Security Toolbar 7.1 entfernen?

#1 Leider habe ich seit gestern im IE die Security Toolbar 7.1.
In der Traybar blinkt immerzu ein Warndreieck und es erscheinen Ballontips mit Spyware-Warnungen.
Zudem wird alle paar Minuten ein neues IE-Fenster gestartet mit Links zu fake Spyware-Entfernern.

Ich hoffe mir kann hier geholfen werden.


ComboFix 07-11-05.2 - tim 2007-11-05 17:46:09.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1225.1.1023.18.232 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\tim\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\All Users\Startmenü\Live Safety Center.lnk
C:\Dokumente und Einstellungen\All Users\Startmenü\Online Security Guide.lnk
C:\Dokumente und Einstellungen\tim\Desktop\Live Safety Center.lnk
C:\Dokumente und Einstellungen\tim\Desktop\Online Security Guide.lnk
C:\Dokumente und Einstellungen\tim\Favoriten\Online Security Guide.lnk
C:\WINDOWS\system32\.exe
C:\WINDOWS\system32\drivers\npf.sys
C:\WINDOWS\system32\ktjszqwa.dllbox
C:\WINDOWS\system32\packet.dll
C:\WINDOWS\system32\pqtss.bak1
C:\WINDOWS\system32\pqtss.bak2
C:\WINDOWS\system32\pqtss.ini
C:\WINDOWS\system32\pthreadVC.dll
C:\WINDOWS\system32\sstqp.dll
C:\WINDOWS\system32\wanpacket.dll
C:\WINDOWS\system32\wpcap.dll

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\NPF


((((((((((((((((((((((( Dateien erstellt von 2007-10-05 bis 2007-11-05 ))))))))))))))))))))))))))))))
.

2007-11-05 17:42 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-11-05 14:50 3,864 --a------ C:\WINDOWS\system32\tmp.reg
2007-11-05 12:22 582,656 -----c--- C:\WINDOWS\system32\dllcache\rpcrt4.dll
2007-11-05 12:21 63,488 -----c--- C:\WINDOWS\system32\dllcache\icardie.dll
2007-11-05 12:19 1,036,288 -----c--- C:\WINDOWS\system32\dllcache\explorer.exe
2007-11-05 12:07 <DIR> d-------- C:\Programme\MSXML 6.0
2007-11-05 12:07 549,376 -----c--- C:\WINDOWS\system32\dllcache\oleaut32.dll
2007-11-05 12:06 <DIR> d-------- C:\Programme\MSXML 4.0
2007-11-05 11:20 83,008 --a------ C:\WINDOWS\system32\scuynvfl.dll
2007-11-05 11:18 85,568 --a------ C:\WINDOWS\system32\kxukdvcg.dll
2007-11-05 11:14 340,032 --a------ C:\WINDOWS\system32\sfhxgflc.dll
2007-11-05 11:14 340,032 --a------ C:\WINDOWS\system32\ktjszqwa.dll
2007-11-04 23:34 <DIR> d-------- C:\Programme\Kopie von Bit Torrent noupload
2007-11-04 23:15 36,352 --a------ C:\WINDOWS\system32\tuvturp.dll
2007-11-04 23:05 36,352 --a------ C:\WINDOWS\system32\byxvurs.dll
2007-10-30 18:09 <DIR> d-------- C:\Programme\MediaInfo
2007-10-24 14:10 <DIR> d-------- C:\Programme\SignSIS-GUI
2007-10-19 15:34 <DIR> d-------- C:\Programme\DVDFab HD Decrypter 3
2007-10-19 15:21 <DIR> d-------- C:\Programme\BeSweetGUIv0.7b5
2007-10-19 15:21 <DIR> d-------- C:\Programme\BeLight-0.22beta9
2007-10-18 23:37 <DIR> d-------- C:\Programme\Miranda IM
2007-10-18 23:11 <DIR> d-------- C:\Programme\Winamp Toolbar
2007-10-18 23:11 <DIR> d-------- C:\Programme\Winamp Remote
2007-10-18 23:11 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Winamp Toolbar
2007-10-18 23:11 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\OrbNetworks

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-11-05 16:44 --------- d-----w C:\Programme\cFosSpeed
2007-11-05 16:41 --------- d-----w C:\Dokumente und Einstellungen\tim\Anwendungsdaten\Skype
2007-11-05 16:36 --------- d-----w C:\Dokumente und Einstellungen\tim\Anwendungsdaten\KlipFolio
2007-11-05 14:41 --------- d-----w C:\Programme\eMule v0.47c_stop
2007-11-05 14:41 --------- d-----w C:\Programme\Bandwidth Monitor Pro
2007-11-05 12:03 --------- d-----w C:\Programme\TagRename
2007-11-01 00:18 --------- d-----w C:\Programme\Mozilla Thunderbird
2007-10-29 21:49 --------- d-----w C:\Programme\FlashFXP
2007-10-23 12:21 --------- d-----w C:\Programme\Zoom Player
2007-10-20 12:30 --------- d-----w C:\Programme\Java
2007-10-18 22:11 --------- d-----w C:\Programme\Winamp
2007-10-14 20:35 --------- d-----w C:\Programme\MediaCoder
2007-09-27 13:32 --------- d-----w C:\Programme\Exact Audio Copy
2007-09-27 13:19 --------- d-----w C:\Dokumente und Einstellungen\tim\Anwendungsdaten\AccurateRip
2007-09-21 09:14 --------- d-----w C:\Programme\DivX
2007-09-17 18:23 823,296 ----a-w C:\WINDOWS\system32\divx_xx0c.dll
2007-09-17 18:23 823,296 ----a-w C:\WINDOWS\system32\divx_xx07.dll
2007-09-17 18:22 802,816 ----a-w C:\WINDOWS\system32\divx_xx11.dll
2007-09-17 18:22 739,840 ----a-w C:\WINDOWS\system32\DivX.dll
2007-09-11 23:14 156,992 ----a-w C:\WINDOWS\system32\DivXCodecVersionChecker.exe
2007-09-06 14:51 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-09-06 10:36 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2007-08-21 06:16 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll
2007-08-21 00:26 81,920 ----a-w C:\WINDOWS\system32\dpl100.dll
2007-08-21 00:26 196,608 ----a-w C:\WINDOWS\system32\dtu100.dll
2007-08-15 22:33 524,288 ----a-w C:\WINDOWS\system32\DivXsm.exe
2007-08-15 22:33 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll
2007-08-15 22:33 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
2007-08-15 22:33 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
2007-08-15 22:31 593,920 ----a-w C:\WINDOWS\system32\dpuGUI11.dll
2007-08-15 22:31 57,344 ----a-w C:\WINDOWS\system32\dpv11.dll
2007-08-15 22:31 53,248 ----a-w C:\WINDOWS\system32\dpuGUI10.dll
2007-08-15 22:31 344,064 ----a-w C:\WINDOWS\system32\dpus11.dll
2007-08-15 22:31 294,912 ----a-w C:\WINDOWS\system32\dpu11.dll
2007-08-15 22:31 294,912 ----a-w C:\WINDOWS\system32\dpu10.dll
2007-08-15 22:30 12,288 ----a-w C:\WINDOWS\system32\DivXWMPExtType.dll
2006-03-21 20:30 1,200,128 ----a-w C:\Dokumente und Einstellungen\tim\signsis.exe
2006-01-22 14:38 41,416 ----a-w C:\Dokumente und Einstellungen\tim\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2005-12-25 19:39 153 ----a-w C:\Programme\Subs.avs
2005-03-04 11:32 79 ----a-w C:\Programme\xvid will nicht laden.avs
2005-02-01 16:30 46 ----a-w C:\Programme\mpg frameserver.avs
2007-02-14 19:48:27 13 --sh--r C:\WINDOWS\system32\Mediav_6_4.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{634BBAB7-3F60-4426-944F-A62B9007F67F}]
2007-11-04 23:05 36352 --a------ C:\WINDOWS\system32\byxvurs.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A95B2816-1D7E-4561-A202-68C0DE02353A}]
2007-11-05 11:14 340032 --a------ C:\WINDOWS\system32\ktjszqwa.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{EBF2BA02-9094-4c5a-858B-BB198F3D8DE2}"= C:\Programme\Winamp Toolbar\winamptb.dll [2007-10-04 21:06 1135968]
"{11A69AE4-FBED-4832-A2BF-45AF82825583}"= C:\WINDOWS\system32\ktjszqwa.dll [2007-11-05 11:14 340032]

[HKEY_CLASSES_ROOT\CLSID\{EBF2BA02-9094-4c5a-858B-BB198F3D8DE2}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand.1]
[HKEY_CLASSES_ROOT\TypeLib\{538CD77C-BFDD-49b0-9562-77419CAB89D1}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand]

[HKEY_CLASSES_ROOT\CLSID\{11A69AE4-FBED-4832-A2BF-45AF82825583}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2}"= C:\Programme\Winamp Toolbar\winamptb.dll [2007-10-04 21:06 1135968]

[HKEY_CLASSES_ROOT\CLSID\{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand.1]
[HKEY_CLASSES_ROOT\TypeLib\{538CD77C-BFDD-49b0-9562-77419CAB89D1}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.exe" [2004-08-03 22:32]
"PHIME2002ASync"="C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.exe" [2002-08-28 20:39]
"PHIME2002A"="C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.exe" [2002-08-28 20:39]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 09:50]
"CloneCDTray"="C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" [2003-10-26 22:53]
"zBrowser Launcher"="C:\Programme\Logitech\iTouch\iTouch.exe" [2004-03-18 08:33]
"StorageGuard"="C:\Programme\VERITAS Software\Update Manager\sgtray.exe" [2002-06-17 23:01]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2004-08-12 12:41]
"ClubBox"="" []
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-11 12:30]
"snpstd3"="C:\WINDOWS\vsnpstd3.exe" [2004-07-30 17:50]
"cFosSpeed"="C:\Programme\cFosSpeed\cFosSpeed.exe" [2006-11-08 16:46]
"IMJPMIG9.0"="C:\PROGRA~1\GEMEIN~1\MICROS~1\IME\IMJP9\IMJPMIG.exe" [2005-03-17 22:40]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 00:11]
"PCSuiteTrayApplication"="C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe" [2007-06-18 14:10]
"tsnp2std"="C:\WINDOWS\tsnp2std.exe" []
"snp2std"="C:\WINDOWS\vsnp2std.exe" [2005-11-16 15:14]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57]
"Bandwidth Monitor Pro"="C:\Programme\Bandwidth Monitor Pro\Bandwidth Monitor Pro.exe" [2005-02-12 11:29]
"BitComet"="C:\Programme\BitComet\BitComet.exe" [2006-06-23 18:00]
"KlipFolio"="C:\Programme\KlipFolio\KlipFolio.exe" [2007-08-04 09:40]
"Skype"="C:\Programme\Skype\Phone\Skype.exe" [2007-09-13 12:31]
"Orb"="C:\Programme\Winamp Remote\bin\OrbTray.exe" [2007-10-08 01:18]
"eMuleAutoStart"="C:\Programme\eMule v0.47c_stop\emule.exe" [2006-11-23 20:20]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"VGA6 Startup"=vgacard6.exe
"Nokia.PCSync"=C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{93994DE8-8239-4655-B1D1-5F4E91300429}"= C:\Programme\DVD Region-Free\DVDShell.dll [2004-03-07 15:58 49152]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= C:\Programme\SUPERAntiSpyware\SASSEH.DLL [2006-09-28 12:22 77824]
"{634BBAB7-3F60-4426-944F-A62B9007F67F}"= C:\WINDOWS\system32\byxvurs.dll [2007-11-04 23:05 36352]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
C:\Programme\SUPERAntiSpyware\SASWINLO.dll 2006-10-19 10:12 258048 C:\Programme\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\byxvurs]
byxvurs.dll 2007-11-04 23:05 36352 C:\WINDOWS\system32\byxvurs.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ktjszqwa]
ktjszqwa.dll 2007-11-05 11:14 340032 C:\WINDOWS\system32\ktjszqwa.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"= msv1_0 C:\WINDOWS\system32\sstqp.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
"C:\Programme\ICQLite\ICQLite.exe" -minimize

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys
R0 d346bus;d346bus;C:\WINDOWS\system32\DRIVERS\d346bus.sys
R0 d346prt;d346prt;C:\WINDOWS\system32\Drivers\d346prt.sys
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys
R1 nltdi;nltdi;\??\C:\WINDOWS\system32\drivers\nltdi.sys
R2 ccXgui;ccXgui;C:\Programme\ccxgui\ccXservice.exe
R3 RMSPPPOE;WAN Miniport (PPP over Ethernet Protocol);C:\WINDOWS\system32\DRIVERS\RMSPPPOE.SYS
R3 SNP2STD;USB2.0 PC Camera (SNP2STD);C:\WINDOWS\system32\DRIVERS\snp2sxp.sys
S1 vidcap;vidcap;C:\WINDOWS\system32\DRIVERS\vidcap.sys
S3 BTCAMDRV;Mobiola Web Camera driver;C:\WINDOWS\system32\DRIVERS\BTCamDrv.sys
S3 BTNetFilter;Bluetooth Network Filter;\??\C:\WINDOWS\system32\drivers\BTNetFilter.sys
S3 CA504AV;Mega Camera, WDM Video Capture;C:\WINDOWS\system32\Drivers\CA504AV.SYS
S3 jausbct;NEC Portable Phone KMP6J1L1 BUS Control Driver;C:\WINDOWS\system32\DRIVERS\jausbct.sys
S3 jausbfn;NEC Portable Phone KMP6J1L1 Modem Driver;C:\WINDOWS\system32\DRIVERS\jausbfn.sys
S3 kvpndev;Kerio VPN adapter;C:\WINDOWS\system32\DRIVERS\kvpndrv.sys
S3 liusba;NEC 338 Command Port Driver;C:\WINDOWS\system32\DRIVERS\liusba.sys
S3 liusbc;NEC 338 CONTROL Driver;C:\WINDOWS\system32\DRIVERS\liusbc.sys
S3 liusbe;NEC 338 ENUMERATION Driver;C:\WINDOWS\system32\DRIVERS\liusbe.sys
S3 liusbm;NEC 338 Modem Driver;C:\WINDOWS\system32\DRIVERS\liusbm.sys
S3 liusbo;NEC 338 OBEX Port Driver;C:\WINDOWS\system32\DRIVERS\liusbo.sys
S3 PRODIGY;PRODIGY;C:\WINDOWS\system32\Drivers\PRODIGY.SYS
S3 Sunplus;Mega Camera Still Image Capture, Sunplus Version 1.00;C:\WINDOWS\system32\Drivers\Bulk504.sys
S3 TNPacket;T-Systems Nova Packet Capture Driver;\??\C:\Programme\T-DSL SpeedManager\TNPACKET.SYS
S3 XPAD;XBox Controllers USB HID Mini Driver;C:\WINDOWS\system32\Drivers\xpad.sys

.
**************************************************************************

catchme 0.3.1250 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-11-05 17:53:10
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

**************************************************************************
.
Zeit der Fertigstellung: 2007-11-05 17:56:26 - machine was rebooted
.
--- E O F ---

------------------------------------------------------------------------------


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:01:00, on 05.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programme\ccxgui\ccXservice.exe
C:\Programme\cFosSpeed\spd.exe
C:\Programme\ccxgui\ccxstream.exe
C:\WINDOWS\System32\DVDRAMSV.exe
C:\Programme\NetLimiter 2 Pro\nlsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\NetLimiter 2 Pro\NLClient.exe
C:\WINDOWS\system32\devldr32.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\vsnpstd3.exe
C:\Programme\cFosSpeed\cFosSpeed.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\WINDOWS\vsnp2std.exe
C:\Programme\PC Connectivity Solution\ServiceLayer.exe
C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe
C:\Programme\CASIO\Photo Loader\Plauto.exe
C:\WINDOWS\system32\RAMASST.exe
C:\Programme\girder32\Girder.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Dokumente und Einstellungen\tim\Desktop\HJT\HJT.exe

O2 - BHO: (no name) - {634BBAB7-3F60-4426-944F-A62B9007F67F} - C:\WINDOWS\system32\byxvurs.dll
O2 - BHO: (no name) - {99A73C8E-63D3-45ED-80DE-C085B32A0B97} - C:\WINDOWS\system32\jkhhf.dll
O2 - BHO: (no name) - {A95B2816-1D7E-4561-A202-68C0DE02353A} - C:\WINDOWS\system32\ktjszqwa.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Programme\Winamp Toolbar\winamptb.dll
O3 - Toolbar: Security Toolbar - {11A69AE4-FBED-4832-A2BF-45AF82825583} - C:\WINDOWS\system32\ktjszqwa.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\VERITAS Software\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [snpstd3] C:\WINDOWS\vsnpstd3.exe
O4 - HKLM\..\Run: [cFosSpeed] C:\Programme\cFosSpeed\cFosSpeed.exe
O4 - HKLM\..\Run: [IMJPMIG9.0] C:\PROGRA~1\GEMEIN~1\MICROS~1\IME\IMJP9\IMJPMIG.EXE /Preload /Migration32
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [tsnp2std] C:\WINDOWS\tsnp2std.exe
O4 - HKLM\..\Run: [snp2std] C:\WINDOWS\vsnp2std.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Bandwidth Monitor Pro] "C:\Programme\Bandwidth Monitor Pro\Bandwidth Monitor Pro.exe"
O4 - HKCU\..\Run: [BitComet] "C:\Programme\BitComet\BitComet.exe"
O4 - HKCU\..\Run: [KlipFolio] "C:\Programme\KlipFolio\KlipFolio.exe" /BOOT
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Orb] "C:\Programme\Winamp Remote\bin\OrbTray.exe" /background
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Programme\eMule v0.47c_stop\emule.exe -AutoStart
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Eigene Dateien.lnk = ?
O4 - Startup: Girder3.lnk = C:\Programme\girder32\Girder.exe
O4 - Startup: Verknüpfung mit miranda32.exe.lnk = C:\Programme\Miranda IM\miranda32.exe
O4 - Startup: Verknüpfung mit thunderbird.exe.lnk = C:\Programme\Mozilla Thunderbird\thunderbird.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BlueSoleil.lnk = ?
O4 - Global Startup: Photo Loader resident.lnk = C:\Programme\CASIO\Photo Loader\Plauto.exe
O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe
O8 - Extra context menu item: &Winamp Toolbar Search - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
O8 - Extra context menu item: Download All by FlashGet - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Download using FlashGet - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Share in Hello - {B13B4423-2647-4cfc-A4B3-C7D56CB83487} - C:\Programme\Hello\PicasaCapture.dll
O9 - Extra 'Tools' menuitem: Share in H&ello - {B13B4423-2647-4cfc-A4B3-C7D56CB83487} - C:\Programme\Hello\PicasaCapture.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {029FDBA6-3547-11D7-AA4C-0050BF051A00} (Rawflow ICD Client) - http://www.giga.de/giga-stream-test/Rawflow.cab
O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=67633
O16 - DPF: {0E5F0222-96B9-11D3-8997-00104BD12D94} (PCPitstop Utility) - http://pcpitstop.com/pcpitstop/PCPitStop.CAB
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1170797971031
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4283366A-8504-41AE-AD09-8A3BCD81E310}: NameServer = 192.168.1.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: byxvurs - C:\WINDOWS\SYSTEM32\byxvurs.dll
O20 - Winlogon Notify: ktjszqwa - C:\WINDOWS\SYSTEM32\ktjszqwa.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: ccXgui - [XC]D-Ice - C:\Programme\ccxgui\ccXservice.exe
O23 - Service: cFosSpeed System Service (cFosSpeedS) - cFos Software GmbH - C:\Programme\cFosSpeed\spd.exe
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\System32\DVDRAMSV.exe
O23 - Service: NetLimiter (nlsvc) - Locktime Software - C:\Programme\NetLimiter 2 Pro\nlsvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 10226 bytes

-------------------------------------------------------------------------


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C41C-44F1

Verzeichnis von C:\WINDOWS\system32

05.11.2007 18:02 6.465 fhhkj.ini
05.11.2007 18:02 20.640 ktjszqwa.dllbox
05.11.2007 18:00 6.465 fhhkj.bak1
05.11.2007 17:59 320.608 jkhhf.dll
05.11.2007 15:34 0 tmp.txt
05.11.2007 15:34 3.864 tmp.reg
05.11.2007 11:56 570.330 gcvdkuxk.ini
05.11.2007 11:20 83.008 scuynvfl.dll
05.11.2007 11:18 85.568 kxukdvcg.dll
05.11.2007 11:14 340.032 ktjszqwa.dll
05.11.2007 11:14 340.032 sfhxgflc.dll
04.11.2007 23:15 36.352 tuvturp.dll
04.11.2007 23:05 36.352 byxvurs.dll
04.11.2007 20:42 2.206 wpa.dbl
28.10.2007 11:59 380.350 perfh009.dat
28.10.2007 11:59 391.000 perfh007.dat
28.10.2007 11:59 52.764 perfc009.dat
28.10.2007 11:59 63.580 perfc007.dat
28.10.2007 11:59 897.954 PerfStringBackup.INI
26.10.2007 00:13 386.000 logfile.log
20.10.2007 13:30 5.628 jupdate-1.6.0_03-b05.log
24.09.2007 22:31 139.264 javaws.exe
24.09.2007 22:31 69.632 javacpl.cpl
24.09.2007 21:30 135.168 javaw.exe
24.09.2007 21:30 135.168 java.exe
18.09.2007 13:24 729.088 divxdec.ax
17.09.2007 19:23 823.296 divx_xx07.dll
17.09.2007 19:23 823.296 divx_xx0c.dll
17.09.2007 19:22 739.840 DivX.dll
17.09.2007 19:22 802.816 divx_xx11.dll
12.09.2007 00:14 156.992 DivXCodecVersionChecker.exe
21.08.2007 07:16 683.520 inetcomm.dll
21.08.2007 01:26 416 dtu100.dll.manifest
21.08.2007 01:26 81.920 dpl100.dll
21.08.2007 01:26 416 dpl100.dll.manifest
21.08.2007 01:26 196.608 dtu100.dll
20.08.2007 14:25 3.584.512 mshtml.dll
20.08.2007 10:55 824.832 wininet.dll
20.08.2007 10:55 102.400 occache.dll
20.08.2007 10:55 671.232 mstime.dll
20.08.2007 10:55 232.960 webcheck.dll
20.08.2007 10:55 1.152.000 urlmon.dll
20.08.2007 10:55 105.984 url.dll
20.08.2007 10:55 477.696 mshtmled.dll
20.08.2007 10:55 193.024 msrating.dll
20.08.2007 10:55 52.224 msfeedsbs.dll
20.08.2007 10:55 459.264 msfeeds.dll
20.08.2007 10:55 6.058.496 ieframe.dll
20.08.2007 10:55 267.776 iertutil.dll
20.08.2007 10:55 27.648 jsproxy.dll
20.08.2007 10:55 1.824.768 inetcpl.cpl
20.08.2007 10:55 44.544 iernonce.dll
20.08.2007 10:55 384.512 iedkcs32.dll
20.08.2007 10:55 383.488 ieapfltr.dll
20.08.2007 10:55 230.400 ieaksie.dll
20.08.2007 10:55 132.608 extmgr.dll
20.08.2007 10:55 153.088 ieakeng.dll
20.08.2007 10:55 63.488 icardie.dll
20.08.2007 10:55 214.528 dxtrans.dll
20.08.2007 10:55 124.928 advpack.dll
17.08.2007 11:20 13.824 ieudinit.exe
17.08.2007 11:19 63.488 ie4uinit.exe
17.08.2007 08:34 161.792 ieakui.dll
15.08.2007 23:33 10.152 dsm_de.qm
15.08.2007 23:33 524.288 DivXsm.exe
15.08.2007 23:33 4.816 divxsm.tlb
15.08.2007 23:33 3.596.288 qt-dx331.dll
15.08.2007 23:33 200.704 ssldivx.dll
15.08.2007 23:33 1.044.480 libdivx.dll
15.08.2007 23:31 53.248 dpuGUI10.dll
15.08.2007 23:31 344.064 dpus11.dll
15.08.2007 23:31 294.912 dpu11.dll
15.08.2007 23:31 57.344 dpv11.dll
15.08.2007 23:31 294.912 dpu10.dll
15.08.2007 23:31 593.920 dpuGUI11.dll
15.08.2007 23:30 352.401 DivXMedia.ax
15.08.2007 23:30 12.288 DivXWMPExtType.dll
15.08.2007 23:30 8.523 dpude.qm
15.08.2007 23:30 3.136 dtu_de.qm
10.08.2007 02:52 221.296 FNTCACHE.DAT



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C41C-44F1

Verzeichnis von C:\DOKUME~1\tim\LOKALE~1\Temp

05.11.2007 18:02 120.483 datfind.txt
05.11.2007 18:01 4.286 icoF.tmp
05.11.2007 18:01 4.286 icoE.tmp
05.11.2007 18:01 4.286 icoD.tmp
05.11.2007 18:01 4.286 icoC.tmp
05.11.2007 18:01 4.286 icoB.tmp
05.11.2007 18:00 173 jusched.log





Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C41C-44F1

Verzeichnis von C:\WINDOWS

05.11.2007 17:55 51 iTouch.ini
05.11.2007 17:52 2.120 ModemLog_Kommunikationskabel zwischen zwei Computern #2.txt
05.11.2007 17:52 159 wiadebug.log
05.11.2007 17:51 1.157.895 WindowsUpdate.log
05.11.2007 17:51 50 wiaservc.log
05.11.2007 17:51 0 0.log
05.11.2007 17:51 2.048 bootstat.dat
05.11.2007 15:37 2.726.624 setupact.log
05.11.2007 15:37 641.970 ntbtlog.txt
05.11.2007 15:30 702.429 setupapi.log
05.11.2007 14:06 211.777 cFosSpeed_Setup_Log.txt
05.11.2007 12:22 183.599 ntdtcsetup.log
05.11.2007 12:22 48.674 ocmsn.log
05.11.2007 12:22 404.831 tsoc.log
05.11.2007 12:22 43.371 tabletoc.log
05.11.2007 12:22 304.266 comsetup.log
05.11.2007 12:22 1.374 imsins.log
05.11.2007 12:22 994.152 iis6.log
05.11.2007 12:22 150.845 netfxocm.log
05.11.2007 12:22 426.816 ocgen.log
05.11.2007 12:22 61.070 medctroc.Log
05.11.2007 12:22 44.029 msgsocm.log
05.11.2007 12:22 869.611 FaxSetup.log
05.11.2007 12:22 275.854 msmqinst.log
05.11.2007 12:22 60.870 updspapi.log
05.11.2007 12:22 1.374 imsins.BAK
05.11.2007 12:22 18.932 KB939653-IE7.log
05.11.2007 12:13 36.611 spupdsvc.log
05.11.2007 12:10 14.510 KB938127-IE7.log
05.11.2007 12:09 618 wmsetup.log
05.11.2007 12:09 18.656 KB937143-IE7.log
01.11.2007 14:01 202 NeroDigital.ini
31.10.2007 21:58 17.615 cdplayer.ini
29.10.2007 18:56 136.192 catchme.exe
17.10.2007 09:29 67 DVDRegionFree.INI
15.09.2007 00:51 1.004 win.ini
24.08.2007 11:48 86.242 DPINST.LOG
12.08.2007 16:56 2.490 ModemLog_Bluetooth LAP Modem.txt
12.08.2007 16:56 2.490 ModemLog_Bluetooth LAP Modem #2.txt
10.08.2007 02:49 16.048 KB911562.log
10.08.2007 02:48 28.490 KB933566-IE7.log
10.08.2007 02:48 25.217 KB931768-IE7.log
10.08.2007 02:46 10.094 KB928090-IE7.log
09.08.2007 13:27 249 KB822603.log




Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C41C-44F1

Verzeichnis von C:\WINDOWS\temp

05.11.2007 17:55 16.384 Perflib_Perfdata_4a8.dat

------------------------------------------------------------------


Ich hoffe ich hab alles Nötige gepostet.
Danke schon mal für die Mühen.

#2 Entferne auf C:\ Qoobox-->Papierkorb leeren

Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

O2 - BHO: (no name) - {634BBAB7-3F60-4426-944F-A62B9007F67F} - C:\WINDOWS\system32\byxvurs.dll
O2 - BHO: (no name) - {99A73C8E-63D3-45ED-80DE-C085B32A0B97} - C:\WINDOWS\system32\jkhhf.dll
O2 - BHO: (no name) - {A95B2816-1D7E-4561-A202-68C0DE02353A} - C:\WINDOWS\system32\ktjszqwa.dll
O3 - Toolbar: Security Toolbar - {11A69AE4-FBED-4832-A2BF-45AF82825583} - C:\WINDOWS\system32\ktjszqwa.dll
O20 - Winlogon Notify: byxvurs - C:\WINDOWS\SYSTEM32\byxvurs.dll
O20 - Winlogon Notify: ktjszqwa - C:\WINDOWS\SYSTEM32\ktjszqwa.dll

klicke: Fix checked
Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst

cfscript.txt

1.
Den folgenden blauen Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

file::
C:\WINDOWS\system32\scuynvfl.dll
C:\WINDOWS\system32\kxukdvcg.dll
C:\WINDOWS\system32\sfhxgflc.dll
C:\WINDOWS\system32\ktjszqwa.dll
C:\WINDOWS\system32\tuvturp.dll
C:\WINDOWS\system32\byxvurs.dll
C:\WINDOWS\system32\jkhhf.dll
C:\WINDOWS\system32\fhhkj.ini
C:\WINDOWS\system32\ktjszqwa.dllbox
C:\WINDOWS\system32\fhhkj.bak1
C:\WINDOWS\system32\jkhhf.dll
C:\WINDOWS\system32\gcvdkuxk.ini
C:\WINDOWS\system32\scuynvfl.dll
C:\WINDOWS\system32\kxukdvcg.dll
C:\WINDOWS\system32\ktjszqwa.dll
C:\WINDOWS\system32\sfhxgflc.dll
C:\WINDOWS\system32\tuvturp.dll
C:\WINDOWS\system32\byxvurs.dll

u] 2. [/u]
Sleppe diese Datei in ComboFix.exe(sehe Bild)
ComboFix wird jetzt starten und die Daten ausfuehren
Nach neustart des Rechners,poste das log von ComboFix


__________
MfG Argus

#3 Danke für die schnelle Antwort Arnold!

Antivir hatte zwischenzeitlich noch TR/Dldr.WinFixer.AU ein paar mal angezeigt.
Das war vor deinen Anweisungen.

Nachdem ich jetzt neugestartet habe sind keine äußerlichen Symptome mehr zu sehen.


Hier das combofix log


ComboFix 07-11-05.2 - tim 2007-11-05 21:19:17.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.143 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\tim\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\tim\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

FILE::
C:\WINDOWS\system32\byxvurs.dll
C:\WINDOWS\system32\fhhkj.bak1
C:\WINDOWS\system32\fhhkj.ini
C:\WINDOWS\system32\gcvdkuxk.ini
C:\WINDOWS\system32\jkhhf.dll
C:\WINDOWS\system32\ktjszqwa.dll
C:\WINDOWS\system32\ktjszqwa.dllbox
C:\WINDOWS\system32\kxukdvcg.dll
C:\WINDOWS\system32\scuynvfl.dll
C:\WINDOWS\system32\sfhxgflc.dll
C:\WINDOWS\system32\tuvturp.dll
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\All Users\Startmenü\Live Safety Center.lnk
C:\Dokumente und Einstellungen\All Users\Startmenü\Online Security Guide.lnk
C:\Dokumente und Einstellungen\tim\Desktop\Live Safety Center.lnk
C:\Dokumente und Einstellungen\tim\Desktop\Online Security Guide.lnk
C:\Dokumente und Einstellungen\tim\Favoriten\Online Security Guide.lnk
C:\WINDOWS\system32\byxvurs.dll
C:\WINDOWS\system32\fhhkj.bak1
C:\WINDOWS\system32\fhhkj.ini
C:\WINDOWS\system32\gcvdkuxk.ini
C:\WINDOWS\system32\jkhhf.dll
C:\WINDOWS\system32\ktjszqwa.dll
C:\WINDOWS\system32\ktjszqwa.dllbox
C:\WINDOWS\system32\kxukdvcg.dll
C:\WINDOWS\system32\scuynvfl.dll
C:\WINDOWS\system32\sfhxgflc.dll
C:\WINDOWS\system32\tuvturp.dll

.
((((((((((((((((((((((( Dateien erstellt von 2007-10-05 bis 2007-11-05 ))))))))))))))))))))))))))))))
.

2007-11-05 17:42 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-11-05 14:50 3,864 --a------ C:\WINDOWS\system32\tmp.reg
2007-11-05 12:22 582,656 -----c--- C:\WINDOWS\system32\dllcache\rpcrt4.dll
2007-11-05 12:21 63,488 -----c--- C:\WINDOWS\system32\dllcache\icardie.dll
2007-11-05 12:19 1,036,288 -----c--- C:\WINDOWS\system32\dllcache\explorer.exe
2007-11-05 12:07 <DIR> d-------- C:\Programme\MSXML 6.0
2007-11-05 12:07 549,376 -----c--- C:\WINDOWS\system32\dllcache\oleaut32.dll
2007-11-05 12:06 <DIR> d-------- C:\Programme\MSXML 4.0
2007-11-04 23:34 <DIR> d-------- C:\Programme\Kopie von Bit Torrent noupload
2007-10-30 18:09 <DIR> d-------- C:\Programme\MediaInfo
2007-10-24 14:10 <DIR> d-------- C:\Programme\SignSIS-GUI
2007-10-19 15:34 <DIR> d-------- C:\Programme\DVDFab HD Decrypter 3
2007-10-19 15:21 <DIR> d-------- C:\Programme\BeSweetGUIv0.7b5
2007-10-19 15:21 <DIR> d-------- C:\Programme\BeLight-0.22beta9
2007-10-18 23:37 <DIR> d-------- C:\Programme\Miranda IM
2007-10-18 23:11 <DIR> d-------- C:\Programme\Winamp Toolbar
2007-10-18 23:11 <DIR> d-------- C:\Programme\Winamp Remote
2007-10-18 23:11 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Winamp Toolbar
2007-10-18 23:11 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\OrbNetworks

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-11-05 20:25 --------- d-----w C:\Programme\cFosSpeed
2007-11-05 20:11 --------- d-----w C:\Dokumente und Einstellungen\tim\Anwendungsdaten\Skype
2007-11-05 20:10 --------- d-----w C:\Dokumente und Einstellungen\tim\Anwendungsdaten\KlipFolio
2007-11-05 17:10 --------- d-----w C:\Programme\eMule v0.47c_stop
2007-11-05 17:09 --------- d-----w C:\Programme\Bandwidth Monitor Pro
2007-11-05 12:03 --------- d-----w C:\Programme\TagRename
2007-11-01 00:18 --------- d-----w C:\Programme\Mozilla Thunderbird
2007-10-29 21:49 --------- d-----w C:\Programme\FlashFXP
2007-10-23 12:21 --------- d-----w C:\Programme\Zoom Player
2007-10-20 12:30 --------- d-----w C:\Programme\Java
2007-10-18 22:11 --------- d-----w C:\Programme\Winamp
2007-10-14 20:35 --------- d-----w C:\Programme\MediaCoder
2007-09-27 13:32 --------- d-----w C:\Programme\Exact Audio Copy
2007-09-27 13:19 --------- d-----w C:\Dokumente und Einstellungen\tim\Anwendungsdaten\AccurateRip
2007-09-21 09:14 --------- d-----w C:\Programme\DivX
2007-09-06 14:51 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-09-06 10:36 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2006-03-21 20:30 1,200,128 ----a-w C:\Dokumente und Einstellungen\tim\signsis.exe
2006-01-22 14:38 41,416 ----a-w C:\Dokumente und Einstellungen\tim\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2005-12-25 19:39 153 ----a-w C:\Programme\Subs.avs
2005-03-04 11:32 79 ----a-w C:\Programme\xvid will nicht laden.avs
2005-02-01 16:30 46 ----a-w C:\Programme\mpg frameserver.avs
2007-02-14 19:48:27 13 --sh--r C:\WINDOWS\system32\Mediav_6_4.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{EBF2BA02-9094-4c5a-858B-BB198F3D8DE2}"= C:\Programme\Winamp Toolbar\winamptb.dll [2007-10-04 21:06 1135968]

[HKEY_CLASSES_ROOT\CLSID\{EBF2BA02-9094-4c5a-858B-BB198F3D8DE2}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand.1]
[HKEY_CLASSES_ROOT\TypeLib\{538CD77C-BFDD-49b0-9562-77419CAB89D1}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2}"= C:\Programme\Winamp Toolbar\winamptb.dll [2007-10-04 21:06 1135968]

[HKEY_CLASSES_ROOT\CLSID\{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand.1]
[HKEY_CLASSES_ROOT\TypeLib\{538CD77C-BFDD-49b0-9562-77419CAB89D1}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.exe" [2004-08-03 22:32]
"PHIME2002ASync"="C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.exe" [2002-08-28 20:39]
"PHIME2002A"="C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.exe" [2002-08-28 20:39]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 09:50]
"CloneCDTray"="C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" [2003-10-26 22:53]
"zBrowser Launcher"="C:\Programme\Logitech\iTouch\iTouch.exe" [2004-03-18 08:33]
"StorageGuard"="C:\Programme\VERITAS Software\Update Manager\sgtray.exe" [2002-06-17 23:01]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2004-08-12 12:41]
"ClubBox"="" []
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-11 12:30]
"snpstd3"="C:\WINDOWS\vsnpstd3.exe" [2004-07-30 17:50]
"cFosSpeed"="C:\Programme\cFosSpeed\cFosSpeed.exe" [2006-11-08 16:46]
"IMJPMIG9.0"="C:\PROGRA~1\GEMEIN~1\MICROS~1\IME\IMJP9\IMJPMIG.exe" [2005-03-17 22:40]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 00:11]
"PCSuiteTrayApplication"="C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe" [2007-06-18 14:10]
"tsnp2std"="C:\WINDOWS\tsnp2std.exe" []
"snp2std"="C:\WINDOWS\vsnp2std.exe" [2005-11-16 15:14]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57]
"Bandwidth Monitor Pro"="C:\Programme\Bandwidth Monitor Pro\Bandwidth Monitor Pro.exe" [2005-02-12 11:29]
"BitComet"="C:\Programme\BitComet\BitComet.exe" [2006-06-23 18:00]
"KlipFolio"="C:\Programme\KlipFolio\KlipFolio.exe" [2007-08-04 09:40]
"Skype"="C:\Programme\Skype\Phone\Skype.exe" [2007-09-13 12:31]
"Orb"="C:\Programme\Winamp Remote\bin\OrbTray.exe" [2007-10-08 01:18]
"eMuleAutoStart"="C:\Programme\eMule v0.47c_stop\emule.exe" [2006-11-23 20:20]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"VGA6 Startup"=vgacard6.exe
"Nokia.PCSync"=C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{93994DE8-8239-4655-B1D1-5F4E91300429}"= C:\Programme\DVD Region-Free\DVDShell.dll [2004-03-07 15:58 49152]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= C:\Programme\SUPERAntiSpyware\SASSEH.DLL [2006-09-28 12:22 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
C:\Programme\SUPERAntiSpyware\SASWINLO.dll 2006-10-19 10:12 258048 C:\Programme\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\byxvurs]
byxvurs.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ktjszqwa]
ktjszqwa.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"= msv1_0 C:\WINDOWS\system32\jkhhf.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
"C:\Programme\ICQLite\ICQLite.exe" -minimize

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys
R0 d346bus;d346bus;C:\WINDOWS\system32\DRIVERS\d346bus.sys
R0 d346prt;d346prt;C:\WINDOWS\system32\Drivers\d346prt.sys
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys
R1 nltdi;nltdi;\??\C:\WINDOWS\system32\drivers\nltdi.sys
R2 ccXgui;ccXgui;C:\Programme\ccxgui\ccXservice.exe
R3 RMSPPPOE;WAN Miniport (PPP over Ethernet Protocol);C:\WINDOWS\system32\DRIVERS\RMSPPPOE.SYS
R3 SNP2STD;USB2.0 PC Camera (SNP2STD);C:\WINDOWS\system32\DRIVERS\snp2sxp.sys
S1 vidcap;vidcap;C:\WINDOWS\system32\DRIVERS\vidcap.sys
S3 BTCAMDRV;Mobiola Web Camera driver;C:\WINDOWS\system32\DRIVERS\BTCamDrv.sys
S3 BTNetFilter;Bluetooth Network Filter;\??\C:\WINDOWS\system32\drivers\BTNetFilter.sys
S3 CA504AV;Mega Camera, WDM Video Capture;C:\WINDOWS\system32\Drivers\CA504AV.SYS
S3 jausbct;NEC Portable Phone KMP6J1L1 BUS Control Driver;C:\WINDOWS\system32\DRIVERS\jausbct.sys
S3 jausbfn;NEC Portable Phone KMP6J1L1 Modem Driver;C:\WINDOWS\system32\DRIVERS\jausbfn.sys
S3 kvpndev;Kerio VPN adapter;C:\WINDOWS\system32\DRIVERS\kvpndrv.sys
S3 liusba;NEC 338 Command Port Driver;C:\WINDOWS\system32\DRIVERS\liusba.sys
S3 liusbc;NEC 338 CONTROL Driver;C:\WINDOWS\system32\DRIVERS\liusbc.sys
S3 liusbe;NEC 338 ENUMERATION Driver;C:\WINDOWS\system32\DRIVERS\liusbe.sys
S3 liusbm;NEC 338 Modem Driver;C:\WINDOWS\system32\DRIVERS\liusbm.sys
S3 liusbo;NEC 338 OBEX Port Driver;C:\WINDOWS\system32\DRIVERS\liusbo.sys
S3 PRODIGY;PRODIGY;C:\WINDOWS\system32\Drivers\PRODIGY.SYS
S3 Sunplus;Mega Camera Still Image Capture, Sunplus Version 1.00;C:\WINDOWS\system32\Drivers\Bulk504.sys
S3 TNPacket;T-Systems Nova Packet Capture Driver;\??\C:\Programme\T-DSL SpeedManager\TNPACKET.SYS
S3 XPAD;XBox Controllers USB HID Mini Driver;C:\WINDOWS\system32\Drivers\xpad.sys

.
**************************************************************************

catchme 0.3.1250 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-11-05 21:27:08
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

**************************************************************************
.
Zeit der Fertigstellung: 2007-11-05 21:30:10 - machine was rebooted
C:\ComboFix2.txt ... 2007-11-05 17:56
.
--- E O F ---

#4 CombiFix entfernen
Start > Ausführen>Kopiere rein Combofix /u OK

Stelle Antivir so ein wie hier beschrieben http://board.protecus.de/t23979.htm
Und scanne nochmal
__________
MfG Argus

#5 So hat lang gedauert.


Ich poste mal das Log


AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Montag, 5. November 2007 22:10

Es wird nach 916534 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149946-ABJEE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Benutzername: SYSTEM
Computername: OKINAWA

Versionsinformationen:
BUILD.DAT : 270 15603 Bytes 19.09.2007 13:29:00
AVSCAN.EXE : 7.0.6.1 290856 Bytes 06.09.2007 10:26:18
AVSCAN.DLL : 7.0.6.0 57384 Bytes 06.09.2007 10:26:18
LUKE.DLL : 7.0.5.3 147496 Bytes 06.09.2007 10:26:18
LUKERES.DLL : 7.0.6.0 10792 Bytes 06.09.2007 10:26:18
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 10:24:29
ANTIVIR1.VDF : 7.0.0.0 1640448 Bytes 13.09.2007 10:21:14
ANTIVIR2.VDF : 7.0.0.172 1092608 Bytes 05.11.2007 19:49:48
ANTIVIR3.VDF : 7.0.0.174 3584 Bytes 05.11.2007 19:49:48
AVEWIN32.DLL : 7.6.0.30 3056128 Bytes 27.10.2007 17:16:40
AVWINLL.DLL : 1.0.0.7 14376 Bytes 22.04.2007 23:31:18
AVPREF.DLL : 7.0.2.2 25640 Bytes 06.09.2007 10:26:18
AVREP.DLL : 7.0.0.1 155688 Bytes 22.04.2007 23:31:19
AVPACK32.DLL : 7.3.0.15 360488 Bytes 04.08.2007 09:05:47
AVREG.DLL : 7.0.1.6 30760 Bytes 06.09.2007 10:26:18
AVARKT.DLL : 1.0.0.20 278568 Bytes 06.09.2007 10:26:16
AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 06.09.2007 10:26:16
NETNT.DLL : 7.0.0.0 7720 Bytes 22.04.2007 23:31:18
RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 06.09.2007 10:25:59
RCTEXT.DLL : 7.0.62.0 90152 Bytes 06.09.2007 10:25:59
SQLITE3.DLL : 3.3.17.1 339968 Bytes 06.09.2007 10:26:18

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: aus
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: E:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: aus
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Montag, 5. November 2007 22:10

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'X10nets.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'thunderbird.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'miranda32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Girder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RAMASST.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Plauto.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BlueSoleil.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ServiceLayer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Skype.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'KlipFolio.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BitComet.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Bandwidth Monitor Pro.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vsnp2std.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LaunchApplication.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'cfosspeed.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vsnpstd3.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'devldr32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTouch.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NLClient.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wscntfy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nlsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DVDRAMSV.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ccxStream.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ccXservice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BTNtService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '52' Prozesse mit '52' Modulen durchsucht

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[HINWEIS] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '39' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\UNWISE.EXE
[WARNUNG] Die temporäre Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\tim\Anwendungsdaten\Phoenix\Profiles\Standard-Benutzer\jmac8yrs.slt\Cache\5FEEAEE1d01
[FUND] Enthält verdächtigen Code: HEUR/Exploit.HTML
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47748830.qua' verschoben!
C:\Dokumente und Einstellungen\tim\Anwendungsdaten\Thunderbird\Profiles\6sitq78c.default\Mail\Local Folders\Inbox
[0] Archivtyp: Netscape/Mozilla Mailbox
--> Mailbox_[Message-ID: <438770CB.10101@gmx.de>][From: "AyumiManiac@gmx.de" <AyumiManiac@gmx.de>][Subject: SIE HABEN POST XD (F*** OF AOL X_X)]410.mim
[1] Archivtyp: MIME
--> Crack.exe
[FUND] Ist das Trojanische Pferd TR/Spy.Agent.NBQ.1
[WARNUNG] Die Datei wurde ignoriert.
C:\Dokumente und Einstellungen\tim\Anwendungsdaten\Thunderbird\Profiles\6sitq78c.default\Mail\Local Folders\Trash
[0] Archivtyp: Netscape/Mozilla Mailbox
--> Mailbox_[Message-ID: <438770CB.10101@gmx.de>][From: "AyumiManiac@gmx.de" <AyumiManiac@gmx.de>][Subject: SIE HABEN POST XD (F*** OF AOL X_X)]302.mim
[1] Archivtyp: MIME
--> Crack.exe
[FUND] Ist das Trojanische Pferd TR/Spy.Agent.NBQ.1
[WARNUNG] Die Datei wurde ignoriert.
C:\WINDOWS\system32\TFTP3704
[FUND] Die Datei ist mit einem ungewöhnlichen Laufzeitpacker komprimiert (PCK/YodaProt). Bitte verifizieren Sie den Ursprung dieser Datei.
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4783973d.qua' verschoben!
C:\WINDOWS\system32\drivers\atapi.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'D:\'
Beginne mit der Suche in 'E:\'
E:\Eigene Dateien\Programme 18\SmitfraudFix.exe
[0] Archivtyp: RAR SFX (self extracting)
--> SmitfraudFix\Reboot.exe
[FUND] Enthält Erkennungsmuster des SPR/Tool.Reboot.C-Programmes
--> SmitfraudFix\restart.exe
[FUND] Enthält Erkennungsmuster des SPR/Tool.Hardoff.A-Programmes
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47989bd8.qua' verschoben!


Ende des Suchlaufs: Dienstag, 6. November 2007 00:02
Benötigte Zeit: 1:52:09 min

Der Suchlauf wurde vollständig durchgeführt.

9318 Verzeichnisse wurden überprüft
644990 Dateien wurden geprüft
5 Viren bzw. unerwünschte Programme wurden gefunden
1 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
3 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
644985 Dateien ohne Befall
7513 Archive wurden durchsucht
5 Warnungen
1 Hinweise

#6 SDFix
Download SDFix zum Desktop

Starte im abgesicherten Modus:
http://www.bsi.bund.de/av/texte/wiederher.htm

SDFix.zip entpacken
unter C:\ findet man nun den SDFix-Ordner

Doppelklick RunThis.bat
Schreibe: Y folge allen Anweisungen
Dann wird der Rechner neustarten
SDFix entfernt jetzt die gefundene Objekte
Kopiere den Inhalt des Berichts SophosReport.txt ” der jetzt auf dein Desktop steht in diesen Thread
__________
MfG Argus

#7 Hier das SDFix log



SDFix: Version 1.113

Run by tim on 06.11.2007 at 00:36

Microsoft Windows XP [Version 5.1.2600]

Running From: C:\SDFix

Safe Mode:
Checking Services:


Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting...


Normal Mode:
Checking Files:

Trojan Files Found:

C:\WINDOWS\SYSTEM32\CMMGR32.EXE - Deleted
C:\WINDOWS\SYSTEM32\FTPUPD.EXE - Deleted
C:\WINDOWS\system32\TFTP1000 - Deleted
C:\WINDOWS\system32\TFTP2408 - Deleted
C:\WINDOWS\system32\TFTP2552 - Deleted
C:\WINDOWS\system32\TFTP2576 - Deleted
C:\WINDOWS\system32\TFTP2852 - Deleted
C:\WINDOWS\system32\TFTP2976 - Deleted
C:\WINDOWS\system32\TFTP3028 - Deleted
C:\WINDOWS\system32\TFTP3040 - Deleted
C:\WINDOWS\system32\TFTP3172 - Deleted
C:\WINDOWS\system32\TFTP3192 - Deleted
C:\WINDOWS\system32\TFTP3324 - Deleted
C:\WINDOWS\system32\TFTP3384 - Deleted
C:\WINDOWS\system32\TFTP3424 - Deleted
C:\WINDOWS\system32\TFTP3728 - Deleted
C:\WINDOWS\system32\TFTP3816 - Deleted
C:\WINDOWS\system32\TFTP4004 - Deleted
C:\WINDOWS\system32\TFTP888 - Deleted
C:\WINDOWS\system32\TFTP964 - Deleted



Removing Temp Files...

ADS Check:

C:\WINDOWS
No streams found.

C:\WINDOWS\system32
No streams found.

C:\WINDOWS\system32\svchost.exe
No streams found.

C:\WINDOWS\system32\ntoskrnl.exe
No streams found.



Final Check:

catchme 0.3.1253 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-11-06 00:42:02
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\d346prt\Cfg\0Jf40]

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{56CA5D3B-3002-4E7B-90FE-071D8FDF3814}]
"DisplayName"="DAEMON Tools"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{04D82D26-152B-F8BA-3744-F555A2E5BB3B}]
"iakmablfeccmaahkgm"=hex:6a,61,67,61,65,62,68,69,66,69,6a,62,67,6e,64,63,65,63,67,6e,00,..
"haankcifjhnapcnj"=hex:69,61,6a,62,65,61,66,6f,70,64,63,6a,62,6b,62,6d,6c,63,00,77
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{194A8C8B-E3AF-CAA9-1725-4A4F5044A2B3}]
"iaahlkaglpeocgnljl"=hex:69,61,67,70,6b,67,6a,68,6a,64,61,64,65,6b,67,70,6d,69,00,02
"hakjjnknfcplmilf"=hex:69,61,67,70,6b,67,6a,68,6a,64,61,64,65,6b,67,70,6d,69,00,77
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{64C2D3FE-FA97-983A-E789-65122FC7DB6A}]
"iadfnfgnlnndcbiagj"=hex:69,61,63,6d,66,70,61,6b,68,6e,61,67,67,64,63,6a,6d,61,00,02
"hanfilalnbocllal"=hex:69,61,63,6d,66,70,61,6b,68,6e,61,67,67,64,63,6a,6d,61,00,00

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services:
------------------



Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

Remaining Files:
---------------

File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes:

Wed 14 Feb 2007 13 ..SHR --- "C:\WINDOWS\system32\Mediav_6_4.dll"
Sat 21 May 2005 4,348 ..SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\DRMv1.bak"
Mon 5 Nov 2007 96 A..H. --- "C:\Programme\Common Files\X10\Common\x10prod.sys"

Finished!

#8 Entferne auf C:\SDFix\ backups -->papierkorb leeren
__________
MfG Argus

#9 Entfernt!

War's das?

#10 Möchte eigentlich noch ein Tool benutzen

RVAXO
Download: RVAXO by Smeenk,zum Desktop
Danach doppelklicken
Öffne die Datei RVAXO und doppelklick “RVAXO.cmd”
Moeglich startet der Uninstaller von ein Roquescanner schliesse es nicht ab aber lass es seine Arbeit tun
Dein Rechner wird neu gestartet,wenn nicht
Rechner neu starten und nochmals “RVAXO.cmd” doppelklicken
Poste nachher den logfile C:\ RVAXO-results.login dein folgender Bericht
__________
MfG Argus

#11 wenn ich RVAXO entpacke gibt mir antivir diese meldung:

Enthält Erkennungsmuster der SPR/Tool.Hardoff.A

Soll ich das ignorieren?

#12 Ja,bitte ignorieren
__________
MfG Argus

#13 ----------------RVAXO.exe first run-------------

Files found:

C:\WINDOWS\SYSTEM32\SSPRS.DLL

Uninstallers Rogue scanners:


Folders Found:


Hosts-file was reset, If you use a custom hosts file please replace it...

--------------RVAXO.exe last run---------------

Files found:

Folders Found:

--------------RVAXO.exe finished----------------

#14 Na,wurde doch noch was gefunden

Oeffne die Datei RVAXO auf dein Desktop
Doppleklick Uninstall.cmd um alles von RVAXO zu entfernen

Schlaf gut
MfG
Arnold
__________
MfG Argus

#15 Klasse, bin dir wirklich sehr sehr dankbar.
Tolles Board habt ihr hier!

Schlaf du auch gut!