schannel.dll
2007-04-18 16:13:24 2,854,400 ----a-w C:\WINDOWS\system32\msi.dll
2007-04-16 20:47:36 33,624 ----a-w C:\WINDOWS\system32\wups.dll
2007-04-16 20:45:54 1,710,936 ----a-w C:\WINDOWS\system32\wuaueng.dll
2007-04-16 20:45:48 549,720 ----a-w C:\WINDOWS\system32\wuapi.dll
2007-04-16 20:45:42 325,976 ----a-w C:\WINDOWS\system32\wucltui.dll
2007-04-16 20:45:36 203,096 ----a-w C:\WINDOWS\system32\wuweb.dll
2007-04-16 20:45:20 53,080 ----a-w C:\WINDOWS\system32\wuauclt.exe
2007-04-16 20:45:20 43,352 ----a-w C:\WINDOWS\system32\wups2.dll


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
{0A94B111-4504-4e26-AB05-E61E474AA38B}=C:\Programme\AskPBar\SrchAstt\1.bin\A9SRCHAS.DLL [2007-05-26 15:34]
{1E8A6170-7264-4D0F-BEAE-D42A53123C75}=C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.5\NppBho.dll [2007-02-19 19:17]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}=C:\Programme\Java\jre1.6.0_01\bin\ssv.dll [2007-03-14 03:43]
{F4D76F01-7896-458a-890F-E1F05C46069F}=C:\Programme\AskPBar\bar\1.bin\ASKPBAR.DLL [2007-05-26 15:34]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SkyTel"="SkyTel.EXE" [2006-05-16 12:04 C:\WINDOWS\SkyTel.exe]
"RTHDCPL"="RTHDCPL.EXE" [2006-06-28 08:54 C:\WINDOWS\RTHDCPL.EXE]
"Alcmtr"="ALCMTR.EXE" [2005-05-03 12:43 C:\WINDOWS\ALCMTR.EXE]
"ccApp"="C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [2007-02-19 19:15]
"osCheck"="C:\Programme\Online\osCheck.exe" [2007-02-19 19:14]
"Symantec PIF AlertEng"="C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" [2007-03-12 10:22]
"nwiz"="nwiz.exe" []
"RemoteControl"="C:\Programme\CyberLink\PowerDVD\PDVDServ.exe" [2005-01-12 03:01]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57]
"BitTorrent"="C:\Programme\BitTorrent\bittorrent.exe" [2007-03-02 01:11]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" []
"Steam"="C:\Programme\Steam\Steam.exe" [2007-06-30 23:19]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoActiveDesktop"=1 (0x1)
"NoInternetIcon"=1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winemx32]
winemx32.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
"C:\Programme\iTunes\iTunesHelper.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
"C:\Programme\Messenger\msmsgs.exe" /background

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"C:\Programme\QuickTime\qttask.exe" -atboottime

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
"C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"

*Newly Created Service* - COMHOST

Contents of the 'Scheduled Tasks' folder
2007-05-25 13:48:32 C:\WINDOWS\tasks\AppleSoftwareUpdate.job
2007-06-25 18:00:00 C:\WINDOWS\tasks\Norton Internet Security Online - Systemprüfung ausführen - Timmey.job

**************************************************************************

catchme 0.3.721 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-07-01 17:20:02
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-07-01 17:21:28 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 2007-07-01 17:21

--- E O F ---

Schritt 3

Zitat

Logfile of HijackThis v1.99.1
Scan saved at 17:24:59, on 01.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Steam\Steam.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\Online\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Timmey\Eigene Dateien\I-netdownloads\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - {0A94B116-4504-4e26-AB05-E61E474AA38B} - C:\Programme\AskPBar\SrchAstt\1.bin\A9SRCHAS.DLL
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Ask Search Assistant BHO - {0A94B111-4504-4e26-AB05-E61E474AA38B} - C:\Programme\AskPBar\SrchAstt\1.bin\A9SRCHAS.DLL
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.5\NppBho.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Ask Toolbar BHO - {F4D76F01-7896-458a-890F-E1F05C46069F} - C:\Programme\AskPBar\bar\1.bin\ASKPBAR.DLL
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Programme\Online\osCheck.exe"
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BitTorrent] "C:\Programme\BitTorrent\bittorrent.exe" --force_start_minimized
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Steam] "C:\Programme\Steam\Steam.exe" -silent
O10 - Unknown file in Winsock LSP: c:\spiele\gg-game\filter.dll
O10 - Unknown file in Winsock LSP: c:\spiele\gg-game\filter.dll
O10 - Unknown file in Winsock LSP: c:\spiele\gg-game\filter.dll
O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone
O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone
O17 - HKLM\System\CCS\Services\Tcpip\..\{53B8F95E-3D68-4B3E-A75A-0796E4699D7C}: NameServer = 192.168.69.25
O17 - HKLM\System\CS1\Services\Tcpip\..\{53B8F95E-3D68-4B3E-A75A-0796E4699D7C}: NameServer = 192.168.69.25
O20 - Winlogon Notify: winemx32 - winemx32.dll (file missing)
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h cltCommon (file missing)
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\VAScanner\comHost.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Symantec IS Password Validation (ISPwdSvc) - Symantec Corporation - C:\Programme\Online\isPwdSvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: LiveUpdate Notice Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PifEng.dll (file missing)
O23 - Service: NMIndexingService - Unknown owner - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe

EDIT: Übersicht

#5 Entferne auf C:\
Qoobox

1.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als ComboFix-Do.txt mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

File::
C:\WINDOWS\system32\fnshlfbw.dll
C:\WINDOWS\system32\tohqttox.dll
C:\WINDOWS\system32\xsiqgqtu.dll
C:\WINDOWS\system32\gcqnskna.dll

2.
Sleppe diese Datei zum ComboFix.exe(sehe Bild)
ComboFix wird jetzt starten und die Daten ausfuehren
Nach neustart des Rechners,poste das log von ComboFix


__________
MfG Argus

#6

Zitat

"Timmey" - 2007-07-02 19:55:00 - ComboFix 07-06-27.7 - Service Pack 2 NTFS
Command switches used :: C:\Dokumente und Einstellungen\Timmey\Desktop\ComboFix-Do.txt


((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\system32\fnshlfbw.dll
C:\WINDOWS\system32\gcqnskna.dll
C:\WINDOWS\system32\tohqttox.dll
C:\WINDOWS\system32\xsiqgqtu.dll


((((((((((((((((((((((((( Files Created from 2007-06-02 to 2007-07-02 )))))))))))))))))))))))))))))))


2007-07-01 17:22 92,504 --a------ C:\WINDOWS\system32\cdm.dll
2007-07-01 17:14 49,152 --a------ C:\WINDOWS\nircmd.exe
2007-06-30 23:50 <DIR> d-------- C:\DOKUME~1\Timmey\.thumbnails
2007-06-30 23:19 <DIR> d-------- C:\Programme\Steam
2007-06-30 21:45 <DIR> d-------- C:\Programme\LD-Anime
2007-06-27 07:16 <DIR> d-------- C:\Programme\PHP
2007-06-24 18:32 <DIR> d-------- C:\DOKUME~1\Timmey\ANWEND~1\uTorrent
2007-06-24 18:24 <DIR> d-------- C:\DOKUME~1\Timmey\ANWEND~1\Help
2007-06-24 14:59 22,112 -ra------ C:\WINDOWS\system32\drivers\COH_Mon.sys
2007-06-23 14:20 <DIR> d-------- C:\DOKUME~1\Timmey\.gimp-2.3
2007-06-23 14:19 <DIR> d-------- C:\Programme\GIMP-2.0
2007-06-18 20:11 <DIR> d-------- C:\Programme\xp-AntiSpy
2007-06-18 16:05 <DIR> d-------- C:\WINDOWS\system32\URTTEMP
2007-06-05 21:55 <DIR> d-------- C:\Programme\MSXML 4.0
2007-06-05 20:38 <DIR> d-------- C:\Programme\qip
2007-06-03 12:22 306,688 --a------ C:\WINDOWS\IsUninst.exe
2007-06-03 12:21 9,728 --------- C:\WINDOWS\system\regsvr32.exe
2007-06-03 12:21 6,912 --a------ C:\WINDOWS\system32\drivers\NTIDrvr.sys
2007-06-03 12:21 1,024 -r-h----- C:\WINDOWS\system32\NTIMPEG2.dll
2007-06-03 12:21 1,024 -r-h----- C:\WINDOWS\system32\NTICDMK32.dll
2007-06-03 12:21 <DIR> d-------- C:\WINDOWS\Vbox
2007-06-03 12:21 <DIR> d-------- C:\WINDOWS\system32\Iosubsys
2007-06-03 12:21 <DIR> d-------- C:\Programme\NewTech Infosystems
2007-06-03 12:19 <DIR> d-------- C:\WINDOWS\system32\appmgmt
2007-06-03 12:12 <DIR> d-------- C:\DOKUME~1\Timmey\ANWEND~1\Ahead
2007-06-03 12:11 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Ahead
2007-06-03 12:10 <DIR> d-------- C:\Programme\Nero
2007-06-03 12:09 <DIR> d-------- C:\WINDOWS\RegisteredPackages
2007-06-03 12:03 <DIR> d-------- C:\DOKUME~1\Timmey\ANWEND~1\BitTorrent
2007-06-03 12:02 <DIR> d-------- C:\Programme\BitTorrent
2007-06-03 12:02 <DIR> d-------- C:\Program Files


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-07-02 17:51:52 -------- d-----w C:\Programme\Gemeinsame Dateien\Symantec Shared
2007-07-01 19:40:47 74,988 ----a-w C:\WINDOWS\system32\perfc007.dat
2007-07-01 19:40:47 415,124 ----a-w C:\WINDOWS\system32\perfh007.dat
2007-06-30 20:24:53 -------- d-----w C:\DOKUME~1\Timmey\ANWEND~1\teamspeak2
2007-06-30 16:28:14 -------- d-----w C:\Programme\Trillian
2007-06-24 05:54:39 674 ----a-w C:\WINDOWS\mozver.dat
2007-06-18 18:14:22 -------- d-----w C:\Programme\Messenger
2007-06-17 14:54:47 -------- d--h--w C:\Programme\InstallShield Installation Information
2007-05-30 18:01:06 -------- d-----w C:\Programme\Gemeinsame Dateien\Blizzard Entertainment
2007-05-28 11:08:52 -------- d-----w C:\DOKUME~1\Timmey\ANWEND~1\vlc
2007-05-28 11:08:22 -------- d-----w C:\Programme\VideoLAN
2007-05-27 13:00:26 -------- d-----w C:\DOKUME~1\Timmey\ANWEND~1\InstallShield
2007-05-26 13:39:29 -------- d-----w C:\Programme\WinPcap
2007-05-26 13:34:19 -------- d-----w C:\Programme\AskPBar
2007-05-25 16:09:06 -------- d-----w C:\Programme\Winamp
2007-05-25 13:58:56 -------- d-----w C:\Programme\Progammieren
2007-05-25 13:57:32 -------- d-----w C:\Programme\totalcmd
2007-05-25 13:49:19 -------- d-----w C:\DOKUME~1\Timmey\ANWEND~1\Apple Computer
2007-05-25 13:49:15 -------- d-----w C:\Programme\iTunes
2007-05-25 13:49:10 -------- d-----w C:\Programme\iPod
2007-05-25 13:48:59 -------- d-----w C:\Programme\QuickTime
2007-05-25 13:48:30 -------- d-----w C:\Programme\Apple Software Update
2007-05-25 12:39:44 -------- d-----w C:\Programme\Futuremark
2007-05-25 12:37:29 -------- d-----w C:\DOKUME~1\Timmey\ANWEND~1\CyberLink
2007-05-25 11:30:38 -------- d-----w C:\DOKUME~1\Timmey\ANWEND~1\Talkback
2007-05-25 10:24:24 -------- d-----w C:\DOKUME~1\Timmey\ANWEND~1\Thunderbird
2007-05-25 10:23:17 -------- d-----w C:\Programme\CyberLink
2007-05-25 10:23:01 -------- d-----w C:\Programme\Mozilla Thunderbird
2007-05-25 10:22:59 -------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2007-05-25 10:06:53 -------- d-----w C:\DOKUME~1\Timmey\ANWEND~1\Lavasoft
2007-05-25 10:06:03 -------- d-----w C:\Programme\Lavasoft
2007-05-25 10:05:47 -------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2007-05-25 08:12:58 -------- d-----w C:\Programme\Online
2007-05-25 08:12:49 -------- d-----w C:\Programme\Symantec
2007-05-25 08:12:48 48,776 ----a-w C:\WINDOWS\system32\S32EVNT1.DLL
2007-05-25 08:12:48 115,000 ----a-w C:\WINDOWS\system32\drivers\SYMEVENT.SYS
2007-05-25 07:50:28 -------- d-----w C:\Programme\Realtek
2007-05-25 07:48:48 -------- d-----w C:\Programme\VIA
2007-05-25 05:35:19 -------- d-----w C:\Programme\Gemeinsame Dateien\ODBC
2007-05-25 05:35:16 -------- d-----w C:\Programme\Gemeinsame Dateien\SpeechEngines
2007-05-25 05:18:36 22,880 ----a-w C:\WINDOWS\system32\emptyregdb.dat
2007-05-25 05:00:50 -------- d-----w C:\Programme\microsoft frontpage
2007-05-25 05:00:40 0 --sha-r C:\MSDOS.SYS
2007-05-25 05:00:40 0 --sha-r C:\IO.SYS
2007-05-25 05:00:40 0 ----a-w C:\CONFIG.SYS
2007-05-25 05:00:40 0 ----a-w C:\AUTOEXEC.BAT
2007-05-25 04:59:54 -------- d-----w C:\Programme\Online-Dienste
2007-05-25 04:59:19 -------- d-----w C:\Programme\Gemeinsame Dateien\Dienste
2007-05-25 04:59:13 -------- d-----w C:\Programme\Gemeinsame Dateien\MSSoap
2007-05-25 04:58:39 -------- d--h--w C:\Programme\WindowsUpdate
2007-05-25 04:58:39 -------- d-----w C:\Programme\Online Services
2007-05-25 04:58:33 -------- d-----w C:\Programme\MSN Gaming Zone
2007-05-24 23:40:24 0 ----a-w C:\WINDOWS\nsreg.dat
2007-05-24 23:31:40 -------- d-----w C:\Programme\Movie Maker
2007-05-24 23:30:24 -------- d-----w C:\Programme\Windows NT
2007-05-16 15:11:44 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll
2007-04-25 14:22:27 144,896 ----a-w C:\WINDOWS\system32\schannel.dll
2007-04-18 16:13:24 2,854,400 ----a-w C:\WINDOWS\system32\msi.dll
2007-04-16 20:47:36 33,624 ----a-w C:\WINDOWS\system32\wups.dll
2007-04-16 20:45:54 1,710,936 ----a-w C:\WINDOWS\system32\wuaueng.dll
2007-04-16 20:45:48 549,720 ----a-w C:\WINDOWS\system32\wuapi.dll
2007-04-16 20:45:42 325,976 ----a-w C:\WINDOWS\system32\wucltui.dll
2007-04-16 20:45:36 203,096 ----a-w C:\WINDOWS\system32\wuweb.dll
2007-04-16 20:45:20 53,080 ----a-w C:\WINDOWS\system32\wuauclt.exe
2007-04-16 20:45:20 43,352 ----a-w C:\WINDOWS\system32\wups2.dll


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
{0A94B111-4504-4e26-AB05-E61E474AA38B}=C:\Programme\AskPBar\SrchAstt\1.bin\A9SRCHAS.DLL [2007-05-26 15:34]
{1E8A6170-7264-4D0F-BEAE-D42A53123C75}=C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.5\NppBho.dll [2007-02-19 19:17]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}=C:\Programme\Java\jre1.6.0_01\bin\ssv.dll [2007-03-14 03:43]
{F4D76F01-7896-458a-890F-E1F05C46069F}=C:\Programme\AskPBar\bar\1.bin\ASKPBAR.DLL [2007-05-26 15:34]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SkyTel"="SkyTel.EXE" [2006-05-16 12:04 C:\WINDOWS\SkyTel.exe]
"RTHDCPL"="RTHDCPL.EXE" [2006-06-28 08:54 C:\WINDOWS\RTHDCPL.EXE]
"Alcmtr"="ALCMTR.EXE" [2005-05-03 12:43 C:\WINDOWS\ALCMTR.EXE]
"ccApp"="C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [2007-02-19 19:15]
"osCheck"="C:\Programme\Online\osCheck.exe" [2007-02-19 19:14]
"Symantec PIF AlertEng"="C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" [2007-03-12 10:22]
"nwiz"="nwiz.exe" []
"RemoteControl"="C:\Programme\CyberLink\PowerDVD\PDVDServ.exe" [2005-01-12 03:01]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57]
"BitTorrent"="C:\Programme\BitTorrent\bittorrent.exe" [2007-03-02 01:11]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" []
"Steam"="C:\Programme\Steam\Steam.exe" [2007-06-30 23:19]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoActiveDesktop"=1 (0x1)
"NoInternetIcon"=1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winemx32]
winemx32.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
"C:\Programme\iTunes\iTunesHelper.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
"C:\Programme\Messenger\msmsgs.exe" /background

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"C:\Programme\QuickTime\qttask.exe" -atboottime

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
"C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"

*Newly Created Service* - COMHOST

Contents of the 'Scheduled Tasks' folder
2007-05-25 13:48:32 C:\WINDOWS\tasks\AppleSoftwareUpdate.job
2007-06-25 18:00:00 C:\WINDOWS\tasks\Norton Internet Security Online - Systemprüfung ausführen - Timmey.job

**************************************************************************

catchme 0.3.721 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-07-02 19:55:22
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-07-02 19:55:48
C:\ComboFix-quarantined-files.txt ... 2007-07-02 19:55
C:\ComboFix2.txt ... 2007-07-02 19:03
C:\ComboFix3.txt ... 2007-07-01 17:21

--- E O F ---

#7 C:\Qoobox – loeschen und Papierkorb leeren

Schliesse alle Fenster und starte Hijack This
Klicke:Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

R3 - URLSearchHook: (no name) - {0A94B116-4504-4e26-AB05-E61E474AA38B} - C:\Programme\AskPBar\SrchAstt\1.bin\A9SRCHAS.DLL)
O2 - BHO: Ask Search Assistant BHO - {0A94B111-4504-4e26-AB05-E61E474AA38B} - C:\Programme\AskPBar\SrchAstt\1.bin\A9SRCHAS.DLL
O2 - BHO: Ask Toolbar BHO - {F4D76F01-7896-458a-890F-E1F05C46069F} - C:\Programme\AskPBar\bar\1.bin\ASKPBAR.DLL
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone
O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone
O20 - Winlogon Notify: winemx32 - winemx32.dll (file missing)

klicke:Fix checked

Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst

Entferne C:\Programme\AskPBar

Download ATF cleaner

Doppelklick auf ATFclaener um das Program zu starten
Auf tab “Main”,Select All anhaaken
Klick den knopf Empty Selected.

Wenn man FireFox als browser hat:
Klick auf tab "Firefox", Select All anhaaken
Willst du die durch Firefox aufgehobene passwörter behalten
dann klickt man im Fenster was erscheint auf “No”
Klick den knop Empty Selected.

Wenn man Opera als browser hat:
Klick auf tab " Opera ", Select All anhaaken
Willst du die durch Opera aufgehobene passwörter behalten
dann klickt man im Fenster was erscheint auf “No”
Klick den knop Empty Selected.

Geh zum tab "Main" und klicke Exit um das Program zu schliessen

Scanne mit DrWeb http://board.protecus.de/t29350.htm
__________
MfG Argus

#8 hey roof talon hab durch zufall Deinen Beitrag hier im forum gefunden als ich über google selber auf der suche war. Mein Suche in google lief nach "Filter.dll"

und ohne jetzt den genauen Sachverhalt zu wissen würde ich Dir mal empfehlen Dir die neue Version vom gg-client runterzuladen.

Das selbe Problem hatte ich nämlich auch, nur bei mir lief dadurch Azureus und Skybe nicht mehr richtig bzw. überhaupt nicht mehr.

Die Filter.dll Datei lässt sich auch nicht manuell löschen, am besten einfach das Update für gg-client runterladen, dann funtzt es wieder