Trojan-Downloader.Win32.ConHook.hl entfernen...

#1 Hi, ich habe das Problem den Trojan-Downloader.Win32.ConHook.hl zu entfernen. Mein Kaspersky erkennt dies, löscht dies zwar, aber nach dem Systemneustart ist er immerwieder da...

Beim Googln wurden Links für "Combofix" beigefügt, aber diese Versionen will er nicht installieren, weil diese glaub zu alt sind..

hijackthis sagt folgendes:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:58:06, on 19.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TrafficMonitor\TMPacketServiceInit.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Creative\Sound Blaster X-Fi\DVDAudio\CTDVDDET.EXE
C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe
C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanel.exe
C:\WINDOWS\CTHELPER.EXE
C:\WINDOWS\system32\CTXFIHLP.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Creative\MediaSource\Detector\CTDetect.exe
C:\Programme\VIA\RAID\raid_tool.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Sven\LOKALE~1\Temp\Rar$EX00.406\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: (no name) - {049CABD5-291B-45DA-9562-E654DDCF1DA5} - C:\WINDOWS\System32\pmkjk.dll (file missing)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {9b54cf0a-a551-414e-b1dc-5cf9cf64d289} - C:\WINDOWS\system32\glmoin.dll (file missing)
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O4 - HKLM\..\Run: [CTDVDDET] "C:\Programme\Creative\Sound Blaster X-Fi\DVDAudio\CTDVDDET.EXE"
O4 - HKLM\..\Run: [RCSystem] "C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" RCSystem * -Startup
O4 - HKLM\..\Run: [AudioDrvEmulator] "C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" -1 AudioDrvEmulator "C:\Programme\Creative\Shared Files\Module Loader\Audio Emulator\AudDrvEm.dll"
O4 - HKLM\..\Run: [VolPanel] "C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanel.exe" /r
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ISUSPM] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" -scheduler
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Creative Detector] C:\Programme\Creative\MediaSource\Detector\CTDetect.exe /R
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Programme\VIA\RAID\raid_tool.exe
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - AppInit_DLLs: C:\WINDOWS\system32\__c0043156.dat Das ist die Datei in dem der Virus ist
O20 - Winlogon Notify: Antiwpa - C:\WINDOWS\SYSTEM32\antiwpa.dll
O20 - Winlogon Notify: glmoin - C:\WINDOWS\
O20 - Winlogon Notify: pmkjk - C:\WINDOWS\System32\pmkjk.dll (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: IviRegMgr - InterVideo - C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
O23 - Service: TrafficMonitor Packettreiber Initialisierung (TMPService) - Mirko Böer - C:\Programme\TrafficMonitor\TMPacketServiceInit.exe

--
End of file - 5961 bytes


Ist da vielleicht nochmehr :/?

#2 Unter http://board.protecus.de/t23188.htm punkt 2. hab ich "Alternativ Download"jetzt rot gefaerbt
__________
MfG Argus

#3 Combofix:

ComboFix 07-11-08.3 - XxX 2007-11-19 22:37:29.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1579 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\XxX\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

Nicht in der Lage Systemrechte zu erhalten

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Sven\Anwendungsdaten\tmp6.tmp.exe
C:\Dokumente und Einstellungen\Sven\Anwendungsdaten\tmp7.tmp.exe
C:\WINDOWS\cookies.ini
C:\WINDOWS\icon.ico
C:\WINDOWS\system32\__c0043156.dat
C:\WINDOWS\system32\__c004D2F8.dat
C:\WINDOWS\system32\__c0063F24.dat
C:\WINDOWS\system32\__c007D1F4.dat
C:\WINDOWS\system32\bjbskckb.dll
C:\WINDOWS\system32\bsfclial.dll
C:\WINDOWS\system32\eblvotbm.dll
C:\WINDOWS\system32\fdyochgv.dll
C:\WINDOWS\system32\furvekvq.dll
C:\WINDOWS\system32\gkxomgsd.dll
C:\WINDOWS\system32\hatfcsrl.dll
C:\WINDOWS\system32\hnvffhgv.dll
C:\WINDOWS\system32\kheknowj.dll
C:\WINDOWS\system32\nbbaimxu.dll
C:\WINDOWS\system32\ocueoorj.dll
C:\WINDOWS\system32\pkfacmnd.dll
C:\WINDOWS\system32\pqnttwrk.dll
C:\WINDOWS\system32\sgeengrc.dll
C:\WINDOWS\system32\tmp7.tmp.dll
C:\WINDOWS\system32\ukgitywj.dll
C:\WINDOWS\system32\wiqhpdto.dll
C:\WINDOWS\system32\yomidhaw.dll

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_DOMAINSERVICE


((((((((((((((((((((((( Dateien erstellt von 2007-10-19 bis 2007-11-19 ))))))))))))))))))))))))))))))
.

2007-11-19 21:41 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-11-19 14:16 <DIR> d-------- C:\WINDOWS\Sun
2007-11-17 13:30 <DIR> d-------- C:\Dokumente und Einstellungen\Sven\Anwendungsdaten\CyberLink
2007-11-15 22:31 <DIR> d-------- C:\Programme\Ventrilo
2007-11-15 22:31 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2007-11-15 15:18 108,144 --a------ C:\WINDOWS\system32\CmdLineExt.dll
2007-11-06 19:23 <DIR> d-------- C:\Dokumente und Einstellungen\Sven\Anwendungsdaten\ArcSoft
2007-11-06 19:22 221,184 --a------ C:\WINDOWS\system32\wmpns.dll
2007-11-06 19:22 182,032 --a------ C:\WINDOWS\system32\dxtmsft3.dll
2007-11-06 19:22 38,160 --a------ C:\WINDOWS\system32\LMRTREND.dll
2007-11-06 19:21 <DIR> d-------- C:\Programme\ArcSoft
2007-11-06 19:21 212,480 --a------ C:\WINDOWS\pcdlib32.dll
2007-11-06 19:21 194,320 --a------ C:\WINDOWS\system32\qcut.dll
2007-11-06 19:21 163,840 --a------ C:\WINDOWS\system32\PhotoImpression Screen Saver.scr
2007-11-06 19:21 63,488 --a------ C:\WINDOWS\system32\unam4ie.exe
2007-11-06 19:21 10,240 --a------ C:\WINDOWS\system32\vidx16.dll
2007-11-06 19:21 4,608 --a------ C:\WINDOWS\system32\w95inf32.dll
2007-11-06 19:21 2,272 --a------ C:\WINDOWS\system32\w95inf16.dll
2007-11-04 13:46 15,104 --a------ C:\WINDOWS\system32\drivers\usbscan.sys
2007-11-04 13:46 15,104 --a--c--- C:\WINDOWS\system32\dllcache\usbscan.sys
2007-10-31 14:37 <DIR> d-------- C:\Programme\Java
2007-10-31 14:37 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Java
2007-10-29 16:51 <DIR> d-------- C:\Programme\CyberLink
2007-10-29 16:51 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CyberLink
2007-10-29 15:24 82,061 --a------ C:\WINDOWS\system32\drivers\klick.dat
2007-10-29 15:24 81,549 --a------ C:\WINDOWS\system32\drivers\klin.dat
2007-10-29 15:23 <DIR> d-------- C:\Programme\Kaspersky Lab
2007-10-29 15:23 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2007-10-29 15:23 7,696,672 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2007-10-29 15:23 104,480 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat
2007-10-28 16:15 <DIR> d-------- C:\Dokumente und Einstellungen\Sven\Anwendungsdaten\InterVideo
2007-10-26 10:35 <DIR> d-------- C:\Programme\MSXML 4.0
2007-10-25 19:58 <DIR> d-------- C:\WINDOWS\system32\Lang
2007-10-25 19:04 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TrafficMonitor
2007-10-25 19:04 330,336 --a------ C:\WINDOWS\TraffUn.EXE
2007-10-25 19:03 <DIR> d-------- C:\Programme\TrafficMonitor
2007-10-25 00:46 <DIR> d-------- C:\Dokumente und Einstellungen\Sven\Anwendungsdaten\DivX
2007-10-25 00:45 <DIR> d-------- C:\Programme\DivX
2007-10-25 00:42 <DIR> d-------- C:\Programme\Apple Software Update
2007-10-25 00:42 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2007-10-25 00:41 <DIR> d-------- C:\Programme\InterVideo Information Service
2007-10-25 00:41 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Ulead
2007-10-25 00:40 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\InstallShield
2007-10-25 00:35 <DIR> d--h----- C:\WINDOWS\msdownld.tmp
2007-10-24 09:20 25,856 --a------ C:\WINDOWS\system32\drivers\usbprint.sys
2007-10-24 09:20 25,856 --a--c--- C:\WINDOWS\system32\dllcache\usbprint.sys
2007-10-22 13:18 5,632 --a------ C:\WINDOWS\system32\antiwpa.dll
2007-10-20 19:18 139,536 --a------ C:\WINDOWS\system32\javaee.dll
2007-10-20 19:18 46,352 --a------ C:\WINDOWS\setdebug.exe
2007-10-20 19:18 6,550 --a------ C:\WINDOWS\jautoexp.dat
2007-10-20 19:17 113 --a------ C:\WINDOWS\system32\zonedon.reg
2007-10-20 19:17 113 --a------ C:\WINDOWS\system32\zonedoff.reg
2007-10-19 15:05 6,964,736 -ra------ C:\WINDOWS\system32\RTLCPL.EXE
2007-10-19 15:05 400,384 -ra------ C:\WINDOWS\system32\drivers\ALCXSENS.SYS
2007-10-19 15:05 155,648 -ra------ C:\WINDOWS\system32\RTLCPAPI.dll
2007-10-19 15:05 65,536 -ra------ C:\WINDOWS\system32\Audio3D.dll
2007-10-19 15:04 613,244 -ra------ C:\WINDOWS\system32\drivers\ALCXWDM.SYS
2007-10-19 15:04 65,024 -ra------ C:\WINDOWS\SOUNDMAN.EXE
2007-10-19 14:44 159,744 -ra------ C:\WINDOWS\system32\drivers\Fasttx2k.sys
2007-10-19 14:44 118,784 -ra------ C:\WINDOWS\system32\ptipbmf.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-11-19 21:48 12,908 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx
2007-11-19 21:48 107,948 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2007-11-19 20:57 --------- d-----w C:\Dokumente und Einstellungen\Sven\Anwendungsdaten\mIRC
2007-11-19 20:45 --------- d-----w C:\Programme\mIRC
2007-11-15 22:44 --------- d-----w C:\Dokumente und Einstellungen\Sven\Anwendungsdaten\teamspeak2
2007-11-06 18:21 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-11-05 20:30 --------- d-----w C:\Programme\ICQ6
2007-10-24 23:43 --------- d-----w C:\Programme\QuickTime
2007-10-24 23:39 --------- d-----w C:\Programme\InterVideo
2007-10-24 23:39 --------- d-----w C:\Programme\Gemeinsame Dateien\InterVideo
2007-10-24 23:39 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2007-10-24 22:22 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
2007-10-17 23:25 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2007-10-15 17:28 --------- d-----w C:\Dokumente und Einstellungen\Sven\Anwendungsdaten\Ventrilo
2007-10-15 17:12 --------- d-----w C:\Dokumente und Einstellungen\Sven\Anwendungsdaten\ICQ
2007-10-15 17:11 --------- d-----w C:\Dokumente und Einstellungen\Sven\Anwendungsdaten\InstallShield
2007-10-15 16:58 --------- d-----w C:\Programme\DIFX
2007-10-15 16:38 --------- d-----w C:\Programme\ATI Technologies
2007-10-15 14:57 --------- d-----w C:\Programme\Ahead
2007-10-15 14:55 --------- d-----w C:\Programme\Gemeinsame Dateien\Ahead
2007-10-15 14:55 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ahead
2007-10-15 14:53 --------- d-----w C:\Programme\Creative
2007-10-15 14:36 --------- d-----w C:\Dokumente und Einstellungen\Sven\Anwendungsdaten\Talkback
2007-10-15 14:26 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2007-10-15 14:23 --------- d-----w C:\Programme\Google
2007-10-15 14:19 --------- d-----w C:\Programme\mozilla.org
2007-10-15 14:07 --------- d-----w C:\Dokumente und Einstellungen\Sven\Anwendungsdaten\Creative
2007-10-15 14:00 --------- d-----w C:\Programme\Marvell
2007-10-15 13:56 --------- d-----w C:\Programme\microsoft frontpage
2007-10-15 13:56 --------- d-----w C:\Dokumente und Einstellungen\Sven\Anwendungsdaten\Microsoft Web Folders
2007-10-15 13:54 --------- d-----w C:\Programme\Gemeinsame Dateien\SpeechEngines
2007-10-15 13:54 --------- d-----w C:\Programme\Gemeinsame Dateien\ODBC
2007-10-15 13:45 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Creative
2007-10-15 13:39 --------- d-----w C:\Programme\USB 3D Sound Configuration
2007-10-15 13:26 --------- d-----w C:\Programme\VIA
2007-10-15 13:01 --------- d-----w C:\Programme\Online-Dienste
2007-10-15 13:01 --------- d-----w C:\Programme\Gemeinsame Dateien\MSSoap
2007-10-15 13:01 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{049CABD5-291B-45DA-9562-E654DDCF1DA5}]
C:\WINDOWS\System32\pmkjk.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{9b54cf0a-a551-414e-b1dc-5cf9cf64d289}]
C:\WINDOWS\system32\glmoin.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTDVDDET"="C:\Programme\Creative\Sound Blaster X-Fi\DVDAudio\CTDVDDET.EXE" [2003-06-18 00:00]
"RCSystem"="C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" [2005-06-16 17:25]
"AudioDrvEmulator"="C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" [2005-06-16 17:25]
"VolPanel"="C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanel.exe" [2005-07-11 10:34]
"CTHelper"="CTHELPER.EXE" [2005-08-07 23:10 C:\WINDOWS\CTHELPER.EXE]
"CTxfiHlp"="CTXFIHLP.EXE" [2005-08-07 23:10 C:\WINDOWS\system32\CTXFIHLP.EXE]
"StartCCC"="C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 11:35]
"SoundMan"="SOUNDMAN.EXE" [2004-02-26 09:53 C:\WINDOWS\SOUNDMAN.EXE]
"ISUSPM"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" [2006-03-20 16:34]
"AVP"="C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" [2007-05-19 22:36]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 19:51]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-03 23:57]
"Creative Detector"="C:\Programme\Creative\MediaSource\Detector\CTDetect.exe" [2004-12-02 17:23]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\Antiwpa]
antiwpa.dll 2005-07-06 02:46 5632 C:\WINDOWS\system32\antiwpa.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\glmoin]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\pmkjk]
C:\WINDOWS\System32\pmkjk.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Google Updater.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Google Updater.lnk
backup=C:\WINDOWS\pss\Google Updater.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^InterVideo WinCinema Manager.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\InterVideo WinCinema Manager.lnk
backup=C:\WINDOWS\pss\InterVideo WinCinema Manager.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
"C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Application Layer Gateway Service]
C:\WINDOWS\system32\algs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Client Server Runtime Process]
C:\WINDOWS\system32\csrs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CmUsbSound]
RunDll32 cmcnfgu.cpl,CMICtrlWnd

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Ptipbmf]
rundll32.exe ptipbmf.dll,SetWriteCacheMode

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"C:\Programme\QuickTime\qttask.exe" -atboottime

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UpdReg]
C:\WINDOWS\UpdReg.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"gusvc"=2 (0x2)
"Creative Service for CDROM Access"=2 (0x2)

R0 viasraid;viasraid;C:\WINDOWS\system32\DRIVERS\viasraid.sys
R2 TMPService;TrafficMonitor Packettreiber Initialisierung;C:\Programme\TrafficMonitor\TMPacketServiceInit.exe
R3 cmudau;C-Media USB Sound Interface;C:\WINDOWS\system32\drivers\cmudau.sys
R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys
S3 ha20x2k;Creative 20X HAL Driver;C:\WINDOWS\system32\drivers\ha20x2k.sys

.
Inhalt des "geplante Tasks" Ordners
"2007-10-24 23:42:20 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1262 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-11-19 22:49:56
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2007-11-19 22:51:07 - machine was rebooted
.
--- E O F ---

#4 Entferne auf C:\ Qoobox-->Papierkorb leeren

Poste nochmal ein log von hijack This und die Daten von datfindbat http://board.protecus.de/t23188.htm
__________
MfG Argus

#5 hijack

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:24:42, on 19.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\TrafficMonitor\TMPacketServiceInit.exe
C:\Programme\Creative\Sound Blaster X-Fi\DVDAudio\CTDVDDET.EXE
C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe
C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanel.exe
C:\WINDOWS\CTHELPER.EXE
C:\WINDOWS\system32\CTXFIHLP.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Creative\MediaSource\Detector\CTDetect.exe
C:\Programme\VIA\RAID\raid_tool.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Sven\LOKALE~1\Temp\Rar$EX00.969\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: (no name) - {049CABD5-291B-45DA-9562-E654DDCF1DA5} - C:\WINDOWS\System32\pmkjk.dll (file missing)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {9b54cf0a-a551-414e-b1dc-5cf9cf64d289} - C:\WINDOWS\system32\glmoin.dll (file missing)
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O4 - HKLM\..\Run: [CTDVDDET] "C:\Programme\Creative\Sound Blaster X-Fi\DVDAudio\CTDVDDET.EXE"
O4 - HKLM\..\Run: [RCSystem] "C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" RCSystem * -Startup
O4 - HKLM\..\Run: [AudioDrvEmulator] "C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" -1 AudioDrvEmulator "C:\Programme\Creative\Shared Files\Module Loader\Audio Emulator\AudDrvEm.dll"
O4 - HKLM\..\Run: [VolPanel] "C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanel.exe" /r
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ISUSPM] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" -scheduler
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Creative Detector] C:\Programme\Creative\MediaSource\Detector\CTDetect.exe /R
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Programme\VIA\RAID\raid_tool.exe
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - Winlogon Notify: Antiwpa - C:\WINDOWS\SYSTEM32\antiwpa.dll
O20 - Winlogon Notify: glmoin - C:\WINDOWS\
O20 - Winlogon Notify: pmkjk - C:\WINDOWS\System32\pmkjk.dll (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: IviRegMgr - InterVideo - C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
O23 - Service: TrafficMonitor Packettreiber Initialisierung (TMPService) - Mirko Böer - C:\Programme\TrafficMonitor\TMPacketServiceInit.exe

--
End of file - 5860 bytes

.
.
Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3887-1A70

Verzeichnis von C:\WINDOWS\system32

19.11.2007 23:16 10.752 Thumbs.db
19.11.2007 22:53 311.604 perfh009.dat
19.11.2007 22:53 39.992 perfc009.dat
19.11.2007 22:53 316.594 perfh007.dat
19.11.2007 22:53 48.156 perfc007.dat
19.11.2007 22:53 723.744 PerfStringBackup.INI
19.11.2007 14:12 2.278 wpa.dbl
15.11.2007 15:18 108.144 CmdLineExt.dll
06.11.2007 19:22 16.832 amcompat.tlb
06.11.2007 19:22 23.392 nscompat.tlb
06.11.2007 19:21 2.272 w95inf16.dll
06.11.2007 19:21 4.608 w95inf32.dll
02.11.2007 08:12 18.238.072 MRT.exe
31.10.2007 14:38 5.765 jupdate-1.6.0_03-b05.log
29.10.2007 16:53 31 glmoin.dns
29.10.2007 16:48 480.968 dnqcqvga.ini
29.10.2007 16:35 123.904 xpsp3res.dll
29.10.2007 16:34 186.155 kjkmp.ini
28.10.2007 21:10 480.728 kwiuptep.ini
28.10.2007 21:04 156.498 kjkmp.bak2
27.10.2007 09:55 481.155 gyxwclfr.ini
26.10.2007 21:36 143 mcrh.tmp
26.10.2007 21:36 202.058.004 dn_crash.log
26.10.2007 21:04 481.035 uighxwhx.ini
25.10.2007 19:58 146.650 BuzzingBee.wav
25.10.2007 19:58 125.690 LoopyMusic.wav
25.10.2007 18:38 688.009 dfgmgkgp.ini
25.10.2007 17:55 8.495.616 shell32.dll
25.10.2007 15:50 120.544 FNTCACHE.DAT
24.10.2007 13:54 687.829 wncfyfgg.ini
23.10.2007 20:18 687.649 qhcyxxvw.ini
22.10.2007 19:17 687.520 fumneqim.ini
22.10.2007 02:39 267.272 xactengine2_10.dll
22.10.2007 02:37 17.928 X3DAudio1_2.dll
19.10.2007 00:34 54.672 BMXStateBkp-{00000000-00000000-0000000C-00001102-00000005-00211102}.rfx
19.10.2007 00:34 64.988 DVCState-{00000000-00000000-0000000C-00001102-00000005-00211102}.rfx
19.10.2007 00:34 54.672 BMXState-{00000000-00000000-0000000C-00001102-00000005-00211102}.rfx
19.10.2007 00:34 1.080 settingsbkup.sfm
19.10.2007 00:34 1.080 settings.sfm
18.10.2007 17:26 686.718 rdvjofsw.ini
16.10.2007 13:11 129.082 TZLog.log
15.10.2007 18:54 626 QuickTime.qtp
15.10.2007 17:59 1.635 beijjvf.exe
15.10.2007 17:54 1.635 rsghglf.exe
15.10.2007 17:53 247 spupdwxp.log
15.10.2007 16:24 1.635 nwvh.exe
15.10.2007 16:07 1.635 szptpjrh.exe
15.10.2007 16:03 1.635 lgmpapu.exe
15.10.2007 14:56 0 h323log.txt
15.10.2007 14:48 233.472 wrap_oal.dll
15.10.2007 14:48 81.920 OpenAL32.dll
15.10.2007 14:11 25.065 wmpscheme.xml
15.10.2007 14:04 237 $winnt$.inf
15.10.2007 14:02 2.951 CONFIG.NT
15.10.2007 14:02 488 logonui.exe.manifest
15.10.2007 14:02 488 WindowsLogon.manifest
15.10.2007 14:02 749 sapi.cpl.manifest
15.10.2007 14:02 749 nwc.cpl.manifest
15.10.2007 14:02 749 ncpa.cpl.manifest
15.10.2007 14:02 749 wuaucpl.cpl.manifest
15.10.2007 14:02 749 cdplayer.exe.manifest
15.10.2007 14:00 21.740 emptyregdb.dat
12.10.2007 14:14 3.734.536 d3dx9_36.dll
12.10.2007 14:14 1.374.232 D3DCompiler_36.dll
02.10.2007 08:56 444.776 d3dx10_36.dll
24.09.2007 23:31 139.264 javaws.exe
24.09.2007 23:31 69.632 javacpl.cpl
24.09.2007 22:30 135.168 javaw.exe
24.09.2007 22:30 135.168 java.exe
17.09.2007 19:23 823.296 divx_xx07.dll
17.09.2007 19:23 823.296 divx_xx0c.dll
17.09.2007 19:22 739.840 DivX.dll
17.09.2007 19:22 802.816 divx_xx11.dll
12.09.2007 00:14 156.992 DivXCodecVersionChecker.exe
22.08.2007 14:13 664.576 wininet.dll
22.08.2007 14:13 1.494.528 shdocvw.dll
22.08.2007 14:13 474.624 shlwapi.dll
22.08.2007 14:13 617.472 urlmon.dll
22.08.2007 14:13 3.079.168 mshtml.dll
22.08.2007 14:13 39.424 pngfilt.dll
22.08.2007 14:13 146.432 msrating.dll
22.08.2007 14:13 532.480 mstime.dll
22.08.2007 14:13 449.024 mshtmled.dll
22.08.2007 14:13 251.392 iepeers.dll
22.08.2007 14:13 205.312 dxtrans.dll
22.08.2007 14:13 96.768 inseng.dll
22.08.2007 14:13 55.808 extmgr.dll
22.08.2007 14:13 16.384 jsproxy.dll
22.08.2007 14:13 152.064 cdfview.dll
22.08.2007 14:13 357.888 dxtmsft.dll
22.08.2007 14:13 1.022.976 browseui.dll
22.08.2007 14:13 1.056.256 danim.dll
21.08.2007 07:16 683.520 inetcomm.dll
21.08.2007 01:26 81.920 dpl100.dll
21.08.2007 01:26 416 dpl100.dll.manifest
21.08.2007 01:26 196.608 dtu100.dll
21.08.2007 01:26 416 dtu100.dll.manifest
15.08.2007 23:33 4.816 divxsm.tlb
15.08.2007 23:33 10.152 dsm_de.qm
15.08.2007 23:33 524.288 DivXsm.exe
15.08.2007 23:33 3.596.288 qt-dx331.dll
15.08.2007 23:33 379.640 pxwave.dll
15.08.2007 23:33 72.440 pxhpinst.exe
15.08.2007 23:33 187.128 pxmas.dll
15.08.2007 23:33 66.296 pxcpya64.exe
15.08.2007 23:33 88.824 vxblock.dll
15.08.2007 23:33 129.784 pxafs.dll
15.08.2007 23:33 551.672 px.dll
15.08.2007 23:33 64.760 pxinsa64.exe
15.08.2007 23:33 518.904 pxdrv.dll
15.08.2007 23:33 120.056 pxcpyi64.exe
15.08.2007 23:33 1.628.920 pxsfs.dll
15.08.2007 23:33 118.520 pxinsi64.exe
15.08.2007 23:33 200.704 ssldivx.dll
15.08.2007 23:33 1.044.480 libdivx.dll
15.08.2007 23:31 57.344 dpv11.dll
15.08.2007 23:31 53.248 dpuGUI10.dll
15.08.2007 23:31 294.912 dpu10.dll
15.08.2007 23:31 344.064 dpus11.dll
15.08.2007 23:31 593.920 dpuGUI11.dll
15.08.2007 23:31 294.912 dpu11.dll
15.08.2007 23:30 352.401 DivXMedia.ax
15.08.2007 23:30 12.288 DivXWMPExtType.dll
15.08.2007 23:30 3.136 dtu_de.qm
15.08.2007 23:30 8.523 dpude.qm

2187 Datei(en) 705.097.908 Bytes
0 Verzeichnis(se), 44.742.643.712 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3887-1A70

Verzeichnis von C:\DOKUME~1\Sven\LOKALE~1\Temp

19.11.2007 23:25 107.248 datfind.txt
19.11.2007 23:24 114.688 ~DFEDCE.tmp
19.11.2007 22:54 173 jusched.log
3 Datei(en) 222.109 Bytes
0 Verzeichnis(se), 44.742.664.192 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3887-1A70

Verzeichnis von C:\WINDOWS

19.11.2007 23:16 69 NeroDigital.ini
19.11.2007 23:16 8.704 Thumbs.db
19.11.2007 22:50 1.599.457 WindowsUpdate.log
19.11.2007 22:49 0 0.log
19.11.2007 22:49 159 wiadebug.log
19.11.2007 22:49 50 wiaservc.log
19.11.2007 22:49 2.048 bootstat.dat
19.11.2007 22:48 19.548 SchedLgU.Txt
19.11.2007 21:59 4.625 imsins.log
19.11.2007 21:59 294.594 tsoc.log
19.11.2007 21:59 35.485 ocmsn.log
19.11.2007 21:59 214.042 comsetup.log
19.11.2007 21:59 132.856 ntdtcsetup.log
19.11.2007 21:59 812.592 iis6.log
19.11.2007 21:59 30.436 tabletoc.log
19.11.2007 21:59 43.287 medctroc.Log
19.11.2007 21:59 336.285 ocgen.log
19.11.2007 21:59 31.661 msgsocm.log
19.11.2007 21:59 600.917 FaxSetup.log
19.11.2007 21:58 107.756 netfxocm.log
19.11.2007 21:58 216.582 msmqinst.log
19.11.2007 21:43 227 system.ini
19.11.2007 21:43 583 win.ini
17.11.2007 21:03 21.178 wmsetup.log
17.11.2007 13:55 189.187 setupact.log
17.11.2007 13:55 3.764 setupapi.log
16.11.2007 18:38 0 iPlayer.INI
15.11.2007 13:36 1.393 imsins.BAK
15.11.2007 13:36 7.779 KB943460.log
15.11.2007 13:36 24.894 updspapi.log
08.11.2007 16:59 136.704 catchme.exe
06.11.2007 19:17 1.027.816 setupapi.log.0.old
31.10.2007 14:38 1.411 mozver.dat
30.10.2007 04:00 698.584 ntbtlog.txt
28.10.2007 16:04 1.409 QTFont.for
28.10.2007 16:04 54.156 QTFont.qfn
26.10.2007 10:35 291.652 msxml4-KB936181-enu.LOG
25.10.2007 19:04 2.485 TrafficMonitor_Uninstall.in
25.10.2007 00:37 344.480 DirectX.log
22.10.2007 13:19 807.539 setuplog.txt
20.10.2007 19:18 2.064 vminst.log
17.10.2007 02:00 10.342 KB931261.log
16.10.2007 15:42 13.693 KB898461.log
16.10.2007 14:11 686.809 hkjiii.ini
16.10.2007 14:11 29.857 spupdsvc.log
16.10.2007 13:21 49.086 KB899587.log
16.10.2007 13:21 48.479 KB927779.log
16.10.2007 13:20 38.740 KB927802.log
16.10.2007 13:20 45.698 KB922819.log
16.10.2007 13:20 43.055 KB885835.log
16.10.2007 13:20 42.725 KB885836.log
16.10.2007 13:20 44.769 KB923414.log
16.10.2007 13:20 45.451 KB928255.log
16.10.2007 13:20 45.810 KB931784.log
16.10.2007 13:19 43.868 KB911927.log
16.10.2007 13:19 42.371 KB901017.log
16.10.2007 13:19 42.866 KB899591.log
16.10.2007 13:19 33.731 KB933729.log
16.10.2007 13:19 42.687 KB920685.log
16.10.2007 13:19 43.088 KB893756.log
16.10.2007 13:19 42.923 KB923980.log
16.10.2007 13:19 41.987 KB911280.log
16.10.2007 13:19 40.784 KB936021.log
16.10.2007 13:18 40.788 KB911562.log
16.10.2007 13:18 40.087 KB938828.log
16.10.2007 13:18 44.785 KB939653.log
16.10.2007 13:18 34.592 KB924667.log
16.10.2007 13:18 32.926 KB896423.log
16.10.2007 13:18 36.978 KB900485.log
16.10.2007 13:17 36.484 KB924270.log
16.10.2007 13:17 25.571 KB936782.log
16.10.2007 13:17 33.624 KB873339.log
16.10.2007 13:17 34.788 KB924496.log
16.10.2007 13:17 26.344 KB927891.log
16.10.2007 13:17 33.694 KB921503.log
16.10.2007 13:17 32.156 KB887472.log
16.10.2007 13:17 33.881 KB938829.log
16.10.2007 13:16 31.844 KB896358.log
16.10.2007 13:16 25.122 KB925398.log
16.10.2007 13:16 25.026 KB910437.log
16.10.2007 13:16 23.318 KB911564.log
16.10.2007 13:16 33.855 KB925902.log
16.10.2007 13:15 32.439 KB929123.log
16.10.2007 13:15 31.265 KB920670.log
16.10.2007 13:15 29.981 KB891781.log
16.10.2007 13:15 30.669 KB918439.log
16.10.2007 13:15 34.805 KB902400.log
16.10.2007 13:14 26.823 KB890046.log
16.10.2007 13:14 28.223 KB926436.log
16.10.2007 13:14 27.354 KB920872.log
16.10.2007 13:14 28.596 KB930178.log
16.10.2007 13:14 20.326 KB919007.log
16.10.2007 13:14 27.051 KB914388.log
16.10.2007 13:13 25.994 KB917344.log
16.10.2007 13:13 24.806 KB905414.log
16.10.2007 13:13 26.052 KB917953.log
16.10.2007 13:13 26.464 KB932168.log
16.10.2007 13:13 23.735 KB901214.log
16.10.2007 13:13 22.299 KB923191.log
16.10.2007 13:13 17.307 KB922582.log
16.10.2007 13:13 21.965 KB941202.log
16.10.2007 13:12 21.005 KB918118.log
16.10.2007 13:12 22.050 KB926255.log
16.10.2007 13:12 19.442 KB888302.log
16.10.2007 13:12 21.995 KB900725.log
16.10.2007 13:12 20.925 KB938127.log
16.10.2007 13:12 21.976 KB920213.log
16.10.2007 13:12 29.324 KB933360.log
16.10.2007 13:11 18.812 KB935840.log
16.10.2007 13:11 12.373 KB886185.log
16.10.2007 13:11 18.665 KB916595.log
16.10.2007 13:11 18.245 KB930916.log
16.10.2007 13:11 17.551 KB904706.log
16.10.2007 13:10 20.560 KB908531.log
16.10.2007 13:10 18.318 KB905749.log
16.10.2007 13:10 12.897 KB923689.log
16.10.2007 13:10 20.402 KB913580.log
16.10.2007 13:09 15.422 KB896428.log
16.10.2007 13:09 18.377 KB935839.log
16.10.2007 13:09 16.070 KB894391.log
16.10.2007 13:09 13.742 KB908519.log
16.10.2007 13:09 14.790 KB920683.log
16.10.2007 13:09 14.936 KB914389.log
16.10.2007 13:08 14.410 KB890859.log
16.10.2007 13:08 10.282 KB928843.log
15.10.2007 17:58 5.700 DPINST.LOG
15.10.2007 17:54 1.519 OEWABLog.txt
15.10.2007 17:53 360 DtcInstall.log
15.10.2007 17:53 316.640 WMSysPr9.prx
15.10.2007 17:51 436.872 svcpack.log
15.10.2007 17:49 200 cmsetacl.log
15.10.2007 17:48 1.330 sessmgr.setup.log
15.10.2007 15:49 6.230 Windows Update.log
15.10.2007 15:36 0 nsreg.dat
15.10.2007 15:25 6.168 KB893803v2.log
15.10.2007 14:57 403 ODBC.INI
15.10.2007 14:55 0 Sti_Trace.log
15.10.2007 14:54 5.060 Ascd_tmp.ini
15.10.2007 14:54 1.348 regopt.log
15.10.2007 14:53 0 setuperr.log
15.10.2007 14:22 400 nsw.log
15.10.2007 14:05 8.192 REGLOCS.OLD
15.10.2007 14:02 0 control.ini
15.10.2007 14:02 299.552 WMSysPrx.prx
15.10.2007 14:02 4.161 ODBCINST.INI
15.10.2007 14:02 749 WindowsShell.Manifest
15.10.2007 14:00 37 vbaddin.ini
15.10.2007 14:00 36 vb.ini

210 Datei(en) 30.903.694 Bytes
0 Verzeichnis(se), 44.742.651.904 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3887-1A70

Verzeichnis von C:\WINDOWS\temp

.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3887-1A70

Verzeichnis von C:\WINDOWS\Downloaded Program Files

15.10.2007 14:02 65 desktop.ini
20.03.2006 16:34 484.272 isusweb.dll
20.03.2006 16:34 196.608 dwusplay.exe
20.03.2006 16:34 24.576 dwusplay.dll
20.01.2000 14:25 1.162 Microsoft XML Parser for Java.osd
14.10.1997 17:52 697 DirectAnimation Java Classes.osd
6 Datei(en) 707.380 Bytes
0 Verzeichnis(se), 44.742.651.904 Bytes frei
.
.
.












Also es scheint weg zu sein - danke nur das mit dem ComboFix muss man erstmal finden

Kann mal wer drüberschaun ob da vllt noch irgendwas versteckt ist

#6 Es dauert ein bisschen laenger als normal,mir ist Heute mein Office gecrasht

Verborgene Dateien sichtbar machen
Arbeitsplatz öffnen >Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und Ordner >"alle Dateien und Ordner anzeigen" aktivieren und >Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner >"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren.

Prüfe mal diese Datei(en) bei VirusTotal oder Jotti

C:\WINDOWS\system32\beijjvf.exe
C:\WINDOWS\system32\rsghglf.exe
C:\WINDOWS\system32\nwvh.exe
C:\WINDOWS\system32\szptpjrh.exe
C:\WINDOWS\system32\lgmpapu.exe

Stand alone DrWeb
Stand alone Kaspersky
__________
MfG Argus

#7 All Clean danke :-)

Andere Frage - is vielleicht doof, machst du das alles Freiwillig - bekommst was dafür? oder Arbeitest in dem Beruf

#8

Zitat

machst du das alles Freiwillig

Ja

Zitat

bekommst was dafür?

Nee

Zitat

Arbeitest in dem Beruf

ich Arbeite nicht mehr
__________
MfG Argus

#9 Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

O2 - BHO: (no name) - {049CABD5-291B-45DA-9562-E654DDCF1DA5} - C:\WINDOWS\System32\pmkjk.dll (file missing)
O2 - BHO: (no name) - {9b54cf0a-a551-414e-b1dc-5cf9cf64d289} - C:\WINDOWS\system32\glmoin.dll (file missing)
O20 - Winlogon Notify: glmoin - C:\WINDOWS\
O20 - Winlogon Notify: pmkjk - C:\WINDOWS\System32\pmkjk.dll (file missing)

klicke: Fix checked
Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst

cfscript.txt

1.
Den folgenden blauen Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

file::
C:\WINDOWS\system32\dnqcqvga.ini
C:\WINDOWS\system32\kjkmp.ini
C:\WINDOWS\system32\kwiuptep.ini
C:\WINDOWS\system32\kjkmp.bak2
C:\WINDOWS\system32\gyxwclfr.ini
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\uighxwhx.ini
C:\WINDOWS\system32\dfgmgkgp.ini
C:\WINDOWS\system32\wncfyfgg.ini
C:\WINDOWS\system32\qhcyxxvw.ini
C:\WINDOWS\system32\fumneqim.ini
C:\WINDOWS\system32\rdvjofsw.ini
C:\WINDOWS\system32\beijjvf.exe
C:\WINDOWS\system32\rsghglf.exe
C:\WINDOWS\system32\nwvh.exe
C:\WINDOWS\system32\szptpjrh.exe
C:\WINDOWS\system32\lgmpapu.exe

2.
Sleppe diese Datei in ComboFix.exe(sehe Bild)
ComboFix wird jetzt starten und die Daten ausfuehren
Nach neustart des Rechners,poste das log von ComboFix


__________
MfG Argus

#10 All done...bei Combofix hat er sich wieder beschwert, dass die Kopie zu alt is.. - hab einfach das Datum von Gestern eingestellt^^


ComboFix 07-11-08.3 - Sven 2007-11-19 17:16:14.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1587 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\xXx\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\xXx\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((( Dateien erstellt von 2007-10-19 bis 2007-11-19 ))))))))))))))))))))))))))))))
.

2007-11-20 00:03 <DIR> d--h----- C:\WINDOWS\PIF
2007-11-19 21:41 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-11-19 14:16 <DIR> d-------- C:\WINDOWS\Sun
2007-11-17 13:30 <DIR> d-------- C:\Dokumente und Einstellungen\Sven\Anwendungsdaten\CyberLink
2007-11-15 22:31 <DIR> d-------- C:\Programme\Ventrilo
2007-11-15 22:31 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2007-11-15 15:18 108,144 --a------ C:\WINDOWS\system32\CmdLineExt.dll
2007-11-06 19:23 <DIR> d-------- C:\Dokumente und Einstellungen\Sven\Anwendungsdaten\ArcSoft
2007-11-06 19:22 221,184 --a------ C:\WINDOWS\system32\wmpns.dll
2007-11-06 19:22 182,032 --a------ C:\WINDOWS\system32\dxtmsft3.dll
2007-11-06 19:22 38,160 --a------ C:\WINDOWS\system32\LMRTREND.dll
2007-11-06 19:21 <DIR> d-------- C:\Programme\ArcSoft
2007-11-06 19:21 212,480 --a------ C:\WINDOWS\pcdlib32.dll
2007-11-06 19:21 194,320 --a------ C:\WINDOWS\system32\qcut.dll
2007-11-06 19:21 163,840 --a------ C:\WINDOWS\system32\PhotoImpression Screen Saver.scr
2007-11-06 19:21 63,488 --a------ C:\WINDOWS\system32\unam4ie.exe
2007-11-06 19:21 10,240 --a------ C:\WINDOWS\system32\vidx16.dll
2007-11-06 19:21 4,608 --a------ C:\WINDOWS\system32\w95inf32.dll
2007-11-06 19:21 2,272 --a------ C:\WINDOWS\system32\w95inf16.dll
2007-11-04 13:46 15,104 --a------ C:\WINDOWS\system32\drivers\usbscan.sys
2007-11-04 13:46 15,104 --a--c--- C:\WINDOWS\system32\dllcache\usbscan.sys
2007-10-31 14:37 <DIR> d-------- C:\Programme\Java
2007-10-31 14:37 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Java
2007-10-29 16:51 <DIR> d-------- C:\Programme\CyberLink
2007-10-29 16:51 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CyberLink
2007-10-29 15:24 82,061 --a------ C:\WINDOWS\system32\drivers\klick.dat
2007-10-29 15:24 81,549 --a------ C:\WINDOWS\system32\drivers\klin.dat
2007-10-29 15:23 <DIR> d-------- C:\Programme\Kaspersky Lab
2007-10-29 15:23 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2007-10-29 15:23 7,886,624 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2007-10-29 15:23 111,136 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat
2007-10-28 16:15 <DIR> d-------- C:\Dokumente und Einstellungen\Sven\Anwendungsdaten\InterVideo
2007-10-26 10:35 <DIR> d-------- C:\Programme\MSXML 4.0
2007-10-25 19:58 <DIR> d-------- C:\WINDOWS\system32\Lang
2007-10-25 19:04 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TrafficMonitor
2007-10-25 19:04 330,336 --a------ C:\WINDOWS\TraffUn.EXE
2007-10-25 19:03 <DIR> d-------- C:\Programme\TrafficMonitor
2007-10-25 00:46 <DIR> d-------- C:\Dokumente und Einstellungen\Sven\Anwendungsdaten\DivX
2007-10-25 00:45 <DIR> d-------- C:\Programme\DivX
2007-10-25 00:42 <DIR> d-------- C:\Programme\Apple Software Update
2007-10-25 00:42 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2007-10-25 00:41 <DIR> d-------- C:\Programme\InterVideo Information Service
2007-10-25 00:41 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Ulead
2007-10-25 00:40 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\InstallShield
2007-10-25 00:35 <DIR> d--h----- C:\WINDOWS\msdownld.tmp
2007-10-24 09:20 25,856 --a------ C:\WINDOWS\system32\drivers\usbprint.sys
2007-10-24 09:20 25,856 --a--c--- C:\WINDOWS\system32\dllcache\usbprint.sys
2007-10-22 13:18 5,632 --a------ C:\WINDOWS\system32\antiwpa.dll
2007-10-20 19:18 139,536 --a------ C:\WINDOWS\system32\javaee.dll
2007-10-20 19:18 46,352 --a------ C:\WINDOWS\setdebug.exe
2007-10-20 19:18 6,550 --a------ C:\WINDOWS\jautoexp.dat
2007-10-20 19:17 113 --a------ C:\WINDOWS\system32\zonedon.reg
2007-10-20 19:17 113 --a------ C:\WINDOWS\system32\zonedoff.reg
2007-10-19 15:05 6,964,736 -ra------ C:\WINDOWS\system32\RTLCPL.EXE
2007-10-19 15:05 400,384 -ra------ C:\WINDOWS\system32\drivers\ALCXSENS.SYS
2007-10-19 15:05 155,648 -ra------ C:\WINDOWS\system32\RTLCPAPI.dll
2007-10-19 15:05 65,536 -ra------ C:\WINDOWS\system32\Audio3D.dll
2007-10-19 15:04 613,244 -ra------ C:\WINDOWS\system32\drivers\ALCXWDM.SYS
2007-10-19 15:04 65,024 -ra------ C:\WINDOWS\SOUNDMAN.EXE
2007-10-19 14:44 159,744 -ra------ C:\WINDOWS\system32\drivers\Fasttx2k.sys
2007-10-19 14:44 118,784 -ra------ C:\WINDOWS\system32\ptipbmf.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-11-19 23:19 13,148 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx
2007-11-19 23:19 109,532 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2007-11-19 20:57 --------- d-----w C:\Dokumente und Einstellungen\Sven\Anwendungsdaten\mIRC
2007-11-19 20:45 --------- d-----w C:\Programme\mIRC
2007-11-15 22:44 --------- d-----w C:\Dokumente und Einstellungen\Sven\Anwendungsdaten\teamspeak2
2007-11-06 18:21 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-11-05 20:30 --------- d-----w C:\Programme\ICQ6
2007-10-28 20:04 156,498 --sh--w C:\WINDOWS\system32\kjkmp.bak2
2007-10-24 23:43 --------- d-----w C:\Programme\QuickTime
2007-10-24 23:39 --------- d-----w C:\Programme\InterVideo
2007-10-24 23:39 --------- d-----w C:\Programme\Gemeinsame Dateien\InterVideo
2007-10-24 23:39 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2007-10-24 22:22 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
2007-10-22 01:39 267,272 ----a-w C:\WINDOWS\system32\xactengine2_10.dll
2007-10-22 01:37 17,928 ----a-w C:\WINDOWS\system32\X3DAudio1_2.dll
2007-10-17 23:25 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2007-10-15 17:28 --------- d-----w C:\Dokumente und Einstellungen\Sven\Anwendungsdaten\Ventrilo
2007-10-15 17:12 --------- d-----w C:\Dokumente und Einstellungen\Sven\Anwendungsdaten\ICQ
2007-10-15 17:11 --------- d-----w C:\Dokumente und Einstellungen\Sven\Anwendungsdaten\InstallShield
2007-10-15 16:58 --------- d-----w C:\Programme\DIFX
2007-10-15 16:38 --------- d-----w C:\Programme\ATI Technologies
2007-10-15 14:57 --------- d-----w C:\Programme\Ahead
2007-10-15 14:55 --------- d-----w C:\Programme\Gemeinsame Dateien\Ahead
2007-10-15 14:55 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ahead
2007-10-15 14:53 --------- d-----w C:\Programme\Creative
2007-10-15 14:36 --------- d-----w C:\Dokumente und Einstellungen\Sven\Anwendungsdaten\Talkback
2007-10-15 14:26 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2007-10-15 14:23 --------- d-----w C:\Programme\Google
2007-10-15 14:19 --------- d-----w C:\Programme\mozilla.org
2007-10-15 14:07 --------- d-----w C:\Dokumente und Einstellungen\Sven\Anwendungsdaten\Creative
2007-10-15 14:00 --------- d-----w C:\Programme\Marvell
2007-10-15 13:56 --------- d-----w C:\Programme\microsoft frontpage
2007-10-15 13:56 --------- d-----w C:\Dokumente und Einstellungen\Sven\Anwendungsdaten\Microsoft Web Folders
2007-10-15 13:54 --------- d-----w C:\Programme\Gemeinsame Dateien\SpeechEngines
2007-10-15 13:54 --------- d-----w C:\Programme\Gemeinsame Dateien\ODBC
2007-10-15 13:48 81,920 ----a-w C:\WINDOWS\system32\OpenAL32.dll
2007-10-15 13:48 233,472 ----a-w C:\WINDOWS\system32\wrap_oal.dll
2007-10-15 13:45 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Creative
2007-10-15 13:39 --------- d-----w C:\Programme\USB 3D Sound Configuration
2007-10-15 13:26 --------- d-----w C:\Programme\VIA
2007-10-15 13:01 --------- d-----w C:\Programme\Online-Dienste
2007-10-15 13:01 --------- d-----w C:\Programme\Gemeinsame Dateien\MSSoap
2007-10-15 13:01 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste
2007-10-12 13:14 3,734,536 ----a-w C:\WINDOWS\system32\d3dx9_36.dll
2007-10-12 13:14 1,374,232 ----a-w C:\WINDOWS\system32\D3DCompiler_36.dll
2007-10-02 07:56 444,776 ----a-w C:\WINDOWS\system32\d3dx10_36.dll
2007-09-17 18:23 823,296 ----a-w C:\WINDOWS\system32\divx_xx0c.dll
2007-09-17 18:23 823,296 ----a-w C:\WINDOWS\system32\divx_xx07.dll
2007-09-17 18:22 802,816 ----a-w C:\WINDOWS\system32\divx_xx11.dll
2007-09-17 18:22 739,840 ----a-w C:\WINDOWS\system32\DivX.dll
2007-09-11 23:14 156,992 ----a-w C:\WINDOWS\system32\DivXCodecVersionChecker.exe
2007-08-21 06:16 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll
2007-08-21 00:26 81,920 ----a-w C:\WINDOWS\system32\dpl100.dll
2007-08-21 00:26 196,608 ----a-w C:\WINDOWS\system32\dtu100.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTDVDDET"="C:\Programme\Creative\Sound Blaster X-Fi\DVDAudio\CTDVDDET.EXE" [2003-06-18 00:00]
"RCSystem"="C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" [2005-06-16 17:25]
"AudioDrvEmulator"="C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" [2005-06-16 17:25]
"VolPanel"="C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanel.exe" [2005-07-11 10:34]
"CTHelper"="CTHELPER.EXE" [2005-08-07 23:10 C:\WINDOWS\CTHELPER.EXE]
"CTxfiHlp"="CTXFIHLP.EXE" [2005-08-07 23:10 C:\WINDOWS\system32\CTXFIHLP.EXE]
"StartCCC"="C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 11:35]
"SoundMan"="SOUNDMAN.EXE" [2004-02-26 09:53 C:\WINDOWS\SOUNDMAN.EXE]
"ISUSPM"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" [2006-03-20 16:34]
"AVP"="C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" [2007-05-19 22:36]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 19:51]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-03 23:57]
"Creative Detector"="C:\Programme\Creative\MediaSource\Detector\CTDetect.exe" [2004-12-02 17:23]

C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office\OSA9.EXE [1999-02-17 21:05:56]
VIA RAID TOOL.lnk - C:\Programme\VIA\RAID\raid_tool.exe [2007-10-15 14:26:53]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\Antiwpa]
antiwpa.dll 2005-07-06 02:46 5632 C:\WINDOWS\system32\antiwpa.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Google Updater.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Google Updater.lnk
backup=C:\WINDOWS\pss\Google Updater.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^InterVideo WinCinema Manager.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\InterVideo WinCinema Manager.lnk
backup=C:\WINDOWS\pss\InterVideo WinCinema Manager.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
"C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Application Layer Gateway Service]
C:\WINDOWS\system32\algs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Client Server Runtime Process]
C:\WINDOWS\system32\csrs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CmUsbSound]
RunDll32 cmcnfgu.cpl,CMICtrlWnd

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Ptipbmf]
rundll32.exe ptipbmf.dll,SetWriteCacheMode

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"C:\Programme\QuickTime\qttask.exe" -atboottime

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UpdReg]
C:\WINDOWS\UpdReg.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"gusvc"=2 (0x2)
"Creative Service for CDROM Access"=2 (0x2)

R0 viasraid;viasraid;C:\WINDOWS\system32\DRIVERS\viasraid.sys
R2 TMPService;TrafficMonitor Packettreiber Initialisierung;C:\Programme\TrafficMonitor\TMPacketServiceInit.exe
R3 cmudau;C-Media USB Sound Interface;C:\WINDOWS\system32\drivers\cmudau.sys
R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys
S3 ha20x2k;Creative 20X HAL Driver;C:\WINDOWS\system32\drivers\ha20x2k.sys

.
Inhalt des "geplante Tasks" Ordners
"2007-10-24 23:42:20 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************
Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

**************************************************************************
.
Zeit der Fertigstellung: 2007-11-19 17:24:47
C:\ComboFix2.txt ... 2007-11-19 22:51
.
--- E O F ---





All clear?

#11 ComboFix funktioniert auch nicht mehr.ursache unbekannt
Schau mal nach ob diese Datei noch da sind sind

C:\WINDOWS\system32\beijjvf.exe
__________
MfG Argus

#12 Die Dateien sind noch da? Sind die nun schädlich oder nicht^^

#13 Ob die schaedlich sind weiss ich in Google ist nichts barueber zu finden

Avenger
Download Avenger zum Desktop
Alle Fenster muessen geschlossen sein
Starte Avenger
Anhaken Input script manually
Die "Lupe" rechts anklicken - View/edit script (wird sich öffnen)
kopiere rein:

Files to delete:
C:\WINDOWS\system32\dnqcqvga.ini
C:\WINDOWS\system32\kjkmp.ini
C:\WINDOWS\system32\kwiuptep.ini
C:\WINDOWS\system32\kjkmp.bak2
C:\WINDOWS\system32\gyxwclfr.ini
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\uighxwhx.ini
C:\WINDOWS\system32\dfgmgkgp.ini
C:\WINDOWS\system32\wncfyfgg.ini
C:\WINDOWS\system32\qhcyxxvw.ini
C:\WINDOWS\system32\fumneqim.ini
C:\WINDOWS\system32\rdvjofsw.ini
C:\WINDOWS\system32\beijjvf.exe
C:\WINDOWS\system32\rsghglf.exe
C:\WINDOWS\system32\nwvh.exe
C:\WINDOWS\system32\szptpjrh.exe
C:\WINDOWS\system32\lgmpapu.exe

Klicke die grüne Ampel
das Script wird nun ausgeführt, dann wird der PC nach Bestätigung (yes) neustarten
nach dem Neustart erscheint ein Log vom Avenger, kopiere es ab - mit rechtem Mausklick - kopieren - einfügen
__________
MfG Argus

#14 All done - Dateien weg


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\efitccmf

*******************

Script file located at: \??\C:\WINDOWS\system32\famgiwsv.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\dnqcqvga.ini deleted successfully.
File C:\WINDOWS\system32\kjkmp.ini deleted successfully.
File C:\WINDOWS\system32\kwiuptep.ini deleted successfully.
File C:\WINDOWS\system32\kjkmp.bak2 deleted successfully.
File C:\WINDOWS\system32\gyxwclfr.ini deleted successfully.
File C:\WINDOWS\system32\mcrh.tmp deleted successfully.
File C:\WINDOWS\system32\uighxwhx.ini deleted successfully.
File C:\WINDOWS\system32\dfgmgkgp.ini deleted successfully.
File C:\WINDOWS\system32\wncfyfgg.ini deleted successfully.
File C:\WINDOWS\system32\qhcyxxvw.ini deleted successfully.
File C:\WINDOWS\system32\fumneqim.ini deleted successfully.
File C:\WINDOWS\system32\rdvjofsw.ini deleted successfully.
File C:\WINDOWS\system32\beijjvf.exe deleted successfully.
File C:\WINDOWS\system32\rsghglf.exe deleted successfully.
File C:\WINDOWS\system32\nwvh.exe deleted successfully.
File C:\WINDOWS\system32\szptpjrh.exe deleted successfully.
File C:\WINDOWS\system32\lgmpapu.exe deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

#15 Entferne auf C:\ avenger\backup.zip -->Papierkorb leeren

Systemwiederherstellung
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
Neu Starten
Dann wieder aktivieren (Häkchen entfernen)

Installiere neben dein Kaspersky noch ein Spywarescanner
Installiere AVG Anti Spyware 7.5
http://board.protecus.de/t29853.htm
__________
MfG Argus