Spy- bzw Malware probleme

#1 Mein Vater war heute auf einer mir unbekannten seite und das ergebnis ist ein ziemlich unschöner befall von malware aller art. ich weis nicht um was genau es sich handelt lediglich das irgend ein BS soundso programm sich automatisch auf der festplatte eingefunden hat das scheints sowas wie ein antyspy tool sein soll was ich aber stark bezweifle. Jedenfalls hab ich erstmal die cleanUp.exe durchlaufen lassen und gleich danach den ATF-cleaner und schick euch jetzt mal die geforderten logs. mal hoffen das noch was zu retten ist ^^

Also erstmal das Combofix Log:

ComboFix 07-11-19.4C - C. Langer 2007-11-28 20:05:58.1 - [color=red]FAT32[/color]x86
Microsoft Windows XP Professional 5.1.2600.0.1252.1.1031.18.109 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\C. Langer\Eigene Dateien\dloadsC\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Zbigniew Langer\Desktop\bravesentry.lnk
C:\Programme\Temporary
C:\Programme\Temporary\wininstall.exe
C:\Programme\WinAble
C:\Programme\WinAble\winable.exe
C:\sys.txt
C:\WINDOWS\Anwendungsdaten\Install.dat
C:\WINDOWS\Anwendungsdaten\microsoft\internet explorer\Desktop.htt
C:\WINDOWS\b122.exe
C:\WINDOWS\desktop.html
C:\WINDOWS\start.exe
C:\WINDOWS\Startmenü\Programme\Brave-Sentry
C:\WINDOWS\Startmenü\Programme\Brave-Sentry\BraveSentry.lnk
C:\WINDOWS\Startmenü\Programme\Brave-Sentry\Uninstall.lnk
C:\WINDOWS\SYSTEM32\18291084541.dll
C:\WINDOWS\SYSTEM32\18404395541.dll
C:\WINDOWS\system32\5_exception.nls
C:\WINDOWS\system32\away.exe.exe
C:\WINDOWS\system32\config\44201606.Evt
C:\WINDOWS\system32\dllh8jkd1q1.exe
C:\WINDOWS\system32\dllh8jkd1q2.exe
C:\WINDOWS\system32\dllh8jkd1q5.exe
C:\WINDOWS\system32\dllh8jkd1q6.exe
C:\WINDOWS\system32\dllh8jkd1q7.exe
C:\WINDOWS\system32\dllh8jkd1q8.exe
C:\WINDOWS\system32\drivers\Dih44.sys
C:\WINDOWS\system32\drivers\Hnb39.sys
C:\WINDOWS\system32\drivers\Qtk45.sys
C:\WINDOWS\system32\drivers\runtime2.sy_
C:\WINDOWS\system32\drivers\runtime2.sys
C:\WINDOWS\system32\drivers\secdrv.sys
C:\WINDOWS\system32\drivers\symavc32.sys
C:\WINDOWS\system32\kernelw.sys
C:\WINDOWS\system32\kernelwind32.exe
C:\WINDOWS\system32\kr_done1
C:\WINDOWS\system32\m1ax1d1213216143v.exe
C:\WINDOWS\system32\max1d11643v.exe
C:\WINDOWS\system32\newmaxxsv234.exe
C:\WINDOWS\system32\svcp.csv
C:\WINDOWS\system32\vedxg3am1et3.exe
C:\WINDOWS\system32\vedxg4am1et2.exe
C:\WINDOWS\system32\vedxg6ame4.exe
C:\WINDOWS\system32\vedxga1me4t1.exe
C:\WINDOWS\system32\vedxga3me2.exe
C:\WINDOWS\system32\vedxga4m1et4.exe
C:\WINDOWS\system32\vedxga4me1.exe
C:\WINDOWS\system32\vedxga5me3.exe
C:\WINDOWS\system32\vedxga8me6.exe
C:\WINDOWS\system32\vx.tll
C:\WINDOWS\system32\winsub.xml

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_DRIVER
-------\LEGACY_QTK45
-------\LEGACY_RUNTIME
-------\LEGACY_RUNTIME2
-------\Driver
-------\runtime


((((((((((((((((((((((( Dateien erstellt von 2007-10-28 bis 2007-11-28 ))))))))))))))))))))))))))))))
.

2007-11-28 19:16 27,648 ---hs---- C:\WINDOWS\SYSTEM32\DRIVERS\sysdrv.exe
2007-11-28 19:16 27,648 ---hs---- C:\Dokumente und Einstellungen\Zbigniew Langer\scvhost.exe
2007-11-21 18:06 <DIR> d-------- C:\Programme\Gravity
2007-11-18 14:46 <DIR> d-------- C:\WINDOWS\Anwendungsdaten\ZoomBrowser EX
2007-11-18 14:43 13,824 --a------ C:\WINDOWS\SYSTEM32\DRIVERS\usbscan.sys
2007-11-18 14:43 5,632 --a------ C:\WINDOWS\SYSTEM32\ptpusb.dll
2007-11-18 14:38 <DIR> d-------- C:\WINDOWS\All Users\Anwendungsdaten\ZoomBrowser
2007-11-18 14:38 <DIR> d-------- C:\Programme\Canon
2007-11-18 14:36 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Canon
2007-11-03 22:15 <DIR> d-------- C:\WINDOWS\All Users\Anwendungsdaten\GRETECH
2007-11-01 22:26 <DIR> d-------- C:\Programme\DivX

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-11-28 18:39 12,960 ----a-w C:\WINDOWS\SYSTEM32\taskmon.sys
2007-11-28 18:16 23,552 ----a-w C:\WINDOWS\mmall.exe
2007-11-28 18:15 4,096 ----a-w C:\WINDOWS\SYSTEM32\shutdown.dll
2007-11-28 18:15 27,648 ----a-w C:\WINDOWS\SYSTEM32\winlogon.scr
2007-11-28 18:15 15,360 ----a-w C:\WINDOWS\patchw32.exe
2007-11-28 18:15 129,536 ----a-w C:\WINDOWS\noskrnl.exe
2007-11-28 18:14 35,840 ----a-w C:\WINDOWS\mrofinu27.exe
2007-11-28 18:14 112,128 ----a-w C:\WINDOWS\SYSTEM32\runtime.exe
2007-11-28 18:13 45,072 ----a-w C:\WINDOWS\taskmon.exe
2007-11-28 18:12 363,224 ----a-w C:\WINDOWS\SYSTEM32\java.dll
2007-11-28 18:12 127,704 ----a-w C:\wndocvo.exe
2007-11-28 18:10 25,683 ----a-w C:\sysmdmh.exe
2007-10-15 14:41 --------- d-----w C:\Programme\Common Files
2007-10-15 14:41 --------- d-----w C:\Programme\AvantGo Connect
2007-10-15 14:40 --------- d-----w C:\Programme\Microsoft ActiveSync
2007-10-11 16:30 --------- d-----w C:\Programme\Messenger Plus! Live
2007-09-29 19:30 0 ----a-r C:\logwmemory.bin
2007-09-29 19:27 --------- d-----w C:\Dokumente und Einstellungen\C. Langer\Anwendungsdaten\Soldat
2007-08-20 18:30 1,165,600 ----a-w C:\Programme\Movie Maker.rar
2006-10-08 12:25 25,400 ----a-w C:\Dokumente und Einstellungen\C. Langer\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2006-08-06 13:25 266 --sh--w C:\Programme\desktop.ini
2006-08-06 13:25 11,253 ---h--w C:\Programme\folder.htt
.

((((((((((((((((((((((((((((((((((((((((((((( AWF ))))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
----a-w 13,312 2002-09-10 15:24:52 C:\WINDOWS\SYSTEM32\bak\ctfmon.exe
----a-w 13,312 2002-09-10 15:24:52 C:\WINDOWS\SYSTEM32\ctfmon.exe

----a-w 155,648 2001-07-09 10:50:42 C:\WINDOWS\SYSTEM32\bak\NeroCheck.exe

----a-w 180,269 2006-10-14 22:03:24 C:\Programme\Gemeinsame Dateien\Real\Update_OB\bak\realsched.exe

----a-w 811,008 2005-11-01 10:31:12 C:\Programme\T-Online\DSL-Manager\bak\TODslMgr.exe

----a-w 282,624 2006-08-16 17:27:52 C:\Programme\QuickTime\bak\qttask.exe

.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{755bbd1a-aa59-456c-afeb-b4c42c4dcb6f}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C2FA64AF-DBA5-495E-B955-6F825A6733D6}]
C:\WINDOWS\System32\pmnkh.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2002-09-10 16:24]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SystemTray"="SysTray.Exe" [2002-09-10 16:30 C:\WINDOWS\SYSTEM32\systray.exe]
"AvantGo Connect"="C:\WINDOWS\patchw32.exe" [2007-11-28 19:15]
"runtime.exe"="C:\WINDOWS\System32\runtime.exe" [2007-11-28 19:14]
"runtime.exe"="C:\WINDOWS\System32\runtime.exe" [2007-11-28 19:14]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2002-09-10 16:24]
"InfoCockpit"="C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.exe" [2007-07-30 14:27]
"Spyware Doctor"="" []

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\botreg]
C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\bot.dll 2007-11-28 19:13 12899 C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\bot.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^WINDOWS^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=C:\WINDOWS\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^WINDOWS^All Users^Startmenü^Programme^Autostart^Erinnerungen für Microsoft Works-Kalender.lnk]
path=C:\WINDOWS\All Users\Startmenü\Programme\Autostart\Erinnerungen für Microsoft Works-Kalender.lnk
backup=C:\WINDOWS\pss\Erinnerungen für Microsoft Works-Kalender.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^WINDOWS^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=C:\WINDOWS\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]
2005-06-23 20:33 57344 --a------ C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATIPTA]
atiptaxx.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools-1033]
C:\Dokumente und Einstellungen\C. Langer\Eigene Dateien\g-unit\d-tool\daemon.exe -lang 1033

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
C:\Dokumente und Einstellungen\C. Langer\Eigene Dateien\g-unit\icq\ICQLite\ICQLite.exe -minimize

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
C:\WINDOWS\system32\dumprep 0 -k

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]
C:\Programme\MSN Messenger\msnmsgr.exe /background

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
C:\Programme\QuickTime\qttask.exe -atboottime

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2006-12-15 03:23 75520 --a------ C:\Programme\Java\jre1.5.0_11\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\T-Online_Software_5]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\T-Online_Software_5\WLAN-Access Finder]
C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe /StartMinimized

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ToADiMon.exe]
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Veoh]
C:\Dokumente und Einstellungen\C. Langer\Eigene Dateien\g-unit\Veoh Networks\Veoh\VeohClient.exe /VeohHide

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinFast Schedule]
2005-05-04 17:51 282624 --a------ C:\Programme\WinFast\WFTVFM\WFWIZ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"ToADiMon.exe"=C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS1\ToADiMon.exe -TOnlineAutodialStart

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\setup\disabledrunkeys]
"LoadPowerProfile"=Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
"AtiCwd32"=Aticwd32.exe
"AtiQiPcl"=AtiQiPcl.exe
"AtiPTA"=Atiptaxx.exe
"AOTray"=AOTray.Exe
"mdac_runonce"=C:\WINDOWS\SYSTEM32\RUNONCE.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices-]
"SchedulingAgent"=mstask.exe

R2 BT848;WinFast VC100 WDM Video Capture;C:\WINDOWS\System32\drivers\wf2kvcap.sys
R2 MZCCntrl;Marmiko ZeroConfig Controller;C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
R2 Tv2kXbar;WinFast VC100 WDM Crossbar;C:\WINDOWS\System32\drivers\wf2kxbar.sys
R3 als4k;Avance Audio Miniport Driver (WDM);C:\WINDOWS\System32\drivers\als4000.sys
R3 ati2mtaa;ati2mtaa;C:\WINDOWS\System32\DRIVERS\ati2mtaa.sys
R3 taskmon.sys;taskmon.sys;\??\C:\WINDOWS\System32\taskmon.sys
S3 ati2mpaa;ati2mpaa;C:\WINDOWS\System32\DRIVERS\ati2mpaa.sys
S3 ATIVRVXX;ATI Rage Theatre Video (ATIRTCAP);C:\WINDOWS\System32\DRIVERS\atirtcap.sys
S3 MACNDIS5;MACNDIS5 NDIS Protocol Driver;\??\C:\PROGRA~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS
S3 MTOnlPktAlyX;MTOnlPktAlyX NDIS Protocol Driver;\??\C:\PROGRA~1\T-Online\T-ONLI~2\BASIS-~1\Basis1\MTOnlPktAlyX.SYS
S3 TODslService;T-Online DSL-Manager;"C:\Programme\T-Online\DSL-Manager\TODslSvc.exe"
S3 XDva025;XDva025;\??\C:\WINDOWS\System32\XDva025.sys


[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{9EF0045A-CDD9-438e-95E6-02B9AFEC8E11}]
C:\WINDOWS\SYSTEM32\updcrl.exe -e -u C:\WINDOWS\SYSTEM\verisignpub1.crl
.
Inhalt des "geplante Tasks" Ordners
"2007-11-07 22:00:02 C:\WINDOWS\Tasks\Programmstart beschleunigen.job"
.
**************************************************************************

catchme 0.3.1262 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-11-28 20:11:46
Windows 5.1.2600 FAT NTAPI

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
"taskmon"="C:\\WINDOWS\\taskmon.exe"
.
Zeit der Fertigstellung: 2007-11-28 20:13:33 - machine was rebooted
C:\ComboFix2.txt ... 2007-11-28 19:54
.
--- E O F ---

_____________________________________

leider kann ich wies scheint kein hijackthis log abspeichern da er mir einen fehler anzeigt wenn ich das probiere:

Die Anweisung in "0x77f417e2" verweist auf Speicher "0x773b430e". Der Vorgang "written" konnte nicht auf dem Speicher durchgeführt werden.

...

#2 Entferne auf C:\Qoobox-->Papierkorb leeren

RVAXO
Download: RVAXO by Smeenk,zum Desktop
Danach doppelklicken
Öffne die Datei RVAXO und doppelklick “RVAXO.cmd”
Moeglich startet der Uninstaller von ein Roquescanner schliesse es nicht ab aber lass es seine Arbeit tun
Dein Rechner wird neu gestartet,wenn nicht
Rechner neu starten und nochmals “RVAXO.cmd” doppelklicken
Poste nachher den logfile C:\ RVAXO-results.log in dein folgender Bericht
__________
MfG Argus

#3 ----------------RVAXO.exe first run-------------

Files found:

C:\WINDOWS\mmall.exe
C:\WINDOWS\system32\actskn45.ocx
C:\WINDOWS\mrofinu27.exe
C:\WINDOWS\SYSTEM32\dllhost.exe
C:\WINDOWS\SYSTEM32\dllcache\dllhost.exe
C:\WINDOWS\SYSTEM32\dllhost.exe
C:\WINDOWS\SYSTEM32\dllcache\dllhost.exe

Uninstallers Rogue scanners:


Folders Found:


Hosts-file was reset, If you use a custom hosts file please replace it...

--------------RVAXO.exe last run---------------

Files found:

Folders Found:

--------------RVAXO.exe finished----------------

__________________________________________

#4 Oeffne die Datei RVAXO auf dein Desktop
Doppleklick Uninstall.cmd um alles von RVAXO zu entfernen

Und installiere ein Virenscanner scanne und berichte
Antivir
http://board.protecus.de/t23979.htm
Und scanne nochmal
Nach dem Scann die Heuristik auf "mittel" zurückdrehen
__________
MfG Argus

#5 hiers der report vom antivir:

AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Mittwoch, 28. November 2007 21:15

Es wird nach 835736 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (plain) [5.1.2600]
Benutzername: SYSTEM
Computername: Q8M1K6

Versionsinformationen:
BUILD.DAT : 270 15603 Bytes 19.09.2007 13:29:00
AVSCAN.EXE : 7.0.6.1 290856 Bytes 23.08.2007 13:16:26
AVSCAN.DLL : 7.0.6.0 57384 Bytes 14.08.2007 15:48:30
LUKE.DLL : 7.0.5.3 147496 Bytes 14.08.2007 15:32:44
LUKERES.DLL : 7.0.6.0 10792 Bytes 14.08.2007 15:49:06
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 14:27:16
ANTIVIR1.VDF : 7.0.0.0 1640448 Bytes 13.09.2007 14:26:56
ANTIVIR2.VDF : 7.0.0.1 2048 Bytes 13.09.2007 14:27:04
ANTIVIR3.VDF : 7.0.0.2 2048 Bytes 13.09.2007 14:27:14
AVEWIN32.DLL : 7.6.0.15 2806272 Bytes 17.09.2007 17:43:56
AVWINLL.DLL : 1.0.0.7 14376 Bytes 26.02.2007 10:36:24
AVPREF.DLL : 7.0.2.2 25640 Bytes 18.07.2007 07:16:52
AVREP.DLL : 7.0.0.1 155688 Bytes 16.04.2007 13:16:24
AVPACK32.DLL : 7.3.0.15 360488 Bytes 03.08.2007 08:46:02
AVREG.DLL : 7.0.1.6 30760 Bytes 18.07.2007 07:17:04
AVARKT.DLL : 1.0.0.20 278568 Bytes 28.08.2007 12:26:30
AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18.07.2007 07:10:16
NETNT.DLL : 7.0.0.0 7720 Bytes 08.03.2007 11:09:04
RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 07.08.2007 12:37:52
RCTEXT.DLL : 7.0.62.0 90152 Bytes 21.08.2007 12:50:30
SQLITE3.DLL : 3.3.17.1 339968 Bytes 23.07.2007 09:37:22

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: aus
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: aus
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Mittwoch, 28. November 2007 21:15

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CTFMON.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RUNTIME.EXE' - '1' Modul(e) wurden durchsucht
Modul ist infiziert -> 'C:\WINDOWS\System32\runtime.exe'
Durchsuche Prozess 'TASKMON.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EXPLORER.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CALMAIN.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WDFMGR.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MZCCntrl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ALG.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SPOOLSV.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IEXPLORE.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LSASS.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SERVICES.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WINLOGON.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CSRSS.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SMSS.EXE' - '1' Modul(e) wurden durchsucht
Prozess 'RUNTIME.EXE' wird beendet
C:\WINDOWS\System32\runtime.exe
[FUND] Die Datei ist mit einem ungewöhnlichen Laufzeitpacker komprimiert (PCK/Krunchy). Bitte verifizieren Sie den Ursprung dieser Datei.
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47bbcd00.qua' verschoben!

Es wurden '27' Prozesse mit '26' Modulen durchsucht

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\bot.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!

Die Registry wurde durchsucht ( '24' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\wndocvo.exe
[FUND] Enthält verdächtigen Code: HEUR/Malware
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47b1cd0a.qua' verschoben!
C:\WINDOWS\NirCmd.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.1
[INFO] Die Datei wurde gelöscht.
C:\WINDOWS\SYSTEM32\qgttp.dll
[FUND] Ist das Trojanische Pferd TR/Crypt.ULPM.Gen
[INFO] Die Datei wurde gelöscht.
C:\Program Files\BraveSentry\BraveSentry.exe
[FUND] Enthält Erkennungsmuster der Phish-Datei/Email PHISH/FraudTool.Bravesentry.B
[INFO] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\bot.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\C. Langer\Eigene Dateien\eigener stuff\avenger.exe
[FUND] Enthält Erkennungsmuster des SPR/Avenger-Programmes
[INFO] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\C. Langer\Eigene Dateien\eigener stuff\SmitfraudFix\Reboot.exe
[FUND] Enthält Erkennungsmuster des SPR/Tool.Reboot.C-Programmes
[INFO] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\C. Langer\Eigene Dateien\eigener stuff\SmitfraudFix\restart.exe
[FUND] Enthält Erkennungsmuster des SPR/Tool.Hardoff.A-Programmes
[INFO] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\C. Langer\Eigene Dateien\dloadsC\ComboFix.exe
[0] Archivtyp: RAR SFX (self extracting)
--> nircmd.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.1
--> nircmd.cfexe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.1
[WARNUNG] Die Datei wurde ignoriert.
C:\System Volume Information\_restore{6AE4F87B-479A-47BC-9388-6CAAF9DF0E31}\RP2\A0000006.exe
[FUND] Ist das Trojanische Pferd TR/Hijacker.Gen
[INFO] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{6AE4F87B-479A-47BC-9388-6CAAF9DF0E31}\RP2\A0000009.exe
[FUND] Enthält verdächtigen Code: HEUR/Crypted
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '477de6b5.qua' verschoben!
C:\System Volume Information\_restore{6AE4F87B-479A-47BC-9388-6CAAF9DF0E31}\RP2\A0000010.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.ULPM.Gen
[INFO] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{6AE4F87B-479A-47BC-9388-6CAAF9DF0E31}\RP2\A0000011.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.ULPM.Gen
[INFO] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{6AE4F87B-479A-47BC-9388-6CAAF9DF0E31}\RP2\A0000012.exe
[FUND] Ist das Trojanische Pferd TR/Rootkit.Gen
[INFO] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{6AE4F87B-479A-47BC-9388-6CAAF9DF0E31}\RP2\A0000020.exe
[FUND] Enthält Erkennungsmuster eines kostenverursachenden Einwahlprogrammes DIAL/Generic (Dialer)
[INFO] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{6AE4F87B-479A-47BC-9388-6CAAF9DF0E31}\RP2\A0000027.sys
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/Agent.DQ.31.A
[INFO] RKIT/Agent.DQ.31.A:[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services//Runtime]
[INFO] RKIT/Agent.DQ.31.A:[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Runtime//Enum]
[INFO] RKIT/Agent.DQ.31.A:[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services//Runtime]
[INFO] RKIT/Agent.DQ.31.A:[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RUNTIME\0000//Control]
[INFO] RKIT/Agent.DQ.31.A:[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RUNTIME//0000]
[INFO] RKIT/Agent.DQ.31.A:[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root//LEGACY_RUNTIME]
[INFO] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{6AE4F87B-479A-47BC-9388-6CAAF9DF0E31}\RP2\A0000034.exe
[FUND] Ist das Trojanische Pferd TR/Small.Crypted.Gen
[INFO] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{6AE4F87B-479A-47BC-9388-6CAAF9DF0E31}\RP2\A0000043.sys
[FUND] Ist das Trojanische Pferd TR/Rootkit.Gen
[INFO] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{6AE4F87B-479A-47BC-9388-6CAAF9DF0E31}\RP2\A0000049.sys
[FUND] Ist das Trojanische Pferd TR/Rootkit.Gen
[INFO] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{6AE4F87B-479A-47BC-9388-6CAAF9DF0E31}\RP2\A0000052.sys
[FUND] Ist das Trojanische Pferd TR/Rootkit.Gen
[INFO] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{6AE4F87B-479A-47BC-9388-6CAAF9DF0E31}\RP2\A0000086.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.ULPM.Gen
[INFO] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{6AE4F87B-479A-47BC-9388-6CAAF9DF0E31}\RP2\A0000087.exe
[FUND] Enthält Erkennungsmuster des SPR/Tool.Hardoff.A-Programmes
[INFO] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{6AE4F87B-479A-47BC-9388-6CAAF9DF0E31}\RP2\A0000096.SYS
[FUND] Ist das Trojanische Pferd TR/Rootkit.Gen
[INFO] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{6AE4F87B-479A-47BC-9388-6CAAF9DF0E31}\RP2\A0000101.exe
[0] Archivtyp: ZIP SFX (self extracting)
--> RVAXO3
[FUND] Enthält Erkennungsmuster des SPR/Tool.Hardoff.A-Programmes
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '477de784.qua' verschoben!
C:\System Volume Information\_restore{6AE4F87B-479A-47BC-9388-6CAAF9DF0E31}\RP2\A0000110.DLL
[FUND] Ist das Trojanische Pferd TR/Agent.aqo.63
[INFO] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{6AE4F87B-479A-47BC-9388-6CAAF9DF0E31}\RP2\A0000111.EXE
[FUND] Ist das Trojanische Pferd TR/Agent.aqo.63
[INFO] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{6AE4F87B-479A-47BC-9388-6CAAF9DF0E31}\RP2\A0000112.SYS
[FUND] Ist das Trojanische Pferd TR/Rootkit.Gen
[INFO] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{6AE4F87B-479A-47BC-9388-6CAAF9DF0E31}\RP2\A0000114.EXE
[FUND] Die Datei ist mit einem ungewöhnlichen Laufzeitpacker komprimiert (PCK/Krunchy). Bitte verifizieren Sie den Ursprung dieser Datei.
[INFO] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{6AE4F87B-479A-47BC-9388-6CAAF9DF0E31}\RP2\A0000115.exe
[FUND] Enthält verdächtigen Code: HEUR/Malware
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '477de7c1.qua' verschoben!
C:\System Volume Information\_restore{6AE4F87B-479A-47BC-9388-6CAAF9DF0E31}\RP2\A0000117.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.1
[INFO] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{6AE4F87B-479A-47BC-9388-6CAAF9DF0E31}\RP2\A0000118.dll
[FUND] Ist das Trojanische Pferd TR/Crypt.ULPM.Gen
[INFO] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{6AE4F87B-479A-47BC-9388-6CAAF9DF0E31}\RP2\A0000120.exe
[FUND] Enthält Erkennungsmuster der Phish-Datei/Email PHISH/FraudTool.Bravesentry.B
[INFO] Die Datei wurde gelöscht.


Ende des Suchlaufs: Mittwoch, 28. November 2007 23:11
Benötigte Zeit: 1:56:06 min

Der Suchlauf wurde vollständig durchgeführt.

5619 Verzeichnisse wurden überprüft
243746 Dateien wurden geprüft
31 Viren bzw. unerwünschte Programme wurden gefunden
3 Dateien wurden als verdächtig eingestuft
26 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
5 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
3 Dateien konnten nicht durchsucht werden
243715 Dateien ohne Befall
2320 Archive wurden durchsucht
4 Warnungen
56 Hinweise

#6 Entferne Combofix

Ich werde dein log von Hijack This und datfindBat entfernen die oben stehen

Download nochmal ComboFix aber jetzt zum Desktop
Und poste das log von ComboFix

Poste nochmal die Daten von datfindbat
__________
MfG Argus

#7 Combofix:

ComboFix 07-11-19.4C - C. Langer 2007-11-29 16:04:41.2 - [color=red]FAT32[/color]x86
Microsoft Windows XP Professional 5.1.2600.0.1252.1.1031.18.181 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\C. Langer\Desktop\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\sys.txt
C:\WINDOWS\SYSTEM32\19121116341.dll
C:\WINDOWS\SYSTEM32\1944019041.dll
C:\WINDOWS\system32\spoolsvv.exe

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\asc3550p


((((((((((((((((((((((( Dateien erstellt von 2007-10-28 bis 2007-11-29 ))))))))))))))))))))))))))))))
.

2007-11-28 21:05 <DIR> d-------- C:\WINDOWS\All Users\Anwendungsdaten\Avira
2007-11-28 21:05 <DIR> d-------- C:\Programme\Avira
2007-11-28 19:26 29 --a------ C:\WINDOWS\SYSTEM32\wwpissrf.tmp
2007-11-28 19:24 <DIR> d--hs---- C:\FOUND.006
2007-11-28 19:16 27,648 --a------ C:\WINDOWS\SYSTEM32\winlogon.scr
2007-11-28 19:16 27,648 ---hs---- C:\WINDOWS\SYSTEM32\DRIVERS\sysdrv.exe
2007-11-28 19:16 27,648 ---hs---- C:\Dokumente und Einstellungen\Zbigniew Langer\scvhost.exe
2007-11-28 19:15 129,536 --a------ C:\WINDOWS\noskrnl.exe
2007-11-28 19:13 45,072 --a------ C:\WINDOWS\taskmon.exe
2007-11-28 19:12 363,224 --a------ C:\WINDOWS\SYSTEM32\java.dll
2007-11-28 19:10 25,683 --a------ C:\sysmdmh.exe
2007-11-21 18:06 <DIR> d-------- C:\Programme\Gravity
2007-11-18 14:46 <DIR> d-------- C:\WINDOWS\Anwendungsdaten\ZoomBrowser EX
2007-11-18 14:43 146,944 --a------ C:\WINDOWS\SYSTEM32\ptpusd.dll
2007-11-18 14:43 13,824 --a------ C:\WINDOWS\SYSTEM32\DRIVERS\usbscan.sys
2007-11-18 14:43 13,824 --a------ C:\WINDOWS\SYSTEM32\dllcache\usbscan.sys
2007-11-18 14:43 5,632 --a------ C:\WINDOWS\SYSTEM32\ptpusb.dll
2007-11-18 14:38 <DIR> d-------- C:\WINDOWS\All Users\Anwendungsdaten\ZoomBrowser
2007-11-18 14:38 <DIR> d-------- C:\Programme\Canon
2007-11-18 14:36 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Canon
2007-11-03 22:15 <DIR> d-------- C:\WINDOWS\All Users\Anwendungsdaten\GRETECH
2007-11-01 22:26 <DIR> d-------- C:\Programme\DivX

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-10-15 14:41 --------- d-----w C:\Programme\Common Files
2007-10-15 14:41 --------- d-----w C:\Programme\AvantGo Connect
2007-10-15 14:40 --------- d-----w C:\Programme\Microsoft ActiveSync
2007-10-11 16:30 --------- d-----w C:\Programme\Messenger Plus! Live
2007-09-29 19:30 0 ----a-r C:\logwmemory.bin
2007-09-29 19:27 --------- d-----w C:\Dokumente und Einstellungen\C. Langer\Anwendungsdaten\Soldat
2007-08-20 18:30 1,165,600 ----a-w C:\Programme\Movie Maker.rar
2006-10-08 12:25 25,400 ----a-w C:\Dokumente und Einstellungen\C. Langer\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2006-08-06 13:25 266 --sh--w C:\Programme\desktop.ini
2006-08-06 13:25 11,253 ---h--w C:\Programme\folder.htt
.

((((((((((((((((((((((((((((((((((((((((((((( AWF ))))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
----a-w 13,312 2002-09-10 15:24:52 C:\WINDOWS\SYSTEM32\bak\ctfmon.exe
----a-w 13,312 2002-09-10 15:24:52 C:\WINDOWS\SYSTEM32\ctfmon.exe

----a-w 155,648 2001-07-09 10:50:42 C:\WINDOWS\SYSTEM32\bak\NeroCheck.exe

----a-w 180,269 2006-10-14 22:03:24 C:\Programme\Gemeinsame Dateien\Real\Update_OB\bak\realsched.exe

----a-w 811,008 2005-11-01 10:31:12 C:\Programme\T-Online\DSL-Manager\bak\TODslMgr.exe

----a-w 282,624 2006-08-16 17:27:52 C:\Programme\QuickTime\bak\qttask.exe

.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{755bbd1a-aa59-456c-afeb-b4c42c4dcb6f}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C2FA64AF-DBA5-495E-B955-6F825A6733D6}]
C:\WINDOWS\System32\pmnkh.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2002-09-10 16:24]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"runtime.exe"="C:\WINDOWS\System32\runtime.exe" []
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-08-31 12:25]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2002-09-10 16:24]
"InfoCockpit"="C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.exe" [2007-07-30 14:27]
"Spyware Doctor"="" []

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\botreg]
C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\bot.dll 2007-11-28 19:13 12899 C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\bot.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^WINDOWS^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=C:\WINDOWS\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^WINDOWS^All Users^Startmenü^Programme^Autostart^Erinnerungen für Microsoft Works-Kalender.lnk]
path=C:\WINDOWS\All Users\Startmenü\Programme\Autostart\Erinnerungen für Microsoft Works-Kalender.lnk
backup=C:\WINDOWS\pss\Erinnerungen für Microsoft Works-Kalender.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^WINDOWS^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=C:\WINDOWS\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]
2005-06-23 20:33 57344 --a------ C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATIPTA]
atiptaxx.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AvantGo Connect]
C:\WINDOWS\patchw32.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools-1033]
C:\Dokumente und Einstellungen\C. Langer\Eigene Dateien\g-unit\d-tool\daemon.exe -lang 1033

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
C:\Dokumente und Einstellungen\C. Langer\Eigene Dateien\g-unit\icq\ICQLite\ICQLite.exe -minimize

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
C:\WINDOWS\system32\dumprep 0 -k

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]
C:\Programme\MSN Messenger\msnmsgr.exe /background

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
C:\Programme\QuickTime\qttask.exe -atboottime

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2006-12-15 03:23 75520 --a------ C:\Programme\Java\jre1.5.0_11\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\T-Online_Software_5]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\T-Online_Software_5\WLAN-Access Finder]
C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe /StartMinimized

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ToADiMon.exe]
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Veoh]
C:\Dokumente und Einstellungen\C. Langer\Eigene Dateien\g-unit\Veoh Networks\Veoh\VeohClient.exe /VeohHide

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinFast Schedule]
2005-05-04 17:51 282624 --a------ C:\Programme\WinFast\WFTVFM\WFWIZ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"ToADiMon.exe"=C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS1\ToADiMon.exe -TOnlineAutodialStart

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\setup\disabledrunkeys]
"LoadPowerProfile"=Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
"AtiCwd32"=Aticwd32.exe
"AtiQiPcl"=AtiQiPcl.exe
"AtiPTA"=Atiptaxx.exe
"AOTray"=AOTray.Exe
"mdac_runonce"=C:\WINDOWS\SYSTEM32\RUNONCE.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices-]
"SchedulingAgent"=mstask.exe

R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\DRIVERS\avgntmgr.sys
R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys
R2 BT848;WinFast VC100 WDM Video Capture;C:\WINDOWS\System32\drivers\wf2kvcap.sys
R2 MZCCntrl;Marmiko ZeroConfig Controller;C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
R2 Tv2kXbar;WinFast VC100 WDM Crossbar;C:\WINDOWS\System32\drivers\wf2kxbar.sys
R3 als4k;Avance Audio Miniport Driver (WDM);C:\WINDOWS\System32\drivers\als4000.sys
R3 ati2mtaa;ati2mtaa;C:\WINDOWS\System32\DRIVERS\ati2mtaa.sys
S3 ati2mpaa;ati2mpaa;C:\WINDOWS\System32\DRIVERS\ati2mpaa.sys
S3 ATIVRVXX;ATI Rage Theatre Video (ATIRTCAP);C:\WINDOWS\System32\DRIVERS\atirtcap.sys
S3 MACNDIS5;MACNDIS5 NDIS Protocol Driver;\??\C:\PROGRA~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS
S3 MTOnlPktAlyX;MTOnlPktAlyX NDIS Protocol Driver;\??\C:\PROGRA~1\T-Online\T-ONLI~2\BASIS-~1\Basis1\MTOnlPktAlyX.SYS
S3 taskmon.sys;taskmon.sys;\??\C:\WINDOWS\System32\taskmon.sys
S3 TODslService;T-Online DSL-Manager;"C:\Programme\T-Online\DSL-Manager\TODslSvc.exe"
S3 XDva025;XDva025;\??\C:\WINDOWS\System32\XDva025.sys


[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{9EF0045A-CDD9-438e-95E6-02B9AFEC8E11}]
C:\WINDOWS\SYSTEM32\updcrl.exe -e -u C:\WINDOWS\SYSTEM\verisignpub1.crl
.
Inhalt des "geplante Tasks" Ordners
"2007-11-07 22:00:02 C:\WINDOWS\Tasks\Programmstart beschleunigen.job"
.
**************************************************************************

catchme 0.3.1262 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-11-29 16:12:52
Windows 5.1.2600 FAT NTAPI

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2007-11-29 16:14:22 - machine was rebooted
C:\ComboFix3.txt ... 2007-11-28 19:54
C:\ComboFix2.txt ... 2007-11-28 20:13
.
--- E O F ---


datfind:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 120E-14E8

Verzeichnis von C:\WINDOWS\SYSTEM32

28.11.2007 20:15 879.678 PerfStringBackup.INI
28.11.2007 20:15 50.668 perfc009.dat
28.11.2007 20:15 374.200 perfh009.dat
28.11.2007 20:15 384.546 perfh007.dat
28.11.2007 20:15 61.294 perfc007.dat
28.11.2007 19:26 29 wwpissrf.tmp
28.11.2007 19:18 70 recl.txt
28.11.2007 19:15 27.648 winlogon.scr
28.11.2007 19:12 363.224 java.dll
28.11.2007 14:38 2.184 wpa.dbl
28.10.2007 12:44 135.664 FNTCACHE.DAT
27.07.2007 00:06 1.044.480 libdivx.dll

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 120E-14E8

Verzeichnis von C:\DOKUME~1\CA46E~1.LAN\LOKALE~1\Temp

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 120E-14E8

Verzeichnis von C:\WINDOWS

29.11.2007 16:10 0 0.log
29.11.2007 16:09 159 wiadebug.log
29.11.2007 16:09 2.048 bootstat.dat
29.11.2007 16:08 50 wiaservc.log
29.11.2007 16:08 32.630 SchedLog.Txt
28.11.2007 21:47 410 system.ini
28.11.2007 21:47 1.725 win.ini
28.11.2007 19:29 49.055 noskrnl.config
28.11.2007 19:15 129.536 noskrnl.exe
28.11.2007 19:13 45.072 taskmon.exe
28.11.2007 15:16 177.449 DirectX.log
20.11.2007 18:17 54.156 QTFont.qfn
19.11.2007 14:11 16.622 DPINST.LOG
18.11.2007 14:43 48.740 setupapi.log
11.11.2007 13:47 8.118 Windows Update.log
08.11.2007 16:59 136.704 catchme.exe
03.11.2007 22:09 1.409 QTFont.for
02.11.2007 21:13 69 NeroDigital.ini
01.11.2007 22:26 4.015 mozver.dat
15.10.2007 15:41 2.510 Microsoft.MIF
15.10.2007 15:41 2.464 $_hpcst$.hpc
11.10.2007 12:15 371 WinInit.INI
30.09.2007 17:48 185 mdm.ini
07.09.2007 10:54 1.009 ODBC.INI
07.09.2007 10:40 2.326 OEWABLog.txt
07.09.2007 10:40 67.385 wmsetup.log

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 120E-14E8

Verzeichnis von C:\WINDOWS\TEMP

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 120E-14E8

Verzeichnis von C:\WINDOWS\Downloaded Program Files

09.11.2006 14:36 5.019 swflash.inf
07.08.2006 18:06 65 desktop.ini
16.04.1999 04:30 562 Internet Explorer Classes for Java.osd
05.11.1998 16:11 1.162 Microsoft XML Parser for Java.osd
14.10.1997 18:52 697 DirectAnimation Java Classes.osd
5 Datei(en) 7.505 Bytes
0 Verzeichnis(se), 5.807.898.624 Bytes frei

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 120E-14E8

Verzeichnis von C:\

29.11.2007 16:16 0 sys.txt
29.11.2007 16:16 562 down.txt
29.11.2007 16:16 117 tmp.txt
29.11.2007 16:15 9.195 system.txt
29.11.2007 16:15 139 systemtemp.txt
29.11.2007 16:14 119.654 system32.txt
29.11.2007 16:14 10.864 ComboFix.txt
29.11.2007 16:09 201.326.592 pagefile.sys
28.11.2007 21:47 200 boot.ini
28.11.2007 20:13 12.773 ComboFix2.txt
28.11.2007 19:54 13.888 ComboFix3.txt
28.11.2007 19:10 25.683 sysmdmh.exe
15.10.2007 15:32 244 sqmnoopt18.sqm
15.10.2007 15:32 268 sqmdata18.sqm
14.10.2007 19:01 244 sqmnoopt17.sqm
14.10.2007 19:01 268 sqmdata17.sqm
11.10.2007 12:15 268 sqmdata16.sqm
11.10.2007 12:15 244 sqmnoopt16.sqm
10.10.2007 14:22 244 sqmnoopt15.sqm
10.10.2007 14:22 268 sqmdata15.sqm
08.10.2007 18:31 244 sqmnoopt14.sqm
08.10.2007 18:31 268 sqmdata14.sqm
08.10.2007 11:24 244 sqmnoopt13.sqm
08.10.2007 11:24 268 sqmdata13.sqm
07.10.2007 14:01 244 sqmnoopt12.sqm
07.10.2007 14:01 268 sqmdata12.sqm
29.09.2007 20:30 0 logwmemory.bin

#8 Entferne auf C:\ Qoobox-->Papierkorb leeren

Verborgene Dateien sichtbar machen
Arbeitsplatz öffnen >Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und Ordner >"alle Dateien und Ordner anzeigen" aktivieren
Und >Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner >"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren.

Prüfe mal diese Datei(en) bei VirusTotal oder Jotti

C:\sysmdmh.exe
C:\WINDOWS\SYSTEM32\winlogon.scr
C:\WINDOWS\SYSTEM32\DRIVERS\sysdrv.exe
C:\Dokumente und Einstellungen\Zbigniew Langer\scvhost.exe

Stand alone DrWeb
Stand alone Kaspersky
__________
MfG Argus

#9 VirusTotal =>
____________________________________________________________________
C:\sysmdmh.exe

Antivirus Version Last Update Result
AhnLab-V3 - - -
AntiVir - - -
Authentium - - Possibly a new variant of W32/STZ_like!Generic
Avast - - Win32:Tibser
AVG - - -
BitDefender - - -
CAT-QuickHeal - - -
ClamAV - - -
DrWeb - - -
eSafe - - -
eTrust-Vet - - -
Ewido - - -
FileAdvisor - - -
Fortinet - - -
F-Prot - - W32/STZ_like!Generic
F-Secure - - -
Ikarus - - -
Kaspersky - - -
McAfee - - -
Microsoft - - VirTool:Win32/Vxidl.gen!encrypted
NOD32v2 - - probably unknown NewHeur_PE virus
Norman - - -
Panda - - Suspicious file
Prevx1 - - -
Rising - - -
Sophos - - Mal/Dorf-F
Sunbelt - - -
Symantec - - -
TheHacker - - -
VBA32 - - -
VirusBuster - - -
Webwasher-Gateway - - -
Additional information
MD5: e8cf7f2c2a85111d8b511dfb7e798db6

__________________________________________________________________
C:\WINDOWS\SYSTEM32\winlogon.scr

Antivirus Version Last Update Result
AhnLab-V3 - - -
AntiVir - - -
Authentium - - -
Avast - - -
AVG - - Downloader.Delf.AMI
BitDefender - - BehavesLike:Win32.Malware
CAT-QuickHeal - - -
ClamAV - - -
DrWeb - - -
eSafe - - -
eTrust-Vet - - -
Ewido - - -
FileAdvisor - - -
Fortinet - - -
F-Prot - - -
F-Secure - - -
Ikarus - - Trojan.Win32.NucScan.B
Kaspersky - - -
McAfee - - -
Microsoft - - -
NOD32v2 - - probably unknown NewHeur_PE virus
Norman - - -
Panda - - -
Prevx1 - - SystemPoser:Trojan-All Variants
Rising - - -
Sophos - - -
Sunbelt - - -
Symantec - - -
TheHacker - - -
VBA32 - - -
VirusBuster - - -
Webwasher-Gateway - - -
Additional information
MD5: 25c27e47385949ed300cde1c8fc3fde6

____________________________________________________________________
C:\WINDOWS\SYSTEM32\DRIVERS\sysdrv.exe

Antivirus Version Last Update Result
AhnLab-V3 - - -
AntiVir - - -
Authentium - - -
Avast - - -
AVG - - Downloader.Delf.AMI
BitDefender - - BehavesLike:Win32.Malware
CAT-QuickHeal - - -
ClamAV - - -
DrWeb - - -
eSafe - - -
eTrust-Vet - - -
Ewido - - -
FileAdvisor - - -
Fortinet - - -
F-Prot - - -
F-Secure - - -
Ikarus - - Trojan.Win32.NucScan.B
Kaspersky - - -
McAfee - - -
Microsoft - - -
NOD32v2 - - probably unknown NewHeur_PE virus
Norman - - -
Panda - - -
Prevx1 - - SystemPoser:Trojan-All Variants
Rising - - -
Sophos - - -
Sunbelt - - -
Symantec - - -
TheHacker - - -
VBA32 - - -
VirusBuster - - -
Webwasher-Gateway - - -
Additional information
MD5: 25c27e47385949ed300cde1c8fc3fde6

__________________________________________________________________
C:\Dokumente und Einstellungen\Zbigniew Langer\scvhost.exe

Antivirus Version Last Update Result
AhnLab-V3 - - -
AntiVir - - -
Authentium - - -
Avast - - -
AVG - - Downloader.Delf.AMI
BitDefender - - BehavesLike:Win32.Malware
CAT-QuickHeal - - -
ClamAV - - -
DrWeb - - -
eSafe - - -
eTrust-Vet - - -
Ewido - - -
FileAdvisor - - -
Fortinet - - -
F-Prot - - -
F-Secure - - -
Ikarus - - Trojan.Win32.NucScan.B
Kaspersky - - -
McAfee - - -
Microsoft - - -
NOD32v2 - - probably unknown NewHeur_PE virus
Norman - - -
Panda - - -
Prevx1 - - SystemPoser:Trojan-All Variants
Rising - - -
Sophos - - -
Sunbelt - - -
Symantec - - -
TheHacker - - -
VBA32 - - -
VirusBuster - - -
Webwasher-Gateway - - -
Additional information
MD5: 25c27e47385949ed300cde1c8fc3fde6

=========================================
Kaspersky =>
_________________________________________
C:\sysmdmh.exe

Statistics:
Known viruses: 468335
Updated: 29-11-2007
File size (Kb): 26
Virus bodies: 0
Files: 1
Warnings: 0
Archives: 0
Suspicious: 0
_________________________________________
C:\WINDOWS\SYSTEM32\winlogon.scr

Statistics:
Known viruses: 468335
Updated: 29-11-2007
File size (Kb): 27
Virus bodies: 0
Files: 1
Warnings: 0
Archives: 0
Suspicious: 0
_________________________________________
C:\WINDOWS\SYSTEM32\DRIVERS\sysdrv.exe

Statistics:
Known viruses: 468335
Updated: 29-11-2007
File size (Kb): 27
Virus bodies: 0
Files: 1
Warnings: 0
Archives: 0
Suspicious: 0
_________________________________________
C:\Dokumente und Einstellungen\Zbigniew Langer\scvhost.exe

Statistics:
Known viruses: 468335
Updated: 29-11-2007
File size (Kb): 27
Virus bodies: 0
Files: 1
Warnings: 0
Archives: 0
Suspicious: 0

=========================================
Dr.Web =>
_________________________________________
C:\sysmdmh.exe

In file sysmdmh.exe found virus Trojan.Packed.233
_________________________________________
C:\WINDOWS\SYSTEM32\winlogon.scr

winlogon.scr - OK
_________________________________________
C:\WINDOWS\SYSTEM32\DRIVERS\sysdrv.exe

sysdrv.exe - OK
_________________________________________
C:\Dokumente und Einstellungen\Zbigniew Langer\scvhost.exe

scvhost.exe - OK
_________________________________________

=========================================
Jotti =>
_________________________________________
C:\sysmdmh.exe
MD5: e8cf7f2c2a85111d8b511dfb7e798db6

A-Squared
Found nothing
AntiVir
Found TR/Peed.IOR.11
ArcaVir
Found nothing
Avast
Found Win32:Tibser
AVG Antivirus
Found Downloader.Tibs
BitDefender
Found Trojan.Peed.IOR
ClamAV
Found nothing
CPsecure
Found nothing
Dr.Web
Found Trojan.Packed.233
F-Prot Antivirus
Found Possibly a new variant of W32/STZ_like!Generic
F-Secure Anti-Virus
Found nothing
Fortinet
Found nothing
Ikarus
Found Trojan.Peed.IOR
Kaspersky Anti-Virus
Found nothing
NOD32
Found probably unknown NewHeur_PE (probable variant)
Norman Virus Control
Found nothing
Panda Antivirus
Found nothing
Rising Antivirus
Found nothing
Sophos Antivirus
Found Mal/Dorf-F
VirusBuster
Found nothing
VBA32
Found nothing
_________________________________________
C:\WINDOWS\SYSTEM32\winlogon.scr
MD5: 25c27e47385949ed300cde1c8fc3fde6

A-Squared
Found nothing
AntiVir
Found nothing
ArcaVir
Found Trojan.Agent.Cxk
Avast
Found nothing
AVG Antivirus
Found Downloader.Delf.AMI
BitDefender
Found BehavesLike:Win32.Malware (probable variant)
ClamAV
Found nothing
CPsecure
Found nothing
Dr.Web
Found nothing
F-Prot Antivirus
Found nothing
F-Secure Anti-Virus
Found nothing
Fortinet
Found nothing
Ikarus
Found Trojan.Win32.NucScan.B
Kaspersky Anti-Virus
Found nothing
NOD32
Found probably unknown NewHeur_PE (probable variant)
Norman Virus Control
Found nothing
Panda Antivirus
Found nothing
Rising Antivirus
Found nothing
Sophos Antivirus
Found nothing
VirusBuster
Found nothing
VBA32
Found nothing
_________________________________________
C:\WINDOWS\SYSTEM32\DRIVERS\sysdrv.exe
MD5: 25c27e47385949ed300cde1c8fc3fde6

A-Squared
Found nothing
AntiVir
Found nothing
ArcaVir
Found Trojan.Agent.Cxk
Avast
Found nothing
AVG Antivirus
Found Downloader.Delf.AMI
BitDefender
Found BehavesLike:Win32.Malware (probable variant)
ClamAV
Found nothing
CPsecure
Found nothing
Dr.Web
Found nothing
F-Prot Antivirus
Found nothing
F-Secure Anti-Virus
Found nothing
Fortinet
Found nothing
Ikarus
Found Trojan.Win32.NucScan.B
Kaspersky Anti-Virus
Found nothing
NOD32
Found probably unknown NewHeur_PE (probable variant)
Norman Virus Control
Found nothing
Panda Antivirus
Found nothing
Rising Antivirus
Found nothing
Sophos Antivirus
Found nothing
VirusBuster
Found nothing
VBA32
Found nothing
_________________________________________
C:\Dokumente und Einstellungen\Zbigniew Langer\scvhost.exe
MD5: 25c27e47385949ed300cde1c8fc3fde6

A-Squared
Found nothing
AntiVir
Found nothing
ArcaVir
Found Trojan.Agent.Cxk
Avast
Found nothing
AVG Antivirus
Found Downloader.Delf.AMI
BitDefender
Found BehavesLike:Win32.Malware (probable variant)
ClamAV
Found nothing
CPsecure
Found nothing
Dr.Web
Found nothing
F-Prot Antivirus
Found nothing
F-Secure Anti-Virus
Found nothing
Fortinet
Found nothing
Ikarus
Found Trojan.Win32.NucScan.B
Kaspersky Anti-Virus
Found nothing
NOD32
Found probably unknown NewHeur_PE (probable variant)
Norman Virus Control
Found nothing
Panda Antivirus
Found nothing
Rising Antivirus
Found nothing
Sophos Antivirus
Found nothing
VirusBuster
Found nothing
VBA32
Found nothing
_________________________________________

#10 OTMoveIt.exe
Download OTMoveIt zum Desktop
Oeffne:OTMoveIt.exe
Kopiere (selektiere en klick Ctrl-C) alle unterstehende

C:\sysmdmh.exe
C:\WINDOWS\SYSTEM32\winlogon.scr
C:\WINDOWS\SYSTEM32\DRIVERS\sysdrv.exe
C:\Dokumente und Einstellungen\Zbigniew Langer\scvhost.exe

Im linken Fenster wo stet Paste List of Files/Folders to be moved

Klicke auf den Roten MoveIt! knopf
Wenn das Tool fertig ist wird ein log erstellt (*******_******.log *steht fuer datum und zeit
In Datei C:\_OTMoveIt\MovedFiles\
Mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
__________
MfG Argus

#11 C:\sysmdmh.exe moved successfully.
C:\WINDOWS\SYSTEM32\winlogon.scr moved successfully.
C:\WINDOWS\SYSTEM32\DRIVERS\sysdrv.exe moved successfully.
C:\Dokumente und Einstellungen\Zbigniew Langer\scvhost.exe moved successfully.

Created on 11.29.2007 19:23:25

#12 Entferne auf C:\ _OTMoveIt\ -->Papierkorb leeren

Systemwiederherstellung
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
Neu Starten
Dann wieder aktivieren (Häkchen entfernen)

Scanne mal mit Online mit F-Secure

Poste danach nochmal ein log von Hijack This
__________
MfG Argus

#13 Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:36:01, on 29.11.2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Canon\CAL\CALMAIN.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\internet explorer\iexplore.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\internet explorer\iexplore.exe
C:\DOKUME~1\CA46E~1.LAN\LOKALE~1\Temp\OnlineScanner\Anti-Virus\fsgk32.exe
C:\DOKUME~1\CA46E~1.LAN\LOKALE~1\Temp\OnlineScanner\Anti-Virus\fssm32.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\C. Langer\Eigene Dateien\eigener stuff\HJT\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.veoh.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=www-proxy.t-online.de:80;ftp=ftp-proxy.t-online.de:80
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.t-online.de;localhost;<local>
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Dokumente und Einstellungen\C. Langer\Eigene Dateien\g-unit\FlashGet\jccatch.dll
O2 - BHO: (no name) - {755bbd1a-aa59-456c-afeb-b4c42c4dcb6f} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: (no name) - {C2FA64AF-DBA5-495E-B955-6F825A6733D6} - C:\WINDOWS\System32\pmnkh.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [runtime.exe] C:\WINDOWS\System32\runtime.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Alles mit FlashGet laden - C:\Dokumente und Einstellungen\C. Langer\Eigene Dateien\g-unit\FlashGet\jc_all.htm
O8 - Extra context menu item: &Mit FlashGet laden - C:\Dokumente und Einstellungen\C. Langer\Eigene Dateien\g-unit\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O16 - DPF: Win32 Classes -
O16 - DPF: {0B79F48A-E8D6-11DB-9283-E25056D89593} (F-Secure Online Scanner 3.1) - http://support.f-secure.com/ols/fscax.cab
O20 - Winlogon Notify: botreg - C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\bot.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Marmiko ZeroConfig Controller (MZCCntrl) - Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - C:\Programme\T-Online\DSL-Manager\TODslSvc.exe

--
End of file - 5251 bytes

_____________________________-
und noch der virus scan report:

Scanning Report
Thursday, November 29, 2007 20:12:07 - 22:31:52
Computer name: Q8M1K6
Scanning type: Scan system for viruses, rootkits, spyware
Target: C:\


--------------------------------------------------------------------------------

Result: 10 malware found
Email-Worm.Win32.Zhelatin.my (virus)
C:\WINDOWS\NOSKRNL.EXE (Renamed & Submitted)
MyglobalsearchToolbar (spyware)
System (Disinfected)
Tracking Cookie (spyware)
System (Disinfected)
System
System
Trojan-Proxy.Win32.Agent.rs (virus)
C:\WINDOWS\TASKMON.EXE
Trojan-Spy.Win32.Goldun.sy (virus)
C:\WINDOWS\SYSTEM32\JAVA.DLL (Renamed & Submitted)
W32/Malware.JK (virus)
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_6\MESSENGER\CLEAN.EXE (Submitted)
Win32.Rootkit.Agent (spyware)
System (Disinfected)
Win32.Trojan.Agent (spyware)
System (Disinfected)

#14 Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

O2 - BHO: (no name) - {755bbd1a-aa59-456c-afeb-b4c42c4dcb6f} - (no file)
O2 - BHO: (no name) - {C2FA64AF-DBA5-495E-B955-6F825A6733D6} - C:\WINDOWS\System32\pmnkh.dll (file missing)
O16 - DPF: Win32 Classes –

klicke: Fix checked
Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst

Verborgene Dateien sichtbar machen
Arbeitsplatz öffnen >Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und Ordner >"alle Dateien und Ordner anzeigen" aktivieren
Und >Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner >"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren.

Prüfe mal diese Datei(en) bei VirusTotal oder Jotti

C:\WINDOWS\System32\runtime.exe
C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\bot.dll

Stand alone DrWeb
Stand alone Kaspersky
__________
MfG Argus

#15 das mit dem fix checked hat prima geklapt aber wenn ich die 2 files mit VirusTotal überprüfen will giebt er lediglich die nachricht:

0 bytes size received / Se ha recibido un archivo vacio

aus und beim Jotti kann ich das submit icon nicht anwählen