Avira infiziert, Trojaner?

#1 ComboFix 08-03-26.1 - Häßelbarth 2008-03-27 16:54:01.6 - NTFSx86
ausgeführt von:: C:\Dokumente und Einstellungen\Häßelbarth\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

((((((((((((((((((((((( Dateien erstellt von 2008-02-27 bis 2008-03-27 ))))))))))))))))))))))))))))))
.

2008-03-27 16:53 . 2001-08-23 13:00 87,552 ---h----- C:\dglbdpfzh.exe
2008-03-26 17:27 . 2008-03-26 17:27 <DIR> d-------- C:\Programme\CCleaner
2008-03-26 17:23 . 2008-03-26 17:23 9,216 --ahs---- C:\WINDOWS\Thumbs.db
2008-03-26 17:18 . 2008-03-26 17:19 4,096 --ahs---- C:\WINDOWS\system32\Thumbs.db
2008-03-26 12:55 . 2008-03-26 12:55 <DIR> d-------- C:\WINDOWS\BDOSCAN8
2008-03-25 17:45 . 2008-03-25 17:45 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-03-25 17:45 . 2008-03-25 17:45 <DIR> d-------- C:\Dokumente und Einstellungen\Häßelbarth\Anwendungsdaten\Malwarebytes
2008-03-25 17:45 . 2008-03-25 17:45 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes

2008-03-24 16:53 . 2008-03-27 16:42 7,900 --a------ C:\mitm.exe
2008-03-24 11:21 . 2008-03-27 16:59 135 --ah----- C:\AUTORUN.INF
2008-03-22 13:34 . 2008-03-05 15:56 3,786,760 --a------ C:\WINDOWS\system32\D3DX9_37.dll
2008-03-22 13:34 . 2008-03-05 15:56 1,420,824 --a------ C:\WINDOWS\system32\D3DCompiler_37.dll
2008-03-22 13:34 . 2008-02-05 23:07 462,864 --a------ C:\WINDOWS\system32\d3dx10_37.dll
2008-03-22 13:34 . 2008-03-05 16:03 238,088 --a------ C:\WINDOWS\system32\xactengine3_0.dll
2008-03-22 13:34 . 2008-03-05 16:00 25,608 --a------ C:\WINDOWS\system32\X3DAudio1_3.dll
2008-03-22 10:58 . 2008-03-22 10:59 <DIR> d-------- C:\Dokumente und Einstellungen\Häßelbarth\Anwendungsdaten\YuLeech

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-24 16:18 --------- d-----w C:\Programme\Game_Maker7
2008-03-24 09:47 --------- d-----w C:\Programme\Gemeinsame Dateien\Buhl Data Service
2008-03-22 09:57 --------- d-----w C:\Programme\WildGames
2008-03-22 09:57 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WildTangent
2008-03-22 09:55 --------- d-----w C:\Programme\eMule
2008-03-05 14:50 87,552 -c--a-w C:\WINDOWS\system32\dxdllreg.exe
2008-02-11 08:51 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\HSETU
2008-02-10 13:50 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-02-10 13:41 --------- d-----w C:\Programme\HSETU
2008-02-10 13:29 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Downloaded Installations
2008-02-09 21:57 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-02-09 21:05 --------- d-----w C:\Programme\kav7.0
2008-01-31 18:51 --------- d-----w C:\Programme\IsoBuster
2008-01-01 14:25 47,104 ----a-w C:\WINDOWS\system32\KMVIDC32.DLL
2007-12-27 11:58 81,920 ----a-w C:\WINDOWS\system32\OpenAL32.dll
2007-12-27 11:58 233,472 ----a-w C:\WINDOWS\system32\wrap_oal.dll
2007-10-05 18:54 132,242 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\firstlsp.reg.dat
2007-01-25 19:31 13,824 --sha-w C:\Programme\Gemeinsame Dateien\Thumbs.db
2006-04-19 06:34 60,888 ----a-w C:\Dokumente und Einstellungen\Häßelbarth\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2005-08-14 20:29 87,040 -csha-w C:\Programme\Thumbs.db
2001-08-23 12:00 322,560 -csha-w C:\WINDOWS\LastGood\System32\msvcrt.dll
2004-10-22 07:00 320,872 --sha-r C:\WINDOWS\system32\6mo4svc.dll
2004-10-22 07:00 320,872 --sha-r C:\WINDOWS\system32\6vo4svc.dll
2004-10-22 07:00 320,872 --sha-r C:\WINDOWS\system32\ablui.dll
2004-10-22 07:00 320,872 -csha-r C:\WINDOWS\system32\ajledit.dll
2004-10-22 07:00 320,872 -csha-r C:\WINDOWS\system32\avledit.dll
2007-06-04 21:22 56 --sh--r C:\WINDOWS\system32\E7F4B94E98.sys
2001-08-23 12:00 87,552 --sh--r C:\WINDOWS\system32\kfoymtelj.exe
2007-06-04 21:22 848 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
2001-08-23 12:00 50,688 --sh--w C:\WINDOWS\system32\msvcirt.dll
2001-08-23 12:00 401,462 --sh--w C:\WINDOWS\system32\msvcp60.dll
2001-08-23 12:00 322,560 --sh--w C:\WINDOWS\system32\msvcrt.dll
2001-08-23 12:00 569,344 --sh--w C:\WINDOWS\system32\oleaut32.dll
2001-08-23 12:00 106,496 --sh--w C:\WINDOWS\system32\olepro32.dll
2001-08-23 12:00 10,752 --sh--w C:\WINDOWS\system32\regsvr32.exe
.

------- Sigcheck -------

2001-08-23 13:00 1010688 99bdef4a963c5075d708d287e2ca4c50 C:\WINDOWS\explorer.exe
2004-08-04 08:57 1041920 4c132f57e27c105f0259b569813e1d76 C:\WINDOWS\SoftwareDistribution\Download\fa6fb01ac82a6e60ca928c584157ebda\explorer.exe
2001-08-23 13:00 1010688 eb9d03cc2010a38780f9cbbedadc2fc1 C:\WINDOWS\system32\dllcache\explorer.exe
.
((((((((((((((((((((((((((((( snapshot_2008-03-26_12.20.34.49 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-01-09 14:01:48 118,784 ----a-w C:\WINDOWS\BDOSCAN8\bdupd.dll
+ 2008-01-09 14:01:48 53,248 ----a-w C:\WINDOWS\BDOSCAN8\ipsupd.dll
- 2000-08-31 07:00:00 173,568 ----a-w C:\WINDOWS\erdnt\Hiv-backup\ERDNT.EXE
+ 2000-08-31 07:00:00 163,328 ----a-w C:\WINDOWS\erdnt\Hiv-backup\ERDNT.EXE
- 2008-03-26 11:02:35 16,384 -c--a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
+ 2008-03-27 15:38:54 16,384 -c--a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
- 2008-03-26 11:02:35 81,920 -c--a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
+ 2008-03-27 15:38:54 81,920 -c--a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
- 2008-03-26 11:02:35 32,768 -c--a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
+ 2008-03-27 15:38:54 32,768 -c--a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
- 2004-01-11 15:03:32 36,864 ----a-w C:\WINDOWS\system32\LckFldService.exe
+ 2004-01-11 15:03:32 45,056 ----a-w C:\WINDOWS\system32\LckFldService.exe
- 2001-08-23 12:00:00 23,552 -c--a-w C:\WINDOWS\system32\wbem\winmgmt.exe
+ 2001-08-23 12:00:00 16,896 -c--a-w C:\WINDOWS\system32\wbem\winmgmt.exe
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{DA39029C-D291-A968-3FF4-D0990D5CB5FC}]
C:\Programme\LinkOptimizer\LinkOptimizer.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"gcdef"="C:\WINDOWS\System32\gcdef.exe" [ ]
"ctfmon.exe"="C:\WINDOWS\System32\ctfmon.exe" [2001-08-23 13:00 19968]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-09 22:14 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nzgmhkbk"="C:\WINDOWS\System32\ureepd.exe" [ ]
"ypeperft"="C:\WINDOWS\System32\ypeperft.exe" [ ]
"dpdx32o"="C:\WINDOWS\System32\dpdx32o.exe" [ ]
"Share-to-Web Namespace Daemon"="C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe" [2001-07-03 08:11 65536]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2004-07-15 10:42 4112384]
"sys024372518015"="C:\WINDOWS\sys024372518015.exe" [ ]
"NvMediaCenter"="C:\WINDOWS\System32\NvMcTray.dll" [2004-07-15 10:42 81920]
"IE Redir"="C:\WINDOWS\ieredir.exe" [ ]
"MDM Rock 4"="C:\WINDOWS\System32\kfoymtelj.exe" [2001-08-23 13:00 87552]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2001-08-23 13:00 19968]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=NVDESK32.DLL

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, zwebauth.dll

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Alice (2).lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Alice (2).lnk
backup=C:\WINDOWS\pss\Alice (2).lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Erinnerungen für Microsoft Works-Kalender.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Erinnerungen für Microsoft Works-Kalender.lnk
backup=C:\WINDOWS\pss\Erinnerungen für Microsoft Works-Kalender.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^GStartup.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\GStartup.lnk
backup=C:\WINDOWS\pss\GStartup.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^HPAiODevice(hp officejet g series) - 1.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\HPAiODevice(hp officejet g series) - 1.lnk
backup=C:\WINDOWS\pss\HPAiODevice(hp officejet g series) - 1.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Program Neighborhood Agent.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Program Neighborhood Agent.lnk
backup=C:\WINDOWS\pss\Program Neighborhood Agent.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Häßelbarth^Startmenü^Programme^Autostart^PowerReg Scheduler V3.exe]
path=C:\Dokumente und Einstellungen\Häßelbarth\Startmenü\Programme\Autostart\PowerReg Scheduler V3.exe
backup=C:\WINDOWS\pss\PowerReg Scheduler V3.exeStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AOLDialer]
--a------ 2004-11-09 21:36 497240 C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BitTorrent]
C:\Programme\BitTorrent\bittorrent.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EbatesMoeMoneyMaker]
wjview /cp:p C:\Programme\EbatesMoeMoneyMaker\System\Code Main lp: C:\Programme\EbatesMoeMoneyMaker

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\F-StopW]
C:\Programme\FSI\F-Prot\F-StopW.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
--a------ 2006-07-11 11:15 3144800 C:\Programme\ICQLite\ICQLite.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\InCD]
C:\Programme\ahead\InCD\InCD.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
C:\Programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MGBSetup.exe]
C:\DOKUME~1\HELBAR~1\EIGENE~1\Download\MGBSET~1.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck]
C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2007-03-09 17:53 153136 C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
--a--c--- 2004-07-15 10:42 851968 C:\WINDOWS\system32\nwiz.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
C:\Programme\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpyKiller]
C:\Programme\SpyKiller\spykiller.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpySheriff]
C:\Program Files\SpySheriff\SpySheriff.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2005-11-10 13:03 45167 C:\Programme\Java\jre1.5.0_06\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
--a------ 2007-07-09 22:14 68856 C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\tpcupdater]
C:\WINDOWS\updatetc.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\updater]
C:\Programme\Common files\updater\wupdater.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
C:\Programme\Winamp\Winampa.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows installer]
C:\winstall.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"iPodService"=3 (0x3)
"WYxENx"=2 (0x2)
"NMIndexingService"=3 (0x3)
"MSWinLogonProcService"=2 (0x2)
"MDM"=2 (0x2)
"LckFldService"=2 (0x2)
"IDriverT"=3 (0x3)
"hpdj"=2 (0x2)
"gusvc"=3 (0x3)
"Boonty Games"=3 (0x3)
"AOL ACS"=2 (0x2)
"AntiVirService"=2 (0x2)
"AntiVirScheduler"=2 (0x2)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\WINDOWS\\System32\\kfoymtelj.exe"=

R0 FPA_RTP;FPA_RTP;C:\WINDOWS\System32\Drivers\FSTOPW.SYS [2003-09-29 14:16]
R0 PDDSLHND;PDDSLHND;C:\WINDOWS\System32\drivers\PDDSLHND.sys [2005-05-05 21:38]
R0 prohlp01;StarForce Protection Helper Driver v1;C:\WINDOWS\System32\drivers\prohlp01.sys [2002-12-10 17:42]
R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys [2007-08-09 13:04]
R1 prodrv05;StarForce Protection Environment Driver v5;C:\WINDOWS\System32\drivers\prodrv05.sys [2002-12-10 17:35]
R1 SSHDRV65;SSHDRV65;C:\WINDOWS\System32\drivers\SSHDRV65.sys [2007-06-28 20:18]
R3 PDDSLADP;ProDyne DSL Adapter;C:\WINDOWS\System32\DRIVERS\PDDSLADP.SYS [2005-05-05 21:35]
S0 ElbyVCD;ElbyVCD;C:\WINDOWS\System32\DRIVERS\ElbyVCD.sys []
S2 MKEMUSB;Panasonic Digital Palmcorder;C:\WINDOWS\System32\Drivers\Mkemusb.sys [2001-08-08 18:52]
S3 ATWPKT;ATWPKT;C:\WINDOWS\system32\Drivers\ATWPKT.SYS [2002-05-15 15:11]
S3 DCamUSBMke;USB Video Camera for Panasonic Digital Palmcorder;C:\WINDOWS\System32\Drivers\Mkeusbi.sys [2002-09-02 11:10]
S3 DCamUSBMke2;Panasonic USB Video Camera;C:\WINDOWS\System32\Drivers\Mkeusbi2.sys [2002-11-06 09:48]
S3 idrmkl;idrmkl;C:\DOKUME~1\HELBAR~1\LOKALE~1\Temp\idrmkl.sys []
S3 ids0004C;ids0004C;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Anti-Virus Personal\5.0\bases\ids0004C.sys []
S3 ids0005c;ids0005c;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Anti-Virus Personal\5.0\bases\ids0005c.sys []
S3 ids00118;ids00118;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Anti-Virus Personal\5.0\bases\ids00118.sys []
S3 ids0014f;ids0014f;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Anti-Virus Personal\5.0\bases\ids0014f.sys []
S3 ids0015d;ids0015d;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Anti-Virus Personal\5.0\bases\ids0015d.sys []
S3 ids00180;ids00180;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Anti-Virus Personal\5.0\bases\ids00180.sys []
S3 ids0018a;ids0018a;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Anti-Virus Personal\5.0\bases\ids0018a.sys []
S3 PDNETCTL;ProDyne MicroPPPoE;C:\WINDOWS\System32\DRIVERS\pdnetctl.sys [2005-09-07 23:09]
S3 TIGLUSB;TiglUsb.Sys TI-GRAPH/DIRECT LINK USB driver;C:\WINDOWS\System32\Drivers\TIGLUSB.sys [2005-07-24 13:09]
S3 XDva002;XDva002;C:\WINDOWS\System32\XDva002.sys []
S4 Boonty Games;Boonty Games;"C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe" [2005-05-26 22:56]
S4 MSWinLogonProcService;Windows Logon Process Service;"C:\WINDOWS\winlogon.exe" -service []

.
Inhalt des "geplante Tasks" Ordners
"2002-09-22 15:19:23 C:\WINDOWS\Tasks\Symantec NetDetect.job"
- C:\Programme\Symantec\LiveUpdate\NDETECT.EXE
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-27 16:59:56
Windows 5.1.2600 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

**************************************************************************
.
Zeit der Fertigstellung: 2008-03-27 17:07:09
ComboFix-quarantined-files.txt 2008-03-27 16:06:04
ComboFix2.txt 2008-03-26 11:22:14
ComboFix3.txt 2008-03-24 17:44:23
ComboFix4.txt 2008-01-25 21:28:31
9 Verzeichnis(se), 5,778,649,088 Bytes frei
13 Verzeichnis(se), 5,710,520,320 Bytes frei




Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:44, on 2008-03-27
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Citrix\ICA Client\ssonsvr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe
C:\WINDOWS\System32\kfoymtelj.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\Häßelbarth\Eigene Dateien\Download\cleaner_neu\HJT.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: Class - {DA39029C-D291-A968-3FF4-D0990D5CB5FC} - C:\Programme\LinkOptimizer\LinkOptimizer.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O4 - HKLM\..\Run: [nzgmhkbk] C:\WINDOWS\System32\ureepd.exe
O4 - HKLM\..\Run: [ypeperft] C:\WINDOWS\System32\ypeperft.exe
O4 - HKLM\..\Run: [dpdx32o] C:\WINDOWS\System32\dpdx32o.exeO4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [sys024372518015] C:\WINDOWS\sys024372518015.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [IE Redir] C:\WINDOWS\ieredir.exe
O4 - HKLM\..\Run: [MDM Rock 4] C:\WINDOWS\System32\kfoymtelj.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [gcdef] C:\WINDOWS\System32\gcdef.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.aol.de/e60/
O16 - DPF: {48884C41-EFAC-433D-958A-9FADAC41408E} (EGamesPlugin Class) - http://www.e-games.com.my/com/EGamesPlugin.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://go.divx.com/plugin/DivXBrowserPlugin.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O16 - DPF: {CAFEEFAC-0014-0001-0002-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_02) -
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - http://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = mydomain.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{37C37B22-08A9-41D9-9EAD-8087D14EBD50}: NameServer = 213.191.74.11 213.191.92.82
O17 - HKLM\System\CS1\Services\VxD\MSTCP: Domain = mydomain.com
O17 - HKLM\System\CS1\Services\VxD\MSTCP: NameServer = 69.57.146.14,69.57.147.175
O17 - HKLM\System\CS2\Services\VxD\MSTCP: Domain = mydomain.com
O17 - HKLM\System\CS2\Services\VxD\MSTCP: NameServer = 69.57.146.14,69.57.147.175
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 69.57.146.14,69.57.147.175
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

--
End of file - 4487 bytes




.
.
Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5C03-607C

Verzeichnis von C:\WINDOWS\system32

2008-03-27 16:39 4,452 nvapps.xml
2008-03-26 17:19 4,096 Thumbs.db
2008-03-26 15:07 1,170 lckfldservicelog.txt
2008-03-24 07:54 1,744 d3d9caps.dat
2008-03-22 14:35 1,632 d3d8caps.dat
2008-03-20 19:43 2,184 wpa.dbl
2008-03-05 16:03 238,088 xactengine3_0.dll
2008-03-05 16:00 25,608 X3DAudio1_3.dll
2008-03-05 15:56 1,420,824 D3DCompiler_37.dll
2008-03-05 15:56 3,786,760 D3DX9_37.dll
2008-03-05 15:50 87,552 dxdllreg.exe
2008-02-13 18:11 308 tj
2008-02-05 23:07 462,864 d3dx10_37.dll
2008-02-01 18:17 3,120 DAACMRXU.ocx
2008-01-11 09:12 234,368 FNTCACHE.DAT
2008-01-01 15:25 47,104 KMVIDC32.DLL
2007-12-27 12:58 233,472 wrap_oal.dll
2007-12-27 12:58 81,920 OpenAL32.dll


.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5C03-607C

Verzeichnis von C:\DOKUME~1\HELBAR~1\LOKALE~1\Temp

2008-03-27 16:48 108,711 datfind.txt
2008-03-26 13:04 311,296 ~DF68EC.tmp
2008-03-26 13:02 426 MSIf3ad0.LOG
2008-03-26 12:58 49,152,525 a2cache_04468E6B.dat
4 Datei(en) 49,572,958 Bytes
0 Verzeichnis(se), 5,839,716,352 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5C03-607C

Verzeichnis von C:\WINDOWS

2008-03-27 16:45 514,202 WindowsUpdate.log
2008-03-27 16:41 0 0.log
2008-03-27 16:40 159 wiadebug.log
2008-03-27 16:40 50 wiaservc.log
2008-03-27 16:38 2,048 bootstat.dat
2008-03-26 20:17 32,536 SchedLgU.Txt
2008-03-26 17:23 9,216 Thumbs.db
2008-03-26 17:21 2,217 win.ini
2008-03-26 17:21 243 system.ini
2008-03-24 10:59 104 wiso.ini
2008-03-24 10:48 242 BUHL.INI
2008-03-23 08:45 1,065 winamp.ini
2008-03-22 11:32 69 NeroDigital.ini
2008-03-02 16:51 748 ODBC.INI
2008-02-02 19:22 54,156 QTFont.qfn
2007-12-30 00:27 1,409 QTFont.for

.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5C03-607C



5.symptome
avira antivir lies sich nicht mehr starten und hat ne fehlermeldung ausgegeben, dass möglicherweise die startdatei von einem virus/trojaner infiziert sei.
avira lässt sich auch nicht deinstallieren. andere antivieren-software ließ sich nicht installieren, da sie anscheinend sofort "befallen" wurde.
mozilla firefox lässt sich nicht mehr starten. viele menüs verstellt (startseite, autostart).
Dr.Web cure-it hat einige trojaner gefunden (backdoor, etc.) aber die probleme bestehen weiterhin.


vielen dank für eure hilfe!

#2 Teste bitte eine der Dateien, von den Avira behauptet, sie koennten befallen sein bei Virustotal

Teste diese DAteien bitte auch dort:
C:\dglbdpfzh.exe
C:\mitm.exe

Bitte die kompletten Berichte hier hineinkopieren...
__________
MfG Ralf
SEO-Spam Hunter

#3 Die infizierten Dateien von Antivir wurden bereits gelöscht, aber beim Versuch der Deinstallation/Neuinstallation kommt: "Die CRC-Summe von setup.exe wurde verändert. Dies könnte durch einen Virus verursacht worden sein."

Die Datei C:\dglbdpfzh.exe existiert nicht... (?)


HIer die logs von C:\mitm.exe

Datei mitm.exe empfangen 2008.03.27 22:41:13 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt


Ergebnis: 1/32 (3.13%)


Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.3.26.0 2008.03.27 -
AntiVir 7.6.0.75 2008.03.27 -
Authentium 4.93.8 2008.03.27 -
Avast 4.7.1098.0 2008.03.27 -
AVG 7.5.0.516 2008.03.27 -
BitDefender 7.2 2008.03.27 -
CAT-QuickHeal 9.50 2008.03.26 -
ClamAV 0.92.1 2008.03.27 -
DrWeb 4.44.0.09170 2008.03.27 -
eSafe 7.0.15.0 2008.03.18 -
eTrust-Vet 31.3.5648 2008.03.27 -
Ewido 4.0 2008.03.27 -
F-Prot 4.4.2.54 2008.03.27 -
F-Secure 6.70.13260.0 2008.03.27 -
FileAdvisor 1 2008.03.27 -
Fortinet 3.14.0.0 2008.03.27 -
Ikarus T3.1.1.20 2008.03.27 Win32.SuspectCrc
Kaspersky 7.0.0.125 2008.03.27 -
McAfee 5261 2008.03.27 -
Microsoft 1.3301 2008.03.27 -
NOD32v2 2979 2008.03.27 -
Norman 5.80.02 2008.03.26 -
Panda 9.0.0.4 2008.03.26 -
Prevx1 V2 2008.03.27 -
Rising 20.37.32.00 2008.03.27 -
Sophos 4.27.0 2008.03.27 -
Sunbelt 3.0.978.0 2008.03.18 -
Symantec 10 2008.03.27 -
TheHacker 6.2.92.256 2008.03.27 -
VBA32 3.12.6.3 2008.03.25 -
VirusBuster 4.3.26:9 2008.03.27 -
Webwasher-Gateway 6.6.2 2008.03.27 -
weitere Informationen
File size: 7900 bytes
MD5: 6d90f8113ca34edc8a6b8101bb64d74d
SHA1: 38602b4d28e120f3efdf9ef1feef0259aafea173
PEiD: -

#4 Neu aufsetzen waehre besser
__________
MfG Argus

#5 gibts auch ne möglichkeit, den trojaner zu entfernen, ohne neuaufzusetzen?

#6 Schlango2

1.
mit dem HijackThis löschen ("fixen")
Klicke: "Do a system scan only"
Setze ein Häckchen in das Kästchen vor den genannten Eintrag
und wähle fix checked.

Zitat

O2 - BHO: Class - {DA39029C-D291-A968-3FF4-D0990D5CB5FC} - C:\Programme\LinkOptimizer\LinkOptimizer.dll (file missing)

O4 - HKLM\..\Run: [nzgmhkbk] C:\WINDOWS\System32\ureepd.exe
O4 - HKLM\..\Run: [ypeperft] C:\WINDOWS\System32\ypeperft.exe
O4 - HKLM\..\Run: [dpdx32o] C:\WINDOWS\System32\dpdx32o.exe

O4 - HKLM\..\Run: [sys024372518015] C:\WINDOWS\sys024372518015.exe

O4 - HKLM\..\Run: [IE Redir] C:\WINDOWS\ieredir.exe

O4 - HKLM\..\Run: [MDM Rock 4] C:\WINDOWS\System32\kfoymtelj.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKCU\..\Run: [gcdef] C:\WINDOWS\System32\gcdef.exe

O17 - HKLM\System\CS1\Services\VxD\MSTCP: NameServer = 69.57.146.14,69.57.147.175
O17 - HKLM\System\CS2\Services\VxD\MSTCP: NameServer = 69.57.146.14,69.57.147.175
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 69.57.146.14,69.57.147.175

---------------------------

2.
wende fixwareout an + poste nach neustart den report hier
http://www.virus-protect.org/artikel/tools/fixwareout.html

---------------

3.
eventuelle Fehlermeldungen kannst du vernachlässigen...

Start -- Ausführen -- schreib rein: cmd

dann kopiere rein:

sc stop MSWinLogonProcService

[klicke "enter"]

und warte ein bisschen, dann kopiere rein:

sc delete MSWinLogonProcService

[klicke "enter"]

sc stop Windows Logon Process Service

[klicke "enter"]

sc delete Windows Logon Process Service

[klicke "enter"]

-------------------------------------------------------------

4.
http://www.virus-protect.org/artikel/tools/otmoveIt.html
öffne: OTMoveIt.exe

Kopiere rein: im linken Fenster ,wo steht: Paste Standard List of Files/Folders to be Move

Zitat

C:\mitm.exe
C:\dglbdpfzh.exe
C:\WINDOWS\ieredir.exe
C:\WINDOWS\System32\gcdef.exe
C:\WINDOWS\sys024372518015.exe
C:\WINDOWS\system32\tj
C:\WINDOWS\system32\6mo4svc.dll
C:\WINDOWS\system32\6vo4svc.dll
C:\WINDOWS\system32\ablui.dll
C:\WINDOWS\system32\ajledit.dll
C:\WINDOWS\system32\avledit.dll
C:\WINDOWS\system32\kfoymtelj.exe
C:\WINDOWS\winlogon.exe
C:\Programme\LinkOptimizer
C:\Program Files\SpySheriff

Klicke auf den Roten MoveIt!
poste hier das löschlog

5.
das neue Log vom HjackThis
+
das neue Log von Combofix
__________
MfG Sabina

rund um die PC-Sicherheit

#7 2.
Username "Häßelbarth" - 2008-03-28 14:56:39 [Fixwareout edited 9/01/2007]

~~~~~ Prerun check

Der DNS-Auflösungscache wurde geleert.


System was rebooted successfully.

~~~~~ Postrun check
HKLM\SOFTWARE\~\Winlogon\ "System"=""
....
....
~~~~~ Misc files.
....
~~~~~ Checking for older varients.
....

~~~~~ Current runs (hklm hkcu "run" Keys Only)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
"dpdx32o"="C:\\WINDOWS\\System32\\dpdx32o.exe"
"Share-to-Web Namespace Daemon"="C:\\Programme\\Hewlett-Packard\\HP Share-to-Web\\hpgs2wnd.exe"
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvCpl.dll,NvStartup"
"NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvMcTray.dll,NvTaskbarInit"
"MDM Rock 4"="C:\\WINDOWS\\System32\\kfoymtelj.exe"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\\WINDOWS\\System32\\ctfmon.exe"
"swg"="C:\\Programme\\Google\\GoogleToolbarNotifier\\GoogleToolbarNotifier.exe"
....
Hosts file was reset, If you use a custom hosts file please replace it...
~~~~~ End report ~~~~~


4.C:\mitm.exe moved successfully.
File/Folder C:\dglbdpfzh.exe not found.
File/Folder C:\WINDOWS\ieredir.exe not found.
File/Folder C:\WINDOWS\System32\gcdef.exe not found.
File/Folder C:\WINDOWS\sys024372518015.exe not found.
C:\WINDOWS\system32\tj moved successfully.
C:\WINDOWS\system32\6mo4svc.dll unregistered successfully.
C:\WINDOWS\system32\6mo4svc.dll moved successfully.
C:\WINDOWS\system32\6vo4svc.dll unregistered successfully.
C:\WINDOWS\system32\6vo4svc.dll moved successfully.
C:\WINDOWS\system32\ablui.dll unregistered successfully.
C:\WINDOWS\system32\ablui.dll moved successfully.
C:\WINDOWS\system32\ajledit.dll unregistered successfully.
C:\WINDOWS\system32\ajledit.dll moved successfully.
C:\WINDOWS\system32\avledit.dll unregistered successfully.
C:\WINDOWS\system32\avledit.dll moved successfully.
File move failed. C:\WINDOWS\system32\kfoymtelj.exe scheduled to be moved on reboot.
File/Folder C:\WINDOWS\winlogon.exe not found.
File/Folder C:\Programme\LinkOptimizer not found.
File/Folder C:\Program Files\SpySheriff not found.

OTMoveIt2 by OldTimer - Version 1.0.21 log created on 03282008_151340



5.HjT:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:26, on 2008-03-28
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Citrix\ICA Client\ssonsvr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Häßelbarth\Eigene Dateien\Download\cleaner_neu\HJT.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O4 - HKLM\..\Run: [dpdx32o] C:\WINDOWS\System32\dpdx32o.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [MDM Rock 4] C:\WINDOWS\System32\kfoymtelj.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.aol.de/e60/
O16 - DPF: {48884C41-EFAC-433D-958A-9FADAC41408E} (EGamesPlugin Class) - http://www.e-games.com.my/com/EGamesPlugin.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://go.divx.com/plugin/DivXBrowserPlugin.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O16 - DPF: {CAFEEFAC-0014-0001-0002-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_02) -
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - http://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = mydomain.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{37C37B22-08A9-41D9-9EAD-8087D14EBD50}: NameServer = 213.191.74.11 213.191.92.82
O17 - HKLM\System\CS1\Services\VxD\MSTCP: Domain = mydomain.com
O17 - HKLM\System\CS2\Services\VxD\MSTCP: Domain = mydomain.com
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

--
End of file - 3675 bytes


Combofix:

ComboFix 08-03-26.1 - Häßelbarth 2008-03-28 15:27:56.7 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.0.1252.1.1031.18.87 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Häßelbarth\Desktop\ComboFix.exe

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Autorun.inf

.
((((((((((((((((((((((( Dateien erstellt von 2008-02-28 bis 2008-03-28 ))))))))))))))))))))))))))))))
.

2008-03-28 15:13 . 2008-03-28 15:13 <DIR> d-------- C:\_OTMoveIt
2008-03-28 15:08 . 2001-08-23 13:00 87,552 ---h----- C:\bhywwhvcq.exe
2008-03-28 14:55 . 2008-03-28 15:08 <DIR> d-------- C:\fixwareout
2008-03-26 17:27 . 2008-03-26 17:27 <DIR> d-------- C:\Programme\CCleaner
2008-03-26 17:23 . 2008-03-26 17:23 9,216 --ahs---- C:\WINDOWS\Thumbs.db
2008-03-26 17:18 . 2008-03-26 17:19 4,096 --ahs---- C:\WINDOWS\system32\Thumbs.db
2008-03-26 12:55 . 2008-03-26 12:55 <DIR> d-------- C:\WINDOWS\BDOSCAN8
2008-03-25 17:45 . 2008-03-25 17:45 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-03-25 17:45 . 2008-03-25 17:45 <DIR> d-------- C:\Dokumente und Einstellungen\Häßelbarth\Anwendungsdaten\Malwarebytes
2008-03-25 17:45 . 2008-03-25 17:45 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-03-22 13:34 . 2008-03-05 15:56 3,786,760 --a------ C:\WINDOWS\system32\D3DX9_37.dll
2008-03-22 13:34 . 2008-03-05 15:56 1,420,824 --a------ C:\WINDOWS\system32\D3DCompiler_37.dll
2008-03-22 13:34 . 2008-02-05 23:07 462,864 --a------ C:\WINDOWS\system32\d3dx10_37.dll
2008-03-22 13:34 . 2008-03-05 16:03 238,088 --a------ C:\WINDOWS\system32\xactengine3_0.dll
2008-03-22 13:34 . 2008-03-05 16:00 25,608 --a------ C:\WINDOWS\system32\X3DAudio1_3.dll
2008-03-22 10:58 . 2008-03-22 10:59 <DIR> d-------- C:\Dokumente und Einstellungen\Häßelbarth\Anwendungsdaten\YuLeech

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-24 16:18 --------- d-----w C:\Programme\Game_Maker7
2008-03-24 09:47 --------- d-----w C:\Programme\Gemeinsame Dateien\Buhl Data Service
2008-03-22 09:57 --------- d-----w C:\Programme\WildGames
2008-03-22 09:57 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WildTangent
2008-03-22 09:55 --------- d-----w C:\Programme\eMule
2008-03-05 14:50 87,552 -c--a-w C:\WINDOWS\system32\dxdllreg.exe
2008-02-11 08:51 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\HSETU
2008-02-10 13:50 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-02-10 13:41 --------- d-----w C:\Programme\HSETU
2008-02-10 13:29 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Downloaded Installations
2008-02-09 21:57 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-02-09 21:05 --------- d-----w C:\Programme\kav7.0
2008-01-31 18:51 --------- d-----w C:\Programme\IsoBuster
2008-01-01 14:25 47,104 ----a-w C:\WINDOWS\system32\KMVIDC32.DLL
2007-10-05 18:54 132,242 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\firstlsp.reg.dat
2007-01-25 19:31 13,824 --sha-w C:\Programme\Gemeinsame Dateien\Thumbs.db
2006-04-19 06:34 60,888 ----a-w C:\Dokumente und Einstellungen\Häßelbarth\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2005-08-14 20:29 87,040 -csha-w C:\Programme\Thumbs.db
2001-08-23 12:00 322,560 -csha-w C:\WINDOWS\LastGood\System32\msvcrt.dll
2007-06-04 21:22 56 --sh--r C:\WINDOWS\system32\E7F4B94E98.sys
2007-06-04 21:22 848 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
2001-08-23 12:00 50,688 --sh--w C:\WINDOWS\system32\msvcirt.dll
2001-08-23 12:00 401,462 --sh--w C:\WINDOWS\system32\msvcp60.dll
2001-08-23 12:00 322,560 --sh--w C:\WINDOWS\system32\msvcrt.dll
2001-08-23 12:00 569,344 --sh--w C:\WINDOWS\system32\oleaut32.dll
2001-08-23 12:00 106,496 --sh--w C:\WINDOWS\system32\olepro32.dll
2001-08-23 12:00 10,752 --sh--w C:\WINDOWS\system32\regsvr32.exe
.

------- Sigcheck -------

2001-08-23 13:00 1010688 99bdef4a963c5075d708d287e2ca4c50 C:\WINDOWS\explorer.exe
2004-08-04 08:57 1041920 4c132f57e27c105f0259b569813e1d76 C:\WINDOWS\SoftwareDistribution\Download\fa6fb01ac82a6e60ca928c584157ebda\explorer.exe
2001-08-23 13:00 1010688 eb9d03cc2010a38780f9cbbedadc2fc1 C:\WINDOWS\system32\dllcache\explorer.exe
.
((((((((((((((((((((((((((((( snapshot_2008-03-26_12.20.34.49 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-01-09 14:01:48 118,784 ----a-w C:\WINDOWS\BDOSCAN8\bdupd.dll
+ 2008-01-09 14:01:48 53,248 ----a-w C:\WINDOWS\BDOSCAN8\ipsupd.dll
- 2000-08-31 07:00:00 173,568 ----a-w C:\WINDOWS\erdnt\Hiv-backup\ERDNT.EXE
+ 2000-08-31 07:00:00 163,328 ----a-w C:\WINDOWS\erdnt\Hiv-backup\ERDNT.EXE
- 2008-03-26 11:02:35 16,384 -c--a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
+ 2008-03-28 14:15:23 16,384 -c--a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
- 2008-03-26 11:02:35 81,920 -c--a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
+ 2008-03-28 14:15:23 81,920 -c--a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
- 2008-03-26 11:02:35 32,768 -c--a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
+ 2008-03-28 14:15:23 32,768 -c--a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
- 2004-01-11 15:03:32 36,864 ----a-w C:\WINDOWS\system32\LckFldService.exe
+ 2004-01-11 15:03:32 45,056 ----a-w C:\WINDOWS\system32\LckFldService.exe
- 2001-08-23 12:00:00 23,552 -c--a-w C:\WINDOWS\system32\wbem\winmgmt.exe
+ 2001-08-23 12:00:00 16,896 -c--a-w C:\WINDOWS\system32\wbem\winmgmt.exe
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\System32\ctfmon.exe" [2001-08-23 13:00 19968]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-09 22:14 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"dpdx32o"="C:\WINDOWS\System32\dpdx32o.exe" [ ]
"Share-to-Web Namespace Daemon"="C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe" [2001-07-03 08:11 65536]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2004-07-15 10:42 4112384]
"NvMediaCenter"="C:\WINDOWS\System32\NvMcTray.dll" [2004-07-15 10:42 81920]
"MDM Rock 4"="C:\WINDOWS\System32\kfoymtelj.exe" [ ]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2001-08-23 13:00 19968]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=NVDESK32.DLL

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, zwebauth.dll

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Alice (2).lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Alice (2).lnk
backup=C:\WINDOWS\pss\Alice (2).lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Erinnerungen für Microsoft Works-Kalender.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Erinnerungen für Microsoft Works-Kalender.lnk
backup=C:\WINDOWS\pss\Erinnerungen für Microsoft Works-Kalender.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^GStartup.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\GStartup.lnk
backup=C:\WINDOWS\pss\GStartup.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^HPAiODevice(hp officejet g series) - 1.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\HPAiODevice(hp officejet g series) - 1.lnk
backup=C:\WINDOWS\pss\HPAiODevice(hp officejet g series) - 1.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Program Neighborhood Agent.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Program Neighborhood Agent.lnk
backup=C:\WINDOWS\pss\Program Neighborhood Agent.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Häßelbarth^Startmenü^Programme^Autostart^PowerReg Scheduler V3.exe]
path=C:\Dokumente und Einstellungen\Häßelbarth\Startmenü\Programme\Autostart\PowerReg Scheduler V3.exe
backup=C:\WINDOWS\pss\PowerReg Scheduler V3.exeStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AOLDialer]
--a------ 2004-11-09 21:36 497240 C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BitTorrent]
C:\Programme\BitTorrent\bittorrent.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EbatesMoeMoneyMaker]
wjview /cp:p C:\Programme\EbatesMoeMoneyMaker\System\Code Main lp: C:\Programme\EbatesMoeMoneyMaker

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\F-StopW]
C:\Programme\FSI\F-Prot\F-StopW.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
--a------ 2006-07-11 11:15 3144800 C:\Programme\ICQLite\ICQLite.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\InCD]
C:\Programme\ahead\InCD\InCD.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
C:\Programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MGBSetup.exe]
C:\DOKUME~1\HELBAR~1\EIGENE~1\Download\MGBSET~1.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck]
C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2007-03-09 17:53 153136 C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
--a--c--- 2004-07-15 10:42 851968 C:\WINDOWS\system32\nwiz.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
C:\Programme\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpyKiller]
C:\Programme\SpyKiller\spykiller.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpySheriff]
C:\Program Files\SpySheriff\SpySheriff.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2005-11-10 13:03 45167 C:\Programme\Java\jre1.5.0_06\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
--a------ 2007-07-09 22:14 68856 C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\tpcupdater]
C:\WINDOWS\updatetc.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\updater]
C:\Programme\Common files\updater\wupdater.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
C:\Programme\Winamp\Winampa.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows installer]
C:\winstall.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"iPodService"=3 (0x3)
"WYxENx"=2 (0x2)
"NMIndexingService"=3 (0x3)
"MSWinLogonProcService"=2 (0x2)
"MDM"=2 (0x2)
"LckFldService"=2 (0x2)
"IDriverT"=3 (0x3)
"hpdj"=2 (0x2)
"gusvc"=3 (0x3)
"Boonty Games"=3 (0x3)
"AOL ACS"=2 (0x2)
"AntiVirService"=2 (0x2)
"AntiVirScheduler"=2 (0x2)

R0 FPA_RTP;FPA_RTP;C:\WINDOWS\System32\Drivers\FSTOPW.SYS [2003-09-29 14:16]
R0 PDDSLHND;PDDSLHND;C:\WINDOWS\System32\drivers\PDDSLHND.sys [2005-05-05 21:38]
R0 prohlp01;StarForce Protection Helper Driver v1;C:\WINDOWS\System32\drivers\prohlp01.sys [2002-12-10 17:42]
R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys [2007-08-09 13:04]
R1 prodrv05;StarForce Protection Environment Driver v5;C:\WINDOWS\System32\drivers\prodrv05.sys [2002-12-10 17:35]
R1 SSHDRV65;SSHDRV65;C:\WINDOWS\System32\drivers\SSHDRV65.sys [2007-06-28 20:18]
R3 PDDSLADP;ProDyne DSL Adapter;C:\WINDOWS\System32\DRIVERS\PDDSLADP.SYS [2005-05-05 21:35]
S0 ElbyVCD;ElbyVCD;C:\WINDOWS\System32\DRIVERS\ElbyVCD.sys []
S2 MKEMUSB;Panasonic Digital Palmcorder;C:\WINDOWS\System32\Drivers\Mkemusb.sys [2001-08-08 18:52]
S3 ATWPKT;ATWPKT;C:\WINDOWS\system32\Drivers\ATWPKT.SYS [2002-05-15 15:11]
S3 DCamUSBMke;USB Video Camera for Panasonic Digital Palmcorder;C:\WINDOWS\System32\Drivers\Mkeusbi.sys [2002-09-02 11:10]
S3 DCamUSBMke2;Panasonic USB Video Camera;C:\WINDOWS\System32\Drivers\Mkeusbi2.sys [2002-11-06 09:48]
S3 idrmkl;idrmkl;C:\DOKUME~1\HELBAR~1\LOKALE~1\Temp\idrmkl.sys []
S3 ids0004C;ids0004C;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Anti-Virus Personal\5.0\bases\ids0004C.sys []
S3 ids0005c;ids0005c;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Anti-Virus Personal\5.0\bases\ids0005c.sys []
S3 ids00118;ids00118;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Anti-Virus Personal\5.0\bases\ids00118.sys []
S3 ids0014f;ids0014f;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Anti-Virus Personal\5.0\bases\ids0014f.sys []
S3 ids0015d;ids0015d;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Anti-Virus Personal\5.0\bases\ids0015d.sys []
S3 ids00180;ids00180;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Anti-Virus Personal\5.0\bases\ids00180.sys []
S3 ids0018a;ids0018a;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Anti-Virus Personal\5.0\bases\ids0018a.sys []
S3 PDNETCTL;ProDyne MicroPPPoE;C:\WINDOWS\System32\DRIVERS\pdnetctl.sys [2005-09-07 23:09]
S3 TIGLUSB;TiglUsb.Sys TI-GRAPH/DIRECT LINK USB driver;C:\WINDOWS\System32\Drivers\TIGLUSB.sys [2005-07-24 13:09]
S3 XDva002;XDva002;C:\WINDOWS\System32\XDva002.sys []
S4 Boonty Games;Boonty Games;"C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe" [2005-05-26 22:56]

.
Inhalt des "geplante Tasks" Ordners
"2002-09-22 15:19:23 C:\WINDOWS\Tasks\Symantec NetDetect.job"
- C:\Programme\Symantec\LiveUpdate\NDETECT.EXE
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-28 15:32:49
Windows 5.1.2600 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

**************************************************************************
.
Zeit der Fertigstellung: 2008-03-28 15:35:24
ComboFix-quarantined-files.txt 2008-03-28 14:34:28
ComboFix2.txt 2008-03-27 16:07:12
ComboFix3.txt 2008-03-26 11:22:14
ComboFix4.txt 2008-03-24 17:44:23
ComboFix5.txt 2008-01-25 21:28:31
11 Verzeichnis(se), 5,663,354,880 Bytes frei
15 Verzeichnis(se), 5,602,058,240 Bytes frei

#8 hallo,

1.
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

MSWinLogonProcService

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

Windows Logon Process Service

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

-----------------------------------------------------

««
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern

Zitat

KILLALL::

Driver::
idrmkl

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
"dpdx32o"=-
"MDM Rock 4"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\tpcupdater]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\updater]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows installer]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpyKiller]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpySheriff]

File::
C:\Dokumente und Einstellungen\Häßelbarth\Lokale Einstellungen\Temp\idrmkl.sys
C:\winstall.exe
C:\WINDOWS\updatetc.exe
C:\bhywwhvcq.exe
C:\WINDOWS\System32\dpdx32o.exe
C:\WINDOWS\System32\kfoymtelj.exe

Folder::
C:\Programme\SpyKiller

Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.
cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen


danach: Combofix noch einmal anwenden

PC neustarten

»»
poste das neue Log von Combofix

------------

««
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit "Speichern unter" auf dem Desktop. Gebe bei Dateityp "Alle Dateien" an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\WINDOWS\Downloaded Program Files" >>files.txt
dir "C:\Programme\Common Files" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%" >>files.txt
dir "C:\Program Files" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temporary Internet Files\Content.IE5" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temp" >>files.txt
dir "C:\WINDOWS\Temp" >>files.txt
dir "C:\Temp" >>files.txt
dir "C:\Programme" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten" >>files.txt
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
dir "C:\Windows\tasks" >>files.txt
notepad files.txt

__________
MfG Sabina

rund um die PC-Sicherheit

#9 1.

REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "MSWinLogonProcService" 2008-03-28 21:43:12

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\services]
"MSWinLogonProcService"=dword:00000002

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Eventlog\Application\MSWinLogonProcService]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Eventlog\Application\MSWinLogonProcService]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Application\MSWinLogonProcService]



Bei der zweiten Eingabe kam "no instances found".




2

ComboFix 08-03-26.1 - Häßelbarth 2008-03-28 21:58:39.8 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.0.1252.1.1031.18.130 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Häßelbarth\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Häßelbarth\Desktop\CFScript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]

FILE ::
C:\bhywwhvcq.exe
C:\Dokumente und Einstellungen\Häßelbarth\Lokale Einstellungen\Temp\idrmkl.sys
C:\WINDOWS\System32\dpdx32o.exe
C:\WINDOWS\System32\kfoymtelj.exe
C:\WINDOWS\updatetc.exe
C:\winstall.exe
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\bhywwhvcq.exe

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_IDRMKL
-------\Service_idrmkl


((((((((((((((((((((((( Dateien erstellt von 2008-02-28 bis 2008-03-28 ))))))))))))))))))))))))))))))
.

2008-03-28 15:13 . 2008-03-28 15:13 <DIR> d-------- C:\_OTMoveIt
2008-03-28 14:55 . 2008-03-28 15:08 <DIR> d-------- C:\fixwareout
2008-03-26 17:27 . 2008-03-26 17:27 <DIR> d-------- C:\Programme\CCleaner
2008-03-26 17:23 . 2008-03-26 17:23 9,216 --ahs---- C:\WINDOWS\Thumbs.db
2008-03-26 17:18 . 2008-03-26 17:19 4,096 --ahs---- C:\WINDOWS\system32\Thumbs.db
2008-03-26 12:55 . 2008-03-26 12:55 <DIR> d-------- C:\WINDOWS\BDOSCAN8
2008-03-25 17:45 . 2008-03-25 17:45 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-03-25 17:45 . 2008-03-25 17:45 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-03-22 13:34 . 2008-03-05 15:56 3,786,760 --a------ C:\WINDOWS\system32\D3DX9_37.dll
2008-03-22 13:34 . 2008-03-05 15:56 1,420,824 --a------ C:\WINDOWS\system32\D3DCompiler_37.dll
2008-03-22 13:34 . 2008-02-05 23:07 462,864 --a------ C:\WINDOWS\system32\d3dx10_37.dll
2008-03-22 13:34 . 2008-03-05 16:03 238,088 --a------ C:\WINDOWS\system32\xactengine3_0.dll
2008-03-22 13:34 . 2008-03-05 16:00 25,608 --a------ C:\WINDOWS\system32\X3DAudio1_3.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-24 16:18 --------- d-----w C:\Programme\Game_Maker7
2008-03-24 09:47 --------- d-----w C:\Programme\Gemeinsame Dateien\Buhl Data Service
2008-03-22 09:57 --------- d-----w C:\Programme\WildGames
2008-03-22 09:57 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WildTangent
2008-03-22 09:55 --------- d-----w C:\Programme\eMule
2008-03-05 14:50 87,552 -c--a-w C:\WINDOWS\system32\dxdllreg.exe
2008-02-11 08:51 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\HSETU
2008-02-10 13:50 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-02-10 13:41 --------- d-----w C:\Programme\HSETU
2008-02-10 13:29 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Downloaded Installations
2008-02-09 21:57 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-02-09 21:05 --------- d-----w C:\Programme\kav7.0
2008-01-31 18:51 --------- d-----w C:\Programme\IsoBuster
2008-01-01 14:25 47,104 ----a-w C:\WINDOWS\system32\KMVIDC32.DLL
2007-10-05 18:54 132,242 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\firstlsp.reg.dat
2007-01-25 19:31 13,824 --sha-w C:\Programme\Gemeinsame Dateien\Thumbs.db
2005-08-14 20:29 87,040 -csha-w C:\Programme\Thumbs.db
2001-08-23 12:00 322,560 -csha-w C:\WINDOWS\LastGood\System32\msvcrt.dll
2007-06-04 21:22 56 --sh--r C:\WINDOWS\system32\E7F4B94E98.sys
2007-06-04 21:22 848 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
2001-08-23 12:00 50,688 --sh--w C:\WINDOWS\system32\msvcirt.dll
2001-08-23 12:00 401,462 --sh--w C:\WINDOWS\system32\msvcp60.dll
2001-08-23 12:00 322,560 --sh--w C:\WINDOWS\system32\msvcrt.dll
2001-08-23 12:00 569,344 --sh--w C:\WINDOWS\system32\oleaut32.dll
2001-08-23 12:00 106,496 --sh--w C:\WINDOWS\system32\olepro32.dll
2001-08-23 12:00 10,752 --sh--w C:\WINDOWS\system32\regsvr32.exe
.

------- Sigcheck -------

2001-08-23 13:00 1010688 99bdef4a963c5075d708d287e2ca4c50 C:\WINDOWS\explorer.exe
2004-08-04 08:57 1041920 4c132f57e27c105f0259b569813e1d76 C:\WINDOWS\SoftwareDistribution\Download\fa6fb01ac82a6e60ca928c584157ebda\explorer.exe
2001-08-23 13:00 1010688 eb9d03cc2010a38780f9cbbedadc2fc1 C:\WINDOWS\system32\dllcache\explorer.exe
.
((((((((((((((((((((((((((((( snapshot_2008-03-26_12.20.34.49 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-01-09 14:01:48 118,784 ----a-w C:\WINDOWS\BDOSCAN8\bdupd.dll
+ 2008-01-09 14:01:48 53,248 ----a-w C:\WINDOWS\BDOSCAN8\ipsupd.dll
- 2000-08-31 07:00:00 173,568 ----a-w C:\WINDOWS\erdnt\Hiv-backup\ERDNT.EXE
+ 2000-08-31 07:00:00 163,328 ----a-w C:\WINDOWS\erdnt\Hiv-backup\ERDNT.EXE
+ 2000-08-31 07:00:00 163,328 ----a-w C:\WINDOWS\erdnt\subs\ERDNT.EXE
- 2008-03-26 11:02:35 16,384 -c--a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
+ 2008-03-28 21:06:15 16,384 -c--a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
- 2008-03-26 11:02:35 81,920 -c--a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
+ 2008-03-28 21:06:15 81,920 -c--a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
- 2008-03-26 11:02:35 32,768 -c--a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
+ 2008-03-28 21:06:15 32,768 -c--a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
- 2004-01-11 15:03:32 36,864 ----a-w C:\WINDOWS\system32\LckFldService.exe
+ 2004-01-11 15:03:32 45,056 ----a-w C:\WINDOWS\system32\LckFldService.exe
- 2001-08-23 12:00:00 23,552 -c--a-w C:\WINDOWS\system32\wbem\winmgmt.exe
+ 2001-08-23 12:00:00 16,896 -c--a-w C:\WINDOWS\system32\wbem\winmgmt.exe
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\System32\ctfmon.exe" [2001-08-23 13:00 19968]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-09 22:14 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Share-to-Web Namespace Daemon"="C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe" [2001-07-03 08:11 65536]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2004-07-15 10:42 4112384]
"NvMediaCenter"="C:\WINDOWS\System32\NvMcTray.dll" [2004-07-15 10:42 81920]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2001-08-23 13:00 19968]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=NVDESK32.DLL

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, zwebauth.dll

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Alice (2).lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Alice (2).lnk
backup=C:\WINDOWS\pss\Alice (2).lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Erinnerungen für Microsoft Works-Kalender.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Erinnerungen für Microsoft Works-Kalender.lnk
backup=C:\WINDOWS\pss\Erinnerungen für Microsoft Works-Kalender.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^GStartup.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\GStartup.lnk
backup=C:\WINDOWS\pss\GStartup.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^HPAiODevice(hp officejet g series) - 1.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\HPAiODevice(hp officejet g series) - 1.lnk
backup=C:\WINDOWS\pss\HPAiODevice(hp officejet g series) - 1.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Program Neighborhood Agent.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Program Neighborhood Agent.lnk
backup=C:\WINDOWS\pss\Program Neighborhood Agent.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Häßelbarth^Startmenü^Programme^Autostart^PowerReg Scheduler V3.exe]
path=C:\Dokumente und Einstellungen\Häßelbarth\Startmenü\Programme\Autostart\PowerReg Scheduler V3.exe
backup=C:\WINDOWS\pss\PowerReg Scheduler V3.exeStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AOLDialer]
--a------ 2004-11-09 21:36 497240 C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BitTorrent]
C:\Programme\BitTorrent\bittorrent.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EbatesMoeMoneyMaker]
wjview /cp:p C:\Programme\EbatesMoeMoneyMaker\System\Code Main lp: C:\Programme\EbatesMoeMoneyMaker

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\F-StopW]
C:\Programme\FSI\F-Prot\F-StopW.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
--a------ 2006-07-11 11:15 3144800 C:\Programme\ICQLite\ICQLite.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\InCD]
C:\Programme\ahead\InCD\InCD.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
C:\Programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MGBSetup.exe]
C:\DOKUME~1\HELBAR~1\EIGENE~1\Download\MGBSET~1.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck]
C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2007-03-09 17:53 153136 C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
--a--c--- 2004-07-15 10:42 851968 C:\WINDOWS\system32\nwiz.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
C:\Programme\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2005-11-10 13:03 45167 C:\Programme\Java\jre1.5.0_06\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
--a------ 2007-07-09 22:14 68856 C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
C:\Programme\Winamp\Winampa.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"iPodService"=3 (0x3)
"WYxENx"=2 (0x2)
"NMIndexingService"=3 (0x3)
"MSWinLogonProcService"=2 (0x2)
"MDM"=2 (0x2)
"LckFldService"=2 (0x2)
"IDriverT"=3 (0x3)
"hpdj"=2 (0x2)
"gusvc"=3 (0x3)
"Boonty Games"=3 (0x3)
"AOL ACS"=2 (0x2)
"AntiVirService"=2 (0x2)
"AntiVirScheduler"=2 (0x2)

R0 FPA_RTP;FPA_RTP;C:\WINDOWS\System32\Drivers\FSTOPW.SYS [2003-09-29 14:16]
R0 PDDSLHND;PDDSLHND;C:\WINDOWS\System32\drivers\PDDSLHND.sys [2005-05-05 21:38]
R0 prohlp01;StarForce Protection Helper Driver v1;C:\WINDOWS\System32\drivers\prohlp01.sys [2002-12-10 17:42]
R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys [2007-08-09 13:04]
R1 prodrv05;StarForce Protection Environment Driver v5;C:\WINDOWS\System32\drivers\prodrv05.sys [2002-12-10 17:35]
R1 SSHDRV65;SSHDRV65;C:\WINDOWS\System32\drivers\SSHDRV65.sys [2007-06-28 20:18]
R3 PDDSLADP;ProDyne DSL Adapter;C:\WINDOWS\System32\DRIVERS\PDDSLADP.SYS [2005-05-05 21:35]
S0 ElbyVCD;ElbyVCD;C:\WINDOWS\System32\DRIVERS\ElbyVCD.sys []
S2 MKEMUSB;Panasonic Digital Palmcorder;C:\WINDOWS\System32\Drivers\Mkemusb.sys [2001-08-08 18:52]
S3 ATWPKT;ATWPKT;C:\WINDOWS\system32\Drivers\ATWPKT.SYS [2002-05-15 15:11]
S3 DCamUSBMke;USB Video Camera for Panasonic Digital Palmcorder;C:\WINDOWS\System32\Drivers\Mkeusbi.sys [2002-09-02 11:10]
S3 DCamUSBMke2;Panasonic USB Video Camera;C:\WINDOWS\System32\Drivers\Mkeusbi2.sys [2002-11-06 09:48]
S3 ids0004C;ids0004C;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Anti-Virus Personal\5.0\bases\ids0004C.sys []
S3 ids0005c;ids0005c;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Anti-Virus Personal\5.0\bases\ids0005c.sys []
S3 ids00118;ids00118;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Anti-Virus Personal\5.0\bases\ids00118.sys []
S3 ids0014f;ids0014f;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Anti-Virus Personal\5.0\bases\ids0014f.sys []
S3 ids0015d;ids0015d;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Anti-Virus Personal\5.0\bases\ids0015d.sys []
S3 ids00180;ids00180;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Anti-Virus Personal\5.0\bases\ids00180.sys []
S3 ids0018a;ids0018a;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Anti-Virus Personal\5.0\bases\ids0018a.sys []
S3 PDNETCTL;ProDyne MicroPPPoE;C:\WINDOWS\System32\DRIVERS\pdnetctl.sys [2005-09-07 23:09]
S3 TIGLUSB;TiglUsb.Sys TI-GRAPH/DIRECT LINK USB driver;C:\WINDOWS\System32\Drivers\TIGLUSB.sys [2005-07-24 13:09]
S3 XDva002;XDva002;C:\WINDOWS\System32\XDva002.sys []
S4 Boonty Games;Boonty Games;"C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe" [2005-05-26 22:56]

.
Inhalt des "geplante Tasks" Ordners
"2002-09-22 15:19:23 C:\WINDOWS\Tasks\Symantec NetDetect.job"
- C:\Programme\Symantec\LiveUpdate\NDETECT.EXE
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-28 22:06:48
Windows 5.1.2600 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\Citrix\ICA Client\ssonsvr.exe
C:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\wdfmgr.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-03-28 22:14:16 - machine was rebooted
ComboFix-quarantined-files.txt 2008-03-28 21:14:10
ComboFix2.txt 2008-03-28 14:35:25
ComboFix3.txt 2008-03-27 16:07:12
ComboFix4.txt 2008-03-26 11:22:14
ComboFix5.txt 2008-03-24 17:44:23
11 Verzeichnis(se), 5,986,775,040 Bytes frei
15 Verzeichnis(se), 5,885,399,040 Bytes frei



3


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5C03-607C

Verzeichnis von C:\WINDOWS\Downloaded Program Files

2007-07-02 15:44 941,688 asquared.ocx
2004-10-04 14:47 <DIR> CONFLICT.1
2002-11-02 10:31 <DIR> CONFLICT.2
2007-07-26 15:03 214 DivXPlugin.inf
2003-09-15 15:24 61,440 EGamesPlugin.dll
2003-09-15 10:05 308 EGamesPlugin.inf
2006-06-25 11:50 1,793 erma.inf
2006-06-20 19:46 322 IPSUploader.inf
2006-06-20 19:46 1,939,064 IPSUploader.ocx
2002-02-07 12:37 891 jinstall-1_4_0.inf
2004-12-07 00:21 752 jinstall-1_5_0_01.inf
2005-06-03 03:49 752 jinstall-1_5_0_04.inf
2002-10-14 10:47 75,088 MP3_Plugin.exe
2002-10-24 18:08 5,236,592 QuickTimeInstallCache.qdat
2004-12-01 11:27 1,329 setup.inf
2002-05-29 22:12 9,488 sporder_.dll
2006-11-09 14:36 5,019 swflash.inf
2002-11-01 23:09 76,384 The_Ultimate_Browser_Enhancer.exe
2002-05-29 22:12 53,248 xmlparse_.dll
2002-05-29 22:13 81,920 xmltok_.dll
18 Datei(en) 8,486,292 Bytes
2 Verzeichnis(se), 5,888,847,872 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5C03-607C

Verzeichnis von C:\Programme

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5C03-607C

Verzeichnis von C:\Dokumente und Einstellungen\Häßelbarth

2008-03-26 17:28 <DIR> .
2008-03-26 17:28 <DIR> ..
2005-02-21 17:04 250,363 .fonts.cache-1
2005-02-21 20:15 0 .gtk-bookmarks
2005-11-24 20:20 33 .gtkrc-2.0
2002-09-07 22:01 <DIR> .java
2005-05-14 23:55 <DIR> .javasvn
2006-09-03 13:04 <DIR> .javaws
2006-10-02 15:31 <DIR> .jpi_cache
2003-11-01 18:05 1,199 .plugin140.trace
2003-11-01 18:04 801 .plugin141_02.trace
2006-10-02 15:28 <DIR> .thumbnails
2002-09-13 07:28 <DIR> Application Data
2006-10-03 09:43 <DIR> Citrix
2008-03-28 22:17 <DIR> Desktop
2007-07-24 09:20 <DIR> DoctorWeb
2008-03-24 11:24 <DIR> Eigene Dateien
2008-03-24 10:59 <DIR> Favoriten
2008-02-13 18:41 <DIR> Startmenü
2002-09-21 17:06 <DIR> WINDOWS
5 Datei(en) 252,396 Bytes
15 Verzeichnis(se), 5,888,847,872 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5C03-607C

Verzeichnis von C:\Program Files

2007-12-31 22:03 <DIR> .
2007-12-31 22:03 <DIR> ..
2003-08-28 16:55 <DIR> Hewlett-Packard
2006-05-27 14:34 <DIR> ICQLite
2008-01-19 20:36 <DIR> mIRC
2007-12-12 21:06 <DIR> WMV9_VCM
0 Datei(en) 0 Bytes
6 Verzeichnis(se), 5,888,847,872 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5C03-607C

Verzeichnis von C:\Dokumente und Einstellungen\Häßelbarth\Lokale Einstellungen\Temporary Internet Files\Content.IE5

2008-03-28 22:17 65,536 index.dat
1 Datei(en) 65,536 Bytes
0 Verzeichnis(se), 5,888,847,872 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5C03-607C

Verzeichnis von C:\Dokumente und Einstellungen\Häßelbarth\Lokale Einstellungen\Temp

2008-03-28 22:17 <DIR> .
2008-03-28 22:17 <DIR> ..
2008-03-28 22:16 <DIR> Google Toolbar
0 Datei(en) 0 Bytes
3 Verzeichnis(se), 5,888,847,872 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5C03-607C

Verzeichnis von C:\WINDOWS\Temp

2008-03-28 22:14 <DIR> .
2008-03-28 22:14 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 5,888,843,776 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5C03-607C

Verzeichnis von C:\Temp

2008-01-10 22:29 <DIR> .
2008-01-10 22:29 <DIR> ..
2008-03-26 18:54 10,779 debug.txt
1 Datei(en) 10,779 Bytes
2 Verzeichnis(se), 5,888,843,776 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5C03-607C

Verzeichnis von C:\Programme

2008-03-28 21:59 <DIR> .
2008-03-28 21:59 <DIR> ..
2007-10-19 16:47 <DIR> 3DO
2002-09-04 15:14 <DIR> Adobe
2007-03-11 11:40 <DIR> Alice
2007-10-28 07:29 <DIR> AOL 9.0
2007-12-29 12:40 <DIR> Borland
2008-03-26 17:27 <DIR> CCleaner
2006-02-08 13:54 <DIR> Citrix
2002-10-24 10:45 <DIR> Cutter
2004-04-23 19:20 <DIR> CyberLink
2005-11-06 20:59 <DIR> directx
2007-09-11 23:09 <DIR> DivX
2007-12-25 21:31 <DIR> DOSBox-0.65
2008-03-22 10:55 <DIR> eMule
2007-06-04 16:27 <DIR> Enterbrain
2007-12-17 20:47 <DIR> FolderAccess
2003-12-23 19:25 <DIR> FSI
2007-07-09 19:53 <DIR> Game_Maker6
2008-03-24 17:18 <DIR> Game_Maker7
2008-03-26 13:02 <DIR> Gemeinsame Dateien
2007-01-26 23:23 <DIR> Google
2006-08-25 16:27 <DIR> Hewlett-Packard
2008-02-10 14:41 <DIR> HSETU
2007-03-08 22:27 <DIR> ICQLite
2004-11-14 12:02 <DIR> Internet Explorer
2008-01-31 19:51 <DIR> IsoBuster
2007-10-09 21:48 <DIR> Java
2003-11-01 17:55 <DIR> Java Web Start
2007-10-05 19:45 <DIR> Kaspersky Lab
2008-02-09 22:05 <DIR> kav7.0
2007-12-09 18:33 <DIR> Macromedia
2008-03-25 17:45 <DIR> Malwarebytes' Anti-Malware
2004-02-17 10:14 <DIR> MatheAss
2007-03-22 21:11 <DIR> MathType
2002-09-21 21:06 <DIR> Micrografx
2007-02-24 16:34 <DIR> microsoft frontpage
2007-03-22 21:19 <DIR> Microsoft Office
2007-03-09 15:32 <DIR> Microsoft Works
2003-11-08 20:15 <DIR> MKE
2001-09-03 16:03 <DIR> Movie Maker
2008-03-24 13:53 <DIR> Mozilla Firefox
2004-10-23 09:46 <DIR> MSN Gaming Zone
2004-10-09 21:42 <DIR> MSXML 4.0
2007-12-28 23:24 <DIR> NCH Swift Sound
2007-04-01 18:19 <DIR> Nero
2004-10-09 22:01 <DIR> NetMeeting
2003-10-30 19:34 <DIR> Nullsoft
2006-09-02 21:21 <DIR> NVIDIA
2005-08-04 19:59 <DIR> NVidia Refresh Rate Fix
2007-02-18 23:18 <DIR> OmniSecure
2007-10-29 17:26 <DIR> Online-Dienste
2007-02-19 22:28 <DIR> OpenOffice
2007-03-22 22:36 <DIR> OpenOffice.org 2.1
2008-01-10 23:25 <DIR> OpenOffice.org 2.3
2007-03-22 22:15 <DIR> OpenOffice.org1.0.1
2008-01-10 23:20 <DIR> OpenOfficeInstallationFiles
2007-11-17 18:18 <DIR> Opera7
2004-04-22 14:35 <DIR> Outlook Express
2006-10-02 13:45 <DIR> QuickTime
2002-12-09 10:24 <DIR> Real
2007-12-22 12:07 <DIR> SPSS
2007-03-18 09:29 <DIR> Steuerprogramm
2002-10-25 13:00 <DIR> Symantec
2007-09-07 22:15 <DIR> Terragen
2007-03-29 18:31 <DIR> Unlocker
2007-10-03 12:48 <DIR> ventasoft
2007-09-02 21:42 <DIR> VideoLAN
2001-09-03 16:27 <DIR> Viewpoint
2005-03-17 19:44 <DIR> w-sicherung
2007-01-15 17:51 <DIR> wartman
2008-03-22 10:57 <DIR> WildGames
2005-05-15 10:26 <DIR> Winamp
2005-12-17 22:12 <DIR> Windows Media Player
2006-10-02 00:46 <DIR> Windows NT
2007-03-21 08:26 <DIR> WinRAR
2007-03-20 17:09 <DIR> WinRAR2
2007-04-01 00:53 <DIR> WinZip
2007-03-18 16:33 <DIR> WISO
2001-09-03 16:06 <DIR> xerox
2007-12-28 23:23 <DIR> XviD
0 Datei(en) 0 Bytes
81 Verzeichnis(se), 5,888,839,680 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5C03-607C

Verzeichnis von C:\Dokumente und Einstellungen\Häßelbarth\Lokale Einstellungen\Anwendungsdaten

2007-04-04 16:40 <DIR> Ahead
2008-03-24 12:38 <DIR> Buhl Data Service
2008-03-24 17:52 149,504 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
2008-01-16 17:46 65,960 GDIPFONTCACHEV1.DAT
2006-11-06 21:59 <DIR> Google
2007-12-25 15:59 <DIR> Help
2002-09-05 15:29 <DIR> Identities
2007-11-17 20:30 <DIR> Macromedia
2008-02-19 08:16 <DIR> Microsoft
2006-10-02 23:22 <DIR> Mozilla
2007-02-19 22:29 <DIR> {3248F0A6-6813-11D6-A77B-00B0D0150070}
2 Datei(en) 215,464 Bytes
9 Verzeichnis(se), 5,888,839,680 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5C03-607C

Verzeichnis von C:\Dokumente und Einstellungen\Häßelbarth\Anwendungsdaten

2007-03-17 13:29 <DIR> AAV
2001-09-03 16:19 <DIR> Adobe
2007-03-28 15:52 <DIR> Ahead
2004-04-22 14:36 <DIR> AOL
2007-10-23 19:33 <DIR> Camfrog
2003-06-27 13:12 <DIR> CyberLink
2006-04-19 07:34 60,888 GDIPFONTCACHEV1.DAT
2006-09-20 19:48 <DIR> Google
2002-09-03 18:46 <DIR> Help
2003-08-28 17:17 <DIR> Hewlett-Packard
2006-02-08 14:18 <DIR> ICAClient
2004-04-29 16:31 <DIR> ICQ
2004-04-29 16:31 <DIR> ICQLite
2007-08-19 14:48 <DIR> Identities
2007-11-17 20:31 <DIR> Macromedia
2008-03-25 17:45 <DIR> Malwarebytes
2008-03-02 16:51 12,951 Microsoft Excel.CAL
2007-02-24 16:35 <DIR> Microsoft Web Folders
2005-10-23 18:56 <DIR> Mozilla
2002-11-29 17:13 <DIR> My Documents
2008-01-14 17:47 <DIR> OpenOffice.org2
2003-10-31 11:39 <DIR> Opera
2003-01-16 19:16 <DIR> Ordner HP Share-to-Web
2007-08-04 12:29 <DIR> STOIK
2003-11-01 18:10 <DIR> Sun
2007-03-22 22:15 0 sversion.ini
2002-09-22 16:13 <DIR> Symantec
2008-01-13 01:00 <DIR> The Hobbit
2007-03-20 21:29 <DIR> uk.co.planetside
2007-07-10 19:05 <DIR> Viewpoint
2007-09-02 21:54 <DIR> vlc
2007-07-29 21:19 1,024 WavCodec.wff
2008-03-22 10:59 <DIR> YuLeech
2007-08-19 14:48 <DIR> Zylom
4 Datei(en) 74,863 Bytes
30 Verzeichnis(se), 5,888,839,680 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5C03-607C

Verzeichnis von C:\Dokumente und Einstellungen\All Users\Anwendungsdaten

2007-10-05 19:58 305 addr_file.html
2007-04-04 17:10 <DIR> Ahead
2004-04-22 14:36 <DIR> AOL
2008-02-09 22:57 <DIR> Avira
2005-05-26 22:56 <DIR> BOONTY
2003-06-28 22:40 <DIR> CyberLink
2008-02-10 14:29 <DIR> Downloaded Installations
2007-10-05 19:54 132,242 firstlsp.reg.dat
2006-10-02 23:28 <DIR> Google
2008-02-11 09:51 <DIR> HSETU
2008-01-11 21:37 <DIR> Macromedia
2005-05-22 12:51 <DIR> Macrovision
2008-03-25 17:45 <DIR> Malwarebytes
2002-10-16 22:44 <DIR> MSN6
2007-04-05 20:28 <DIR> Nero
2006-09-03 17:01 <DIR> nView_Profiles
2002-10-24 18:06 <DIR> QuickTime
2002-09-22 16:14 <DIR> Symantec
2007-06-07 00:00 <DIR> TEMP
2005-05-15 10:57 <DIR> Trymedia
2005-01-02 15:02 <DIR> Ulead Systems
2007-07-09 19:10 <DIR> Viewpoint
2008-03-22 10:57 <DIR> WildTangent
2006-08-20 12:09 <DIR> Windows Genuine Advantage
2 Datei(en) 132,547 Bytes
22 Verzeichnis(se), 5,888,835,584 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5C03-607C

Verzeichnis von C:\Programme\Gemeinsame Dateien

2008-03-26 13:02 <DIR> .
2008-03-26 13:02 <DIR> ..
2007-03-17 13:22 <DIR> AAV
2002-09-04 13:26 <DIR> Adobe
2007-04-05 20:32 <DIR> Ahead
2007-03-11 11:40 <DIR> Alice
2005-05-06 07:50 <DIR> aol
2004-04-22 14:32 <DIR> aolback
2004-04-23 19:20 <DIR> aolshare
2005-05-26 22:56 <DIR> BOONTY Shared
2008-03-24 10:47 <DIR> Buhl Data Service
2007-03-22 21:22 <DIR> DESIGNER
2007-01-25 20:31 <DIR> Dienste
2003-12-23 14:49 <DIR> DirectX
2004-12-30 00:53 <DIR> InstallShield
2007-02-19 22:30 <DIR> Java
2008-02-19 08:14 <DIR> Microsoft Shared
2001-09-03 16:02 <DIR> MSSoap
2006-01-01 11:43 <DIR> NSV
2004-04-22 14:27 <DIR> Nullsoft
2007-03-09 16:04 <DIR> ODBC
2002-12-09 10:24 <DIR> Real
2001-09-03 16:52 <DIR> SpeechEngines
2006-11-25 23:36 <DIR> SWF Studio
2002-10-25 13:00 <DIR> Symantec Shared
2008-02-19 08:13 <DIR> System
2004-04-23 19:21 <DIR> Vbox
2007-12-09 18:25 <DIR> Wise Installation Wizard
0 Datei(en) 0 Bytes
28 Verzeichnis(se), 5,888,835,584 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5C03-607C

Verzeichnis von C:\Windows\tasks

2002-09-22 16:19 406 Symantec NetDetect.job
1 Datei(en) 406 Bytes
0 Verzeichnis(se), 5,888,835,584 Bytes frei

#10 1,
was ist das unter "Programme" ? ...wozu dient das Proggie ? -
2008-02-10 14:41 <DIR> HSETU

C:\Dokumente und Einstellungen\Häßelbarth\Anwendungsdaten
2008-03-22 10:59 <DIR> YuLeech - was ist das ?

2.
erstelle eine neue cfscript.txt

Zitat

Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EbatesMoeMoneyMaker]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\services]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Eventlog\Application\MSWinLogonProcService]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Eventlog\Application\MSWinLogonProcService]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Application\MSWinLogonProcService]

Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.

cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen

danach: Combofix noch einmal anwenden

PC neustarten

------------------

«
wende sdfix an - funktioniert nur im abgesicherten Modus - poste dann den report nach Neustart
http://www.virus-protect.org/artikel/tools/sdfix.html
__________
MfG Sabina

rund um die PC-Sicherheit

#11 1.
HSetu ist eine Software namens "Energieberater 6.0", Fachsoftware für Gebäudetechnik.

YuLeech (klingt ganz kriminell, ich weiß), ist eine Software, die zum Download des MMORPG BountyBayOnline diente.

Die beiden Programme müssten eigentlich sauber sein, weil andere Nutzer keine Probleme damit hatten.



ComboFix 08-03-27.3 - Häßelbarth 2008-03-29 12:10:15.9 - NTFSx86
ausgeführt von:: C:\Dokumente und Einstellungen\Häßelbarth\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Häßelbarth\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.
-- Script messages for sUBs --
Findstr -MIF:/ "\\TTC\.pdb InsertAdvertisement"
GREP -Eisf temp00
VFind -tf -s282624 "C:\Programme\????????*[0-9].dll"

((((((((((((((((((((((( Dateien erstellt von 2008-02-28 bis 2008-03-29 ))))))))))))))))))))))))))))))
.

2008-03-28 15:13 . 2008-03-28 15:13 <DIR> d-------- C:\_OTMoveIt
2008-03-28 14:55 . 2008-03-28 15:08 <DIR> d-------- C:\fixwareout
2008-03-26 17:27 . 2008-03-26 17:27 <DIR> d-------- C:\Programme\CCleaner
2008-03-26 17:23 . 2008-03-26 17:23 9,216 --ahs---- C:\WINDOWS\Thumbs.db
2008-03-26 17:18 . 2008-03-26 17:19 4,096 --ahs---- C:\WINDOWS\system32\Thumbs.db
2008-03-26 12:55 . 2008-03-26 12:55 <DIR> d-------- C:\WINDOWS\BDOSCAN8
2008-03-25 17:45 . 2008-03-25 17:45 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-03-25 17:45 . 2008-03-25 17:45 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-03-22 13:34 . 2008-03-05 15:56 3,786,760 --a------ C:\WINDOWS\system32\D3DX9_37.dll
2008-03-22 13:34 . 2008-03-05 15:56 1,420,824 --a------ C:\WINDOWS\system32\D3DCompiler_37.dll
2008-03-22 13:34 . 2008-02-05 23:07 462,864 --a------ C:\WINDOWS\system32\d3dx10_37.dll
2008-03-22 13:34 . 2008-03-05 16:03 238,088 --a------ C:\WINDOWS\system32\xactengine3_0.dll
2008-03-22 13:34 . 2008-03-05 16:00 25,608 --a------ C:\WINDOWS\system32\X3DAudio1_3.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-24 16:18 --------- d-----w C:\Programme\Game_Maker7
2008-03-24 09:47 --------- d-----w C:\Programme\Gemeinsame Dateien\Buhl Data Service
2008-03-22 09:57 --------- d-----w C:\Programme\WildGames
2008-03-22 09:57 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WildTangent
2008-03-22 09:55 --------- d-----w C:\Programme\eMule
2008-02-11 08:51 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\HSETU
2008-02-10 13:50 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-02-10 13:41 --------- d-----w C:\Programme\HSETU
2008-02-10 13:29 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Downloaded Installations
2008-02-09 21:57 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-02-09 21:05 --------- d-----w C:\Programme\kav7.0
2008-01-31 18:51 --------- d-----w C:\Programme\IsoBuster
2007-10-05 18:54 132,242 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\firstlsp.reg.dat
2007-01-25 19:31 13,824 --sha-w C:\Programme\Gemeinsame Dateien\Thumbs.db
2005-08-14 20:29 87,040 -csha-w C:\Programme\Thumbs.db
2001-08-23 12:00 322,560 -csha-w C:\WINDOWS\LastGood\System32\msvcrt.dll
2007-06-04 21:22 56 --sh--r C:\WINDOWS\system32\E7F4B94E98.sys
2007-06-04 21:22 848 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
2001-08-23 12:00 50,688 --sh--w C:\WINDOWS\system32\msvcirt.dll
2001-08-23 12:00 401,462 --sh--w C:\WINDOWS\system32\msvcp60.dll
2001-08-23 12:00 322,560 --sh--w C:\WINDOWS\system32\msvcrt.dll
2001-08-23 12:00 569,344 --sh--w C:\WINDOWS\system32\oleaut32.dll
2001-08-23 12:00 106,496 --sh--w C:\WINDOWS\system32\olepro32.dll
2001-08-23 12:00 10,752 --sh--w C:\WINDOWS\system32\regsvr32.exe
.

------- Sigcheck -------

2001-08-23 13:00 1010688 99bdef4a963c5075d708d287e2ca4c50 C:\WINDOWS\explorer.exe
2004-08-04 08:57 1041920 4c132f57e27c105f0259b569813e1d76 C:\WINDOWS\SoftwareDistribution\Download\fa6fb01ac82a6e60ca928c584157ebda\explorer.exe
2001-08-23 13:00 1010688 eb9d03cc2010a38780f9cbbedadc2fc1 C:\WINDOWS\system32\dllcache\explorer.exe
.
((((((((((((((((((((((((((((( snapshot_2008-03-26_12.20.34.49 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-01-09 14:01:48 118,784 ----a-w C:\WINDOWS\BDOSCAN8\bdupd.dll
+ 2008-01-09 14:01:48 53,248 ----a-w C:\WINDOWS\BDOSCAN8\ipsupd.dll
- 2000-08-31 07:00:00 173,568 ----a-w C:\WINDOWS\erdnt\Hiv-backup\ERDNT.EXE
+ 2000-08-31 07:00:00 163,328 ----a-w C:\WINDOWS\erdnt\Hiv-backup\ERDNT.EXE
+ 2000-08-31 07:00:00 163,328 ----a-w C:\WINDOWS\erdnt\subs\ERDNT.EXE
- 2008-03-26 11:02:35 16,384 -c--a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
+ 2008-03-29 11:17:46 16,384 -c--a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
- 2008-03-26 11:02:35 81,920 -c--a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
+ 2008-03-29 11:17:46 81,920 -c--a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
- 2008-03-26 11:02:35 32,768 -c--a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
+ 2008-03-29 11:17:46 32,768 -c--a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
- 2000-08-31 07:00:00 81,920 ----a-w C:\WINDOWS\system32\fdsv.exe
+ 2000-08-31 07:00:00 73,728 ----a-w C:\WINDOWS\system32\fdsv.exe
- 2000-08-31 07:00:00 87,068 ----a-w C:\WINDOWS\system32\grep.exe
+ 2000-08-31 07:00:00 80,412 ----a-w C:\WINDOWS\system32\grep.exe
- 2004-01-11 15:03:32 36,864 ----a-w C:\WINDOWS\system32\LckFldService.exe
+ 2004-01-11 15:03:32 45,056 ----a-w C:\WINDOWS\system32\LckFldService.exe
- 2000-08-31 07:00:00 105,472 ----a-w C:\WINDOWS\system32\sed.exe
+ 2000-08-31 07:00:00 98,816 ----a-w C:\WINDOWS\system32\sed.exe
- 2000-08-31 07:00:00 144,384 ----a-w C:\WINDOWS\system32\swsc.exe
+ 2000-08-31 07:00:00 136,704 ----a-w C:\WINDOWS\system32\swsc.exe
- 2000-08-31 07:00:00 219,136 ----a-w C:\WINDOWS\system32\swxcacls.exe
+ 2000-08-31 07:00:00 212,480 ----a-w C:\WINDOWS\system32\swxcacls.exe
- 2000-08-31 07:00:00 60,996 ----a-w C:\WINDOWS\system32\VFind.exe
+ 2000-08-31 07:00:00 49,152 ----a-w C:\WINDOWS\system32\VFind.exe
- 2001-08-23 12:00:00 23,552 -c--a-w C:\WINDOWS\system32\wbem\winmgmt.exe
+ 2001-08-23 12:00:00 16,896 -c--a-w C:\WINDOWS\system32\wbem\winmgmt.exe
- 2000-08-31 07:00:00 74,752 ----a-w C:\WINDOWS\system32\zip.exe
+ 2000-08-31 07:00:00 68,096 ----a-w C:\WINDOWS\system32\zip.exe
.
-- Snapshot reset to current date --
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\System32\ctfmon.exe" [2001-08-23 13:00 19968]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-09 22:14 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Share-to-Web Namespace Daemon"="C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe" [2001-07-03 08:11 65536]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2004-07-15 10:42 4112384]
"NvMediaCenter"="C:\WINDOWS\System32\NvMcTray.dll" [2004-07-15 10:42 81920]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2001-08-23 13:00 19968]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=NVDESK32.DLL

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, zwebauth.dll

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Alice (2).lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Alice (2).lnk
backup=C:\WINDOWS\pss\Alice (2).lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Erinnerungen für Microsoft Works-Kalender.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Erinnerungen für Microsoft Works-Kalender.lnk
backup=C:\WINDOWS\pss\Erinnerungen für Microsoft Works-Kalender.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^GStartup.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\GStartup.lnk
backup=C:\WINDOWS\pss\GStartup.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^HPAiODevice(hp officejet g series) - 1.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\HPAiODevice(hp officejet g series) - 1.lnk
backup=C:\WINDOWS\pss\HPAiODevice(hp officejet g series) - 1.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Program Neighborhood Agent.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Program Neighborhood Agent.lnk
backup=C:\WINDOWS\pss\Program Neighborhood Agent.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Häßelbarth^Startmenü^Programme^Autostart^PowerReg Scheduler V3.exe]
path=C:\Dokumente und Einstellungen\Häßelbarth\Startmenü\Programme\Autostart\PowerReg Scheduler V3.exe
backup=C:\WINDOWS\pss\PowerReg Scheduler V3.exeStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AOLDialer]
--a------ 2004-11-09 21:36 497240 C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BitTorrent]
C:\Programme\BitTorrent\bittorrent.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\F-StopW]
C:\Programme\FSI\F-Prot\F-StopW.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
--a------ 2006-07-11 11:15 3144800 C:\Programme\ICQLite\ICQLite.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\InCD]
C:\Programme\ahead\InCD\InCD.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
C:\Programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MGBSetup.exe]
C:\DOKUME~1\HELBAR~1\EIGENE~1\Download\MGBSET~1.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck]
C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2007-03-09 17:53 153136 C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
--a--c--- 2004-07-15 10:42 851968 C:\WINDOWS\system32\nwiz.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
C:\Programme\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2005-11-10 13:03 45167 C:\Programme\Java\jre1.5.0_06\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
--a------ 2007-07-09 22:14 68856 C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
C:\Programme\Winamp\Winampa.exe

R0 FPA_RTP;FPA_RTP;C:\WINDOWS\System32\Drivers\FSTOPW.SYS [2003-09-29 14:16]
R0 PDDSLHND;PDDSLHND;C:\WINDOWS\System32\drivers\PDDSLHND.sys [2005-05-05 21:38]
R0 prohlp01;StarForce Protection Helper Driver v1;C:\WINDOWS\System32\drivers\prohlp01.sys [2002-12-10 17:42]
R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys [2007-08-09 13:04]
R1 prodrv05;StarForce Protection Environment Driver v5;C:\WINDOWS\System32\drivers\prodrv05.sys [2002-12-10 17:35]
R1 SSHDRV65;SSHDRV65;C:\WINDOWS\System32\drivers\SSHDRV65.sys [2007-06-28 20:18]
R3 PDDSLADP;ProDyne DSL Adapter;C:\WINDOWS\System32\DRIVERS\PDDSLADP.SYS [2005-05-05 21:35]
S0 ElbyVCD;ElbyVCD;C:\WINDOWS\System32\DRIVERS\ElbyVCD.sys []
S2 MKEMUSB;Panasonic Digital Palmcorder;C:\WINDOWS\System32\Drivers\Mkemusb.sys [2001-08-08 18:52]
S3 ATWPKT;ATWPKT;C:\WINDOWS\system32\Drivers\ATWPKT.SYS [2002-05-15 15:11]
S3 DCamUSBMke;USB Video Camera for Panasonic Digital Palmcorder;C:\WINDOWS\System32\Drivers\Mkeusbi.sys [2002-09-02 11:10]
S3 DCamUSBMke2;Panasonic USB Video Camera;C:\WINDOWS\System32\Drivers\Mkeusbi2.sys [2002-11-06 09:48]
S3 ids0004C;ids0004C;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Anti-Virus Personal\5.0\bases\ids0004C.sys []
S3 ids0005c;ids0005c;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Anti-Virus Personal\5.0\bases\ids0005c.sys []
S3 ids00118;ids00118;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Anti-Virus Personal\5.0\bases\ids00118.sys []
S3 ids0014f;ids0014f;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Anti-Virus Personal\5.0\bases\ids0014f.sys []
S3 ids0015d;ids0015d;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Anti-Virus Personal\5.0\bases\ids0015d.sys []
S3 ids00180;ids00180;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Anti-Virus Personal\5.0\bases\ids00180.sys []
S3 ids0018a;ids0018a;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Anti-Virus Personal\5.0\bases\ids0018a.sys []
S3 PDNETCTL;ProDyne MicroPPPoE;C:\WINDOWS\System32\DRIVERS\pdnetctl.sys [2005-09-07 23:09]
S3 TIGLUSB;TiglUsb.Sys TI-GRAPH/DIRECT LINK USB driver;C:\WINDOWS\System32\Drivers\TIGLUSB.sys [2005-07-24 13:09]
S3 XDva002;XDva002;C:\WINDOWS\System32\XDva002.sys []
S4 Boonty Games;Boonty Games;"C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe" [2005-05-26 22:56]

.
Inhalt des "geplante Tasks" Ordners
"2002-09-22 15:19:23 C:\WINDOWS\Tasks\Symantec NetDetect.job"
- C:\Programme\Symantec\LiveUpdate\NDETECT.EXE
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-29 12:18:14
Windows 5.1.2600 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\Citrix\ICA Client\ssonsvr.exe
C:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\wdfmgr.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-03-29 12:26:35 - machine was rebooted [H„áelbarth]
ComboFix-quarantined-files.txt 2008-03-29 11:25:41
ComboFix2.txt 2008-03-28 21:14:17
ComboFix3.txt 2008-03-28 14:35:25
ComboFix4.txt 2008-03-27 16:07:12
ComboFix5.txt 2008-03-26 11:22:14
11 Verzeichnis(se), 7,513,780,224 Bytes frei
15 Verzeichnis(se), 7,438,553,088 Bytes frei

#12 wende sdfix an - funktioniert nur im abgesicherten Modus - poste dann den report nach Neustart- von sdfix
http://www.virus-protect.org/artikel/tools/sdfix.html
__________
MfG Sabina

rund um die PC-Sicherheit

#13 SDFix: Version 1.164

Run by Häßelbarth on 2008-03-29 at 23:44

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFix

Checking Services :


Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting


Checking Files :

Trojan Files Found:

C:\dbg.txt - Deleted
C:\WINDOWS\system32\drivers\etc\hosts.bho - Deleted
C:\WINDOWS\system32\pac.txt - Deleted





Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1344.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-30 00:13:23
Windows 5.1.2600 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Fonts]
"\xf8\xbb\xdc\xb4\x2026\xbap\xc8 ?(?T?r?u?e?T?y?p?e?)?"="Mmj.ttf"

scanning hidden files ...


scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 4


Remaining Services :



Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"\\??\\C:\\WINDOWS\\system32\\winlogon.exe"="\\??\\C:\\WINDOWS\\system32\\winlogon.exe:*:enabled:@shell32.dll,-1"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

Remaining Files :


File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes :

Mon 16 Oct 2000 87,392 A.SH. --- "C:\WINDOWS\TWAIN.DLL"
Mon 16 Oct 2000 77,312 A.SH. --- "C:\WINDOWS\TWAIN_32.DLL"
Wed 25 Feb 2004 54,384 A..H. --- "C:\Programme\AOL 9.0\aolphx.exe"
Mon 10 May 2004 156,784 A..H. --- "C:\Programme\AOL 9.0\aoltray.exe"
Wed 25 Feb 2004 31,344 A..H. --- "C:\Programme\AOL 9.0\RBM.exe"
Mon 19 Jan 2004 435,200 A..H. --- "C:\Programme\AOL 9.0\StartSM.exe"
Mon 4 Jun 2007 56 ..SHR --- "C:\WINDOWS\system32\E7F4B94E98.sys"
Mon 4 Jun 2007 848 A.SH. --- "C:\WINDOWS\system32\KGyGaAvL.sys"
Sat 10 May 2003 995,383 A.SH. --- "C:\WINDOWS\system32\MFC42.DLL"
Thu 23 Aug 2001 50,688 ..SH. --- "C:\WINDOWS\system32\msvcirt.dll"
Thu 23 Aug 2001 401,462 ..SH. --- "C:\WINDOWS\system32\msvcp60.dll"
Thu 23 Aug 2001 322,560 ..SH. --- "C:\WINDOWS\system32\msvcrt.dll"
Thu 23 Aug 2001 569,344 ..SH. --- "C:\WINDOWS\system32\oleaut32.dll"
Thu 23 Aug 2001 106,496 ..SH. --- "C:\WINDOWS\system32\olepro32.dll"
Thu 23 Aug 2001 10,752 ..SH. --- "C:\WINDOWS\system32\regsvr32.exe"
Tue 3 Sep 2002 4,348 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\DRMv1.bak"
Tue 4 Jan 2005 400 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\v2ks.bla.bak"
Tue 4 Jan 2005 48 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\v2ks.sec.bak"
Sat 21 Jun 2003 377,344 A..H. --- "C:\Programme\IsoBuster\Help\AHlp.exe"
Thu 23 Aug 2001 322,560 A.SH. --- "C:\WINDOWS\LastGood\System32\msvcrt.dll"
Thu 23 Aug 2001 569,344 A.SH. --- "C:\WINDOWS\LastGood\System32\OLEAUT32.DLL"

Fri 22 Oct 2004 320,872 A.SHR --- "C:\_OTMoveIt\MovedFiles\03282008_151340\WINDOWS\system32\6mo4svc.dll"
Fri 22 Oct 2004 320,872 A.SHR --- "C:\_OTMoveIt\MovedFiles\03282008_151340\WINDOWS\system32\6vo4svc.dll"
Fri 22 Oct 2004 320,872 A.SHR --- "C:\_OTMoveIt\MovedFiles\03282008_151340\WINDOWS\system32\ablui.dll"
Fri 22 Oct 2004 320,872 A.SHR --- "C:\_OTMoveIt\MovedFiles\03282008_151340\WINDOWS\system32\ajledit.dll"
Fri 22 Oct 2004 320,872 A.SHR --- "C:\_OTMoveIt\MovedFiles\03282008_151340\WINDOWS\system32\avledit.dll"
Thu 23 Aug 2001 87,552 A.SHR --- "C:\_OTMoveIt\MovedFiles\03282008_151340\WINDOWS\system32\kfoymtelj.exe"


Finished!

#14 «
otmoveIt
klicken: CleanUp! button

Begin cleanup process? klicke: Yes. - "Do you want to reboot?" klicke Yes
so wird von OTMoveIt2 automatisch alles an Tools entfernt, die zur Virenreinigung geladen wurden.

«
scanne mit dem Kaspersky ..im abgesicherten Modus ! und berichte, ob noch was gefunden wurde.
__________
MfG Sabina

rund um die PC-Sicherheit

#15 was muss ich denn bei OTMoveIt2 noch einfügen? wenn ich einfach so "CleanUP!" drücke, passiert nichts (hab ne stunde gewartet, weil er noch am arbeiten war, aber das programm schien abgestürzt zu sein.)

Und er fragt auch nicht "Begin Cleanup process?"


edit:
habs nochmal probiert: nach einer stunde kommt I/O error 112. und die festplatte ist restlos gefüllt. vor dem cleanup waren 10GB frei (von 30GB insgesamt). nach neustart sind wieder 10GB frei.