Programme lassen sich nicht starten + Popups + Disfunktion der Progs!!!

#1 Hallo erstmal,

Da ich im Moment leider überhaupt nicht weiterkomme und auch schon den ein oder anderen Thread zu dem Problem durchlas, starte ich, mit meinen eigenen Problemchen einen Versuch, meinen PC wieder unter meine Kontrolle zu kriegen.

1. Schritt: Temp. Dateien mit ATFCleaner gelöscht.

2. Schritt : auch nach 15 minütigem Warten kam ich bei Combofix nicht weiter, bekomme beim Start von COmbofix jedoch "Freeware implementation of REG.EXE hat ein Problem festgestellt und muss beendet werden." als Fehlermeldung.

3. Schritt :

Hijack Log:

Logfile of HijackThis v1.99.1
Scan saved at 15:52:49, on 21.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\avmwlanstick\FRITZWLANMini.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\CTHELPER.EXE
C:\WINDOWS\system32\CTXFIHLP.EXE
C:\Programme\Lavasoft\Ad-Aware 2007\AAWTray.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\Programme\Creative\MediaSource\Detector\CTDetect.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\WINDOWS\SYSTEM32\CTXFISPI.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Rainlendar\Rainlendar.exe
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
C:\Programme\ClamWin\bin\ClamTray.exe
C:\Programme\ClamWin\bin\ClamWin.exe
C:\Programme\ClamWin\bin\clamscan.exe
C:\Programme\WinRAR\WinRAR.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\Dokumente und Einstellungen\Besitzer\Desktop\Neuer Ordner\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box
O4 - HKLM\..\Run: [amd_dc_opt] "C:\Programme\AMD\amd_dc_opt\amd_dc_opt.exe"
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\FRITZWLANMini.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [AAWTray] C:\Programme\Lavasoft\Ad-Aware 2007\AAWTray.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [ClamWin] "C:\Programme\ClamWin\bin\ClamTray.exe" --logon
O4 - HKLM\..\Run: [SearchIndexer] rundll32.exe "C:\WINDOWS\system32\ibghlhxk.dll",sitypnow
O4 - HKCU\..\Run: [Creative Detector] C:\Programme\Creative\MediaSource\Detector\CTDetect.exe /R
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Rainlendar.lnk = C:\Programme\Rainlendar\Rainlendar.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: Download Using &BitSpirit - C:\Programme\BitSpirit\bsurl.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: DomainService - Unknown owner - C:\WINDOWS\system32\uqldeiqh.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Paaspet - NVIDIA Corporation - C:\WINDOWS\system32\drivers\nvsnpu.sys
O23 - Service: PACSPTISVR - Unknown owner - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Loki Drivers Auto Removal (pr2agqwb) (pr2agqwb) - Cyanide - C:\WINDOWS\system32\pr2agqwb.exe
O23 - Service: Loki Drivers Auto Removal (pr2agqwc) (pr2agqwc) - Cyanide - C:\WINDOWS\system32\pr2agqwc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: Win2k3NodeDisabler - Unknown owner - C:\Downloads\www.x-eeme.dl.am_GT.Legends.SFCure.DVD-iTWINS\Neuer Ordner\Win2k3NodeDisabler.exe (file missing)

3.1: die mit ? gekennzeichneten Logs beim Auswerten:

O4-HKLM\..\Run:[SearchIndexer]rundll32.exe"C:\WINDOWS\system32\ibghlhxk.dll",sitypnow
O23-ServiceomainService-Unknownowner-C:\WINDOWS\system32\uqldeiqh.exe(filemissing)
Unbekannt
O23 - Service: Paaspet - NVIDIA Corporation - C:\WINDOWS\system32\drivers\nvsnpu.sys


4. Schritt: Datfind Log:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 64D2-00FC

Verzeichnis von C:\WINDOWS\system32

21.09.2007 15:54 663.802 llnmp.ini2
21.09.2007 15:36 62.732 perfc009.dat
21.09.2007 15:36 75.512 perfc007.dat
21.09.2007 15:36 416.478 perfh007.dat
21.09.2007 15:36 401.644 perfh009.dat
21.09.2007 15:36 967.998 PerfStringBackup.INI
21.09.2007 15:36 693.652 kxhlhgbi.ini
21.09.2007 15:35 87.616 ibghlhxk.dll
21.09.2007 15:33 75.328 xautxhvs.exe
21.09.2007 15:33 660.483 llnmp.bak2
21.09.2007 15:33 693.592 bjnuaiqw.ini
21.09.2007 15:33 88.723 nvapps.xml
21.09.2007 15:32 2.422 wpa.dbl
21.09.2007 15:31 23.091 oodbs.lor
21.09.2007 15:31 1.080 settingsbkup.sfm
21.09.2007 15:31 1.080 settings.sfm
21.09.2007 15:31 64.900 DVCState-{00000001-00000000-00000007-00001102-00000005-00211102}.rfx
21.09.2007 15:31 54.332 BMXState-{00000001-00000000-00000007-00001102-00000005-00211102}.rfx
21.09.2007 15:31 54.332 BMXStateBkp-{00000001-00000000-00000007-00001102-00000005-00211102}.rfx
21.09.2007 15:27 5.214 jupdate-1.6.0_02-b06.log
21.09.2007 14:43 87.616 wqiaunjb.dll
21.09.2007 14:37 693.472 jyitsuwu.ini
21.09.2007 14:01 185.688 rmoc3260.dll
21.09.2007 14:00 5.632 pndx5032.dll
21.09.2007 14:00 6.656 pndx5016.dll
21.09.2007 14:00 278.528 pncrt.dll
21.09.2007 12:47 693.767 hkioylfy.ini
21.09.2007 12:44 87.616 yflyoikh.dll
21.09.2007 12:42 693.698 vofqrupe.ini
21.09.2007 08:26 693.578 pnsbdafc.ini
21.09.2007 08:05 693.458 ffuuqtee.ini
21.09.2007 02:49 693.716 gyqlkwjp.ini
21.09.2007 02:46 662.708 llnmp.bak1
20.09.2007 02:46 693.665 mbcrgrrs.ini
19.09.2007 17:36 693.536 lrximimm.ini
19.09.2007 09:08 693.956 jhujacpb.ini
19.09.2007 09:07 125.504 bpcajuhj.dll
19.09.2007 09:02 693.905 nqybnuwh.ini
18.09.2007 10:12 693.785 jmcxueiq.ini
17.09.2007 15:42 805.182 llnmp.tmp
17.09.2007 15:40 805.122 llnmp.ini
17.09.2007 10:12 693.596 vmhhqupr.ini
13.09.2007 20:42 8 nvModes.dat
13.09.2007 15:29 244.832 pmnll.dll
13.09.2007 10:53 1.406.080 FNTCACHE.DAT
12.09.2007 19:30 413.696 wrap_oal.dll
12.09.2007 19:30 86.016 OpenAL32.dll
12.09.2007 11:06 98.304 CmdLineExt.dll
12.09.2007 03:00 249.852 TZLog.log
05.09.2007 19:50 17.474.680 MRT.exe
28.08.2007 14:06 7.279 bccdd.ini2
28.08.2007 09:42 6.773 bccdd.bak2
21.08.2007 02:26 416 dpl100.dll.manifest
21.08.2007 02:26 81.920 dpl100.dll
21.08.2007 02:26 196.608 dtu100.dll
21.08.2007 02:26 416 dtu100.dll.manifest
17.08.2007 20:13 57.784 bccdd.ini
17.08.2007 10:50 4.633 lljjgzbc.dat
17.08.2007 10:50 332 lljjgzbc_navps.dat
17.08.2007 10:49 12.230 bccdd.tmp
17.08.2007 10:11 2.893.169 rnvftgxi.ini
16.08.2007 00:33 144.704 DivXCodecVersionChecker.exe
16.08.2007 00:33 4.816 divxsm.tlb
16.08.2007 00:33 10.152 dsm_de.qm
16.08.2007 00:33 524.288 DivXsm.exe
16.08.2007 00:33 3.596.288 qt-dx331.dll
16.08.2007 00:33 72.440 pxhpinst.exe
16.08.2007 00:33 187.128 pxmas.dll
16.08.2007 00:33 379.640 pxwave.dll
16.08.2007 00:33 1.628.920 pxsfs.dll
16.08.2007 00:33 120.056 pxcpyi64.exe
16.08.2007 00:33 551.672 px.dll
16.08.2007 00:33 88.824 vxblock.dll
16.08.2007 00:33 118.520 pxinsi64.exe
16.08.2007 00:33 64.760 pxinsa64.exe
16.08.2007 00:33 129.784 pxafs.dll
16.08.2007 00:33 518.904 pxdrv.dll
16.08.2007 00:33 66.296 pxcpya64.exe
16.08.2007 00:33 1.044.480 libdivx.dll
16.08.2007 00:33 200.704 ssldivx.dll
16.08.2007 00:31 344.064 dpus11.dll
16.08.2007 00:31 53.248 dpuGUI10.dll
16.08.2007 00:31 294.912 dpu11.dll
16.08.2007 00:31 57.344 dpv11.dll
16.08.2007 00:31 294.912 dpu10.dll
16.08.2007 00:31 593.920 dpuGUI11.dll
16.08.2007 00:30 802.816 divx_xx11.dll
16.08.2007 00:30 823.296 divx_xx07.dll
16.08.2007 00:30 823.296 divx_xx0c.dll
16.08.2007 00:30 740.442 DivX.dll
16.08.2007 00:30 638.976 divxdec.ax
16.08.2007 00:30 352.401 DivXMedia.ax
16.08.2007 00:30 12.288 DivXWMPExtType.dll
16.08.2007 00:30 3.136 dtu_de.qm
16.08.2007 00:30 8.523 dpude.qm
15.08.2007 16:21 6.486 bccdd.bak1
15.08.2007 16:16 265.497 lljjgzbc_nav.dat
15.08.2007 16:16 22 nvs2.inf
14.08.2007 18:50 2.646.860 rdvwjnso.ini
14.08.2007 10:03 2.666.941 euertlcw.ini
13.08.2007 22:14 21.840 SIntfNT.dll
13.08.2007 22:14 17.212 SIntf32.dll
13.08.2007 22:14 12.067 SIntf16.dll
13.08.2007 09:34 1.639.069 dehdgkji.ini
12.08.2007 09:28 423.924 dpqstykt.ini
11.08.2007 20:01 340.411 dqgviqck.ini
05.08.2007 20:37 389.689 jfshuovn.ini
01.08.2007 10:45 94.731 vmdmikpa.ini
31.07.2007 10:45 74.995 thgyducb.ini
31.07.2007 10:33 926 aurktgdp.ini
30.07.2007 19:20 30.040 wuaucpl.cpl.mui
30.07.2007 19:20 30.040 wuapi.dll.mui
30.07.2007 19:19 1.712.984 wuaueng.dll
30.07.2007 19:19 549.720 wuapi.dll
30.07.2007 19:19 325.976 wucltui.dll
30.07.2007 19:19 216.408 wuaucpl.cpl
30.07.2007 19:19 203.096 wuweb.dll
30.07.2007 19:19 92.504 cdm.dll
30.07.2007 19:19 53.080 wuauclt.exe
30.07.2007 19:19 43.352 wups2.dll
30.07.2007 19:18 34.136 wucltui.dll.mui
30.07.2007 19:18 33.624 wups.dll
30.07.2007 19:18 20.824 wuaueng.dll.mui
30.07.2007 02:49 806 mdubuibn.ini
29.07.2007 02:44 1.248.346 sxibqjyh.ini
27.07.2007 22:09 1.248.286 ercioyfc.ini
18.07.2007 14:42 60.416 tzchange.exe
12.07.2007 02:22 139.264 javaws.exe
12.07.2007 02:22 69.632 javacpl.cpl
12.07.2007 01:22 135.168 javaw.exe
12.07.2007 01:22 135.168 java.exe
04.07.2007 18:07 406.888 pr2agqwb.exe
29.06.2007 06:24 65.536 QuickTimeVR.qtx
29.06.2007 06:24 49.152 QuickTime.qts
26.06.2007 16:39 671.232 wininet.dll
26.06.2007 08:08 1.104.896 msxml3.dll
19.06.2007 15:31 282.112 gdi32.dll
15.06.2007 10:13 532.480 mstime.dll
15.06.2007 10:13 1.498.112 shdocvw.dll
15.06.2007 10:13 39.424 pngfilt.dll
15.06.2007 10:13 619.008 urlmon.dll
15.06.2007 10:13 474.624 shlwapi.dll
15.06.2007 10:13 146.432 msrating.dll
15.06.2007 10:13 449.024 mshtmled.dll
15.06.2007 10:13 3.085.312 mshtml.dll
15.06.2007 10:13 205.824 dxtrans.dll
15.06.2007 10:13 1.022.976 browseui.dll
15.06.2007 10:13 357.888 dxtmsft.dll
15.06.2007 10:13 251.904 iepeers.dll
15.06.2007 10:13 1.056.256 danim.dll
15.06.2007 10:13 152.064 cdfview.dll
15.06.2007 10:13 55.808 extmgr.dll
15.06.2007 10:13 96.768 inseng.dll
15.06.2007 10:13 16.384 jsproxy.dll
14.06.2007 12:56 373.760 xpsp3res.dll

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 64D2-00FC

Verzeichnis von C:\WINDOWS

21.09.2007 15:32 0 0.log
21.09.2007 15:32 159 wiadebug.log
21.09.2007 15:32 1.395.795 WindowsUpdate.log
21.09.2007 15:32 50 wiaservc.log
21.09.2007 15:31 2.048 bootstat.dat
21.09.2007 15:31 32.544 SchedLgU.Txt
21.09.2007 14:22 45.694 setupapi.log
21.09.2007 13:34 49 NeroDigital.ini
21.09.2007 12:47 69 cookies.ini
21.09.2007 12:16 0 Cover.INI
21.09.2007 12:16 29 AVFTP.INI
20.09.2007 17:24 0 Sti_Trace.log
17.09.2007 22:54 0 VDVD.INI
17.09.2007 22:54 0 avvcnvrt.INI
17.09.2007 22:54 0 VMorpher.INI
17.09.2007 20:34 79.744 DirectX.log
14.09.2007 09:14 155 WB.ini
13.09.2007 17:46 0 oodcnt.INI
12.09.2007 19:29 96 Kyor.ini
14.08.2007 23:55 249.856 Setup1.exe
14.08.2007 23:55 73.216 ST6UNST.EXE
13.08.2007 22:15 33.408 DIIUnin.dat
13.08.2007 21:19 2.829 DIIUnin.pif
13.08.2007 21:19 102.400 DIIUnin.exe
13.06.2007 15:21 1.036.288 explorer.exe

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 64D2-00FC

Verzeichnis von C:\WINDOWS\temp

21.09.2007 15:32 409 WGANotify.settings
21.09.2007 15:32 255 WGAErrLog.txt
21.09.2007 15:32 671.744 ~DF4D2D.tmp
21.09.2007 15:31 0 win54.tmp
21.09.2007 15:31 0 win53.tmp
21.09.2007 15:31 0 win52.tmp
6 Datei(en) 672.408 Bytes
0 Verzeichnis(se), 9.930.678.272 Bytes frei


5. Schritt ....meine Probleme:

-WinRar lässt sich nicht starten bzw. schliesst sich mit fehlermeldung (Problembericht senden)
-TuneUp Utilities lässt sich nicht starten bzw. schliesst sich mit fehlermeldung (Problembericht senden)
-Das selbe mit Adaware Personal!
Allgemein lässt sich dazu sagen das viele (wie es mir erscheint zufällige) Programme sich wie oben beschrieben nicht mehr starten lassen.

-beim ersten Versuch ClamWin zu installieren gab es einen sich multiplizierenden Application Error, der immer um 1 wuchs, wenn man auf das OK-Fenster klicken wollte.

-der PC bootet im allgemeinen sehr langsam seit ich NIS 2007 installiert habe (mitlerweile wegen zu grosser Ablehnung im www wieder gelöscht)

-Edit : Habe noch die ständigen "Driver CLeaner" und "XYZ Antivir" - Popups vergessen, die dauernd im Firefox aufspringen, wobei sie nicht nur mit Firefox, sondern auch über IE aufgehn, obwohl ich diesen garnicht am laufen habe.

-CureIT fand 4 Viren, die nach Neustart gelöscht wurden---> keine Besserung des Zustands!
-Java-Plattform komplett gelöscht und neu installiert---->keine Besserung

Im Moment bin ich ziemlich ratlos....derowegen würde ich mich über Hilfe tierischst freun...

Mfg, Oro

#2 Hi,

Online prüfen:
virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
http://www.virustotal.com/flash/index_en.html

Zitat

C:\WINDOWS\system32\ibghlhxk.dll
C:\WINDOWS\system32\drivers\nvsnpu.sys (wahrscheinlich aber Bustreiber)
C:\WINDOWS\system32\pr2agqwc.exe
C:\WINDOWS\system32\uqldeiqh.exe (falls zu finden);

Poste die Ergebnisse mit Filename!

Falls erkannt:
Killbox:
KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
reinkopieren:
C:\WINDOWS\system32\ibghlhxk.dll
C:\WINDOWS\system32\uqldeiqh.exe
(die restlichen Files mit Pfad nur wenn sie erkannt wurden!)
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

PC neustarten


Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
Achtung: Alle Anwendungen bis auf HJ müssen geschlossen sein!)

Zitat

O4 - HKLM\..\Run: [SearchIndexer] rundll32.exe "C:\WINDOWS\system32\ibghlhxk.dll",sitypnow
O23 - Service: DomainService - Unknown owner - C:\WINDOWS\system32\uqldeiqh.exe (file missing)

Verdächtig sind die vielen Einträge mit dem Muster:
ffuuqtee.ini etc. (die von Hand runter zu hauhen ist ein bisschen aufwendig...)

Scanne mit escan:
http://www.trojaner-board.de/42731-escan-anleitung.html
Poste das Log;

Silentrunner:
Ziparchive in ein Verzeichnis auspacken, mit Doppelklick starten, "ja" auswählen.
Die erstellte Datei findet sich im gleichen Verzeichnis wo das Script hinkopiert wurde, bitte in Editor laden und posten.
http://www.silentrunners.org/Silent%20Runners.zip

Chris

#3 OK, also....

nachdem ich den F-Online-Scan hab laufen lassen, konnte ich endlich Combofix starten. Hier das Log:

Code

2004-08-04 14:00      140800    --a------    C:\Qoobox\Quarantine\C\WINDOWS\system32\TASKMGR.COM.vir
2004-08-04 14:00      153600    --a------    C:\Qoobox\Quarantine\C\WINDOWS\REGEDIT.COM.vir
2007-07-08 21:23      15399    --a------    C:\Qoobox\Quarantine\C\ComboFix\FProps.vbs.vir
2007-08-15 16:16      22    --a------    C:\Qoobox\Quarantine\C\WINDOWS\system32\nvs2.inf.vir
2007-08-15 16:16      265497    --a------    C:\Qoobox\Quarantine\C\WINDOWS\system32\lljjgzbc_nav.dat.vir
2007-08-17 10:50      332    --a------    C:\Qoobox\Quarantine\C\WINDOWS\system32\lljjgzbc_navps.dat.vir
2007-08-17 10:50      4633    --a------    C:\Qoobox\Quarantine\C\WINDOWS\system32\lljjgzbc.dat.vir
2007-09-13 15:29      244832    --a------    C:\Qoobox\Quarantine\C\WINDOWS\system32\pmnll.dll.vir
2007-09-17 15:40      805122    --a------    C:\Qoobox\Quarantine\C\WINDOWS\system32\llnmp.ini.vir
2007-09-17 15:42      805182    --a------    C:\Qoobox\Quarantine\C\WINDOWS\system32\llnmp.tmp.vir
2007-09-19 09:07      125504    --a------    C:\Qoobox\Quarantine\C\WINDOWS\system32\bpcajuhj.dll.vir
2007-09-19 09:08      693956    --a------    C:\Qoobox\Quarantine\C\WINDOWS\system32\jhujacpb.ini.vir
2007-09-21 02:46      662708    --a------    C:\Qoobox\Quarantine\C\WINDOWS\system32\llnmp.bak1.vir
2007-09-21 15:33      660483    --a------    C:\Qoobox\Quarantine\C\WINDOWS\system32\llnmp.bak2.vir
2007-09-21 16:31      246    --a------    C:\Qoobox\Quarantine\C\WINDOWS\cookies.ini.vir
2007-09-21 18:24      2956    --a------    C:\Qoobox\Quarantine\Registry_backups\services_DomainService.reg.dat
2007-09-21 18:24      805182    --a------    C:\Qoobox\Quarantine\C\WINDOWS\system32\llnmp.ini2.vir
2007-09-21 18:24      846    --a------    C:\Qoobox\Quarantine\Registry_backups\LEGACY_DOMAINSERVICE.reg.dat
2007-09-21 18:25      560    --a------    C:\Qoobox\Quarantine\catchme.log
2007-09-21 18:25      673119    --a------    C:\Qoobox\Quarantine\catchme2007-09-21_182749.81.zip
2007-09-21 18:26      5306    --a------    C:\Qoobox\Quarantine\C\check_LSA7.txt.vir


Auflistung der Ordnerpfade
Volumenummer: 64D2-00FC
C:\QOOBOX\QUARANTINE
|   catchme.log
|   catchme2007-09-21_182749.81.zip
|   
+---C
|   |   check_LSA7.txt.vir
|   |   
|   +---ComboFix
|   |       FProps.vbs.vir
|   |       
|   \---WINDOWS
|       |   cookies.ini.vir
|       |   REGEDIT.COM.vir
|       |   
|       \---system32
|               bpcajuhj.dll.vir
|               jhujacpb.ini.vir
|               lljjgzbc.dat.vir
|               lljjgzbc_nav.dat.vir
|               lljjgzbc_navps.dat.vir
|               llnmp.bak1.vir
|               llnmp.bak2.vir
|               llnmp.ini.vir
|               llnmp.ini2.vir
|               llnmp.tmp.vir
|               nvs2.inf.vir
|               pmnll.dll.vir
|               TASKMGR.COM.vir
|               
\---Registry_backups
        LEGACY_DOMAINSERVICE.reg.dat
        services_DomainService.reg.dat
        

Nun zum virustotal:

C:\WINDOWS\system32\ibghlhxk.dll ---->wurde erkannt ---->mit killbox gelöscht.

C:\WINDOWS\system32\drivers\nvsnpu.sys (wahrscheinlich aber Bustreiber)
C:\WINDOWS\system32\pr2agqwc.exe

beide nicht erkannt!!!

C:\WINDOWS\system32\uqldeiqh.exe (falls zu finden);---> konnte nicht gefunden werden (0 bytes sent.

Hijack-Einträge wie beschrieben gechecked und gefixt.

Silentrunner Log:

"Silent Runners.vbs", revision 52, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"Creative Detector" = "C:\Programme\Creative\MediaSource\Detector\CTDetect.exe /R" ["Creative Technology Ltd"]
"DAEMON Tools" = ""C:\Programme\DAEMON Tools\daemon.exe" -lang 1033" ["DT Soft Ltd."]
"ctfmon.exe" = "C:\WINDOWS\system32\ctfmon.exe" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"amd_dc_opt" = ""C:\Programme\AMD\amd_dc_opt\amd_dc_opt.exe"" [null data]
"Logitech Hardware Abstraction Layer" = "KHALMNPR.EXE" ["Logitech Inc."]
"ISUSPM Startup" = "C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe -startup" ["InstallShield Software Corporation"]
"ISUSScheduler" = ""C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start" ["InstallShield Software Corporation"]
"AVMWlanClient" = "C:\Programme\avmwlanstick\FRITZWLANMini.exe" ["AVM Berlin GmbH"]
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS]
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit" [MS]
"CTHelper" = "CTHELPER.EXE" ["Creative Technology Ltd"]
"CTxfiHlp" = "CTXFIHLP.EXE" ["Creative Technology Ltd"]
"AAWTray" = "C:\Programme\Lavasoft\Ad-Aware 2007\AAWTray.exe" [null data]
"TkBellExe" = ""C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot" ["RealNetworks, Inc."]
"SunJavaUpdateSched" = ""C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"" ["Sun Microsystems, Inc."]
"ClamWin" = ""C:\Programme\ClamWin\bin\ClamTray.exe" --logon" ["alch"]
"SearchIndexer" = "rundll32.exe "C:\WINDOWS\system32\ibghlhxk.dll",sitypnow" [MS]

HKLM\Software\Microsoft\Active Setup\Installed Components\
<{12d0ed0d-0ee0-4f90-8827-78cefb8f4988}\(Default) = "IE7 Uninstall Stub"
\StubPath = "C:\WINDOWS\system32\ieudinit.exe" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Adobe PDF Reader Link Helper"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_02\bin\ssv.dll" ["Sun Microsystems, Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{2F5AC606-70CF-461C-BFE1-734234536262}" = "WindowBlinds CPL Extension"
-> {HKLM...CLSID} = "DisplayCplExt Class"
\InProcServer32\(Default) = "C:\Programme\Stardock\Object Desktop\WindowBlinds\wbui.dll" ["Stardock.Net, Inc"]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {HKLM...CLSID} = "RealOne Player Context Menu Class"
\InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]
"{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
"{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" = "OpenOffice.org Column Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 2.2\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
"{087B3AE3-E237-4467-B8DB-5A38AB959AC9}" = "OpenOffice.org Infotip Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 2.2\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
"{63542C48-9552-494A-84F7-73AA6A7C99C1}" = "OpenOffice.org Property Sheet Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 2.2\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
"{3B092F0C-7696-40E3-A80F-68D74DA84210}" = "OpenOffice.org Thumbnail Viewer"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 2.2\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
"{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF}" = "iTunes"
-> {HKLM...CLSID} = "iTunes"
\InProcServer32\(Default) = "C:\Programme\iTunes\iTunesMiniPlayer.dll" ["Apple Inc."]
"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"
-> {HKLM...CLSID} = "DesktopContext Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"
-> {HKLM...CLSID} = "NVIDIA CPL Extension"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
-> {HKLM...CLSID} = "Desktop Explorer"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
-> {HKLM...CLSID} = "nView Desktop Context Menu"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}" = "TuneUp Shredder Shell Extension"
-> {HKLM...CLSID} = "TuneUp Shredder Shell Extension"
\InProcServer32\(Default) = "C:\Programme\TuneUp Utilities 2007\SDShelEx-win32.dll" ["TuneUp Software GmbH"]
"{44440D00-FF19-4AFC-B765-9A0970567D97}" = "TuneUp Theme Extension"
-> {HKLM...CLSID} = "TuneUp Theme Extension"
\InProcServer32\(Default) = "C:\WINDOWS\System32\uxtuneup.dll" ["TuneUp Software GmbH"]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows\
<<!>> "AppInit_DLLs" = "wbsys.dll" ["Stardock.Net, Inc"]

HKLM\System\CurrentControlSet\Control\Session Manager\
<<!>> "BootExecute" = "autocheck autochk *"|"OODBS" ["O&O Software GmbH"]|"lsdelete" [null data]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> WBSrv\DLLName = "C:\PROGRA~1\Stardock\OBJECT~1\WINDOW~1\wbsrv.dll" ["Stardock"]

HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}\(Default) = "OpenOffice.org Column Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 2.2\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
ClamWin\(Default) = "{65713842-C410-4f44-8383-BFE01A398C90}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\ClamWin\bin\ExpShell.dll" ["alch"]
DropStuff Context Menu\(Default) = "{2e336dc0-54f8-11d1-abd5-447270537466}"
-> {HKLM...CLSID} = "DropStuff Context Menu"
\InProcServer32\(Default) = "C:\Programme\Aladdin Systems\StuffIt 7.0\DropStuff\ShellDS.dll" ["Aladdin Systems, Inc."]
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
TuneUp Shredder Shell Extension\(Default) = "{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}"
-> {HKLM...CLSID} = "TuneUp Shredder Shell Extension"
\InProcServer32\(Default) = "C:\Programme\TuneUp Utilities 2007\SDShelEx-win32.dll" ["TuneUp Software GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
TuneUp Shredder Shell Extension\(Default) = "{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}"
-> {HKLM...CLSID} = "TuneUp Shredder Shell Extension"
\InProcServer32\(Default) = "C:\Programme\TuneUp Utilities 2007\SDShelEx-win32.dll" ["TuneUp Software GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
ClamWin\(Default) = "{65713842-C410-4f44-8383-BFE01A398C90}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\ClamWin\bin\ExpShell.dll" ["alch"]
DropStuff Context Menu\(Default) = "{2e336dc0-54f8-11d1-abd5-447270537466}"
-> {HKLM...CLSID} = "DropStuff Context Menu"
\InProcServer32\(Default) = "C:\Programme\Aladdin Systems\StuffIt 7.0\DropStuff\ShellDS.dll" ["Aladdin Systems, Inc."]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]


Group Policies {policy setting}:
--------------------------------

Note: detected settings may not have any effect.

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001
{Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) hex:0x00000001
{Devices: Allow undock without having to log on}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\web\wallpaper\Grüne Idylle.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Programme\Stardock\Object Desktop\WindowBlinds\Besitzerwall.bmp"


Startup items in "Besitzer" & "All Users" startup folders:
----------------------------------------------------------

C:\Dokumente und Einstellungen\Besitzer\Startmenü\Programme\Autostart
"Rainlendar" -> shortcut to: "C:\Programme\Rainlendar\Rainlendar.exe" ["Rainy"]

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Logitech SetPoint" -> shortcut to: "C:\Programme\Logitech\SetPoint\SetPoint.exe" ["Logitech Inc."]


Enabled Scheduled Tasks:
------------------------

"1-Klick-Wartung" -> launches: "C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe /schedulestart" ["TuneUp Software GmbH"]
"AppleSoftwareUpdate" -> launches: "C:\Programme\Apple Software Update\SoftwareUpdate.exe -task" ["Apple Inc."]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 21
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0016-0000-0002-ABCDEFFEDCBC}"
-> {HKCU...CLSID} = "Java Plug-in 1.6.0_02"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_02\bin\ssv.dll" ["Sun Microsystems, Inc."]
-> {HKLM...CLSID} = "Java Plug-in 1.6.0_02"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_02\bin\npjpi160_02.dll" ["Sun Microsystems, Inc."]

{B863453A-26C3-4E1F-A54D-A2CD196348E9}\
"ButtonText" = "ICQ Lite"
"MenuText" = "ICQ Lite"
"Exec" = "C:\Programme\ICQLite\ICQLite.exe" ["ICQ Ltd."]

{E2E2DD38-D088-4134-82B7-F2BA38496583}\
"MenuText" = "@xpsp3res.dll,-20001"
"Exec" = "%windir%\Network Diagnostic\xpnetdiag.exe" [MS]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

Ad-Aware 2007 Service, aawservice, ""C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe"" ["Lavasoft AB"]
Apple Mobile Device, Apple Mobile Device, ""C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe"" ["Apple, Inc."]
Creative Service for CDROM Access, Creative Service for CDROM Access, "C:\WINDOWS\system32\CTsvcCDA.EXE" ["Creative Technology Ltd"]
nTune Service, nTuneService, "C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe /StartService" ["NVIDIA"]
NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\system32\nvsvc32.exe" ["NVIDIA Corporation"]
O&O Defrag, O&O Defrag, "C:\WINDOWS\system32\oodag.exe" ["O&O Software GmbH"]
TuneUp Designerweiterung, UxTuneUp, "C:\WINDOWS\System32\svchost.exe -k netsvcs" {"C:\WINDOWS\System32\uxtuneup.dll" ["TuneUp Software GmbH"]}
Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS]


---------- (launch time: 2007-09-21 18:33:15)
<<!>>: Suspicious data at a malware launch point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points, use the -supp parameter or answer "No" at the
first message box and "Yes" at the second message box.
---------- (total run time: 37 seconds, including 13 seconds for message boxes)


Bis jetzt wurde schon recht viel behoben.... escan lasse ich jetzt laufen.
Vielen Dank für die jetzt schon erhaltene Hilfe, ich kann im Moment zumindest mal alle Progs wieder normal aufrufen.

mfg, ein etwas erleichterter Oro


Edit beim Booten von WXP kam folgende Meldung "RUNDLL - Fehler beim Laden von C:\Windows\system32\ibghlhxk.dll

----das kam vorher noch nie!

#4 Hi,

den Eintrag wie oben beschrieben mit HJ fixen;
Alle Anwendungen inkl. IE müssen dabei geschlossen sein!

Sehe gerade, die DLL taucht auch noch als "SearchIndexer" auf...
(SilentRunner: "SearchIndexer" = "rundll32.exe "C:\WINDOWS\system32\ibghlhxk.dll",sitypnow" [MS])

Den Eintrag auch mit HJ-fixen!
Bin zuhause, am Montag gehts weiter oder Arni übernimmt...

Chris

#5 ComboFix
Wenn das Tool fertig ist,oeffnet sich ein logfile(combofix.txt )
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"

zusammen mit ein neuen log von HijackThis
__________
MfG Argus

#6 So,.....nachdem sich mein PC gestern beim durchlaufen von escan aufhing und nicht mehr booten liess, musste ich bis heute eine "Zwangspause" einlegen...bin im Moment an nem anderen PC.

Das Combofix-Log hatte ich doch oben gepostet?! oder fehlte in dem etwas weil ich mir zu 95% sicher bin, alles aus dieser txt rauskopiert zu haben...

ich bin in ca. 3h zu Hause und werde mich dan gleich um die Beschaffung der neuen Logs kümmern.

Und nochmal Danke, weil bisher habt ihr mir hier schon grossartig geholfen

#7 Download: RemoveVideoActiveXObject by Smeenk, zum Desktop
Danach doppelklicken
Moeglich startet der Uninstaller von ein Roquescanner schliesse es nicht ab aber lass es seine Arbeit tun
Rechner neu starten und nochmals RemoveVideoActiveXObject.exe Doppelklicken
Poste nachher den logfile C:\ RVAXO-results.log in dein folgender Bericht
__________
MfG Argus

#8 Combofix Log:

ComboFix 07-09-20.1 - "Besitzer" 2007-09-23 16:06:48.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.1630 [GMT 2:00]
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\regedit.com

.
((((((((((((((((((((((( Dateien erstellt von 2007-08-23 bis 2007-09-23 ))))))))))))))))))))))))))))))
.

2007-09-23 15:57 45,303 --a------ C:\WINDOWS\system32\RemoveVideoActiveXObject.reg
2007-09-23 15:57 <DIR> d-------- C:\WINDOWS\system32\RVAXO
2007-09-21 18:55 <DIR> d-a------ C:\WINDOWS\zts2.exe
2007-09-21 18:55 <DIR> d-a------ C:\WINDOWS\system32\vcmgcd32.dll
2007-09-21 18:55 <DIR> d-a------ C:\WINDOWS\system32\iifgfgf.dll
2007-09-21 18:55 <DIR> d-a------ C:\WINDOWS\rundll16.exe
2007-09-21 18:55 <DIR> d-a------ C:\WINDOWS\rundl132.dll
2007-09-21 18:55 <DIR> d-a------ C:\WINDOWS\logo1_.exe
2007-09-21 18:20 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-09-21 18:12 <DIR> dr-h----- C:\DOKUME~1\Dizzy\Anwendungsdaten
2007-09-21 18:12 <DIR> dr------- C:\DOKUME~1\Dizzy\Startmen�
2007-09-21 18:12 <DIR> d--h----- C:\DOKUME~1\Dizzy\Netzwerkumgebung
2007-09-21 18:12 <DIR> d--h----- C:\DOKUME~1\Dizzy\Lokale Einstellungen
2007-09-21 18:12 <DIR> d--h----- C:\DOKUME~1\Dizzy\Druckumgebung
2007-09-21 18:12 <DIR> d-------- C:\DOKUME~1\Dizzy\Vorlagen
2007-09-21 18:12 <DIR> d-------- C:\DOKUME~1\Dizzy\Favoriten
2007-09-21 18:10 <DIR> dr------- C:\DOKUME~1\ADMINI~1\Eigene Dateien
2007-09-21 18:07 <DIR> dr-h----- C:\DOKUME~1\ADMINI~1\Anwendungsdaten
2007-09-21 18:07 <DIR> dr------- C:\DOKUME~1\ADMINI~1\Startmen�
2007-09-21 18:07 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Netzwerkumgebung
2007-09-21 18:07 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Lokale Einstellungen
2007-09-21 18:07 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Druckumgebung
2007-09-21 18:07 <DIR> d-------- C:\DOKUME~1\ADMINI~1\Vorlagen
2007-09-21 18:07 <DIR> d-------- C:\DOKUME~1\ADMINI~1\Favoriten
2007-09-21 17:55 153,600 --a------ C:\WINDOWS\R.COM
2007-09-21 17:55 140,800 --a------ C:\WINDOWS\system32\T.COM
2007-09-21 17:50 <DIR> d-------- C:\!KillBox
2007-09-21 16:37 <DIR> d-------- C:\fsaua.data
2007-09-21 15:33 <DIR> d-------- C:\Programme\ClamWin
2007-09-21 15:33 <DIR> d-------- C:\DOKUME~1\Besitzer\ANWEND~1\.clamwin
2007-09-21 15:33 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\.clamwin
2007-09-21 15:15 <DIR> d-------- C:\DOKUME~1\Besitzer\DoctorWeb
2007-09-21 14:01 <DIR> d-------- C:\Programme\Gemeinsame Dateien\xing shared
2007-09-21 12:44 87,616 --a------ C:\WINDOWS\system32\yflyoikh.dll
2007-09-20 17:24 54,272 --a--c--- C:\WINDOWS\system32\dllcache\vfwwdm32.dll
2007-09-20 17:24 54,272 --a------ C:\WINDOWS\system32\vfwwdm32.dll
2007-09-20 17:16 528,917 --a------ C:\WINDOWS\system32\drivers\Ca533av.sys
2007-09-20 17:16 131,072 --a------ C:\WINDOWS\system32\SP5X_32.DLL
2007-09-17 23:02 <DIR> d-------- C:\Programme\Orig. Exes
2007-09-17 20:57 <DIR> d-------- C:\Programme\AV DVD Player Morpher
2007-09-17 20:21 <DIR> d-------- C:\Programme\Loki
2007-09-17 12:33 <DIR> d-------- C:\DOKUME~1\Besitzer\ANWEND~1\DivX
2007-09-13 20:14 <DIR> d-------- C:\Programme\TGTSoft
2007-09-13 20:04 <DIR> d-------- C:\WINDOWS\system32\LogFiles
2007-09-13 15:53 <DIR> d-------- C:\Programme\DivX
2007-09-13 13:34 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Lavasoft
2007-09-13 13:21 <DIR> d-------- C:\Programme\CCleaner
2007-09-13 13:18 <DIR> d-------- C:\Programme\RegCleaner
2007-09-13 12:34 <DIR> d-------- C:\DOKUME~1\Besitzer\ANWEND~1\TuneUp Software
2007-09-13 12:33 29,704 --a------ C:\WINDOWS\system32\uxtuneup.dll
2007-09-13 12:33 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\TuneUp Software
2007-09-13 12:32 <DIR> d-------- C:\Programme\TuneUp Utilities 2007
2007-09-13 11:32 <DIR> d-------- C:\WINDOWS\system32\oodag
2007-09-13 11:19 <DIR> d-------- C:\Programme\OO Software
2007-09-12 21:29 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\AVS4YOU
2007-09-12 21:28 974,848 --a------ C:\WINDOWS\system32\mfc70.dll
2007-09-12 21:28 487,424 --a------ C:\WINDOWS\system32\msvcp70.dll
2007-09-12 21:28 261,632 --a------ C:\WINDOWS\system32\mcdvd_32.dll
2007-09-12 21:28 24,576 --a------ C:\WINDOWS\system32\msxml3a.dll
2007-09-12 21:28 1,700,352 --a------ C:\WINDOWS\system32\GdiPlus.dll
2007-09-12 21:28 <DIR> d-------- C:\Programme\Gemeinsame Dateien\AVSMedia
2007-09-12 21:28 <DIR> d-------- C:\Programme\AVS4YOU
2007-09-12 17:39 <DIR> d-------- C:\DOKUME~1\Besitzer\ANWEND~1\Power Mixer
2007-09-12 15:50 8 --a------ C:\WINDOWS\system32\nvModes.dat
2007-09-12 15:49 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\nView_Profiles
2007-09-11 22:20 162,432 --a------ C:\WINDOWS\system32\drivers\ithsgt.sys
2007-09-11 22:20 12,032 --a------ C:\WINDOWS\system32\drivers\lilsgt.sys
2007-08-28 13:06 <DIR> d-------- C:\Programme\Tales of Pirates Online
2007-08-28 12:11 <DIR> d-------- C:\Programme\UnH Solutions

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-09-21 15:52 --------- d-------- C:\Programme\Mozilla Thunderbird
2007-09-21 15:34 --------- d-------- C:\DOKUME~1\Besitzer\ANWEND~1\.clamwin
2007-09-21 14:43 --------- d-------- C:\Programme\Gemeinsame Dateien\Symantec Shared
2007-09-21 14:43 --------- d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Symantec
2007-09-21 14:02 --------- d-------- C:\DOKUME~1\Besitzer\ANWEND~1\Real
2007-09-21 14:01 --------- d-------- C:\Programme\Gemeinsame Dateien\Real
2007-09-17 14:42 --------- d-------- C:\Programme\Warcraft III
2007-09-13 17:42 --------- d-------- C:\Programme\phonostar
2007-09-13 17:42 --------- d-------- C:\DOKUME~1\Besitzer\ANWEND~1\phonostar-Player
2007-09-13 13:34 --------- d-------- C:\Programme\Lavasoft
2007-09-13 13:32 --------- d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2007-09-13 11:14 --------- d--h----- C:\Programme\InstallShield Installation Information
2007-09-13 11:10 --------- d-------- C:\Programme\Azureus
2007-09-13 11:10 --------- d-------- C:\Programme\Atari
2007-09-13 10:55 --------- d-------- C:\DOKUME~1\Besitzer\ANWEND~1\OpenOffice.org2
2007-09-12 21:13 --------- d-------- C:\DOKUME~1\Besitzer\ANWEND~1\dvdcss
2007-09-12 19:31 --------- d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Creative
2007-09-12 19:30 86016 --a------ C:\WINDOWS\system32\OpenAL32.dll
2007-09-12 19:30 413696 --a------ C:\WINDOWS\system32\wrap_oal.dll
2007-09-12 19:30 --------- d-------- C:\DOKUME~1\Besitzer\ANWEND~1\Creative
2007-09-12 13:37 --------- d-------- C:\Programme\Maxon Cinema 4D 8.0
2007-09-12 11:06 98304 --a------ C:\WINDOWS\system32\CmdLineExt.dll
2007-08-21 02:26 81920 --a------ C:\WINDOWS\system32\dpl100.dll
2007-08-21 02:26 196608 --a------ C:\WINDOWS\system32\dtu100.dll
2007-08-17 10:42 --------- d-------- C:\Programme\Diablo II
2007-08-17 10:19 98456256 --a------ C:\NIS2007DE_1und1DE.EXE
2007-08-16 00:33 524288 --a------ C:\WINDOWS\system32\DivXsm.exe
2007-08-16 00:33 43528 --------- C:\WINDOWS\system32\drivers\PxHelp20.sys
2007-08-16 00:33 3596288 --a------ C:\WINDOWS\system32\qt-dx331.dll
2007-08-16 00:33 200704 --a------ C:\WINDOWS\system32\ssldivx.dll
2007-08-16 00:33 144704 --a------ C:\WINDOWS\system32\DivXCodecVersionChecker.exe
2007-08-16 00:33 129784 --------- C:\WINDOWS\system32\pxafs.dll
2007-08-16 00:33 120056 --------- C:\WINDOWS\system32\pxcpyi64.exe
2007-08-16 00:33 118520 --------- C:\WINDOWS\system32\pxinsi64.exe
2007-08-16 00:33 1044480 --a------ C:\WINDOWS\system32\libdivx.dll
2007-08-16 00:31 593920 --a------ C:\WINDOWS\system32\dpuGUI11.dll
2007-08-16 00:31 57344 --a------ C:\WINDOWS\system32\dpv11.dll
2007-08-16 00:31 53248 --a------ C:\WINDOWS\system32\dpuGUI10.dll
2007-08-16 00:31 344064 --a------ C:\WINDOWS\system32\dpus11.dll
2007-08-16 00:31 294912 --a------ C:\WINDOWS\system32\dpu11.dll
2007-08-16 00:31 294912 --a------ C:\WINDOWS\system32\dpu10.dll
2007-08-16 00:30 823296 --a------ C:\WINDOWS\system32\divx_xx0c.dll
2007-08-16 00:30 823296 --a------ C:\WINDOWS\system32\divx_xx07.dll
2007-08-16 00:30 802816 --a------ C:\WINDOWS\system32\divx_xx11.dll
2007-08-16 00:30 740442 --a------ C:\WINDOWS\system32\DivX.dll
2007-08-16 00:30 12288 --a------ C:\WINDOWS\system32\DivXWMPExtType.dll
2007-08-14 23:56 --------- d-------- C:\Programme\Hero Editor
2007-08-14 23:55 73216 --a------ C:\WINDOWS\ST6UNST.EXE
2007-08-14 23:55 249856 --------- C:\WINDOWS\Setup1.exe
2007-08-13 22:14 21840 --a------ C:\WINDOWS\system32\SIntfNT.dll
2007-08-13 22:14 17212 --a------ C:\WINDOWS\system32\SIntf32.dll
2007-08-13 22:14 12067 --a------ C:\WINDOWS\system32\SIntf16.dll
2007-08-13 21:19 102400 --a------ C:\WINDOWS\DIIUnin.exe
2007-08-13 16:42 --------- d-------- C:\Programme\Gothic III
2007-08-07 13:58 8320 --a------ C:\WINDOWS\system32\drivers\AWRTRD.sys
2007-08-07 13:56 9344 --a------ C:\WINDOWS\system32\drivers\NSDriver.sys
2007-07-30 19:19 92504 --a------ C:\WINDOWS\system32\cdm.dll
2007-07-30 19:19 549720 --a------ C:\WINDOWS\system32\wuapi.dll
2007-07-30 19:19 53080 --a------ C:\WINDOWS\system32\wuauclt.exe
2007-07-30 19:19 43352 --a------ C:\WINDOWS\system32\wups2.dll
2007-07-30 19:19 325976 --a------ C:\WINDOWS\system32\wucltui.dll
2007-07-30 19:19 203096 --a------ C:\WINDOWS\system32\wuweb.dll
2007-07-30 19:19 1712984 --a------ C:\WINDOWS\system32\wuaueng.dll
2007-07-30 19:18 33624 --a------ C:\WINDOWS\system32\wups.dll
2007-07-04 18:07 406888 --a------ C:\WINDOWS\system32\pr2agqwb.exe
2007-06-26 08:08 1104896 --a------ C:\WINDOWS\system32\msxml3.dll
2005-06-07 14:58 765952 --a------ C:\DOKUME~1\Besitzer\CRLDS3D.DLL
.

((((((((((((((((((((((((((((( snapshot_2007-09-21_182814.64 )))))))))))))))))))))))))))))))))))))))))
.
----a-w 75,512 2007-09-23 14:07:33 C:\WINDOWS\system32\perfc007.dat
----a-w 62,732 2007-09-23 14:07:33 C:\WINDOWS\system32\perfc009.dat
----a-w 416,478 2007-09-23 14:07:33 C:\WINDOWS\system32\perfh007.dat
----a-w 401,644 2007-09-23 14:07:33 C:\WINDOWS\system32\perfh009.dat
.
----a-w 75,512 2007-09-21 13:36:43 C:\WINDOWS\system32\perfc007.dat
----a-w 62,732 2007-09-21 13:36:43 C:\WINDOWS\system32\perfc009.dat
----a-w 416,478 2007-09-21 13:36:43 C:\WINDOWS\system32\perfh007.dat
----a-w 401,644 2007-09-21 13:36:43 C:\WINDOWS\system32\perfh009.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.

*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"amd_dc_opt"="C:\Programme\AMD\amd_dc_opt\amd_dc_opt.exe" [2006-06-28 15:42]
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2005-07-22 23:25 C:\WINDOWS\KHALMNPR.Exe]
"ISUSPM Startup"="C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe" [2004-06-16 06:03]
"ISUSScheduler"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2004-06-16 06:03]
"AVMWlanClient"="C:\Programme\avmwlanstick\FRITZWLANMini.exe" [2006-04-20 15:47]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-04-19 13:26]
"nwiz"="nwiz.exe" [2007-04-19 13:26 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-04-19 13:26]
"CTHelper"="CTHELPER.EXE" [2006-08-17 11:32 C:\WINDOWS\CTHELPER.EXE]
"CTxfiHlp"="CTXFIHLP.EXE" [2006-08-17 11:32 C:\WINDOWS\system32\CTXFIHLP.EXE]
"AAWTray"="C:\Programme\Lavasoft\Ad-Aware 2007\AAWTray.exe" [2007-08-08 15:53]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-09-21 14:00]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 04:00]
"ClamWin"="C:\Programme\ClamWin\bin\ClamTray.exe" [2007-08-21 21:05]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Creative Detector"="C:\Programme\Creative\MediaSource\Detector\CTDetect.exe" [2004-12-02 18:23]
"DAEMON Tools"="C:\Programme\DAEMON Tools\daemon.exe" [2006-11-12 12:48]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00]

C:\DOKUME~1\ALLUSE~1\STARTM~1\PROGRA~1\AUTOST~1\
Logitech SetPoint.lnk - C:\Programme\Logitech\SetPoint\SetPoint.exe [2006-09-11 14:55:26]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WBSrv]
C:\PROGRA~1\Stardock\OBJECT~1\WINDOW~1\wbsrv.dll 2005-12-06 21:16 176128 C:\PROGRA~1\Stardock\OBJECT~1\WINDOW~1\WbSrv.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"appinit_dlls"=wbsys.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
"C:\Programme\iTunes\iTunesHelper.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NVIDIA nTune]
"C:\Programme\NVIDIA Corporation\nTune\nTuneCmd.exe" clear

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
C:\Programme\Valve\Steam\\Steam.exe -silent

R0 pe3agqwb;Loki Environment Driver (pe3agqwb);C:\WINDOWS\system32\drivers\pe3agqwb.sys
R0 pe3agqwc;Loki Environment Driver (pe3agqwc);C:\WINDOWS\system32\drivers\pe3agqwc.sys
R0 ps6agqwb;Loki Synchronization Driver (ps6agqwb);C:\WINDOWS\system32\drivers\ps6agqwb.sys
R0 ps6agqwc;Loki Synchronization Driver (ps6agqwc);C:\WINDOWS\system32\drivers\ps6agqwc.sys
R2 ithsgt;ithsgt;C:\WINDOWS\system32\DRIVERS\ithsgt.sys
R2 lilsgt;lilsgt;C:\WINDOWS\system32\DRIVERS\lilsgt.sys
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe -k netsvcs
R3 AmdTools;AMD Special Tools Driver;C:\WINDOWS\system32\DRIVERS\AmdTools.sys
R3 FWLANUSB;AVM FRITZ!WLAN;C:\WINDOWS\system32\DRIVERS\fwlanusb.sys
R3 ha20x2k;Creative 20X HAL Driver;C:\WINDOWS\system32\drivers\ha20x2k.sys
S2 pr2agqwb;Loki Drivers Auto Removal (pr2agqwb);C:\WINDOWS\system32\pr2agqwb.exe svc
S2 pr2agqwc;Loki Drivers Auto Removal (pr2agqwc);C:\WINDOWS\system32\pr2agqwc.exe svc
S3 Ca533av;Digital Camera, WDM Video Capture;C:\WINDOWS\system32\Drivers\Ca533av.sys
S3 NPF;NetGroup Packet Filter Driver;C:\WINDOWS\system32\drivers\npf.sys
S3 NVR0Dev;NVR0Dev;\??\C:\WINDOWS\nvoclock.sys
S3 PCASp50;PCASp50 NDIS Protocol Driver;C:\WINDOWS\system32\Drivers\PCASp50.sys
S3 RushTopDevice;RushTopDevice;\??\C:\Programme\MSI\Core Center\RushTop.sys
S3 SetupNTGLM7X;SetupNTGLM7X;\??\D:\NTGLM7X.sys
S4 Win2k3NodeDisabler;Win2k3NodeDisabler;C:\Downloads\www.x-eeme.dl.am_GT.Legends.SFCure.DVD-iTWINS\Neuer Ordner\Win2k3NodeDisabler.exe

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{072466df-fc92-11db-9d27-00040ecc8efb}]
AutoRun\command- G:\setupSNK.exe

.
Inhalt des "geplante Tasks" Ordners
"2007-09-21 16:05:57 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe
"2007-08-18 07:41:06 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-09-23 16:08:20
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2007-09-23 16:08:44
C:\ComboFix-quarantined-files.txt ... 2007-09-23 16:08
C:\ComboFix2.txt ... 2007-09-21 18:28
.
--- E O F ---



Hijacker Log:

Logfile of HijackThis v1.99.1
Scan saved at 15:53:55, on 23.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\avmwlanstick\FRITZWLANMini.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\CTHELPER.EXE
C:\WINDOWS\system32\CTXFIHLP.EXE
C:\Programme\Lavasoft\Ad-Aware 2007\AAWTray.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\Programme\ClamWin\bin\ClamTray.exe
C:\Programme\Creative\MediaSource\Detector\CTDetect.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
C:\Programme\Rainlendar\Rainlendar.exe
C:\WINDOWS\SYSTEM32\CTXFISPI.EXE
C:\Dokumente und Einstellungen\Besitzer\Desktop\Neuer Ordner\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O4 - HKLM\..\Run: [amd_dc_opt] "C:\Programme\AMD\amd_dc_opt\amd_dc_opt.exe"
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\FRITZWLANMini.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [AAWTray] C:\Programme\Lavasoft\Ad-Aware 2007\AAWTray.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [ClamWin] "C:\Programme\ClamWin\bin\ClamTray.exe" --logon
O4 - HKCU\..\Run: [Creative Detector] C:\Programme\Creative\MediaSource\Detector\CTDetect.exe /R
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Rainlendar.lnk = C:\Programme\Rainlendar\Rainlendar.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: Download Using &BitSpirit - C:\Programme\BitSpirit\bsurl.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {A4069847-C342-48E2-9257-01A24E5C78EA} (F-Secure Online Scanner 3.2) - http://support.f-secure.com/ols3beta/fscax.cab
O20 - Winlogon Notify: WBSrv - C:\PROGRA~1\Stardock\OBJECT~1\WINDOW~1\wbsrv.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Paaspet - NVIDIA Corporation - C:\WINDOWS\system32\drivers\nvsnpu.sys
O23 - Service: PACSPTISVR - Unknown owner - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Loki Drivers Auto Removal (pr2agqwb) (pr2agqwb) - Cyanide - C:\WINDOWS\system32\pr2agqwb.exe
O23 - Service: Loki Drivers Auto Removal (pr2agqwc) (pr2agqwc) - Cyanide - C:\WINDOWS\system32\pr2agqwc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: Win2k3NodeDisabler - Unknown owner - C:\Downloads\www.x-eeme.dl.am_GT.Legends.SFCure.DVD-iTWINS\Neuer Ordner\Win2k3NodeDisabler.exe (file missing)

RVAXO- LOG:


----------------RemoveVideoActiveXObject.exe first run-------------

Files found:

C:\WINDOWS\system32\bccdd.ini2
C:\WINDOWS\system32\bccdd.bak1
C:\WINDOWS\system32\bccdd.bak2
C:\WINDOWS\system32\taskmgr.com

Uninstallers Rogue scanners:


Folders Found:


Hosts-file was reset, If you use a custom hosts file please replace it...

--------------RemoveVideoActiveXObject.exe last run---------------

Files found:


Uninstallers Rogue scanners:


Folders Found:

#9 Entferne auf C:\
Qoobox
RVAXO-results.log
!KillBox
Papierkorb leeren

Download VirtumundoBeGone zum Desktop

Starte dein Recher in
abgesicherten Modus

Doppelklick auf VirtumundoBeGone.exe und folge den Hinweisen.
Erschrecke nicht wenn man ein blaues Bildschirm mit eine Warnung bekommt
Das ist normal
Wenn der Fix fertig ist,starte dein Rechner neu(reboot) nach normal Modus
Kopiere den Inhalt des Berichts “VBG.txt ” der jetzt auf dein Desktop steht in diesen Thread

Edit
Scanne mit Ewido Micro
Danach wähle “remove infections ”

Und nochmal ein DatFindbat log,die Infektion hat ja schon ende Juli angefangen
__________
MfG Argus

#10 VBG.TXT


[09/23/2007, 18:05:26] - VirtumundoBeGone v1.5 ( "C:\Dokumente und Einstellungen\Besitzer\Desktop\VirtumundoBeGone.exe" )
[09/23/2007, 18:05:32] - Detected System Information:
[09/23/2007, 18:05:32] - Windows Version: 5.1.2600, Service Pack 2
[09/23/2007, 18:05:32] - Current Username: Besitzer (Admin)
[09/23/2007, 18:05:32] - Windows is in SAFE mode with Networking.
[09/23/2007, 18:05:32] - Searching for Browser Helper Objects:
[09/23/2007, 18:05:32] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Adobe PDF Reader Link Helper)
[09/23/2007, 18:05:32] - BHO 2: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[09/23/2007, 18:05:32] - Finished Searching Browser Helper Objects
[09/23/2007, 18:05:32] - Finishing up...
[09/23/2007, 18:05:32] - Nothing found! Exiting...


ewido scant gerade noch.

edit: kann sein, das sie Juli begann, hat sich aber erst vor kurzem bemerkbar gemacht, naja....und ich hab ja auch den Fehler gemacht, Norton zu benutzen, weil der fand nichts dergleichen.

Edit: Datfind.bat LOG NACH ewido-scan:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 64D2-00FC

Verzeichnis von C:\WINDOWS\system32

23.09.2007 18:11 416.478 perfh007.dat
23.09.2007 18:11 401.644 perfh009.dat
23.09.2007 18:11 75.512 perfc007.dat
23.09.2007 18:11 62.732 perfc009.dat
23.09.2007 18:11 967.998 PerfStringBackup.INI
23.09.2007 18:07 88.723 nvapps.xml
23.09.2007 18:07 2.422 wpa.dbl
23.09.2007 18:07 35.861 oodbs.lor
23.09.2007 18:03 64.900 DVCState-{00000001-00000000-00000007-00001102-00000005-00211102}.rfx
23.09.2007 18:03 1.080 settings.sfm
23.09.2007 18:03 1.080 settingsbkup.sfm
23.09.2007 18:03 54.332 BMXState-{00000001-00000000-00000007-00001102-00000005-00211102}.rfx
23.09.2007 18:03 54.332 BMXStateBkp-{00000001-00000000-00000007-00001102-00000005-00211102}.rfx
23.09.2007 15:57 45.303 RemoveVideoActiveXObject.reg
21.09.2007 16:31 693.679 kxhlhgbi.ini
21.09.2007 15:33 75.328 XAUTXHVS.0XE
21.09.2007 15:33 693.592 bjnuaiqw.ini
21.09.2007 15:27 5.214 jupdate-1.6.0_02-b06.log
21.09.2007 14:37 693.472 jyitsuwu.ini
21.09.2007 14:01 185.688 rmoc3260.dll
21.09.2007 14:00 5.632 pndx5032.dll
21.09.2007 14:00 6.656 pndx5016.dll
21.09.2007 14:00 278.528 pncrt.dll
21.09.2007 12:47 693.767 hkioylfy.ini
21.09.2007 12:44 87.616 yflyoikh.dll
21.09.2007 12:42 693.698 vofqrupe.ini
21.09.2007 08:26 693.578 pnsbdafc.ini
21.09.2007 08:05 693.458 ffuuqtee.ini
21.09.2007 02:49 693.716 gyqlkwjp.ini
20.09.2007 02:46 693.665 mbcrgrrs.ini
19.09.2007 17:36 693.536 lrximimm.ini
19.09.2007 09:02 693.905 nqybnuwh.ini
18.09.2007 10:12 693.785 jmcxueiq.ini
17.09.2007 10:12 693.596 vmhhqupr.ini
13.09.2007 20:42 8 nvModes.dat
13.09.2007 10:53 1.406.080 FNTCACHE.DAT
12.09.2007 19:30 413.696 wrap_oal.dll
12.09.2007 19:30 86.016 OpenAL32.dll
12.09.2007 11:06 98.304 CmdLineExt.dll
12.09.2007 03:00 249.852 TZLog.log
05.09.2007 19:50 17.474.680 MRT.exe
21.08.2007 02:26 416 dtu100.dll.manifest
21.08.2007 02:26 81.920 dpl100.dll
21.08.2007 02:26 416 dpl100.dll.manifest
21.08.2007 02:26 196.608 dtu100.dll
17.08.2007 20:13 57.784 bccdd.ini
17.08.2007 10:49 12.230 bccdd.tmp
17.08.2007 10:11 2.893.169 rnvftgxi.ini
16.08.2007 00:33 144.704 DivXCodecVersionChecker.exe
16.08.2007 00:33 4.816 divxsm.tlb
16.08.2007 00:33 10.152 dsm_de.qm
16.08.2007 00:33 524.288 DivXsm.exe
16.08.2007 00:33 3.596.288 qt-dx331.dll
16.08.2007 00:33 187.128 pxmas.dll
16.08.2007 00:33 379.640 pxwave.dll
16.08.2007 00:33 72.440 pxhpinst.exe
16.08.2007 00:33 120.056 pxcpyi64.exe
16.08.2007 00:33 64.760 pxinsa64.exe
16.08.2007 00:33 518.904 pxdrv.dll
16.08.2007 00:33 66.296 pxcpya64.exe
16.08.2007 00:33 129.784 pxafs.dll
16.08.2007 00:33 1.628.920 pxsfs.dll
16.08.2007 00:33 118.520 pxinsi64.exe
16.08.2007 00:33 88.824 vxblock.dll
16.08.2007 00:33 551.672 px.dll
16.08.2007 00:33 1.044.480 libdivx.dll
16.08.2007 00:33 200.704 ssldivx.dll
16.08.2007 00:31 344.064 dpus11.dll
16.08.2007 00:31 53.248 dpuGUI10.dll
16.08.2007 00:31 294.912 dpu11.dll
16.08.2007 00:31 294.912 dpu10.dll
16.08.2007 00:31 57.344 dpv11.dll
16.08.2007 00:31 593.920 dpuGUI11.dll
16.08.2007 00:30 802.816 divx_xx11.dll
16.08.2007 00:30 823.296 divx_xx0c.dll
16.08.2007 00:30 740.442 DivX.dll
16.08.2007 00:30 823.296 divx_xx07.dll
16.08.2007 00:30 638.976 divxdec.ax
16.08.2007 00:30 352.401 DivXMedia.ax
16.08.2007 00:30 12.288 DivXWMPExtType.dll
16.08.2007 00:30 3.136 dtu_de.qm
16.08.2007 00:30 8.523 dpude.qm
14.08.2007 18:50 2.646.860 rdvwjnso.ini
14.08.2007 10:03 2.666.941 euertlcw.ini
13.08.2007 22:14 21.840 SIntfNT.dll
13.08.2007 22:14 17.212 SIntf32.dll
13.08.2007 22:14 12.067 SIntf16.dll
13.08.2007 09:34 1.639.069 dehdgkji.ini
12.08.2007 09:28 423.924 dpqstykt.ini
11.08.2007 20:01 340.411 dqgviqck.ini
05.08.2007 20:37 389.689 jfshuovn.ini
01.08.2007 10:45 94.731 vmdmikpa.ini
31.07.2007 10:45 74.995 thgyducb.ini
31.07.2007 10:33 926 aurktgdp.ini
30.07.2007 19:20 30.040 wuaucpl.cpl.mui
30.07.2007 19:20 30.040 wuapi.dll.mui
30.07.2007 19:19 1.712.984 wuaueng.dll
30.07.2007 19:19 549.720 wuapi.dll
30.07.2007 19:19 325.976 wucltui.dll
30.07.2007 19:19 216.408 wuaucpl.cpl
30.07.2007 19:19 203.096 wuweb.dll
30.07.2007 19:19 92.504 cdm.dll
30.07.2007 19:19 53.080 wuauclt.exe
30.07.2007 19:19 43.352 wups2.dll
30.07.2007 19:18 34.136 wucltui.dll.mui
30.07.2007 19:18 33.624 wups.dll
30.07.2007 19:18 20.824 wuaueng.dll.mui
30.07.2007 02:49 806 mdubuibn.ini
29.07.2007 02:44 1.248.346 sxibqjyh.ini
27.07.2007 22:09 1.248.286 ercioyfc.ini
22.07.2007 18:39 279.552 swreg.exe
18.07.2007 14:42 60.416 tzchange.exe
12.07.2007 02:22 139.264 javaws.exe
12.07.2007 02:22 69.632 javacpl.cpl
12.07.2007 01:22 135.168 javaw.exe
12.07.2007 01:22 135.168 java.exe
04.07.2007 18:07 406.888 pr2agqwb.exe

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 64D2-00FC

Verzeichnis von C:\WINDOWS\temp

23.09.2007 18:07 409 WGANotify.settings
23.09.2007 18:07 255 WGAErrLog.txt
23.09.2007 18:07 671.744 ~DF5108.tmp
3 Datei(en) 672.408 Bytes
0 Verzeichnis(se), 10.105.647.104 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 64D2-00FC

Verzeichnis von C:\WINDOWS\Downloaded Program Files

21.09.2007 16:43 120.938 daas.log
28.08.2007 16:28 286.720 fscax.dll
28.08.2007 16:26 500.120 daas_s.dll
28.08.2007 16:26 496 fscax.inf
28.08.2007 16:26 541 ca.pub
28.08.2007 16:26 290.816 auc_lib.dll

11 Datei(en) 1.749.549 Bytes
0 Verzeichnis(se), 10.105.647.104 Bytes frei

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 64D2-00FC

Verzeichnis von C:\WINDOWS

23.09.2007 18:07 0 0.log
23.09.2007 18:07 1.431.853 WindowsUpdate.log
23.09.2007 18:07 159 wiadebug.log
23.09.2007 18:07 50 wiaservc.log
23.09.2007 18:07 2.048 bootstat.dat
23.09.2007 18:06 646.240 ntbtlog.txt
23.09.2007 18:03 32.544 SchedLgU.Txt
21.09.2007 18:50 26 Lic.xxx
21.09.2007 17:45 13.519.856 olsdbg.log
21.09.2007 16:37 47.914 setupapi.log
21.09.2007 13:34 49 NeroDigital.ini
21.09.2007 12:16 0 Cover.INI
21.09.2007 12:16 29 AVFTP.INI
20.09.2007 17:24 0 Sti_Trace.log
17.09.2007 22:54 0 avvcnvrt.INI
17.09.2007 22:54 0 VDVD.INI
17.09.2007 22:54 0 VMorpher.INI
17.09.2007 20:34 79.744 DirectX.log
14.09.2007 09:14 155 WB.ini
13.09.2007 17:46 0 oodcnt.INI
12.09.2007 19:29 96 Kyor.ini
14.08.2007 23:55 249.856 Setup1.exe
14.08.2007 23:55 73.216 ST6UNST.EXE
13.08.2007 22:15 33.408 DIIUnin.dat
13.08.2007 21:19 2.829 DIIUnin.pif
13.08.2007 21:19 102.400 DIIUnin.exe

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 64D2-00FC

Verzeichnis von C:\WINDOWS\temp

23.09.2007 18:07 409 WGANotify.settings
23.09.2007 18:07 255 WGAErrLog.txt
23.09.2007 18:07 671.744 ~DF5108.tmp
3 Datei(en) 672.408 Bytes
0 Verzeichnis(se), 10.105.647.104 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 64D2-00FC

Verzeichnis von C:\WINDOWS\Downloaded Program Files

21.09.2007 16:43 120.938 daas.log
28.08.2007 16:28 286.720 fscax.dll
28.08.2007 16:26 500.120 daas_s.dll
28.08.2007 16:26 496 fscax.inf
28.08.2007 16:26 541 ca.pub
28.08.2007 16:26 290.816 auc_lib.dll

11 Datei(en) 1.749.549 Bytes
0 Verzeichnis(se), 10.105.647.104 Bytes frei
.

#11 1.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

file::
C:\WINDOWS\system32\kxhlhgbi.ini
C:\WINDOWS\system32\XAUTXHVS.0XE
C:\WINDOWS\system32\bjnuaiqw.ini
C:\WINDOWS\system32\jyitsuwu.ini
C:\WINDOWS\system32\hkioylfy.ini
C:\WINDOWS\system32\yflyoikh.dll
C:\WINDOWS\system32\vofqrupe.ini
C:\WINDOWS\system32\pnsbdafc.ini
C:\WINDOWS\system32\ffuuqtee.ini
C:\WINDOWS\system32\gyqlkwjp.ini
C:\WINDOWS\system32\mbcrgrrs.ini
C:\WINDOWS\system32\lrximimm.ini
C:\WINDOWS\system32\nqybnuwh.ini
C:\WINDOWS\system32\jmcxueiq.ini
C:\WINDOWS\system32\vmhhqupr.ini
C:\WINDOWS\system32\bccdd.ini
C:\WINDOWS\system32\bccdd.tmp
C:\WINDOWS\system32\rnvftgxi.ini
C:\WINDOWS\system32\rdvwjnso.ini
C:\WINDOWS\system32\euertlcw.ini
C:\WINDOWS\system32\dehdgkji.ini
C:\WINDOWS\system32\dpqstykt.ini
C:\WINDOWS\system32\dqgviqck.ini
C:\WINDOWS\system32\jfshuovn.ini
C:\WINDOWS\system32\vmdmikpa.ini
C:\WINDOWS\system32\thgyducb.ini
C:\WINDOWS\system32\aurktgdp.ini
C:\WINDOWS\system32\mdubuibn.ini
C:\WINDOWS\system32\sxibqjyh.ini
C:\WINDOWS\system32\ercioyfc.ini
C:\WINDOWS\system32\RemoveVideoActiveXObject.reg

2.
Sleppe diese Datei in ComboFix.exe(sehe Bild)
ComboFix wird jetzt starten und die Daten ausfuehren
Nach neustart des Rechners,poste das log von ComboFix


__________
MfG Argus

#12 Neues Combofix-Log:

ComboFix 07-09-20.1 - "Besitzer" 2007-09-23 20:16:27.3 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.1627 [GMT 2:00]
* Created a new restore point

FILE::
C:\WINDOWS\system32\kxhlhgbi.ini
C:\WINDOWS\system32\XAUTXHVS.0XE
C:\WINDOWS\system32\bjnuaiqw.ini
C:\WINDOWS\system32\jyitsuwu.ini
C:\WINDOWS\system32\hkioylfy.ini
C:\WINDOWS\system32\yflyoikh.dll
C:\WINDOWS\system32\vofqrupe.ini
C:\WINDOWS\system32\pnsbdafc.ini
C:\WINDOWS\system32\ffuuqtee.ini
C:\WINDOWS\system32\gyqlkwjp.ini
C:\WINDOWS\system32\mbcrgrrs.ini
C:\WINDOWS\system32\lrximimm.ini
C:\WINDOWS\system32\nqybnuwh.ini
C:\WINDOWS\system32\jmcxueiq.ini
C:\WINDOWS\system32\vmhhqupr.ini
C:\WINDOWS\system32\bccdd.ini
C:\WINDOWS\system32\bccdd.tmp
C:\WINDOWS\system32\rnvftgxi.ini
C:\WINDOWS\system32\rdvwjnso.ini
C:\WINDOWS\system32\euertlcw.ini
C:\WINDOWS\system32\dehdgkji.ini
C:\WINDOWS\system32\dpqstykt.ini
C:\WINDOWS\system32\dqgviqck.ini
C:\WINDOWS\system32\jfshuovn.ini
C:\WINDOWS\system32\vmdmikpa.ini
C:\WINDOWS\system32\thgyducb.ini
C:\WINDOWS\system32\aurktgdp.ini
C:\WINDOWS\system32\mdubuibn.ini
C:\WINDOWS\system32\sxibqjyh.ini
C:\WINDOWS\system32\ercioyfc.ini
C:\WINDOWS\system32\RemoveVideoActiveXObject.reg
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\aurktgdp.ini
C:\WINDOWS\system32\bccdd.ini
C:\WINDOWS\system32\bccdd.tmp
C:\WINDOWS\system32\bjnuaiqw.ini
C:\WINDOWS\system32\dehdgkji.ini
C:\WINDOWS\system32\dpqstykt.ini
C:\WINDOWS\system32\dqgviqck.ini
C:\WINDOWS\system32\ercioyfc.ini
C:\WINDOWS\system32\euertlcw.ini
C:\WINDOWS\system32\ffuuqtee.ini
C:\WINDOWS\system32\gyqlkwjp.ini
C:\WINDOWS\system32\hkioylfy.ini
C:\WINDOWS\system32\jfshuovn.ini
C:\WINDOWS\system32\jmcxueiq.ini
C:\WINDOWS\system32\jyitsuwu.ini
C:\WINDOWS\system32\kxhlhgbi.ini
C:\WINDOWS\system32\lrximimm.ini
C:\WINDOWS\system32\mbcrgrrs.ini
C:\WINDOWS\system32\mdubuibn.ini
C:\WINDOWS\system32\nqybnuwh.ini
C:\WINDOWS\system32\pnsbdafc.ini
C:\WINDOWS\system32\rdvwjnso.ini
C:\WINDOWS\system32\RemoveVideoActiveXObject.reg
C:\WINDOWS\system32\rnvftgxi.ini
C:\WINDOWS\system32\sxibqjyh.ini
C:\WINDOWS\system32\thgyducb.ini
C:\WINDOWS\system32\vmdmikpa.ini
C:\WINDOWS\system32\vmhhqupr.ini
C:\WINDOWS\system32\vofqrupe.ini
C:\WINDOWS\system32\XAUTXHVS.0XE
C:\WINDOWS\system32\yflyoikh.dll

.
((((((((((((((((((((((( Dateien erstellt von 2007-08-23 bis 2007-09-23 ))))))))))))))))))))))))))))))
.

2007-09-23 15:57 <DIR> d-------- C:\WINDOWS\system32\RVAXO
2007-09-21 18:55 <DIR> d-a------ C:\WINDOWS\zts2.exe
2007-09-21 18:55 <DIR> d-a------ C:\WINDOWS\system32\vcmgcd32.dll
2007-09-21 18:55 <DIR> d-a------ C:\WINDOWS\system32\iifgfgf.dll
2007-09-21 18:55 <DIR> d-a------ C:\WINDOWS\rundll16.exe
2007-09-21 18:55 <DIR> d-a------ C:\WINDOWS\rundl132.dll
2007-09-21 18:55 <DIR> d-a------ C:\WINDOWS\logo1_.exe
2007-09-21 18:20 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-09-21 18:12 <DIR> dr-h----- C:\DOKUME~1\Dizzy\Anwendungsdaten
2007-09-21 18:12 <DIR> dr------- C:\DOKUME~1\Dizzy\Startmen�
2007-09-21 18:12 <DIR> d--h----- C:\DOKUME~1\Dizzy\Netzwerkumgebung
2007-09-21 18:12 <DIR> d--h----- C:\DOKUME~1\Dizzy\Lokale Einstellungen
2007-09-21 18:12 <DIR> d--h----- C:\DOKUME~1\Dizzy\Druckumgebung
2007-09-21 18:12 <DIR> d-------- C:\DOKUME~1\Dizzy\Vorlagen
2007-09-21 18:12 <DIR> d-------- C:\DOKUME~1\Dizzy\Favoriten
2007-09-21 18:10 <DIR> dr------- C:\DOKUME~1\ADMINI~1\Eigene Dateien
2007-09-21 18:07 <DIR> dr-h----- C:\DOKUME~1\ADMINI~1\Anwendungsdaten
2007-09-21 18:07 <DIR> dr------- C:\DOKUME~1\ADMINI~1\Startmen�
2007-09-21 18:07 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Netzwerkumgebung
2007-09-21 18:07 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Lokale Einstellungen
2007-09-21 18:07 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Druckumgebung
2007-09-21 18:07 <DIR> d-------- C:\DOKUME~1\ADMINI~1\Vorlagen
2007-09-21 18:07 <DIR> d-------- C:\DOKUME~1\ADMINI~1\Favoriten
2007-09-21 17:55 153,600 --a------ C:\WINDOWS\R.COM
2007-09-21 17:55 140,800 --a------ C:\WINDOWS\system32\T.COM
2007-09-21 16:37 <DIR> d-------- C:\fsaua.data
2007-09-21 15:33 <DIR> d-------- C:\Programme\ClamWin
2007-09-21 15:33 <DIR> d-------- C:\DOKUME~1\Besitzer\ANWEND~1\.clamwin
2007-09-21 15:33 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\.clamwin
2007-09-21 15:15 <DIR> d-------- C:\DOKUME~1\Besitzer\DoctorWeb
2007-09-21 14:01 <DIR> d-------- C:\Programme\Gemeinsame Dateien\xing shared
2007-09-20 17:24 54,272 --a--c--- C:\WINDOWS\system32\dllcache\vfwwdm32.dll
2007-09-20 17:24 54,272 --a------ C:\WINDOWS\system32\vfwwdm32.dll
2007-09-20 17:16 528,917 --a------ C:\WINDOWS\system32\drivers\Ca533av.sys
2007-09-20 17:16 131,072 --a------ C:\WINDOWS\system32\SP5X_32.DLL
2007-09-17 23:02 <DIR> d-------- C:\Programme\Orig. Exes
2007-09-17 20:57 <DIR> d-------- C:\Programme\AV DVD Player Morpher
2007-09-17 20:21 <DIR> d-------- C:\Programme\Loki
2007-09-17 12:33 <DIR> d-------- C:\DOKUME~1\Besitzer\ANWEND~1\DivX
2007-09-13 20:14 <DIR> d-------- C:\Programme\TGTSoft
2007-09-13 20:04 <DIR> d-------- C:\WINDOWS\system32\LogFiles
2007-09-13 15:53 <DIR> d-------- C:\Programme\DivX
2007-09-13 13:34 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Lavasoft
2007-09-13 13:21 <DIR> d-------- C:\Programme\CCleaner
2007-09-13 13:18 <DIR> d-------- C:\Programme\RegCleaner
2007-09-13 12:34 <DIR> d-------- C:\DOKUME~1\Besitzer\ANWEND~1\TuneUp Software
2007-09-13 12:33 29,704 --a------ C:\WINDOWS\system32\uxtuneup.dll
2007-09-13 12:33 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\TuneUp Software
2007-09-13 12:32 <DIR> d-------- C:\Programme\TuneUp Utilities 2007
2007-09-13 11:32 <DIR> d-------- C:\WINDOWS\system32\oodag
2007-09-13 11:19 <DIR> d-------- C:\Programme\OO Software
2007-09-12 21:29 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\AVS4YOU
2007-09-12 21:28 974,848 --a------ C:\WINDOWS\system32\mfc70.dll
2007-09-12 21:28 487,424 --a------ C:\WINDOWS\system32\msvcp70.dll
2007-09-12 21:28 261,632 --a------ C:\WINDOWS\system32\mcdvd_32.dll
2007-09-12 21:28 24,576 --a------ C:\WINDOWS\system32\msxml3a.dll
2007-09-12 21:28 1,700,352 --a------ C:\WINDOWS\system32\GdiPlus.dll
2007-09-12 21:28 <DIR> d-------- C:\Programme\Gemeinsame Dateien\AVSMedia
2007-09-12 21:28 <DIR> d-------- C:\Programme\AVS4YOU
2007-09-12 17:39 <DIR> d-------- C:\DOKUME~1\Besitzer\ANWEND~1\Power Mixer
2007-09-12 15:50 8 --a------ C:\WINDOWS\system32\nvModes.dat
2007-09-12 15:49 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\nView_Profiles
2007-09-11 22:20 162,432 --a------ C:\WINDOWS\system32\drivers\ithsgt.sys
2007-09-11 22:20 12,032 --a------ C:\WINDOWS\system32\drivers\lilsgt.sys
2007-08-28 13:06 <DIR> d-------- C:\Programme\Tales of Pirates Online
2007-08-28 12:11 <DIR> d-------- C:\Programme\UnH Solutions

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-09-23 18:31 --------- d-------- C:\Programme\Mozilla Thunderbird
2007-09-21 15:34 --------- d-------- C:\DOKUME~1\Besitzer\ANWEND~1\.clamwin
2007-09-21 14:43 --------- d-------- C:\Programme\Gemeinsame Dateien\Symantec Shared
2007-09-21 14:43 --------- d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Symantec
2007-09-21 14:02 --------- d-------- C:\DOKUME~1\Besitzer\ANWEND~1\Real
2007-09-21 14:01 --------- d-------- C:\Programme\Gemeinsame Dateien\Real
2007-09-17 14:42 --------- d-------- C:\Programme\Warcraft III
2007-09-13 17:42 --------- d-------- C:\Programme\phonostar
2007-09-13 17:42 --------- d-------- C:\DOKUME~1\Besitzer\ANWEND~1\phonostar-Player
2007-09-13 13:34 --------- d-------- C:\Programme\Lavasoft
2007-09-13 13:32 --------- d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2007-09-13 11:14 --------- d--h----- C:\Programme\InstallShield Installation Information
2007-09-13 11:10 --------- d-------- C:\Programme\Azureus
2007-09-13 11:10 --------- d-------- C:\Programme\Atari
2007-09-13 10:55 --------- d-------- C:\DOKUME~1\Besitzer\ANWEND~1\OpenOffice.org2
2007-09-12 21:13 --------- d-------- C:\DOKUME~1\Besitzer\ANWEND~1\dvdcss
2007-09-12 19:31 --------- d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Creative
2007-09-12 19:30 --------- d-------- C:\DOKUME~1\Besitzer\ANWEND~1\Creative
2007-09-12 13:37 --------- d-------- C:\Programme\Maxon Cinema 4D 8.0
2007-08-17 10:42 --------- d-------- C:\Programme\Diablo II
2007-08-17 10:19 98456256 --a------ C:\NIS2007DE_1und1DE.EXE
2007-08-16 00:33 43528 --------- C:\WINDOWS\system32\drivers\PxHelp20.sys
2007-08-14 23:56 --------- d-------- C:\Programme\Hero Editor
2007-08-14 23:55 73216 --a------ C:\WINDOWS\ST6UNST.EXE
2007-08-14 23:55 249856 --------- C:\WINDOWS\Setup1.exe
2007-08-13 21:19 102400 --a------ C:\WINDOWS\DIIUnin.exe
2007-08-13 16:42 --------- d-------- C:\Programme\Gothic III
2007-08-07 13:58 8320 --a------ C:\WINDOWS\system32\drivers\AWRTRD.sys
2007-08-07 13:56 9344 --a------ C:\WINDOWS\system32\drivers\NSDriver.sys
2005-06-07 14:58 765952 --a------ C:\DOKUME~1\Besitzer\CRLDS3D.DLL
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.

*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"amd_dc_opt"="C:\Programme\AMD\amd_dc_opt\amd_dc_opt.exe" [2006-06-28 15:42]
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2005-07-22 23:25 C:\WINDOWS\KHALMNPR.Exe]
"ISUSPM Startup"="C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe" [2004-06-16 06:03]
"ISUSScheduler"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2004-06-16 06:03]
"AVMWlanClient"="C:\Programme\avmwlanstick\FRITZWLANMini.exe" [2006-04-20 15:47]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-04-19 13:26]
"nwiz"="nwiz.exe" [2007-04-19 13:26 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-04-19 13:26]
"CTHelper"="CTHELPER.EXE" [2006-08-17 11:32 C:\WINDOWS\CTHELPER.EXE]
"CTxfiHlp"="CTXFIHLP.EXE" [2006-08-17 11:32 C:\WINDOWS\system32\CTXFIHLP.EXE]
"AAWTray"="C:\Programme\Lavasoft\Ad-Aware 2007\AAWTray.exe" [2007-08-08 15:53]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-09-21 14:00]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 04:00]
"ClamWin"="C:\Programme\ClamWin\bin\ClamTray.exe" [2007-08-21 21:05]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Creative Detector"="C:\Programme\Creative\MediaSource\Detector\CTDetect.exe" [2004-12-02 18:23]
"DAEMON Tools"="C:\Programme\DAEMON Tools\daemon.exe" [2006-11-12 12:48]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00]

C:\DOKUME~1\ALLUSE~1\STARTM~1\PROGRA~1\AUTOST~1\
Logitech SetPoint.lnk - C:\Programme\Logitech\SetPoint\SetPoint.exe [2006-09-11 14:55:26]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WBSrv]
C:\PROGRA~1\Stardock\OBJECT~1\WINDOW~1\wbsrv.dll 2005-12-06 21:16 176128 C:\PROGRA~1\Stardock\OBJECT~1\WINDOW~1\WbSrv.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"appinit_dlls"=wbsys.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
"C:\Programme\iTunes\iTunesHelper.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NVIDIA nTune]
"C:\Programme\NVIDIA Corporation\nTune\nTuneCmd.exe" clear

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
C:\Programme\Valve\Steam\\Steam.exe -silent

R0 pe3agqwb;Loki Environment Driver (pe3agqwb);C:\WINDOWS\system32\drivers\pe3agqwb.sys
R0 pe3agqwc;Loki Environment Driver (pe3agqwc);C:\WINDOWS\system32\drivers\pe3agqwc.sys
R0 ps6agqwb;Loki Synchronization Driver (ps6agqwb);C:\WINDOWS\system32\drivers\ps6agqwb.sys
R0 ps6agqwc;Loki Synchronization Driver (ps6agqwc);C:\WINDOWS\system32\drivers\ps6agqwc.sys
R2 ithsgt;ithsgt;C:\WINDOWS\system32\DRIVERS\ithsgt.sys
R2 lilsgt;lilsgt;C:\WINDOWS\system32\DRIVERS\lilsgt.sys
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe -k netsvcs
R3 AmdTools;AMD Special Tools Driver;C:\WINDOWS\system32\DRIVERS\AmdTools.sys
R3 FWLANUSB;AVM FRITZ!WLAN;C:\WINDOWS\system32\DRIVERS\fwlanusb.sys
R3 ha20x2k;Creative 20X HAL Driver;C:\WINDOWS\system32\drivers\ha20x2k.sys
S2 pr2agqwb;Loki Drivers Auto Removal (pr2agqwb);C:\WINDOWS\system32\pr2agqwb.exe svc
S2 pr2agqwc;Loki Drivers Auto Removal (pr2agqwc);C:\WINDOWS\system32\pr2agqwc.exe svc
S3 Ca533av;Digital Camera, WDM Video Capture;C:\WINDOWS\system32\Drivers\Ca533av.sys
S3 NPF;NetGroup Packet Filter Driver;C:\WINDOWS\system32\drivers\npf.sys
S3 NVR0Dev;NVR0Dev;\??\C:\WINDOWS\nvoclock.sys
S3 PCASp50;PCASp50 NDIS Protocol Driver;C:\WINDOWS\system32\Drivers\PCASp50.sys
S3 RushTopDevice;RushTopDevice;\??\C:\Programme\MSI\Core Center\RushTop.sys
S3 SetupNTGLM7X;SetupNTGLM7X;\??\D:\NTGLM7X.sys


HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{072466df-fc92-11db-9d27-00040ecc8efb}]
AutoRun\command- G:\setupSNK.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{176c18f1-10ef-11db-beb0-00161715e41b}]
AutoRun\command- E:\autoplay.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4712b3f2-40a1-11d8-9196-00161715e41b}]
AutoRun\command- K:\Autorun.exe

.
Inhalt des "geplante Tasks" Ordners
"2007-09-21 16:05:57 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe
"2007-08-18 07:41:06 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-09-23 20:19:18
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2007-09-23 20:20:05 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 2007-09-23 20:19
C:\ComboFix2.txt ... 2007-09-23 16:08
C:\ComboFix3.txt ... 2007-09-21 18:28
.
--- E O F ---

Edit: hoffe mal, das jetzt nicht mehr sooo viel im Argen ist

#13 Entferne auf C:\Qoobox--->Papierkorb leeren

Download ATF-cleaner

Schliesse alle Fenster um das Tool seine Arbeit gut tun zu lassen!

Doppelklick auf ATF cleaner um das Program zu starten.
Auf tab "Main",Select All anhaaken
Klicke den knopf Empty Selected.

Wenn man FireFox als browser hat:
Klicke auf tab "Firefox",Select All anhaaken
Wilst du die durch Firefox aufgehobene passwörter behalten
Dann klick im Fenster was erscheint auf "No".
Klicke den knopf Empty Selected.

Wenn man Opera als browser hat:
Klicke auf tab "Opera" Select All anhaaken
Wilst du die durch Opera aufgehobene passwörter behalten
Dann klick im Fenster was erscheint auf "No".
Klicke den knopf Empty Selected.

Geh zum tab “Main”und klicke Exit um das Program zu schliessen

Onlinescanner Bitdefender

Systemwiederherstellung
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
Neu Starten
Dann wieder aktivieren (Häkchen entfernen)
__________
MfG Argus

#14 So, alles wie oben beschrieben erledigt....es wurden noch 8 Viren gefunden...

kann ich jetzt wieder beruhigt einschlafen, oder fehlt noch etwas....

#15 Guten Morgen Oro
Wenn du weiter scannen willst hab noch ein 4 in 1 Virenscanner(Anhang)

Wenn Multi-AV installiert ist,steht auf C:\AV-CLS klicke und auf der rechte Seite steht "Start Menu"mach damit eine verknuepfung zum Desktop
http://www.virus-protect.org/multiavtool.html


__________
MfG Argus