Probleme mit TR/Vundo.gen

#1 Hm, scheine wie so viele das Problem mit Vundo.gen zu haben, hab auch schon die VundoFix' ausprobiert, nichts gebracht... jetzt seid ihr meine letzte Rettung... das Problem an der Sache ist: ich bin auf dem Gebiet absolut unwissend, wär also nett wenns mir idiotensicher erklärt wird :/
Danke im Vorraus, hier ist die Hijackfile und darunter die Ergebnisse von "Malwarebytes":


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:11:56, on 22.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
E:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
E:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Bonjour\mDNSResponder.exe
E:\Programme\Nero8\Nero\Nero8\InCD\InCDsrv.exe
E:\Programme\Nero8\Nero\Nero8\Nero BackItUp\NBService.exe
E:\Programme\Nero8\Nero\Nero8\InCD\NBHRegInCDSrv.exe
C:\Programme\Spyware Doctor\pctsAuxs.exe
C:\Programme\Spyware Doctor\pctsSvc.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE
C:\Programme\D-Link\AirPlus G\AirGCFG.exe
C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\RTHDCPL.EXE
E:\Programme\Nero8\Nero\Nero8\InCD\NBHGui.exe
E:\Programme\Nero8\Nero\Nero8\InCD\InCD.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Lexmark 2300 Series\lxcgmon.exe
C:\Programme\Lexmark 2300 Series\ezprint.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Spyware Doctor\pctsTray.exe
E:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
E:\Programme\PowerDVD8\PDVD8Serv.exe
C:\Programme\Enigma Software Group\SpyHunter\SpyHunter3.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
E:\Programme\DAEMON Tools Lite\daemon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe
C:\Programme\CursorXP\CursorXP.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\wpabaln.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\lxcgcoms.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yodl.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: ContributeBHO Class - {074C1DC5-9320-4A9A-947D-C042949C6216} - E:\Programme\Adobe\/Adobe Contribute CS3/contributeieplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {C3F37ECA-A8D9-4633-92C6-FE24C7D16ABA} - C:\WINDOWS\system32\byXOgExU.dll
O2 - BHO: DVA Storm - {FFFDFF87-2CFE-40D6-9480-33E97FEC4362} - C:\WINDOWS\qnmargololr.dll
O3 - Toolbar: Contribute Toolbar - {517BDDE4-E3A7-4570-B21E-2B52B6139FC7} - E:\Programme\Adobe\/Adobe Contribute CS3/contributeieplugin.dll
O3 - Toolbar: dpevflbg - {60174039-2A3E-490F-B5CA-3CFBB6703F35} - C:\WINDOWS\dpevflbg.dll
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [D-Link AirPlus G] C:\Programme\D-Link\AirPlus G\AirGCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [QuickTime Task] "E:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe_ID0EYTHM] C:\PROGRA~1\GEMEIN~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SecurDisc] E:\Programme\Nero8\Nero\Nero8\InCD\NBHGui.exe
O4 - HKLM\..\Run: [InCD] E:\Programme\Nero8\Nero\Nero8\InCD\InCD.exe
O4 - HKLM\..\Run: [NBKeyScan] "E:\Programme\Nero8\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [lxcgmon.exe] "C:\Programme\Lexmark 2300 Series\lxcgmon.exe"
O4 - HKLM\..\Run: [EzPrint] "C:\Programme\Lexmark 2300 Series\ezprint.exe"
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [avgnt] "E:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [RemoteControl8] E:\Programme\PowerDVD8\PDVD8Serv.exe
O4 - HKLM\..\Run: [PDVD8LanguageShortcut] E:\Programme\PowerDVD8\Language\Language.exe
O4 - HKLM\..\Run: [ISTray] "C:\Programme\Spyware Doctor\pctsTray.exe"
O4 - HKCU\..\Run: [DAEMON Tools Lite] "E:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKCU\..\Run: [CursorXP] C:\Programme\CursorXP\CursorXP.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - Winlogon Notify: byXOgExU - C:\WINDOWS\SYSTEM32\byXOgExU.dll
O21 - SSODL: vadokmxt - {E5222F15-6D6C-4686-90AF-1A877689A62E} - C:\WINDOWS\vadokmxt.dll
O21 - SSODL: wdpoefan - {1407EA60-090A-4BDE-9933-9AC361FC39FA} - C:\WINDOWS\wdpoefan.dll (file missing)
O23 - Service: Adobe Version Cue CS3 {de_DE} (Adobe Version Cue CS3) - Adobe Systems Incorporated - C:\Programme\Gemeinsame Dateien\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - E:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - E:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - E:\Programme\Nero8\Nero\Nero8\InCD\InCDsrv.exe
O23 - Service: lxcg_device - - C:\WINDOWS\system32\lxcgcoms.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - E:\Programme\Nero8\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: Nero Registry InCD Service (NeroRegInCDSrv) - Nero AG - E:\Programme\Nero8\Nero\Nero8\InCD\NBHRegInCDSrv.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe

--
End of file - 9776 bytes






Malwarebytes:



Malwarebytes' Anti-Malware 1.11
Datenbank Version: 599

Scan Art: Komplett Scan (C:\|)
Objekte gescannt: 128046
Scan Dauer: 28 minute(s), 38 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\VideoPlugin (Trojan.Fakealert) -> No action taken.

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\System Volume Information\_restore{D2A0AAC6-A9B0-43D0-8087-6B6B08D526D7}\RP38\A0005797.dll (Worm.Voterai) -> No action taken.
C:\System Volume Information\_restore{D2A0AAC6-A9B0-43D0-8087-6B6B08D526D7}\RP38\A0005798.dll (Worm.Voterai) -> No action taken.
C:\System Volume Information\_restore{D2A0AAC6-A9B0-43D0-8087-6B6B08D526D7}\RP38\A0005801.dll (Worm.Voterai) -> No action taken.

#2 Es werden zwei Virenscanner benutzt,eins zuviel

Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

O2 - BHO: (no name) - {C3F37ECA-A8D9-4633-92C6-FE24C7D16ABA} - C:\WINDOWS\system32\byXOgExU.dll
O2 - BHO: DVA Storm - {FFFDFF87-2CFE-40D6-9480-33E97FEC4362} - C:\WINDOWS\qnmargor.dll
O3 - Toolbar: dpevflbg - {60174039-2A3E-490F-B5CA-3CFBB6703F35} - C:\WINDOWS\dpevflbg.dll
O20 - Winlogon Notify: byXOgExU - C:\WINDOWS\SYSTEM32\byXOgExU.dll
O21 - SSODL: vadokmxt - {E5222F15-6D6C-4686-90AF-1A877689A62E} - C:\WINDOWS\vadokmxt.dll
O21 - SSODL: wdpoefan - {1407EA60-090A-4BDE-9933-9AC361FC39FA} - C:\WINDOWS\wdpoefan.dll (file missing)

klicke: Fix checked
Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst

Wichtig:Rechner neu Starten

RVAXO
Download: RVAXO by Smeenk,zum Desktop RVAXO.zip entpacken
Starte dein Recher in abgesicherten Modus

Öffne die Datei RVAXO und doppelklick “RunMe.cmd”
Moeglich startet der Uninstaller von ein Roquescanner schliesse es nicht ab aber lass es seine Arbeit tun
Dein Rechner wird neu gestartet, das cmd-fenster von RVAXO oeffnet sich von neuem
Und warte bis ein logfile sich oeffnet:C:\RVAXO-results.log
Poste dessen inhalt hier ins Forum
Wenn dein Rechner nicht neu startet mach es manuel sowie auch RunMe.cmd
__________
MfG Argus

#3 Also erstmal:
Ich hab den rechner im abges. modus gestartet (also so weit kam ich schonmal...),
den abges. modus habe ich mit dem admistrator-konto gestartet (obwohl mein eigen-erstelltes benutzerkonto angeblich ein administrator-konto ist.. frag mich wo das ADMINISTRATOR-Konto eigentlich herkommt... muss wohl am abges. modus liegen..)
So, dann habe ich die RunMe.cmd gestartet.. dort wurden alle datein da von C durchsucht alleredings stand hinter jeder zeile: "konnte nicht gefunden werden" ist das normal?
am ende startete es wie es sollte den pc neu... hab ihn im normalen modus hochgefahren und bekam diese results.log-dabei.
Inhalt:

---RVAXO.exe Updated: 2008-04-22---first run---
Uninstallers:

Files found:
C:\WINDOWS\vadokmxt.dll
C:\WINDOWS\dpevflbg.dll
C:\WINDOWS\wxvgsdbq.exe
C:\WINDOWS\olgdqarf.exe

Folders Found:

Hosts-file was reset, If you use a custom hosts file please replace it...

--------------RVAXO.exe last run---------------
Not deleted items:

--------------RVAXO.exe finished----------------



ich hoffe mal das is alles richtig so (AntiVir meldet übrigens immenroch dass Vundo auf meinem PC ist, ist das normal?)

#4 Oeffne die Datei RVAXO auf dein Desktop
Doppleklick Uninstall.cmd um alles von RVAXO zu entfernen

ComboFix
Download ComboFix und speichert es auf den Desktop!
Alle Fenster schliessen und combofix.exe starten
Folge den Instruktionen in das Fenster
Waehrend Combofix lauft NICHT ins Fenster klicken sonst erfriert dein Rechner
Wenn das Tool fertig ist,oeffnet sich ein logfile (C:\ combofix.txt)
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
Wenn dein Virenscanner meckert,ignorieren !

zusammen mit ein neuen log von HijackThis
__________
MfG Argus

#5 Hm, muss dazu sagen dass sich beim Scan ständig mein "Spyware doctor meldete und den zugriff verboten hat... ebenso hat sich "spybot S&D" ständig gemeldet..
hier ist der Log vom Combofix

ComboFix 08-04-20.5 - Misha 2008-04-22 23:27:56.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.1241 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Misha\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\byXOgExU.dll

.
((((((((((((((((((((((( Dateien erstellt von 2008-03-22 bis 2008-04-22 ))))))))))))))))))))))))))))))
.

2008-04-22 17:39 . 2008-04-22 17:39 <DIR> d-------- C:\Dokumente und Einstellungen\Misha\Anwendungsdaten\Malwarebytes
2008-04-22 17:38 . 2008-04-22 17:40 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-04-22 17:38 . 2008-04-22 17:38 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-04-22 17:11 . 2008-04-22 17:11 <DIR> d-------- C:\Programme\Trend Micro
2008-04-22 14:42 . 2008-04-22 23:27 1,024 --ah----- C:\WINDOWS\system32\config\systemprofile\NtUser.dat.LOG
2008-04-21 22:41 . 2008-04-21 22:41 <DIR> d-------- C:\VundoFix Backups
2008-04-21 19:01 . 2008-04-22 14:40 <DIR> d-------- C:\Programme\Spyware Doctor
2008-04-21 19:01 . 2008-04-21 19:01 <DIR> d-------- C:\Dokumente und Einstellungen\Misha\Anwendungsdaten\PC Tools
2008-04-21 19:01 . 2008-04-22 22:29 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-04-21 19:01 . 2007-12-10 13:53 81,288 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys
2008-04-21 19:01 . 2007-12-10 13:53 66,952 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys
2008-04-21 19:01 . 2008-02-01 11:55 42,376 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys
2008-04-21 19:01 . 2007-12-10 13:53 29,576 --a------ C:\WINDOWS\system32\drivers\kcom.sys
2008-04-21 18:40 . 2008-04-21 18:40 <DIR> d-------- C:\Programme\Enigma Software Group
2008-04-21 18:20 . 2008-04-21 18:20 <DIR> d-------- C:\Dokumente und Einstellungen\Misha\Anwendungsdaten\TmpRecentIcons
2008-04-21 17:05 . 2008-04-21 17:05 <DIR> d-------- C:\Programme\Alwil Software
2008-04-21 00:05 . 2008-04-21 00:06 <DIR> d-------- C:\Programme\Spybot - Search & Destroy
2008-04-21 00:05 . 2008-04-21 01:05 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-04-20 22:52 . 2008-04-20 22:52 <DIR> d-------- C:\Programme\Gemeinsame Dateien\CyberLink
2008-04-20 22:52 . 2008-04-20 22:52 <DIR> d-------- C:\Dokumente und Einstellungen\Misha\Anwendungsdaten\CyberLink
2008-04-20 22:52 . 2008-04-20 22:52 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CyberLink
2008-04-20 22:51 . 2008-04-20 22:50 29,480 --a------ C:\WINDOWS\system32\msxml3a.dll
2008-04-20 18:23 . 2008-04-20 18:23 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-04-20 18:02 . 2008-04-22 19:36 69 --a------ C:\WINDOWS\NeroDigital.ini
2008-04-20 16:11 . 2008-04-20 16:11 <DIR> d-------- C:\Programme\CursorXP
2008-04-20 14:12 . 2008-04-20 14:12 <DIR> d-------- C:\Programme\Logitech
2008-04-20 14:12 . 2008-04-20 14:12 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Logitech
2008-04-20 14:10 . 2008-04-20 14:36 10,466 --a------ C:\WINDOWS\system32\LexFiles.ulf
2008-04-20 14:05 . 2004-08-03 22:58 15,104 --a------ C:\WINDOWS\system32\drivers\usbscan.sys
2008-04-20 14:05 . 2004-08-03 22:58 15,104 --a--c--- C:\WINDOWS\system32\dllcache\usbscan.sys
2008-04-20 14:04 . 2008-04-20 18:04 <DIR> d-------- C:\Temp\{9F5FBC24-EFE2-4f90-B498-EC0FB7D47D15}
2008-04-20 14:04 . 2008-04-20 18:04 <DIR> d-------- C:\Programme\Lexmark 2300 Series
2008-04-20 12:43 . 2008-04-20 12:43 1,024 --ah----- C:\Dokumente und Einstellungen\Default User\NtUser.dat.LOG
2008-04-20 12:42 . 2008-04-20 12:42 <DIR> d-------- C:\Dokumente und Einstellungen\Misha\Anwendungsdaten\Nero
2008-04-20 12:40 . 2008-04-20 12:41 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Nero
2008-04-20 12:40 . 2008-04-20 12:40 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nero
2008-04-19 23:55 . 2003-06-18 17:31 17,920 --a------ C:\WINDOWS\system32\mdimon.dll
2008-04-19 23:55 . 2008-04-19 23:55 400 --a------ C:\WINDOWS\ODBC.INI
2008-04-19 23:54 . 2008-04-19 23:54 <DIR> d-------- C:\WINDOWS\SHELLNEW
2008-04-19 23:54 . 2008-04-19 23:54 <DIR> d-------- C:\Programme\Microsoft.NET
2008-04-19 17:53 . 2008-04-19 23:51 <DIR> d-------- C:\Programme\Avanquest update
2008-04-19 17:53 . 2004-08-03 23:08 25,600 --a------ C:\WINDOWS\system32\drivers\usbser.sys
2008-04-19 17:53 . 2004-08-03 23:08 25,600 --a--c--- C:\WINDOWS\system32\dllcache\usbser.sys
2008-04-19 17:53 . 2003-12-26 04:22 24,192 -ra------ C:\WINDOWS\system32\drivers\OLD4C.tmp
2008-04-19 17:51 . 2008-04-20 00:05 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BVRP Software
2008-04-19 17:50 . 2008-04-19 17:50 24,192 --a------ C:\Dokumente und Einstellungen\Misha\usbsermptxp.sys
2008-04-19 17:50 . 2008-04-19 17:50 22,768 --a------ C:\WINDOWS\system32\drivers\usbsermpt.sys
2008-04-19 17:50 . 2008-04-19 17:50 22,768 --a------ C:\Dokumente und Einstellungen\Misha\usbsermpt.sys
2008-04-18 21:59 . 2008-04-18 21:59 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FLEXnet
2008-04-18 21:50 . 2008-04-18 21:50 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Control Panels
2008-04-18 21:47 . 2008-04-18 21:47 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ALM
2008-04-18 21:29 . 2008-04-18 21:29 <DIR> d-------- C:\Programme\QuickTime
2008-04-18 21:20 . 2007-02-20 16:04 2,463,976 --a------ C:\WINDOWS\system32\NPSWF32.dll
2008-04-18 21:20 . 2007-02-20 16:04 190,696 --a------ C:\WINDOWS\system32\NPSWF32_FlashUtil.exe
2008-04-18 21:13 . 2008-04-18 21:13 <DIR> d-------- C:\Programme\Bonjour
2008-04-18 21:10 . 2008-04-18 21:10 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Macrovision Shared
2008-04-18 21:03 . 2008-04-18 21:49 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Adobe
2008-04-18 20:58 . 2008-04-18 20:58 <DIR> d-------- C:\Dokumente und Einstellungen\Misha\Anwendungsdaten\DAEMON Tools
2008-04-18 20:58 . 2008-04-18 20:58 717,296 --a------ C:\WINDOWS\system32\drivers\sptd.sys
2008-04-18 20:34 . 2008-04-18 20:34 <DIR> d-------- C:\Dokumente und Einstellungen\Misha\Anwendungsdaten\Apple Computer
2008-04-18 20:32 . 2008-04-20 15:56 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-04-18 20:32 . 2008-04-18 20:32 1,409 --a------ C:\WINDOWS\QTFont.for
2008-04-18 20:31 . 2008-04-18 20:31 <DIR> d-------- C:\Programme\Apple Software Update
2008-04-18 20:31 . 2008-04-18 20:31 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2008-04-18 20:31 . 2008-04-18 20:31 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
2008-04-18 20:15 . 2008-04-18 20:15 <DIR> d-------- C:\Dokumente und Einstellungen\Misha\Anwendungsdaten\DivX
2008-04-18 20:15 . 2007-08-16 00:33 129,784 --------- C:\WINDOWS\system32\pxafs.dll
2008-04-18 20:15 . 2007-08-16 00:33 120,056 --------- C:\WINDOWS\system32\pxcpyi64.exe
2008-04-18 20:15 . 2007-08-16 00:33 118,520 --------- C:\WINDOWS\system32\pxinsi64.exe
2008-04-18 20:15 . 2007-08-16 00:33 9,464 --------- C:\WINDOWS\system32\drivers\cdralw2k.sys
2008-04-18 20:15 . 2007-08-16 00:33 9,336 --------- C:\WINDOWS\system32\drivers\cdr4_xp.sys
2008-04-18 19:46 . 2008-04-18 19:46 <DIR> d-------- C:\Programme\FileSubmit
2008-04-18 18:24 . 2008-04-18 18:24 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-04-18 18:24 . 2008-04-18 18:24 <DIR> d-------- C:\Dokumente und Einstellungen\Misha\Anwendungsdaten\TuneUp Software
2008-04-18 18:24 . 2007-03-29 04:42 29,704 --a------ C:\WINDOWS\system32\uxtuneup.dll
2008-04-18 18:20 . 2008-04-18 18:20 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software
2008-04-18 17:45 . 2006-05-04 16:26 2,808,832 --a------ C:\WINDOWS\alcwzrd.exe
2008-04-18 17:45 . 2005-05-03 18:43 69,632 --a------ C:\WINDOWS\Alcmtr.exe
2008-04-18 17:44 . 2008-04-18 17:44 <DIR> d-------- C:\Programme\Realtek
2008-04-18 15:47 . 2007-02-02 21:40 3,107,788 -ra------ C:\WINDOWS\system32\ativvaxx.dat
2008-04-18 15:47 . 2007-02-02 22:04 307,200 -ra------ C:\WINDOWS\system32\ATIDEMGX.dll
2008-04-18 15:47 . 2006-08-24 00:26 2,096 -ra------ C:\WINDOWS\system32\drivers\ativdkxx.vp
2008-04-18 15:16 . 2008-04-18 15:16 <DIR> d-------- C:\Programme\MSXML 4.0
2008-04-17 22:32 . 2008-04-16 19:22 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-04-17 22:32 . 2008-04-16 20:09 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmenü
2008-04-17 22:32 . 2008-04-16 20:09 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-04-17 22:32 . 2008-04-22 23:32 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-04-17 22:32 . 2008-04-16 20:09 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-04-17 22:32 . 2008-04-16 20:09 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-04-17 22:32 . 2008-04-16 20:09 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-04-17 22:32 . 2008-04-17 22:32 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator
2008-04-17 22:32 . 2008-04-22 23:27 1,024 --ah----- C:\Dokumente und Einstellungen\Administrator\ntuser.dat.LOG
2008-04-17 20:26 . 2008-04-17 20:26 <DIR> d-------- C:\WINDOWS\Sun
2008-04-17 20:10 . 2008-02-22 02:33 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-04-17 20:09 . 2008-04-17 20:10 <DIR> d-------- C:\Programme\Java
2008-04-17 20:07 . 2008-04-17 20:07 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Java
2008-04-17 20:02 . 2008-04-18 18:12 <DIR> d-------- C:\Dokumente und Einstellungen\Misha\dwhelper
2008-04-17 18:41 . 2008-04-17 18:41 1,144 --a------ C:\WINDOWS\mozver.dat
2008-04-17 18:25 . 2008-04-17 18:27 <DIR> d-------- C:\Programme\ICQ6
2008-04-17 18:25 . 2008-04-17 18:27 <DIR> d-------- C:\Dokumente und Einstellungen\Misha\Anwendungsdaten\ICQ
2008-04-17 18:24 . 2008-04-17 18:24 <DIR> d-------- C:\Dokumente und Einstellungen\Misha\Anwendungsdaten\InstallShield
2008-04-17 18:02 . 2008-04-17 18:02 0 --a------ C:\WINDOWS\nsreg.dat
2008-04-17 17:31 . 2008-04-18 15:28 <DIR> d--h----- C:\WINDOWS\$hf_mig$
2008-04-17 16:20 . 2008-04-17 16:20 <DIR> d-------- C:\Programme\ASUS
2008-04-17 16:18 . 2008-04-17 16:18 <DIR> d--hs---- C:\Dokumente und Einstellungen\Misha\UserData
2008-04-17 16:03 . 2005-03-12 21:48 243,456 -ra------ C:\WINDOWS\system32\drivers\rt2500usb.sys
2008-04-17 15:37 . 2008-04-17 15:37 <DIR> d-------- C:\Programme\ANI
2008-04-17 15:36 . 2008-04-17 15:51 <DIR> d-------- C:\Programme\D-Link
2008-04-17 15:21 . 2008-04-17 15:21 <DIR> d-------- C:\WINDOWS\OPTIONS
2008-04-17 15:21 . 2006-08-15 07:09 83,200 -ra------ C:\WINDOWS\system32\drivers\Rtenicxp.sys
2008-04-17 14:55 . 2008-04-17 14:55 <DIR> d-------- C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\ATI
2008-04-17 13:58 . 2004-08-04 00:57 21,504 --a------ C:\WINDOWS\system32\hidserv.dll
2008-04-17 13:58 . 2004-08-04 00:57 21,504 --a--c--- C:\WINDOWS\system32\dllcache\hidserv.dll
2008-04-17 13:58 . 2004-08-04 00:46 14,848 --a------ C:\WINDOWS\system32\drivers\kbdhid.sys
2008-04-17 13:58 . 2004-08-04 00:46 14,848 --a--c--- C:\WINDOWS\system32\dllcache\kbdhid.sys
2008-04-17 13:52 . 2008-04-17 13:54 <DIR> d-------- C:\Programme\Winamp
2008-04-17 13:52 . 2008-04-22 19:38 155 --a------ C:\WINDOWS\winamp.ini
2008-04-17 13:47 . 2008-04-17 13:47 <DIR> d-------- C:\WINDOWS\system32\NtmsData
2008-04-17 13:40 . 2007-08-16 00:33 43,528 --------- C:\WINDOWS\system32\drivers\pxhelp20.sys
2008-04-17 13:38 . 2004-08-03 23:08 26,496 --a--c--- C:\WINDOWS\system32\dllcache\usbstor.sys
2008-03-31 23:25 . 2008-03-31 23:25 831,488 --a------ C:\WINDOWS\system32\divx_xx0a.dll
2008-03-31 23:25 . 2008-03-31 23:25 823,296 --a------ C:\WINDOWS\system32\divx_xx0c.dll
2008-03-31 23:25 . 2008-03-31 23:25 823,296 --a------ C:\WINDOWS\system32\divx_xx07.dll
2008-03-31 23:25 . 2008-03-31 23:25 802,816 --a------ C:\WINDOWS\system32\divx_xx11.dll
2008-03-31 23:25 . 2008-03-31 23:25 682,496 --a------ C:\WINDOWS\system32\DivX.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-20 20:52 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-04-18 15:44 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2008-04-16 17:48 --------- d-----w C:\Dokumente und Einstellungen\Misha\Anwendungsdaten\ATI
2008-04-16 17:43 --------- d-----w C:\Programme\ATI Technologies
2008-04-16 17:42 --------- d-----w C:\Programme\Gemeinsame Dateien\ATI Technologies
2008-04-16 17:25 --------- d-----w C:\Programme\microsoft frontpage
2008-04-16 17:24 --------- d-----w C:\Programme\Online-Dienste
2008-04-16 17:24 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C3F37ECA-A8D9-4633-92C6-FE24C7D16ABA}]
C:\WINDOWS\system32\byXOgExU.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\NBHShellExt]
@={8D2223A2-B3C6-4e32-B096-CDD11F628C60}

[HKEY_CLASSES_ROOT\CLSID\{8D2223A2-B3C6-4e32-B096-CDD11F628C60}]
2007-12-13 22:02 96552 --a------ E:\Programme\Nero8\Nero\Nero8\InCD\NBHShx.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools Lite"="E:\Programme\DAEMON Tools Lite\daemon.exe" [2008-04-01 11:39 486856]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360]
"IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe" [2007-12-13 19:10 1688872]
"CursorXP"="C:\Programme\CursorXP\CursorXP.exe" [2005-01-19 17:34 128000]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43 2097488]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATICCC"="C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-05-10 11:12 90112]
"WinampAgent"="C:\Programme\Winamp\winampa.exe" [2003-12-13 02:50 33792]
"D-Link AirPlus G"="C:\Programme\D-Link\AirPlus G\AirGCFG.exe" [2004-03-15 13:43 1933312]
"ANIWZCS2Service"="C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe" [2003-08-21 16:11 32768]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
"RTHDCPL"="RTHDCPL.EXE" [2007-02-26 15:03 16125440 C:\WINDOWS\RTHDCPL.exe]
"SkyTel"="SkyTel.EXE" [2006-05-16 18:04 2879488 C:\WINDOWS\SkyTel.exe]
"QuickTime Task"="E:\Programme\QuickTime\QTTask.exe" [2008-03-28 23:37 413696]
"Adobe_ID0EYTHM"="C:\PROGRA~1\GEMEIN~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE" [2007-03-20 16:40 1884160]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe" [2007-03-01 14:57 153136]
"SecurDisc"="E:\Programme\Nero8\Nero\Nero8\InCD\NBHGui.exe" [2007-12-13 22:02 2048808]
"InCD"="E:\Programme\Nero8\Nero\Nero8\InCD\InCD.exe" [2007-12-13 22:02 1082152]
"NBKeyScan"="E:\Programme\Nero8\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2007-12-03 14:21 2213160]
"lxcgmon.exe"="C:\Programme\Lexmark 2300 Series\lxcgmon.exe" [2005-07-21 02:07 200704]
"EzPrint"="C:\Programme\Lexmark 2300 Series\ezprint.exe" [2005-08-01 08:05 94208]
"Logitech Utility"="Logi_MwX.Exe" [2003-11-07 11:50 19968 C:\WINDOWS\LOGI_MWX.EXE]
"avgnt"="E:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401]
"RemoteControl8"="E:\Programme\PowerDVD8\PDVD8Serv.exe" [2008-03-20 20:23 83240]
"PDVD8LanguageShortcut"="E:\Programme\PowerDVD8\Language\Language.exe" [2007-12-14 11:36 50472]
"ISTray"="C:\Programme\Spyware Doctor\pctsTray.exe" [2008-02-01 11:55 1103240]

C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\
Logitech Desktop Messenger.lnk - C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe [2008-04-20 14:12:40 169472]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoUserNameInStartMenu"= 1 (0x1)

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{C3F37ECA-A8D9-4633-92C6-FE24C7D16ABA}"= C:\WINDOWS\system32\byXOgExU.dll [ ]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\byXOgExU]
byXOgExU.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"C:\\Programme\\Gemeinsame Dateien\\Adobe\\Adobe Version Cue CS3\\Server\\bin\\VersionCueCS3.exe"=
"E:\\Programme\\PowerDVD8\\PowerDVD8.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3703:TCP"= 3703:TCP:Adobe Version Cue CS3 Server
"3704:TCP"= 3704:TCP:Adobe Version Cue CS3 Server
"50900:TCP"= 50900:TCP:Adobe Version Cue CS3 Server
"50901:TCP"= 50901:TCP:Adobe Version Cue CS3 Server

R2 NeroRegInCDSrv;Nero Registry InCD Service;E:\Programme\Nero8\Nero\Nero8\InCD\NBHRegInCDSrv.exe [2007-12-13 22:02]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 14:00]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]
\Shell\AutoRun\command - D:\atisetup.exe
\Shell\launch\command - D:\atisetup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e69347a6-0be4-11dd-b984-806d6172696f}]
\Shell\AutoRun\command - F:\atisetup.exe
\Shell\launch\command - F:\atisetup.exe

*Newly Created Service* - CATCHME
.
Inhalt des "geplante Tasks" Ordners
"2008-04-18 16:24:40 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- E:\Programme\SystemOptimizer.exe
"2008-04-18 18:31:47 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************
Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...


**************************************************************************
.
Zeit der Fertigstellung: 2008-04-22 23:35:44
ComboFix-quarantined-files.txt 2008-04-22 21:35:25

8 Verzeichnis(se), 18,697,256,960 Bytes frei
10 Verzeichnis(se), 20,284,551,168 Bytes frei

235 --- E O F --- 2008-04-18 13:24:52




und hier is nochma der Hijack

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:38:34, on 22.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
E:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
E:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Bonjour\mDNSResponder.exe
E:\Programme\Nero8\Nero\Nero8\InCD\InCDsrv.exe
E:\Programme\Nero8\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\Explorer.EXE
E:\Programme\Nero8\Nero\Nero8\InCD\NBHRegInCDSrv.exe
C:\Programme\Spyware Doctor\pctsAuxs.exe
C:\Programme\Spyware Doctor\pctsSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Spyware Doctor\pctsTray.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE
C:\Programme\D-Link\AirPlus G\AirGCFG.exe
C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\RTHDCPL.EXE
E:\Programme\Nero8\Nero\Nero8\InCD\NBHGui.exe
E:\Programme\Nero8\Nero\Nero8\InCD\InCD.exe
C:\Programme\Lexmark 2300 Series\lxcgmon.exe
C:\Programme\Lexmark 2300 Series\ezprint.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
E:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
E:\Programme\PowerDVD8\PDVD8Serv.exe
E:\Programme\DAEMON Tools Lite\daemon.exe
C:\WINDOWS\system32\lxcgcoms.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe
C:\Programme\CursorXP\CursorXP.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ICQ6\ICQ.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yodl.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: ContributeBHO Class - {074C1DC5-9320-4A9A-947D-C042949C6216} - E:\Programme\Adobe\/Adobe Contribute CS3/contributeieplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {C3F37ECA-A8D9-4633-92C6-FE24C7D16ABA} - C:\WINDOWS\system32\byXOgExU.dll (file missing)
O3 - Toolbar: Contribute Toolbar - {517BDDE4-E3A7-4570-B21E-2B52B6139FC7} - E:\Programme\Adobe\/Adobe Contribute CS3/contributeieplugin.dll
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [D-Link AirPlus G] C:\Programme\D-Link\AirPlus G\AirGCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [QuickTime Task] "E:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe_ID0EYTHM] C:\PROGRA~1\GEMEIN~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SecurDisc] E:\Programme\Nero8\Nero\Nero8\InCD\NBHGui.exe
O4 - HKLM\..\Run: [InCD] E:\Programme\Nero8\Nero\Nero8\InCD\InCD.exe
O4 - HKLM\..\Run: [NBKeyScan] "E:\Programme\Nero8\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [lxcgmon.exe] "C:\Programme\Lexmark 2300 Series\lxcgmon.exe"
O4 - HKLM\..\Run: [EzPrint] "C:\Programme\Lexmark 2300 Series\ezprint.exe"
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [avgnt] "E:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [RemoteControl8] E:\Programme\PowerDVD8\PDVD8Serv.exe
O4 - HKLM\..\Run: [PDVD8LanguageShortcut] E:\Programme\PowerDVD8\Language\Language.exe
O4 - HKLM\..\Run: [ISTray] "C:\Programme\Spyware Doctor\pctsTray.exe"
O4 - HKCU\..\Run: [DAEMON Tools Lite] "E:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKCU\..\Run: [CursorXP] C:\Programme\CursorXP\CursorXP.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - Winlogon Notify: byXOgExU - byXOgExU.dll (file missing)
O23 - Service: Adobe Version Cue CS3 {de_DE} (Adobe Version Cue CS3) - Adobe Systems Incorporated - C:\Programme\Gemeinsame Dateien\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - E:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - E:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - E:\Programme\Nero8\Nero\Nero8\InCD\InCDsrv.exe
O23 - Service: lxcg_device - - C:\WINDOWS\system32\lxcgcoms.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - E:\Programme\Nero8\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: Nero Registry InCD Service (NeroRegInCDSrv) - Nero AG - E:\Programme\Nero8\Nero\Nero8\InCD\NBHRegInCDSrv.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe

--
End of file - 9261 bytes

#6 Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

O2 - BHO: (no name) - {C3F37ECA-A8D9-4633-92C6-FE24C7D16ABA} - C:\WINDOWS\system32\byXOgExU.dll (file missing)
O20 - Winlogon Notify: byXOgExU - byXOgExU.dll (file missing)

klicke: Fix checked
Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst

Benutze ein Cleaner
http://www.ccleaner.de/?protecus.de

CombiFix entfernen
Start > Ausführen>Kopiere rein ComboFix /U OK

Download OTCleanIt. by OldTimer zum Desktop
Schliesse alle Fenster
Doppelklick: OTCleanIt.
Klicke: CleanUp

Wenn gefragt wird “Do you want to reboot now?”klicke “Yes”
Dein Rechner wird neu gestartet

Systemwiederherstellung
http://www.virus-protect.org/systemwiederherstellung.html
Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung --> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. - dann wieder aktivieren


Auf ein Rechner sollte nur ein Guard taetig sein
Es gibt auch wieder ein Update von Java (signatur)
__________
MfG Argus

#7 Ich frage mal vorher:
Ich soll das Häkchen bei der Sys-Wiederherstellung machen und sofort anschließend wieder rausmachen?



Edit:
hm.. ok habs jetzt einfach reingemacht und wieder rausgenommen (das "x"...)
Was ist als nächstes zu tun oder habe ich das problem jetzt behoben?