Trojaner? Spyware? Bitte um Rat!!!

#1 also ich habe mal absolut keinen plan von trojanern und dergleichen....mein problem sieht wie folgt aus.....immer öfter kommt mein rechner nicht mehr ausm arsch....erheblich langsamer als vorher....browser lädt die seite nicht oder es dauert ewig....selbiges mit meinem system....viel zu langsam....

gegen trojaner und so nen Schei... habe ich antivirus/spyware/firewall von zonealarm aufm rechner....selbsthilfeversuche....ballast gelöscht immer und immer wieder....sprich temporäre dateien und der gleiche (datenträgerbereinigung), defragmentieren.....habe nach etwas suchen und lesen im netz das programm combofix installiert und laufen lassen....ergebnis...einige gelöschte dateien....system ein bisschen schneller....aber weiterhin probleme....spyware wie doubleclick und dergleichen taucen ständig nach jedem neustart und löschen wieder auf (ca. 12-14) ab und zu findet mein zonelabs den ein oder anderen trojaner (zwischen 1-6) unter anderem eine datei namens win32/darksma.fr
habe mitlerweile rausbekommen dass es sich eventuell um vundo(wie auch immer) handelt....hijack (was mir unbekannt ist) installiert und log erstellt....
verstehe allerdings nur bahnhof wenn ich drauf sehe.....habe noch 2 weitere programme gedownloaded aber liegen noch aufm desktop falls benötigt.... (vundofix, avenger) bitte um hilfe!!!! folgt der log von hijack

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:40:22, on 05.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\XpertVision\TBPanel.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\vsnpmi03.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\HotKey\hotkey.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Macrogaming\SweetIM\SweetIM.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\TGTSoft\StyleXP\StyleXP.exe
C:\Programme\Stardock\ObjectDock\ObjectDock.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\PROGRA~1\HotKey\OSD.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\WINDOWS\system32\ZoneLabs\isafe.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\Programme\Adobe\Reader 8.0\Reader\AcroRd32.exe
D:\Programme\Atari\RollerCoaster Tycoon® 3\RCT3plus.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\internet explorer\iexplore.exe
C:\WINDOWS\explorer.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll (file missing)
O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll (file missing)
O4 - HKLM\..\Run: [Gainward] C:\Programme\XpertVision\TBPanel.exe /A
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [SNPMI03] C:\WINDOWS\vsnpmi03.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [HotKey] C:\Programme\HotKey\hotkey.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\FRITZWLANMini.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SweetIM] C:\Programme\Macrogaming\SweetIM\SweetIM.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\wianmpa.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [a430a73a] rundll32.exe "C:\WINDOWS\system32\xbgrqvbc.dll",b
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [SweetIM] C:\Programme\Macrogaming\SweetIM\SweetIM.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_01] rundll32 advpack.dll,LaunchINFSection nlite.inf,nLiteReg (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nlpo_01] rundll32 advpack.dll,LaunchINFSection nlite.inf,nLiteReg (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user')
O4 - Startup: Stardock ObjectDock.lnk = C:\Programme\Stardock\ObjectDock\ObjectDock.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Programme\Yahoo!\Common\Yinsthelper.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\WINDOWS\system32\__c0054C08.dat
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINDOWS\system32\ZoneLabs\isafe.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
O23 - Service: GoogleDesktopManager - Google - C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\VIRUSfighter\Nvc\BIN\nipsvc.exe (file missing)
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 8905 bytes

#2 Poste mal die daten von http://board.protecus.de/t23188.htm nur punkt 2 und punkt 4
__________
MfG Argus

#3 hab eben antivirus-scan laufen lassen und dabei hat sich der rechner aufgehängt.....im log stehen folgende virusfunde

virusname: Win32/Darksma.FR Filename: c:\windows\system32\__c0093B74.dat

virusname: Win32/Darksma.FR Filename: c:\windows\system32\__c0054C08.dat

virusname: Win32/Abetear.H Filename: c:\windows\system32\gckdnage.exe

virusname: Win32/Secdrop.OF Filename: c:\Dokumente und Einstellungen\Marcel Kretschmar\Lokale Einstellungen\Temporary Internet Files\Content.IE5\RQU0N7AD\poiu[1]

virusname: Win32/Darksma.FR Filename: c:\Dokumente und Einstellungen\Marcel Kretschmar\Lokale Einstellungen\Temporary Internet Files\Content.IE5\QSVZM98N\mosx1024[1]

virusname: Win32/Abetear.H Filename: c:\Dokumente und Einstellungen\Marcel Kretschmar\Lokale Einstellungen\Temporary Internet Files\Content.IE5\1LO2ASRO\pochki20071106[1]

virusname: Win32/Darksma.FR Filename: c:\DOKUME~1\MARCEL~1\LOKALE~1\Temp\mncpdjff.dll

virusname: Win32/VUNDO.GX Filename: c:\windows\system32\mvsbukoe.dll

Das waren die von 03.12. bis jetzt ( Oneraw.CD tauchte am 02.12. einmal auf ) was von den sachen weiterhin aktiv ist weiss ich leider grad nicht....
virusnamen: VUNDO.GX, Abetear.H, Darksma.FR, Secdrop.OF


spyware stehen 14 im log und zwar wie folgt die namen

Statcounter, SpecificClick, Serving-sys, Pointroll, Overture, Mediaplex, Hitbox, Doubleclick, Coremetrix, Bizrate, Atdmt, Advertising, Adtech, 2o7

ich hätte das alles gerne gelöscht haben....zonealarm ist zwar in der lage das alles vorrübergehend zu löschen aber nach neustart alles wieder da



Log ComboFix:::


ComboFix 07-12-02.5 - Marcel Kretschmar 2007-12-05 22:03:50.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1466 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Marcel Kretschmar\Desktop\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\cookies.ini
C:\WINDOWS\system32\aydsthrs.dll
C:\WINDOWS\system32\cbvqrgbx.ini
C:\WINDOWS\system32\fgjlm.bak1
C:\WINDOWS\system32\fgjlm.bak2
C:\WINDOWS\system32\fgjlm.ini
C:\WINDOWS\system32\gvcdkjuv.dll
C:\WINDOWS\system32\hhklawlg.dll
C:\WINDOWS\system32\mljgf.dll
C:\WINDOWS\system32\xbgrqvbc.dll

.
((((((((((((((((((((((( Dateien erstellt von 2007-11-05 bis 2007-12-05 ))))))))))))))))))))))))))))))
.

2007-12-05 19:40 . 2007-12-05 19:40 <DIR> d-------- C:\Programme\Trend Micro
2007-12-05 16:04 . 2007-12-05 16:04 8,192 --ahs---- C:\WINDOWS\Thumbs.db
2007-12-05 15:54 . 2007-12-05 15:54 8,432 --a------ C:\WINDOWS\system32\ealregsnapshot1.reg
2007-12-05 15:38 . 2007-03-05 20:53 1,117,854 --a------ C:\WINDOWS\_detmp.1
2007-12-05 15:38 . 1999-08-12 15:03 49,152 --a------ C:\WINDOWS\_detmp.2
2007-12-05 08:48 . 2007-12-05 15:49 669,121 ---hs---- C:\WINDOWS\system32\wlsctuii.ini
2007-12-04 08:48 . 2007-12-04 08:48 792,462 ---hs---- C:\WINDOWS\system32\ybstypiq.ini
2007-12-03 08:48 . 2007-12-03 08:48 73,280 --a------ C:\WINDOWS\system32\irtmlwtr.dll
2007-12-03 08:46 . 2007-12-03 08:46 792,217 ---hs---- C:\WINDOWS\system32\eokubsvm.ini
2007-12-01 15:51 . 2007-09-27 20:44 41,905 --a------ C:\WINDOWS\wallpaper3.jpg
2007-11-30 13:50 . 2007-11-30 13:50 <DIR> d-------- C:\Programme\Smart Projects
2007-11-30 13:26 . 2007-11-30 13:26 35,840 --a------ C:\WINDOWS\system32\cbxyywt.dll
2007-11-30 13:04 . 2007-11-30 13:04 <DIR> d-------- C:\Dokumente und Einstellungen\Marcel Kretschmar\Anwendungsdaten\ImgBurn
2007-11-30 13:02 . 2007-11-30 13:02 <DIR> d-------- C:\Programme\ImgBurn
2007-11-27 13:40 . 2007-11-27 13:40 <DIR> d--h----- C:\WINDOWS\PIF
2007-11-27 08:04 . 2007-11-29 14:52 <DIR> d-------- C:\Dokumente und Einstellungen\Marcel Kretschmar\Anwendungsdaten\Microsoft Games
2007-11-27 08:04 . 2007-11-27 08:04 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Games
2007-11-16 12:49 . 2007-11-16 12:50 <DIR> d-------- C:\Programme\Macromedia
2007-11-16 12:49 . 2007-11-16 12:50 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Macromedia
2007-11-10 20:34 . 2007-11-10 20:34 <DIR> d-------- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Xfire
2007-11-08 15:59 . 2007-11-08 16:00 <DIR> d-------- C:\Programme\gs
2007-11-08 15:58 . 2007-11-08 16:00 <DIR> d-------- C:\Programme\WordToPDF

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-12-05 14:54 --------- d-----w C:\Programme\Google
2007-12-05 09:04 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys
2007-12-05 09:02 107,832 ----a-w C:\WINDOWS\system32\PnkBstrB.exe
2007-12-05 08:57 --------- d-----w C:\Dokumente und Einstellungen\Marcel Kretschmar\Anwendungsdaten\Azureus
2007-12-05 08:48 --------- d-s---w C:\Programme\Xfire
2007-12-03 11:53 --------- d-----w C:\Dokumente und Einstellungen\Marcel Kretschmar\Anwendungsdaten\Xfire
2007-12-01 15:08 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-12-01 13:59 140,995 ----a-w C:\WINDOWS\Internet Logs\Explorer_2nd_2007_12_01_10_28_07_small.dmp.zip
2007-11-22 15:13 98,304 ----a-w C:\WINDOWS\system32\CmdLineExt.dll
2007-11-16 12:11 --------- d-----w C:\Dokumente und Einstellungen\Marcel Kretschmar\Anwendungsdaten\Skype
2007-11-13 15:28 --------- d-----w C:\Programme\Teamspeak2_RC2
2007-11-11 21:03 --------- d-----w C:\Programme\ICQ6
2007-11-07 18:29 --------- d-----w C:\Programme\SmartFTP Client
2007-11-06 15:52 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2007-10-29 07:13 2,215,424 ----a-w C:\WINDOWS\system32\kernel1.exe
2007-10-27 11:37 --------- d-----w C:\Programme\Winamp
2007-10-27 00:15 --------- d-----w C:\Dokumente und Einstellungen\Marcel Kretschmar\Anwendungsdaten\Media Player Classic
2007-10-27 00:11 --------- d-----w C:\Programme\K-Lite Codec Pack
2007-10-26 09:10 --------- d-----w C:\Programme\IrfanView
2007-10-26 08:29 --------- d-----w C:\Programme\MSXML 6.0
2007-10-26 08:20 --------- d-----w C:\Programme\Windows Media Connect 2
2007-10-18 07:41 896,472 ----a-w C:\WINDOWS\system32\drivers\vetmonnt.sys
2007-10-18 07:41 114,856 ----a-w C:\WINDOWS\system32\drivers\vetfddnt.sys
2007-10-18 07:41 1,353,016 ----a-w C:\WINDOWS\system32\vete.dll
2007-10-18 07:27 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2007-10-14 08:41 --------- d-----w C:\Programme\Java
2007-09-28 16:07 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll
2007-09-28 16:05 81,920 ----a-w C:\WINDOWS\system32\dpl100.dll
2007-09-28 16:05 739,840 ----a-w C:\WINDOWS\system32\divx.dll
.

((((((((((((((((((((((((((((( snapshot@2007-12-02_ 8.34.34.84 )))))))))))))))))))))))))))))))))))))))))
.
- 2007-06-08 13:16:52 5,120 ----a-r C:\WINDOWS\Installer\{789289CA-F73A-4A16-A331-54D498CE069F}\Icon789289CA.exe
+ 2007-12-02 11:19:00 5,120 ----a-r C:\WINDOWS\Installer\{789289CA-F73A-4A16-A331-54D498CE069F}\Icon789289CA.exe
+ 2007-11-21 00:04:14 218,496 ----a-w C:\WINDOWS\system32\Macromed\Flash\FlashUtil9e.exe
- 2007-06-19 18:30:09 48,238 ----a-w C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
+ 2007-12-05 16:10:49 74,649 ----a-w C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
- 2007-11-30 17:45:53 4,212 ---h--w C:\WINDOWS\system32\zllictbl.dat
+ 2007-12-02 07:54:36 4,212 ---h--w C:\WINDOWS\system32\zllictbl.dat
- 2007-12-01 14:16:07 63,768 ----a-w C:\WINDOWS\system32\ZoneLabs\boot.dat
+ 2007-12-05 13:10:30 63,768 ----a-w C:\WINDOWS\system32\ZoneLabs\boot.dat
- 2007-12-01 14:16:07 13,264,936 ----a-w C:\WINDOWS\system32\ZoneLabs\vet.dat
+ 2007-12-05 13:10:30 13,299,880 ----a-w C:\WINDOWS\system32\ZoneLabs\vet.dat
+ 2007-12-05 08:50:14 3,072 ----a-w C:\WINDOWS\system32\ZoneLabs\zlqrtdb.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-03 23:57]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2007-01-15 16:14]
"STYLEXP"="C:\Programme\TGTSoft\StyleXP\StyleXP.exe" [2006-01-30 17:23]
"SweetIM"="C:\Programme\Macrogaming\SweetIM\SweetIM.exe" [2007-08-12 10:02]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-10-27 13:35]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Gainward"="C:\Programme\XpertVision\TBPanel.exe" [2006-09-13 10:10]
"NvCplDaemon"="RUNDLL32.exe" [2004-08-03 23:58 C:\WINDOWS\system32\rundll32.exe]
"nwiz"="nwiz.exe" [2006-08-16 08:35 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="RUNDLL32.exe" [2004-08-03 23:58 C:\WINDOWS\system32\rundll32.exe]
"SkyTel"="SkyTel.EXE" [2006-05-16 11:04 C:\WINDOWS\SkyTel.exe]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 15:40]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 00:11]
"SNPMI03"="C:\WINDOWS\vsnpmi03.exe" [2003-08-08 13:58]
"RTHDCPL"="RTHDCPL.EXE" [2006-06-01 09:48 C:\WINDOWS\RTHDCPL.exe]
"HotKey"="C:\Programme\HotKey\hotkey.exe" [2006-03-07 01:32]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 19:51]
"AVMWlanClient"="C:\Programme\avmwlanstick\FRITZWLANMini.exe" [2006-06-23 10:24]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-09-13 17:54]
"SweetIM"="C:\Programme\Macrogaming\SweetIM\SweetIM.exe" [2007-08-12 10:02]
"Zone Labs Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2006-02-19 17:27]
"Google Desktop Search"="C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" [2007-10-26 10:12]
"WinampAgent"="C:\Programme\Winamp\wianmpa.exe" []

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-03 23:57]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"tscuninstall"="C:\WINDOWS\system32\tscupgrd.exe" [2004-08-03 23:38]
"nlpo_01"="advpack.dll" [2007-08-20 10:55 C:\WINDOWS\system32\advpack.dll]
"nlpo_02"="advpack.dll" [2007-08-20 10:55 C:\WINDOWS\system32\advpack.dll]

R1 SSHDRV86;SSHDRV86;\??\C:\WINDOWS\system32\drivers\SSHDRV86.sys
R2 ithsgt;ithsgt;C:\WINDOWS\system32\DRIVERS\ithsgt.sys
R2 lilsgt;lilsgt;C:\WINDOWS\system32\DRIVERS\lilsgt.sys
R2 litsgt;litsgt;C:\WINDOWS\system32\DRIVERS\litsgt.sys
R2 nvcap;nVidia WDM Video Capture (universal);C:\WINDOWS\system32\DRIVERS\nvcap.sys
R2 NVXBAR;nVidia WDM A/V Crossbar;C:\WINDOWS\system32\DRIVERS\NVxbar.sys
R2 tansgt;tansgt;C:\WINDOWS\system32\DRIVERS\tansgt.sys
S1 aiptektp;HyperPen;C:\WINDOWS\system32\DRIVERS\aiptektp.sys
S3 FWLANUSB;AVM FRITZ!WLAN;C:\WINDOWS\system32\DRIVERS\fwlanusb.sys
S3 nenum13E;nenum13E;\??\C:\DOKUME~1\MARCEL~1\LOKALE~1\Temp\nenum13E.sys
S3 snpmi03;VideoCAM NB 300;C:\WINDOWS\system32\DRIVERS\snpmi03.sys

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e0f4c13e-3b07-11dc-b89d-0019660b187d}]
\Shell\AutoRun\command - F:\pushinst.exe

.
**************************************************************************

catchme 0.3.1318 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-05 22:16:26
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2007-12-05 22:21:25 - machine was rebooted
C:\ComboFix2.txt ... 2007-12-02 08:36
.
--- E O F ---


datfind log:::


.
.
Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A430-A795

Verzeichnis von C:\WINDOWS\system32

05.12.2007 22:20 38.476 vsconfig.xml
05.12.2007 22:17 0 nmp.log
05.12.2007 22:15 81.191 nvapps.xml
05.12.2007 15:54 8.432 ealregsnapshot1.reg
05.12.2007 15:49 669.121 wlsctuii.ini
05.12.2007 10:02 107.832 PnkBstrB.exe
05.12.2007 09:49 2.206 wpa.dbl
04.12.2007 08:48 792.462 ybstypiq.ini
03.12.2007 08:48 73.280 irtmlwtr.dll
03.12.2007 08:46 792.217 eokubsvm.ini
02.12.2007 08:54 4.212 zllictbl.dat
30.11.2007 18:46 418.590 perfh009.dat
30.11.2007 18:46 433.284 perfh007.dat
30.11.2007 18:46 70.106 perfc009.dat
30.11.2007 18:46 82.870 perfc007.dat
30.11.2007 18:46 1.017.742 PerfStringBackup.INI
30.11.2007 13:26 35.840 cbxyywt.dll
22.11.2007 16:13 98.304 CmdLineExt.dll
17.11.2007 12:17 480.336 FNTCACHE.DAT
29.10.2007 08:13 2.215.424 kernel1.exe
26.10.2007 09:37 16.832 amcompat.tlb
26.10.2007 09:37 23.392 nscompat.tlb
26.10.2007 09:20 3 EUupdate.installed
26.10.2007 08:58 3.532 TZLog.log
26.10.2007 08:49 3 vbrun60sp6.installed
26.10.2007 08:39 3 Wordpad-Converter-ZLib-update.installed
22.10.2007 21:27 2.286.976 KERNEL.TMP
18.10.2007 08:41 1.353.016 vete.dll
14.10.2007 09:41 5.628 jupdate-1.6.0_03-b05.log
03.10.2007 16:03 414 lame_acm.xml
28.09.2007 17:07 3.596.288 qt-dx331.dll
28.09.2007 17:05 81.920 dpl100.dll
28.09.2007 17:05 739.840 divx.dll
26.09.2007 17:05 12.288 advpack.dll.mui
24.09.2007 22:31 69.632 javacpl.cpl
24.09.2007 22:31 139.264 javaws.exe
24.09.2007 21:30 135.168 javaw.exe
24.09.2007 21:30 135.168 java.exe
21.09.2007 19:43 23 presets.ini
21.09.2007 01:52 118.784 ac3acm.acm
13.09.2007 17:54 185.688 rmoc3260.dll
13.09.2007 17:54 5.632 pndx5032.dll
13.09.2007 17:54 6.656 pndx5016.dll
13.09.2007 06:40 5.531 jupdate-1.5.0_05-b05.log
04.09.2007 17:56 164.352 unrar.dll
26.08.2007 17:43 66.872 PnkBstrA.exe
21.08.2007 07:25 683.520 inetcomm.dll
20.08.2007 14:25 3.584.512 mshtml.dll
20.08.2007 10:55 824.832 wininet.dll
20.08.2007 10:55 105.984 url.dll
20.08.2007 10:55 1.152.000 urlmon.dll
20.08.2007 10:55 671.232 mstime.dll
20.08.2007 10:55 232.960 webcheck.dll
20.08.2007 10:55 102.400 occache.dll
20.08.2007 10:55 477.696 mshtmled.dll
20.08.2007 10:55 193.024 msrating.dll
20.08.2007 10:55 52.224 msfeedsbs.dll
20.08.2007 10:55 459.264 msfeeds.dll
20.08.2007 10:55 1.824.768 inetcpl.cpl
20.08.2007 10:55 267.776 iertutil.dll
20.08.2007 10:55 6.058.496 ieframe.dll
20.08.2007 10:55 44.544 iernonce.dll
20.08.2007 10:55 27.648 jsproxy.dll
20.08.2007 10:55 383.488 ieapfltr.dll
20.08.2007 10:55 230.400 ieaksie.dll
20.08.2007 10:55 384.512 iedkcs32.dll
20.08.2007 10:55 214.528 dxtrans.dll
20.08.2007 10:55 63.488 icardie.dll
20.08.2007 10:55 132.608 extmgr.dll
20.08.2007 10:55 153.088 ieakeng.dll
20.08.2007 10:55 124.928 advpack.dll
17.08.2007 11:20 13.824 ieudinit.exe
17.08.2007 11:19 63.488 ie4uinit.exe
17.08.2007 08:34 161.792 ieakui.dll
13.08.2007 17:54 413.696 vbscript.dll
13.08.2007 17:54 180.736 ieui.dll
13.08.2007 17:54 191.488 iepeers.dll
13.08.2007 17:54 156.160 msls31.dll
13.08.2007 17:45 443.904 html.iec
13.08.2007 17:45 78.336 ieencode.dll
13.08.2007 17:45 206.336 WinFXDocObj.exe
13.08.2007 17:44 40.960 licmgr10.dll
13.08.2007 17:39 71.680 admparse.dll
13.08.2007 17:39 55.296 iesetup.dll
13.08.2007 17:39 92.672 inseng.dll
13.08.2007 17:38 491.520 jscript.dll
13.08.2007 17:36 12.288 msfeedssync.exe
13.08.2007 17:36 44.544 pngfilt.dll
13.08.2007 17:36 36.352 imgutil.dll
13.08.2007 17:35 346.624 dxtmsft.dll
13.08.2007 17:32 45.568 mshta.exe
13.08.2007 17:32 66.560 tdc.ocx
13.08.2007 17:06 56.700 ieuinit.inf
13.08.2007 17:01 48.128 mshtmler.dll
13.08.2007 16:50 1.383.424 mshtml.tlb
13.08.2007 04:09 5.214 jupdate-1.6.0_02-b06.log
29.07.2007 16:51 7.680 ff_vfw.dll
25.07.2007 14:24 1.559.040 xvidcore.dll
22.07.2007 18:39 279.552 swreg.exe
10.07.2007 17:10 547 ff_vfw.dll.manifest
09.07.2007 14:16 582.656 rpcrt4.dll
26.06.2007 07:08 1.104.896 msxml3.dll
25.06.2007 12:41 34.064 lhacm.acm
19.06.2007 14:40 282.112 gdi32.dll
18.06.2007 23:24 373.760 xpsp3res.dll
11.06.2007 22:51 10.834.944 wmp.dll
09.06.2007 05:14 564.224 x264vfw.dll
17.05.2007 12:28 549.376 oleaut32.dll
16.05.2007 11:18 21.840 SIntfNT.dll
16.05.2007 11:18 17.212 SIntf32.dll
16.05.2007 11:18 12.067 SIntf16.dll
15.05.2007 14:43 1.320.800 msxml6.dll
08.05.2007 16:08 100.040 msxml6r.dll
08.05.2007 14:11 95.744 msxml4r.dll
08.05.2007 14:11 1.275.392 msxml4.dll
25.04.2007 15:22 144.896 schannel.dll
19.04.2007 06:30 497 new
17.04.2007 10:32 2.455.488 ieapfltr.dat
16.04.2007 17:09 1.059.840 kernel32.dll
04.04.2007 17:55 261.480 xactengine2_7.dll
04.04.2007 17:53 81.768 xinput1_3.dll
02.04.2007 07:36 546.304 hhctrl.ocx
17.03.2007 14:45 293.376 winsrv.dll
15.03.2007 15:57 443.752 d3dx10_33.dll
12.03.2007 20:49 8.464 sporder.dll
12.03.2007 15:42 1.123.696 D3DCompiler_33.dll
12.03.2007 15:42 3.495.784 d3dx9_33.dll
10.03.2007 12:51 282.624 xvidvfw.dll
08.03.2007 16:48 40.960 mf3216.dll
08.03.2007 16:48 579.584 user32.dll
08.03.2007 16:45 1.844.096 win32k.sys
08.03.2007 12:35 1 sav86032.sys
08.03.2007 12:34 1 sav84010.sys
08.03.2007 12:34 1 sav85014.sys
08.03.2007 00:51 1.628.920 pxsfs.dll
08.03.2007 00:51 187.128 pxmas.dll
08.03.2007 00:51 64.760 pxinsa64.exe
08.03.2007 00:51 129.784 pxafs.dll
08.03.2007 00:51 510.712 pxdrv.dll
08.03.2007 00:51 379.640 pxwave.dll
08.03.2007 00:51 547.576 px.dll
08.03.2007 00:51 64.760 pxcpya64.exe
08.03.2007 00:51 72.440 pxhpinst.exe
07.03.2007 21:25 212.240 RICHTX32.OCX
07.03.2007 21:25 132.880 MSINET.OCX
06.03.2007 01:24 0 h323log.txt
05.03.2007 20:40 146.650 BuzzingBee.wav
05.03.2007 20:40 940.794 LoopyMusic.wav
05.03.2007 20:33 15.475 $winnt$.inf
05.03.2007 20:30 488 logonui.exe.manifest
05.03.2007 20:30 488 WindowsLogon.manifest
05.03.2007 20:30 749 cdplayer.exe.manifest
05.03.2007 20:30 749 wuaucpl.cpl.manifest
05.03.2007 20:30 749 nwc.cpl.manifest
05.03.2007 20:30 749 sapi.cpl.manifest
05.03.2007 20:30 749 ncpa.cpl.manifest
05.03.2007 20:29 22.880 emptyregdb.dat
05.03.2007 18:28 2.951 CONFIG.NT
05.03.2007 11:42 15.128 x3daudio1_1.dll
28.02.2007 17:06 2.184.448 ntoskrnl.exe
28.02.2007 13:55 3.185 JapaneseGarden3DScreensaver.html
28.02.2007 13:55 8.773.632 Japanese Garden 3D Screensaver.scr
28.02.2007 07:06 2.061.696 ntkrnlpa.exe
23.02.2007 05:29 116.472 pxcpyi64.exe
23.02.2007 05:29 118.520 pxinsi64.exe
23.02.2007 05:29 39.672 vxblock.dll
23.02.2007 05:29 1.044.480 libdivx.dll
23.02.2007 05:29 200.704 ssldivx.dll
23.02.2007 05:25 196.608 dtu100.dll
23.02.2007 05:25 53.248 dpuGUI10.dll
23.02.2007 05:25 593.920 dpuGUI11.dll
23.02.2007 05:25 344.064 dpus11.dll
23.02.2007 05:25 57.344 dpv11.dll
23.02.2007 05:25 294.912 dpu10.dll
23.02.2007 05:25 294.912 dpu11.dll
05.02.2007 21:18 185.856 upnphost.dll
24.01.2007 14:27 255.848 xactengine2_6.dll
19.01.2007 11:53 51.056 sirenacm.dll
12.01.2007 15:48 71.208 PhysXLoader.dll
10.01.2007 16:42 1.040.384 ieframe.dll.mui
08.01.2007 18:01 17.408 corpol.dll
05.01.2007 21:23 58.920 AgCPanelTraditionalChinese.dll
05.01.2007 21:23 58.920 AgCPanelSwedish.dll
05.01.2007 21:23 58.920 AgCPanelSpanish.dll
05.01.2007 21:23 58.920 AgCPanelSimplifiedChinese.dll
05.01.2007 21:23 58.920 AgCPanelJapanese.dll
05.01.2007 21:23 58.920 AgCPanelFrench.dll
05.01.2007 21:23 58.920 AgCPanelGerman.dll
05.01.2007 21:23 58.920 AgCPanelPortugese.dll
05.01.2007 21:23 58.920 AgCPanelKorean.dll
05.01.2007 21:09 479.232 PhysX.cpl

#4 Entferne auf C:\ Qoobox-->Papierkorb leeren

RVAXO
Download: RVAXO by Smeenk,zum Desktop
Danach doppelklicken
Öffne die Datei RVAXO und doppelklick “RVAXO.cmd”
Moeglich startet der Uninstaller von ein Roquescanner schliesse es nicht ab aber lass es seine Arbeit tun
Dein Rechner wird neu gestartet,wenn nicht
Rechner neu starten und nochmals “RVAXO.cmd” doppelklicken
Poste nachher den logfile C:\ RVAXO-results.log in dein folgender Bericht
zusammen mit ein log von HijackThis
__________
MfG Argus

#5 also ich weiss zwar das qoobox zu combofix gehört und hab den ordner auch gefunden....versteh allerdings nicht was ich da jetzt löschen soll.....rvaxo hat nix gebracht.....hier der log davon


----------------RVAXO.exe first run-------------

Files found:


Uninstallers Rogue scanners:


Folders Found:


Hosts-file was reset, If you use a custom hosts file please replace it...

--------------RVAXO.exe last run---------------

Files found:

Folders Found:

--------------RVAXO.exe finished----------------


der andere log von hijack

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:33:00, on 06.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\XpertVision\TBPanel.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\vsnpmi03.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\HotKey\hotkey.exe
C:\Programme\avmwlanstick\FRITZWLANMini.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Macrogaming\SweetIM\SweetIM.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\TGTSoft\StyleXP\StyleXP.exe
C:\Programme\Stardock\ObjectDock\ObjectDock.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\PROGRA~1\HotKey\OSD.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\ZoneLabs\isafe.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\PROGRA~1\MACROG~1\SWEETI~1\toolbar.dll (file missing)
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [Gainward] C:\Programme\XpertVision\TBPanel.exe /A
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [SNPMI03] C:\WINDOWS\vsnpmi03.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [HotKey] C:\Programme\HotKey\hotkey.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\FRITZWLANMini.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SweetIM] C:\Programme\Macrogaming\SweetIM\SweetIM.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\wianmpa.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [SweetIM] C:\Programme\Macrogaming\SweetIM\SweetIM.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_01] rundll32 advpack.dll,LaunchINFSection nlite.inf,nLiteReg (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nlpo_01] rundll32 advpack.dll,LaunchINFSection nlite.inf,nLiteReg (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user')
O4 - Startup: Stardock ObjectDock.lnk = C:\Programme\Stardock\ObjectDock\ObjectDock.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Programme\Yahoo!\Common\Yinsthelper.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINDOWS\system32\ZoneLabs\isafe.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
O23 - Service: GoogleDesktopManager - Google - C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\VIRUSfighter\Nvc\BIN\nipsvc.exe (file missing)
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 8605 bytes

#6 In Qoobox befinden sich die Viren die durch ComboFix entfernrt wurden
RAVXO entfernt zumteil sachen die nicht durch CF entfernt werden konnten
Wurde vor langer Zeit entwickelt um video codecs zu entfernen

Verborgene Dateien sichtbar machen
Arbeitsplatz öffnen >Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und Ordner >"alle Dateien und Ordner anzeigen" aktivieren
Und >Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner >"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren.

Prüfe mal diese Datei(en) bei VirusTotal oder Jotti

C:\WINDOWS\vsnpmi03.exe

Stand alone DrWeb
Stand alone Kaspersky
__________
MfG Argus

#7 File vsnpmi03.exe received on 11.23.2007 16:18:41 (CET)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED


Result: 0/32 (0%)


Antivirus / Version / Last Update / Result

AhnLab-V3 2007.11.23.1 2007.11.23 -
AntiVir 7.6.0.34 2007.11.23 -
Authentium 4.93.8 2007.11.21 -
Avast 4.7.1074.0 2007.11.22 -
AVG 7.5.0.503 2007.11.23 -
BitDefender 7.2 2007.11.23 -
CAT-QuickHeal 9.00 2007.11.22 -
ClamAV 0.91.2 2007.11.23 -
DrWeb 4.44.0.09170 2007.11.23 -
eSafe 7.0.15.0 2007.11.21 -
eTrust-Vet 31.3.5318 2007.11.23 -
Ewido 4.0 2007.11.23 -
FileAdvisor 1 2007.11.23 -
Fortinet 3.14.0.0 2007.11.23 -
F-Prot 4.4.2.54 2007.11.22 -
F-Secure 6.70.13030.0 2007.11.23 -
Ikarus T3.1.1.12 2007.11.23 -
Kaspersky 7.0.0.125 2007.11.21 -
McAfee 5169 2007.11.22 -
Microsoft 1.3007 2007.11.23 -
NOD32v2 2681 2007.11.23 -
Norman 5.80.02 2007.11.22 -
Panda 9.0.0.4 2007.11.23 -
Prevx1 V2 2007.11.23 -
Rising 20.19.41.00 2007.11.23 -
Sophos 4.23.0 2007.11.23 -
Sunbelt 2.2.907.0 2007.11.22 -
Symantec 10 2007.11.23 -
TheHacker 6.2.9.138 2007.11.22 -
VBA32 3.12.2.5 2007.11.23 -
VirusBuster 4.3.26:9 2007.11.23 -
Webwasher-Gateway 6.0.1 2007.11.23 -


Additional information
File size: 32768 bytes
MD5: b7a0ba3ce94a29801cc507b97db391fa
SHA1: 291a6917c24c87555cee7a9841ccb66180b74f4e



zusätzlich lasse ich gerade mal vundofix rennen....log folgt in kürze....steckt in phase 2...bisher keine funde
nochmal zu dem combofixordner.....wo in diesem ordner muss ich was löschen

#8 cfscript.txt

1.
Den folgenden blauen Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

file::
C:\WINDOWS\system32\wlsctuii.ini
C:\WINDOWS\system32\ybstypiq.ini
C:\WINDOWS\system32\irtmlwtr.dll
C:\WINDOWS\system32\eokubsvm.ini
C:\WINDOWS\system32\cbxyywt.dll

2.
Sleppe diese Datei in ComboFix.exe(sehe Bild)
ComboFix wird jetzt starten und die Daten ausfuehren
Nach neustart des Rechners,poste das log von ComboFix


__________
MfG Argus

#9 lasse ich sofort laufen....vorab....vundofix hat nichts gefunden.....spyware noch 8 durch zonelabs lokalisiert....2o7, Ads.addynamix, Atdmt, Com, Doubleclick, Hitbox, Mediaplex, Statcounter.....würde das gerne weg haben...weiss aber nicht ob da was wichtiges oder schlimmes dabei ist....lasse virus und spyware nach neustart nochmal laufen


combofix log:


ComboFix 07-12-02.5 - Marcel Kretschmar 2007-12-06 10:08:50.3 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1371 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Marcel Kretschmar\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Marcel Kretschmar\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

FILE
C:\WINDOWS\system32\cbxyywt.dll
C:\WINDOWS\system32\eokubsvm.ini
C:\WINDOWS\system32\irtmlwtr.dll
C:\WINDOWS\system32\wlsctuii.ini
C:\WINDOWS\system32\ybstypiq.ini
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\cbxyywt.dll
C:\WINDOWS\system32\eokubsvm.ini
C:\WINDOWS\system32\irtmlwtr.dll
C:\WINDOWS\system32\wlsctuii.ini
C:\WINDOWS\system32\ybstypiq.ini

.
((((((((((((((((((((((( Dateien erstellt von 2007-11-06 bis 2007-12-06 ))))))))))))))))))))))))))))))
.

2007-12-06 09:42 . 2007-12-06 09:42 <DIR> d-------- C:\VundoFix Backups
2007-12-06 09:22 . 2007-12-06 09:23 <DIR> d-------- C:\RVAXO
2007-12-06 09:21 . 2007-12-06 02:13 507,734 --a------ C:\WINDOWS\system32\RVAXO.bat
2007-12-06 09:21 . 2001-10-01 14:51 69,632 --a------ C:\WINDOWS\system32\remove.exe
2007-12-05 19:40 . 2007-12-05 19:40 <DIR> d-------- C:\Programme\Trend Micro
2007-12-05 16:04 . 2007-12-05 16:04 8,192 --ahs---- C:\WINDOWS\Thumbs.db
2007-12-05 15:54 . 2007-12-05 15:54 8,432 --a------ C:\WINDOWS\system32\ealregsnapshot1.reg
2007-12-05 15:38 . 2007-03-05 20:53 1,117,854 --a------ C:\WINDOWS\_detmp.1
2007-12-05 15:38 . 1999-08-12 15:03 49,152 --a------ C:\WINDOWS\_detmp.2
2007-12-01 15:51 . 2007-09-27 20:44 41,905 --a------ C:\WINDOWS\wallpaper3.jpg
2007-11-30 13:50 . 2007-11-30 13:50 <DIR> d-------- C:\Programme\Smart Projects
2007-11-30 13:04 . 2007-11-30 13:04 <DIR> d-------- C:\Dokumente und Einstellungen\Marcel Kretschmar\Anwendungsdaten\ImgBurn
2007-11-30 13:02 . 2007-11-30 13:02 <DIR> d-------- C:\Programme\ImgBurn
2007-11-27 13:40 . 2007-11-27 13:40 <DIR> d--h----- C:\WINDOWS\PIF
2007-11-27 08:04 . 2007-11-29 14:52 <DIR> d-------- C:\Dokumente und Einstellungen\Marcel Kretschmar\Anwendungsdaten\Microsoft Games
2007-11-27 08:04 . 2007-11-27 08:04 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Games
2007-11-16 12:49 . 2007-11-16 12:50 <DIR> d-------- C:\Programme\Macromedia
2007-11-16 12:49 . 2007-11-16 12:50 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Macromedia
2007-11-10 20:34 . 2007-11-10 20:34 <DIR> d-------- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Xfire
2007-11-08 15:59 . 2007-11-08 16:00 <DIR> d-------- C:\Programme\gs
2007-11-08 15:58 . 2007-11-08 16:00 <DIR> d-------- C:\Programme\WordToPDF

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-12-05 14:54 --------- d-----w C:\Programme\Google
2007-12-05 09:04 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys
2007-12-05 08:57 --------- d-----w C:\Dokumente und Einstellungen\Marcel Kretschmar\Anwendungsdaten\Azureus
2007-12-05 08:48 --------- d-s---w C:\Programme\Xfire
2007-12-03 11:53 --------- d-----w C:\Dokumente und Einstellungen\Marcel Kretschmar\Anwendungsdaten\Xfire
2007-12-01 15:08 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-12-01 13:59 140,995 ----a-w C:\WINDOWS\Internet Logs\Explorer_2nd_2007_12_01_10_28_07_small.dmp.zip
2007-11-16 12:11 --------- d-----w C:\Dokumente und Einstellungen\Marcel Kretschmar\Anwendungsdaten\Skype
2007-11-13 15:28 --------- d-----w C:\Programme\Teamspeak2_RC2
2007-11-11 21:03 --------- d-----w C:\Programme\ICQ6
2007-11-07 18:29 --------- d-----w C:\Programme\SmartFTP Client
2007-11-06 15:52 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2007-10-27 11:37 --------- d-----w C:\Programme\Winamp
2007-10-27 00:15 --------- d-----w C:\Dokumente und Einstellungen\Marcel Kretschmar\Anwendungsdaten\Media Player Classic
2007-10-27 00:11 --------- d-----w C:\Programme\K-Lite Codec Pack
2007-10-26 09:10 --------- d-----w C:\Programme\IrfanView
2007-10-26 08:29 --------- d-----w C:\Programme\MSXML 6.0
2007-10-26 08:20 --------- d-----w C:\Programme\Windows Media Connect 2
2007-10-18 07:41 896,472 ----a-w C:\WINDOWS\system32\drivers\vetmonnt.sys
2007-10-18 07:41 114,856 ----a-w C:\WINDOWS\system32\drivers\vetfddnt.sys
2007-10-18 07:27 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2007-10-14 08:41 --------- d-----w C:\Programme\Java
.

((((((((((((((((((((((((((((( snapshot@2007-12-02_ 8.34.34.84 )))))))))))))))))))))))))))))))))))))))))
.
- 2007-06-08 13:16:52 5,120 ----a-r C:\WINDOWS\Installer\{789289CA-F73A-4A16-A331-54D498CE069F}\Icon789289CA.exe
+ 2007-12-02 11:19:00 5,120 ----a-r C:\WINDOWS\Installer\{789289CA-F73A-4A16-A331-54D498CE069F}\Icon789289CA.exe
+ 2007-11-21 00:04:14 218,496 ----a-w C:\WINDOWS\system32\Macromed\Flash\FlashUtil9e.exe
- 2007-06-19 18:30:09 48,238 ----a-w C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
+ 2007-12-05 16:10:49 74,649 ----a-w C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
- 2007-12-01 20:31:45 107,832 ----a-w C:\WINDOWS\system32\PnkBstrB.exe
+ 2007-12-05 09:02:11 107,832 ----a-w C:\WINDOWS\system32\PnkBstrB.exe
- 2007-11-30 17:45:53 4,212 ---h--w C:\WINDOWS\system32\zllictbl.dat
+ 2007-12-02 07:54:36 4,212 ---h--w C:\WINDOWS\system32\zllictbl.dat
- 2007-12-01 14:16:07 63,768 ----a-w C:\WINDOWS\system32\ZoneLabs\boot.dat
+ 2007-12-06 08:38:45 63,816 ----a-w C:\WINDOWS\system32\ZoneLabs\boot.dat
- 2007-12-01 14:16:07 13,264,936 ----a-w C:\WINDOWS\system32\ZoneLabs\vet.dat
+ 2007-12-06 08:38:45 13,305,560 ----a-w C:\WINDOWS\system32\ZoneLabs\vet.dat
+ 2007-12-05 08:50:14 3,072 ----a-w C:\WINDOWS\system32\ZoneLabs\zlqrtdb.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-03 23:57]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2007-01-15 16:14]
"STYLEXP"="C:\Programme\TGTSoft\StyleXP\StyleXP.exe" [2006-01-30 17:23]
"SweetIM"="C:\Programme\Macrogaming\SweetIM\SweetIM.exe" [2007-08-12 10:02]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-10-27 13:35]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Gainward"="C:\Programme\XpertVision\TBPanel.exe" [2006-09-13 10:10]
"NvCplDaemon"="RUNDLL32.exe" [2004-08-03 23:58 C:\WINDOWS\system32\rundll32.exe]
"nwiz"="nwiz.exe" [2006-08-16 08:35 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="RUNDLL32.exe" [2004-08-03 23:58 C:\WINDOWS\system32\rundll32.exe]
"SkyTel"="SkyTel.EXE" [2006-05-16 11:04 C:\WINDOWS\SkyTel.exe]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 15:40]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 00:11]
"SNPMI03"="C:\WINDOWS\vsnpmi03.exe" [2003-08-08 13:58]
"RTHDCPL"="RTHDCPL.EXE" [2006-06-01 09:48 C:\WINDOWS\RTHDCPL.exe]
"HotKey"="C:\Programme\HotKey\hotkey.exe" [2006-03-07 01:32]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 19:51]
"AVMWlanClient"="C:\Programme\avmwlanstick\FRITZWLANMini.exe" [2006-06-23 10:24]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-09-13 17:54]
"SweetIM"="C:\Programme\Macrogaming\SweetIM\SweetIM.exe" [2007-08-12 10:02]
"Zone Labs Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2006-02-19 17:27]
"Google Desktop Search"="C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" [2007-10-26 10:12]
"WinampAgent"="C:\Programme\Winamp\wianmpa.exe" []

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-03 23:57]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"tscuninstall"="C:\WINDOWS\system32\tscupgrd.exe" [2004-08-03 23:38]
"nlpo_01"="advpack.dll" [2007-08-20 10:55 C:\WINDOWS\system32\advpack.dll]
"nlpo_02"="advpack.dll" [2007-08-20 10:55 C:\WINDOWS\system32\advpack.dll]

R1 SSHDRV86;SSHDRV86;\??\C:\WINDOWS\system32\drivers\SSHDRV86.sys
R2 ithsgt;ithsgt;C:\WINDOWS\system32\DRIVERS\ithsgt.sys
R2 lilsgt;lilsgt;C:\WINDOWS\system32\DRIVERS\lilsgt.sys
R2 litsgt;litsgt;C:\WINDOWS\system32\DRIVERS\litsgt.sys
R2 nvcap;nVidia WDM Video Capture (universal);C:\WINDOWS\system32\DRIVERS\nvcap.sys
R2 NVXBAR;nVidia WDM A/V Crossbar;C:\WINDOWS\system32\DRIVERS\NVxbar.sys
R2 tansgt;tansgt;C:\WINDOWS\system32\DRIVERS\tansgt.sys
S1 aiptektp;HyperPen;C:\WINDOWS\system32\DRIVERS\aiptektp.sys
S3 FWLANUSB;AVM FRITZ!WLAN;C:\WINDOWS\system32\DRIVERS\fwlanusb.sys
S3 nenum13E;nenum13E;\??\C:\DOKUME~1\MARCEL~1\LOKALE~1\Temp\nenum13E.sys
S3 snpmi03;VideoCAM NB 300;C:\WINDOWS\system32\DRIVERS\snpmi03.sys

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e0f4c13e-3b07-11dc-b89d-0019660b187d}]
\Shell\AutoRun\command - F:\pushinst.exe

.
**************************************************************************

catchme 0.3.1318 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-06 10:17:04
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2007-12-06 10:25:03 - machine was rebooted
C:\ComboFix2.txt ... 2007-12-05 22:21
C:\ComboFix3.txt ... 2007-12-02 08:36
.
--- E O F ---

dazu nochmal log hijack:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:27:31, on 06.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\Programme\XpertVision\TBPanel.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\vsnpmi03.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\HotKey\hotkey.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Macrogaming\SweetIM\SweetIM.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\TGTSoft\StyleXP\StyleXP.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\PROGRA~1\HotKey\OSD.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\Stardock\ObjectDock\ObjectDock.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\ZoneLabs\isafe.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [Gainward] C:\Programme\XpertVision\TBPanel.exe /A
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [SNPMI03] C:\WINDOWS\vsnpmi03.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [HotKey] C:\Programme\HotKey\hotkey.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\FRITZWLANMini.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SweetIM] C:\Programme\Macrogaming\SweetIM\SweetIM.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\wianmpa.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [SweetIM] C:\Programme\Macrogaming\SweetIM\SweetIM.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_01] rundll32 advpack.dll,LaunchINFSection nlite.inf,nLiteReg (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nlpo_01] rundll32 advpack.dll,LaunchINFSection nlite.inf,nLiteReg (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user')
O4 - Startup: Stardock ObjectDock.lnk = C:\Programme\Stardock\ObjectDock\ObjectDock.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Programme\Yahoo!\Common\Yinsthelper.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINDOWS\system32\ZoneLabs\isafe.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
O23 - Service: GoogleDesktopManager - Google - C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\VIRUSfighter\Nvc\BIN\nipsvc.exe (file missing)
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 8304 bytes

C:\ Qoobox...........soll der komplett gelöscht werden?? oder nur etwas innerhalb der datei??

#10 Entferne auf C:\ Qoobox-->Papierkorb leeren
Entferne auf C:\ VundoFix Backups -->Papierkorb leeren

Oeffne die Datei RVAXO auf dein Desktop
Doppleklick Uninstall.cmd um alles von RVAXO zu entfernen

Start-->Ausführen kopiere rein:
sc delete NipSvc
Klicke OK

CombiFix entfernen
Start > Ausführen>Kopiere rein Combofix /U OK

ATF cleaner
Benutze ATF Cleaner http://board.protecus.de/t23188.htm

Systemwiederherstellung
Arbeitsplatz>>Rechtsklick, dann auf Eigenschaften>>Reiter Systemwiederherstellung>>
Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
Neu Starten
Dann wieder aktivieren (Häkchen entfernen)
__________
MfG Argus

#11 also beide ordner entfernt......mit dem rest warte ich noch kurz....antivirenscan und spyware laufen gerade und ein virus wurde bis jetzt lokalisiert....allerdings nichts mehr in system32 *freu*
hab nebenbei kurz den log von zonelabs gecheckt die datei befand sich in qoobox der ja mitlerweile gelöscht ist

#12 Warum? Dien ComboFix ist schon wieder veraltet
__________
MfG Argus

#13 wie veraltet ok bin auch schon bei atf cleaner.....aber erst gedownloaded....

vorab zum punkt systemwiederherstellung....wenn ich da etwas mache welche auswirkung hat das??? habe sehr viel aufm rechner...nicht dass mir da was verloren geht ^^

#14 Auf dein PC version ComboFix 07-12-02.5 letzte Version ComboFix 07-12-05.2

Das einzige was verloren geht sind die Vierchen
__________
MfG Argus

#15 ok cool.....noch 2 dinge....was hat es mit der spyware auf meinem rechner auf sich....und auf meinem desktop liegen noch vundofix und datfind....
datfind würde ich gerne in einen ordner aufm desktop verschieben und in meinen objektdoc ziehen dafür is der ja da ^^