hab ein problem mit meinen pc

#1 wenn ich denn Browser oder in eigene datei gehen will dann kommt die meldung trojan-spy.win32 habe das programm zonealarm security suite
bitte kann mir einer helfen von euch


Logfile of HijackThis v1.99.1
Scan saved at 17:39:54, on 10.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\gearsec.exe
C:\WINDOWS\Dit.exe
C:\HP\KBD\KBD.EXE
C:\WINDOWS\DitExp.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\Programme\iPod\bin\iPodService.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\MAILFR~1\mantispm.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Kakashi Hatake\Eigene Dateien\HIJACKTHIS\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de8.hpwis.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-de8.hpwis.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-de8.hpwis.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://srch-de8.hpwis.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de8.hpwis.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-de8.hpwis.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-de8.hpwis.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://srch-de8.hpwis.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de8.hpwis.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {2B42721A-46E7-4EAF-9DF2-33320781F19B} - C:\WINDOWS\system32\dbghel.dll
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://de8.hpwis.com
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Gear Security Service (GEARSecurity) - GEAR Software - C:\WINDOWS\System32\gearsec.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

#2 Wo meldet Zonealarm denn "trojan-spy.win32"


BTW: Hake bitte in hijackthis folgendes an und druecke fix checked.

O2 - BHO: (no name) - {2B42721A-46E7-4EAF-9DF2-33320781F19B} - C:\WINDOWS\system32\dbghel.dll

Danach bitte neu starten, ein neues Hijackthis log erstellen und zusaetzlich ein Combofix report: http://board.protecus.de/t23188.htm
__________
MfG Ralf
SEO-Spam Hunter

#3 sorry das es so lange gedauert hatt hier sind die beiden logs





Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:11:46, on 10.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\ZoneLabs\avsys\ScanningProcess.exe
C:\WINDOWS\system32\ZoneLabs\avsys\ScanningProcess.exe
C:\WINDOWS\System32\gearsec.exe
C:\Programme\Spyware Doctor\svcntaux.exe
C:\Programme\Spyware Doctor\swdsvc.exe
C:\Programme\Spyware Doctor\SDTrayApp.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Dit.exe
C:\HP\KBD\KBD.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\WINDOWS\DitExp.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\MAILFR~1\mantispm.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\explorer.exe
C:\Dokumente und Einstellungen\Kakashi Hatake\Eigene Dateien\HJT\HijackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-de8.hpwis.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de8.hpwis.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-de8.hpwis.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-de8.hpwis.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://srch-de8.hpwis.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de8.hpwis.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {2B42721A-46E7-4EAF-9DF2-33320781F19B} - C:\WINDOWS\system32\dbghel.dll
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SDTray] "C:\Programme\Spyware Doctor\SDTrayApp.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://de8.hpwis.com
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Gear Security Service (GEARSecurity) - GEAR Software - C:\WINDOWS\System32\gearsec.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 5119 bytes





und combofix

ComboFix 07-11-08.1 - Kakashi Hatake 2007-11-10 22:58:01.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.516 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Kakashi Hatake\Lokale Einstellungen\Temporary Internet Files\Content.IE5\U78ZQZ4V\ComboFix[1].exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((( Dateien erstellt von 2007-10-10 bis 2007-11-10 ))))))))))))))))))))))))))))))
.

2007-11-10 22:54 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-11-10 19:54 8,704 --a------ C:\sysdnzu.exe
2007-11-10 19:51 42,496 --a------ C:\wndrgfq.exe
2007-11-10 19:38 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2007-11-10 19:38 79,688 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys
2007-11-10 19:38 62,280 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys
2007-11-10 19:38 41,288 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys
2007-11-10 19:38 29,000 --a------ C:\WINDOWS\system32\drivers\kcom.sys
2007-11-10 19:37 <DIR> d-------- C:\Programme\Spyware Doctor
2007-11-10 19:37 <DIR> d-------- C:\Dokumente und Einstellungen\Kakashi Hatake\Anwendungsdaten\PC Tools
2007-11-10 19:37 626,688 --a------ C:\WINDOWS\system32\msvcr80.dll
2007-11-10 19:37 499,712 --a------ C:\WINDOWS\system32\msvcp71.dll
2007-11-10 19:37 348,160 --a------ C:\WINDOWS\system32\msvcr71.dll
2007-11-10 18:04 <DIR> d-------- C:\WINDOWS\system32\JVEffect
2007-11-10 18:04 <DIR> d-------- C:\Programme\impact
2007-11-10 17:11 <DIR> d-------- C:\Programme\EA GAMES
2007-11-10 16:20 512 --a------ C:\ScanSectorLog.dat
2007-11-10 16:08 94,720 --a------ C:\WINDOWS\system32\dbghel.dll
2007-11-10 16:08 18,688 C:\WINDOWS\system32\drivers\pvuxsrpz.dat
2007-11-10 16:01 <DIR> d-------- C:\Dokumente und Einstellungen\Kakashi Hatake\Anwendungsdaten\MailFrontier
2007-11-10 15:45 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MailFrontier
2007-11-10 15:43 <DIR> d-------- C:\WINDOWS\Internet Logs
2007-11-10 15:38 2,297,552 --a------ C:\WINDOWS\system32\d3dx9_26.dll
2007-11-10 15:32 <DIR> d-------- C:\Programme\Windows Media Connect 2
2007-11-10 15:30 <DIR> d-------- C:\WINDOWS\system32\LogFiles
2007-11-10 15:30 <DIR> d-------- C:\WINDOWS\system32\drivers\UMDF
2007-11-10 07:53 584,192 -----c--- C:\WINDOWS\system32\dllcache\rpcrt4.dll
2007-11-10 07:50 <DIR> d-------- C:\Dokumente und Einstellungen\Kakashi Hatake\Anwendungsdaten\ATI
2007-11-10 07:46 520,192 --------- C:\WINDOWS\system32\ati2sgag.exe
2007-11-10 07:46 168,832 --a------ C:\WINDOWS\system32\drivers\atinavt2.sys
2007-11-10 07:45 <DIR> d-------- C:\Programme\ATI Technologies
2007-11-10 07:38 <DIR> d--h----- C:\WINDOWS\$hf_mig$
2007-11-10 07:23 <DIR> d-------- C:\WINDOWS\ServicePackFiles
2007-11-10 07:18 23,856 --a------ C:\WINDOWS\system32\spupdsvc.exe
2007-11-10 07:16 <DIR> d-------- C:\WINDOWS\EHome
2007-11-10 06:59 17,664 -ra------ C:\WINDOWS\system32\drivers\AWISp50.sys
2007-11-10 06:54 <DIR> d-------- C:\WINDOWS\system32\config\systemprofile\WINDOWS
2007-11-10 06:54 <DIR> d---s---- C:\WINDOWS\system32\config\systemprofile\UserData
2007-11-10 06:54 <DIR> d-------- C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\Symantec
2007-11-10 06:54 <DIR> d-------- C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\Sonic
2007-11-10 06:54 <DIR> d-------- C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\Leadertech
2007-11-10 06:54 <DIR> d-------- C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\InterVideo
2007-11-10 06:54 <DIR> d-------- C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\CyberLink
2007-11-10 06:54 <DIR> d-------- C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\AdobeUM
2007-11-10 06:54 <DIR> d-------- C:\Dokumente und Einstellungen\Kakashi Hatake\WINDOWS
2007-11-10 06:54 <DIR> d--h----- C:\Dokumente und Einstellungen\Kakashi Hatake\Vorlagen
2007-11-10 06:54 <DIR> d---s---- C:\Dokumente und Einstellungen\Kakashi Hatake\UserData
2007-11-10 06:54 <DIR> dr------- C:\Dokumente und Einstellungen\Kakashi Hatake\Startmenü
2007-11-10 06:54 <DIR> d--h----- C:\Dokumente und Einstellungen\Kakashi Hatake\Netzwerkumgebung
2007-11-10 06:54 <DIR> d--h----- C:\Dokumente und Einstellungen\Kakashi Hatake\Lokale Einstellungen
2007-11-10 06:54 <DIR> dr------- C:\Dokumente und Einstellungen\Kakashi Hatake\Favoriten
2007-11-10 06:54 <DIR> dr------- C:\Dokumente und Einstellungen\Kakashi Hatake\Eigene Dateien
2007-11-10 06:54 <DIR> d--h----- C:\Dokumente und Einstellungen\Kakashi Hatake\Druckumgebung
2007-11-10 06:54 <DIR> d-------- C:\Dokumente und Einstellungen\Kakashi Hatake\Anwendungsdaten\Symantec
2007-11-10 06:54 <DIR> d-------- C:\Dokumente und Einstellungen\Kakashi Hatake\Anwendungsdaten\Sonic
2007-11-10 06:54 <DIR> d-------- C:\Dokumente und Einstellungen\Kakashi Hatake\Anwendungsdaten\Leadertech
2007-11-10 06:54 <DIR> d-------- C:\Dokumente und Einstellungen\Kakashi Hatake\Anwendungsdaten\InterVideo
2007-11-10 06:54 <DIR> d-------- C:\Dokumente und Einstellungen\Kakashi Hatake\Anwendungsdaten\CyberLink
2007-11-10 06:54 <DIR> d-------- C:\Dokumente und Einstellungen\Kakashi Hatake\Anwendungsdaten\AdobeUM
2007-11-10 06:54 <DIR> dr-h----- C:\Dokumente und Einstellungen\Kakashi Hatake\Anwendungsdaten
2007-11-10 06:54 <DIR> d-------- C:\Dokumente und Einstellungen\Default User\WINDOWS
2007-11-10 06:54 <DIR> d---s---- C:\Dokumente und Einstellungen\Default User\UserData

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-11-10 22:00 1,630,752 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2007-11-10 19:12 23,480 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2007-11-10 17:04 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-11-10 16:20 12,528 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys
2007-11-10 14:53 --------- d-----w C:\Programme\Gemeinsame Dateien\Symantec Shared
2007-11-10 14:50 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec
2007-11-10 14:45 75,932 ----a-w C:\WINDOWS\system32\drivers\klick.dat
2007-11-10 14:45 74,396 ----a-w C:\WINDOWS\system32\drivers\klin.dat
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{2B42721A-46E7-4EAF-9DF2-33320781F19B}]
2004-08-04 00:57 94720 --a------ C:\WINDOWS\system32\dbghel.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Dit"="Dit.exe" [2002-08-28 12:43 C:\WINDOWS\Dit.exe]
"KBD"="C:\HP\KBD\KBD.EXE" [2003-02-11 13:02]
"UpdateManager"="C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" [2003-08-19 01:01]
"Cmaudio"="cmicnfg.cpl" [2003-12-11 15:44 C:\WINDOWS\CMICNFG.CPL]
"PS2"="C:\WINDOWS\system32\ps2.exe" [2002-10-16 09:57]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2004-01-16 11:16]
"PCMService"="C:\Programme\Home Cinema\PowerCinema\PCMService.exe" [2003-06-24 14:23]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2004-06-07 12:11]
"nwiz"="nwiz.exe" [2004-06-07 12:11 C:\WINDOWS\system32\nwiz.exe]
"ATICCC"="C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-05-10 10:12]
"ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2007-06-21 21:54]
"SDTray"="C:\Programme\Spyware Doctor\SDTrayApp.exe" [2007-11-10 19:39]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RecordNow!"="" []

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdauxservice"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdcoreservice"

R0 lxnbwxsz;lxnbwxsz;C:\WINDOWS\system32\drivers\pvuxsrpz.dat
R2 AWISp50;AWISp50 NDIS Protocol Driver;C:\WINDOWS\system32\Drivers\AWISp50.sys
R3 Cap7134;MEDION (7134) WDM Video Capture;C:\WINDOWS\system32\DRIVERS\Cap7134.sys
R3 Intels51;Creatix V.9X DSP Data Fax Modem;C:\WINDOWS\system32\DRIVERS\ctxs51.sys
R3 PhTVTune;MEDION TV-TUNER 7134 MK2/3;C:\WINDOWS\system32\DRIVERS\PhTVTune.sys
S3 wlags48d;Agere Wireless PCCard Service;C:\WINDOWS\system32\DRIVERS\wlags48d.sys

*Newly Created Service* - CATCHME
.
**************************************************************************

catchme 0.3.1250 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-11-10 23:02:04
Windows 5.1.2600 Service Pack 2 NTFS

detected NTDLL code modification:
ZwClose

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2007-11-10 23:04:21
.
--- E O F ---



Datenträger in Laufwerk C: ist BOOT
Volumeseriennummer: 48AC-4ADA

Verzeichnis von C:\WINDOWS\system32

10.11.2007 21:13 4.212 zllictbl.dat
10.11.2007 21:13 58.881 vsconfig.xml
10.11.2007 20:10 51.355 muzika.xm
10.11.2007 19:39 402.542 perfh009.dat
10.11.2007 19:39 63.152 perfc009.dat
10.11.2007 19:39 417.312 perfh007.dat
10.11.2007 19:39 76.066 perfc007.dat
10.11.2007 19:39 970.772 PerfStringBackup.INI
10.11.2007 15:33 23.392 nscompat.tlb
10.11.2007 15:33 16.832 amcompat.tlb
10.11.2007 15:29 1.230 wpa.dbl
10.11.2007 07:31 249 spupdwxp.log
10.11.2007 07:31 126.912 FNTCACHE.DAT
10.11.2007 06:54 96 $winnt$.inf

30.07.2007 19:20 30.040 wuaucpl.cpl.mui
30.07.2007 19:20 30.040 wuapi.dll.mui
30.07.2007 19:19 1.712.984 wuaueng.dll
30.07.2007 19:19 549.720 wuapi.dll
30.07.2007 19:19 325.976 wucltui.dll
30.07.2007 19:19 203.096 wuweb.dll
30.07.2007 19:19 216.408 wuaucpl.cpl
30.07.2007 19:19 92.504 cdm.dll
30.07.2007 19:19 53.080 wuauclt.exe
30.07.2007 19:19 43.352 wups2.dll
30.07.2007 19:18 34.136 wucltui.dll.mui
30.07.2007 19:18 33.624 wups.dll
30.07.2007 19:18 20.824 wuaueng.dll.mui
22.07.2007 18:39 279.552 swreg.exe
09.07.2007 14:11 584.192 rpcrt4.dll

21.06.2007 21:55 54.672 vsutil_loc0407.dll
21.06.2007 21:54 17.808 imslsp_install_loc0407.dll
21.06.2007 21:54 21.904 imsinstall_loc0407.dll
21.06.2007 21:54 394.984 vsdatant.sys
21.06.2007 21:54 1.086.952 zpeng24.dll
21.06.2007 21:54 46.568 vswmi.dll
21.06.2007 21:54 472.552 vsutil.dll
21.06.2007 21:54 71.144 zlcommdb.dll
21.06.2007 21:54 83.432 zlcomm.dll
21.06.2007 21:54 99.816 vsxml.dll
21.06.2007 21:54 103.912 vsmonapi.dll
21.06.2007 21:54 275.944 vspubapi.dll
21.06.2007 21:54 71.144 vsregexp.dll
21.06.2007 21:54 157.160 vsinit.dll
21.06.2007 21:54 83.432 vsdata.dll
21.06.2007 21:54 796.048 libeay32_0.9.6l.dll
12.06.2007 23:53 123.904 xpsp3res.dll

hoffe du kannst mir helfen.

#4 Kopiere bitte folgendes in der Codezeile in eine Datei namens cfscript.txt, speichere diese auf den Desktop und ziehe sie auf die combofix.exe

Code

collect:
C:\sysdnzu.exe
C:\wndrgfq.exe
C:\WINDOWS\system32\dbghel.dll
C:\WINDOWS\system32\drivers\pvuxsrpz.dat

Starte neu und poste ein neues Hijacktis log und schicke die erstellte Zip Datei auf dem Desktop an virus@protecus.de
__________
MfG Ralf
SEO-Spam Hunter

#5 Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:24:53, on 11.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\ZoneLabs\avsys\ScanningProcess.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\ZoneLabs\avsys\ScanningProcess.exe
C:\Programme\Windows Live\Family Safety\fsssvc.exe
C:\WINDOWS\System32\gearsec.exe
C:\Programme\Spyware Doctor\svcntaux.exe
C:\Programme\Spyware Doctor\swdsvc.exe
C:\Programme\Spyware Doctor\SDTrayApp.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\Dit.exe
C:\HP\KBD\KBD.EXE
C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\Windows Live\Family Safety\fssui.exe
C:\WINDOWS\DitExp.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\MAILFR~1\mantispm.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\Dokumente und Einstellungen\Kakashi Hatake\Eigene Dateien\HJT\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-de8.hpwis.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de8.hpwis.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-de8.hpwis.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-de8.hpwis.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://srch-de8.hpwis.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de8.hpwis.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {2B42721A-46E7-4EAF-9DF2-33320781F19B} - C:\WINDOWS\system32\dbghel.dll
O2 - BHO: Windows Live OneCare Family Safety Browser Helper - {4f3ed5cd-0726-42a9-87f5-d13f3d2976ac} - C:\Programme\Windows Live\Family Safety\fssbho.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SDTray] "C:\Programme\Spyware Doctor\SDTrayApp.exe"
O4 - HKLM\..\Run: [fssui] "C:\Programme\Windows Live\Family Safety\fssui.exe" -autorun
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in &Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://de8.hpwis.com
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Gear Security Service (GEARSecurity) - GEAR Software - C:\WINDOWS\System32\gearsec.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 6582 bytes

#6 Hast du obiges Script wie beschrieben ausgefuehrt?
__________
MfG Ralf
SEO-Spam Hunter

#7 das hab ich hab nur den log

können wir nich noch mal neu beginnen schrit für schrit gehn mich mit so was echt nicht so aus

#8 Im Grunde ist es recht einfach. Hake diesen Eintrag in Hijackthis an:

O2 - BHO: (no name) - {2B42721A-46E7-4EAF-9DF2-33320781F19B} - C:\WINDOWS\system32\dbghel.dll

Schliesse dann alle Browserfenster und druecke fix checked.
Mache ein neues Hijackthis log und der Eintrag sollte weg sein.....
__________
MfG Ralf
SEO-Spam Hunter

#9 habs so gemacht aber es kann mann nicht löschen



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:52:27, on 11.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ZoneLabs\avsys\ScanningProcess.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\ZoneLabs\avsys\ScanningProcess.exe
C:\WINDOWS\System32\gearsec.exe
C:\Programme\Spyware Doctor\svcntaux.exe
C:\Programme\Spyware Doctor\swdsvc.exe
C:\Programme\Spyware Doctor\SDTrayApp.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Dit.exe
C:\HP\KBD\KBD.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\DitExp.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\Programme\iPod\bin\iPodService.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\msiexec.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\MAILFR~1\mantispm.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Kakashi Hatake\Eigene Dateien\HJT\HijackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-de8.hpwis.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de8.hpwis.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-de8.hpwis.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-de8.hpwis.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://srch-de8.hpwis.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de8.hpwis.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {2B42721A-46E7-4EAF-9DF2-33320781F19B} - C:\WINDOWS\system32\dbghel.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SDTray] "C:\Programme\Spyware Doctor\SDTrayApp.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in &Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://de8.hpwis.com
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Gear Security Service (GEARSecurity) - GEAR Software - C:\WINDOWS\System32\gearsec.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 6207 bytes

#10 Ich liebe eigentlcih die Combofix Methode, und habe festgestellt, das ich obiges script falsch eingegeben habe(nur ein : anstatt 2

Nimm bitte das als cfscript.txt

Code

collect::
C:\sysdnzu.exe
C:\wndrgfq.exe
C:\WINDOWS\system32\dbghel.dll
C:\WINDOWS\system32\drivers\pvuxsrpz.dat

Versuche es bitte damit nocheinmal
__________
MfG Ralf
SEO-Spam Hunter

#11 ich habs so gemacht wie du es wolltest wo combofix die dateien löschen wollte kam
die fehler meldung der Befehl SED ist entweder Falsch geschrieben oder konnte nicht gefunden werden. dann hab ich noch ein scann gemacht mit hijackthis
hier ist de log


Logfile of HijackThis v1.99.1
Scan saved at 19:51:19, on 11.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ZoneLabs\avsys\ScanningProcess.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\ZoneLabs\avsys\ScanningProcess.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\System32\gearsec.exe
C:\HP\KBD\KBD.EXE
C:\Programme\Spyware Doctor\svcntaux.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\Programme\Spyware Doctor\swdsvc.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\DitExp.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE
C:\Programme\Spyware Doctor\SDTrayApp.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\MAILFR~1\mantispm.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Kakashi Hatake\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-de8.hpwis.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de8.hpwis.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-de8.hpwis.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-de8.hpwis.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://srch-de8.hpwis.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de8.hpwis.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SDTray] "C:\Programme\Spyware Doctor\SDTrayApp.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in &Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://de8.hpwis.com
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Programme\Windows Live\Mail\mailcomm.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Gear Security Service (GEARSecurity) - GEAR Software - C:\WINDOWS\System32\gearsec.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

#12 Sonderbar, der Eintrag im Hijackthis Log ist nun weg. Wurde ein Zip Archiv auf dem Desktop erstellt? Combofix sollte auch ein neuen Report erzeugt haben!?
__________
MfG Ralf
SEO-Spam Hunter

#13 ein Zip Archiv wurde erstellt und ein report

ComboFix 07-11-08.1 - Kakashi Hatake 2007-11-11 19:31:30.3 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.538 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Kakashi Hatake\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Kakashi Hatake\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt
.

Nicht in der Lage Systemrechte zu erhalten

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\sysdnzu.exe
C:\WINDOWS\system32\dbghel.dll
C:\WINDOWS\system32\drivers\pvuxsrpz.dat
C:\wndrgfq.exe

.
((((((((((((((((((((((( Dateien erstellt von 2007-10-11 bis 2007-11-11 ))))))))))))))))))))))))))))))
.

2007-11-11 18:40 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\X10 Commander
2007-11-11 18:24 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\WINDOWS
2007-11-11 18:24 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2007-11-11 18:24 <DIR> d---s---- C:\Dokumente und Einstellungen\Administrator\UserData
2007-11-11 18:24 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmen�
2007-11-11 18:24 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2007-11-11 18:24 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2007-11-11 18:24 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2007-11-11 18:24 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2007-11-11 18:24 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2007-11-11 18:24 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Symantec
2007-11-11 18:24 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Sonic
2007-11-11 18:24 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Leadertech
2007-11-11 18:24 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\InterVideo
2007-11-11 18:24 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\CyberLink
2007-11-11 18:24 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\AdobeUM
2007-11-11 18:24 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2007-11-11 03:38 <DIR> dr------- C:\Dokumente und Einstellungen\NetworkService\Eigene Dateien
2007-11-11 03:37 <DIR> dr------- C:\Dokumente und Einstellungen\NetworkService\Favoriten
2007-11-11 03:21 128,896 -----c--- C:\WINDOWS\system32\dllcache\fltmgr.sys
2007-11-11 03:21 23,040 -----c--- C:\WINDOWS\system32\dllcache\fltmc.exe
2007-11-11 03:21 16,896 -----c--- C:\WINDOWS\system32\dllcache\fltlib.dll
2007-11-11 02:27 271,224 --a------ C:\WINDOWS\system32\mucltui.dll
2007-11-11 02:27 207,736 --a------ C:\WINDOWS\system32\muweb.dll
2007-11-11 02:26 <DIR> d-------- C:\Programme\DivX
2007-11-11 00:48 1,274 --a------ C:\WINDOWS\mozver.dat
2007-11-11 00:42 3,426,072 --a------ C:\WINDOWS\system32\d3dx9_32.dll
2007-11-11 00:40 <DIR> d-------- C:\Programme\Windows Live Toolbar
2007-11-11 00:40 <DIR> d-------- C:\Programme\Windows Live Favorites
2007-11-11 00:40 <DIR> d-------- C:\Programme\Microsoft SQL Server Compact Edition
2007-11-11 00:40 <DIR> d-------- C:\Dokumente und Einstellungen\Kakashi Hatake\Contacts
2007-11-11 00:38 <DIR> d----c--- C:\WINDOWS\system32\DRVSTORE
2007-11-11 00:07 <DIR> d-------- C:\Programme\Windows Live
2007-11-11 00:07 <DIR> d--hsc--- C:\Programme\Gemeinsame Dateien\WindowsLiveInstaller
2007-11-11 00:07 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WLInstaller
2007-11-10 23:39 0 --a------ C:\WINDOWS\nsreg.dat
2007-11-10 22:54 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-11-10 19:38 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2007-11-10 19:38 79,688 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys
2007-11-10 19:38 62,280 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys
2007-11-10 19:38 41,288 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys
2007-11-10 19:38 29,000 --a------ C:\WINDOWS\system32\drivers\kcom.sys
2007-11-10 19:37 <DIR> d-------- C:\Programme\Spyware Doctor
2007-11-10 19:37 <DIR> d-------- C:\Dokumente und Einstellungen\Kakashi Hatake\Anwendungsdaten\PC Tools
2007-11-10 19:37 626,688 --a------ C:\WINDOWS\system32\msvcr80.dll
2007-11-10 19:37 499,712 --a------ C:\WINDOWS\system32\msvcp71.dll
2007-11-10 19:37 348,160 --a------ C:\WINDOWS\system32\msvcr71.dll
2007-11-10 18:04 <DIR> d-------- C:\WINDOWS\system32\JVEffect
2007-11-10 18:04 <DIR> d-------- C:\Programme\impact
2007-11-10 17:11 <DIR> d-------- C:\Programme\EA GAMES
2007-11-10 16:20 512 --a------ C:\ScanSectorLog.dat
2007-11-10 16:01 <DIR> d-------- C:\Dokumente und Einstellungen\Kakashi Hatake\Anwendungsdaten\MailFrontier
2007-11-10 15:45 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MailFrontier
2007-11-10 15:43 <DIR> d-------- C:\WINDOWS\Internet Logs
2007-11-10 15:38 2,297,552 --a------ C:\WINDOWS\system32\d3dx9_26.dll
2007-11-10 15:32 <DIR> d-------- C:\Programme\Windows Media Connect 2
2007-11-10 15:30 <DIR> d-------- C:\WINDOWS\system32\LogFiles
2007-11-10 15:30 <DIR> d-------- C:\WINDOWS\system32\drivers\UMDF
2007-11-10 07:53 584,192 -----c--- C:\WINDOWS\system32\dllcache\rpcrt4.dll
2007-11-10 07:50 <DIR> d-------- C:\Dokumente und Einstellungen\Kakashi Hatake\Anwendungsdaten\ATI
2007-11-10 07:46 520,192 --------- C:\WINDOWS\system32\ati2sgag.exe
2007-11-10 07:46 168,832 --a------ C:\WINDOWS\system32\drivers\atinavt2.sys
2007-11-10 07:45 <DIR> d-------- C:\Programme\ATI Technologies
2007-11-10 07:38 <DIR> d--h----- C:\WINDOWS\$hf_mig$
2007-11-10 07:23 <DIR> d-------- C:\WINDOWS\ServicePackFiles
2007-11-10 07:18 23,856 --a------ C:\WINDOWS\system32\spupdsvc.exe
2007-11-10 07:16 <DIR> d-------- C:\WINDOWS\EHome
2007-11-10 06:59 17,664 -ra------ C:\WINDOWS\system32\drivers\AWISp50.sys
2007-11-10 06:54 <DIR> d-------- C:\WINDOWS\system32\config\systemprofile\WINDOWS
2007-11-10 06:54 <DIR> d---s---- C:\WINDOWS\system32\config\systemprofile\UserData
2007-11-10 06:54 <DIR> d-------- C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\Symantec
2007-11-10 06:54 <DIR> d-------- C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\Sonic
2007-11-10 06:54 <DIR> d-------- C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\Leadertech
2007-11-10 06:54 <DIR> d-------- C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\InterVideo
2007-11-10 06:54 <DIR> d-------- C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\CyberLink
2007-11-10 06:54 <DIR> d-------- C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\AdobeUM
2007-11-10 06:54 <DIR> d-------- C:\Dokumente und Einstellungen\Kakashi Hatake\WINDOWS
2007-11-10 06:54 <DIR> d--h----- C:\Dokumente und Einstellungen\Kakashi Hatake\Vorlagen
2007-11-10 06:54 <DIR> d---s---- C:\Dokumente und Einstellungen\Kakashi Hatake\UserData
2007-11-10 06:54 <DIR> dr------- C:\Dokumente und Einstellungen\Kakashi Hatake\Startmen�
2007-11-10 06:54 <DIR> d--h----- C:\Dokumente und Einstellungen\Kakashi Hatake\Netzwerkumgebung
2007-11-10 06:54 <DIR> d--h----- C:\Dokumente und Einstellungen\Kakashi Hatake\Lokale Einstellungen
2007-11-10 06:54 <DIR> dr------- C:\Dokumente und Einstellungen\Kakashi Hatake\Favoriten
2007-11-10 06:54 <DIR> dr------- C:\Dokumente und Einstellungen\Kakashi Hatake\Eigene Dateien
2007-11-10 06:54 <DIR> d--h----- C:\Dokumente und Einstellungen\Kakashi Hatake\Druckumgebung
2007-11-10 06:54 <DIR> d-------- C:\Dokumente und Einstellungen\Kakashi Hatake\Anwendungsdaten\Symantec
2007-11-10 06:54 <DIR> d-------- C:\Dokumente und Einstellungen\Kakashi Hatake\Anwendungsdaten\Sonic
2007-11-10 06:54 <DIR> d-------- C:\Dokumente und Einstellungen\Kakashi Hatake\Anwendungsdaten\Leadertech
2007-11-10 06:54 <DIR> d-------- C:\Dokumente und Einstellungen\Kakashi Hatake\Anwendungsdaten\InterVideo
2007-11-10 06:54 <DIR> d-------- C:\Dokumente und Einstellungen\Kakashi Hatake\Anwendungsdaten\CyberLink
2007-11-10 06:54 <DIR> d-------- C:\Dokumente und Einstellungen\Kakashi Hatake\Anwendungsdaten\AdobeUM
2007-11-10 06:54 <DIR> dr-h----- C:\Dokumente und Einstellungen\Kakashi Hatake\Anwendungsdaten
2007-11-10 06:54 <DIR> d-------- C:\Dokumente und Einstellungen\Default User\WINDOWS
2007-11-10 06:54 <DIR> d---s---- C:\Dokumente und Einstellungen\Default User\UserData
2007-10-23 17:49 587,264 --a------ C:\WINDOWS\WLXPGSS.SCR
2007-10-20 01:56 1,044,480 --a------ C:\WINDOWS\system32\libdivx.dll
2007-10-20 01:56 200,704 --a------ C:\WINDOWS\system32\ssldivx.dll
2007-10-18 11:31 51,224 --a------ C:\WINDOWS\system32\sirenacm.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-11-11 18:37 1,942,560 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2007-11-11 18:14 27,848 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2007-11-10 17:04 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-11-10 16:20 12,528 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys
2007-11-10 14:53 --------- d-----w C:\Programme\Gemeinsame Dateien\Symantec Shared
2007-11-10 14:50 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec
2007-11-10 14:45 75,932 ----a-w C:\WINDOWS\system32\drivers\klick.dat
2007-11-10 14:45 74,396 ----a-w C:\WINDOWS\system32\drivers\klin.dat
2007-08-21 06:16 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll
.

((((((((((((((((((((((((((((( snapshot_2007-11-11_15.59.47,76 )))))))))))))))))))))))))))))))))))))))))
.
- 2007-11-10 23:38:21 29,926 ----a-r C:\WINDOWS\Installer\{2B091530-69AA-442E-AB09-39ED06B58220}\MsblIco.Exe
+ 2007-11-11 17:48:18 29,926 ----a-r C:\WINDOWS\Installer\{2B091530-69AA-442E-AB09-39ED06B58220}\MsblIco.Exe
- 2007-11-11 14:31:25 76,376 ----a-w C:\WINDOWS\system32\perfc007.dat
+ 2007-11-11 17:50:36 76,066 ----a-w C:\WINDOWS\system32\perfc007.dat
- 2007-11-11 14:31:25 63,412 ----a-w C:\WINDOWS\system32\perfc009.dat
+ 2007-11-11 17:50:36 63,152 ----a-w C:\WINDOWS\system32\perfc009.dat
- 2007-11-11 14:31:25 417,606 ----a-w C:\WINDOWS\system32\perfh007.dat
+ 2007-11-11 17:50:36 417,312 ----a-w C:\WINDOWS\system32\perfh007.dat
- 2007-11-11 14:31:25 402,802 ----a-w C:\WINDOWS\system32\perfh009.dat
+ 2007-11-11 17:50:36 402,542 ----a-w C:\WINDOWS\system32\perfh009.dat
- 2007-11-11 14:29:01 4,212 ---h--w C:\WINDOWS\system32\zllictbl.dat
+ 2007-11-11 18:16:14 4,212 ---h--w C:\WINDOWS\system32\zllictbl.dat
- 2007-11-11 14:55:17 926,720 ----a-w C:\WINDOWS\system32\ZoneLabs\zlqrtdb.dat
+ 2007-11-11 18:37:35 926,720 ----a-w C:\WINDOWS\system32\ZoneLabs\zlqrtdb.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Dit"="Dit.exe" [2002-08-28 12:43 C:\WINDOWS\Dit.exe]
"KBD"="C:\HP\KBD\KBD.EXE" [2003-02-11 13:02]
"UpdateManager"="C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" [2003-08-19 01:01]
"Cmaudio"="cmicnfg.cpl" [2003-12-11 15:44 C:\WINDOWS\CMICNFG.CPL]
"PS2"="C:\WINDOWS\system32\ps2.exe" [2002-10-16 09:57]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2004-01-16 11:16]
"PCMService"="C:\Programme\Home Cinema\PowerCinema\PCMService.exe" [2003-06-24 14:23]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2004-06-07 12:11]
"nwiz"="nwiz.exe" [2004-06-07 12:11 C:\WINDOWS\system32\nwiz.exe]
"ATICCC"="C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-05-10 10:12]
"ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2007-06-21 21:54]
"SDTray"="C:\Programme\Spyware Doctor\SDTrayApp.exe" [2007-11-10 19:39]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RecordNow!"="" []
"MsnMsgr"="C:\Programme\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 11:34]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdauxservice"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdcoreservice"

R2 AWISp50;AWISp50 NDIS Protocol Driver;C:\WINDOWS\system32\Drivers\AWISp50.sys
R3 Cap7134;MEDION (7134) WDM Video Capture;C:\WINDOWS\system32\DRIVERS\Cap7134.sys
R3 Intels51;Creatix V.9X DSP Data Fax Modem;C:\WINDOWS\system32\DRIVERS\ctxs51.sys
R3 PhTVTune;MEDION TV-TUNER 7134 MK2/3;C:\WINDOWS\system32\DRIVERS\PhTVTune.sys
S0 lxnbwxsz;lxnbwxsz;C:\WINDOWS\system32\drivers\pvuxsrpz.dat
S3 wlags48d;Agere Wireless PCCard Service;C:\WINDOWS\system32\DRIVERS\wlags48d.sys

.
Inhalt des "geplante Tasks" Ordners
"2007-11-11 18:00:02 C:\WINDOWS\Tasks\Auf Updates für Windows Live Toolbar prüfen.job"
.
**************************************************************************

catchme 0.3.1250 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-11-11 19:42:11
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2007-11-11 19:46:30 - machine was rebooted
C:\ComboFix2.txt ... 2007-11-11 16:01
C:\ComboFix3.txt ... 2007-11-10 23:04
.
--- E O F ---


danke danke danke das du mir geholfen hast ihr seid die besten
hab zwei programme zonealarm und spyware doctor brauche ich beide programme
und überhaupt sind die gut wie kann ich meinen rechner besser schüzen damit es nicht noch mall passiert eine empfehlung wehre sehr net danke danke danke ihr habts drauf

#14 Schicke das Zip bitte an virus@protecus.de

Wenn man gerne eine DP Firewall nutzen moechte, ist ZA nicht schlecht, auch wenn die letzten Versionen wohl etwas ueberladen sind(soweit ich weiss) Zu Spyware Doctor kann ich wenig sagen, es hat zumindest keinen schlechten Ruf.
Du solltest dir aber auf jeden Fall noch ein AV Programm zulegen. In deinem Fall waere Antivir nicht schlecht. Nicht unbedingt so ein Monster wie Mcafee oder Norton, da du ja schon ZA und Spyware Doctor nutzt.

Ein Windowsupdate solltest du noch machen und zum abschluss ein neues Hijackthis log...
__________
MfG Ralf
SEO-Spam Hunter

#15 es geht nicht die zip datei zu schicken vieleicht weisst du ne andere lösung
wie ich es dir schicken kann hab windows live messenger
ist der von Avira AntiVir PersonalEdition Classic gut denn hab ich jetzt drauf