Trojaner TR/Spy.Agent.42496

#1 Hallo zusammen,

Anti Vir Scan hat bei mir den Trojaner "TR/Spy.Agent.42496" angezeigt.

zur weiteren Information vielleicht das Logfile von Hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 16:22:30, on 12.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Winamp\Winampa.exe
C:\Programme\Mindjet\MindManager 6\MMReminderService.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\Rainlendar\Rainlendar.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: CmjBrowserHelperObject Object - {AC41D38F-B56D-40AD-94E0-B493D130C959} - C:\Programme\Mindjet\MindManager 6\Mm6InternetExplorer.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [MMReminderService] C:\Programme\Mindjet\MindManager 6\MMReminderService.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Rainlendar.lnk = C:\Programme\Rainlendar\Rainlendar.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\vpngui.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Send to Mindjet MindManager - {531B9DC0-D8EE-4c76-A6EE-6C1E50569655} - C:\Programme\Mindjet\MindManager 6\Mm6InternetExplorer.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - F:\MICROS~1\OFFICE11\REFIEBAR.DLL (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1158317869132
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

nun zu meiner Frage:
ist mein System noch zu bereinigen oder muss ich es neu aufsetzen?

um Hilfe wäre ich sehr dankbar

-------------
viele Grüße - David

#2 Hi,

schwere Verseuchung (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe)

Bitte sofort folgendes abarbeiten:
http://board.protecus.de/t23188.htm
- CleanUp (temporaeren Dateien loeschen)
- Combofix
- Logfiles mittels datfind.bat (alle Files, nur die letzten 3-6 Monate posten)
- Erstellen eines Hijackthis-Logfiles ((http://sicher-ins-netz.info/analyse/hjt.html)

Alles genau posten, ComboFix solle das Meiste erwischen...
chris

#3 vielen Dank für die superschnelle Antwort! ich hoffe ich hab alles richtig gemacht, hier die berichte:

combofix:

ComboFix 07-10-12.4 - David 2007-10-12 16:57:41.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.707 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\David\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((( Dateien erstellt von 2007-09-12 bis 2007-10-12 ))))))))))))))))))))))))))))))
.

2007-10-12 16:56 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-10-12 11:55 <DIR> d-------- C:\Microsoft Office
2007-10-12 10:49 <DIR> d-------- C:\Dokumente und Einstellungen\David\Anwendungsdaten\DeepBurner
2007-10-12 10:48 <DIR> d-------- C:\Programme\Astonsoft
2007-10-09 23:16 <DIR> d-------- C:\Programme\Dillobits Software
2007-10-09 19:31 584,192 -----c--- C:\WINDOWS\system32\dllcache\rpcrt4.dll
2007-09-30 18:48 24,816 --a------ C:\WINDOWS\system32\mdimon.dll
2007-09-30 18:47 <DIR> d-------- C:\Programme\Microsoft.NET
2007-09-30 18:46 <DIR> d-------- C:\WINDOWS\SHELLNEW
2007-09-22 08:15 303,735 --a------ C:\WINDOWS\system32\drivers\CVPNDRVA.sys
2007-09-22 08:15 197,672 --a------ C:\WINDOWS\system32\vpnapi.dll
2007-09-22 08:15 5,315 --a------ C:\WINDOWS\system32\drivers\CVirtA.sys
2007-09-22 08:14 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Deterministic Networks

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-10-12 08:43 --------- d-----w C:\Programme\Ahead
2007-10-11 10:26 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-10-11 10:26 --------- d-----w C:\Programme\ElsterFormular
2007-10-09 21:03 --------- d-----w C:\Programme\Winamp
2007-09-30 16:45 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2007-08-21 08:34 --------- d-----w C:\Programme\DivX
2007-08-21 08:21 --------- d-----w C:\Dokumente und Einstellungen\David\Anwendungsdaten\DivX
2007-08-21 08:19 --------- d-----w C:\Programme\Multidecoder_W98_1.0.0.30
2007-08-21 08:18 321,409 ----a-w C:\Programme\Multidecoder_W98_1.0.0.30.zip
2007-08-21 06:16 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll
2007-08-20 18:56 --------- d-----w C:\Dokumente und Einstellungen\David\Anwendungsdaten\LimeWire
2007-08-20 09:48 --------- d-----w C:\Dokumente und Einstellungen\David\Anwendungsdaten\PersBackup
2007-08-20 09:47 --------- d-----w C:\Programme\Personal Backup 3
2007-08-20 09:45 4,713,984 ----a-w C:\Programme\persback33.msi
2007-08-20 09:34 --------- d-----w C:\Programme\CD-Backup
2007-08-19 13:00 --------- d-----w C:\Programme\PPLive
2007-08-19 12:59 --------- d-----w C:\Programme\PPStream
2007-08-19 12:59 --------- d-----w C:\Dokumente und Einstellungen\David\Anwendungsdaten\ppstream
2007-08-16 17:03 --------- d-----w C:\Programme\Java
2007-07-30 17:19 92,504 ----a-w C:\WINDOWS\system32\cdm.dll
2007-07-30 17:19 549,720 ----a-w C:\WINDOWS\system32\wuapi.dll
2007-07-30 17:19 53,080 ----a-w C:\WINDOWS\system32\wuauclt.exe
2007-07-30 17:19 43,352 ----a-w C:\WINDOWS\system32\wups2.dll
2007-07-30 17:19 325,976 ----a-w C:\WINDOWS\system32\wucltui.dll
2007-07-30 17:19 203,096 ----a-w C:\WINDOWS\system32\wuweb.dll
2007-07-30 17:19 1,712,984 ----a-w C:\WINDOWS\system32\wuaueng.dll
2007-07-30 17:18 33,624 ----a-w C:\WINDOWS\system32\wups.dll
2007-07-26 23:06 524,288 ----a-w C:\WINDOWS\system32\DivXsm.exe
2007-07-26 23:06 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll
2007-07-26 23:06 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
2007-07-26 23:06 144,704 ----a-w C:\WINDOWS\system32\DivXCodecVersionChecker.exe
2007-07-26 23:06 129,784 ------w C:\WINDOWS\system32\pxafs.dll
2007-07-26 23:06 120,056 ------w C:\WINDOWS\system32\pxcpyi64.exe
2007-07-26 23:06 118,520 ------w C:\WINDOWS\system32\pxinsi64.exe
2007-07-26 23:06 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
2007-07-26 23:03 823,296 ----a-w C:\WINDOWS\system32\divx_xx0c.dll
2007-07-26 23:03 823,296 ----a-w C:\WINDOWS\system32\divx_xx07.dll
2007-07-26 23:03 81,920 ----a-w C:\WINDOWS\system32\dpl100.dll
2007-07-26 23:03 802,816 ----a-w C:\WINDOWS\system32\divx_xx11.dll
2007-07-26 23:03 740,442 ----a-w C:\WINDOWS\system32\DivX.dll
2007-07-26 23:03 593,920 ----a-w C:\WINDOWS\system32\dpuGUI11.dll
2007-07-26 23:03 57,344 ----a-w C:\WINDOWS\system32\dpv11.dll
2007-07-26 23:03 53,248 ----a-w C:\WINDOWS\system32\dpuGUI10.dll
2007-07-26 23:03 344,064 ----a-w C:\WINDOWS\system32\dpus11.dll
2007-07-26 23:03 294,912 ----a-w C:\WINDOWS\system32\dpu11.dll
2007-07-26 23:03 294,912 ----a-w C:\WINDOWS\system32\dpu10.dll
2007-07-26 23:03 196,608 ----a-w C:\WINDOWS\system32\dtu100.dll
2007-07-26 23:03 12,288 ----a-w C:\WINDOWS\system32\DivXWMPExtType.dll
2007-05-25 10:38 724,872 ----a-w C:\Programme\WindowsXP-KB935448-x86-DEU.exe
2007-05-25 10:34 567,688 ----a-w C:\Programme\WindowsXP-KB931261-x86-DEU.exe
2007-05-25 10:33 583,560 ----a-w C:\Programme\WindowsXP-KB932168-x86-DEU.exe
2007-05-25 10:32 641,416 ----a-w C:\Programme\WindowsXP-KB930178-x86-DEU.exe
2007-05-25 10:20 2,304,904 ----a-w C:\Programme\WindowsXP-KB931784-x86-DEU.exe
2007-05-25 10:13 1,830,792 ----a-w C:\Programme\WindowsXP-KB925902-x86-DEU.exe
2007-05-25 10:05 17,008,184 ----a-w C:\Programme\ElsterFormular2005-Setup.exe
2007-05-08 13:42 86 ----a-w C:\Programme\lang.ini
2007-05-08 13:36 21,822,168 ----a-w C:\Programme\AdbeRdr80_en_US.exe
2007-05-08 13:35 7,050,552 ----a-w C:\Programme\psa30se_en_us.exe
2007-05-08 13:26 13,256,032 ----a-w C:\Programme\PDFCreator-0_9_3_GPLGhostscript.exe
2007-05-08 13:22 845,824 ----a-w C:\Programme\FreePDFXP3.07.EXE
2007-05-04 16:07 3,098,056 ----a-w C:\Programme\LimeWireWin-full1211.exe
2007-05-04 16:03 441 ----a-w C:\Programme\regfav.ini
2007-05-04 16:03 21 ----a-w C:\Programme\history.txt
2007-05-04 15:45 86 ----a-w C:\Programme\autoclean.ini
2007-05-04 15:43 511,293 ----a-w C:\Programme\RegSeeker152.exe
2007-05-04 15:42 468,541 ----a-w C:\Programme\RegSeeker152.zip
2007-05-04 15:27 5,037,072 ----a-w C:\Programme\spybotsd14.exe
2007-04-17 20:58 5,029,962 ----a-w C:\Programme\blackline_1024_BLACKline2404_05.zip
2007-04-17 20:40 3,681,153 ----a-w C:\Programme\blackline_1024_BLACKline2402_01.zip
2007-04-12 18:22 14,764,808 ----a-w C:\Programme\DivXInstaller.exe
2007-04-01 18:06 2,424,116 ----a-w C:\Programme\winamp291c_de_voll.exe
2007-02-10 12:47 11,732,512 ----a-w C:\Programme\RealPlayer10-5GOLD_de.exe
2006-11-28 20:00 2,228,534 ----a-w C:\Programme\audacity-win-1.2.6.exe
2006-11-08 14:31 5,700,136 ----a-w C:\Programme\Firefox Setup 2.0.exe
2006-11-01 20:59 3,262,369 ----a-w C:\Programme\alzip.exe
2006-11-01 14:07 277,936,872 ----a-w C:\Programme\WindowsXP-KB835935-SP2-DEU.exe
2006-11-01 12:57 8,455,959 ----a-w C:\Programme\VPN-Client-WIN_4_8_0_440.exe
2006-10-31 20:44 1,288,495 ----a-w C:\Programme\ppstreamsetup10_eng.exe
2006-10-31 20:10 1,355,624 ----a-w C:\Programme\pplivesetup(1.3.20).exe
2006-10-28 09:07 36,656,704 ----a-w C:\Programme\iTunesSetup.exe
2006-10-24 18:25 12,841,064 ----a-w C:\Programme\SkypeSetup.exe
2006-10-20 11:34 3,317 ----a-w C:\Programme\RegHist.txt
2006-10-20 08:58 377,856 ----a-w C:\Programme\RegSeeker.exe
2006-10-20 07:58 7,137 ----a-w C:\Programme\FlashPlayer9.reg
2006-10-11 11:34 2,171 ----a-w C:\Programme\exclude.ini
2006-10-11 11:34 1,442 ----a-w C:\Programme\README.txt
2006-09-26 19:00 3,534,076 ----a-w C:\Programme\eMule0.47c-Installer.exe
2006-09-19 09:14 37,376 ----a-w C:\Programme\Order.doc
2006-09-18 13:15 14,405,032 ----a-w C:\Programme\zlsSetup_65_737_000_de.exe
2006-06-26 09:52 13,507 ----a-w C:\Programme\license.rtf
2005-11-05 09:15 531 ----a-w C:\Programme\mycookies.ini
2005-11-05 09:15 318 ----a-w C:\Programme\shortarrow.ico
2005-11-05 09:15 298 ----a-w C:\Programme\FixAddRemove.reg
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2004-02-26 10:53 C:\WINDOWS\SOUNDMAN.EXE]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-11 08:43]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-08-11 21:43]
"nwiz"="nwiz.exe" [2006-08-11 21:43 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-08-11 21:43]
"NeroCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2002-10-08 05:03]
"InCD"="C:\Programme\Ahead\InCD\InCD.exe" [2002-12-12 08:49]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 04:00]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-09-24 03:24]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2006-09-25 14:54]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-02-10 14:48]
"WinampAgent"="C:\Programme\Winamp\Winampa.exe" [2003-04-17 08:54]
"pdfSaver3"="" []
"MMReminderService"="C:\Programme\Mindjet\MindManager 6\MMReminderService.exe" [2006-08-16 17:53]
"Adobe Photo Downloader"="C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" [2005-06-06 23:46]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Userinit"="C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,"

R0 BsStor;InCD Storage Helper Driver;C:\WINDOWS\system32\DRIVERS\bsstor.sys
R0 viasraid;viasraid;C:\WINDOWS\system32\drivers\viasraid.sys
R2 BsUDF;InCD UDF Driver;C:\WINDOWS\system32\drivers\BsUDF.sys
S3 Cap7134;Philips Cap7134 Capture;C:\WINDOWS\system32\DRIVERS\Cap7134.sys
S3 PhTVTune;Philips WDM TVTuner;C:\WINDOWS\system32\DRIVERS\PhTVTune.sys

*Newly Created Service* - CATCHME
.
Inhalt des "geplante Tasks" Ordners
"2006-10-28 09:09:06 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
"2006-09-17 17:55:10 C:\WINDOWS\Tasks\FRU Task #Hewlett-Packard#hp psc 1200 series#1158515672.job"
- C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe
.
**************************************************************************

catchme 0.3.1169 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-10-12 16:59:50
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

C:\WINDOWS\system32\ntos.exe
C:\WINDOWS\system32\wsnpoem

Scan erfolgreich abgeschlossen
versteckte Dateien: 2

**************************************************************************
.
Zeit der Fertigstellung: 2007-10-12 17:00:34
.
--- E O F ---


jetzt von datfind:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9041-70C0

Verzeichnis von C:\WINDOWS\system32

12.10.2007 16:10 311.604 perfh009.dat
12.10.2007 16:10 316.594 perfh007.dat
12.10.2007 16:10 39.992 perfc009.dat
12.10.2007 16:10 48.156 perfc007.dat
12.10.2007 16:10 723.744 PerfStringBackup.INI
12.10.2007 16:07 13.646 wpa.dbl
12.10.2007 16:06 81.200 nvapps.xml
05.10.2007 10:07 279.552 swreg.exe
01.10.2007 11:13 196.160 FNTCACHE.DAT
28.09.2007 07:19 18.089.592 MRT.exe
22.09.2007 08:15 8 success
29.08.2007 15:44 249.852 TZLog.log
22.08.2007 15:13 664.576 wininet.dll
22.08.2007 15:13 1.494.528 shdocvw.dll
22.08.2007 15:13 617.472 urlmon.dll
22.08.2007 15:13 474.624 shlwapi.dll
22.08.2007 15:13 449.024 mshtmled.dll
22.08.2007 15:13 146.432 msrating.dll
22.08.2007 15:13 3.079.168 mshtml.dll
22.08.2007 15:13 39.424 pngfilt.dll
22.08.2007 15:13 532.480 mstime.dll
22.08.2007 15:13 96.768 inseng.dll
22.08.2007 15:13 16.384 jsproxy.dll
22.08.2007 15:13 55.808 extmgr.dll
22.08.2007 15:13 251.392 iepeers.dll
22.08.2007 15:13 205.312 dxtrans.dll
22.08.2007 15:13 357.888 dxtmsft.dll
22.08.2007 15:13 152.064 cdfview.dll
22.08.2007 15:13 1.022.976 browseui.dll
22.08.2007 15:13 1.056.256 danim.dll
21.08.2007 12:53 123.904 xpsp3res.dll
21.08.2007 08:16 683.520 inetcomm.dll
16.08.2007 19:03 5.214 jupdate-1.6.0_02-b06.log
30.07.2007 19:20 30.040 wuaucpl.cpl.mui
30.07.2007 19:20 30.040 wuapi.dll.mui
30.07.2007 19:19 1.712.984 wuaueng.dll
30.07.2007 19:19 549.720 wuapi.dll
30.07.2007 19:19 325.976 wucltui.dll
30.07.2007 19:19 203.096 wuweb.dll
30.07.2007 19:19 216.408 wuaucpl.cpl
30.07.2007 19:19 92.504 cdm.dll
30.07.2007 19:19 53.080 wuauclt.exe
30.07.2007 19:19 43.352 wups2.dll
30.07.2007 19:18 34.136 wucltui.dll.mui
30.07.2007 19:18 33.624 wups.dll
30.07.2007 19:18 20.824 wuaueng.dll.mui
27.07.2007 01:06 144.704 DivXCodecVersionChecker.exe
27.07.2007 01:06 10.152 dsm_de.qm
27.07.2007 01:06 524.288 DivXsm.exe
27.07.2007 01:06 4.816 divxsm.tlb
27.07.2007 01:06 3.596.288 qt-dx331.dll
27.07.2007 01:06 379.640 pxwave.dll
27.07.2007 01:06 88.824 vxblock.dll
27.07.2007 01:06 187.128 pxmas.dll
27.07.2007 01:06 118.520 pxinsi64.exe
27.07.2007 01:06 64.760 pxinsa64.exe
27.07.2007 01:06 72.440 pxhpinst.exe
27.07.2007 01:06 518.904 pxdrv.dll
27.07.2007 01:06 120.056 pxcpyi64.exe
27.07.2007 01:06 66.296 pxcpya64.exe
27.07.2007 01:06 129.784 pxafs.dll
27.07.2007 01:06 551.672 px.dll
27.07.2007 01:06 1.628.920 pxsfs.dll
27.07.2007 01:06 200.704 ssldivx.dll
27.07.2007 01:06 1.044.480 libdivx.dll
27.07.2007 01:03 81.920 dpl100.dll
27.07.2007 01:03 196.608 dtu100.dll
27.07.2007 01:03 53.248 dpuGUI10.dll
27.07.2007 01:03 344.064 dpus11.dll
27.07.2007 01:03 593.920 dpuGUI11.dll
27.07.2007 01:03 294.912 dpu11.dll
27.07.2007 01:03 294.912 dpu10.dll
27.07.2007 01:03 57.344 dpv11.dll
27.07.2007 01:03 823.296 divx_xx07.dll
27.07.2007 01:03 740.442 DivX.dll
27.07.2007 01:03 823.296 divx_xx0c.dll
27.07.2007 01:03 802.816 divx_xx11.dll
27.07.2007 01:03 638.976 divxdec.ax
27.07.2007 01:03 352.401 DivXMedia.ax
27.07.2007 01:03 12.288 DivXWMPExtType.dll
27.07.2007 01:02 3.136 dtu_de.qm
27.07.2007 01:02 8.523 dpude.qm
18.07.2007 14:42 60.416 tzchange.exe
12.07.2007 02:22 139.264 javaws.exe
12.07.2007 02:22 69.632 javacpl.cpl
12.07.2007 01:22 135.168 javaw.exe
12.07.2007 01:22 135.168 java.exe
09.07.2007 15:11 584.192 rpcrt4.dll
26.06.2007 08:08 1.104.896 msxml3.dll
19.06.2007 15:31 282.112 gdi32.dll
25.05.2007 12:29 243 spupdwxp.log
17.05.2007 13:28 549.376 oleaut32.dll
08.05.2007 15:03 1.275.392 msxml4.dll
30.04.2007 02:22 4.734.976 wmp.dll
25.04.2007 16:22 144.896 schannel.dll
18.04.2007 18:13 2.854.400 msi.dll
18.04.2007 00:19 4.254 jupdate-1.6.0_01-b06.log
16.04.2007 17:53 1.058.304 kernel32.dll
02.04.2007 07:58 546.304 hhctrl.ocx
17.03.2007 15:44 293.376 winsrv.dll
08.03.2007 17:36 40.960 mf3216.dll
08.03.2007 17:36 579.072 user32.dll
08.03.2007 17:32 1.843.712 win32k.sys
03.03.2007 09:38 9.857 jupdate-1.5.0_11-b03.log
28.02.2007 18:02 2.059.904 ntkrnlpa.exe
28.02.2007 18:02 2.182.656 ntoskrnl.exe
15.02.2007 19:01 337.280 WgaTray.exe
15.02.2007 19:01 1.476.992 LegitCheckControl.dll
15.02.2007 19:00 236.928 WgaLogon.dll
10.02.2007 14:48 176.167 rmoc3260.dll
10.02.2007 14:48 6.656 pndx5016.dll
10.02.2007 14:48 5.632 pndx5032.dll
10.02.2007 14:48 278.528 pncrt.dll
05.02.2007 22:18 185.856 upnphost.dll


Hijackthis-Logfiles:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:53:03, on 12.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Winamp\Winampa.exe
C:\Programme\Mindjet\MindManager 6\MMReminderService.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\Rainlendar\Rainlendar.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\David\Desktop\ATF-Cleaner.exe
C:\Dokumente und Einstellungen\David\Desktop\HiJackThis2.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: CmjBrowserHelperObject Object - {AC41D38F-B56D-40AD-94E0-B493D130C959} - C:\Programme\Mindjet\MindManager 6\Mm6InternetExplorer.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [MMReminderService] C:\Programme\Mindjet\MindManager 6\MMReminderService.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Rainlendar.lnk = C:\Programme\Rainlendar\Rainlendar.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\vpngui.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Send to Mindjet MindManager - {531B9DC0-D8EE-4c76-A6EE-6C1E50569655} - C:\Programme\Mindjet\MindManager 6\Mm6InternetExplorer.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - F:\MICROS~1\OFFICE11\REFIEBAR.DLL (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1158317869132
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

--
End of file - 6755 bytes


__________________
Gruß - David

#4 Verborgene Dateien sichtbar machen
>Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und Ordner >"alle Dateien und Ordner anzeigen" aktivieren und >Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner >"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren.

Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 –k

klicke: Fix checked
Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst

1.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

file::
C:\WINDOWS\system32\ntos.exe
C:\WINDOWS\system32\wsnpoem

2.
Sleppe diese Datei in ComboFix.exe(sehe Bild)
ComboFix wird jetzt starten und die Daten ausfuehren
Nach neustart des Rechners,poste das log von ComboFix



Und ein log von Hijack This
__________
MfG Argus

#5 leider kann ich
"O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 –k"
bei durchführen von
"Hijack - This Do a Systemscan only"
nicht finden, soll ich trotzdem fortfahren?

("F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe" habe ich gefunden kann ich ein Häkchen setzen)

#6 Sowie ich es angegeben habe
__________
MfG Argus

#7 ok, ich hab es ausgeführt, hier sind die logs:

ComboFix 07-10-12.4 - David 2007-10-12 19:45:19.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.641 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\David\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\David\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

FILE::
C:\WINDOWS\system32\ntos.exe
C:\WINDOWS\system32\wsnpoem
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\ntos.exe
C:\WINDOWS\system32\wsnpoem\audio.dll
C:\WINDOWS\system32\wsnpoem\audio.dll.cla
C:\WINDOWS\system32\wsnpoem\video.dll
C:\WINDOWS\system32\wsnpoem

.
((((((((((((((((((((((( Dateien erstellt von 2007-09-12 bis 2007-10-12 ))))))))))))))))))))))))))))))
.

2007-10-12 16:56 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-10-12 11:55 <DIR> d-------- C:\Microsoft Office
2007-10-12 10:49 <DIR> d-------- C:\Dokumente und Einstellungen\David\Anwendungsdaten\DeepBurner
2007-10-12 10:48 <DIR> d-------- C:\Programme\Astonsoft
2007-10-09 23:16 <DIR> d-------- C:\Programme\Dillobits Software
2007-10-09 19:31 584,192 -----c--- C:\WINDOWS\system32\dllcache\rpcrt4.dll
2007-09-30 18:48 24,816 --a------ C:\WINDOWS\system32\mdimon.dll
2007-09-30 18:47 <DIR> d-------- C:\Programme\Microsoft.NET
2007-09-30 18:46 <DIR> d-------- C:\WINDOWS\SHELLNEW
2007-09-22 08:15 303,735 --a------ C:\WINDOWS\system32\drivers\CVPNDRVA.sys
2007-09-22 08:15 197,672 --a------ C:\WINDOWS\system32\vpnapi.dll
2007-09-22 08:15 5,315 --a------ C:\WINDOWS\system32\drivers\CVirtA.sys
2007-09-22 08:14 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Deterministic Networks

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-10-12 08:43 --------- d-----w C:\Programme\Ahead
2007-10-11 10:26 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-10-11 10:26 --------- d-----w C:\Programme\ElsterFormular
2007-10-09 21:03 --------- d-----w C:\Programme\Winamp
2007-09-30 16:45 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2007-08-21 08:34 --------- d-----w C:\Programme\DivX
2007-08-21 08:21 --------- d-----w C:\Dokumente und Einstellungen\David\Anwendungsdaten\DivX
2007-08-21 08:19 --------- d-----w C:\Programme\Multidecoder_W98_1.0.0.30
2007-08-21 08:18 321,409 ----a-w C:\Programme\Multidecoder_W98_1.0.0.30.zip
2007-08-20 18:56 --------- d-----w C:\Dokumente und Einstellungen\David\Anwendungsdaten\LimeWire
2007-08-20 09:48 --------- d-----w C:\Dokumente und Einstellungen\David\Anwendungsdaten\PersBackup
2007-08-20 09:47 --------- d-----w C:\Programme\Personal Backup 3
2007-08-20 09:45 4,713,984 ----a-w C:\Programme\persback33.msi
2007-08-20 09:34 --------- d-----w C:\Programme\CD-Backup
2007-08-19 13:00 --------- d-----w C:\Programme\PPLive
2007-08-19 12:59 --------- d-----w C:\Programme\PPStream
2007-08-19 12:59 --------- d-----w C:\Dokumente und Einstellungen\David\Anwendungsdaten\ppstream
2007-08-16 17:03 --------- d-----w C:\Programme\Java
2007-05-25 10:38 724,872 ----a-w C:\Programme\WindowsXP-KB935448-x86-DEU.exe
2007-05-25 10:34 567,688 ----a-w C:\Programme\WindowsXP-KB931261-x86-DEU.exe
2007-05-25 10:33 583,560 ----a-w C:\Programme\WindowsXP-KB932168-x86-DEU.exe
2007-05-25 10:32 641,416 ----a-w C:\Programme\WindowsXP-KB930178-x86-DEU.exe
2007-05-25 10:20 2,304,904 ----a-w C:\Programme\WindowsXP-KB931784-x86-DEU.exe
2007-05-25 10:13 1,830,792 ----a-w C:\Programme\WindowsXP-KB925902-x86-DEU.exe
2007-05-25 10:05 17,008,184 ----a-w C:\Programme\ElsterFormular2005-Setup.exe
2007-05-08 13:42 86 ----a-w C:\Programme\lang.ini
2007-05-08 13:36 21,822,168 ----a-w C:\Programme\AdbeRdr80_en_US.exe
2007-05-08 13:35 7,050,552 ----a-w C:\Programme\psa30se_en_us.exe
2007-05-08 13:26 13,256,032 ----a-w C:\Programme\PDFCreator-0_9_3_GPLGhostscript.exe
2007-05-08 13:22 845,824 ----a-w C:\Programme\FreePDFXP3.07.EXE
2007-05-04 16:07 3,098,056 ----a-w C:\Programme\LimeWireWin-full1211.exe
2007-05-04 16:03 441 ----a-w C:\Programme\regfav.ini
2007-05-04 16:03 21 ----a-w C:\Programme\history.txt
2007-05-04 15:45 86 ----a-w C:\Programme\autoclean.ini
2007-05-04 15:43 511,293 ----a-w C:\Programme\RegSeeker152.exe
2007-05-04 15:42 468,541 ----a-w C:\Programme\RegSeeker152.zip
2007-05-04 15:27 5,037,072 ----a-w C:\Programme\spybotsd14.exe
2007-04-17 20:58 5,029,962 ----a-w C:\Programme\blackline_1024_BLACKline2404_05.zip
2007-04-17 20:40 3,681,153 ----a-w C:\Programme\blackline_1024_BLACKline2402_01.zip
2007-04-12 18:22 14,764,808 ----a-w C:\Programme\DivXInstaller.exe
2007-04-01 18:06 2,424,116 ----a-w C:\Programme\winamp291c_de_voll.exe
2007-02-10 12:47 11,732,512 ----a-w C:\Programme\RealPlayer10-5GOLD_de.exe
2006-11-28 20:00 2,228,534 ----a-w C:\Programme\audacity-win-1.2.6.exe
2006-11-08 14:31 5,700,136 ----a-w C:\Programme\Firefox Setup 2.0.exe
2006-11-01 20:59 3,262,369 ----a-w C:\Programme\alzip.exe
2006-11-01 14:07 277,936,872 ----a-w C:\Programme\WindowsXP-KB835935-SP2-DEU.exe
2006-11-01 12:57 8,455,959 ----a-w C:\Programme\VPN-Client-WIN_4_8_0_440.exe
2006-10-31 20:44 1,288,495 ----a-w C:\Programme\ppstreamsetup10_eng.exe
2006-10-31 20:10 1,355,624 ----a-w C:\Programme\pplivesetup(1.3.20).exe
2006-10-28 09:07 36,656,704 ----a-w C:\Programme\iTunesSetup.exe
2006-10-24 18:25 12,841,064 ----a-w C:\Programme\SkypeSetup.exe
2006-10-20 11:34 3,317 ----a-w C:\Programme\RegHist.txt
2006-10-20 08:58 377,856 ----a-w C:\Programme\RegSeeker.exe
2006-10-20 07:58 7,137 ----a-w C:\Programme\FlashPlayer9.reg
2006-10-11 11:34 2,171 ----a-w C:\Programme\exclude.ini
2006-10-11 11:34 1,442 ----a-w C:\Programme\README.txt
2006-09-26 19:00 3,534,076 ----a-w C:\Programme\eMule0.47c-Installer.exe
2006-09-19 09:14 37,376 ----a-w C:\Programme\Order.doc
2006-09-18 13:15 14,405,032 ----a-w C:\Programme\zlsSetup_65_737_000_de.exe
2006-06-26 09:52 13,507 ----a-w C:\Programme\license.rtf
2005-11-05 09:15 531 ----a-w C:\Programme\mycookies.ini
2005-11-05 09:15 318 ----a-w C:\Programme\shortarrow.ico
2005-11-05 09:15 298 ----a-w C:\Programme\FixAddRemove.reg
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2004-02-26 10:53 C:\WINDOWS\SOUNDMAN.EXE]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-11 08:43]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-08-11 21:43]
"nwiz"="nwiz.exe" [2006-08-11 21:43 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-08-11 21:43]
"NeroCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2002-10-08 05:03]
"InCD"="C:\Programme\Ahead\InCD\InCD.exe" [2002-12-12 08:49]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 04:00]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-09-24 03:24]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2006-09-25 14:54]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-02-10 14:48]
"WinampAgent"="C:\Programme\Winamp\Winampa.exe" [2003-04-17 08:54]
"pdfSaver3"="" []
"MMReminderService"="C:\Programme\Mindjet\MindManager 6\MMReminderService.exe" [2006-08-16 17:53]
"Adobe Photo Downloader"="C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" [2005-06-06 23:46]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57]

R0 BsStor;InCD Storage Helper Driver;C:\WINDOWS\system32\DRIVERS\bsstor.sys
R0 viasraid;viasraid;C:\WINDOWS\system32\drivers\viasraid.sys
R2 BsUDF;InCD UDF Driver;C:\WINDOWS\system32\drivers\BsUDF.sys
S3 Cap7134;Philips Cap7134 Capture;C:\WINDOWS\system32\DRIVERS\Cap7134.sys
S3 PhTVTune;Philips WDM TVTuner;C:\WINDOWS\system32\DRIVERS\PhTVTune.sys

.
Inhalt des "geplante Tasks" Ordners
"2006-10-28 09:09:06 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
"2006-09-17 17:55:10 C:\WINDOWS\Tasks\FRU Task #Hewlett-Packard#hp psc 1200 series#1158515672.job"
- C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe
.
**************************************************************************

catchme 0.3.1169 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-10-12 19:47:18
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2007-10-12 19:49:14 - machine was rebooted
C:\ComboFix2.txt ... 2007-10-12 17:00
.
--- E O F ---



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:50:26, on 12.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Winamp\Winampa.exe
C:\Programme\Mindjet\MindManager 6\MMReminderService.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\Rainlendar\Rainlendar.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\Outlook Express\msimn.exe
C:\Dokumente und Einstellungen\David\Desktop\HiJackThis2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: CmjBrowserHelperObject Object - {AC41D38F-B56D-40AD-94E0-B493D130C959} - C:\Programme\Mindjet\MindManager 6\Mm6InternetExplorer.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [MMReminderService] C:\Programme\Mindjet\MindManager 6\MMReminderService.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Rainlendar.lnk = C:\Programme\Rainlendar\Rainlendar.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\vpngui.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Send to Mindjet MindManager - {531B9DC0-D8EE-4c76-A6EE-6C1E50569655} - C:\Programme\Mindjet\MindManager 6\Mm6InternetExplorer.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - F:\MICROS~1\OFFICE11\REFIEBAR.DLL (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1158317869132
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

--
End of file - 6411 bytes


_________
vielen Dank - David

#8 Entferne auf C:\ Qoobox-->Papierkorb leeren

Systemwiederherstellung
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
Neu Starten
Dann wieder aktivieren (Häkchen entfernen)

Dein Java software ist veraltet,
Download jre-6u3-windows-i586-p.exe
Scrolle runter nach ----> Java Runtime Environment (JRE) 6 Update 3
The Java SE Runtime Environment (JRE) allows end-users to run Java applications.
Klicke auf Download
Setze in haeckchen bei --->"Accept License Agreement".
Klicke “Windows Offline Installation, Multi-language” um
“jre-6u3-windows-i586-p.exe” zum Desktop zu installieren
Schliesse alle Programme auch dein Webbrowser
Ueber "Start -> Einstellungen -> Systemsteuerung -> Software
Und entferne alle aeltere versionen von Java Runtime Environment (JRE of J2SE)
Auch auf C:\Programme\Java entfernen!
Nachdem alles entfernt wurde --->Rechner neu starten
Installiere jetzt vom Desktop aus ---> jre-6u3-windows-i586-p.exe

Installiere AVG Anti Spyware 7.5
http://board.protecus.de/t29853.htm
__________
MfG Argus

#9 Der Scan mit AVG Anti-Spyware 7.5 ergab "keine Bedrohung gefunden" und auch keinerlei infizierte Objekte - ich geh mal davon aus, dass jetzt alles wieder ok ist?

aufjedenfall vielen vielen Dank für die große Hilfe! War echt klasse, wie schnell und kompetent mir hier geholfen wurde!

großen Dank - David