Combo-Fix funktioniert nicht mehr

#16 scanne mit kaspersky und poste den Report
http://board.protecus.de/t8642.htm

(das Problem mit den Laufwerksbuchstaben..da wende dich woanders hin, ich bin nur fuer die Viren zustaendig)
__________
MfG Sabina

rund um die PC-Sicherheit

#17 Hier ist der Kaperski Log.

Dienstag, 1. April 2008 02:34:13
Betriebssystem: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.98.1
Letztes Update der Antiviren-Datenbanken: 31/03/2008
Anzahl der Einträge in den Antiviren-Datenbanken: 605563
Scan-Einstellungen
Folgende Antiviren-Datenbanken zur Untersuchung verwenden Standard
Archive untersuchen ja
Mail-Datenbanken untersuchen nein
Untersuchungsobjekt Arbeitsplatz
A:\
C:\
D:\
E:\
F:\
G:\
H:\
I:\
J:\
K:\
L:\
M:\
Untersuchungsergebnisse
Untersuchte Objekte insgesamt 390976
Viren gefunden 2
Infizierte Objekte gefunden 5
Verdächtige Objekte gefunden 0
Untersuchungszeit 07:41:49

Name des infizierten Objekts Virusname Letzte Aktion
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\udo\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\udo\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\udo\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\udo\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\udo\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\udo\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008033120080401\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\udo\ntuser.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\udo\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\logs\starwind.2008-03-31.14-57-47.log Das Objekt ist gesperrt übersprungen
C:\Programme\G DATA InternetSecurity\Firewall\GDFwSvc.dat Das Objekt ist gesperrt übersprungen
C:\Programme\G DATA InternetSecurity\Firewall\GDFwSvc.ldb Das Objekt ist gesperrt übersprungen
C:\Programme\G DATA InternetSecurity\Firewall\GDFwSys.dat Das Objekt ist gesperrt übersprungen
C:\Programme\G DATA InternetSecurity\Firewall\GDFwSys.ldb Das Objekt ist gesperrt übersprungen
C:\Programme\G DATA InternetSecurity\Firewall\LiveStrm.dat Das Objekt ist gesperrt übersprungen
C:\Programme\G DATA InternetSecurity\Firewall\LiveStrm.ldb Das Objekt ist gesperrt übersprungen
C:\Programme\G DATA InternetSecurity\Firewall\Modules.dat Das Objekt ist gesperrt übersprungen
C:\Programme\G DATA InternetSecurity\Firewall\Modules.ldb Das Objekt ist gesperrt übersprungen
C:\Programme\G DATA InternetSecurity\Firewall\Protocol.dat Das Objekt ist gesperrt übersprungen
C:\Programme\G DATA InternetSecurity\Firewall\Protocol.ldb Das Objekt ist gesperrt übersprungen
C:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
C:\System Volume Information\_restore{6ED129E2-0734-41DE-9339-F789E64B73A1}\RP63\change.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\DEFAULT.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SOFTWARE.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SYSTEM.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\drivers\sptd.sys Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\drivers\vaxscsi.sys Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\mmf.sys Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Temp\AvkHttp00001228.tmp Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Temp\AvkHttp00001376.tmp Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Temp\AvkHttp00001828.tmp Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Temp\AvkHttp00002132.tmp Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Temp\AvkHttp00002488.tmp Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Temp\AvkHttp00002720.tmp Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Temp\AvkHttp00003216.tmp Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Temp\AvkHttp00003528.tmp Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Temp\AvkHttp00003636.tmp Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Temp\AvkHttp00004616.tmp Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Temp\AvkHttp00004844.tmp Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Temp\JETD88.tmp Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Temp\JETF7BD.tmp Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Temp\JETFAFA.tmp Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Temp\JETFEB3.tmp Das Objekt ist gesperrt übersprungen
C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen
L:\ISO_Downloads_Games\Startegic.Command.Blitzkrieg_iso\gly-sc2b.iso/GLAMOURY/Strategic_Command_2_Blitzkrieg_v104_Patch.exe Infizierte Objekte: Trojan-Downloader.Win32.Agent.ayi übersprungen
L:\ISO_Downloads_Games\Startegic.Command.Blitzkrieg_iso\gly-sc2b.iso ISOimage: infiziert - 1 übersprungen
L:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
L:\µtorrent2DL\Crysis_O_Patch.rar/exe/wupdtmngr.exe Infizierte Objekte: Trojan-Downloader.Win32.IstBar.gen übersprungen
L:\µtorrent2DL\Crysis_O_Patch.rar/exe Infizierte Objekte: Trojan-Downloader.Win32.IstBar.gen übersprungen
L:\µtorrent2DL\Crysis_O_Patch.rar RAR: infiziert - 2 übersprungen

Die Untersuchung wurde abgeschlossen.

#18 Hallo,

«
schau nach, was du da an Cracks geladen hast...und dir mittendrin Trojaner auf den Rechner geholt
Crysis_O_Patch.rar
Strategic_Command_2_Blitzkrieg_v104_Patch.exe

«
sdfix
scanne, muss im abgesicherten Modus sein + poste den report
http://www.virus-protect.org/artikel/tools/sdfix.html
__________
MfG Sabina

rund um die PC-Sicherheit

#19 Hier ist der verlangte Log. Was ist mit den beiden Files: Crysis u. Strategic Command sind die nun gesäubert oder soll ich die noch manuell löschen?

SDFix: Version 1.165

Run by cdq on 01.04.2008 at 11:15

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\DOWNLO~2\ANTISP~1.PRO\SDFix

Checking Services :


Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting


Checking Files :

No Trojan Files Found






Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1344.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-01 11:36:02
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000000
"khjeh"=hex:cb,57,2c,c6,26,63,6c,8b,7a,10,b8,ab,d7,8b,f7,cb,f7,5c,67,ab,ae,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"p0"="C:\Programme\Alcohol Soft\Alcohol 120\"
"h0"=dword:00000001
"ujdew"=hex:76,12,47,e1,0a,71,74,12,af,44,7f,47,09,44,74,45,a6,91,10,3b,12,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000000
"khjeh"=hex:bb,8b,4f,40,64,e0,46,f3,62,27,f5,80,5d,3c,f4,20,24,14,e1,29,b5,..
"p0"="C:\Programme\DAEMON Tools\"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,2b,d8,df,f1,80,4a,7f,76,e7,68,bd,d1,2d,46,6e,25,7d,..
"khjeh"=hex:21,d8,46,da,0f,e9,dc,9b,50,df,58,e9,f1,51,31,ea,89,5b,b7,9b,d3,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:83,28,b0,4e,b8,bb,ff,51,f1,09,b0,b6,34,4d,10,32,59,a0,28,60,1c,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41]
"khjeh"=hex:5e,65,b1,13,8f,21,e7,14,8a,1d,f4,82,33,c9,bf,f0,a8,5c,a0,5d,6b,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42]
"khjeh"=hex:eb,17,d1,12,41,d5,2c,ab,4a,2d,9e,a1,00,d5,28,a2,79,fe,2e,7a,b1,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf43]
"khjeh"=hex:e2,d6,fe,da,19,4c,3b,3e,49,27,34,3e,7f,b8,fb,06,cf,2e,f9,36,ad,..
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:f05812a9
"s2"=dword:a14ef13d
"h0"=dword:00000002

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"p0"="C:\Programme\Alcohol Soft\Alcohol 120\"
"h0"=dword:00000001
"ujdew"=hex:76,12,47,e1,0a,71,74,12,af,44,7f,47,09,44,74,45,a6,91,10,3b,12,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000000
"khjeh"=hex:bb,8b,4f,40,64,e0,46,f3,62,27,f5,80,5d,3c,f4,20,24,14,e1,29,b5,..
"p0"="C:\Programme\DAEMON Tools\"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,2b,d8,df,f1,80,4a,7f,76,e7,68,bd,d1,2d,46,6e,25,7d,..
"khjeh"=hex:21,d8,46,da,0f,e9,dc,9b,50,df,58,e9,f1,51,31,ea,89,5b,b7,9b,d3,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:83,28,b0,4e,b8,bb,ff,51,f1,09,b0,b6,34,4d,10,32,59,a0,28,60,1c,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41]
"khjeh"=hex:5e,65,b1,13,8f,21,e7,14,8a,1d,f4,82,33,c9,bf,f0,a8,5c,a0,5d,6b,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42]
"khjeh"=hex:eb,17,d1,12,41,d5,2c,ab,4a,2d,9e,a1,00,d5,28,a2,79,fe,2e,7a,b1,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf43]
"khjeh"=hex:e2,d6,fe,da,19,4c,3b,3e,49,27,34,3e,7f,b8,fb,06,cf,2e,f9,36,ad,..

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :



Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\\Programme\\uTorrent\\uTorrent.exe"="C:\\Programme\\uTorrent\\uTorrent.exe:*:Enabled:æTorrent"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

Remaining Files :


File Backups: - C:\DOWNLO~2\ANTISP~1.PRO\SDFix\backups\backups.zip

Files with Hidden Attributes :

Sun 1 Jul 2007 91,648 A..HR --- "C:\Dokumente und Einstellungen\Fabio Daten\~WRL0004.tmp"
Sat 23 Feb 2008 436,736 ...H. --- "C:\Dokumente und Einstellungen\Fabio Daten\~WRL0663.tmp"
Sat 23 Feb 2008 473,600 ...H. --- "C:\Dokumente und Einstellungen\Fabio Daten\~WRL0961.tmp"
Sat 23 Feb 2008 142,848 ...H. --- "C:\Dokumente und Einstellungen\Fabio Daten\~WRL1381.tmp"
Sun 1 Jul 2007 140,800 A..HR --- "C:\Dokumente und Einstellungen\Fabio Daten\~WRL1389.tmp"
Sun 1 Jul 2007 142,848 A..HR --- "C:\Dokumente und Einstellungen\Fabio Daten\~WRL1473.tmp"
Sat 23 Feb 2008 295,936 ...H. --- "C:\Dokumente und Einstellungen\Fabio Daten\~WRL1986.tmp"
Sat 23 Feb 2008 303,616 ...H. --- "C:\Dokumente und Einstellungen\Fabio Daten\~WRL2082.tmp"
Sat 23 Feb 2008 88,576 ...H. --- "C:\Dokumente und Einstellungen\Fabio Daten\~WRL2720.tmp"
Sat 23 Feb 2008 198,656 ...H. --- "C:\Dokumente und Einstellungen\Fabio Daten\~WRL3365.tmp"
Sat 23 Feb 2008 394,752 ...H. --- "C:\Dokumente und Einstellungen\Fabio Daten\~WRL4074.tmp"
Mon 28 Jan 2008 1,404,240 A.SHR --- "C:\Programme\Spybot - Search & Destroy\SDUpdate.exe"
Mon 28 Jan 2008 5,146,448 A.SHR --- "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe"
Mon 28 Jan 2008 2,097,488 A.SHR --- "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe"
Tue 1 Apr 2008 1,273 A.SH. --- "C:\WINDOWS\system32\mmf.sys"
Fri 29 Feb 2008 4,348 ..SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\DRMv1.bak"
Thu 13 Dec 2007 24,064 A..H. --- "C:\Dokumente und Einstellungen\Fabio Daten\1.Fabio Dateien\Firefox AnwendungsHilfe\~WRL0001.tmp"
Tue 25 Mar 2008 3,047 ...HR --- "C:\Dokumente und Einstellungen\udo\Anwendungsdaten\SecuROM\UserData\securom_v7_01.bak"

Finished!

#20 ««
Versteckte - und Systemdateien sichtbar machen
http://www.virus-protect.org/invisible.html

««
http://www.virustotal.com/de/
Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren

C:\WINDOWS\system32\mmf.sys

------------------
__________
MfG Sabina

rund um die PC-Sicherheit

#21 Meinst Du das ich diese Datei: "C:\WINDOWS\system32\mmf.sys" uploaden soll, wenn ja dann klappt bei mir was nicht. Da mkommen keine Daten von mir an. Diese Meldung erscheint, sprich 0 bytes empfangen

0 bytes size received / Se ha recibido un archivo vacio[/i]

#22 noch mal:
wende comboscan an + poste die 2 logs
http://www.virus-protect.org/artikel/tools/comboscan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#23 Komisch, diesmal kommt als Log nur der main.txt, der extra.txt kommt nicht nach dem Scan. Habe auch schon unter "C:\Deckard\System Scanner" geguckt dort war aber nur der extra.txt Log vom allerersten Scan drinnen.
Hier ist aufjedenfalls erstmal der main.txt

Deckard's System Scanner v20071014.68
Run by cdq on 2008-04-01 18:27:40
Computer is in Normal Mode.
--------------------------------------------------------------------------------

[color=red]System Drive C: has 7.6 GiB (less than 15%) free.[/color]


-- HijackThis (run as cdq.exe) -------------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:28:04, on 01.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Downloads 2\aawservice.exe
C:\Programme\G DATA InternetSecurity\AVK\AVKService.exe
C:\Programme\G DATA InternetSecurity\AVK\AVKWCtl.exe
C:\WINDOWS\runservice.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
C:\Programme\G DATA InternetSecurity\Firewall\GDFwSvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\G DATA InternetSecurity\AVKTray\AVKTray.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\G DATA InternetSecurity\Firewall\GDFirewallTray.exe
C:\WINDOWS\system32\devldr32.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\downloadsaTools\Anti.Spyware.Programme\Comboscan\dss.exe
C:\DOWNLO~2\ANTISP~1.PRO\HJT\cdq.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: G DATA WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA InternetSecurity\Webfilter\AVKWebIE.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O3 - Toolbar: G DATA WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA InternetSecurity\Webfilter\AVKWebIE.dll
O3 - Toolbar: (no name) - {2D1DDD38-CE4D-459b-A01C-F11BC92D5B69} - (no file)
O3 - Toolbar: (no name) - {FF284F5C-7CF9-4682-8701-D467C1DBB99F} - (no file)
O4 - HKLM\..\Run: [AVKTray] "C:\Programme\G DATA InternetSecurity\AVKTray\AVKTray.exe"
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: G DATA Firewall Tray.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {97DA4D3F-8ED0-4544-954D-9D9B037237F8} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {97DA4D3F-8ED0-4544-954D-9D9B037237F8} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (file missing) (HKCU)
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {512FC5A1-7DE1-43F1-BC0C-371622FCB409} - http://www.nanoscan.com/as/cabs/ascstubie.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{AF1BA366-D24C-4A7E-94F7-784D643C8C05}: NameServer = 192.168.2.1
O20 - AppInit_DLLs:
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Downloads 2\aawservice.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVKProxy - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: AVK Service (AVKService) - G DATA Software AG - C:\Programme\G DATA InternetSecurity\AVK\AVKService.exe
O23 - Service: AVK Wächter (AVKWCtl) - G DATA Software AG - C:\Programme\G DATA InternetSecurity\AVK\AVKWCtl.exe
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: G DATA Personal Firewall (GDFwSvc) - G DATA Software AG - C:\Programme\G DATA InternetSecurity\Firewall\GDFwSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LicCtrl Service (LicCtrlService) - Unknown owner - C:\WINDOWS\runservice.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XIIc\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XIIc\RpcSandraSrv.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 6691 bytes

-- Files created between 2008-03-01 and 2008-04-01 -----------------------------

2008-04-01 17:27:18 0 d-------- C:\Programme\RivaTuner v2.08
2008-04-01 16:21:17 0 d-------- C:\Programme\TuneUp Utilities 2008
2008-04-01 16:11:48 0 dr-h----- C:\Dokumente und Einstellungen\udo\Recent
2008-04-01 11:12:36 0 d-------- C:\WINDOWS\ERUNT
2008-03-31 16:05:42 0 d-------- C:\WINDOWS\system32\Kaspersky Lab
2008-03-31 15:28:34 0 d--h----- C:\WINDOWS\Icons
2008-03-28 22:43:12 0 d-------- C:\WINDOWS\BDOSCAN8
2008-03-27 14:39:59 0 d-------- C:\Programme\Panda Security
2008-03-27 12:29:04 68096 --a------ C:\WINDOWS\system32\zip.exe
2008-03-27 12:29:04 98816 --a------ C:\WINDOWS\system32\sed.exe
2008-03-27 12:29:04 80412 --a------ C:\WINDOWS\system32\grep.exe
2008-03-27 12:29:04 73728 --a------ C:\WINDOWS\system32\fdsv.exe <Not Verified; Smallfrogs Studio; >
2008-03-26 00:47:11 0 d-------- C:\Downloads 2
2008-03-24 13:54:09 0 d-------- C:\Programme\Gemeinsame Dateien\EZB Systems
2008-03-24 13:32:04 96256 --a------ C:\WINDOWS\system32\drivers\mcdbus.sys <Not Verified; MagicISO, Inc.; MagicISO SCSI Host Controller>
2008-03-24 13:32:04 0 d-------- C:\Programme\MagicDisc
2008-03-17 15:43:58 0 d-------- C:\Programme\UseNeXT
2008-03-16 10:28:00 0 d-------- C:\Programme\Taldren
2008-03-11 23:13:01 139 --a------ C:\WINDOWS\system32\wintrust32.bin
2008-03-11 14:22:07 0 d-------- C:\WINDOWS\desktop
2008-03-11 10:05:26 1273 --ahs---- C:\WINDOWS\system32\mmf.sys
2008-03-11 10:05:25 2560 --a------ C:\WINDOWS\Runservice.exe
2008-03-11 10:05:25 48640 --a------ C:\WINDOWS\mmfs.dll
2008-03-11 10:04:11 134 --a------ C:\WINDOWS\system32\dxwizard.bin
2008-03-10 18:02:31 0 d-------- C:\Programme\Empire Interactive
2008-03-08 23:19:01 0 d-------- C:\vom_Quellcomputer
2008-03-08 23:08:31 0 d-------- C:\Programme\Microsoft
2008-03-07 15:55:59 0 d-------- C:\Programme\Hurrican
2008-03-07 10:10:58 159454 --a------ C:\WINDOWS\Imperium Romanum Uninstaller.exe
2008-03-07 09:41:01 0 d-------- C:\Programme\ProtectDisc Driver Installer
2008-03-06 02:59:29 0 d-------- C:\WINDOWS\83F12F73D52E40C093B1463C311C4E17.TMP
2008-03-03 17:01:00 0 d-------- C:\Westwood
2008-03-02 00:34:40 0 d-------- C:\Programme\SSI


-- Find3M Report ---------------------------------------------------------------

2008-04-01 16:20:20 0 d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-04-01 16:11:28 0 d-------- C:\Dokumente und Einstellungen\udo\Anwendungsdaten\uTorrent
2008-03-30 07:22:43 415470 --a------ C:\WINDOWS\system32\perfh007.dat
2008-03-30 07:22:43 74996 --a------ C:\WINDOWS\system32\perfc007.dat
2008-03-29 14:31:55 0 d-------- C:\Dokumente und Einstellungen\udo\Anwendungsdaten\AdobeUM
2008-03-29 00:43:41 0 d-------- C:\Programme\DAEMON Tools
2008-03-27 16:17:40 0 d-------- C:\Dokumente und Einstellungen\udo\Anwendungsdaten\Adobe
2008-03-24 14:04:35 0 d-------- C:\Programme\MagicISO
2008-03-24 13:54:09 0 d-------- C:\Programme\UltraISO
2008-03-24 13:54:09 0 d-------- C:\Programme\Gemeinsame Dateien
2008-03-24 01:00:10 0 d--h----- C:\Programme\InstallShield Installation Information
2008-03-17 15:44:20 0 d-------- C:\Dokumente und Einstellungen\udo\Anwendungsdaten\UseNeXT
2008-03-17 11:56:30 0 d-------- C:\Dokumente und Einstellungen\udo\Anwendungsdaten\My Battle for Middle-earth(tm) II Files
2008-03-08 11:51:27 25192 --a------ C:\Dokumente und Einstellungen\udo\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2008-03-07 15:09:48 0 d-------- C:\Programme\CCleaner
2008-03-07 10:04:56 0 d-------- C:\Dokumente und Einstellungen\udo\Anwendungsdaten\Imperium Romanum
2008-03-04 09:19:49 0 d-------- C:\Programme\Winamp
2008-02-27 15:48:23 0 d-------- C:\Programme\Smart Projects
2008-02-26 23:13:30 0 d-------- C:\Programme\Paradox Interactive
2008-02-25 19:28:44 73216 --a------ C:\WINDOWS\ST6UNST.EXE <Not Verified; Microsoft Corporation; Microsoft® Visual Basic for Windows>
2008-02-23 15:59:04 0 d-------- C:\Programme\FireTune
2008-02-23 15:58:37 737280 --a------ C:\WINDOWS\iun6002.exe <Not Verified; Indigo Rose Corporation; Setup Factory 6.0 Runtime Module>
2008-02-22 19:50:15 0 d-------- C:\Programme\Microsoft Games
2008-02-11 21:17:42 2560 --a------ C:\WINDOWS\_MSRSTRT.EXE
2008-02-09 13:47:31 3455 --a------ C:\WINDOWS\unins000.dat
2008-02-09 13:46:28 691545 --a------ C:\WINDOWS\unins000.exe
2008-02-08 09:35:07 214 --a------ C:\WINDOWS\PowerReg.dat
2008-02-07 18:10:45 0 d-------- C:\Programme\Google
2008-02-04 10:55:26 0 d-------- C:\Dokumente und Einstellungen\udo\Anwendungsdaten\FireShot
2008-02-04 10:37:14 0 d-------- C:\Programme\Winamp Remote
2008-01-28 14:06:45 114688 --a------ C:\WINDOWS\system32\OpenAL32.dll <Not Verified; Portions (C) Creative Labs Inc. and NVIDIA Corp.; Standard OpenAL(TM) Library>
2008-01-19 03:59:15 43520 --a------ C:\WINDOWS\system32\CmdLineExt03.dll
2008-01-09 16:01:48 53248 --a------ C:\WINDOWS\bdoscandel.exe


-- Registry Dump ---------------------------------------------------------------

*Note* empty entries & legit default entries are not shown


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AVKTray"="C:\Programme\G DATA InternetSecurity\AVKTray\AVKTray.exe" [23.01.2007 14:15]
"DAEMON Tools"="C:\Programme\DAEMON Tools\daemon.exe" [14.09.2006 22:09]

C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\
G DATA Firewall Tray.lnk - C:\Programme\G DATA InternetSecurity\Firewall\GDFirewallTray.exe [02.05.2007 16:42:28]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"HideLegacyLogonScripts"=0 (0x0)
"HideLogoffScripts"=0 (0x0)
"RunLogonScriptSync"=1 (0x1)
"RunStartupScriptSync"=1 (0x1)
"HideStartupScripts"=0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"NoSecCpl"=0 (0x0)
"DisableChangePassword"=0 (0x0)
"DisableLockWorkstation"=0 (0x0)
"HideLegacyLogonScripts"=0 (0x0)
"HideLogoffScripts"=0 (0x0)
"RunLogonScriptSync"=1 (0x1)
"RunStartupScriptSync"=1 (0x1)
"HideStartupScripts"=0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoManageMyComputerVerb"=0 (0x0)
"NoLowDiskSpaceChecks"=0 (0x0)
"NoStartMenuPinnedList"=0 (0x0)
"NoStartMenuMFUprogramsList"=0 (0x0)
"NoUserNameInStartMenu"=0 (0x0)
"NoStartMenuSubFolders"=0 (0x0)
"NoCommonGroups"=0 (0x0)
"NoRecentDocsMenu"=0 (0x0)
"ClearRecentDocsOnExit"=0 (0x0)
"NoPrinterTabs"=0 (0x0)
"NoDeletePrinter"=0 (0x0)
"NoAddPrinter"=0 (0x0)
"NoPrinters"=0 (0x0)
"NoNetworkConnections"=0 (0x0)
"NoFavoritesMenu"=0 (0x0)
"NoSMHelp"=0 (0x0)
"NoChangeStartMenu"=0 (0x0)
"NoFileMenu"=0 (0x0)
"NoToolbarCustomize"=0 (0x0)
"NoRecentDocsNetHood"=0 (0x0)
"NoChangeAnimation"=0 (0x0)
"NoChangeKeyboardNavigationIndicators"=0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"appinit_dlls"=

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vds]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{533C5B84-EC70-11D2-9505-00C04F79DEAF}]
@="Volume shadow copy"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
"ISUSPM Startup"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -startup

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{44eabd88-ebae-11dc-b39b-00138f3d5863}]
AutoRun\command- I:\alliance.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f6057a4c-eef9-11dc-b3af-00138f3d5863}]
AutoRun\command- J:\autorun.exe




-- End of Deckard's System Scanner: finished at 2008-04-01 18:28:34 ------------
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXx

EDIT: Hier ist nochmal der Combofix.Log. Wie verlangt.
Und danke nochmal für die sehr schnelle PN-Antwort. Du hast sicher ne Menge zu tun, find ich echt gut das Du Dir die Zeit nimmst zu helfen.

ComboFix 08-04-01.2 - cdq 2008-04-02 12:11:03.7 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.499 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\udo\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.
TimedOut: Windir.dat

((((((((((((((((((((((( Dateien erstellt von 2008-03-02 bis 2008-04-02 ))))))))))))))))))))))))))))))
.

2008-04-02 09:27 . 2008-04-02 09:27 <DIR> d-------- C:\Programme\7-Zip
2008-04-01 23:47 . 2008-04-01 23:49 <DIR> d-------- C:\Programme\DAEMON Tools Pro
2008-04-01 23:47 . 2008-04-01 23:47 <DIR> d-------- C:\Dokumente und Einstellungen\udo\Anwendungsdaten\DAEMON Tools Pro
2008-04-01 23:11 . 2008-04-01 23:48 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DAEMON Tools Pro
2008-04-01 19:54 . 2008-04-01 19:54 4,576 --a------ C:\WINDOWS\fred2_open_3_6_9.INI
2008-04-01 17:27 . 2008-04-01 17:27 <DIR> d-------- C:\Programme\RivaTuner v2.08
2008-04-01 16:21 . 2008-04-01 16:21 <DIR> d-------- C:\Programme\TuneUp Utilities 2008
2008-04-01 16:21 . 2008-04-01 16:21 307,968 --a------ C:\WINDOWS\system32\TuneUpDefragService.exe
2008-04-01 16:21 . 2008-02-18 04:32 28,416 --a------ C:\WINDOWS\system32\uxtuneup.dll
2008-04-01 11:12 . 2008-04-01 11:12 <DIR> d-------- C:\WINDOWS\ERUNT
2008-03-31 16:05 . 2008-03-31 16:05 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab
2008-03-31 16:05 . 2008-03-31 16:05 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-03-31 15:28 . 2008-03-31 15:30 <DIR> d--h----- C:\WINDOWS\Icons
2008-03-30 08:42 . 2008-03-30 08:43 <DIR> d-------- C:\Dokumente und Einstellungen\Fabio Daten\PROTECUS.FORUM.LOG's
2008-03-28 22:43 . 2008-03-29 06:15 <DIR> d-------- C:\WINDOWS\BDOSCAN8
2008-03-28 11:22 . 2008-03-28 11:29 <DIR> d-------- C:\fixwareout
2008-03-27 17:18 . 2008-03-27 18:12 <DIR> d-------- C:\Dokumente und Einstellungen\Fabio Daten\Virenfunde
2008-03-27 14:39 . 2008-03-27 14:40 <DIR> d-------- C:\Programme\Panda Security
2008-03-26 00:47 . 2008-03-26 12:51 <DIR> d-------- C:\Downloads 2
2008-03-24 17:36 . 2008-03-27 17:19 <DIR> d-------- C:\Dokumente und Einstellungen\Fabio Daten\Papas Dateien
2008-03-24 13:54 . 2008-03-24 13:54 <DIR> d-------- C:\Programme\Gemeinsame Dateien\EZB Systems
2008-03-24 13:54 . 2008-03-24 13:54 <DIR> d-------- C:\Dokumente und Einstellungen\Fabio Daten\My ISO Files
2008-03-24 13:50 . 2008-03-24 13:50 <DIR> d-------- C:\Dokumente und Einstellungen\Fabio Daten\Alcohol 120%
2008-03-24 13:32 . 2008-03-24 13:32 <DIR> d-------- C:\Programme\MagicDisc
2008-03-24 13:32 . 2008-02-18 18:29 96,256 --a------ C:\WINDOWS\system32\drivers\mcdbus.sys
2008-03-23 02:02 . 2008-03-23 02:02 2,533 --a------ C:\bos.cfg
2008-03-17 15:44 . 2008-03-17 15:44 <DIR> d-------- C:\Dokumente und Einstellungen\Fabio Daten\UseNeXT
2008-03-17 15:43 . 2008-03-17 15:44 <DIR> d-------- C:\Programme\UseNeXT
2008-03-17 09:55 . 2008-03-17 11:56 <DIR> d-------- C:\Dokumente und Einstellungen\udo\Anwendungsdaten\My Battle for Middle-earth(tm) II Files
2008-03-16 10:28 . 2008-03-16 10:28 <DIR> d-------- C:\Programme\Taldren
2008-03-15 16:46 . 2008-03-15 16:49 <DIR> d-------- C:\Dokumente und Einstellungen\Fabio Daten\Deus Ex - Invisible War
2008-03-11 23:13 . 2008-03-21 02:24 139 --a------ C:\WINDOWS\system32\wintrust32.bin
2008-03-11 22:09 . 2008-03-26 00:42 138 --a------ C:\WINDOWS\system32\odbc.inf
2008-03-11 14:22 . 2008-03-11 14:22 <DIR> d-------- C:\WINDOWS\desktop
2008-03-11 10:05 . 2008-03-11 14:29 126,976 --a------ C:\WINDOWS\lcmmfu.cpl
2008-03-11 10:05 . 2008-03-11 10:05 48,640 --a------ C:\WINDOWS\mmfs.dll
2008-03-11 10:05 . 2008-03-11 10:05 2,560 --a------ C:\WINDOWS\Runservice.exe
2008-03-11 10:05 . 2008-04-02 11:44 1,273 --ahs---- C:\WINDOWS\system32\mmf.sys
2008-03-11 10:04 . 2008-03-26 00:42 134 --a------ C:\WINDOWS\system32\dxwizard.bin
2008-03-10 18:02 . 2008-03-10 18:02 <DIR> d-------- C:\Programme\Empire Interactive
2008-03-09 10:53 . 2008-03-09 10:57 <DIR> d-------- C:\Programme\Unlocker
2008-03-08 23:19 . 2008-03-08 23:20 <DIR> d-------- C:\vom_Quellcomputer
2008-03-08 23:08 . 2008-03-08 23:08 <DIR> d-------- C:\Programme\Microsoft
2008-03-08 19:37 . 2008-03-08 19:37 <DIR> d-------- C:\Dokumente und Einstellungen\Fabio Daten\Kopie (2) von RegistryChanges nach Lauferkswechsel Der Festplatte
2008-03-08 19:35 . 2008-03-08 19:42 <DIR> dr------- C:\Dokumente und Einstellungen\Fabio Daten\RegistryKeys nach Lauferkswechsel der Harddisk
2008-03-07 15:55 . 2008-03-07 17:08 <DIR> d-------- C:\Programme\Hurrican
2008-03-07 10:10 . 2008-03-07 10:10 159,454 --a------ C:\WINDOWS\Imperium Romanum Uninstaller.exe
2008-03-07 10:04 . 2008-03-07 10:04 <DIR> d-------- C:\Dokumente und Einstellungen\udo\Anwendungsdaten\Imperium Romanum
2008-03-07 09:41 . 2008-03-07 09:41 <DIR> d-------- C:\Programme\ProtectDisc Driver Installer
2008-03-06 02:59 . 2008-03-06 02:59 <DIR> d-------- C:\WINDOWS\83F12F73D52E40C093B1463C311C4E17.TMP
2008-03-04 11:42 . 2008-03-04 11:53 <DIR> d-------- C:\Dokumente und Einstellungen\Fabio Daten\GTA San Andreas User Files
2008-03-03 17:01 . 2008-03-03 17:01 <DIR> d-------- C:\Westwood
2008-03-03 04:38 . 2008-03-04 06:00 8 --a------ C:\player2.rep
2008-03-02 00:34 . 2008-03-12 08:51 <DIR> d-------- C:\Programme\SSI

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-02 07:09 --------- d-----w C:\Dokumente und Einstellungen\udo\Anwendungsdaten\uTorrent
2008-04-02 07:07 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-04-01 22:34 --------- d-----w C:\Programme\DAEMON Tools
2008-04-01 20:02 716,272 ----a-w C:\WINDOWS\system32\drivers\sptd.sys
2008-04-01 18:04 114,688 ----a-w C:\WINDOWS\system32\OpenAL32.dll
2008-04-01 14:20 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-03-29 12:31 --------- d-----w C:\Dokumente und Einstellungen\udo\Anwendungsdaten\AdobeUM
2008-03-25 11:05 107,888 ----a-w C:\WINDOWS\system32\CmdLineExt.dll
2008-03-24 12:04 --------- d-----w C:\Programme\MagicISO
2008-03-24 11:54 --------- d-----w C:\Programme\UltraISO
2008-03-17 13:44 --------- d-----w C:\Dokumente und Einstellungen\udo\Anwendungsdaten\UseNeXT
2008-03-08 09:51 25,192 ----a-w C:\Dokumente und Einstellungen\udo\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2008-03-07 13:09 --------- d-----w C:\Programme\CCleaner
2008-03-04 07:19 --------- d-----w C:\Programme\Winamp
2008-02-27 13:48 --------- d-----w C:\Programme\Smart Projects
2008-02-26 21:13 --------- d-----w C:\Programme\Paradox Interactive
2008-02-25 17:28 73,216 ----a-w C:\WINDOWS\ST6UNST.EXE
2008-02-25 17:28 249,856 ------w C:\WINDOWS\Setup1.exe
2008-02-25 11:38 278,984 ----a-w C:\WINDOWS\system32\drivers\atksgt.sys
2008-02-23 13:59 --------- d-----w C:\Programme\FireTune
2008-02-23 13:58 737,280 ----a-w C:\WINDOWS\iun6002.exe
2008-02-22 17:50 --------- d-----w C:\Programme\Microsoft Games
2008-02-20 12:00 --------- d--h--w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{0E8E33D8-193A-414A-A909-0F101A142D26}
2008-02-18 16:06 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Age of Empires 3
2008-02-11 19:04 18,048 ----a-w C:\WINDOWS\system32\drivers\lirsgt.sys
2008-02-09 11:51 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-02-09 11:49 --------- d-----w C:\Programme\Spybot - Search & Destroy
2008-02-09 11:46 691,545 ----a-w C:\WINDOWS\unins000.exe
2008-02-07 16:10 --------- d-----w C:\Programme\Google
2008-02-04 18:48 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-02-04 08:55 --------- d-----w C:\Dokumente und Einstellungen\udo\Anwendungsdaten\FireShot
2008-02-04 08:37 --------- d-----w C:\Programme\Winamp Remote
2008-02-04 08:37 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\OrbNetworks
2008-01-19 01:59 43,520 ----a-w C:\WINDOWS\system32\CmdLineExt03.dll
2008-01-09 14:01 53,248 ----a-w C:\WINDOWS\bdoscandel.exe
.

------- Sigcheck -------

2006-04-20 14:18 360576 b2220c618b42a2212a59d91ebd6fc4b4 C:\WINDOWS\$hf_mig$\KB917953\SP2QFE\tcpip.sys
2002-08-29 01:58 332928 244a2f9816bc9b593957281ef577d976 C:\WINDOWS\$NtServicePackUninstall$\tcpip.sys
2007-08-08 19:09 359040 9f4b36614a0fc234525ba224957de55c C:\WINDOWS\ServicePackFiles\i386\TCPIP.SYS
2007-08-08 20:19 359808 8d8949936913b041c6a0e184fbf1030b C:\WINDOWS\system32\dllcache\TCPIP.SYS
2007-08-08 20:19 359808 8d8949936913b041c6a0e184fbf1030b C:\WINDOWS\system32\drivers\TCPIP.SYS
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools Pro Agent"="C:\Programme\DAEMON Tools Pro\DTProAgent.exe" [2008-01-15 16:17 277960]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AVKTray"="C:\Programme\G DATA InternetSecurity\AVKTray\AVKTray.exe" [2007-01-23 14:15 894800]
"DAEMON Tools"="C:\Programme\DAEMON Tools\daemon.exe" [2006-09-14 22:09 157592]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360]

C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\
G DATA Firewall Tray.lnk - C:\Programme\G DATA InternetSecurity\Firewall\GDFirewallTray.exe [2007-05-02 16:42:28 870224]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"NoSecCpl"= 0 (0x0)
"DisableChangePassword"= 0 (0x0)
"DisableLockWorkstation"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoStartMenuPinnedList"= 0 (0x0)
"NoStartMenuMFUprogramsList"= 0 (0x0)
"NoUserNameInStartMenu"= 0 (0x0)
"NoStartMenuSubFolders"= 0 (0x0)
"NoCommonGroups"= 0 (0x0)
"NoPrinterTabs"= 0 (0x0)
"NoDeletePrinter"= 0 (0x0)
"NoAddPrinter"= 0 (0x0)
"NoPrinters"= 0 (0x0)
"NoFavoritesMenu"= 0 (0x0)
"NoToolbarCustomize"= 0 (0x0)
"NoRecentDocsNetHood"= 0 (0x0)
"NoChangeAnimation"= 0 (0x0)
"NoChangeKeyboardNavigationIndicators"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
"ISUSPM Startup"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -startup

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\Programme\\uTorrent\\uTorrent.exe"=
"C:\\Programme\\SiSoftware\\SiSoftware Sandra Lite XIIc\\Win32\\RpcDataSrv.exe"=
"C:\\Programme\\SiSoftware\\SiSoftware Sandra Lite XIIc\\RpcSandraSrv.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)

R0 GDNdisIc;GDNdisIc;C:\WINDOWS\system32\drivers\GDNdisIc.sys [2007-05-02 16:42]
R2 AVKProxy;AVKProxy;"C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe" [2007-01-25 16:25]
R2 AVKService;AVK Service;C:\Programme\G DATA InternetSecurity\AVK\AVKService.exe [2006-12-08 11:12]
R2 AVKWCtl;AVK Wächter;C:\Programme\G DATA InternetSecurity\AVK\AVKWCtl.exe [2007-01-18 10:37]
R2 GDTdiInterceptor;GDTdiInterceptor;C:\WINDOWS\system32\drivers\GDTdiIcpt.sys [2007-05-02 16:42]
R2 LicCtrlService;LicCtrl Service;C:\WINDOWS\runservice.exe [2008-03-11 10:05]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 00:58]
R3 GDFwSvc;G DATA Personal Firewall;C:\Programme\G DATA InternetSecurity\Firewall\GDFwSvc.exe [2007-01-25 12:50]
R3 GDMnIcpt;GDMnIcpt;C:\WINDOWS\system32\drivers\MiniIcpt.sys [2007-05-02 16:44]
R3 HookCentre;HookCentre;C:\WINDOWS\system32\drivers\HookCentre.sys [2007-05-02 16:44]
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-04-01 16:21]
S4 ACEDRV06;ACEDRV06;C:\WINDOWS\system32\drivers\ACEDRV06.sys [2007-08-19 06:42]
S4 MIINPazX;MIINPazX NDIS Protocol Driver;C:\PROGRA~1\GEMEIN~1\MARMIK~1\MInfraIS\MIINPazX.SYS [2006-10-09 15:03]
S4 MTOnlPktAlyX;MTOnlPktAlyX NDIS Protocol Driver;C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis1\MTOnlPktAlyX.SYS []

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

.
Inhalt des "geplante Tasks" Ordners
"2008-04-02 10:00:02 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2008\OneClickStarter.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-02 12:13:39
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-04-02 12:14:14
ComboFix-quarantined-files.txt 2008-04-02 10:14:12
ComboFix2.txt 2008-03-30 07:09:41
28 Verzeichnis(se), 8,010,797,056 Bytes frei
31 Verzeichnis(se), 8,052,535,296 Bytes frei
[/u][/b]

#24 Hallo,

mache noch einen Onlinescan mit a-squared Web Malware Scanner
http://board.protecus.de/t8642.htm

dann sollte es gut sein.
wenn du mal Zeit und Lust hast... formatiere.. der Rechner ist trotz Reinigung kompromitiert
__________
MfG Sabina

rund um die PC-Sicherheit

#25 Was meinst Du mit "kompromitiert". Meinst Du der ist durch den ganzen Müll beeinträchtigt?

#26 http://oschad.de/wiki/index.php/Kompromittierung
__________
MfG Argus

#27

Zitat

Arnold postete
http://oschad.de/wiki/index.php/Kompromittierung

Danke für den link. Ok was die Kompromittierung betrifft ist ja hauptsächlich von manipulierten privaten Daten die Rede. Da mein PC aber ein reiner Gaming PC ist habe ich null Bankdaten oder private Dokumente/Mails und ähnliches auf dem Rechner. Passwörter zu diversen Foren oder Routerpasswort kann ich ja einfach so ändern, oder?

Diesen Punkt kann ich also abhaken. Was mir mehr Sorgen macht ist eine instabilität des Betriebssystemes oder Leistungsminderung. Kann ich nach den vielen Scans davon ausgehen das die meisten schadhaften Viren/Malwares u.ä. einigermaßen vom Rechner gesäubert wurden?

#28 der Rechner ist soweit wieder sauber, aber wie gesagt, jederzeit angreifbar... und auch abhängig von deinen Surfgewohnheiten.
Ich habe noch nie solche Viren auf dem Arbeits-Rechner gehabt .. vielleicht surfe ich auf den falschen Seiten ?
__________
MfG Sabina

rund um die PC-Sicherheit

#29 Werd in Zukunft besser aufpassen was ich downloade. Diese ganzen "Fileforen" kamen mir immer relativ sicher vor und ich meine nicht warez oder full releases Seiten.