3TR/Vundo.gen und keinen Plan wie ich den lösche....

#1 Hi, bin neu hier und hab ein Problem.

Vor einigen Tagen bemerkte ich, dass ich mich nicht mehr mit firefox zum webserver auf meinem rechner verbinden konnte. Dort stand "Auf localhost wird gewartet...". Fehler am Apache konnte ich ausschließen. Als ich mal durchprobiert hab, welche Prozesse vielleicht stören könnten, habe ich unter anderem auch den explorer.exe gekillt. Und es ging wieder. Also startete ich den Explorer wieder und schaute mir seinen RAM-Speicherbereich an. Im Modul lyamhtdi.dll fand ich diverse Werbe-URLs. Da ich vorher bemerkt hatte, dass sich diese DLL und auch die DLL eiipmgyx.dll in den Autostart eingetragen haben (also per rundll.exe), scannte ich beide mit AntiVir, allerdings ohne ergebnisse. Also benutzte ich das Upload-Feature auf Aviras Website und er wurde fündig, beide Dateien waren infiziert mit TR/Vundo.gen. Ich gab die beiden Dateien frei und löschte sie, entfernte die Einträge aus dem Autostart und rebootete. Kein Anzeichen von einem Virus, es schien alles wieder zu laufen. Wenn das jetzt imemrnoch so wäre, würde ich ejtzt nicht posten.

Ich habe mittlerweile wieder entsprechende Einträge gefunden, allerdings heißen die DLLs jetzt dkdihnqh.dll und xjipiwqs.dll. Ich versuchte, den Vundo mit dieser Beschreibung zu löschen, leider erfolglos. Ich poste jetzt nochmal die logs der beiden Programme.

VBO:

Zitat

[03/17/2008, 17:22:10] - VirtumundoBeGone v1.5 ( "C:\Dokumente und Einstellungen\julian\Desktop\VirtumundoBeGone.exe" )
[03/17/2008, 17:22:17] - Detected System Information:
[03/17/2008, 17:22:17] - Windows Version: 5.1.2600, Service Pack 2
[03/17/2008, 17:22:17] - Current Username: julian (Admin)
[03/17/2008, 17:22:17] - Windows is in SAFE mode with Networking.
[03/17/2008, 17:22:17] - Searching for Browser Helper Objects:
[03/17/2008, 17:22:17] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (AcroIEHlprObj Class)
[03/17/2008, 17:22:17] - BHO 2: {31FF080D-12A3-439A-A2EF-4BA95A3148E8} (IE to GetRight Helper)
[03/17/2008, 17:22:17] - BHO 3: {4B87B4C7-DA79-41AE-92A4-24D3F8C98CD2} ()
[03/17/2008, 17:22:17] - WARNING: BHO has no default name. Checking for Winlogon reference.
[03/17/2008, 17:22:17] - Checking for HKLM\...\Winlogon\Notify\ddccb
[03/17/2008, 17:22:17] - Key not found: HKLM\...\Winlogon\Notify\ddccb, continuing.
[03/17/2008, 17:22:17] - BHO 4: {4c41d526-2f23-4398-87c2-2fe93e5376af} ()
[03/17/2008, 17:22:17] - WARNING: BHO has no default name. Checking for Winlogon reference.
[03/17/2008, 17:22:17] - Checking for HKLM\...\Winlogon\Notify\vvrbejfh
[03/17/2008, 17:22:17] - Key not found: HKLM\...\Winlogon\Notify\vvrbejfh, continuing.
[03/17/2008, 17:22:17] - BHO 5: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[03/17/2008, 17:22:17] - BHO 6: {9714A10A-FBC6-4427-BA95-8409A403D1EF} ()
[03/17/2008, 17:22:17] - WARNING: BHO has no default name. Checking for Winlogon reference.
[03/17/2008, 17:22:17] - Checking for HKLM\...\Winlogon\Notify\khffgde
[03/17/2008, 17:22:17] - Found: HKLM\...\Winlogon\Notify\khffgde - This is probably Virtumundo.
[03/17/2008, 17:22:17] - Assigning {9714A10A-FBC6-4427-BA95-8409A403D1EF} MSEvents Object
[03/17/2008, 17:22:17] - BHO list has been changed! Starting over...
[03/17/2008, 17:22:17] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (AcroIEHlprObj Class)
[03/17/2008, 17:22:17] - BHO 2: {31FF080D-12A3-439A-A2EF-4BA95A3148E8} (IE to GetRight Helper)
[03/17/2008, 17:22:17] - BHO 3: {4B87B4C7-DA79-41AE-92A4-24D3F8C98CD2} ()
[03/17/2008, 17:22:17] - WARNING: BHO has no default name. Checking for Winlogon reference.
[03/17/2008, 17:22:17] - Checking for HKLM\...\Winlogon\Notify\ddccb
[03/17/2008, 17:22:17] - Key not found: HKLM\...\Winlogon\Notify\ddccb, continuing.
[03/17/2008, 17:22:17] - BHO 4: {4c41d526-2f23-4398-87c2-2fe93e5376af} ()
[03/17/2008, 17:22:17] - WARNING: BHO has no default name. Checking for Winlogon reference.
[03/17/2008, 17:22:17] - Checking for HKLM\...\Winlogon\Notify\vvrbejfh
[03/17/2008, 17:22:17] - Key not found: HKLM\...\Winlogon\Notify\vvrbejfh, continuing.
[03/17/2008, 17:22:17] - BHO 5: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[03/17/2008, 17:22:17] - BHO 6: {9714A10A-FBC6-4427-BA95-8409A403D1EF} (MSEvents Object)
[03/17/2008, 17:22:17] - ALERT: Found MSEvents Object!
[03/17/2008, 17:22:17] - BHO 7: {AE7CD045-E861-484f-8273-0445EE161910} (AcroIEToolbarHelper Class)
[03/17/2008, 17:22:17] - BHO 8: {DF21F1DB-80C6-11D3-9483-B03D0EC10000} (HP Credential Manager for ProtectTools)
[03/17/2008, 17:22:17] - Finished Searching Browser Helper Objects
[03/17/2008, 17:22:17] - *** Detected MSEvents Object
[03/17/2008, 17:22:17] - Trying to remove MSEvents Object...
[03/17/2008, 17:22:18] - Terminating Process: IEXPLORE.EXE
[03/17/2008, 17:22:18] - Terminating Process: RUNDLL32.EXE
[03/17/2008, 17:22:19] - Disabling Automatic Shell Restart
[03/17/2008, 17:22:19] - Terminating Process: EXPLORER.EXE
[03/17/2008, 17:22:19] - Suspending the NT Session Manager System Service
[03/17/2008, 17:22:19] - Terminating Windows NT Logon/Logoff Manager
[03/17/2008, 17:22:19] - Re-enabling Automatic Shell Restart
[03/17/2008, 17:22:19] - File to disable: C:\WINDOWS\system32\khffgde.dll
[03/17/2008, 17:22:19] - Renaming C:\WINDOWS\system32\khffgde.dll -> C:\WINDOWS\system32\khffgde.dll.vir
[03/17/2008, 17:22:19] - File successfully renamed!
[03/17/2008, 17:22:19] - Removing HKLM\...\Browser Helper Objects\{9714A10A-FBC6-4427-BA95-8409A403D1EF}
[03/17/2008, 17:22:19] - Removing HKCR\CLSID\{9714A10A-FBC6-4427-BA95-8409A403D1EF}
[03/17/2008, 17:22:19] - Adding Kill Bit for ActiveX for GUID: {9714A10A-FBC6-4427-BA95-8409A403D1EF}
[03/17/2008, 17:22:19] - Deleting ATLEvents/MSEvents Registry entries
[03/17/2008, 17:22:19] - Removing HKLM\...\Winlogon\Notify\khffgde
[03/17/2008, 17:22:19] - Searching for Browser Helper Objects:
[03/17/2008, 17:22:19] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (AcroIEHlprObj Class)
[03/17/2008, 17:22:19] - BHO 2: {31FF080D-12A3-439A-A2EF-4BA95A3148E8} (IE to GetRight Helper)
[03/17/2008, 17:22:19] - BHO 3: {4B87B4C7-DA79-41AE-92A4-24D3F8C98CD2} ()
[03/17/2008, 17:22:19] - WARNING: BHO has no default name. Checking for Winlogon reference.
[03/17/2008, 17:22:19] - Checking for HKLM\...\Winlogon\Notify\ddccb
[03/17/2008, 17:22:19] - Key not found: HKLM\...\Winlogon\Notify\ddccb, continuing.
[03/17/2008, 17:22:19] - BHO 4: {4c41d526-2f23-4398-87c2-2fe93e5376af} ()
[03/17/2008, 17:22:19] - WARNING: BHO has no default name. Checking for Winlogon reference.
[03/17/2008, 17:22:19] - Checking for HKLM\...\Winlogon\Notify\vvrbejfh
[03/17/2008, 17:22:19] - Key not found: HKLM\...\Winlogon\Notify\vvrbejfh, continuing.
[03/17/2008, 17:22:19] - BHO 5: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[03/17/2008, 17:22:19] - BHO 6: {AE7CD045-E861-484f-8273-0445EE161910} (AcroIEToolbarHelper Class)
[03/17/2008, 17:22:19] - BHO 7: {DF21F1DB-80C6-11D3-9483-B03D0EC10000} (HP Credential Manager for ProtectTools)
[03/17/2008, 17:22:19] - Finished Searching Browser Helper Objects
[03/17/2008, 17:22:19] - Finishing up...
[03/17/2008, 17:22:19] - A restart is needed.
[03/17/2008, 17:22:30] - Attempting to Restart via STOP error (Blue Screen!)

RVAXO

Zitat

---RVAXO.exe Updated: 2008-03-15---first run---
Uninstallers:

Files found:
C:\WINDOWS\system32\khffgde.dll.vir
C:\WINDOWS\system32\bccdd.ini2
C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\mcrh.tmp

Folders Found:

Hosts-file was reset, If you use a custom hosts file please replace it...

--------------RVAXO.exe last run---------------
Not deleted items:

--------------RVAXO.exe finished----------------

Würde mich über Hilfe sehr freuen

#2 Oeffne die Datei RVAXO auf dein Desktop
Doppleklick Uninstall.cmd um alles von RVAXO zu entfernen

Malwarebytes Anti-Malware
Download MBAM zum Desktop
Doppelklick mbam-setup und waehle Deutsch,das Program wird jetzt ge-updatet
Waehle bei Reiter “Scanner”> "Komplett Scan durchfuehren" .
Waehle alle Laufwerke >Scan laufen lassen
Wenn am Ende infizierungen gefunden werden,anhaacken und entfernen lassen
Unter Scanberichte stet das log (mbam-log-XX-XX-XXXX.txt)
Poste dessen inhalt hier ins Forum
Note:
Wenn MBAM Schwierigkeiten damit hat Daten zu entfernen wird es gemeldet und klicke OK
Danach wird gefragt den Rechner neu zu starten,lass es zu

Erstellen eines Hijackthis-Logfiles
Als erstes mach ein neuen Ordner auf C:\ z.b. C:\HijackThis,download HijackThis.exe dahin
Download: HijackThis202
Doppelklick HijackThis.exe und installiere das Tool in C:\Programme
Am Ende steht auf dein Desktop eine verknüpfung

Starte Hijack This und klicke “Do a system scan and safe a logfile”
Save log --> hijackthis.log - Save - es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
__________
MfG Argus

#3 Also, das Problem besteht weiterhin, ich erreiche bei laufendem explorer localhost immernoch nihct.

Hier der log von MBAM:

Zitat

Malwarebytes' Anti-Malware 1.08
Datenbank Version: 471

Scan Art: Komplett Scan (C:\|D:\|)
Objekte gescannt: 115816
Scan Dauer: 29 minute(s), 5 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 1
Infizierte Registrierungsschlüssel: 14
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 6

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
C:\WINDOWS\system32\ddccb.dll (Trojan.Vundo) -> Unloaded module successfully.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{aef7d5c5-0eb2-4367-87a2-3faa40f76d79} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{aef7d5c5-0eb2-4367-87a2-3faa40f76d79} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\jkwslist (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\aldd (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\affltid (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affltid (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\ddccb.dll -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\ddccb.dll

Hier der log von HJT:

Zitat

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:30:24, on 17.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
D:\xampp\apache\bin\apache.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\bmwebcfg.exe
C:\WINDOWS\system32\IFXSPMGT.exe
C:\WINDOWS\system32\IFXTCS.exe
D:\xampp\mysql\bin\mysqld-nt.exe
C:\Programme\ProtectTools\Embedded Security Software\PSDsrvc.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
D:\xampp\apache\bin\apache.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\HPQ\IAM\bin\asghost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ProtectTools\Embedded Security Software\PSDrt.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe
C:\Programme\Hewlett-Packard\HP ProtectTools Security Manager\PTHOSTTR.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe
C:\Programme\Logitech\G-series Software\LGDCore.exe
C:\Programme\Logitech\G-series Software\LCDMon.exe
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\G-series Software\Applets\LCDClock.exe
C:\Programme\Logitech\G-series Software\Applets\LCDMedia.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Hijack This\hijackthis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: IE to GetRight Helper - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Programme\GetRight\xx2gr.dll
O2 - BHO: {fa6735e3-9ef2-2c78-8934-32f2625d14c4} - {4c41d526-2f23-4398-87c2-2fe93e5376af} - C:\WINDOWS\system32\vvrbejfh.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: HP Credential Manager for ProtectTools - {DF21F1DB-80C6-11D3-9483-B03D0EC10000} - C:\Programme\HPQ\IAM\Bin\ItIeAddIN.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [PTHOSTTR] C:\Programme\Hewlett-Packard\HP ProtectTools Security Manager\PTHOSTTR.EXE /Start
O4 - HKLM\..\Run: [CognizanceTS] rundll32.exe C:\PROGRA~1\HPQ\IAM\Bin\AsTsVcc.dll,RegisterModule
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Logitech\G-series Software\LCDMon.exe"
O4 - HKLM\..\Run: [BM1b176a14] Rundll32.exe "C:\WINDOWS\system32\dkdihnqh.dll",s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: bmnet.dll
O10 - Unknown file in Winsock LSP: bmnet.dll
O10 - Unknown file in Winsock LSP: bmnet.dll
O20 - Winlogon Notify: DeviceNP - C:\WINDOWS\SYSTEM32\DeviceNP.dll
O20 - Winlogon Notify: OneCard - C:\Programme\HPQ\IAM\Bin\AsWlnPkg.dll
O23 - Service: AddFiltr - Hewlett-Packard Development Company, L.P. - C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\AddFiltr.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apache2 - Apache Software Foundation - D:\xampp\apache\bin\apache.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Bytemobile Web Configurator (bmwebcfg) - Bytemobile, Inc. - C:\WINDOWS\system32\bmwebcfg.exe
O23 - Service: HP ProtectTools Device Locking / Auditing (FLCDLOCK) - Hewlett-Packard Ltd - C:\WINDOWS\system32\flcdlock.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Security Platform Management Service (IFXSpMgtSrv) - Infineon Technologies AG - C:\WINDOWS\system32\IFXSPMGT.exe
O23 - Service: Trusted Platform Core Service (IFXTCS) - Infineon Technologies AG - C:\WINDOWS\system32\IFXTCS.exe
O23 - Service: mysql - Unknown owner - D:\xampp\mysql\bin\mysqld-nt.exe
O23 - Service: Personal Secure Drive Service (PersonalSecureDriveService) - Infineon Technologies AG - C:\Programme\ProtectTools\Embedded Security Software\PSDsrvc.EXE

--
End of file - 7091 bytes

Offenbar wurde noch mehr gefunden.

#4 Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

O2 - BHO: {fa6735e3-9ef2-2c78-8934-32f2625d14c4} - {4c41d526-2f23-4398-87c2-2fe93e5376af} - C:\WINDOWS\system32\vvrbejfh.dll
O4 - HKLM\..\Run: [BM1b176a14] Rundll32.exe "C:\WINDOWS\system32\dkdihnqh.dll",s

klicke: Fix checked
Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst

OTMoveIt.exe
Download OTMoveIt2 zum Desktop
Oeffne:OTMoveIt.exe
Kopiere (selektiere en klick Ctrl-C) alle unterstehende

C:\WINDOWS\system32\vvrbejfh.dll
C:\WINDOWS\system32\dkdihnqh.dll"

im linken Fenster,wo steht "Paste List of Files/Folders to be moved"
Klicke auf den Roten MoveIt! knopf
Wenn das Tool fertig ist wird ein log erstellt (*******_******.log *steht fuer datum und zeit
In Datei C:\_OTMoveIt\MovedFiles\
Mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"

ComboFix
Download ComboFix und speichert es auf den Desktop!
Alle Fenster schliessen und combofix.exe starten
Folge den Instruktionen in das Fenster
Waehrend Combofix lauft NICHT ins Fenster klicken sonst erfriert dein Rechner
Wenn das Tool fertig ist,oeffnet sich ein logfile (C:\combofix.txt)
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
Hintergrundwächtern inklusive der Firewall + Antivirusprogramme müssen deaktiviert sein
__________
MfG Argus

#5 Gute Nachrichten: ich komme wieder auf meinen localhost, also ist die Umleitung von Vundo wohl abgewürgt

Hier der log von MoveIt:

Zitat

File/Folder C:\WINDOWS\system32\vvrbejfh.dll not found.
DllUnregisterServer procedure not found in C:\WINDOWS\system32\dkdihnqh.dll
C:\WINDOWS\system32\dkdihnqh.dll NOT unregistered.
C:\WINDOWS\system32\dkdihnqh.dll moved successfully.

OTMoveIt2 by OldTimer - Version 1.0.21 log created on 03172008_205845

Und hier der log von ComboFix:

Zitat

ComboFix 08-03-14.4 - julian 2008-03-17 21:06:00.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.489 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\julian\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\bccdd.ini
C:\WINDOWS\system32\cjwijcol.dll
C:\WINDOWS\system32\cjylpewx.dll
C:\WINDOWS\system32\iyloafkq.dll
C:\WINDOWS\system32\pomelgih.dll
C:\WINDOWS\system32\vnqidjio.dll

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\LEGACY_NPF


((((((((((((((((((((((( Dateien erstellt von 2008-02-17 bis 2008-03-17 ))))))))))))))))))))))))))))))
.

2008-03-17 20:58 . 2008-03-17 20:58 <DIR> d-------- C:\_OTMoveIt
2008-03-17 20:30 . 2008-03-17 20:55 <DIR> d-------- C:\Programme\Hijack This
2008-03-17 19:56 . 2008-03-17 19:56 <DIR> d-------- C:\Dokumente und Einstellungen\julian\Anwendungsdaten\Malwarebytes
2008-03-17 19:55 . 2008-03-17 19:56 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-03-17 19:55 . 2008-03-17 19:55 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-03-16 22:39 . 2007-03-08 00:51 129,784 --------- C:\WINDOWS\system32\pxafs.dll
2008-03-16 22:37 . 2008-03-16 22:38 1,366,681 ---hs---- C:\WINDOWS\system32\suwntlac.ini
2008-03-16 16:52 . 2008-03-16 16:52 <DIR> d-------- C:\VundoFix Backups
2008-03-16 16:52 . 2008-03-16 16:52 <DIR> d-------- C:\Programme\Avira GmbH
2008-03-16 11:09 . 2008-03-16 11:26 <DIR> d-------- C:\Programme\WinHex
2008-03-15 22:34 . 2008-03-16 12:38 1,367,283 ---hs---- C:\WINDOWS\system32\idthmayl.ini
2008-03-15 21:18 . 2008-03-15 21:18 <DIR> d-------- C:\Programme\Passware
2008-03-15 19:42 . 2008-03-15 19:42 <DIR> d-------- C:\Dokumente und Einstellungen\julian\Anwendungsdaten\gtk-2.0
2008-03-15 00:44 . 2008-03-15 00:44 <DIR> d-------- C:\Dokumente und Einstellungen\julian\Anwendungsdaten\Inkscape
2008-03-15 00:43 . 2008-03-15 00:44 <DIR> d-------- C:\Programme\Inkscape
2008-03-14 22:16 . 2008-03-15 22:18 1,366,801 ---hs---- C:\WINDOWS\system32\uugiswvd.ini
2008-03-14 22:13 . 2008-03-14 22:13 63 --a------ C:\WINDOWS\system32\18244b06
2008-03-14 21:38 . 2008-03-17 17:12 <DIR> d-------- C:\Programme\GetRight
2008-03-14 21:38 . 2008-03-17 17:11 <DIR> d-------- C:\Downloads
2008-03-14 18:38 . 2008-03-16 20:19 83 --a------ C:\WINDOWS\Sam9_E.INI
2008-03-14 18:31 . 2008-03-14 18:31 <DIR> d-------- C:\Programme\MAGIX
2008-03-14 18:31 . 2006-03-31 15:57 430,080 --a------ C:\WINDOWS\system32\MXRestore.exe
2008-03-14 18:31 . 2007-04-27 10:43 120,200 --a------ C:\WINDOWS\system32\DLLDEV32i.dll
2008-03-14 18:02 . 2008-03-14 18:02 <DIR> d-------- C:\WINDOWS\usb-audio.dePhase26
2008-03-14 18:02 . 2008-03-14 18:02 <DIR> d-------- C:\TerraTec
2008-03-14 18:02 . 2008-03-14 18:02 <DIR> d-------- C:\Programme\TerraTec
2008-03-14 18:02 . 2002-01-05 13:48 974,848 --------- C:\WINDOWS\system32\mfc70.dll
2008-03-14 18:02 . 2002-01-05 12:40 487,424 --------- C:\WINDOWS\system32\msvcp70.dll
2008-03-14 18:02 . 2003-05-28 13:12 53,248 --a------ C:\WINDOWS\system32\TT_RIAA.ax
2008-03-14 18:00 . 2004-08-03 23:07 59,264 --a------ C:\WINDOWS\system32\drivers\USBAUDIO.sys
2008-03-14 18:00 . 2004-08-03 23:07 59,264 --a--c--- C:\WINDOWS\system32\dllcache\usbaudio.sys
2008-03-14 17:59 . 2003-10-30 22:27 313,216 --------- C:\WINDOWS\system32\drivers\PHASE26U.sys
2008-03-14 17:59 . 2002-12-18 16:08 29,729 --------- C:\WINDOWS\system32\drivers\ttp7up.sys
2008-03-14 17:59 . 2003-08-18 13:08 18,752 --a------ C:\WINDOWS\system32\drivers\Phase26m.sys
2008-03-08 13:20 . 2008-03-08 13:20 1,142 --a------ C:\WINDOWS\mozver.dat
2008-03-06 14:23 . 2002-12-18 11:23 115,016 -ra------ C:\WINDOWS\system32\MSINET.OCX
2008-03-06 14:22 . 2002-12-18 11:23 140,488 -ra------ C:\WINDOWS\system32\comdlg32.ocx
2008-03-06 14:22 . 2002-12-18 11:23 89,360 -ra------ C:\WINDOWS\system32\VB5DB.DLL
2008-03-06 14:22 . 2002-12-18 11:23 69,632 -ra------ C:\WINDOWS\system32\xmltok.dll
2008-03-06 14:22 . 2002-12-18 11:23 36,864 -ra------ C:\WINDOWS\system32\xmlparse.dll
2008-03-06 14:22 . 2002-12-18 11:23 35,840 -ra------ C:\WINDOWS\system32\comdlg32.oca
2008-03-06 14:22 . 2002-12-18 11:23 29,184 -ra------ C:\WINDOWS\system32\MSINET.oca
2008-03-06 14:22 . 2002-12-19 00:20 26,096 -ra------ C:\WINDOWS\system32\xmlinst.exe
2008-03-06 14:22 . 2002-12-18 11:23 24,576 -ra------ C:\WINDOWS\system32\msxml3a.dll
2008-03-06 14:18 . 2008-03-06 14:22 <DIR> d-------- C:\Programme\Ubi Soft
2008-03-05 15:10 . 2008-03-05 15:10 32 --a------ C:\WINDOWS\Sierra.ini
2008-03-05 15:09 . 2008-03-05 15:09 <DIR> d-------- C:\SIERRA
2008-03-05 15:09 . 2008-03-05 15:15 <DIR> d-------- C:\Programme\Sierra On-Line
2008-03-05 15:09 . 1998-01-23 12:20 305,664 --a------ C:\WINDOWS\IsUn0407.exe
2008-03-05 14:22 . 2008-03-05 14:22 <DIR> d-------- C:\Dokumente und Einstellungen\julian\Anwendungsdaten\Credential Manager
2008-03-02 21:50 . 2008-03-03 17:35 52 --a------ C:\WINDOWS\videodeLuxe.INI
2008-03-02 16:23 . 2008-03-02 16:23 <DIR> d-------- C:\Programme\MAGIX Online Druck Service
2008-03-02 16:21 . 2008-03-02 16:21 <DIR> d-------- C:\Programme\Gemeinsame Dateien\MAGIX Shared
2008-03-02 16:13 . 2008-03-02 16:22 <DIR> d-------- C:\MAGIX
2008-03-02 16:13 . 2007-06-19 16:26 667,648 --a------ C:\WINDOWS\system32\mgxoschk.dll
2008-03-02 16:13 . 1998-10-15 17:28 85,504 --a------ C:\WINDOWS\system32\HtmlWH.dll
2008-03-02 16:13 . 2008-03-14 18:38 5,937 --a------ C:\WINDOWS\mgxoschk.ini
2008-03-02 16:13 . 2008-03-02 16:13 85 --a------ C:\WINDOWS\magix.ini
2008-03-02 13:15 . 2008-03-02 13:15 <DIR> d-------- C:\WINDOWS\Sun
2008-03-02 11:47 . 2007-09-24 23:31 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-03-02 11:46 . 2008-03-02 11:47 <DIR> d-------- C:\Programme\Java
2008-03-02 11:46 . 2008-03-02 11:46 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Java
2008-03-02 11:39 . 2008-03-02 11:39 <DIR> d-------- C:\Programme\LEGO Company
2008-03-02 11:39 . 2008-03-02 11:39 <DIR> d-------- C:\Dokumente und Einstellungen\julian\Anwendungsdaten\LEGO Company
2008-03-01 14:58 . 2008-03-01 14:58 <DIR> d-------- C:\Programme\Projity Inc
2008-03-01 02:30 . 2008-03-01 02:30 <DIR> d-------- C:\Programme\MSXML 6.0
2008-03-01 02:30 . 2008-03-01 02:30 <DIR> d-------- C:\Programme\MSXML 4.0
2008-02-28 17:13 . 2008-03-16 18:15 <DIR> d-------- C:\Dokumente und Einstellungen\julian\Anwendungsdaten\AdobeUM
2008-02-27 21:37 . 2008-02-28 15:35 <DIR> d-------- C:\Programme\ICQ6
2008-02-27 11:50 . 2003-03-02 17:44 7,552 --a------ C:\WINDOWS\system32\drivers\enodpl.sys
2008-02-27 11:50 . 2003-04-19 00:32 4,736 --a------ C:\WINDOWS\system32\drivers\tandpl.sys
2008-02-27 11:47 . 2008-02-27 11:47 <DIR> d-------- C:\Programme\Ubisoft
2008-02-27 10:30 . 2008-02-27 10:30 <DIR> d-------- C:\Programme\Logitech
2008-02-27 10:30 . 2008-02-27 10:30 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Logitech
2008-02-25 22:52 . 2004-08-04 00:57 21,504 --a------ C:\WINDOWS\system32\hidserv.dll
2008-02-25 22:52 . 2004-08-04 00:57 21,504 --a--c--- C:\WINDOWS\system32\dllcache\hidserv.dll
2008-02-25 22:52 . 2001-08-18 04:22 12,288 --a------ C:\WINDOWS\system32\drivers\mouhid.sys
2008-02-25 22:52 . 2001-08-18 04:22 12,288 --a--c--- C:\WINDOWS\system32\dllcache\mouhid.sys
2008-02-25 22:52 . 2001-08-17 14:02 9,600 --a------ C:\WINDOWS\system32\drivers\hidusb.sys
2008-02-25 22:52 . 2001-08-17 14:02 9,600 --a--c--- C:\WINDOWS\system32\dllcache\hidusb.sys
2008-02-25 20:07 . 2008-02-25 20:07 <DIR> d-------- C:\Programme\WinSCP
2008-02-25 20:07 . 2008-03-13 15:22 600 --a------ C:\PUTTY.RND
2008-02-25 19:09 . 2008-02-25 19:09 13,646 --a------ C:\WINDOWS\system32\wpa.bak
2008-02-25 18:46 . 2008-02-25 18:46 <DIR> d-------- C:\Dokumente und Einstellungen\julian\Anwendungsdaten\Thunderbird
2008-02-25 17:37 . 2008-03-01 13:45 <DIR> d-------- C:\Dokumente und Einstellungen\julian\Anwendungsdaten\Dev-Cpp
2008-02-25 17:08 . 2008-02-25 17:08 403 --a------ C:\WINDOWS\ODBC.INI
2008-02-25 17:08 . 2008-02-25 17:08 63 --a------ C:\WINDOWS\mdm.ini
2008-02-25 17:07 . 2008-02-25 17:07 0 --a------ C:\WINDOWS\NSREX.INI
2008-02-25 17:04 . 2008-02-25 17:04 <DIR> d-------- C:\WINDOWS\ShellNew
2008-02-25 17:02 . 2008-02-25 17:02 <DIR> d-------- C:\Dokumente und Einstellungen\julian\Anwendungsdaten\Microsoft Web Folders
2008-02-25 16:52 . 2008-02-25 16:52 <DIR> d-------- C:\Dokumente und Einstellungen\julian\Anwendungsdaten\ATI
2008-02-25 16:52 . 2004-06-03 11:21 53,248 --a------ C:\WINDOWS\system32\cncilps0.dll
2008-02-25 16:52 . 2004-08-03 23:01 25,856 --a------ C:\WINDOWS\system32\drivers\usbprint.sys
2008-02-25 16:52 . 2004-08-03 23:01 25,856 --a--c--- C:\WINDOWS\system32\dllcache\usbprint.sys
2008-02-25 16:48 . 2008-02-27 16:47 <DIR> d-------- C:\Dokumente und Einstellungen\julian\Anwendungsdaten\Vodafone Mobile Connect
2008-02-25 16:45 . 2008-02-25 16:48 <DIR> d-------- C:\Dokumente und Einstellungen\julian\Anwendungsdaten\ICS
2008-02-25 16:45 . 2006-03-28 03:48 368,896 --a------ C:\WINDOWS\system32\drivers\SEMWL5.sys
2008-02-25 16:42 . 2008-02-25 16:42 <DIR> d-------- C:\Programme\Vodafone
2008-02-25 16:42 . 2008-02-25 16:42 8,464 --a------ C:\WINDOWS\system32\SpOrder.dll
2008-02-25 16:41 . 2008-02-25 16:41 <DIR> d-------- C:\Dokumente und Einstellungen\julian\Anwendungsdaten\Talkback

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-16 15:52 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-02-25 16:02 --------- d-----w C:\Programme\microsoft frontpage
2008-02-25 15:41 --------- d-----w C:\Programme\Hewlett-Packard
2008-02-24 20:28 --------- d-----w C:\Programme\Gemeinsame Dateien\LightScribe
2008-02-24 20:25 --------- d-----w C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\Infineon
2008-02-24 20:25 --------- d-----w C:\Programme\HPQ
2008-02-24 20:24 --------- d-----w C:\Dokumente und Einstellungen\julian\Anwendungsdaten\Infineon
2008-02-24 20:24 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Infineon
2008-02-24 20:21 --------- d-----w C:\Programme\ProtectTools
2008-02-24 20:20 --------- d-----w C:\Programme\InterVideo
2008-02-24 20:19 1,638 --sha-r C:\WINDOWS\system32\drivers\103C_HP_NTBK_HP Compaq nx6325 (EY343EA#ABD)_YN_0U_QCNU6340FYR_EU_46_I30B0_SHP_VKBC Version 40.15_B68TT2 Ver. F.02_T060706_WXH2_L407_M896_J60_7AMD_8Sempron_91.8_#080224_N14E4169C_(EY343EA#ABD)_XMOBILE_CN10_Z_2F.02.MRK
2008-02-24 20:17 --------- d-----w C:\Programme\DIFX
2008-02-24 20:15 --------- d-----w C:\Programme\Texas Instruments Inc
2008-02-24 20:13 --------- d-----w C:\Programme\Broadcom
2008-02-24 20:11 --------- d-----w C:\Programme\NetWaiting
2008-02-24 20:11 --------- d-----w C:\Programme\CONEXANT
2008-02-24 20:09 --------- d-----w C:\Programme\Synaptics
2008-02-24 20:09 --------- d-----w C:\Programme\Fingerprint Sensor
2008-02-24 20:07 --------- d-----w C:\Programme\Analog Devices
2008-02-24 20:01 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2008-02-24 19:40 --------- d-----w C:\Programme\Online-Dienste
2008-02-24 19:39 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste
2003-10-30 21:27 313,216 ------w C:\WINDOWS\inf\PHASE26U.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\TortoiseCVS0]
@={5d1cb710-1c4b-11d4-bed5-005004b1f42f}

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\TortoiseCVS1]
@={5d1cb711-1c4b-11d4-bed5-005004b1f42f}

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\TortoiseCVS2]
@={5d1cb712-1c4b-11d4-bed5-005004b1f42f}

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\TortoiseCVS3]
@={5d1cb713-1c4b-11d4-bed5-005004b1f42f}

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\TortoiseCVS4]
@={5d1cb714-1c4b-11d4-bed5-005004b1f42f}

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\TortoiseCVS5]
@={5d1cb715-1c4b-11d4-bed5-005004b1f42f}

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\TortoiseCVS6]
@={5d1cb716-1c4b-11d4-bed5-005004b1f42f}

[HKEY_CLASSES_ROOT\CLSID\{5d1cb710-1c4b-11d4-bed5-005004b1f42f}]
2007-03-15 21:50 1073152 --a------ C:\Programme\TortoiseCVS\TrtseShl.dll

[HKEY_CLASSES_ROOT\CLSID\{5d1cb711-1c4b-11d4-bed5-005004b1f42f}]
2007-03-15 21:50 1073152 --a------ C:\Programme\TortoiseCVS\TrtseShl.dll

[HKEY_CLASSES_ROOT\CLSID\{5d1cb712-1c4b-11d4-bed5-005004b1f42f}]
2007-03-15 21:50 1073152 --a------ C:\Programme\TortoiseCVS\TrtseShl.dll

[HKEY_CLASSES_ROOT\CLSID\{5d1cb713-1c4b-11d4-bed5-005004b1f42f}]
2007-03-15 21:50 1073152 --a------ C:\Programme\TortoiseCVS\TrtseShl.dll

[HKEY_CLASSES_ROOT\CLSID\{5d1cb714-1c4b-11d4-bed5-005004b1f42f}]
2007-03-15 21:50 1073152 --a------ C:\Programme\TortoiseCVS\TrtseShl.dll

[HKEY_CLASSES_ROOT\CLSID\{5d1cb715-1c4b-11d4-bed5-005004b1f42f}]
2007-03-15 21:50 1073152 --a------ C:\Programme\TortoiseCVS\TrtseShl.dll

[HKEY_CLASSES_ROOT\CLSID\{5d1cb716-1c4b-11d4-bed5-005004b1f42f}]
2007-03-15 21:50 1073152 --a------ C:\Programme\TortoiseCVS\TrtseShl.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 13:00 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAXPnP"="C:\Programme\Analog Devices\Core\smax4pnp.exe" [2005-05-20 09:11 925696]
"SoundMAX"="C:\Programme\Analog Devices\SoundMAX\Smax4.exe" [2005-05-06 15:06 716800]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2006-03-31 16:01 761946]
"QlbCtrl"="C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2006-06-19 11:33 163840]
"PTHOSTTR"="C:\Programme\Hewlett-Packard\HP ProtectTools Security Manager\PTHOSTTR.exe" [2006-06-08 14:02 131072]
"CognizanceTS"="C:\PROGRA~1\HPQ\IAM\Bin\AsTsVcc.dll" [2003-12-22 18:12 17920]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-08-31 12:25 249896]
"ATICCC"="C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-05-10 11:12 90112]
"Launch LGDCore"="C:\Programme\Logitech\G-series Software\LGDCore.exe" [2006-03-06 16:31 1122304]
"Launch LCDMon"="C:\Programme\Logitech\G-series Software\LCDMon.exe" [2006-03-06 16:14 497152]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 13:00 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\DeviceNP]
DeviceNP.dll 2006-01-12 14:05 49152 C:\WINDOWS\system32\DeviceNP.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\IfxWlxEN]
IfxWlxEN.dll 2006-03-03 15:08 434176 C:\WINDOWS\system32\IfxWlxEN.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\OneCard]
C:\Programme\HPQ\IAM\Bin\AsWlnPkg.dll 2005-07-25 18:41 40960 C:\Programme\HPQ\IAM\Bin\AsWlnPkg.dll

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Acrobat Assistant.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Acrobat Assistant.lnk
backup=C:\WINDOWS\pss\Acrobat Assistant.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Gamma Loader.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma Loader.lnk
backup=C:\WINDOWS\pss\Adobe Gamma Loader.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^DVD Check.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\DVD Check.lnk
backup=C:\WINDOWS\pss\DVD Check.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^PHASE 26 USB ControlPanel.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\PHASE 26 USB ControlPanel.lnk
backup=C:\WINDOWS\pss\PHASE 26 USB ControlPanel.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\18245988]
C:\WINDOWS\system32\xjipiwqs.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BM1b176a14]
C:\WINDOWS\system32\dkdihnqh.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Cpqset]
--a------ 2006-04-21 09:30 40960 C:\Programme\Hewlett-Packard\Default Settings\cpqset.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\hpWirelessAssistant]
--a------ 2006-03-28 14:13 454656 C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2007-09-25 01:11 132496 C:\Programme\Java\jre1.6.0_03\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WatchDog]
--a------ 2006-03-31 13:58 184320 C:\Programme\InterVideo\DVD Check\DVDCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"LightScribeService"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"D:\\xampp\\apache\\bin\\apache.exe"=
"C:\\Programme\\WinSCP\\WinSCP.exe"=
"C:\\Programme\\Ubisoft\\XIII\\system\\XIII.exe"=
"C:\\Programme\\Mozilla Firefox\\firefox.exe"=

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2007-07-18 14:22]
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2007-08-09 13:04]
R1 PersonalSecureDrive;PersonalSecureDrive;C:\WINDOWS\system32\drivers\psd.sys [2005-11-29 16:56]
R2 ASChannel;Lokaler Verbindungskanal;C:\WINDOWS\System32\svchost.exe [2004-08-04 13:00]
R3 IFXTPM;IFXTPM;C:\WINDOWS\system32\DRIVERS\IFXTPM.SYS [2005-10-21 11:19]
R3 NWADI;NWADI Bus Enumerator;C:\WINDOWS\system32\DRIVERS\NWADIenum.sys [2006-11-07 09:32]
S3 FLCDLOCK;HP ProtectTools Device Locking / Auditing;C:\WINDOWS\system32\flcdlock.exe [2006-02-28 16:46]
S3 MagixASIODrv;MAGIX_ASIO_BoostDriver;C:\Programme\MAGIX\Samplitude_SE_No9\mxasio.sys [2002-04-16 12:10]
S3 PCASp50;PCASp50 NDIS Protocol Driver;C:\WINDOWS\system32\Drivers\PCASp50.sys []
S3 Phase26;PHASE26 WDM Audio;C:\WINDOWS\system32\drivers\Phase26m.sys [2003-08-18 13:08]
S3 PHASE26U;ASIO Driver for TerraTec PHASE 26 USB;C:\WINDOWS\system32\Drivers\PHASE26U.sys [2003-10-30 22:27]
S3 TSClient;Tatara Protocol Driver;C:\WINDOWS\system32\drivers\tsclient.sys [2005-11-30 22:20]
S3 UnlockerDriver4;UnlockerDriver4 Driver;C:\Programme\Unlocker\UnlockerDriver4.sys [2005-08-21 22:27]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
Cognizance REG_MULTI_SZ ASChannel

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-17 21:10:54
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
D:\xampp\apache\bin\apache.exe
C:\WINDOWS\system32\bmwebcfg.exe
C:\WINDOWS\system32\IFXSPMGT.exe
C:\WINDOWS\system32\IFXTCS.exe
D:\xampp\mysql\bin\mysqld-nt.exe
C:\Programme\ProtectTools\Embedded Security Software\PSDsrvc.EXE
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
D:\xampp\apache\bin\apache.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\HPQ\IAM\bin\asghost.exe
C:\Programme\ProtectTools\Embedded Security Software\PSDrt.exe
C:\Programme\Logitech\G-series Software\Applets\LCDClock.exe
C:\Programme\Logitech\G-series Software\Applets\LCDMedia.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\taskmgr.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-03-17 21:13:25 - machine was rebooted
ComboFix-quarantined-files.txt 2008-03-17 20:13:21
.
2008-03-03 14:16:36 --- E O F ---

#6 Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\18245988]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BM1b176a14]

File::
C:\WINDOWS\system32\suwntlac.ini
C:\WINDOWS\system32\idthmayl.ini
C:\WINDOWS\system32\uugiswvd.ini
C:\WINDOWS\system32\18244b06

CFScript.txt nennen und mit der rechten Maustaste auf das Symbol von Combofix ziehen


Combofix noch mal anwenden
poste dann nach neustart das neue Log
__________
MfG Argus

#7 Mein Rechner hat sich nicht neugestartet, aber hier ist der log:

Zitat

ComboFix 08-03-14.4 - julian 2008-03-18 17:31:20.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.500 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\julian\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\julian\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]

FILE ::
C:\WINDOWS\system32\18244b06
C:\WINDOWS\system32\idthmayl.ini
C:\WINDOWS\system32\suwntlac.ini
C:\WINDOWS\system32\uugiswvd.ini
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\18244b06
C:\WINDOWS\system32\idthmayl.ini
C:\WINDOWS\system32\suwntlac.ini
C:\WINDOWS\system32\uugiswvd.ini

.
((((((((((((((((((((((( Dateien erstellt von 2008-02-18 bis 2008-03-18 ))))))))))))))))))))))))))))))
.

2008-03-17 20:58 . 2008-03-17 20:58 <DIR> d-------- C:\_OTMoveIt
2008-03-17 20:30 . 2008-03-17 20:55 <DIR> d-------- C:\Programme\Hijack This
2008-03-17 19:56 . 2008-03-17 19:56 <DIR> d-------- C:\Dokumente und Einstellungen\julian\Anwendungsdaten\Malwarebytes
2008-03-17 19:55 . 2008-03-17 19:56 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-03-17 19:55 . 2008-03-17 19:55 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-03-16 22:39 . 2007-03-08 00:51 129,784 --------- C:\WINDOWS\system32\pxafs.dll
2008-03-16 16:52 . 2008-03-16 16:52 <DIR> d-------- C:\VundoFix Backups
2008-03-16 16:52 . 2008-03-16 16:52 <DIR> d-------- C:\Programme\Avira GmbH
2008-03-16 11:09 . 2008-03-16 11:26 <DIR> d-------- C:\Programme\WinHex
2008-03-15 21:18 . 2008-03-15 21:18 <DIR> d-------- C:\Programme\Passware
2008-03-15 19:42 . 2008-03-15 19:42 <DIR> d-------- C:\Dokumente und Einstellungen\julian\Anwendungsdaten\gtk-2.0
2008-03-15 00:44 . 2008-03-15 00:44 <DIR> d-------- C:\Dokumente und Einstellungen\julian\Anwendungsdaten\Inkscape
2008-03-15 00:43 . 2008-03-15 00:44 <DIR> d-------- C:\Programme\Inkscape
2008-03-14 21:38 . 2008-03-17 17:12 <DIR> d-------- C:\Programme\GetRight
2008-03-14 21:38 . 2008-03-17 17:11 <DIR> d-------- C:\Downloads
2008-03-14 18:38 . 2008-03-16 20:19 83 --a------ C:\WINDOWS\Sam9_E.INI
2008-03-14 18:31 . 2008-03-14 18:31 <DIR> d-------- C:\Programme\MAGIX
2008-03-14 18:31 . 2006-03-31 15:57 430,080 --a------ C:\WINDOWS\system32\MXRestore.exe
2008-03-14 18:31 . 2007-04-27 10:43 120,200 --a------ C:\WINDOWS\system32\DLLDEV32i.dll
2008-03-14 18:02 . 2008-03-14 18:02 <DIR> d-------- C:\WINDOWS\usb-audio.dePhase26
2008-03-14 18:02 . 2008-03-14 18:02 <DIR> d-------- C:\TerraTec
2008-03-14 18:02 . 2008-03-14 18:02 <DIR> d-------- C:\Programme\TerraTec
2008-03-14 18:02 . 2002-01-05 13:48 974,848 --------- C:\WINDOWS\system32\mfc70.dll
2008-03-14 18:02 . 2002-01-05 12:40 487,424 --------- C:\WINDOWS\system32\msvcp70.dll
2008-03-14 18:02 . 2003-05-28 13:12 53,248 --a------ C:\WINDOWS\system32\TT_RIAA.ax
2008-03-14 18:00 . 2004-08-03 23:07 59,264 --a------ C:\WINDOWS\system32\drivers\USBAUDIO.sys
2008-03-14 18:00 . 2004-08-03 23:07 59,264 --a--c--- C:\WINDOWS\system32\dllcache\usbaudio.sys
2008-03-14 17:59 . 2003-10-30 22:27 313,216 --------- C:\WINDOWS\system32\drivers\PHASE26U.sys
2008-03-14 17:59 . 2002-12-18 16:08 29,729 --------- C:\WINDOWS\system32\drivers\ttp7up.sys
2008-03-14 17:59 . 2003-08-18 13:08 18,752 --a------ C:\WINDOWS\system32\drivers\Phase26m.sys
2008-03-08 13:20 . 2008-03-08 13:20 1,142 --a------ C:\WINDOWS\mozver.dat
2008-03-06 14:23 . 2002-12-18 11:23 115,016 -ra------ C:\WINDOWS\system32\MSINET.OCX
2008-03-06 14:22 . 2002-12-18 11:23 140,488 -ra------ C:\WINDOWS\system32\comdlg32.ocx
2008-03-06 14:22 . 2002-12-18 11:23 89,360 -ra------ C:\WINDOWS\system32\VB5DB.DLL
2008-03-06 14:22 . 2002-12-18 11:23 69,632 -ra------ C:\WINDOWS\system32\xmltok.dll
2008-03-06 14:22 . 2002-12-18 11:23 36,864 -ra------ C:\WINDOWS\system32\xmlparse.dll
2008-03-06 14:22 . 2002-12-18 11:23 35,840 -ra------ C:\WINDOWS\system32\comdlg32.oca
2008-03-06 14:22 . 2002-12-18 11:23 29,184 -ra------ C:\WINDOWS\system32\MSINET.oca
2008-03-06 14:22 . 2002-12-19 00:20 26,096 -ra------ C:\WINDOWS\system32\xmlinst.exe
2008-03-06 14:22 . 2002-12-18 11:23 24,576 -ra------ C:\WINDOWS\system32\msxml3a.dll
2008-03-06 14:18 . 2008-03-06 14:22 <DIR> d-------- C:\Programme\Ubi Soft
2008-03-05 15:10 . 2008-03-05 15:10 32 --a------ C:\WINDOWS\Sierra.ini
2008-03-05 15:09 . 2008-03-05 15:09 <DIR> d-------- C:\SIERRA
2008-03-05 15:09 . 2008-03-05 15:15 <DIR> d-------- C:\Programme\Sierra On-Line
2008-03-05 15:09 . 1998-01-23 12:20 305,664 --a------ C:\WINDOWS\IsUn0407.exe
2008-03-05 14:22 . 2008-03-05 14:22 <DIR> d-------- C:\Dokumente und Einstellungen\julian\Anwendungsdaten\Credential Manager
2008-03-02 21:50 . 2008-03-03 17:35 52 --a------ C:\WINDOWS\videodeLuxe.INI
2008-03-02 16:23 . 2008-03-02 16:23 <DIR> d-------- C:\Programme\MAGIX Online Druck Service
2008-03-02 16:21 . 2008-03-02 16:21 <DIR> d-------- C:\Programme\Gemeinsame Dateien\MAGIX Shared
2008-03-02 16:13 . 2008-03-02 16:22 <DIR> d-------- C:\MAGIX
2008-03-02 16:13 . 2007-06-19 16:26 667,648 --a------ C:\WINDOWS\system32\mgxoschk.dll
2008-03-02 16:13 . 1998-10-15 17:28 85,504 --a------ C:\WINDOWS\system32\HtmlWH.dll
2008-03-02 16:13 . 2008-03-14 18:38 5,937 --a------ C:\WINDOWS\mgxoschk.ini
2008-03-02 16:13 . 2008-03-02 16:13 85 --a------ C:\WINDOWS\magix.ini
2008-03-02 13:15 . 2008-03-02 13:15 <DIR> d-------- C:\WINDOWS\Sun
2008-03-02 11:47 . 2007-09-24 23:31 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-03-02 11:46 . 2008-03-02 11:47 <DIR> d-------- C:\Programme\Java
2008-03-02 11:46 . 2008-03-02 11:46 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Java
2008-03-02 11:39 . 2008-03-02 11:39 <DIR> d-------- C:\Programme\LEGO Company
2008-03-02 11:39 . 2008-03-02 11:39 <DIR> d-------- C:\Dokumente und Einstellungen\julian\Anwendungsdaten\LEGO Company
2008-03-01 14:58 . 2008-03-01 14:58 <DIR> d-------- C:\Programme\Projity Inc
2008-03-01 02:30 . 2008-03-01 02:30 <DIR> d-------- C:\Programme\MSXML 6.0
2008-03-01 02:30 . 2008-03-01 02:30 <DIR> d-------- C:\Programme\MSXML 4.0
2008-02-28 17:13 . 2008-03-16 18:15 <DIR> d-------- C:\Dokumente und Einstellungen\julian\Anwendungsdaten\AdobeUM
2008-02-27 21:37 . 2008-02-28 15:35 <DIR> d-------- C:\Programme\ICQ6
2008-02-27 11:50 . 2003-03-02 17:44 7,552 --a------ C:\WINDOWS\system32\drivers\enodpl.sys
2008-02-27 11:50 . 2003-04-19 00:32 4,736 --a------ C:\WINDOWS\system32\drivers\tandpl.sys
2008-02-27 11:47 . 2008-02-27 11:47 <DIR> d-------- C:\Programme\Ubisoft
2008-02-27 10:30 . 2008-02-27 10:30 <DIR> d-------- C:\Programme\Logitech
2008-02-27 10:30 . 2008-02-27 10:30 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Logitech
2008-02-25 22:52 . 2004-08-04 00:57 21,504 --a------ C:\WINDOWS\system32\hidserv.dll
2008-02-25 22:52 . 2004-08-04 00:57 21,504 --a--c--- C:\WINDOWS\system32\dllcache\hidserv.dll
2008-02-25 22:52 . 2001-08-18 04:22 12,288 --a------ C:\WINDOWS\system32\drivers\mouhid.sys
2008-02-25 22:52 . 2001-08-18 04:22 12,288 --a--c--- C:\WINDOWS\system32\dllcache\mouhid.sys
2008-02-25 22:52 . 2001-08-17 14:02 9,600 --a------ C:\WINDOWS\system32\drivers\hidusb.sys
2008-02-25 22:52 . 2001-08-17 14:02 9,600 --a--c--- C:\WINDOWS\system32\dllcache\hidusb.sys
2008-02-25 20:07 . 2008-02-25 20:07 <DIR> d-------- C:\Programme\WinSCP
2008-02-25 20:07 . 2008-03-18 17:30 600 --a------ C:\PUTTY.RND
2008-02-25 19:09 . 2008-02-25 19:09 13,646 --a------ C:\WINDOWS\system32\wpa.bak
2008-02-25 18:46 . 2008-02-25 18:46 <DIR> d-------- C:\Dokumente und Einstellungen\julian\Anwendungsdaten\Thunderbird
2008-02-25 17:37 . 2008-03-01 13:45 <DIR> d-------- C:\Dokumente und Einstellungen\julian\Anwendungsdaten\Dev-Cpp
2008-02-25 17:08 . 2008-02-25 17:08 403 --a------ C:\WINDOWS\ODBC.INI
2008-02-25 17:08 . 2008-02-25 17:08 63 --a------ C:\WINDOWS\mdm.ini
2008-02-25 17:07 . 2008-02-25 17:07 0 --a------ C:\WINDOWS\NSREX.INI
2008-02-25 17:04 . 2008-02-25 17:04 <DIR> d-------- C:\WINDOWS\ShellNew
2008-02-25 17:02 . 2008-02-25 17:02 <DIR> d-------- C:\Dokumente und Einstellungen\julian\Anwendungsdaten\Microsoft Web Folders
2008-02-25 16:52 . 2008-02-25 16:52 <DIR> d-------- C:\Dokumente und Einstellungen\julian\Anwendungsdaten\ATI
2008-02-25 16:52 . 2004-06-03 11:21 53,248 --a------ C:\WINDOWS\system32\cncilps0.dll
2008-02-25 16:52 . 2004-08-03 23:01 25,856 --a------ C:\WINDOWS\system32\drivers\usbprint.sys
2008-02-25 16:52 . 2004-08-03 23:01 25,856 --a--c--- C:\WINDOWS\system32\dllcache\usbprint.sys
2008-02-25 16:48 . 2008-02-27 16:47 <DIR> d-------- C:\Dokumente und Einstellungen\julian\Anwendungsdaten\Vodafone Mobile Connect
2008-02-25 16:45 . 2008-02-25 16:48 <DIR> d-------- C:\Dokumente und Einstellungen\julian\Anwendungsdaten\ICS
2008-02-25 16:45 . 2006-03-28 03:48 368,896 --a------ C:\WINDOWS\system32\drivers\SEMWL5.sys
2008-02-25 16:42 . 2008-02-25 16:42 <DIR> d-------- C:\Programme\Vodafone
2008-02-25 16:42 . 2008-02-25 16:42 8,464 --a------ C:\WINDOWS\system32\SpOrder.dll
2008-02-25 16:41 . 2008-02-25 16:41 <DIR> d-------- C:\Dokumente und Einstellungen\julian\Anwendungsdaten\Talkback
2008-02-25 16:41 . 2008-02-25 16:41 0 --a------ C:\WINDOWS\nsreg.dat
2008-02-25 16:19 . 2005-12-16 11:48 90,112 --------- C:\WINDOWS\system32\hpqnt.dll
2008-02-25 16:19 . 2006-05-12 13:44 45,056 --a------ C:\WINDOWS\system32\hpBat.cpl
2008-02-25 16:16 . 2008-02-25 16:16 <DIR> d-------- C:\Programme\ATI Technologies

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-16 15:52 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-03-05 14:15 4,608 ----a-w C:\WINDOWS\system32\w95inf32.dll
2008-02-25 16:02 --------- d-----w C:\Programme\microsoft frontpage
2008-02-25 15:41 --------- d-----w C:\Programme\Hewlett-Packard
2008-02-24 20:28 --------- d-----w C:\Programme\Gemeinsame Dateien\LightScribe
2008-02-24 20:25 --------- d-----w C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\Infineon
2008-02-24 20:25 --------- d-----w C:\Programme\HPQ
2008-02-24 20:24 --------- d-----w C:\Dokumente und Einstellungen\julian\Anwendungsdaten\Infineon
2008-02-24 20:24 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Infineon
2008-02-24 20:21 --------- d-----w C:\Programme\ProtectTools
2008-02-24 20:20 --------- d-----w C:\Programme\InterVideo
2008-02-24 20:19 1,638 --sha-r C:\WINDOWS\system32\drivers\103C_HP_NTBK_HP Compaq nx6325 (EY343EA#ABD)_YN_0U_QCNU6340FYR_EU_46_I30B0_SHP_VKBC Version 40.15_B68TT2 Ver. F.02_T060706_WXH2_L407_M896_J60_7AMD_8Sempron_91.8_#080224_N14E4169C_(EY343EA#ABD)_XMOBILE_CN10_Z_2F.02.MRK
2008-02-24 20:17 --------- d-----w C:\Programme\DIFX
2008-02-24 20:15 --------- d-----w C:\Programme\Texas Instruments Inc
2008-02-24 20:13 --------- d-----w C:\Programme\Broadcom
2008-02-24 20:11 --------- d-----w C:\Programme\NetWaiting
2008-02-24 20:11 --------- d-----w C:\Programme\CONEXANT
2008-02-24 20:09 --------- d-----w C:\Programme\Synaptics
2008-02-24 20:09 --------- d-----w C:\Programme\Fingerprint Sensor
2008-02-24 20:07 --------- d-----w C:\Programme\Analog Devices
2008-02-24 20:01 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2008-02-24 19:40 --------- d-----w C:\Programme\Online-Dienste
2008-02-24 19:39 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste
2003-10-30 21:27 313,216 ------w C:\WINDOWS\inf\PHASE26U.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\TortoiseCVS0]
@={5d1cb710-1c4b-11d4-bed5-005004b1f42f}

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\TortoiseCVS1]
@={5d1cb711-1c4b-11d4-bed5-005004b1f42f}

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\TortoiseCVS2]
@={5d1cb712-1c4b-11d4-bed5-005004b1f42f}

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\TortoiseCVS3]
@={5d1cb713-1c4b-11d4-bed5-005004b1f42f}

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\TortoiseCVS4]
@={5d1cb714-1c4b-11d4-bed5-005004b1f42f}

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\TortoiseCVS5]
@={5d1cb715-1c4b-11d4-bed5-005004b1f42f}

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\TortoiseCVS6]
@={5d1cb716-1c4b-11d4-bed5-005004b1f42f}

[HKEY_CLASSES_ROOT\CLSID\{5d1cb710-1c4b-11d4-bed5-005004b1f42f}]
2007-03-15 21:50 1073152 --a------ C:\Programme\TortoiseCVS\TrtseShl.dll

[HKEY_CLASSES_ROOT\CLSID\{5d1cb711-1c4b-11d4-bed5-005004b1f42f}]
2007-03-15 21:50 1073152 --a------ C:\Programme\TortoiseCVS\TrtseShl.dll

[HKEY_CLASSES_ROOT\CLSID\{5d1cb712-1c4b-11d4-bed5-005004b1f42f}]
2007-03-15 21:50 1073152 --a------ C:\Programme\TortoiseCVS\TrtseShl.dll

[HKEY_CLASSES_ROOT\CLSID\{5d1cb713-1c4b-11d4-bed5-005004b1f42f}]
2007-03-15 21:50 1073152 --a------ C:\Programme\TortoiseCVS\TrtseShl.dll

[HKEY_CLASSES_ROOT\CLSID\{5d1cb714-1c4b-11d4-bed5-005004b1f42f}]
2007-03-15 21:50 1073152 --a------ C:\Programme\TortoiseCVS\TrtseShl.dll

[HKEY_CLASSES_ROOT\CLSID\{5d1cb715-1c4b-11d4-bed5-005004b1f42f}]
2007-03-15 21:50 1073152 --a------ C:\Programme\TortoiseCVS\TrtseShl.dll

[HKEY_CLASSES_ROOT\CLSID\{5d1cb716-1c4b-11d4-bed5-005004b1f42f}]
2007-03-15 21:50 1073152 --a------ C:\Programme\TortoiseCVS\TrtseShl.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 13:00 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAXPnP"="C:\Programme\Analog Devices\Core\smax4pnp.exe" [2005-05-20 09:11 925696]
"SoundMAX"="C:\Programme\Analog Devices\SoundMAX\Smax4.exe" [2005-05-06 15:06 716800]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2006-03-31 16:01 761946]
"QlbCtrl"="C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2006-06-19 11:33 163840]
"PTHOSTTR"="C:\Programme\Hewlett-Packard\HP ProtectTools Security Manager\PTHOSTTR.exe" [2006-06-08 14:02 131072]
"CognizanceTS"="C:\PROGRA~1\HPQ\IAM\Bin\AsTsVcc.dll" [2003-12-22 18:12 17920]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-08-31 12:25 249896]
"ATICCC"="C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-05-10 11:12 90112]
"Launch LGDCore"="C:\Programme\Logitech\G-series Software\LGDCore.exe" [2006-03-06 16:31 1122304]
"Launch LCDMon"="C:\Programme\Logitech\G-series Software\LCDMon.exe" [2006-03-06 16:14 497152]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 13:00 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\DeviceNP]
DeviceNP.dll 2006-01-12 14:05 49152 C:\WINDOWS\system32\DeviceNP.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\IfxWlxEN]
IfxWlxEN.dll 2006-03-03 15:08 434176 C:\WINDOWS\system32\IfxWlxEN.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\OneCard]
C:\Programme\HPQ\IAM\Bin\AsWlnPkg.dll 2005-07-25 18:41 40960 C:\Programme\HPQ\IAM\Bin\AsWlnPkg.dll

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Acrobat Assistant.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Acrobat Assistant.lnk
backup=C:\WINDOWS\pss\Acrobat Assistant.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Gamma Loader.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma Loader.lnk
backup=C:\WINDOWS\pss\Adobe Gamma Loader.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^DVD Check.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\DVD Check.lnk
backup=C:\WINDOWS\pss\DVD Check.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^PHASE 26 USB ControlPanel.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\PHASE 26 USB ControlPanel.lnk
backup=C:\WINDOWS\pss\PHASE 26 USB ControlPanel.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Cpqset]
--a------ 2006-04-21 09:30 40960 C:\Programme\Hewlett-Packard\Default Settings\cpqset.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\hpWirelessAssistant]
--a------ 2006-03-28 14:13 454656 C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2007-09-25 01:11 132496 C:\Programme\Java\jre1.6.0_03\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WatchDog]
--a------ 2006-03-31 13:58 184320 C:\Programme\InterVideo\DVD Check\DVDCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"LightScribeService"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"D:\\xampp\\apache\\bin\\apache.exe"=
"C:\\Programme\\WinSCP\\WinSCP.exe"=
"C:\\Programme\\Ubisoft\\XIII\\system\\XIII.exe"=
"C:\\Programme\\Mozilla Firefox\\firefox.exe"=

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2007-07-18 14:22]
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2007-08-09 13:04]
R1 PersonalSecureDrive;PersonalSecureDrive;C:\WINDOWS\system32\drivers\psd.sys [2005-11-29 16:56]
R2 ASChannel;Lokaler Verbindungskanal;C:\WINDOWS\System32\svchost.exe [2004-08-04 13:00]
R3 IFXTPM;IFXTPM;C:\WINDOWS\system32\DRIVERS\IFXTPM.SYS [2005-10-21 11:19]
R3 NWADI;NWADI Bus Enumerator;C:\WINDOWS\system32\DRIVERS\NWADIenum.sys [2006-11-07 09:32]
S3 FLCDLOCK;HP ProtectTools Device Locking / Auditing;C:\WINDOWS\system32\flcdlock.exe [2006-02-28 16:46]
S3 MagixASIODrv;MAGIX_ASIO_BoostDriver;C:\Programme\MAGIX\Samplitude_SE_No9\mxasio.sys [2002-04-16 12:10]
S3 PCASp50;PCASp50 NDIS Protocol Driver;C:\WINDOWS\system32\Drivers\PCASp50.sys []
S3 Phase26;PHASE26 WDM Audio;C:\WINDOWS\system32\drivers\Phase26m.sys [2003-08-18 13:08]
S3 PHASE26U;ASIO Driver for TerraTec PHASE 26 USB;C:\WINDOWS\system32\Drivers\PHASE26U.sys [2003-10-30 22:27]
S3 TSClient;Tatara Protocol Driver;C:\WINDOWS\system32\drivers\tsclient.sys [2005-11-30 22:20]
S3 UnlockerDriver4;UnlockerDriver4 Driver;C:\Programme\Unlocker\UnlockerDriver4.sys [2005-08-21 22:27]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
Cognizance REG_MULTI_SZ ASChannel

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-18 17:33:40
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\Programme\HPQ\IAM\bin\1031\TpmAuth.dll
.
Zeit der Fertigstellung: 2008-03-18 17:34:21
ComboFix-quarantined-files.txt 2008-03-18 16:34:06
ComboFix2.txt 2008-03-17 20:13:25
.
2008-03-03 14:16:36 --- E O F ---

#8 Hallo ,

Gehe in die Registry
Start - Ausführen - regedit

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001 - in 0 ändern

PC neustarten

Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK"

dann warte auf Arnold, vielleicht hat er noch was zu tun für dich
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#9 Starte OTMoveIt2 nochmal
Und druecke die “CleanUp” Taste
Im naeschten Fenster “Begin cleanup process?” klicke Yes
Im naechsten Fenster “Do you want to reboot?” klicke Yes
__________
MfG Argus

#10

Zitat

Arnold postete
Starte OTMoveIt2 nochmal
Und druecke die “CleanUp” Taste
Im naeschten Fenster “Begin cleanup process?” klicke Yes
Im naechsten Fenster “Do you want to reboot?” klicke Yes

Wenn ich auf CleanUp! klicke: I/O Error 1784

Log von Combofix:

Zitat

ComboFix 08-03-14.4 - julian 2008-03-19 15:13:06.3 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.49.1031.18.506 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\julian\Desktop\ComboFix.exe
Command switches used :: \U

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

((((((((((((((((((((((( Dateien erstellt von 2008-02-19 bis 2008-03-19 ))))))))))))))))))))))))))))))
.

2008-03-19 15:05 . 2008-03-19 15:05 <DIR> d-------- C:\Dokumente und Einstellungen\julian\Anwendungsdaten\Ethereal
2008-03-17 20:58 . 2008-03-17 20:58 <DIR> d-------- C:\_OTMoveIt
2008-03-17 20:30 . 2008-03-17 20:55 <DIR> d-------- C:\Programme\Hijack This
2008-03-17 19:56 . 2008-03-17 19:56 <DIR> d-------- C:\Dokumente und Einstellungen\julian\Anwendungsdaten\Malwarebytes
2008-03-17 19:55 . 2008-03-17 19:56 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-03-17 19:55 . 2008-03-17 19:55 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-03-16 22:39 . 2007-03-08 00:51 129,784 --------- C:\WINDOWS\system32\pxafs.dll
2008-03-16 16:52 . 2008-03-16 16:52 <DIR> d-------- C:\VundoFix Backups
2008-03-16 16:52 . 2008-03-16 16:52 <DIR> d-------- C:\Programme\Avira GmbH
2008-03-16 11:09 . 2008-03-16 11:26 <DIR> d-------- C:\Programme\WinHex
2008-03-15 21:18 . 2008-03-15 21:18 <DIR> d-------- C:\Programme\Passware
2008-03-15 19:42 . 2008-03-15 19:42 <DIR> d-------- C:\Dokumente und Einstellungen\julian\Anwendungsdaten\gtk-2.0
2008-03-15 00:44 . 2008-03-15 00:44 <DIR> d-------- C:\Dokumente und Einstellungen\julian\Anwendungsdaten\Inkscape
2008-03-15 00:43 . 2008-03-15 00:44 <DIR> d-------- C:\Programme\Inkscape
2008-03-14 21:38 . 2008-03-18 22:57 <DIR> d-------- C:\Programme\GetRight
2008-03-14 21:38 . 2008-03-18 22:25 <DIR> d-------- C:\Downloads
2008-03-14 18:38 . 2008-03-16 20:19 83 --a------ C:\WINDOWS\Sam9_E.INI
2008-03-14 18:31 . 2008-03-14 18:31 <DIR> d-------- C:\Programme\MAGIX
2008-03-14 18:31 . 2006-03-31 15:57 430,080 --a------ C:\WINDOWS\system32\MXRestore.exe
2008-03-14 18:31 . 2007-04-27 10:43 120,200 --a------ C:\WINDOWS\system32\DLLDEV32i.dll
2008-03-14 18:02 . 2008-03-14 18:02 <DIR> d-------- C:\WINDOWS\usb-audio.dePhase26
2008-03-14 18:02 . 2008-03-14 18:02 <DIR> d-------- C:\TerraTec
2008-03-14 18:02 . 2008-03-14 18:02 <DIR> d-------- C:\Programme\TerraTec
2008-03-14 18:02 . 2002-01-05 13:48 974,848 --------- C:\WINDOWS\system32\mfc70.dll
2008-03-14 18:02 . 2002-01-05 12:40 487,424 --------- C:\WINDOWS\system32\msvcp70.dll
2008-03-14 18:02 . 2003-05-28 13:12 53,248 --a------ C:\WINDOWS\system32\TT_RIAA.ax
2008-03-14 18:00 . 2004-08-03 23:07 59,264 --a------ C:\WINDOWS\system32\drivers\USBAUDIO.sys
2008-03-14 18:00 . 2004-08-03 23:07 59,264 --a--c--- C:\WINDOWS\system32\dllcache\usbaudio.sys
2008-03-14 17:59 . 2003-10-30 22:27 313,216 --------- C:\WINDOWS\system32\drivers\PHASE26U.sys
2008-03-14 17:59 . 2002-12-18 16:08 29,729 --------- C:\WINDOWS\system32\drivers\ttp7up.sys
2008-03-14 17:59 . 2003-08-18 13:08 18,752 --a------ C:\WINDOWS\system32\drivers\Phase26m.sys
2008-03-08 13:20 . 2008-03-08 13:20 1,142 --a------ C:\WINDOWS\mozver.dat
2008-03-06 14:23 . 2002-12-18 11:23 115,016 -ra------ C:\WINDOWS\system32\MSINET.OCX
2008-03-06 14:22 . 2002-12-18 11:23 140,488 -ra------ C:\WINDOWS\system32\comdlg32.ocx
2008-03-06 14:22 . 2002-12-18 11:23 89,360 -ra------ C:\WINDOWS\system32\VB5DB.DLL
2008-03-06 14:22 . 2002-12-18 11:23 69,632 -ra------ C:\WINDOWS\system32\xmltok.dll
2008-03-06 14:22 . 2002-12-18 11:23 36,864 -ra------ C:\WINDOWS\system32\xmlparse.dll
2008-03-06 14:22 . 2002-12-18 11:23 35,840 -ra------ C:\WINDOWS\system32\comdlg32.oca
2008-03-06 14:22 . 2002-12-18 11:23 29,184 -ra------ C:\WINDOWS\system32\MSINET.oca
2008-03-06 14:22 . 2002-12-19 00:20 26,096 -ra------ C:\WINDOWS\system32\xmlinst.exe
2008-03-06 14:22 . 2002-12-18 11:23 24,576 -ra------ C:\WINDOWS\system32\msxml3a.dll
2008-03-06 14:18 . 2008-03-06 14:22 <DIR> d-------- C:\Programme\Ubi Soft
2008-03-05 15:10 . 2008-03-05 15:10 32 --a------ C:\WINDOWS\Sierra.ini
2008-03-05 15:09 . 2008-03-05 15:09 <DIR> d-------- C:\SIERRA
2008-03-05 15:09 . 2008-03-05 15:15 <DIR> d-------- C:\Programme\Sierra On-Line
2008-03-05 15:09 . 1998-01-23 12:20 305,664 --a------ C:\WINDOWS\IsUn0407.exe
2008-03-05 14:22 . 2008-03-05 14:22 <DIR> d-------- C:\Dokumente und Einstellungen\julian\Anwendungsdaten\Credential Manager
2008-03-02 21:50 . 2008-03-03 17:35 52 --a------ C:\WINDOWS\videodeLuxe.INI
2008-03-02 16:23 . 2008-03-02 16:23 <DIR> d-------- C:\Programme\MAGIX Online Druck Service
2008-03-02 16:21 . 2008-03-02 16:21 <DIR> d-------- C:\Programme\Gemeinsame Dateien\MAGIX Shared
2008-03-02 16:13 . 2008-03-02 16:22 <DIR> d-------- C:\MAGIX
2008-03-02 16:13 . 2007-06-19 16:26 667,648 --a------ C:\WINDOWS\system32\mgxoschk.dll
2008-03-02 16:13 . 1998-10-15 17:28 85,504 --a------ C:\WINDOWS\system32\HtmlWH.dll
2008-03-02 16:13 . 2008-03-14 18:38 5,937 --a------ C:\WINDOWS\mgxoschk.ini
2008-03-02 16:13 . 2008-03-02 16:13 85 --a------ C:\WINDOWS\magix.ini
2008-03-02 13:15 . 2008-03-02 13:15 <DIR> d-------- C:\WINDOWS\Sun
2008-03-02 11:47 . 2007-09-24 23:31 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-03-02 11:46 . 2008-03-02 11:47 <DIR> d-------- C:\Programme\Java
2008-03-02 11:46 . 2008-03-02 11:46 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Java
2008-03-02 11:39 . 2008-03-02 11:39 <DIR> d-------- C:\Programme\LEGO Company
2008-03-02 11:39 . 2008-03-02 11:39 <DIR> d-------- C:\Dokumente und Einstellungen\julian\Anwendungsdaten\LEGO Company
2008-03-01 14:58 . 2008-03-01 14:58 <DIR> d-------- C:\Programme\Projity Inc
2008-03-01 02:30 . 2008-03-01 02:30 <DIR> d-------- C:\Programme\MSXML 6.0
2008-03-01 02:30 . 2008-03-01 02:30 <DIR> d-------- C:\Programme\MSXML 4.0
2008-02-28 17:13 . 2008-03-16 18:15 <DIR> d-------- C:\Dokumente und Einstellungen\julian\Anwendungsdaten\AdobeUM
2008-02-27 21:37 . 2008-02-28 15:35 <DIR> d-------- C:\Programme\ICQ6
2008-02-27 11:50 . 2003-03-02 17:44 7,552 --a------ C:\WINDOWS\system32\drivers\enodpl.sys
2008-02-27 11:50 . 2003-04-19 00:32 4,736 --a------ C:\WINDOWS\system32\drivers\tandpl.sys
2008-02-27 11:47 . 2008-02-27 11:47 <DIR> d-------- C:\Programme\Ubisoft
2008-02-27 10:30 . 2008-02-27 10:30 <DIR> d-------- C:\Programme\Logitech
2008-02-27 10:30 . 2008-02-27 10:30 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Logitech
2008-02-25 22:52 . 2004-08-04 00:57 21,504 --a------ C:\WINDOWS\system32\hidserv.dll
2008-02-25 22:52 . 2004-08-04 00:57 21,504 --a--c--- C:\WINDOWS\system32\dllcache\hidserv.dll
2008-02-25 22:52 . 2001-08-18 04:22 12,288 --a------ C:\WINDOWS\system32\drivers\mouhid.sys
2008-02-25 22:52 . 2001-08-18 04:22 12,288 --a--c--- C:\WINDOWS\system32\dllcache\mouhid.sys
2008-02-25 22:52 . 2001-08-17 14:02 9,600 --a------ C:\WINDOWS\system32\drivers\hidusb.sys
2008-02-25 22:52 . 2001-08-17 14:02 9,600 --a--c--- C:\WINDOWS\system32\dllcache\hidusb.sys
2008-02-25 20:07 . 2008-02-25 20:07 <DIR> d-------- C:\Programme\WinSCP
2008-02-25 20:07 . 2008-03-18 22:34 600 --a------ C:\PUTTY.RND
2008-02-25 19:09 . 2008-02-25 19:09 13,646 --a------ C:\WINDOWS\system32\wpa.bak
2008-02-25 18:46 . 2008-02-25 18:46 <DIR> d-------- C:\Dokumente und Einstellungen\julian\Anwendungsdaten\Thunderbird
2008-02-25 17:37 . 2008-03-01 13:45 <DIR> d-------- C:\Dokumente und Einstellungen\julian\Anwendungsdaten\Dev-Cpp
2008-02-25 17:08 . 2008-02-25 17:08 403 --a------ C:\WINDOWS\ODBC.INI
2008-02-25 17:08 . 2008-02-25 17:08 63 --a------ C:\WINDOWS\mdm.ini
2008-02-25 17:07 . 2008-02-25 17:07 0 --a------ C:\WINDOWS\NSREX.INI
2008-02-25 17:04 . 2008-02-25 17:04 <DIR> d-------- C:\WINDOWS\ShellNew
2008-02-25 17:02 . 2008-02-25 17:02 <DIR> d-------- C:\Dokumente und Einstellungen\julian\Anwendungsdaten\Microsoft Web Folders
2008-02-25 16:52 . 2008-02-25 16:52 <DIR> d-------- C:\Dokumente und Einstellungen\julian\Anwendungsdaten\ATI
2008-02-25 16:52 . 2004-06-03 11:21 53,248 --a------ C:\WINDOWS\system32\cncilps0.dll
2008-02-25 16:52 . 2004-08-03 23:01 25,856 --a------ C:\WINDOWS\system32\drivers\usbprint.sys
2008-02-25 16:52 . 2004-08-03 23:01 25,856 --a--c--- C:\WINDOWS\system32\dllcache\usbprint.sys
2008-02-25 16:48 . 2008-02-27 16:47 <DIR> d-------- C:\Dokumente und Einstellungen\julian\Anwendungsdaten\Vodafone Mobile Connect
2008-02-25 16:45 . 2008-02-25 16:48 <DIR> d-------- C:\Dokumente und Einstellungen\julian\Anwendungsdaten\ICS
2008-02-25 16:45 . 2006-03-28 03:48 368,896 --a------ C:\WINDOWS\system32\drivers\SEMWL5.sys
2008-02-25 16:42 . 2008-02-25 16:42 <DIR> d-------- C:\Programme\Vodafone
2008-02-25 16:42 . 2008-02-25 16:42 8,464 --a------ C:\WINDOWS\system32\SpOrder.dll
2008-02-25 16:41 . 2008-02-25 16:41 <DIR> d-------- C:\Dokumente und Einstellungen\julian\Anwendungsdaten\Talkback
2008-02-25 16:41 . 2008-02-25 16:41 0 --a------ C:\WINDOWS\nsreg.dat
2008-02-25 16:19 . 2005-12-16 11:48 90,112 --------- C:\WINDOWS\system32\hpqnt.dll
2008-02-25 16:19 . 2006-05-12 13:44 45,056 --a------ C:\WINDOWS\system32\hpBat.cpl

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-16 15:52 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-03-05 14:15 4,608 ----a-w C:\WINDOWS\system32\w95inf32.dll
2008-02-25 16:02 --------- d-----w C:\Programme\microsoft frontpage
2008-02-25 15:41 --------- d-----w C:\Programme\Hewlett-Packard
2008-02-24 20:28 --------- d-----w C:\Programme\Gemeinsame Dateien\LightScribe
2008-02-24 20:25 --------- d-----w C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\Infineon
2008-02-24 20:25 --------- d-----w C:\Programme\HPQ
2008-02-24 20:24 --------- d-----w C:\Dokumente und Einstellungen\julian\Anwendungsdaten\Infineon
2008-02-24 20:24 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Infineon
2008-02-24 20:21 --------- d-----w C:\Programme\ProtectTools
2008-02-24 20:20 --------- d-----w C:\Programme\InterVideo
2008-02-24 20:19 1,638 --sha-r C:\WINDOWS\system32\drivers\103C_HP_NTBK_HP Compaq nx6325 (EY343EA#ABD)_YN_0U_QCNU6340FYR_EU_46_I30B0_SHP_VKBC Version 40.15_B68TT2 Ver. F.02_T060706_WXH2_L407_M896_J60_7AMD_8Sempron_91.8_#080224_N14E4169C_(EY343EA#ABD)_XMOBILE_CN10_Z_2F.02.MRK
2008-02-24 20:17 --------- d-----w C:\Programme\DIFX
2008-02-24 20:15 --------- d-----w C:\Programme\Texas Instruments Inc
2008-02-24 20:13 --------- d-----w C:\Programme\Broadcom
2008-02-24 20:11 --------- d-----w C:\Programme\NetWaiting
2008-02-24 20:11 --------- d-----w C:\Programme\CONEXANT
2008-02-24 20:09 --------- d-----w C:\Programme\Synaptics
2008-02-24 20:09 --------- d-----w C:\Programme\Fingerprint Sensor
2008-02-24 20:07 --------- d-----w C:\Programme\Analog Devices
2008-02-24 20:01 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2008-02-24 19:40 --------- d-----w C:\Programme\Online-Dienste
2008-02-24 19:39 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste
2003-10-30 21:27 313,216 ------w C:\WINDOWS\inf\PHASE26U.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\TortoiseCVS0]
@={5d1cb710-1c4b-11d4-bed5-005004b1f42f}

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\TortoiseCVS1]
@={5d1cb711-1c4b-11d4-bed5-005004b1f42f}

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\TortoiseCVS2]
@={5d1cb712-1c4b-11d4-bed5-005004b1f42f}

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\TortoiseCVS3]
@={5d1cb713-1c4b-11d4-bed5-005004b1f42f}

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\TortoiseCVS4]
@={5d1cb714-1c4b-11d4-bed5-005004b1f42f}

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\TortoiseCVS5]
@={5d1cb715-1c4b-11d4-bed5-005004b1f42f}

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\TortoiseCVS6]
@={5d1cb716-1c4b-11d4-bed5-005004b1f42f}

[HKEY_CLASSES_ROOT\CLSID\{5d1cb710-1c4b-11d4-bed5-005004b1f42f}]
2007-03-15 21:50 1073152 --a------ C:\Programme\TortoiseCVS\TrtseShl.dll

[HKEY_CLASSES_ROOT\CLSID\{5d1cb711-1c4b-11d4-bed5-005004b1f42f}]
2007-03-15 21:50 1073152 --a------ C:\Programme\TortoiseCVS\TrtseShl.dll

[HKEY_CLASSES_ROOT\CLSID\{5d1cb712-1c4b-11d4-bed5-005004b1f42f}]
2007-03-15 21:50 1073152 --a------ C:\Programme\TortoiseCVS\TrtseShl.dll

[HKEY_CLASSES_ROOT\CLSID\{5d1cb713-1c4b-11d4-bed5-005004b1f42f}]
2007-03-15 21:50 1073152 --a------ C:\Programme\TortoiseCVS\TrtseShl.dll

[HKEY_CLASSES_ROOT\CLSID\{5d1cb714-1c4b-11d4-bed5-005004b1f42f}]
2007-03-15 21:50 1073152 --a------ C:\Programme\TortoiseCVS\TrtseShl.dll

[HKEY_CLASSES_ROOT\CLSID\{5d1cb715-1c4b-11d4-bed5-005004b1f42f}]
2007-03-15 21:50 1073152 --a------ C:\Programme\TortoiseCVS\TrtseShl.dll

[HKEY_CLASSES_ROOT\CLSID\{5d1cb716-1c4b-11d4-bed5-005004b1f42f}]
2007-03-15 21:50 1073152 --a------ C:\Programme\TortoiseCVS\TrtseShl.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 13:00 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAXPnP"="C:\Programme\Analog Devices\Core\smax4pnp.exe" [2005-05-20 09:11 925696]
"SoundMAX"="C:\Programme\Analog Devices\SoundMAX\Smax4.exe" [2005-05-06 15:06 716800]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2006-03-31 16:01 761946]
"QlbCtrl"="C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2006-06-19 11:33 163840]
"PTHOSTTR"="C:\Programme\Hewlett-Packard\HP ProtectTools Security Manager\PTHOSTTR.exe" [2006-06-08 14:02 131072]
"CognizanceTS"="C:\PROGRA~1\HPQ\IAM\Bin\AsTsVcc.dll" [2003-12-22 18:12 17920]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-08-31 12:25 249896]
"ATICCC"="C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-05-10 11:12 90112]
"Launch LGDCore"="C:\Programme\Logitech\G-series Software\LGDCore.exe" [2006-03-06 16:31 1122304]
"Launch LCDMon"="C:\Programme\Logitech\G-series Software\LCDMon.exe" [2006-03-06 16:14 497152]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 13:00 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\DeviceNP]
DeviceNP.dll 2006-01-12 14:05 49152 C:\WINDOWS\system32\DeviceNP.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\IfxWlxEN]
IfxWlxEN.dll 2006-03-03 15:08 434176 C:\WINDOWS\system32\IfxWlxEN.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\OneCard]
C:\Programme\HPQ\IAM\Bin\AsWlnPkg.dll 2005-07-25 18:41 40960 C:\Programme\HPQ\IAM\Bin\AsWlnPkg.dll

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Acrobat Assistant.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Acrobat Assistant.lnk
backup=C:\WINDOWS\pss\Acrobat Assistant.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Gamma Loader.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma Loader.lnk
backup=C:\WINDOWS\pss\Adobe Gamma Loader.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^DVD Check.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\DVD Check.lnk
backup=C:\WINDOWS\pss\DVD Check.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^PHASE 26 USB ControlPanel.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\PHASE 26 USB ControlPanel.lnk
backup=C:\WINDOWS\pss\PHASE 26 USB ControlPanel.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Cpqset]
--a------ 2006-04-21 09:30 40960 C:\Programme\Hewlett-Packard\Default Settings\cpqset.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\hpWirelessAssistant]
--a------ 2006-03-28 14:13 454656 C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2007-09-25 01:11 132496 C:\Programme\Java\jre1.6.0_03\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WatchDog]
--a------ 2006-03-31 13:58 184320 C:\Programme\InterVideo\DVD Check\DVDCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"LightScribeService"=2 (0x2)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"D:\\xampp\\apache\\bin\\apache.exe"=
"C:\\Programme\\WinSCP\\WinSCP.exe"=
"C:\\Programme\\Ubisoft\\XIII\\system\\XIII.exe"=
"C:\\Programme\\Mozilla Firefox\\firefox.exe"=

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2007-07-18 14:22]
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2007-08-09 13:04]
R1 PersonalSecureDrive;PersonalSecureDrive;C:\WINDOWS\system32\drivers\psd.sys [2005-11-29 16:56]
R2 ASChannel;Lokaler Verbindungskanal;C:\WINDOWS\System32\svchost.exe [2004-08-04 13:00]
R3 IFXTPM;IFXTPM;C:\WINDOWS\system32\DRIVERS\IFXTPM.SYS [2005-10-21 11:19]
R3 NWADI;NWADI Bus Enumerator;C:\WINDOWS\system32\DRIVERS\NWADIenum.sys [2006-11-07 09:32]
S3 FLCDLOCK;HP ProtectTools Device Locking / Auditing;C:\WINDOWS\system32\flcdlock.exe [2006-02-28 16:46]
S3 MagixASIODrv;MAGIX_ASIO_BoostDriver;C:\Programme\MAGIX\Samplitude_SE_No9\mxasio.sys [2002-04-16 12:10]
S3 PCASp50;PCASp50 NDIS Protocol Driver;C:\WINDOWS\system32\Drivers\PCASp50.sys []
S3 Phase26;PHASE26 WDM Audio;C:\WINDOWS\system32\drivers\Phase26m.sys [2003-08-18 13:08]
S3 PHASE26U;ASIO Driver for TerraTec PHASE 26 USB;C:\WINDOWS\system32\Drivers\PHASE26U.sys [2003-10-30 22:27]
S3 TSClient;Tatara Protocol Driver;C:\WINDOWS\system32\drivers\tsclient.sys [2005-11-30 22:20]
S3 UnlockerDriver4;UnlockerDriver4 Driver;C:\Programme\Unlocker\UnlockerDriver4.sys [2005-08-21 22:27]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
Cognizance REG_MULTI_SZ ASChannel

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-19 15:15:19
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\PSSdk23]
"ImagePath"="\??\C:\WINDOWS\system32\Drivers\PsSdk23.drv"
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\Programme\HPQ\IAM\bin\1031\TpmAuth.dll
.
Zeit der Fertigstellung: 2008-03-19 15:16:03
ComboFix-quarantined-files.txt 2008-03-19 14:15:45
ComboFix2.txt 2008-03-18 16:34:22
ComboFix3.txt 2008-03-17 20:13:25
.
2008-03-03 14:16:36 --- E O F ---