Viren auf dem Rechner----Hijack-Auswertung---- Bitte um Untersützung

#16 genau, wenn das aktiviert ist und gescannt ist - erscheint dann bei anklicken die Reportdatei ...oder ?

Arnold fragte das : schau also bitte mal nach:

Zitat

Tag,Wohlma
Kannst du bitte mit hilfe von den Editor den inhalt von C:\WINDOWS\wininit.ini hier posten?

__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#17 [rename]
c:\tempjunk3777.tmp=C:\WINDOWS\system32\wdeyjewd.exe_tobedeleted_old
nul=c:\tempjunk3777.tmp

#18 OTMoveIt.exe
Download OTMoveIt zum Desktop
Oeffne:OTMoveIt.exe
Kopiere (selektiere en klick Ctrl-C) alle unterstehende

C:\WINDOWS\wininit.ini

im linken Fenster,wo steht "Paste List of Files/Folders to be moved"
Klicke auf den Roten MoveIt! knopf
Wenn das Tool fertig ist wird ein log erstellt (*******_******.log *steht fuer datum und zeit
In Datei C:\_OTMoveIt\MovedFiles\
Mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
__________
MfG Argus

#19 zusätzlich:

««
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern

Zitat

KILLALL::

File::
C:\WINDOWS\wininit.ini
C:\WINDOWS\system32\wdeyjewd.exe_tobedeleted_old
c:\tempjunk3777.tmp

Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.



cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen
danach: Combofix noch einmal anwenden - tippe 1
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#20

Zitat

Wohlma postete
[rename]
c:\tempjunk3777.tmp=C:\WINDOWS\system32\wdeyjewd.exe_tobedeleted_old
nul=c:\tempjunk3777.tmp

URL konnte nicht gefunden werden!!!

#21 OTMoveIt.exe
Download OTMoveIt2 zum Desktop
Oeffne:OTMoveIt.exe
Kopiere (selektiere en klick Ctrl-C) alle unterstehende

C:\WINDOWS\wininit.ini

im linken Fenster,wo steht "Paste List of Files/Folders to be moved"
Klicke auf den Roten MoveIt! knopf
Wenn das Tool fertig ist wird ein log erstellt (*******_******.log *steht fuer datum und zeit
In Datei C:\_OTMoveIt\MovedFiles\
Mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
__________
MfG Argus

#22 Moin moin,
sorry das ich so lange nicht geantwortet habe....hatte kein i net...
die datei wininit.ini ist nicht vorhanden nur die datei win.ini....
soll ich diese wie oben beschrieben mit dem tool ausführen?

Grüße

Martin

#23 du hast doch den Inhalt der wininit.ini hier gepostet... es reicht, dass du sie löschst, kannst du auch ohne Programm machen, also selbst.
Dann sollte wieder alles o.k. auf deinem Rechner sein.
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#24 C:\WINDOWS\wininit.ini moved successfully.

OTMoveIt2 v1.0.20 log created on 02252008_131156


sorry hab die datei nicht gesehn.... nun hab ich sie aber wie oben beschrieben entfernt.... und das log angehängt....

soll ich highjack nochmal laufen lassen?

#25 ««
du kannst dennoch noch mal ein Log von Combofix posten
http://virus-protect.org/artikel/tools/combofix.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#26 ComboFix 08-02-25.3 - Ich 2008-02-25 14:54:20.3 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.247 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Ich\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat
C:\WINDOWS\system32\hhkmp.ini
C:\WINDOWS\system32\hhkmp.ini2
C:\WINDOWS\system32\opnnljk.dll

----- BITS: Possible infected sites -----

hxxp://85.12.43.74
.
((((((((((((((((((((((( Dateien erstellt von 2008-01-25 bis 2008-02-25 ))))))))))))))))))))))))))))))
.

2008-02-25 13:03 . 2008-02-25 13:03 154 --a------ C:\WINDOWS\system32\topreg.dat
2008-02-24 15:42 . 2008-02-24 15:42 <DIR> dr-hs---- C:\WINDOWS\system32\sysapps.{645FF040-5081-101B-9F08-00AA002F954E}
2008-02-24 15:42 . 2008-02-24 15:42 <DIR> d-------- C:\WINDOWS\system32\oisubsys
2008-02-24 15:42 . 2008-02-25 13:03 <DIR> dr-hs---- C:\WINDOWS\system32\hdapps.{645FF040-5081-101B-9F08-00AA002F954E}
2008-02-24 15:42 . 2008-02-24 15:42 <DIR> d-------- C:\WINDOWS\alarm
2008-02-23 14:34 . 2008-02-23 15:20 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-02-23 14:34 . 2008-02-23 14:34 1,409 --a------ C:\WINDOWS\QTFont.for
2008-02-09 22:22 . 2008-02-09 22:22 <DIR> d-------- C:\Programme\Rockstar Games
2008-02-09 15:44 . 2008-02-09 15:45 <DIR> d-------- C:\webserver
2008-02-09 15:41 . 2008-02-09 15:41 <DIR> d-------- C:\Programme\KeyFocus
2008-02-09 15:14 . 2008-02-09 15:16 <DIR> d-------- C:\Programme\CesarFTP
2008-02-09 13:46 . 2008-02-09 22:09 <DIR> d-------- C:\Programme\Jardinains 2!
2008-02-09 13:40 . 2008-02-25 15:02 31,056 --a------ C:\WINDOWS\system32\BMXStateBkp-{00000002-00000000-00000003-00001102-00000004-20021102}.rfx
2008-02-09 13:40 . 2008-02-25 15:02 31,056 --a------ C:\WINDOWS\system32\BMXState-{00000002-00000000-00000003-00001102-00000004-20021102}.rfx
2008-02-09 13:40 . 2008-02-25 15:02 30,528 --a------ C:\WINDOWS\system32\BMXCtrlState-{00000002-00000000-00000003-00001102-00000004-20021102}.rfx
2008-02-09 13:40 . 2008-02-25 15:02 30,528 --a------ C:\WINDOWS\system32\BMXBkpCtrlState-{00000002-00000000-00000003-00001102-00000004-20021102}.rfx
2008-02-09 13:40 . 2008-02-25 15:02 11,564 --a------ C:\WINDOWS\system32\DVCState-{00000002-00000000-00000003-00001102-00000004-20021102}.rfx
2008-02-09 13:40 . 2008-02-25 15:02 1,080 --a------ C:\WINDOWS\system32\settingsbkup.sfm
2008-02-09 13:40 . 2008-02-25 15:02 1,080 --a------ C:\WINDOWS\system32\settings.sfm
2008-02-09 13:39 . 2008-02-25 15:02 4,958,588 --------- C:\WINDOWS\{00000002-00000000-00000003-00001102-00000004-20021102}.BAK
2008-02-09 13:38 . 2008-02-25 15:02 4,958,588 --a------ C:\WINDOWS\{00000002-00000000-00000003-00001102-00000004-20021102}.CDF
2008-02-09 13:35 . 2006-08-11 15:14 86,446 --a------ C:\WINDOWS\system32\instwdm.ini

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-24 17:46 --------- d-----w C:\Dokumente und Einstellungen\Ich\Anwendungsdaten\OpenOffice.org2
2008-02-24 13:34 --------- d-----w C:\Dokumente und Einstellungen\Ich\Anwendungsdaten\Azureus
2008-02-20 16:05 --------- d-----w C:\Programme\Lx_cats
2008-02-10 12:58 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-02-09 22:49 1,936 ----a-w C:\Dokumente und Einstellungen\Ich\Anwendungsdaten\wklnhst.dat
2008-02-09 21:20 --------- d-----w C:\Dokumente und Einstellungen\Ich\Anwendungsdaten\DAEMON Tools
2008-02-09 12:39 --------- d-----w C:\Programme\Creative
2008-02-09 12:37 --------- d-----w C:\Dokumente und Einstellungen\Ich\Anwendungsdaten\Creative
2008-01-20 09:26 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SimCity Societies
2008-01-20 09:20 --------- d--h--r C:\Dokumente und Einstellungen\Ich\Anwendungsdaten\SecuROM
2008-01-20 02:04 --------- d-----w C:\Programme\Electronic Arts
2008-01-19 19:14 --------- d-----w C:\Programme\kX Project
2008-01-19 18:43 --------- d-----w C:\Programme\Lavalys
2008-01-17 17:50 --------- d-----w C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Webroot
2008-01-17 17:49 --------- d-----w C:\Programme\Webroot
2008-01-17 17:49 --------- d-----w C:\Dokumente und Einstellungen\Ich\Anwendungsdaten\Webroot
2008-01-17 17:49 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Webroot
2008-01-17 17:44 164 ----a-w C:\install.dat
2008-01-13 14:35 --------- d-----w C:\Programme\DAEMON Tools Lite
2008-01-13 14:31 715,248 ----a-w C:\WINDOWS\system32\drivers\sptd.sys
2008-01-12 18:08 --------- d-----w C:\Programme\America's Army
2007-11-07 21:14 308 ----a-w C:\Programme\INSTALL.LOG
2007-03-29 08:01 17,570,898 ----a-w C:\Programme\klcodec288f.exe
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{12F32585-4392-4519-BE9F-AF94F4A7A777}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{2ABAAC42-84DF-4C00-89DA-BC7EB2B0E70B}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C6E5B2C0-0EC4-4BCF-9A64-C44D364982C8}]
C:\WINDOWS\system32\pmkhh.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{CE964C50-2577-4C25-9096-BAF5A0088F44}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-10 20:00 15360]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2005-05-31 00:04 1415824]
"DAEMON Tools Lite"="C:\Programme\DAEMON Tools Lite\daemon.exe" [2008-01-03 14:54 486856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-10 20:00 110592 C:\WINDOWS\system32\bthprops.cpl]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-15 17:19 249896]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06 40048]
"LXCCCATS"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCCtime.dll" [2005-01-10 10:21 69632]
"CTHelper"="CTHELPER.EXE" [2006-08-11 14:56 17920 C:\WINDOWS\CTHELPER.EXE]
"CTxfiHlp"="CTXFIHLP.EXE" [2006-08-11 14:56 18944 C:\WINDOWS\system32\CTXFIHLP.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-10 20:00 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"InstallVisualStyle"= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"= C:\WINDOWS\Resources\Themes\Royale.theme

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"MemCheckBoxInRunDlg"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSetFolders"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\rqrronk]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" /background
"SIDEBAR"="C:\Programme\Desktop Sidebar\dsidebar.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"ehTray"=C:\WINDOWS\ehome\ehtray.exe
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"C:\\Programme\\CesarFTP\\Server.exe"=
"C:\\Programme\\KeyFocus\\KFWS\\bin\\kfwserv.exe"=

S3 kxwdmdrv;kX WDM Driver Service;C:\WINDOWS\system32\drivers\kx.sys []
S3 USRWGU(USR);USRobotics Wireless USB Adapter(USR);C:\WINDOWS\system32\DRIVERS\USRWGU.sys [2005-12-29 16:00]

.
Inhalt des "geplante Tasks" Ordners
"2008-01-22 19:37:03 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
"2008-01-17 17:50:11 C:\WINDOWS\Tasks\wrSpySweeperTrialSweep.job"
- C:\Programme\Webroot\Spy Sweeper\SpySweeperUI.exe&/ScheduleSweep=wrSpySweeperTrialSweep
- C:\Programme\Webroot\Spy Sweeper\SpySweeperUI.ex
- C:\
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-25 15:04:56
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\WINDOWS\ehome\mcrdsvc.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\rundll32.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-02-25 15:09:12 - machine was rebooted
ComboFix-quarantined-files.txt 2008-02-25 14:09:07
ComboFix2.txt 2008-01-16 21:03:22
.
2008-02-13 21:25:50 --- E O F ---

#27 ««
deaktiviere : SpybotSD TeaTimer

««
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern

Zitat

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"=-
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{12F32585-4392-4519-BE9F-AF94F4A7A777}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{2ABAAC42-84DF-4C00-89DA-BC7EB2B0E70B}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C6E5B2C0-0EC4-4BCF-9A64-C44D364982C8}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{CE964C50-2577-4C25-9096-BAF5A0088F44}]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\rqrronk]

Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.
cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen
danach: Combofix noch einmal anwenden - tippe 1

PC neustarten

««
ComboFix entfernen
Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK"

»»
lade combofix neu + poste den neuen Report
http://virus-protect.org/artikel/tools/combofix.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#28 ComboFix 08-02-25.3 - Ich 2008-02-25 16:04:57.5 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.218 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Ich\Desktop\ComboFix.exe

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

((((((((((((((((((((((( Dateien erstellt von 2008-01-25 bis 2008-02-25 ))))))))))))))))))))))))))))))
.

2008-02-25 13:03 . 2008-02-25 13:03 154 --a------ C:\WINDOWS\system32\topreg.dat
2008-02-24 15:42 . 2008-02-24 15:42 <DIR> dr-hs---- C:\WINDOWS\system32\sysapps.{645FF040-5081-101B-9F08-00AA002F954E}
2008-02-24 15:42 . 2008-02-24 15:42 <DIR> d-------- C:\WINDOWS\system32\oisubsys
2008-02-24 15:42 . 2008-02-25 13:03 <DIR> dr-hs---- C:\WINDOWS\system32\hdapps.{645FF040-5081-101B-9F08-00AA002F954E}
2008-02-24 15:42 . 2008-02-24 15:42 <DIR> d-------- C:\WINDOWS\alarm
2008-02-23 14:34 . 2008-02-23 15:20 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-02-23 14:34 . 2008-02-23 14:34 1,409 --a------ C:\WINDOWS\QTFont.for
2008-02-09 22:22 . 2008-02-09 22:22 <DIR> d-------- C:\Programme\Rockstar Games
2008-02-09 15:44 . 2008-02-09 15:45 <DIR> d-------- C:\webserver
2008-02-09 15:41 . 2008-02-09 15:41 <DIR> d-------- C:\Programme\KeyFocus
2008-02-09 15:14 . 2008-02-09 15:16 <DIR> d-------- C:\Programme\CesarFTP
2008-02-09 13:46 . 2008-02-09 22:09 <DIR> d-------- C:\Programme\Jardinains 2!
2008-02-09 13:40 . 2008-02-25 16:00 31,056 --a------ C:\WINDOWS\system32\BMXStateBkp-{00000002-00000000-00000003-00001102-00000004-20021102}.rfx
2008-02-09 13:40 . 2008-02-25 16:00 31,056 --a------ C:\WINDOWS\system32\BMXState-{00000002-00000000-00000003-00001102-00000004-20021102}.rfx
2008-02-09 13:40 . 2008-02-25 16:00 30,528 --a------ C:\WINDOWS\system32\BMXCtrlState-{00000002-00000000-00000003-00001102-00000004-20021102}.rfx
2008-02-09 13:40 . 2008-02-25 16:00 30,528 --a------ C:\WINDOWS\system32\BMXBkpCtrlState-{00000002-00000000-00000003-00001102-00000004-20021102}.rfx
2008-02-09 13:40 . 2008-02-25 16:00 11,564 --a------ C:\WINDOWS\system32\DVCState-{00000002-00000000-00000003-00001102-00000004-20021102}.rfx
2008-02-09 13:40 . 2008-02-25 16:00 1,080 --a------ C:\WINDOWS\system32\settingsbkup.sfm
2008-02-09 13:40 . 2008-02-25 16:00 1,080 --a------ C:\WINDOWS\system32\settings.sfm
2008-02-09 13:39 . 2008-02-25 16:00 4,958,588 --a------ C:\WINDOWS\{00000002-00000000-00000003-00001102-00000004-20021102}.BAK
2008-02-09 13:38 . 2008-02-25 16:00 4,958,588 --a------ C:\WINDOWS\{00000002-00000000-00000003-00001102-00000004-20021102}.CDF
2008-02-09 13:35 . 2006-08-11 15:14 86,446 --a------ C:\WINDOWS\system32\instwdm.ini

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-24 17:46 --------- d-----w C:\Dokumente und Einstellungen\Ich\Anwendungsdaten\OpenOffice.org2
2008-02-24 13:34 --------- d-----w C:\Dokumente und Einstellungen\Ich\Anwendungsdaten\Azureus
2008-02-20 16:05 --------- d-----w C:\Programme\Lx_cats
2008-02-10 12:58 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-02-09 22:49 1,936 ----a-w C:\Dokumente und Einstellungen\Ich\Anwendungsdaten\wklnhst.dat
2008-02-09 21:20 --------- d-----w C:\Dokumente und Einstellungen\Ich\Anwendungsdaten\DAEMON Tools
2008-02-09 12:39 --------- d-----w C:\Programme\Creative
2008-02-09 12:37 --------- d-----w C:\Dokumente und Einstellungen\Ich\Anwendungsdaten\Creative
2008-01-20 09:26 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SimCity Societies
2008-01-20 09:20 107,888 ----a-w C:\WINDOWS\system32\CmdLineExt.dll
2008-01-20 09:20 --------- d--h--r C:\Dokumente und Einstellungen\Ich\Anwendungsdaten\SecuROM
2008-01-20 02:04 --------- d-----w C:\Programme\Electronic Arts
2008-01-19 19:14 --------- d-----w C:\Programme\kX Project
2008-01-19 18:43 --------- d-----w C:\Programme\Lavalys
2008-01-17 17:50 --------- d-----w C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Webroot
2008-01-17 17:49 --------- d-----w C:\Programme\Webroot
2008-01-17 17:49 --------- d-----w C:\Dokumente und Einstellungen\Ich\Anwendungsdaten\Webroot
2008-01-17 17:49 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Webroot
2008-01-17 17:44 164 ----a-w C:\install.dat
2008-01-13 14:35 --------- d-----w C:\Programme\DAEMON Tools Lite
2008-01-13 14:31 715,248 ----a-w C:\WINDOWS\system32\drivers\sptd.sys
2008-01-12 18:08 --------- d-----w C:\Programme\America's Army
2007-12-07 00:46 671,744 ----a-w C:\WINDOWS\system32\wininet.dll
2007-12-04 18:40 550,912 ----a-w C:\WINDOWS\system32\oleaut32.dll
2007-11-07 21:14 308 ----a-w C:\Programme\INSTALL.LOG
2007-03-29 08:01 17,570,898 ----a-w C:\Programme\klcodec288f.exe
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{12F32585-4392-4519-BE9F-AF94F4A7A777}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{CE964C50-2577-4C25-9096-BAF5A0088F44}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-10 20:00 15360]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2005-05-31 00:04 1415824]
"DAEMON Tools Lite"="C:\Programme\DAEMON Tools Lite\daemon.exe" [2008-01-03 14:54 486856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-10 20:00 110592 C:\WINDOWS\system32\bthprops.cpl]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-15 17:19 249896]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06 40048]
"LXCCCATS"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCCtime.dll" [2005-01-10 10:21 69632]
"CTHelper"="CTHELPER.EXE" [2006-08-11 14:56 17920 C:\WINDOWS\CTHELPER.EXE]
"CTxfiHlp"="CTXFIHLP.EXE" [2006-08-11 14:56 18944 C:\WINDOWS\system32\CTXFIHLP.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-10 20:00 15360]

C:\Dokumente und Einstellungen\Nadine\Startmen�\Programme\Autostart\
OpenOffice.org 2.2.lnk - C:\Programme\OpenOffice.org 2.2\program\quickstart.exe [2007-02-02 16:54:56 393216]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"InstallVisualStyle"= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"= C:\WINDOWS\Resources\Themes\Royale.theme

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"MemCheckBoxInRunDlg"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSetFolders"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\rqrronk]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" /background
"SIDEBAR"="C:\Programme\Desktop Sidebar\dsidebar.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"ehTray"=C:\WINDOWS\ehome\ehtray.exe
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"C:\\Programme\\CesarFTP\\Server.exe"=
"C:\\Programme\\KeyFocus\\KFWS\\bin\\kfwserv.exe"=

S3 kxwdmdrv;kX WDM Driver Service;C:\WINDOWS\system32\drivers\kx.sys []
S3 USRWGU(USR);USRobotics Wireless USB Adapter(USR);C:\WINDOWS\system32\DRIVERS\USRWGU.sys [2005-12-29 16:00]

.
Inhalt des "geplante Tasks" Ordners
"2008-01-22 19:37:03 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
"2008-01-17 17:50:11 C:\WINDOWS\Tasks\wrSpySweeperTrialSweep.job"
- C:\Programme\Webroot\Spy Sweeper\SpySweeperUI.exe&/ScheduleSweep=wrSpySweeperTrialSweep
- C:\Programme\Webroot\Spy Sweeper\SpySweeperUI.ex
- C:\
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-25 16:09:16
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-02-25 16:10:10
ComboFix2.txt 2008-02-25 14:59:38
.
2008-02-13 21:25:50 --- E O F ---

#29 poste bitte das log vom HijackThis
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#30 Logfile of HijackThis v1.99.1
Scan saved at 16:46, on 2008-02-25
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\CTHELPER.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\DAEMON Tools Lite\daemon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Ich\Desktop\hijackthis\HijackThis.exe

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {12F32585-4392-4519-BE9F-AF94F4A7A777} - (no file)
O2 - BHO: (no name) - {2ABAAC42-84DF-4C00-89DA-BC7EB2B0E70B} - (no file)
O2 - BHO: Idea2 SidebarBrowserMonitor Class - {45AD732C-2CE2-4666-B366-B2214AD57A49} - C:\Programme\Desktop Sidebar\sbhelp.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {CE964C50-2577-4C25-9096-BAF5A0088F44} - (no file)
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [LXCCCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCCtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe"
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\Programme\Desktop Sidebar\sbhelp.dll
O9 - Extra 'Tools' menuitem: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\Programme\Desktop Sidebar\sbhelp.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: rqrronk - C:\WINDOWS\
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: lxcc_device - Lexmark International, Inc. - C:\WINDOWS\system32\lxcccoms.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: StarOpen - Avira GmbH - (no file)
O23 - Service: Webroot Spy Sweeper-Engine (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe