TR/Mon.Virtumonde.II will nicht weg, und ich hab keinen plan

#1 hallo leute... ich hab seit kurzem immer wieder so im halben stunden rhythmus die warnung von antivir, das TR/Mon.Virtumonde.II,in verschiedenen system32 dateien,
gefunden wird! mit meinem beschränkten wissen hab ich den da nich weg bekommen! hoffe ihr könnt mir helfen.


"Fabian" - 2007-07-17 22:46:09 - ComboFix 07-07-14.6 - Service Pack 2 NTFS


(((((((((((((((((((((((((((((((((((((((((((( V Log )))))))))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\system32\ofuxebwi.dll
C:\WINDOWS\system32\pautherw.dll
C:\WINDOWS\system32\pvbdiqke.exe
C:\WINDOWS\system32\iwbexufo.ini


* * * POST RUN FILES/FOLDERS * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *


((((((((((((((((((((((((( Files Created from 2007-06-17 to 2007-07-17 )))))))))))))))))))))))))))))))


2007-07-17 21:11 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-07-11 14:04 266,304 --a------ C:\WINDOWS\system32\gebcb.VIR
2007-07-07 09:44 6,402 ---hs---- C:\WINDOWS\system32\bbeeg.bak2
2007-07-06 23:47 6,402 ---hs---- C:\WINDOWS\system32\bbeeg.ini2
2007-07-06 23:29 <DIR> d-------- C:\Programme\Max Payne
2007-07-06 21:14 6,362 ---hs---- C:\WINDOWS\system32\bbeeg.bak1
2007-07-06 21:14 266,304 --a------ C:\WINDOWS\system32\geebb.VIR
2007-07-06 21:09 287,254 --a------ C:\WINDOWS\system32\iifgecy.dll
2007-07-06 21:08 86,016 --a------ C:\WINDOWS\system32\cbxvvsp.exe
2007-06-28 14:41 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Google


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-07-17 20:39:11 -------- d-----w C:\DOKUME~1\Fabian\ANWEND~1\Skype
2007-07-17 19:37:33 -------- d--h--w C:\Programme\InstallShield Installation Information
2007-07-17 19:37:31 -------- d-----w C:\Programme\Microsoft Games
2007-07-16 18:17:52 22,584 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys
2007-07-16 18:17:48 99,904 ----a-w C:\WINDOWS\system32\PnkBstrB.exe
2007-07-15 20:58:00 -------- d-----w C:\DOKUME~1\Fabian\ANWEND~1\Hamachi
2007-07-15 17:59:01 -------- d-----w C:\DOKUME~1\Fabian\ANWEND~1\teamspeak2
2007-07-13 22:51:28 -------- d-----w C:\Programme\Everest Poker.net
2007-06-15 21:28:17 -------- d-----w C:\Programme\Everest Poker
2007-06-12 13:42:04 -------- d-----w C:\Programme\ahead
2007-06-08 17:38:00 13,844 ----a-w C:\WINDOWS\system32\oynqnghu.exe
2007-06-08 17:02:18 25,544 ----a-w C:\WINDOWS\system32\drivers\hamachi.sys
2007-06-06 17:05:33 -------- d-----w C:\Programme\DivX
2007-05-31 06:45:07 524,288 ----a-w C:\WINDOWS\system32\DivXsm.exe
2007-05-31 06:44:55 823,296 ----a-w C:\WINDOWS\system32\divx_xx07.dll
2007-05-31 06:44:54 823,296 ----a-w C:\WINDOWS\system32\divx_xx0c.dll
2007-05-31 06:44:54 802,816 ----a-w C:\WINDOWS\system32\divx_xx11.dll
2007-05-31 06:44:54 740,442 ----a-w C:\WINDOWS\system32\DivX.dll
2007-05-30 09:08:02 -------- d-----w C:\Programme\AGEIA Technologies
2007-05-12 13:45:22 63,040 ----a-w C:\WINDOWS\system32\PnkBstrA.exe
2007-04-23 00:15:29 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll
2007-04-23 00:15:18 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
2007-04-23 00:15:18 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
2007-04-23 00:02:34 73,728 ----a-w C:\WINDOWS\system32\dpl100.dll
2007-04-23 00:02:34 196,608 ----a-w C:\WINDOWS\system32\dtu100.dll
2007-04-23 00:02:33 53,248 ----a-w C:\WINDOWS\system32\dpuGUI10.dll
2007-04-23 00:02:31 593,920 ----a-w C:\WINDOWS\system32\dpuGUI11.dll
2007-04-23 00:02:31 57,344 ----a-w C:\WINDOWS\system32\dpv11.dll
2007-04-23 00:02:31 344,064 ----a-w C:\WINDOWS\system32\dpus11.dll
2007-04-23 00:02:31 294,912 ----a-w C:\WINDOWS\system32\dpu11.dll
2007-04-23 00:02:31 294,912 ----a-w C:\WINDOWS\system32\dpu10.dll
2007-04-23 00:01:47 12,288 ----a-w C:\WINDOWS\system32\DivXWMPExtType.dll
2007-04-23 00:01:46 124,472 ----a-w C:\WINDOWS\system32\DivXCodecUpdateChecker.exe


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
2006-01-12 19:38 63128 --a------ F:\Eigene Software\adobe Reader\ActiveX\AcroIEHelper.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{07D4E86C-5EC6-4F2D-9E22-D69B923E50CD}]
C:\WINDOWS\system32\geebb.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}]
2007-07-06 21:09 287254 --a------ C:\WINDOWS\system32\iifgecy.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
2006-10-12 04:25 434279 --a------ C:\Programme\Java\jre1.5.0_09\bin\ssv.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2006-01-11 15:08 C:\WINDOWS\soundman.exe]
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2004-12-10 12:45 C:\WINDOWS\KHALMNPR.Exe]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-04-24 15:09]
"ISUSPM Startup"="C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe" [2004-06-16 07:03]
"ISUSScheduler"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2004-06-16 07:03]
"ATICCC"="C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-05-10 11:12]
"@"="" []
"Sony Ericsson PC Suite"="F:\Eigene Software\Sony Ericson\Application Launcher\Application Launcher.exe" [2005-10-26 18:17]
"Adobe Photo Downloader"="F:\Eigene Software\AdobePhotoshop\3.0\Apps\apdproxy.exe" [2005-06-23 21:33]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 01:57]
"Skype"="C:\Programme\Skype\Phone\Skype.exe" [2006-10-13 18:20]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" []
"DAEMON Tools"="F:\Eigene Software\DAEMON Tools\daemon.exe" [2006-11-12 12:48]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}"="C:\WINDOWS\system32\iifgecy.dll" [2007-07-06 21:09]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\geebb]
C:\WINDOWS\system32\geebb.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\iifgecy]
iifgecy.dll --a------ 2007-07-06 21:09 287254 C:\WINDOWS\system32\iifgecy.dll


**************************************************************************

catchme 0.3.915 W2K/XP/Vista - rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-07-17 22:48:50
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-07-17 22:50:14 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 2007-07-17 22:50

--- E O F ---



Logfile of HijackThis v1.99.1
Scan saved at 22:56:26, on 17.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
F:\Eigene Software\Sony Ericson\Application Launcher\Application Launcher.exe
F:\Eigene Software\AdobePhotoshop\3.0\Apps\apdproxy.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Skype\Phone\Skype.exe
F:\Eigene Software\DAEMON Tools\daemon.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe
F:\Eigene Software\dlink\AirPlus.exe
F:\Eigene Software\logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
F:\Eigene Software\Sony Ericson\Mobile Phone Monitor\epmworker.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\Mozilla Firefox\firefox.exe
F:\Eigene Software\hijackthis\HJT.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Eigene Software\adobe Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {07D4E86C-5EC6-4F2D-9E22-D69B923E50CD} - C:\WINDOWS\system32\geebb.dll (file missing)
O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\iifgecy.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "F:\Eigene Software\Sony Ericson\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [Adobe Photo Downloader] "F:\Eigene Software\AdobePhotoshop\3.0\Apps\apdproxy.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [DAEMON Tools] "F:\Eigene Software\DAEMON Tools\daemon.exe" -lang 1033
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = F:\Eigene Software\adobe Reader\Reader\reader_sl.exe
O4 - Global Startup: D-Link AirPlus.lnk = ?
O4 - Global Startup: Logitech SetPoint.lnk = F:\Eigene Software\logitech\SetPoint\SetPoint.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: NordicBet Poker - {E6073F93-9541-4be4-9800-109D378EB99B} - C:\Microgaming\Poker\nordicbetMPP\MPPoker.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - Winlogon Notify: geebb - C:\WINDOWS\system32\geebb.dll (file missing)
O20 - Winlogon Notify: iifgecy - C:\WINDOWS\SYSTEM32\iifgecy.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: dns cache reader (DNSCacheReader) - Unknown owner - C:\WINDOWS\system32\j3251738.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - F:\Eigene Software\SiSoftware Sandra Lite 2007\Win32\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - F:\Eigene Software\SiSoftware Sandra Lite 2007\RpcSandraSrv.exe



.
.
Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 780D-271D

Verzeichnis von C:\WINDOWS\system32

17.07.2007 22:48 112.584 FNTCACHE.DAT
16.07.2007 20:17 99.904 PnkBstrB.exe
13.07.2007 11:56 2.206 wpa.dbl
11.07.2007 16:59 139.776 swreg.exe
11.07.2007 14:04 266.304 gebcb.VIR
10.07.2007 03:30 6.402 bbeeg.ini2
09.07.2007 18:07 6.402 bbeeg.bak2
09.07.2007 14:57 2.064.756 sebmclwy.ini
07.07.2007 04:34 13.956 bbeeg.ini
06.07.2007 23:46 12.769 bbeeg.tmp
06.07.2007 21:14 6.362 bbeeg.bak1
06.07.2007 21:14 266.304 geebb.VIR
06.07.2007 21:09 287.254 iifgecy.dll
06.07.2007 21:08 86.016 cbxvvsp.exe
06.07.2007 15:31 2.136.616 mvtldvkj.ini
06.07.2007 13:02 2.139.595 tjryuppx.ini
06.07.2007 12:58 2.132.915 rwkslsvr.ini
05.07.2007 17:48 2.133.395 shkwtkjj.ini
05.07.2007 13:03 2.011.391 xmvfjhul.ini
04.07.2007 14:59 2.012.874 syeexkmo.ini
03.07.2007 19:49 1.952.489 bkvdcjco.ini
03.07.2007 17:38 1.953.952 smrfilgv.ini
03.07.2007 13:56 1.957.164 flqomgqo.ini
03.07.2007 11:36 1.958.239 muujyrjq.ini
02.07.2007 10:37 960.165 tsddphuu.ini
01.07.2007 12:24 960.104 mgwmdlkp.ini
01.07.2007 12:18 989.738 ktughkdv.ini
30.06.2007 20:15 999.333 fcybshuk.ini
30.06.2007 19:03 817.328 dyqqmjmo.ini
30.06.2007 14:42 768.478 voytxadg.ini
30.06.2007 10:46 801.345 tmhctomg.ini
29.06.2007 13:00 877.678 tmxwgabh.ini
28.06.2007 14:32 929.622 qcfysbmj.ini
27.06.2007 15:01 914.706 ividamuy.ini
26.06.2007 15:04 914.586 mfmryeht.ini
25.06.2007 16:11 914.525 whaaqefh.ini
25.06.2007 16:09 818.087 pcbxhyqg.ini
24.06.2007 15:40 823.440 qpwqncvu.ini
23.06.2007 15:04 864.398 qtgfkfck.ini
22.06.2007 14:07 907.252 yeiaagqf.ini
22.06.2007 13:58 768.279 pvyuibcj.ini
21.06.2007 15:10 843.763 pdafdkvo.ini
20.06.2007 15:04 899.272 eansjban.ini
19.06.2007 17:58 899.782 oeeomlvc.ini
19.06.2007 15:03 899.663 nvxotqyl.ini
18.06.2007 21:07 899.543 rbvossxv.ini
18.06.2007 20:40 899.146 iljwjody.ini
18.06.2007 16:09 930.958 fyngfeam.ini
17.06.2007 13:54 922.189 pukfkbql.ini
17.06.2007 12:06 922.070 ppkljxnw.ini
16.06.2007 12:02 921.950 naxlwinq.ini
15.06.2007 17:37 405 rnjhxddi.ini
15.06.2007 13:13 4.832.742 ajluinkd.ini
15.06.2007 13:07 4.832.922 lmcvnroc.ini
14.06.2007 17:24 4.835.588 ugfektyw.ini
13.06.2007 15:09 4.787.913 shdsqdqj.ini
13.06.2007 14:59 4.576.009 hmnykkub.ini
12.06.2007 16:15 3.631.117 pvfbbpdc.ini
12.06.2007 14:58 2.686.075 jbdffowx.ini
11.06.2007 20:50 1.749.715 jenkurvg.ini
09.06.2007 14:03 1.616.904 ydgehlop.ini
09.06.2007 14:00 1.578.139 unjhwsoy.ini
08.06.2007 22:56 1.407.191 fgqxujjm.ini
08.06.2007 21:05 1.312.980 xombcqkl.ini
08.06.2007 19:38 13.844 oynqnghu.exe
08.06.2007 19:35 1.119.795 uyvprxpo.ini
31.05.2007 08:45 4.816 divxsm.tlb
31.05.2007 08:45 524.288 DivXsm.exe
31.05.2007 08:44 823.296 divx_xx07.dll
31.05.2007 08:44 823.296 divx_xx0c.dll
31.05.2007 08:44 802.816 divx_xx11.dll
31.05.2007 08:44 740.442 DivX.dll
31.05.2007 08:44 638.976 divxdec.ax
21.05.2007 17:14 779.249 fhhkj.tmp
12.05.2007 15:45 63.040 PnkBstrA.exe
2092 Datei(en) 512.324.117 Bytes
0 Verzeichnis(se), 7.558.250.496 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 780D-271D

Verzeichnis von C:\DOKUME~1\Fabian\LOKALE~1\Temp

17.07.2007 22:58 102.458 datfind.txt
17.07.2007 22:55 16.384 ~DFF26D.tmp
17.07.2007 22:50 6.763 log.txt
3 Datei(en) 125.605 Bytes
0 Verzeichnis(se), 7.558.275.072 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 780D-271D

Verzeichnis von C:\WINDOWS

17.07.2007 22:55 413.434 WindowsUpdate.log
17.07.2007 22:49 50 wiaservc.log
17.07.2007 22:49 159 wiadebug.log
17.07.2007 22:49 0 0.log
17.07.2007 22:48 2.048 bootstat.dat
17.07.2007 22:47 32.626 SchedLgU.Txt
17.07.2007 22:28 175.462 setupact.log
17.07.2007 22:05 1.038.293 setupapi.log
12.07.2007 19:59 59.972 wmsetup.log
04.07.2007 19:21 104.960 catchme.exe
17.06.2007 00:11 51.200 nircmd.exe
12.06.2007 15:41 316.640 WMSysPr9.prx
06.06.2007 18:26 470.955 DirectX.log
12.05.2007 21:20 118 CS_MD_T.ini
104 Datei(en) 10.822.305 Bytes
0 Verzeichnis(se), 7.558.270.976 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 780D-271D

Verzeichnis von C:\WINDOWS\temp

.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 780D-271D

Verzeichnis von C:\WINDOWS\Downloaded Program Files

23.07.2006 01:48 65 desktop.ini
4 Datei(en) 544.833 Bytes
0 Verzeichnis(se), 7.558.270.976 Bytes frei
.
.
.

hier sind noch die pfade die von antivir mit angegeben wurden

In der Datei 'C:\WINDOWS\system32\mljjh.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Mon.Virtumonde.II' [TR/Mon.Virtumonde.II] gefunden.

In der Datei 'C:\WINDOWS\system32\awtsp.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Mon.Virtumonde.II' [TR/Mon.Virtumonde.II] gefunden.

AusIn der Datei 'C:\WINDOWS\system32\vturo.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Mon.Virtumonde.II' [TR/Mon.Virtumonde.II] gefunden.

weis jetzt nicht wie viele ich posten soll... sind noch n paar mehr dateien

schon mal vielen dank für die bemühung!

#2 Kopiere unten angegebenes script bitte in Notepad:

Suspect::
C:\WINDOWS\system32\gebcb.VIR
C:\WINDOWS\system32\geebb.VIR
C:\WINDOWS\system32\iifgecy.dll
C:\WINDOWS\system32\cbxvvsp.exe
c:\windows\system32\oynqnghu.exe
C:\WINDOWS\system32\mljjh.dll
C:\WINDOWS\system32\awtsp.dll
C:\WINDOWS\system32\vturo.dll

Das ganze unter cfscript.txt, in dem Ordner speichern, in dem sich die Combofix befindet und auf die combofix.exe ziehen. Das erstellt combofix log bitte posten.


__________
MfG Ralf
SEO-Spam Hunter

#3 so...gleich mal gemacht... hier das neue combofix log

"Fabian" - 2007-07-18 12:51:51 - ComboFix 07-07-14.6 - Service Pack 2 NTFS
Command switches used :: C:\Dokumente und Einstellungen\Fabian\Desktop\cfscript.txt


((((((((((((((((((((((((( Files Created from 2007-06-18 to 2007-07-18 )))))))))))))))))))))))))))))))


2007-07-17 21:11 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-07-11 14:04 266,304 --a------ C:\WINDOWS\system32\gebcb.VIR
2007-07-07 09:44 6,402 ---hs---- C:\WINDOWS\system32\bbeeg.bak2
2007-07-06 23:47 6,402 ---hs---- C:\WINDOWS\system32\bbeeg.ini2
2007-07-06 23:29 <DIR> d-------- C:\Programme\Max Payne
2007-07-06 21:14 6,362 ---hs---- C:\WINDOWS\system32\bbeeg.bak1
2007-07-06 21:14 266,304 --a------ C:\WINDOWS\system32\geebb.VIR
2007-07-06 21:09 287,254 --a------ C:\WINDOWS\system32\iifgecy.dll
2007-07-06 21:08 86,016 --a------ C:\WINDOWS\system32\cbxvvsp.exe
2007-06-28 14:41 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Google


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-07-18 10:49:08 -------- d-----w C:\DOKUME~1\Fabian\ANWEND~1\Skype
2007-07-17 21:14:10 -------- d-----w C:\DOKUME~1\Fabian\ANWEND~1\Hamachi
2007-07-17 19:37:33 -------- d--h--w C:\Programme\InstallShield Installation Information
2007-07-17 19:37:31 -------- d-----w C:\Programme\Microsoft Games
2007-07-16 18:17:52 22,584 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys
2007-07-16 18:17:48 99,904 ----a-w C:\WINDOWS\system32\PnkBstrB.exe
2007-07-15 17:59:01 -------- d-----w C:\DOKUME~1\Fabian\ANWEND~1\teamspeak2
2007-07-13 22:51:28 -------- d-----w C:\Programme\Everest Poker.net
2007-06-15 21:28:17 -------- d-----w C:\Programme\Everest Poker
2007-06-12 13:42:04 -------- d-----w C:\Programme\ahead
2007-06-08 17:38:00 13,844 ----a-w C:\WINDOWS\system32\oynqnghu.exe
2007-06-08 17:02:18 25,544 ----a-w C:\WINDOWS\system32\drivers\hamachi.sys
2007-06-06 17:05:33 -------- d-----w C:\Programme\DivX
2007-05-31 06:45:07 524,288 ----a-w C:\WINDOWS\system32\DivXsm.exe
2007-05-31 06:44:55 823,296 ----a-w C:\WINDOWS\system32\divx_xx07.dll
2007-05-31 06:44:54 823,296 ----a-w C:\WINDOWS\system32\divx_xx0c.dll
2007-05-31 06:44:54 802,816 ----a-w C:\WINDOWS\system32\divx_xx11.dll
2007-05-31 06:44:54 740,442 ----a-w C:\WINDOWS\system32\DivX.dll
2007-05-30 09:08:02 -------- d-----w C:\Programme\AGEIA Technologies
2007-05-12 13:45:22 63,040 ----a-w C:\WINDOWS\system32\PnkBstrA.exe
2007-04-23 00:15:29 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll
2007-04-23 00:15:18 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
2007-04-23 00:15:18 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
2007-04-23 00:02:34 73,728 ----a-w C:\WINDOWS\system32\dpl100.dll
2007-04-23 00:02:34 196,608 ----a-w C:\WINDOWS\system32\dtu100.dll
2007-04-23 00:02:33 53,248 ----a-w C:\WINDOWS\system32\dpuGUI10.dll
2007-04-23 00:02:31 593,920 ----a-w C:\WINDOWS\system32\dpuGUI11.dll
2007-04-23 00:02:31 57,344 ----a-w C:\WINDOWS\system32\dpv11.dll
2007-04-23 00:02:31 344,064 ----a-w C:\WINDOWS\system32\dpus11.dll
2007-04-23 00:02:31 294,912 ----a-w C:\WINDOWS\system32\dpu11.dll
2007-04-23 00:02:31 294,912 ----a-w C:\WINDOWS\system32\dpu10.dll
2007-04-23 00:01:47 12,288 ----a-w C:\WINDOWS\system32\DivXWMPExtType.dll
2007-04-23 00:01:46 124,472 ----a-w C:\WINDOWS\system32\DivXCodecUpdateChecker.exe


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
2006-01-12 19:38 63128 --a------ F:\Eigene Software\adobe Reader\ActiveX\AcroIEHelper.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{07D4E86C-5EC6-4F2D-9E22-D69B923E50CD}]
C:\WINDOWS\system32\geebb.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}]
2007-07-06 21:09 287254 --a------ C:\WINDOWS\system32\iifgecy.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
2006-10-12 04:25 434279 --a------ C:\Programme\Java\jre1.5.0_09\bin\ssv.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2006-01-11 15:08 C:\WINDOWS\soundman.exe]
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2004-12-10 12:45 C:\WINDOWS\KHALMNPR.Exe]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-04-24 15:09]
"ISUSPM Startup"="C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe" [2004-06-16 07:03]
"ISUSScheduler"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2004-06-16 07:03]
"ATICCC"="C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-05-10 11:12]
"@"="" []
"Sony Ericsson PC Suite"="F:\Eigene Software\Sony Ericson\Application Launcher\Application Launcher.exe" [2005-10-26 18:17]
"Adobe Photo Downloader"="F:\Eigene Software\AdobePhotoshop\3.0\Apps\apdproxy.exe" [2005-06-23 21:33]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 01:57]
"Skype"="C:\Programme\Skype\Phone\Skype.exe" [2006-10-13 18:20]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" []
"DAEMON Tools"="F:\Eigene Software\DAEMON Tools\daemon.exe" [2006-11-12 12:48]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}"="C:\WINDOWS\system32\iifgecy.dll" [2007-07-06 21:09]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\geebb]
C:\WINDOWS\system32\geebb.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\iifgecy]
iifgecy.dll --a------ 2007-07-06 21:09 287254 C:\WINDOWS\system32\iifgecy.dll


**************************************************************************

catchme 0.3.915 W2K/XP/Vista - rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-07-18 12:52:32
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-07-18 12:52:51
C:\ComboFix-quarantined-files.txt ... 2007-07-18 12:52
C:\ComboFix2.txt ... 2007-07-17 22:50

--- E O F ---

#4 So, erstelle nun bitte nochmal dieses Script, nur ersetze Suspect:: durch file:: und dann nochmal das ganze!
__________
MfG Ralf
SEO-Spam Hunter

#5 gesagt, getan *G*


"Fabian" - 2007-07-18 14:18:13 - ComboFix 07-07-14.6 - Service Pack 2 NTFS
Command switches used :: C:\Dokumente und Einstellungen\Fabian\Desktop\cffilescript.txt


((((((((((((((((((((((((( Files Created from 2007-06-18 to 2007-07-18 )))))))))))))))))))))))))))))))


2007-07-17 21:11 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-07-11 14:04 266,304 --a------ C:\WINDOWS\system32\gebcb.VIR
2007-07-07 09:44 6,402 ---hs---- C:\WINDOWS\system32\bbeeg.bak2
2007-07-06 23:47 6,402 ---hs---- C:\WINDOWS\system32\bbeeg.ini2
2007-07-06 23:29 <DIR> d-------- C:\Programme\Max Payne
2007-07-06 21:14 6,362 ---hs---- C:\WINDOWS\system32\bbeeg.bak1
2007-07-06 21:14 266,304 --a------ C:\WINDOWS\system32\geebb.VIR
2007-07-06 21:09 287,254 --a------ C:\WINDOWS\system32\iifgecy.dll
2007-07-06 21:08 86,016 --a------ C:\WINDOWS\system32\cbxvvsp.exe
2007-06-28 14:41 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Google


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-07-18 11:53:17 -------- d-----w C:\DOKUME~1\Fabian\ANWEND~1\Skype
2007-07-17 21:14:10 -------- d-----w C:\DOKUME~1\Fabian\ANWEND~1\Hamachi
2007-07-17 19:37:33 -------- d--h--w C:\Programme\InstallShield Installation Information
2007-07-17 19:37:31 -------- d-----w C:\Programme\Microsoft Games
2007-07-16 18:17:52 22,584 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys
2007-07-16 18:17:48 99,904 ----a-w C:\WINDOWS\system32\PnkBstrB.exe
2007-07-15 17:59:01 -------- d-----w C:\DOKUME~1\Fabian\ANWEND~1\teamspeak2
2007-07-13 22:51:28 -------- d-----w C:\Programme\Everest Poker.net
2007-06-15 21:28:17 -------- d-----w C:\Programme\Everest Poker
2007-06-12 13:42:04 -------- d-----w C:\Programme\ahead
2007-06-08 17:38:00 13,844 ----a-w C:\WINDOWS\system32\oynqnghu.exe
2007-06-08 17:02:18 25,544 ----a-w C:\WINDOWS\system32\drivers\hamachi.sys
2007-06-06 17:05:33 -------- d-----w C:\Programme\DivX
2007-05-31 06:45:07 524,288 ----a-w C:\WINDOWS\system32\DivXsm.exe
2007-05-31 06:44:55 823,296 ----a-w C:\WINDOWS\system32\divx_xx07.dll
2007-05-31 06:44:54 823,296 ----a-w C:\WINDOWS\system32\divx_xx0c.dll
2007-05-31 06:44:54 802,816 ----a-w C:\WINDOWS\system32\divx_xx11.dll
2007-05-31 06:44:54 740,442 ----a-w C:\WINDOWS\system32\DivX.dll
2007-05-30 09:08:02 -------- d-----w C:\Programme\AGEIA Technologies
2007-05-12 13:45:22 63,040 ----a-w C:\WINDOWS\system32\PnkBstrA.exe
2007-04-23 00:15:29 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll
2007-04-23 00:15:18 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
2007-04-23 00:15:18 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
2007-04-23 00:02:34 73,728 ----a-w C:\WINDOWS\system32\dpl100.dll
2007-04-23 00:02:34 196,608 ----a-w C:\WINDOWS\system32\dtu100.dll
2007-04-23 00:02:33 53,248 ----a-w C:\WINDOWS\system32\dpuGUI10.dll
2007-04-23 00:02:31 593,920 ----a-w C:\WINDOWS\system32\dpuGUI11.dll
2007-04-23 00:02:31 57,344 ----a-w C:\WINDOWS\system32\dpv11.dll
2007-04-23 00:02:31 344,064 ----a-w C:\WINDOWS\system32\dpus11.dll
2007-04-23 00:02:31 294,912 ----a-w C:\WINDOWS\system32\dpu11.dll
2007-04-23 00:02:31 294,912 ----a-w C:\WINDOWS\system32\dpu10.dll
2007-04-23 00:01:47 12,288 ----a-w C:\WINDOWS\system32\DivXWMPExtType.dll
2007-04-23 00:01:46 124,472 ----a-w C:\WINDOWS\system32\DivXCodecUpdateChecker.exe


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
2006-01-12 19:38 63128 --a------ F:\Eigene Software\adobe Reader\ActiveX\AcroIEHelper.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{07D4E86C-5EC6-4F2D-9E22-D69B923E50CD}]
C:\WINDOWS\system32\geebb.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}]
2007-07-06 21:09 287254 --a------ C:\WINDOWS\system32\iifgecy.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
2006-10-12 04:25 434279 --a------ C:\Programme\Java\jre1.5.0_09\bin\ssv.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2006-01-11 15:08 C:\WINDOWS\soundman.exe]
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2004-12-10 12:45 C:\WINDOWS\KHALMNPR.Exe]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-04-24 15:09]
"ISUSPM Startup"="C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe" [2004-06-16 07:03]
"ISUSScheduler"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2004-06-16 07:03]
"ATICCC"="C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-05-10 11:12]
"@"="" []
"Sony Ericsson PC Suite"="F:\Eigene Software\Sony Ericson\Application Launcher\Application Launcher.exe" [2005-10-26 18:17]
"Adobe Photo Downloader"="F:\Eigene Software\AdobePhotoshop\3.0\Apps\apdproxy.exe" [2005-06-23 21:33]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 01:57]
"Skype"="C:\Programme\Skype\Phone\Skype.exe" [2006-10-13 18:20]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" []
"DAEMON Tools"="F:\Eigene Software\DAEMON Tools\daemon.exe" [2006-11-12 12:48]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}"="C:\WINDOWS\system32\iifgecy.dll" [2007-07-06 21:09]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\geebb]
C:\WINDOWS\system32\geebb.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\iifgecy]
iifgecy.dll --a------ 2007-07-06 21:09 287254 C:\WINDOWS\system32\iifgecy.dll


**************************************************************************

catchme 0.3.915 W2K/XP/Vista - rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-07-18 14:18:36
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-07-18 14:18:57
C:\ComboFix-quarantined-files.txt ... 2007-07-18 14:18
C:\ComboFix2.txt ... 2007-07-18 12:52
C:\ComboFix3.txt ... 2007-07-17 22:50

--- E O F ---

#6 Hm, scheint nicht funktioniert zu haben. Nutze bitte die cfscript.txt, die ich angehaengt habe.


__________
MfG Ralf
SEO-Spam Hunter

#7 hm...weiß auch warums nicht funktioniert hat... hab suspect:: mit file:: ersetzt...und nicht verdoppelt und dann ersetzt!sorry

hier jetzt das neue log

"Fabian" - 2007-07-18 15:22:37 - ComboFix 07-07-14.6 - Service Pack 2 NTFS
Command switches used :: C:\Dokumente und Einstellungen\Fabian\Desktop\cfscript.txt


((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\system32\cbxvvsp.exe
C:\WINDOWS\system32\gebcb.VIR
C:\WINDOWS\system32\geebb.VIR
C:\WINDOWS\system32\iifgecy.dll
c:\windows\system32\oynqnghu.exe


((((((((((((((((((((((((( Files Created from 2007-06-18 to 2007-07-18 )))))))))))))))))))))))))))))))


2007-07-17 21:11 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-07-07 09:44 6,402 ---hs---- C:\WINDOWS\system32\bbeeg.bak2
2007-07-06 23:47 6,402 ---hs---- C:\WINDOWS\system32\bbeeg.ini2
2007-07-06 23:29 <DIR> d-------- C:\Programme\Max Payne
2007-07-06 21:14 6,362 ---hs---- C:\WINDOWS\system32\bbeeg.bak1
2007-06-28 14:41 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Google


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-07-18 13:23:04 -------- d-----w C:\DOKUME~1\Fabian\ANWEND~1\Skype
2007-07-17 21:14:10 -------- d-----w C:\DOKUME~1\Fabian\ANWEND~1\Hamachi
2007-07-17 19:37:33 -------- d--h--w C:\Programme\InstallShield Installation Information
2007-07-17 19:37:31 -------- d-----w C:\Programme\Microsoft Games
2007-07-16 18:17:52 22,584 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys
2007-07-16 18:17:48 99,904 ----a-w C:\WINDOWS\system32\PnkBstrB.exe
2007-07-15 17:59:01 -------- d-----w C:\DOKUME~1\Fabian\ANWEND~1\teamspeak2
2007-07-13 22:51:28 -------- d-----w C:\Programme\Everest Poker.net
2007-06-15 21:28:17 -------- d-----w C:\Programme\Everest Poker
2007-06-12 13:42:04 -------- d-----w C:\Programme\ahead
2007-06-08 17:02:18 25,544 ----a-w C:\WINDOWS\system32\drivers\hamachi.sys
2007-06-06 17:05:33 -------- d-----w C:\Programme\DivX
2007-05-31 06:45:07 524,288 ----a-w C:\WINDOWS\system32\DivXsm.exe
2007-05-31 06:44:55 823,296 ----a-w C:\WINDOWS\system32\divx_xx07.dll
2007-05-31 06:44:54 823,296 ----a-w C:\WINDOWS\system32\divx_xx0c.dll
2007-05-31 06:44:54 802,816 ----a-w C:\WINDOWS\system32\divx_xx11.dll
2007-05-31 06:44:54 740,442 ----a-w C:\WINDOWS\system32\DivX.dll
2007-05-30 09:08:02 -------- d-----w C:\Programme\AGEIA Technologies
2007-05-12 13:45:22 63,040 ----a-w C:\WINDOWS\system32\PnkBstrA.exe
2007-04-23 00:15:29 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll
2007-04-23 00:15:18 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
2007-04-23 00:15:18 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
2007-04-23 00:02:34 73,728 ----a-w C:\WINDOWS\system32\dpl100.dll
2007-04-23 00:02:34 196,608 ----a-w C:\WINDOWS\system32\dtu100.dll
2007-04-23 00:02:33 53,248 ----a-w C:\WINDOWS\system32\dpuGUI10.dll
2007-04-23 00:02:31 593,920 ----a-w C:\WINDOWS\system32\dpuGUI11.dll
2007-04-23 00:02:31 57,344 ----a-w C:\WINDOWS\system32\dpv11.dll
2007-04-23 00:02:31 344,064 ----a-w C:\WINDOWS\system32\dpus11.dll
2007-04-23 00:02:31 294,912 ----a-w C:\WINDOWS\system32\dpu11.dll
2007-04-23 00:02:31 294,912 ----a-w C:\WINDOWS\system32\dpu10.dll
2007-04-23 00:01:47 12,288 ----a-w C:\WINDOWS\system32\DivXWMPExtType.dll
2007-04-23 00:01:46 124,472 ----a-w C:\WINDOWS\system32\DivXCodecUpdateChecker.exe


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
2006-01-12 19:38 63128 --a------ F:\Eigene Software\adobe Reader\ActiveX\AcroIEHelper.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{07D4E86C-5EC6-4F2D-9E22-D69B923E50CD}]
C:\WINDOWS\system32\geebb.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
2006-10-12 04:25 434279 --a------ C:\Programme\Java\jre1.5.0_09\bin\ssv.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2006-01-11 15:08 C:\WINDOWS\soundman.exe]
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2004-12-10 12:45 C:\WINDOWS\KHALMNPR.Exe]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-04-24 15:09]
"ISUSPM Startup"="C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe" [2004-06-16 07:03]
"ISUSScheduler"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2004-06-16 07:03]
"ATICCC"="C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-05-10 11:12]
"@"="" []
"Sony Ericsson PC Suite"="F:\Eigene Software\Sony Ericson\Application Launcher\Application Launcher.exe" [2005-10-26 18:17]
"Adobe Photo Downloader"="F:\Eigene Software\AdobePhotoshop\3.0\Apps\apdproxy.exe" [2005-06-23 21:33]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 01:57]
"Skype"="C:\Programme\Skype\Phone\Skype.exe" [2006-10-13 18:20]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" []
"DAEMON Tools"="F:\Eigene Software\DAEMON Tools\daemon.exe" [2006-11-12 12:48]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\geebb]
C:\WINDOWS\system32\geebb.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\iifgecy]
iifgecy.dll


**************************************************************************

catchme 0.3.915 W2K/XP/Vista - rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-07-18 15:24:21
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-07-18 15:25:46 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 2007-07-18 15:25
C:\ComboFix2.txt ... 2007-07-18 14:18
C:\ComboFix3.txt ... 2007-07-18 12:52

--- E O F ---

#8 Eigenltich asollte "file::" re3ichen, warum es bei dir nicht funktioniert hat, weiss ich so nicht.

Du solltest auf deinem Desktop eine submit*.zip Datei besitzen. Schicke diese bitte an virus@protecus.de und loesche diese. Loesche auch den Ordner c:\qoobox.

Poste bitte noch ein neues Hijackthis log.

Loesche aus deinem System32 Ordner auch noch diese Dateien, sofern sie noch vorhanden sind:

11.07.2007 14:04 266.304 gebcb.VIR
10.07.2007 03:30 6.402 bbeeg.ini2
09.07.2007 18:07 6.402 bbeeg.bak2
09.07.2007 14:57 2.064.756 sebmclwy.ini
07.07.2007 04:34 13.956 bbeeg.ini
06.07.2007 23:46 12.769 bbeeg.tmp
06.07.2007 21:14 6.362 bbeeg.bak1
06.07.2007 21:14 266.304 geebb.VIR
06.07.2007 21:09 287.254 iifgecy.dll
06.07.2007 21:08 86.016 cbxvvsp.exe
06.07.2007 15:31 2.136.616 mvtldvkj.ini
06.07.2007 13:02 2.139.595 tjryuppx.ini
06.07.2007 12:58 2.132.915 rwkslsvr.ini
05.07.2007 17:48 2.133.395 shkwtkjj.ini
05.07.2007 13:03 2.011.391 xmvfjhul.ini
04.07.2007 14:59 2.012.874 syeexkmo.ini
03.07.2007 19:49 1.952.489 bkvdcjco.ini
03.07.2007 17:38 1.953.952 smrfilgv.ini
03.07.2007 13:56 1.957.164 flqomgqo.ini
03.07.2007 11:36 1.958.239 muujyrjq.ini
02.07.2007 10:37 960.165 tsddphuu.ini
01.07.2007 12:24 960.104 mgwmdlkp.ini
01.07.2007 12:18 989.738 ktughkdv.ini
30.06.2007 20:15 999.333 fcybshuk.ini
30.06.2007 19:03 817.328 dyqqmjmo.ini
30.06.2007 14:42 768.478 voytxadg.ini
30.06.2007 10:46 801.345 tmhctomg.ini
29.06.2007 13:00 877.678 tmxwgabh.ini
28.06.2007 14:32 929.622 qcfysbmj.ini
27.06.2007 15:01 914.706 ividamuy.ini
26.06.2007 15:04 914.586 mfmryeht.ini
25.06.2007 16:11 914.525 whaaqefh.ini
25.06.2007 16:09 818.087 pcbxhyqg.ini
24.06.2007 15:40 823.440 qpwqncvu.ini
23.06.2007 15:04 864.398 qtgfkfck.ini
22.06.2007 14:07 907.252 yeiaagqf.ini
22.06.2007 13:58 768.279 pvyuibcj.ini
21.06.2007 15:10 843.763 pdafdkvo.ini
20.06.2007 15:04 899.272 eansjban.ini
19.06.2007 17:58 899.782 oeeomlvc.ini
19.06.2007 15:03 899.663 nvxotqyl.ini
18.06.2007 21:07 899.543 rbvossxv.ini
18.06.2007 20:40 899.146 iljwjody.ini
18.06.2007 16:09 930.958 fyngfeam.ini
17.06.2007 13:54 922.189 pukfkbql.ini
17.06.2007 12:06 922.070 ppkljxnw.ini
16.06.2007 12:02 921.950 naxlwinq.ini
15.06.2007 17:37 405 rnjhxddi.ini
15.06.2007 13:13 4.832.742 ajluinkd.ini
15.06.2007 13:07 4.832.922 lmcvnroc.ini
14.06.2007 17:24 4.835.588 ugfektyw.ini
13.06.2007 15:09 4.787.913 shdsqdqj.ini
13.06.2007 14:59 4.576.009 hmnykkub.ini
12.06.2007 16:15 3.631.117 pvfbbpdc.ini
12.06.2007 14:58 2.686.075 jbdffowx.ini
11.06.2007 20:50 1.749.715 jenkurvg.ini
09.06.2007 14:03 1.616.904 ydgehlop.ini
09.06.2007 14:00 1.578.139 unjhwsoy.ini
08.06.2007 22:56 1.407.191 fgqxujjm.ini
08.06.2007 21:05 1.312.980 xombcqkl.ini
08.06.2007 19:38 13.844 oynqnghu.exe
08.06.2007 19:35 1.119.795 uyvprxpo.ini

21.05.2007 17:14 779.249 fhhkj.tmp
__________
MfG Ralf
SEO-Spam Hunter

#9 so...hab alles gemacht was du gesagt hast...hier jetzt mein neues hijack log


Logfile of HijackThis v1.99.1
Scan saved at 17:33:48, on 18.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
F:\Eigene Software\Sony Ericson\Application Launcher\Application Launcher.exe
F:\Eigene Software\AdobePhotoshop\3.0\Apps\apdproxy.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Skype\Phone\Skype.exe
F:\Eigene Software\DAEMON Tools\daemon.exe
F:\Eigene Software\dlink\AirPlus.exe
F:\Eigene Software\logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
F:\Eigene Software\Sony Ericson\Mobile Phone Monitor\epmworker.exe
C:\Programme\Mozilla Firefox\firefox.exe
F:\Eigene Software\hijackthis\HJT.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Eigene Software\adobe Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {07D4E86C-5EC6-4F2D-9E22-D69B923E50CD} - C:\WINDOWS\system32\geebb.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "F:\Eigene Software\Sony Ericson\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [Adobe Photo Downloader] "F:\Eigene Software\AdobePhotoshop\3.0\Apps\apdproxy.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [DAEMON Tools] "F:\Eigene Software\DAEMON Tools\daemon.exe" -lang 1033
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = F:\Eigene Software\adobe Reader\Reader\reader_sl.exe
O4 - Global Startup: D-Link AirPlus.lnk = ?
O4 - Global Startup: Logitech SetPoint.lnk = F:\Eigene Software\logitech\SetPoint\SetPoint.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: NordicBet Poker - {E6073F93-9541-4be4-9800-109D378EB99B} - C:\Microgaming\Poker\nordicbetMPP\MPPoker.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - Winlogon Notify: geebb - C:\WINDOWS\system32\geebb.dll (file missing)
O20 - Winlogon Notify: iifgecy - iifgecy.dll (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: dns cache reader (DNSCacheReader) - Unknown owner - C:\WINDOWS\system32\j3251738.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - F:\Eigene Software\SiSoftware Sandra Lite 2007\Win32\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - F:\Eigene Software\SiSoftware Sandra Lite 2007\RpcSandraSrv.exe

#10 Hake folgendes in Hijackthis an und druecke fix checked:

O2 - BHO: (no name) - {07D4E86C-5EC6-4F2D-9E22-D69B923E50CD} - C:\WINDOWS\system32\geebb.dll (file missing)
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O20 - Winlogon Notify: geebb - C:\WINDOWS\system32\geebb.dll (file missing)
O20 - Winlogon Notify: iifgecy - iifgecy.dll (file missing)


Danach neu starten und kontrollieren, ob die Eintraege verschwunden sind.

Falls das der Fall ist, dann aktualisiere dein Windows via www.windowsupdate.com
__________
MfG Ralf
SEO-Spam Hunter

#11 hab alles gemacht was du gesagt hast!
die einträge sind nachm neustart nicht mehr dagewesen!
werd jetzt mal antivir durchlassen und 24 stunden warten und dann bescheid geben
ob alles sauber is!

schon mal vielen,vielen dank für deine hilfe! echt klasse von dir