NT_Kernel error 1256 beim booten + Zlob virus

#1 Hallo!

Ich bekomme beim Booten folgende Fehlermeldung:

During a scan of files at system startup, potential errors in the system registry were found.
P-07-0100 irql: 1f SYSVER 0xff00024
NT_Kernel error 1256
KMODE_EXCEPTION_NOT_HANDLED


bei Weiterbenutzung des Systems kommt es in unregelmäßgen Freezes. Der PC arbeitet generell nurnoch sehr langsam. Nach ca. 5 Minuten kommt folgende Fehlermeldung:

A potential problem has been detected and Windows has been shutdown buggy apllication to prevent damage to your computer.
****WXYZ.SYS-Address F73120AE base at C00000, Date Stamp 36b072A3
Kernel Debugger Using Com2(Port 0x28f, Baud rate 1920000)

Habe Adaware drüber laufen lassen und bekomme Meldungen von Win32.Trojandonloader.Zlob, die nach Löschen, Neustart und erneuter Adaware Benutzung aber wiederkommen.

Der HijackThis Log sagt folgendes:

Logfile of HijackThis v1.99.1
Scan saved at 12:22:23, on 19.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\asd\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.spiegel.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar5.dll
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [a0edf4ad] rundll32.exe "C:\WINDOWS\system32\bmdalqew.dll",b
O4 - HKLM\..\Run: [ucookw] "C:\PROGRA~1\STORAG~1\ucookw.exe" -start
O4 - HKLM\..\Run: [Salestart] "C:\Programme\Gemeinsame Dateien\StorageProtector\strpmon.exe" dm=h**
p://storageprotector.com ad=h**p://storageprotector.com sd=h**p://inspaid.storageprotector.com
O4 - HKLM\..\Run: [Salestart(1)] "C:\Programme\Gemeinsame Dateien\StorageProtector\strpmon .exe" dm=h**p://storageprotector.com ad=h**p://storageprotector.com sd=h**p://inspaid.storageprotector.com
O4 - HKLM\..\Run: [Salestart(2)] "C:\Programme\Gemeinsame Dateien\StorageProtector\strpmon .exe" dm=h**p://storageprotector.com ad=h**
p://storageprotector.com sd=h**p://inspaid.storageprotector.com
O4 - HKLM\..\Run: [Salestart(3)] "C:\Programme\Gemeinsame Dateien\StorageProtector\strpmon .exe" dm=h**p://storageprotector.com ad=h**p://storageprotector.com sd=h**p://inspaid.storageprotector.com
O4 - HKLM\..\Run: [Salestart(4)] "C:\Programme\Gemeinsame Dateien\StorageProtector\strpmon .exe" dm=h**p://storageprotector.com ad=h**p://storageprotector.com sd=h**p://inspaid.storageprotector.com
O4 - HKLM\..\Run: [Salestart(5)] "C:\Programme\Gemeinsame Dateien\StorageProtector\strpmon .exe" dm=h**p://storageprotector.com ad=h**p://storageprotector.com sd=h**p://inspaid.storageprotector.com
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: Send to Mindjet MindManager - {531B9DC0-D8EE-4c76-A6EE-6C1E50569655} - C:\Programme\Mindjet\MindManager 6\Mm6InternetExplorer.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {7288F092-0E1C-48D7-852C-D5718D4EC435} - h**p://www.medionshop.de/ (file missing) (HKCU)
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=h**p://www.aldi.com
O16 - DPF: {05D96F71-87C6-11D3-9BE4-00902742D6E0} (QuickPlace Class) - h**p://s1.teamlearn.de/qp2.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1099254598359
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe



Ich wäre um Hilfe sehr dankbar, da ich selber nichtmehr weiter weiß. Danke!

edit: hab grade die Log nochmal durchgeschaut und die links zu dem storageprotector gesehen. Ich habe zwei neue Icons auf dem Desktop "Help and Support Center" und "Windows Update", die auf die storageprotector Seite verweisen.

#2 http://board.protecus.de/t23188.htm
__________
MfG Argus

#3 FlemmingMo

das Problem ist lösbar.. versuche das Log von Combofix zu posten
http://www.virus-protect.org/artikel/tools/combofix.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#4 danke für eure Antworten. Combofix läuft schon seit ca. 2 Stunden weil er unglaublich viele tmp Dateien auf c:\ findet. Ich poste die log Datei wenn er fertig ist, was aber wohl noch etwas dauern könnte.

#5 gut poste, wenn es fertig ist.
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#6 ComboFix war nach ca. 7 Stunden fertig. Leider blieb die Log Datei bis auf den Standardteil leer:

ComboFix 08-01-18.5 - asd 2008-01-19 13:12:10.1 - NTFSx86 NETWORK
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.274 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\asd\Desktop\ComboFix.exe

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.


Soll ich ComboFix nochmal durchlaufen lassen?

#7 1.
wende CCleaner an
http://www.virus-protect.org/ccleaner.html

2.
wende datfindbat an - poste alle logs hier (kann als Anhang sein - siehe unten)
http://www.virus-protect.org/datfindbat.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#8 .
.
Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten
.
.
Datenträger in Laufwerk C: ist BOOT
Volumeseriennummer: A0ED-F402

Verzeichnis von C:\WINDOWS\system32

2008-01-20 10:20 2,206 wpa.dbl
2008-01-02 19:21 17,642,616 MRT.exe
2007-12-12 21:47 387,268 TZLog.log
2007-11-13 12:31 60,416 tzchange.exe
2007-11-07 10:27 729,600 lsasrv.dll
2007-10-31 00:19 3,590,656 mshtml.dll
2007-10-29 23:42 1,293,312 quartz.dll
2007-10-29 16:07 373,760 xpsp3res.dll
2007-10-28 13:48 379,864 perfh009.dat
2007-10-28 13:48 53,602 perfc009.dat
2007-10-28 13:48 64,602 perfc007.dat
2007-10-28 13:48 391,022 perfh007.dat
2007-10-28 13:48 897,902 PerfStringBackup.INI
2007-10-25 17:42 8,501,248 shell32.dll
2007-10-20 06:01 227,328 wmasf.dll
2007-10-11 14:12 1,468,968 LegitCheckControl.dll
2007-10-11 00:46 232,960 webcheck.dll
2007-10-11 00:46 1,159,680 urlmon.dll
2007-10-11 00:46 824,832 wininet.dll
2007-10-11 00:46 102,400 occache.dll
2007-10-11 00:46 105,984 url.dll
2007-10-11 00:46 671,232 mstime.dll
2007-10-11 00:46 193,024 msrating.dll
2007-10-11 00:46 478,208 mshtmled.dll
2007-10-11 00:46 459,264 msfeeds.dll
2007-10-11 00:46 267,776 iertutil.dll
2007-10-11 00:46 1,831,424 inetcpl.cpl
2007-10-11 00:46 44,544 iernonce.dll
2007-10-11 00:46 6,065,664 ieframe.dll
2007-10-11 00:46 27,648 jsproxy.dll
2007-10-11 00:46 52,224 msfeedsbs.dll
2007-10-11 00:46 383,488 ieapfltr.dll
2007-10-11 00:46 124,928 advpack.dll
2007-10-11 00:46 230,400 ieaksie.dll
2007-10-11 00:46 63,488 icardie.dll
2007-10-11 00:46 153,088 ieakeng.dll
2007-10-11 00:46 214,528 dxtrans.dll
2007-10-11 00:46 132,608 extmgr.dll
2007-10-11 00:46 384,512 iedkcs32.dll
2007-10-10 11:59 13,824 ieudinit.exe
2007-10-10 11:59 70,656 ie4uinit.exe
2007-10-10 06:46 161,792 ieakui.dll
2007-10-08 14:46 14,640 spmsg.dll
2007-08-21 07:16 683,520 inetcomm.dll

2083 Datei(en) 452,084,699 Bytes
0 Verzeichnis(se), 28,263,505,920 Bytes frei
.
.
.
Datenträger in Laufwerk C: ist BOOT
Volumeseriennummer: A0ED-F402

Verzeichnis von C:\DOKUME~1\Mama\LOKALE~1\Temp

2008-01-20 11:33 102,100 datfind.txt
2008-01-19 13:06 257,568 mofugclq.exe
2008-01-19 09:31 10,822 TWAIN.LOG
2008-01-19 09:26 5 Twain001.Mtx
2008-01-19 09:26 156 Twunk001.MTX
2008-01-19 09:26 16,384 ~DF2678.tmp
2008-01-17 20:32 815,104 RCX15A0.tmp
2008-01-17 20:32 815,104 RCX159D.tmp
2008-01-17 20:32 815,104 RCX159A.tmp
2008-01-17 20:32 522,240 RCX1597.tmp
2008-01-17 20:32 437,760 RCX1591.tmp
2008-01-17 20:22 425,472 TMP15A1.tmp
2008-01-17 07:36 257,568 qrjatydi.exe
2008-01-17 07:34 40,448 ~WRS0001.tmp
2008-01-17 06:52 16,384 ~WRF0010.tmp
2008-01-16 06:33 16,384 ~WRF1852.tmp
2008-01-12 13:13 437,760 RCX46.tmp
2008-01-11 13:42 522,240 RCX30.tmp
2008-01-11 13:42 437,760 RCX18.tmp
2008-01-09 19:06 522,240 RCX33.tmp
2008-01-09 19:06 437,760 RCX1B.tmp
2008-01-07 14:51 522,240 RCXC.tmp
2008-01-06 14:41 711,168 RCX42.tmp
2008-01-06 14:41 374,784 RCX32.tmp
2008-01-06 14:41 497,664 RCX2D.tmp
2008-01-06 14:41 441,344 RCX24.tmp
2008-01-06 14:41 522,240 RCX20.tmp
2008-01-06 14:41 439,296 RCX1A.tmp
2008-01-06 10:30 711,168 RCX44.tmp
2008-01-06 10:30 374,784 RCX41.tmp
2008-01-06 10:30 497,664 RCX31.tmp
2008-01-06 10:30 441,344 RCX27.tmp
2008-01-06 10:30 522,240 RCX23.tmp
2008-01-06 10:30 439,296 RCX19.tmp
2008-01-06 10:26 10,368 ~WRS3663.tmp
2008-01-06 09:56 16,384 ~WRF3462.tmp
2008-01-06 09:55 10,368 ~WRS0551.tmp
2008-01-06 09:55 10,240 ~WRS1993.tmp
2008-01-06 09:48 16,384 ~WRF0009.tmp
2008-01-06 09:47 16,384 ~WRF0101.tmp
2008-01-05 13:18 98,304 TMP2B.tmp
2008-01-05 12:55 374,784 RCX3C.tmp
2008-01-05 12:55 711,168 RCX39.tmp
2008-01-05 12:55 522,240 RCX36.tmp
2008-01-05 12:55 439,296 RCX2C.tmp
2008-01-05 12:55 497,664 RCX29.tmp
2008-01-05 12:55 441,344 RCX1F.tmp
2008-01-05 12:42 374,784 RCX3B.tmp
2008-01-05 12:42 711,168 RCX38.tmp
2008-01-05 12:42 522,240 RCX35.tmp
2008-01-05 12:42 439,296 RCX2B.tmp
2008-01-05 12:42 441,344 RCX1E.tmp
2008-01-05 12:36 374,784 RCX4F.tmp
2008-01-05 12:36 711,168 RCX4C.tmp
2008-01-05 12:36 522,240 RCX49.tmp
2008-01-05 12:35 439,296 RCX40.tmp
2008-01-05 12:35 497,664 RCX3D.tmp
2008-01-05 12:35 441,344 RCX34.tmp
2008-01-05 12:35 98,304 TMP2F.tmp
2008-01-03 08:29 16,384 ~WRF0699.tmp
2008-01-03 08:22 10,368 ~WRS1641.tmp
2008-01-03 08:14 10,368 ~WRS0000.tmp
2008-01-03 08:03 16,384 ~WRF0008.tmp
2008-01-03 08:02 16,384 ~WRF0007.tmp
2007-12-21 17:29 70,656 UE.exe
2007-12-21 17:29 602,112 TMP31C.tmp
2007-12-21 17:27 87,552 TMP31F.tmp
2007-12-19 15:21 16,384 ~WRF0006.tmp
2007-10-11 22:22 31,744 Uni_Tutor[1].doc
2007-10-03 19:16 16,384 ~DF8D1E.tmp
2007-10-02 06:53 32,768 ~WRF1475.tmp
2007-10-02 06:52 32,768 ~WRF0980.tmp
2007-10-02 06:52 32,768 ~WRF2730.tmp
2007-10-02 06:51 32,768 ~WRF2846.tmp
2007-10-02 06:37 131,072 ~WRF0089.tmp
2007-08-20 06:32 16,384 ~WRF1046.tmp

134 Datei(en) 27,266,893 Bytes
0 Verzeichnis(se), 28,263,522,304 Bytes frei
.
.
.
Datenträger in Laufwerk C: ist BOOT
Volumeseriennummer: A0ED-F402

Verzeichnis von C:\WINDOWS

2008-01-20 10:20 2,048 bootstat.dat
2008-01-19 17:41 4,242 ModemLog_Agere Systems AC'97 Modem.txt
2008-01-19 10:15 702 win.ini
2008-01-19 10:15 227 system.ini
2008-01-16 21:09 116 NeroDigital.ini
2008-01-06 17:48 2,560 MKDEWE.TRN
2008-01-04 15:04 1,409 QTFont.for
2008-01-04 15:04 54,156 QTFont.qfn
2007-12-25 14:52 3,202 tm.ini
2007-12-25 14:30 124 tdf.dii
2007-11-13 21:35 29,575 hpoins03.dat
2007-06-13 14:21 1,036,288 explorer.exe

82 Datei(en) 8,922,204 Bytes
0 Verzeichnis(se), 28,263,522,304 Bytes frei
.
.
.
Datenträger in Laufwerk C: ist BOOT
Volumeseriennummer: A0ED-F402

Verzeichnis von C:\WINDOWS\temp

2008-01-20 10:20 409 WGANotify.settings
2008-01-20 10:20 255 WGAErrLog.txt
2008-01-19 17:41 0 T30DebugLogFile.txt
2008-01-19 17:41 3,686 Perflib_Perfdata__754
4 Datei(en) 4,350 Bytes
0 Verzeichnis(se), 28,263,522,304 Bytes frei
.
.
.
Datenträger in Laufwerk C: ist BOOT
Volumeseriennummer: A0ED-F402

Verzeichnis von C:\WINDOWS\Downloaded Program Files

2005-12-05 01:18 487,424 qp2.dll
2005-12-02 10:55 5,101 swflash.inf
2005-08-15 04:24 309 qp2.inf
2004-10-31 01:32 65 desktop.ini
2004-09-08 22:38 1,271 erma.inf
2004-08-03 14:51 293 wuweb.inf
2003-08-22 21:10 226 opuc.inf
7 Datei(en) 494,689 Bytes
0 Verzeichnis(se), 28,263,522,304 Bytes frei
.
.
.




zum cccleaner: verflucht, ich habe vergessen die log daten rauszukopieren. jetzt sind sie weg. gnaaa

#9 ««
es fehlt das log von C:\

««
CCleaner - noch mal anwenden
http://www.virus-protect.org/ccleaner.html

««
dann lasse die Combofix noch mal durchlaufen
http://www.virus-protect.org/artikel/tools/combofix.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#10 Die Log von CCleaner sieht jetzt so aus:

REINIGUNG komplett - (0.590 Sek)
------------------------------------------------------------------------------------------
0.20MB entfernt.
------------------------------------------------------------------------------------------

Details der gelöschten Dateien
------------------------------------------------------------------------------------------
Geleerter Papierkorb (2 Dateien) 3.71KB
Entfernte Cookies: board.protecus.de
Entfernte Cookies: google.de
Entfernte Cookies: google.com
Entfernte Cookies: download.mozilla.org
Firefox/Mozilla Temporärer Internet Cache (4 Dateien) 0.19MB
C:\Dokumente und Einstellungen\asd\Anwendungsdaten\Mozilla\Firefox\Profiles\de139228.default\history.dat 2.89KB


ComboFix hat jetzt keine zwei Minuten mehr gebraucht. In der LogDatei befinden sich jetzt auch die Daten vom letzten Durchlauf. Ich hänge die Datei also an.

Zitat

C:\posFF9.tmp
C:\posFFA.tmp
C:\posFFB.tmp
C:\posFFC.tmp
C:\posFFD.tmp
C:\posFFE.tmp
C:\posFFF.tmp
C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager .exe
C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx .exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched .exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Gemeinsame Dateien\StorageProtector
C:\Programme\Gemeinsame Dateien\StorageProtector\strpmon .exe
C:\Programme\Gemeinsame Dateien\StorageProtector\strpmon .exe
C:\Programme\Gemeinsame Dateien\StorageProtector\strpmon .exe
C:\Programme\Gemeinsame Dateien\StorageProtector\strpmon .exe
C:\Programme\Gemeinsame Dateien\StorageProtector\strpmon .exe
C:\Programme\Gemeinsame Dateien\StorageProtector\strpmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier .exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Helper
C:\Programme\Helper\Helper8.dll
C:\Programme\Home Cinema\PowerCinema\PCMService .exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\Programme\HP\HP Software Update\HPWuSchd .exe
C:\Programme\HP\HP Software Update\HPWuSchd.exe
C:\Programme\HP\hpcoretech\hpcmpmgr .exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\iTunes\iTunesHelper .exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Messenger\msmsgs .exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Mindjet\MindManager 6\MMReminderService .exe
C:\Programme\Mindjet\MindManager 6\MMReminderService.exe
C:\Programme\Skype\Phone\Skype .exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Synaptics\SynTP\SynTPEnh .exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Synaptics\SynTP\SynTPLpr .exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Tracker Software\PDF-XChange 3\pdfSaver\pdfSaver3 .exe
C:\Programme\Tracker Software\PDF-XChange 3\pdfSaver\pdfSaver3.exe
C:\WINDOWS\cookies.ini
C:\WINDOWS\pchealth\helpctr\binaries\MSConfig .exe
C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe
C:\WINDOWS\system32\bmdalqew.dll
C:\WINDOWS\system32\ctfmon .exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\ctfmon.exe.tmp
C:\WINDOWS\system32\drvdurr.dll
C:\WINDOWS\system32\DrvMon .exe
C:\WINDOWS\system32\DrvMon.exe
C:\WINDOWS\system32\dwgwoltr.dll
C:\WINDOWS\system32\dwgwoltr.dllbox
C:\WINDOWS\system32\eakxugjv.dll
C:\WINDOWS\system32\forrnrne.dll
C:\WINDOWS\system32\jlnnn.ini
C:\WINDOWS\system32\jlnnn.ini2
C:\WINDOWS\system32\khfcaxx.dll
C:\WINDOWS\system32\lesiwrov.ini
C:\WINDOWS\system32\NeroCheck .exe
C:\WINDOWS\system32\NeroCheck.exe
C:\WINDOWS\system32\nnnlj.dll
C:\WINDOWS\system32\nnnlj.exe
C:\WINDOWS\system32\RCX4B.tmp
C:\WINDOWS\system32\uoxssrem.dll
C:\WINDOWS\system32\weqladmb.ini
E:\Autorun.inf

Code

<pre>
C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager .exe ---> QooBox
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx .exe ---> QooBox
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched .exe ---> QooBox
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier .exe ---> QooBox
C:\Programme\Home Cinema\PowerCinema\PCMService .exe ---> QooBox
C:\Programme\HP\HP Software Update\HPWuSchd .exe ---> QooBox
C:\Programme\HP\hpcoretech\hpcmpmgr .exe ---> QooBox
C:\Programme\iTunes\iTunesHelper .exe ---> QooBox
C:\Programme\Messenger\msmsgs .exe ---> QooBox
C:\Programme\Mindjet\MindManager 6\MMReminderService .exe ---> QooBox
C:\Programme\Skype\Phone\Skype .exe ---> QooBox
C:\Programme\Synaptics\SynTP\SynTPEnh .exe ---> QooBox
C:\Programme\Synaptics\SynTP\SynTPLpr .exe ---> QooBox
C:\Programme\Tracker Software\PDF-XChange 3\pdfSaver\pdfSaver3 .exe ---> QooBox
C:\WINDOWS\system32\ctfmon .exe ---> QooBox
C:\WINDOWS\system32\DrvMon .exe ---> QooBox
C:\WINDOWS\system32\NeroCheck .exe ---> QooBox
</pre> 

.
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_DOMAINSERVICE




((((((((((((((((((((((( Dateien erstellt von 2007-12-20 bis 2008-01-20 ))))))))))))))))))))))))))))))
.

2008-01-20 11:30 . 2008-01-20 11:30 <DIR> d-------- C:\Programme\CCleaner
2008-01-19 13:09 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-06 12:31 . 2008-01-06 12:31 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-01-04 16:47 . 2008-01-04 16:47 0 --a------ C:\Install
2008-01-04 15:04 . 2008-01-04 15:04 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-01-04 15:04 . 2008-01-04 15:04 1,409 --a------ C:\WINDOWS\QTFont.for

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-19 16:38 --------- d-----w C:\Programme\iTunes
2008-01-19 06:59 504,320 ----a-w C:\WINDOWS\pchealth\helpctr\binaries\msconfig.exe.tmp
2008-01-17 21:05 45,510 ----a-w C:\Dokumente und Einstellungen\Mama\Anwendungsdaten\wklnhst.dat
2008-01-16 12:52 --------- d-----w C:\Dokumente und Einstellungen\Mama\Anwendungsdaten\U3
2008-01-06 16:51 --------- d-----w C:\Programme\ElsterFormular2005
2008-01-06 16:50 --------- d-----w C:\Programme\Gemeinsame Dateien\Lexware
2008-01-06 13:43 --------- d-----w C:\Dokumente und Einstellungen\Mama\Anwendungsdaten\Skype
2008-01-06 12:33 --------- d-----w C:\Programme\QuickTime
2008-01-05 11:45 --------- d-----w C:\Programme\ElsterFormular2004
2007-12-19 10:00 --------- d-----w C:\Programme\FormsForWeb
2007-11-07 09:27 729,600 ----a-w C:\WINDOWS\system32\lsasrv.dll
2007-10-29 22:42 1,293,312 ----a-w C:\WINDOWS\system32\quartz.dll
2007-10-20 05:01 227,328 ----a-w C:\WINDOWS\system32\wmasf.dll
2006-09-25 15:02 244 ----a-w C:\Dokumente und Einstellungen\Moritz\Anwendungsdaten\wklnhst.dat
2006-05-13 16:04 0 ----a-w C:\Dokumente und Einstellungen\Johanna\Anwendungsdaten\wklnhst.dat
2006-01-27 01:20 1,669,120 ----a-w C:\Programme\spielanalysen5papa.doc
2004-11-05 08:47 8 --sh--r C:\WINDOWS\system32\18F1AB3FF0.sys
2004-11-05 08:47 4,704 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [ ]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [ ]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSConfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe" [ ]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [ ]
"ucookw"="C:\PROGRA~1\STORAG~1\ucookw.exe" [ ]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [ ]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoViewOnDrive"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winnhl32]
winnhl32.dll

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^HP Digital Imaging Monitor.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\HP Digital Imaging Monitor.lnk
backup=C:\WINDOWS\pss\HP Digital Imaging Monitor.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AGRSMMSG]
--a------ 2004-02-20 13:00 88363 C:\WINDOWS\AGRSMMSG.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AOLMIcon]
C:\Programme\Gemeinsame Dateien\AOLSHARE\AOLMIcon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATIPTA]
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DrvMon.exe]
C:\WINDOWS\system32\DrvMon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DXDllRegExe]


[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Component Manager]
C:\Programme\HP\hpcoretech\hpcmpmgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
C:\Programme\HP\HP Software Update\HPWuSchd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
C:\Programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Load]
C:\WINDOWS\system32\nnnlj.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\lsass]
C:\WINDOWS\lsass .exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MMReminderService]
C:\Programme\Mindjet\MindManager 6\MMReminderService.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
C:\Programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCMService]
C:\Programme\Home Cinema\PowerCinema\PCMService.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\pdfSaver3]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
C:\Programme\QuickTime\qttask .exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
C:\Programme\Skype\Phone\Skype.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
--a------ 2004-04-28 17:19 66048 C:\WINDOWS\SOUNDMAN.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPEnh]
C:\Programme\Synaptics\SynTP\SynTPEnh.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPLpr]
C:\Programme\Synaptics\SynTP\SynTPLpr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\updateMgr]
C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows update loader]
C:\Windows\xpupdate.exe

S2 LogWatch;Ereignisprotokoll-Überwachung;C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe [2002-09-19 22:29]
S3 3xHybrid;3xHybrid service;C:\WINDOWS\system32\DRIVERS\3xHybrid.sys [2004-10-06 14:10]
S3 CA_LIC_CLNT;CA-Lizenz-Client;C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe [2002-09-19 22:27]
S3 CA_LIC_SRVR;CA-Lizenzserver;C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe [2002-09-19 22:41]
S3 SipIMNDI;T-Online Dialerschutz VoIP Service;C:\WINDOWS\system32\DRIVERS\SipIMNDI.sys []

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1e4f7890-9a4f-11dc-938d-0040d067f38c}]
\Shell\AutoRun\command - G:\LaunchU3.exe -a

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{21e8f6f0-8e0b-11dc-937d-0040d067f38c}]
\Shell\AutoRun\command - G:\setupSNK.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d1775d30-979f-11d9-8dba-0040d067f38c}]
\Shell\AutoRun\command - G:\Loader.exe /Hide

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-20 12:03:07
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-01-20 12:03:54
ComboFix-quarantined-files.txt 2008-01-20 11:03:52
.
2008-01-10 06:57:25 --- E O F ---

#11 wende renV.exe an - poste den Report (nix weiter, nur exe anwenden+ Report erstellen lassen)
http://www.virus-protect.org/artikel/tools/renvexe.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#12 renV hat anscheinend nichts gefunden:

Code

Ran on 20.01.2008 - 12:26:58,48

 Entries:                0  (0)
 Directories:            0  Files:             0
 Bytes:                  0  Blocks:            0

#13 FlemmingMo

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

KILLALL::

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSConfig"=-
"ucookw"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows update loader]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Load]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\lsass]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winnhl32]

CFScript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen



wende Combofix noch mal an - tippe 1 - poste den neuen Report

----------

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\WINDOWS\Downloaded Program Files" >>files.txt
dir "C:\Programme\Common Files" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%" >>files.txt
dir "C:\Program Files" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temporary Internet Files\Content.IE5" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temp" >>files.txt
dir "C:\WINDOWS\Temp" >>files.txt
dir "C:\Temp" >>files.txt
dir "C:\Programme" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten" >>files.txt
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
dir "C:\Windows\tasks" >>files.txt
notepad files.txt

__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#14 Log vom ComboFix mit CFSkript:

ComboFix 08-01-18.5 - Mama 2008-01-20 13:05:16.4 - NTFSx86 NETWORK
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.300 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Mama\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Mama\Desktop\CFScript.txt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

((((((((((((((((((((((( Dateien erstellt von 2007-12-20 bis 2008-01-20 ))))))))))))))))))))))))))))))
.

2008-01-20 12:22 . 2008-01-20 12:22 98,816 --a------ C:\Dokumente und Einstellungen\Mama\sed.exe
2008-01-20 12:22 . 2008-01-20 12:22 27,136 --a------ C:\Dokumente und Einstellungen\Mama\nircmd.exe
2008-01-20 11:30 . 2008-01-20 11:30 <DIR> d-------- C:\Programme\CCleaner
2008-01-19 13:09 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-06 12:31 . 2008-01-06 12:31 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-01-04 16:47 . 2008-01-04 16:47 0 --a------ C:\Install
2008-01-04 15:04 . 2008-01-04 15:04 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-01-04 15:04 . 2008-01-04 15:04 1,409 --a------ C:\WINDOWS\QTFont.for

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-19 16:38 --------- d-----w C:\Programme\iTunes
2008-01-17 21:05 45,510 ----a-w C:\Dokumente und Einstellungen\Mama\Anwendungsdaten\wklnhst.dat
2008-01-16 12:52 --------- d-----w C:\Dokumente und Einstellungen\Mama\Anwendungsdaten\U3
2008-01-06 16:51 --------- d-----w C:\Programme\ElsterFormular2005
2008-01-06 16:50 --------- d-----w C:\Programme\Gemeinsame Dateien\Lexware
2008-01-06 13:43 --------- d-----w C:\Dokumente und Einstellungen\Mama\Anwendungsdaten\Skype
2008-01-06 12:33 --------- d-----w C:\Programme\QuickTime
2008-01-05 11:45 --------- d-----w C:\Programme\ElsterFormular2004
2007-12-19 10:00 --------- d-----w C:\Programme\FormsForWeb
2006-09-25 15:02 244 ----a-w C:\Dokumente und Einstellungen\Moritz\Anwendungsdaten\wklnhst.dat
2006-05-13 16:04 0 ----a-w C:\Dokumente und Einstellungen\Johanna\Anwendungsdaten\wklnhst.dat
2006-01-27 01:20 1,669,120 ----a-w C:\Programme\spielanalysen5papa.doc
2004-11-05 08:47 8 --sh--r C:\WINDOWS\system32\18F1AB3FF0.sys
2004-11-05 08:47 4,704 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
.

((((((((((((((((((((((((((((( snapshot@2008-01-20_12.03.12.88 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-01-19 12:10:14 241,664 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000001\NTUSER.DAT
+ 2008-01-20 12:05:12 241,664 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000001\NTUSER.DAT
- 2008-01-19 12:10:14 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000002\UsrClass.dat
+ 2008-01-20 12:05:12 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000002\UsrClass.dat
- 2008-01-19 12:10:15 237,568 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000003\NTUSER.DAT
+ 2008-01-20 12:05:12 237,568 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000003\NTUSER.DAT
- 2008-01-19 12:10:15 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000004\UsrClass.dat
+ 2008-01-20 12:05:12 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000004\UsrClass.dat
- 2008-01-19 12:10:15 6,135,808 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000005\NTUSER.DAT
+ 2008-01-20 12:05:12 6,135,808 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000005\NTUSER.DAT
- 2008-01-19 12:10:15 12,288 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000006\UsrClass.dat
+ 2008-01-20 12:05:13 12,288 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000006\UsrClass.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [ ]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [ ]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [ ]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [ ]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoViewOnDrive"= 0 (0x0)

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^HP Digital Imaging Monitor.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\HP Digital Imaging Monitor.lnk
backup=C:\WINDOWS\pss\HP Digital Imaging Monitor.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AGRSMMSG]
--a------ 2004-02-20 13:00 88363 C:\WINDOWS\AGRSMMSG.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AOLMIcon]
C:\Programme\Gemeinsame Dateien\AOLSHARE\AOLMIcon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATIPTA]
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DrvMon.exe]
C:\WINDOWS\system32\DrvMon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DXDllRegExe]


[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Component Manager]
C:\Programme\HP\hpcoretech\hpcmpmgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
C:\Programme\HP\HP Software Update\HPWuSchd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
C:\Programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MMReminderService]
C:\Programme\Mindjet\MindManager 6\MMReminderService.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
C:\Programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCMService]
C:\Programme\Home Cinema\PowerCinema\PCMService.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\pdfSaver3]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
C:\Programme\Skype\Phone\Skype.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
--a------ 2004-04-28 17:19 66048 C:\WINDOWS\SOUNDMAN.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPEnh]
C:\Programme\Synaptics\SynTP\SynTPEnh.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPLpr]
C:\Programme\Synaptics\SynTP\SynTPLpr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\updateMgr]
C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe

S2 LogWatch;Ereignisprotokoll-Überwachung;C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe [2002-09-19 22:29]
S3 3xHybrid;3xHybrid service;C:\WINDOWS\system32\DRIVERS\3xHybrid.sys [2004-10-06 14:10]
S3 CA_LIC_CLNT;CA-Lizenz-Client;C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe [2002-09-19 22:27]
S3 CA_LIC_SRVR;CA-Lizenzserver;C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe [2002-09-19 22:41]
S3 SipIMNDI;T-Online Dialerschutz VoIP Service;C:\WINDOWS\system32\DRIVERS\SipIMNDI.sys []

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1e4f7890-9a4f-11dc-938d-0040d067f38c}]
\Shell\AutoRun\command - G:\LaunchU3.exe -a

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{21e8f6f0-8e0b-11dc-937d-0040d067f38c}]
\Shell\AutoRun\command - G:\setupSNK.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d1775d30-979f-11d9-8dba-0040d067f38c}]
\Shell\AutoRun\command - G:\Loader.exe /Hide

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-20 13:10:05
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-01-20 13:13:03 - machine was rebooted
ComboFix-quarantined-files.txt 2008-01-20 12:13:01
ComboFix2.txt 2008-01-20 11:26:09
ComboFix3.txt 2008-01-20 11:03:55
.
2008-01-10 06:57:25 --- E O F ---



Log von listen.bat:

Datenträger in Laufwerk C: ist BOOT
Volumeseriennummer: A0ED-F402

Verzeichnis von C:\WINDOWS\Downloaded Program Files

08.09.2004 22:38 1.271 erma.inf
22.08.2003 21:10 226 opuc.inf
05.12.2005 01:18 487.424 qp2.dll
15.08.2005 04:24 309 qp2.inf
02.12.2005 10:55 5.101 swflash.inf
03.08.2004 14:51 293 wuweb.inf
6 Datei(en) 494.624 Bytes
0 Verzeichnis(se), 28.302.958.592 Bytes frei
Datenträger in Laufwerk C: ist BOOT
Volumeseriennummer: A0ED-F402

Verzeichnis von C:\Programme\Common Files

08.11.2004 02:18 <DIR> .
08.11.2004 02:18 <DIR> ..
08.11.2004 02:18 <DIR> X10
0 Datei(en) 0 Bytes
3 Verzeichnis(se), 28.302.954.496 Bytes frei
Datenträger in Laufwerk C: ist BOOT
Volumeseriennummer: A0ED-F402

Verzeichnis von C:\Dokumente und Einstellungen\Mama

20.01.2008 12:22 <DIR> .
20.01.2008 12:22 <DIR> ..
15.04.2006 11:09 <DIR> Application Data
23.07.2006 13:28 76 coala.config
20.01.2008 13:15 <DIR> Desktop
19.01.2008 17:37 <DIR> Eigene Dateien
08.01.2008 21:14 <DIR> Favoriten
20.01.2008 12:22 27.136 nircmd.exe
06.11.2004 05:06 1.600 Samples.lnk
20.01.2008 12:22 98.816 sed.exe
16.12.2006 18:31 <DIR> Startmenü
20.01.2008 12:26 448.826 temp00
12.02.2005 11:54 <DIR> WINDOWS
5 Datei(en) 576.454 Bytes
8 Verzeichnis(se), 28.302.954.496 Bytes frei
Datenträger in Laufwerk C: ist BOOT
Volumeseriennummer: A0ED-F402

Verzeichnis von C:\

Datenträger in Laufwerk C: ist BOOT
Volumeseriennummer: A0ED-F402

Verzeichnis von C:\Dokumente und Einstellungen\Mama\Lokale Einstellungen\Temporary Internet Files\Content.IE5

Datenträger in Laufwerk C: ist BOOT
Volumeseriennummer: A0ED-F402

Verzeichnis von C:\Dokumente und Einstellungen\Mama\Lokale Einstellungen\Temp

20.01.2008 13:13 <DIR> .
20.01.2008 13:13 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 28.302.954.496 Bytes frei
Datenträger in Laufwerk C: ist BOOT
Volumeseriennummer: A0ED-F402

Verzeichnis von C:\WINDOWS\Temp

20.01.2008 13:13 <DIR> .
20.01.2008 13:13 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 28.302.954.496 Bytes frei
Datenträger in Laufwerk C: ist BOOT
Volumeseriennummer: A0ED-F402

Verzeichnis von C:\

Datenträger in Laufwerk C: ist BOOT
Volumeseriennummer: A0ED-F402

Verzeichnis von C:\Programme

20.01.2008 11:30 <DIR> .
20.01.2008 11:30 <DIR> ..
11.10.2005 19:19 <DIR> Adobe
06.11.2004 05:00 <DIR> Ahead
05.11.2004 02:56 <DIR> ATI Technologies
16.12.2006 12:25 <DIR> Audacity
18.12.2006 21:23 <DIR> Basement Softworks
07.02.2006 22:37 <DIR> CA
20.01.2008 11:30 <DIR> CCleaner
22.12.2005 17:57 <DIR> CD-Cover Editor
08.11.2004 02:18 <DIR> Common Files
06.01.2005 13:15 <DIR> Compact&Easy
24.03.2006 22:39 <DIR> CuteSoft
08.11.2004 17:07 <DIR> CyberLink
27.12.2004 10:48 <DIR> DivX
25.11.2006 18:59 <DIR> DVD Cover Gold
26.10.2007 16:29 <DIR> ElsterFormular
05.01.2008 12:45 <DIR> ElsterFormular2004
06.01.2008 17:51 <DIR> ElsterFormular2005
05.11.2004 08:16 <DIR> Encarta
16.12.2006 14:47 <DIR> FileZilla
19.12.2007 11:00 <DIR> FormsForWeb
19.01.2008 17:38 <DIR> Gemeinsame Dateien
28.01.2007 08:42 <DIR> Google
15.04.2006 11:14 <DIR> Haufe
31.10.2004 21:35 <DIR> HighMAT CD Writing Wizard
08.11.2004 17:08 <DIR> Home Cinema
27.12.2004 17:42 <DIR> HP
16.12.2006 14:40 <DIR> Illustrate
03.11.2004 04:13 <DIR> Intel
12.12.2007 21:46 <DIR> Internet Explorer
26.05.2005 12:09 <DIR> iPod
19.01.2008 17:38 <DIR> iTunes
15.04.2006 11:15 <DIR> Java
16.12.2006 12:09 <DIR> JazzWare
06.11.2005 12:18 <DIR> Lavasoft
03.11.2004 06:05 <DIR> Learn2.com
15.04.2006 11:13 <DIR> LEXWARE
03.11.2004 04:52 <DIR> ltmoh
10.11.2004 02:55 <DIR> Medion Tools
19.01.2008 17:38 <DIR> Messenger
05.11.2004 08:19 <DIR> Microsoft AutoRoute
15.04.2006 11:55 <DIR> Microsoft Digital Image 2006
28.04.2005 15:07 <DIR> Microsoft Encarta
27.12.2004 18:01 <DIR> microsoft frontpage
15.04.2006 11:02 <DIR> Microsoft Office
05.11.2004 08:08 <DIR> Microsoft Works
05.11.2004 08:02 <DIR> Microsoft Works Suite 2005
15.04.2006 11:02 <DIR> Microsoft.NET
16.12.2006 12:19 <DIR> midi2wav
22.06.2006 13:56 <DIR> Mindjet
31.10.2004 01:31 <DIR> Movie Maker
20.01.2008 13:13 <DIR> Mozilla Firefox
31.10.2004 01:30 <DIR> MSN
31.10.2004 01:30 <DIR> MSN Gaming Zone
03.11.2004 10:56 <DIR> MSN Messenger
19.11.2006 02:22 <DIR> MSXML 4.0
08.11.2004 17:11 <DIR> MUSICMATCH
06.11.2004 05:06 <DIR> muvee Technologies
31.10.2004 01:31 <DIR> NetMeeting
27.12.2004 10:48 <DIR> OfficeUpdate11
31.10.2004 01:30 <DIR> Online Services
31.10.2004 01:31 <DIR> Online-Dienste
14.06.2007 04:51 <DIR> Outlook Express
15.04.2006 11:54 <DIR> Picture It! Premium 10
06.01.2008 13:33 <DIR> QuickTime
03.11.2004 05:59 <DIR> Real
12.02.2005 11:54 <DIR> Rollei Fototechnic GmbH
21.10.2006 11:27 <DIR> Skype
27.01.2006 02:20 1.669.120 spielanalysen5papa.doc
27.12.2004 12:13 <DIR> SuperTux
03.04.2007 22:49 <DIR> Symantec
03.11.2004 07:11 <DIR> Synaptics
22.06.2006 13:56 <DIR> Tracker Software
16.12.2006 18:31 <DIR> uTorrent
03.11.2004 06:04 <DIR> Viewpoint
12.09.2007 20:48 <DIR> WinAce
31.10.2004 01:41 <DIR> Windows Journal Viewer
31.10.2004 21:38 <DIR> Windows Media Connect
15.04.2006 12:45 <DIR> Windows Media Player
31.10.2004 01:30 <DIR> Windows NT
17.04.2006 14:44 <DIR> WinRAR
08.11.2004 02:18 <DIR> X10 Hardware
31.10.2004 01:33 <DIR> xerox
1 Datei(en) 1.669.120 Bytes
83 Verzeichnis(se), 28.302.950.400 Bytes frei
Datenträger in Laufwerk C: ist BOOT
Volumeseriennummer: A0ED-F402

Verzeichnis von C:\Dokumente und Einstellungen\Mama\Lokale Einstellungen\Anwendungsdaten

28.08.2005 10:32 <DIR> Adobe
26.05.2005 12:09 <DIR> Apple Computer
19.01.2008 09:31 <DIR> ApplicationHistory
20.12.2007 13:59 65.024 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
27.12.2004 17:47 137 fusioncache.dat
29.11.2006 09:43 65.320 GDIPFONTCACHEV1.DAT
11.09.2006 20:56 <DIR> Google
26.10.2005 16:12 <DIR> Help
27.12.2004 17:47 <DIR> HP
11.01.2005 19:14 <DIR> Identities
20.03.2005 10:34 <DIR> IsolatedStorage
23.04.2007 15:14 <DIR> Microsoft
22.06.2006 13:57 <DIR> Mindjet
08.12.2006 17:27 <DIR> Mozilla
05.05.2005 10:55 <DIR> Powercinema
05.02.2006 18:37 <DIR> Symantec
03.11.2004 06:48 <DIR> WMTools Downloaded Files
12.03.2005 21:05 <DIR> X10 Commander
15.04.2006 11:14 <DIR> {3248F0A6-6813-11D6-A77B-00B0D0150050}
05.11.2004 03:50 <DIR> {7148F0A6-6813-11D6-A77B-00B0D0142050}
3 Datei(en) 130.481 Bytes
17 Verzeichnis(se), 28.302.946.304 Bytes frei
Datenträger in Laufwerk C: ist BOOT
Volumeseriennummer: A0ED-F402

Verzeichnis von C:\Dokumente und Einstellungen\Mama\Anwendungsdaten

30.08.2005 19:19 <DIR> Adobe
28.08.2005 10:30 871 AdobeDLM.log
11.10.2007 07:08 <DIR> AdobeUM
08.11.2004 02:29 <DIR> Ahead
27.12.2004 10:44 <DIR> AOL
26.05.2005 12:09 <DIR> Apple Computer
27.12.2004 11:25 <DIR> CyberLink
28.08.2005 10:30 0 dm.ini
13.09.2006 13:40 <DIR> Google
26.10.2005 16:12 <DIR> Help
31.10.2004 01:33 <DIR> Identities
06.11.2005 12:18 <DIR> Lavasoft
05.11.2004 03:39 <DIR> Macromedia
27.12.2004 18:01 <DIR> Microsoft Web Folders
08.12.2006 17:27 <DIR> Mozilla
03.11.2004 06:01 <DIR> Real
06.01.2008 14:43 <DIR> Skype
05.11.2004 03:50 <DIR> Sun
16.01.2008 13:52 <DIR> U3
24.12.2006 12:03 <DIR> uTorrent
17.01.2008 22:05 45.510 wklnhst.dat
03.11.2004 06:05 <DIR> You've Got Pictures Screensaver
3 Datei(en) 46.381 Bytes
19 Verzeichnis(se), 28.302.946.304 Bytes frei
Datenträger in Laufwerk C: ist BOOT
Volumeseriennummer: A0ED-F402

Verzeichnis von C:\Dokumente und Einstellungen\All Users\Anwendungsdaten

06.01.2008 12:32 305 addr_file.html
09.10.2007 16:50 <DIR> Adobe
06.11.2004 05:00 <DIR> Ahead
27.12.2004 10:44 <DIR> AOL
26.05.2005 12:09 <DIR> Apple Computer
06.01.2008 12:31 <DIR> Avira
27.12.2004 11:45 <DIR> CyberLink
11.09.2006 20:47 <DIR> Google
13.11.2007 21:35 5.320 hpzinstall.log
22.06.2006 13:56 <DIR> Mindjet
03.11.2004 10:56 <DIR> MSN Messenger 6.2.0133
06.11.2004 05:05 <DIR> muvee Technologies
28.12.2004 10:47 <DIR> QuickTime
31.10.2004 01:42 <DIR> SBSI
03.04.2007 22:52 <DIR> Symantec
03.11.2004 06:04 <DIR> Viewpoint
06.07.2006 06:05 <DIR> Windows Genuine Advantage
2 Datei(en) 5.625 Bytes
15 Verzeichnis(se), 28.302.946.304 Bytes frei
Datenträger in Laufwerk C: ist BOOT
Volumeseriennummer: A0ED-F402

Verzeichnis von C:\Programme\Gemeinsame Dateien

19.01.2008 17:38 <DIR> .
19.01.2008 17:38 <DIR> ..
28.08.2005 10:29 <DIR> Adobe
06.11.2004 05:00 <DIR> Ahead
27.12.2004 10:48 <DIR> aol
05.11.2004 08:08 <DIR> Designer
31.10.2004 01:31 <DIR> Dienste
27.12.2004 17:42 <DIR> Hewlett-Packard
27.12.2004 17:39 <DIR> HP
06.11.2004 05:05 <DIR> InstallShield
05.11.2004 03:50 <DIR> Java
06.01.2008 17:50 <DIR> Lexware
03.04.2007 22:41 <DIR> Microsoft Shared
31.10.2004 01:31 <DIR> MSSoap
06.11.2004 05:06 <DIR> muvee Technologies
15.04.2006 11:52 <DIR> Nikon
03.11.2004 06:04 <DIR> Nullsoft
27.12.2004 13:32 <DIR> ODBC
28.12.2004 10:46 <DIR> Real
31.10.2004 02:26 <DIR> SpeechEngines
03.04.2007 22:52 <DIR> Symantec Shared
14.06.2007 04:57 <DIR> System
28.12.2004 10:46 <DIR> xing shared
0 Datei(en) 0 Bytes
23 Verzeichnis(se), 28.302.946.304 Bytes frei
Datenträger in Laufwerk C: ist BOOT
Volumeseriennummer: A0ED-F402

Verzeichnis von C:\Windows\tasks

#15 lad die exe hoch, kannst du von hier aus einkopieren
http://www.virustotal.com/de/

C:\Dokumente und Einstellungen\Mama\nircmd.exe
C:\Dokumente und Einstellungen\Mama\sed.exe
C:\WINDOWS\NirCmd.exe


poste die reporte
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/