Antivirus 2008 PRO, Klappe die X.te

#1 Hallo Community,

ich habe wie so viele andere User auch ein Problem mit dem "Antivirus 2008 PRO"...

Bekomme in regelmäßigen Abständen ein Pop-up, das mich auffordert, besagtes Programm downzuloaden.
Außerdem hab ich unfreiwillig ein neues Desktophintergrundbild bekommen..
"Your privacy is in danger! Download privacy protection software now"..
welches als direktlink fungiert.

Hab mich schon in anderen Threads schlau gemacht und alle Programme besorgt, nur weiß ich ab hier nicht mehr weiter!

Würd mich über Hilfe freuen,

MfG Soiz

Edit:

(Hijack This Logfile)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:20:21, on 29.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\Sygate\SPF\smc.exe
D:\Ad-Aware\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
D:\Avira\AntiVir PersonalEdition Classic\avguard.exe
D:\Avira\AntiVir PersonalEdition Classic\avgnt.exe
D:\Copyhandler\ch.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
D:\Logitech\iTouch\iTouch.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\ASUS\SmartDoctor\SmartDoctor.exe
D:\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE
D:\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\ATKKBService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
d:\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\SearchIndexer.exe
D:\Mozilla Firefox\firefox.exe
D:\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [avgnt] "D:\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Copy Handler] D:\Copyhandler\ch.exe
O4 - HKLM\..\Run: [SmcService] D:\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [zBrowser Launcher] d:\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ASUS SmartDoctor] C:\Program Files\ASUS\SmartDoctor\SmartDoctor.exe /start
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = D:\Logitech\SetPoint\SetPoint.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - d:\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - d:\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O21 - SSODL: qegbdmwf - {508B164E-B874-4F2F-9EE7-2AEEE78F98D2} - C:\WINDOWS\qegbdmwf.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - D:\Ad-Aware\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTServ.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - D:\Sygate\SPF\smc.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - d:\Alcohol 120\StarWind\StarWindService.exe
O24 - Desktop Component 0: Privacy Protection - file:///C:\WINDOWS\privacy_danger\index.htm

--
End of file - 5203 bytes
-----------------------------------------
2. Combofix

ComboFix 08-06-20.4 - Soiznega 2008-06-29 19:31:16.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.1632 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Soiznega\Desktop\ComboFix.exe

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\privacy_danger
C:\WINDOWS\privacy_danger\images\capt.gif
C:\WINDOWS\privacy_danger\images\danger.jpg
C:\WINDOWS\privacy_danger\images\down.gif
C:\WINDOWS\privacy_danger\images\spacer.gif
C:\WINDOWS\privacy_danger\index.htm

.
((((((((((((((((((((((( Dateien erstellt von 2008-05-28 bis 2008-06-29 ))))))))))))))))))))))))))))))
.

2008-06-29 12:36 . 2008-06-29 12:36 22,328 --a------ C:\Dokumente und Einstellungen\Soiznega\Anwendungsdaten\PnkBstrK.sys
2008-06-29 12:35 . 2008-06-29 12:35 669,184 --a------ C:\WINDOWS\system32\pbsvc.exe
2008-06-28 20:04 . 2008-06-28 20:04 <DIR> d-------- C:\Dokumente und Einstellungen\Soiznega\Anwendungsdaten\Malwarebytes
2008-06-28 20:04 . 2008-06-28 20:04 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-06-28 20:04 . 2008-06-19 17:55 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-06-28 20:04 . 2008-06-19 17:55 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-06-28 19:55 . 2008-06-28 19:55 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Eigene Dateien
2008-06-27 17:58 . 2008-06-27 18:00 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-06-27 15:56 . 2008-06-27 10:06 258,048 --a------ C:\WINDOWS\qegbdmwf.dll
2008-06-27 15:56 . 2008-06-27 10:06 188,416 --a------ C:\WINDOWS\gxvpsafm.dll
2008-06-27 15:56 . 2008-06-27 10:06 81,920 --a------ C:\WINDOWS\tovafrnm.exe
2008-06-27 15:23 . 2008-06-27 15:23 <DIR> d-------- C:\Dokumente und Einstellungen\Soiznega\Anwendungsdaten\Windows Desktop Search
2008-06-27 15:22 . 2008-06-27 15:22 <DIR> d-------- C:\WINDOWS\system32\de-DE
2008-06-27 15:22 . 2008-06-27 15:22 <DIR> d-------- C:\Programme\Windows Desktop Search
2008-06-23 20:42 . 2008-06-23 20:42 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-06-23 20:42 . 2008-06-23 20:42 1,409 --a------ C:\WINDOWS\QTFont.for
2008-06-21 17:33 . 2008-06-21 17:30 729,088 --a------ C:\WINDOWS\iun6002.exe
2008-06-21 16:28 . 2008-06-14 19:57 273,024 --------- C:\WINDOWS\system32\drivers\bthport.sys
2008-06-21 16:28 . 2008-06-14 19:57 273,024 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys
2008-06-16 18:30 . 2008-06-16 18:31 <DIR> d-------- C:\WINDOWS\system32\Adobe
2008-06-13 19:23 . 2008-06-13 19:23 <DIR> d-------- C:\Dokumente und Einstellungen\Soiznega\Anwendungsdaten\InstallShield Installation Information
2008-06-13 19:14 . 2008-06-13 19:14 <DIR> d-------- C:\WINDOWS\45235788142C44BE8A4DDDE9A84492E5.TMP
2008-06-13 18:31 . 2008-06-23 22:32 1,243 --a------ C:\WINDOWS\eReg.dat
2008-06-13 17:10 . 2008-06-13 17:10 <DIR> d-------- C:\Dokumente und Einstellungen\Soiznega\Anwendungsdaten\Touchstone
2008-06-13 16:54 . 2008-06-13 17:08 761 --a------ C:\WINDOWS\disney.ini
2008-06-13 16:14 . 2008-06-13 16:14 <DIR> d-------- C:\Dokumente und Einstellungen\Soiznega\Anwendungsdaten\FlashFXP
2008-06-13 15:16 . 2008-06-13 15:16 <DIR> d-------- C:\Dokumente und Einstellungen\Soiznega\Anwendungsdaten\GetRightToGo
2008-06-03 02:56 . 2008-06-03 02:56 41,296 --a------ C:\WINDOWS\system32\xfcodec.dll
2008-05-30 19:48 . 2008-05-30 19:48 80 --ah----- C:\WINDOWS\system32\HsInfo.dat

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-29 14:15 --------- d-----w C:\Dokumente und Einstellungen\Soiznega\Anwendungsdaten\X-Chat 2
2008-06-29 10:36 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys
2008-06-29 10:35 66,872 ----a-w C:\WINDOWS\system32\PnkBstrA.exe
2008-06-29 10:35 103,736 ----a-w C:\WINDOWS\system32\PnkBstrB.exe
2008-06-29 10:26 196,608 ----a-w C:\WINDOWS\system32\drivers\nAsmedia.bin
2008-06-29 09:57 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-06-28 22:54 --------- d-----w C:\Dokumente und Einstellungen\Soiznega\Anwendungsdaten\Xfire
2008-06-28 22:04 --------- d-----w C:\Dokumente und Einstellungen\Soiznega\Anwendungsdaten\gtk-2.0
2008-06-28 18:09 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-06-27 15:57 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-06-27 15:41 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-06-27 15:35 --------- d-----w C:\Dokumente und Einstellungen\Soiznega\Anwendungsdaten\U3
2008-06-27 15:25 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-06-24 20:20 --------- d-----w C:\Dokumente und Einstellungen\Soiznega\Anwendungsdaten\Azureus
2008-06-16 17:00 --------- d-----w C:\Dokumente und Einstellungen\Soiznega\Anwendungsdaten\Hamachi
2008-06-14 21:48 --------- d-----w C:\Dokumente und Einstellungen\Soiznega\Anwendungsdaten\dvdcss
2008-06-13 15:09 107,888 ----a-w C:\WINDOWS\system32\CmdLineExt.dll
2008-06-13 14:55 --------- d-----w C:\Programme\AGEIA Technologies
2008-05-20 14:40 --------- d-----w C:\Programme\Gemeinsame Dateien\DirectX
2008-05-20 14:38 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\InstallShield
2008-05-20 14:35 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2008-05-16 09:58 12,632 ----a-w C:\WINDOWS\system32\lsdelete.exe
2008-05-10 18:50 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NOMBZ Save Data
2008-05-08 12:28 202,752 ----a-w C:\WINDOWS\system32\drivers\rmcast.sys
2008-05-07 05:14 1,293,312 ----a-w C:\WINDOWS\system32\quartz.dll
2008-04-29 09:20 15,648 ----a-w C:\WINDOWS\system32\drivers\NSDriver.sys
2008-04-29 09:19 15,648 ----a-w C:\WINDOWS\system32\drivers\Awrtrd.sys
2008-04-29 09:19 12,960 ----a-w C:\WINDOWS\system32\drivers\Awrtpd.sys
2008-04-21 07:01 665,088 ----a-w C:\WINDOWS\system32\wininet.dll
.

((((((((((((((((((((((((((((( snapshot@2008-06-28_21.20.34.85 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-06-28 19:17:35 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-06-29 16:41:13 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2007-10-24 19:13:02 1,778,912 ----a-r C:\WINDOWS\Installer\$PatchCache$\Managed\7B97E000527E10F478A01C92247B8F4E\1.0.0\cry3dengine.dll
+ 2007-10-24 19:13:04 2,942,176 ----a-r C:\WINDOWS\Installer\$PatchCache$\Managed\7B97E000527E10F478A01C92247B8F4E\1.0.0\cryaction.dll
+ 2007-10-24 19:13:06 1,942,752 ----a-r C:\WINDOWS\Installer\$PatchCache$\Managed\7B97E000527E10F478A01C92247B8F4E\1.0.0\cryaisystem.dll
+ 2007-10-24 19:13:06 1,574,112 ----a-r C:\WINDOWS\Installer\$PatchCache$\Managed\7B97E000527E10F478A01C92247B8F4E\1.0.0\cryanimation.dll
+ 2007-10-24 19:13:08 840,928 ----a-r C:\WINDOWS\Installer\$PatchCache$\Managed\7B97E000527E10F478A01C92247B8F4E\1.0.0\cryentitysystem.dll
+ 2007-10-24 19:13:10 394,464 ----a-r C:\WINDOWS\Installer\$PatchCache$\Managed\7B97E000527E10F478A01C92247B8F4E\1.0.0\cryfont.dll
+ 2007-10-24 19:13:12 2,823,392 ----a-r C:\WINDOWS\Installer\$PatchCache$\Managed\7B97E000527E10F478A01C92247B8F4E\1.0.0\crygame.dll
+ 2007-10-24 19:13:16 197,856 ----a-r C:\WINDOWS\Installer\$PatchCache$\Managed\7B97E000527E10F478A01C92247B8F4E\1.0.0\cryinput.dll
+ 2007-10-24 19:13:18 386,272 ----a-r C:\WINDOWS\Installer\$PatchCache$\Managed\7B97E000527E10F478A01C92247B8F4E\1.0.0\crymovie.dll
+ 2007-10-24 19:13:18 943,328 ----a-r C:\WINDOWS\Installer\$PatchCache$\Managed\7B97E000527E10F478A01C92247B8F4E\1.0.0\crynetwork.dll
+ 2007-10-24 19:13:20 1,991,904 ----a-r C:\WINDOWS\Installer\$PatchCache$\Managed\7B97E000527E10F478A01C92247B8F4E\1.0.0\cryphysics.dll
+ 2007-10-24 19:13:22 3,036,384 ----a-r C:\WINDOWS\Installer\$PatchCache$\Managed\7B97E000527E10F478A01C92247B8F4E\1.0.0\cryrenderd3d10.dll
+ 2007-10-24 19:13:24 3,024,096 ----a-r C:\WINDOWS\Installer\$PatchCache$\Managed\7B97E000527E10F478A01C92247B8F4E\1.0.0\cryrenderd3d9.dll
+ 2007-10-24 19:13:26 885,984 ----a-r C:\WINDOWS\Installer\$PatchCache$\Managed\7B97E000527E10F478A01C92247B8F4E\1.0.0\cryrendernull.dll
+ 2007-10-24 19:13:26 660,704 ----a-r C:\WINDOWS\Installer\$PatchCache$\Managed\7B97E000527E10F478A01C92247B8F4E\1.0.0\cryscriptsystem.dll
+ 2007-10-24 22:11:24 4,674,784 ----a-r C:\WINDOWS\Installer\$PatchCache$\Managed\7B97E000527E10F478A01C92247B8F4E\1.0.0\crysis.exe
+ 2007-10-24 22:11:28 17,120 ----a-r C:\WINDOWS\Installer\$PatchCache$\Managed\7B97E000527E10F478A01C92247B8F4E\1.0.0\crysisdedicatedserver.exe
+ 2007-10-24 19:13:28 644,320 ----a-r C:\WINDOWS\Installer\$PatchCache$\Managed\7B97E000527E10F478A01C92247B8F4E\1.0.0\crysoundsystem.dll
+ 2007-10-24 19:13:30 2,098,400 ----a-r C:\WINDOWS\Installer\$PatchCache$\Managed\7B97E000527E10F478A01C92247B8F4E\1.0.0\crysystem.dll
+ 2007-09-19 14:29:40 294,912 ----a-r C:\WINDOWS\Installer\$PatchCache$\Managed\7B97E000527E10F478A01C92247B8F4E\1.0.0\pbsv.dll
+ 2007-10-24 19:13:44 13,024 ----a-r C:\WINDOWS\Installer\$PatchCache$\Managed\7B97E000527E10F478A01C92247B8F4E\1.0.0\shallocator.dll
- 2007-12-02 20:49:03 9,662 ----a-r C:\WINDOWS\Installer\{000E79B7-E725-4F01-870A-C12942B7F8E4}\ARPPRODUCTICON.exe
+ 2008-06-29 10:44:20 9,662 ----a-r C:\WINDOWS\Installer\{000E79B7-E725-4F01-870A-C12942B7F8E4}\ARPPRODUCTICON.exe
- 2007-12-02 20:49:03 10,134 ----a-r C:\WINDOWS\Installer\{000E79B7-E725-4F01-870A-C12942B7F8E4}\checkForUpdatesSC_000E79B7E7254F01870AC12942B7F8E4.exe
+ 2008-06-29 10:44:20 10,134 ----a-r C:\WINDOWS\Installer\{000E79B7-E725-4F01-870A-C12942B7F8E4}\checkForUpdatesSC_000E79B7E7254F01870AC12942B7F8E4.exe
- 2007-12-02 20:49:03 10,134 ----a-r C:\WINDOWS\Installer\{000E79B7-E725-4F01-870A-C12942B7F8E4}\visitWebsite_000E79B7E7254F01870AC12942B7F8E4.exe
+ 2008-06-29 10:44:20 10,134 ----a-r C:\WINDOWS\Installer\{000E79B7-E725-4F01-870A-C12942B7F8E4}\visitWebsite_000E79B7E7254F01870AC12942B7F8E4.exe
+ 2008-06-29 16:44:58 16,384 ----atw C:\WINDOWS\TEMP\Perflib_Perfdata_7a0.dat
.
-- Snapshot reset to current date --
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2006-02-28 14:00 15360]
"ASUS SmartDoctor"="C:\Program Files\ASUS\SmartDoctor\SmartDoctor.exe" [2007-10-11 22:36 1126400]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="D:\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-19 13:20 262401]
"Copy Handler"="D:\Copyhandler\ch.exe" [2005-01-31 11:18 146432]
"SmcService"="D:\Sygate\SPF\smc.exe" [2004-02-24 17:35 2372760]
"SoundMAXPnP"="C:\Programme\Analog Devices\Core\smax4pnp.exe" [2006-12-18 22:34 868352]
"zBrowser Launcher"="d:\Logitech\iTouch\iTouch.exe" [2004-03-18 09:33 892928]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-18 20:55 8523776]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-01-07 23:40 155648]
"Adobe Reader Speed Launcher"="D:\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-02-28 14:00 15360]

C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\
Logitech SetPoint.lnk - D:\Logitech\SetPoint\SetPoint.exe [2007-12-25 21:28:52 784912]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= C:\Programme\Windows Desktop Search\MSNLNamespaceMgr.dll [2007-02-05 15:39 294400]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"qegbdmwf"= {508B164E-B874-4F2F-9EE7-2AEEE78F98D2} - C:\WINDOWS\qegbdmwf.dll [2008-06-27 10:06 258048]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
c:\programme\gemeinsame dateien\logishrd\bluetooth\LBTWlgn.dll 2007-11-15 11:10 72208 c:\Programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTWLgn.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.YV12"= yv12vfw.dll
"vidc.asv2"= asusasv2.dll
"VIDC.XFR1"= xfcodec.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Windows-Desktopsuche.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Windows-Desktopsuche.lnk
backup=C:\WINDOWS\pss\Windows-Desktopsuche.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Soiznega^Startmenü^Programme^Autostart^Adobe Gamma.lnk]
path=C:\Dokumente und Einstellungen\Soiznega\Startmenü\Programme\Autostart\Adobe Gamma.lnk
backup=C:\WINDOWS\pss\Adobe Gamma.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\20e7c81b]
C:\WINDOWS\system32\xqxmskmv.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-01-11 22:16 39792 d:\Adobe\Reader 8.0\Reader\Reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ASUSGamerOSD]
C:\Program Files\ASUS\GamerOSD\GamerOSD.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
--a------ 2007-08-03 13:51 202024 C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Copy Handler]
--a------ 2005-01-31 11:18 146432 D:\Copyhandler\ch.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Kernel and Hardware Abstraction Layer]
--a------ 2007-09-21 04:10 55824 C:\WINDOWS\KHALMNPR.Exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--------- 2004-10-13 18:24 1694208 C:\Programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBKeyScan]
--a------ 2007-08-08 10:25 1828136 D:\Nero 8\Nero BackItUp\NBKeyScan.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2007-03-01 16:57 153136 C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
--a------ 2007-12-18 20:55 8523776 C:\WINDOWS\system32\NvCpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NVIDIA nTune]
D:\NVIDIA Corporation\nTune\nTuneCmd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
--a------ 2007-12-18 20:55 81920 C:\WINDOWS\system32\NvMcTray.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
--a------ 2007-12-18 20:55 1626112 C:\WINDOWS\system32\nwiz.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2008-01-07 23:40 155648 C:\Programme\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMAX]
--a------ 2006-07-13 08:12 729088 C:\Programme\Analog Devices\SoundMAX\Smax4.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMAXPnP]
--a------ 2006-12-18 22:34 868352 C:\Programme\Analog Devices\Core\smax4pnp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2007-09-25 02:11 132496 C:\Programme\Java\jre1.6.0_03\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
D:\Winamp\winampa.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"SharedAccess"=2 (0x2)
"Prime95 Service"=2 (0x2)
"Poweroff"=2 (0x2)
"PnkBstrA"=2 (0x2)
"odserv"=3 (0x3)
"Nero BackItUp Scheduler 3"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"D:\\Xfire\\xfire.exe"=
"D:\\X-Chat 2\\xchat.exe"=
"F:\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=
"D:\\ICQ6\\ICQ.exe"=
"F:\\Steam\\SteamApps\\ddc_inox\\counter-strike source\\hl2.exe"=
"F:\\Steam\\SteamApps\\ddc_inox\\source sdk base\\hl2.exe"=
"F:\\Steam\\SteamApps\\ddc_inox\\half-life 2 deathmatch\\hl2.exe"=
"D:\\Skype\\Phone\\Skype.exe"=
"F:\\Turning Point - Fall of Liberty\\Binaries\\LTCG-TPGame.exe"=
"H:\\Games\\AC\\AssassinsCreed_Dx9.exe"=
"H:\\Games\\AC\\AssassinsCreed_Dx10.exe"=
"H:\\Games\\AC\\AssassinsCreed_Launcher.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"H:\\Games\\Unreal Tournament 3\\Binaries\\UT3.exe"=
"D:\\SynchPst\\SynchPst.exe"=
"F:\\Crysis\\Bin32\\Crysis.exe"=
"F:\\Crysis\\Bin32\\CrysisDedicatedServer.exe"=
"C:\\WINDOWS\\system32\\PnkBstrA.exe"=
"C:\\WINDOWS\\system32\\PnkBstrB.exe"=

R3 asusgsb;ASUS Virtual Video Capture Device Driver;C:\WINDOWS\system32\drivers\asusgsb.sys [2007-09-13 16:54]
R3 ASUSVRC;ASUSTeK Virtual Capture Device;C:\WINDOWS\system32\DRIVERS\AsusVRC.sys [2007-01-29 18:12]
R3 Video3D;ASUS Video3D Service;C:\WINDOWS\system32\Drivers\Video3D32.sys [2007-09-13 16:54]
S3 STUSB2Ir;SigmaTel USB 2.0 IrDA Bridge;C:\WINDOWS\system32\DRIVERS\stusb2ir.sys [2004-05-28 07:22]
S4 Poweroff;Poweroff;"C:\WINDOWS\system32\poweroff.exe" -service []

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\J]
\Shell\AutoRun\command - J:\LaunchU3.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0d78c38e-c048-11dc-81a8-001d6050936a}]
\Shell\AutoRun\command - J:\smartAP.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3261799c-0009-11dd-823e-001d6050936a}]
\Shell\Auto\command - J:\xhhfvshmv.exe
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL xhhfvshmv.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5a84bb4a-445b-11dd-82ef-001d6050936a}]
\Shell\AutoRun\command - J:\LaunchU3.exe

*Newly Created Service* - CATCHME
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-29 19:32:08
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-06-29 19:32:34
ComboFix-quarantined-files.txt 2008-06-29 17:32:31
ComboFix2.txt 2008-06-28 19:20:47

7 Verzeichnis(se), 2,501,476,352 Bytes frei
13 Verzeichnis(se), 2,490,929,152 Bytes frei

252 --- E O F --- 2008-06-21 16:44:08

#2 Hallo Soiz.

Gleich CF auszupacken ist nicht allerbeste Idee..

Nur so für die Zukunft..

Folge bitte dieser Anleitung [url=http://siri.geekstogo.com/SmitfraudFix_De.php]Smitfraudfix[/url] und poste danach das log.

Poste danach bitte ein frisches HJT log.
__________
.
Gruß: Undoreal =>Bestes Anti-Viren Prog||Dateien suchen+finden||

#3 SmitFraudFix v2.328

Scan done at 10:38:14,85, 30.06.2008
Run from C:\Dokumente und Einstellungen\Soiznega\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
C:\WINDOWS\qegbdmwf.dll deleted.


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\WINDOWS\privacy_danger\ Deleted

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{688E270E-A1F9-4C60-86C4-F59F7657A1E4}: DhcpNameServer=192.168.0.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{F9E8C7F8-D481-4BA2-8C7B-98461915E68B}: DhcpNameServer=192.168.0.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{688E270E-A1F9-4C60-86C4-F59F7657A1E4}: DhcpNameServer=192.168.0.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{F9E8C7F8-D481-4BA2-8C7B-98461915E68B}: DhcpNameServer=192.168.0.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{688E270E-A1F9-4C60-86C4-F59F7657A1E4}: DhcpNameServer=192.168.0.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{F9E8C7F8-D481-4BA2-8C7B-98461915E68B}: DhcpNameServer=192.168.0.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.0.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.0.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.0.1


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End



HJT:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:44:59, on 30.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\Sygate\SPF\smc.exe
D:\Ad-Aware\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
D:\Avira\AntiVir PersonalEdition Classic\avguard.exe
D:\Avira\AntiVir PersonalEdition Classic\avgnt.exe
D:\Copyhandler\ch.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
D:\Logitech\iTouch\iTouch.exe
C:\Programme\QuickTime\qttask.exe
D:\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\ASUS\SmartDoctor\SmartDoctor.exe
D:\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE
D:\Mozilla Firefox\firefox.exe
D:\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\ATKKBService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
d:\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\SearchProtocolHost.exe
D:\HijackThis\HijackThis.exe

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [avgnt] "D:\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Copy Handler] D:\Copyhandler\ch.exe
O4 - HKLM\..\Run: [SmcService] D:\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [zBrowser Launcher] d:\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ASUS SmartDoctor] C:\Program Files\ASUS\SmartDoctor\SmartDoctor.exe /start
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = D:\Logitech\SetPoint\SetPoint.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - d:\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - d:\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - D:\Ad-Aware\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTServ.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - D:\Sygate\SPF\smc.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - d:\Alcohol 120\StarWind\StarWindService.exe

--
End of file - 4859 bytes[/b]

#4 Hallo Soiz

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern

Zitat

KILLALL::

Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\20e7c81b]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"qegbdmwf"=-

File::
C:\WINDOWS\system32\xqxmskmv.dll
C:\WINDOWS\qegbdmwf.dll
C:\WINDOWS\gxvpsafm.dll
C:\WINDOWS\tovafrnm.exe

Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.

cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen



danach: Combofix noch einmal anwenden

-------------------

««
ComboFix entfernen
Start - Ausführen - Kopiere rein: Combofix /U
- klicke "OK"
__________
MfG Sabina

rund um die PC-Sicherheit

#5 ComboFix 08-06-20.4 - Soiznega 2008-06-30 12:33:25.3 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.1694 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Soiznega\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Soiznega\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]

FILE ::
C:\WINDOWS\gxvpsafm.dll
C:\WINDOWS\qegbdmwf.dll
C:\WINDOWS\system32\xqxmskmv.dll
C:\WINDOWS\tovafrnm.exe
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\gxvpsafm.dll
C:\WINDOWS\tovafrnm.exe

.
((((((((((((((((((((((( Dateien erstellt von 2008-05-28 bis 2008-06-30 ))))))))))))))))))))))))))))))
.

2008-06-30 10:29 . 2008-06-30 10:38 2,176 --a------ C:\WINDOWS\system32\tmp.reg
2008-06-29 12:36 . 2008-06-29 12:36 22,328 --a------ C:\Dokumente und Einstellungen\Soiznega\Anwendungsdaten\PnkBstrK.sys
2008-06-29 12:35 . 2008-06-29 12:35 669,184 --a------ C:\WINDOWS\system32\pbsvc.exe
2008-06-28 20:04 . 2008-06-28 20:04 <DIR> d-------- C:\Dokumente und Einstellungen\Soiznega\Anwendungsdaten\Malwarebytes
2008-06-28 20:04 . 2008-06-28 20:04 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-06-28 20:04 . 2008-06-19 17:55 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-06-28 20:04 . 2008-06-19 17:55 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-06-28 19:55 . 2008-06-28 19:55 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Eigene Dateien
2008-06-27 17:58 . 2008-06-27 18:00 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-06-27 15:23 . 2008-06-27 15:23 <DIR> d-------- C:\Dokumente und Einstellungen\Soiznega\Anwendungsdaten\Windows Desktop Search
2008-06-27 15:22 . 2008-06-27 15:22 <DIR> d-------- C:\WINDOWS\system32\de-DE
2008-06-27 15:22 . 2008-06-27 15:22 <DIR> d-------- C:\Programme\Windows Desktop Search
2008-06-23 20:42 . 2008-06-23 20:42 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-06-23 20:42 . 2008-06-23 20:42 1,409 --a------ C:\WINDOWS\QTFont.for
2008-06-21 17:33 . 2008-06-21 17:30 729,088 --a------ C:\WINDOWS\iun6002.exe
2008-06-21 16:28 . 2008-06-14 19:57 273,024 --------- C:\WINDOWS\system32\drivers\bthport.sys
2008-06-21 16:28 . 2008-06-14 19:57 273,024 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys
2008-06-16 18:30 . 2008-06-16 18:31 <DIR> d-------- C:\WINDOWS\system32\Adobe
2008-06-13 19:23 . 2008-06-13 19:23 <DIR> d-------- C:\Dokumente und Einstellungen\Soiznega\Anwendungsdaten\InstallShield Installation Information
2008-06-13 19:14 . 2008-06-13 19:14 <DIR> d-------- C:\WINDOWS\45235788142C44BE8A4DDDE9A84492E5.TMP
2008-06-13 18:31 . 2008-06-23 22:32 1,243 --a------ C:\WINDOWS\eReg.dat
2008-06-13 17:10 . 2008-06-13 17:10 <DIR> d-------- C:\Dokumente und Einstellungen\Soiznega\Anwendungsdaten\Touchstone
2008-06-13 16:54 . 2008-06-13 17:08 761 --a------ C:\WINDOWS\disney.ini
2008-06-13 16:14 . 2008-06-13 16:14 <DIR> d-------- C:\Dokumente und Einstellungen\Soiznega\Anwendungsdaten\FlashFXP
2008-06-13 15:16 . 2008-06-13 15:16 <DIR> d-------- C:\Dokumente und Einstellungen\Soiznega\Anwendungsdaten\GetRightToGo
2008-06-03 02:56 . 2008-06-03 02:56 41,296 --a------ C:\WINDOWS\system32\xfcodec.dll
2008-05-30 19:48 . 2008-05-30 19:48 80 --ah----- C:\WINDOWS\system32\HsInfo.dat
2008-05-20 16:40 . 2008-05-20 16:40 <DIR> d-------- C:\Programme\Gemeinsame Dateien\DirectX
2008-05-20 16:38 . 2008-05-20 16:38 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\InstallShield
2008-05-20 16:35 . 2004-08-09 05:04 73,728 --a------ C:\WINDOWS\system32\ISUSPM.cpl
2008-05-16 11:58 . 2008-05-16 11:58 12,632 --a------ C:\WINDOWS\system32\lsdelete.exe
2008-05-10 20:49 . 2008-05-10 20:50 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NOMBZ Save Data

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-30 10:26 196,608 ----a-w C:\WINDOWS\system32\drivers\nAsmedia.bin
2008-06-29 14:15 --------- d-----w C:\Dokumente und Einstellungen\Soiznega\Anwendungsdaten\X-Chat 2
2008-06-29 10:36 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys
2008-06-29 09:57 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-06-28 22:54 --------- d-----w C:\Dokumente und Einstellungen\Soiznega\Anwendungsdaten\Xfire
2008-06-28 22:04 --------- d-----w C:\Dokumente und Einstellungen\Soiznega\Anwendungsdaten\gtk-2.0
2008-06-28 18:09 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-06-27 15:57 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-06-27 15:41 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-06-27 15:35 --------- d-----w C:\Dokumente und Einstellungen\Soiznega\Anwendungsdaten\U3
2008-06-27 15:25 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-06-24 20:20 --------- d-----w C:\Dokumente und Einstellungen\Soiznega\Anwendungsdaten\Azureus
2008-06-16 17:00 --------- d-----w C:\Dokumente und Einstellungen\Soiznega\Anwendungsdaten\Hamachi
2008-06-14 21:48 --------- d-----w C:\Dokumente und Einstellungen\Soiznega\Anwendungsdaten\dvdcss
2008-06-13 14:55 --------- d-----w C:\Programme\AGEIA Technologies
2008-05-20 14:35 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2008-05-08 12:28 202,752 ----a-w C:\WINDOWS\system32\drivers\rmcast.sys
2008-04-29 09:20 15,648 ----a-w C:\WINDOWS\system32\drivers\NSDriver.sys
2008-04-29 09:19 15,648 ----a-w C:\WINDOWS\system32\drivers\Awrtrd.sys
2008-04-29 09:19 12,960 ----a-w C:\WINDOWS\system32\drivers\Awrtpd.sys
.

((((((((((((((((((((((((((((( snapshot_2008-06-29_19.32.24,96 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-06-29 16:41:13 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-06-30 10:36:06 2,048 --s-a-w C:\WINDOWS\bootstat.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2006-02-28 14:00 15360]
"ASUS SmartDoctor"="C:\Program Files\ASUS\SmartDoctor\SmartDoctor.exe" [2007-10-11 22:36 1126400]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="D:\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-19 13:20 262401]
"Copy Handler"="D:\Copyhandler\ch.exe" [2005-01-31 11:18 146432]
"SmcService"="D:\Sygate\SPF\smc.exe" [2004-02-24 17:35 2372760]
"SoundMAXPnP"="C:\Programme\Analog Devices\Core\smax4pnp.exe" [2006-12-18 22:34 868352]
"zBrowser Launcher"="d:\Logitech\iTouch\iTouch.exe" [2004-03-18 09:33 892928]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-18 20:55 8523776]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-01-07 23:40 155648]
"Adobe Reader Speed Launcher"="D:\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-02-28 14:00 15360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= C:\Programme\Windows Desktop Search\MSNLNamespaceMgr.dll [2007-02-05 15:39 294400]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
c:\programme\gemeinsame dateien\logishrd\bluetooth\LBTWlgn.dll 2007-11-15 11:10 72208 c:\Programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTWLgn.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.YV12"= yv12vfw.dll
"vidc.asv2"= asusasv2.dll
"VIDC.XFR1"= xfcodec.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Windows-Desktopsuche.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Windows-Desktopsuche.lnk
backup=C:\WINDOWS\pss\Windows-Desktopsuche.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Soiznega^Startmenü^Programme^Autostart^Adobe Gamma.lnk]
path=C:\Dokumente und Einstellungen\Soiznega\Startmenü\Programme\Autostart\Adobe Gamma.lnk
backup=C:\WINDOWS\pss\Adobe Gamma.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-01-11 22:16 39792 d:\Adobe\Reader 8.0\Reader\Reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ASUSGamerOSD]
C:\Program Files\ASUS\GamerOSD\GamerOSD.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
--a------ 2007-08-03 13:51 202024 C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Copy Handler]
--a------ 2005-01-31 11:18 146432 D:\Copyhandler\ch.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Kernel and Hardware Abstraction Layer]
--a------ 2007-09-21 04:10 55824 C:\WINDOWS\KHALMNPR.Exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--------- 2004-10-13 18:24 1694208 C:\Programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBKeyScan]
--a------ 2007-08-08 10:25 1828136 D:\Nero 8\Nero BackItUp\NBKeyScan.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2007-03-01 16:57 153136 C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
--a------ 2007-12-18 20:55 8523776 C:\WINDOWS\system32\NvCpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NVIDIA nTune]
D:\NVIDIA Corporation\nTune\nTuneCmd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
--a------ 2007-12-18 20:55 81920 C:\WINDOWS\system32\NvMcTray.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
--a------ 2007-12-18 20:55 1626112 C:\WINDOWS\system32\nwiz.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2008-01-07 23:40 155648 C:\Programme\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMAX]
--a------ 2006-07-13 08:12 729088 C:\Programme\Analog Devices\SoundMAX\Smax4.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMAXPnP]
--a------ 2006-12-18 22:34 868352 C:\Programme\Analog Devices\Core\smax4pnp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2007-09-25 02:11 132496 C:\Programme\Java\jre1.6.0_03\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
D:\Winamp\winampa.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"SharedAccess"=2 (0x2)
"Prime95 Service"=2 (0x2)
"Poweroff"=2 (0x2)
"PnkBstrA"=2 (0x2)
"odserv"=3 (0x3)
"Nero BackItUp Scheduler 3"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"D:\\Xfire\\xfire.exe"=
"D:\\X-Chat 2\\xchat.exe"=
"F:\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=
"D:\\ICQ6\\ICQ.exe"=
"F:\\Steam\\SteamApps\\ddc_inox\\counter-strike source\\hl2.exe"=
"F:\\Steam\\SteamApps\\ddc_inox\\source sdk base\\hl2.exe"=
"F:\\Steam\\SteamApps\\ddc_inox\\half-life 2 deathmatch\\hl2.exe"=
"D:\\Skype\\Phone\\Skype.exe"=
"F:\\Turning Point - Fall of Liberty\\Binaries\\LTCG-TPGame.exe"=
"H:\\Games\\AC\\AssassinsCreed_Dx9.exe"=
"H:\\Games\\AC\\AssassinsCreed_Dx10.exe"=
"H:\\Games\\AC\\AssassinsCreed_Launcher.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"H:\\Games\\Unreal Tournament 3\\Binaries\\UT3.exe"=
"D:\\SynchPst\\SynchPst.exe"=
"F:\\Crysis\\Bin32\\Crysis.exe"=
"F:\\Crysis\\Bin32\\CrysisDedicatedServer.exe"=
"C:\\WINDOWS\\system32\\PnkBstrA.exe"=
"C:\\WINDOWS\\system32\\PnkBstrB.exe"=

R3 asusgsb;ASUS Virtual Video Capture Device Driver;C:\WINDOWS\system32\drivers\asusgsb.sys [2007-09-13 16:54]
R3 ASUSVRC;ASUSTeK Virtual Capture Device;C:\WINDOWS\system32\DRIVERS\AsusVRC.sys [2007-01-29 18:12]
R3 Video3D;ASUS Video3D Service;C:\WINDOWS\system32\Drivers\Video3D32.sys [2007-09-13 16:54]
S3 STUSB2Ir;SigmaTel USB 2.0 IrDA Bridge;C:\WINDOWS\system32\DRIVERS\stusb2ir.sys [2004-05-28 07:22]
S4 Poweroff;Poweroff;"C:\WINDOWS\system32\poweroff.exe" -service []

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\J]
\Shell\AutoRun\command - J:\LaunchU3.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0d78c38e-c048-11dc-81a8-001d6050936a}]
\Shell\AutoRun\command - J:\smartAP.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3261799c-0009-11dd-823e-001d6050936a}]
\Shell\Auto\command - J:\xhhfvshmv.exe
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL xhhfvshmv.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5a84bb4a-445b-11dd-82ef-001d6050936a}]
\Shell\AutoRun\command - J:\LaunchU3.exe

.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-30 12:37:00
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
D:\Ad-Aware\aawservice.exe
D:\Avira\AntiVir PersonalEdition Classic\avguard.exe
D:\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\ATKKBService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
D:\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\searchindexer.exe
D:\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\searchprotocolhost.exe
C:\WINDOWS\system32\searchfilterhost.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-06-30 12:38:57 - machine was rebooted
ComboFix-quarantined-files.txt 2008-06-30 10:38:54
ComboFix2.txt 2008-06-29 17:32:35
ComboFix3.txt 2008-06-28 19:20:47

7 Verzeichnis(se), 2,465,447,936 Bytes frei
13 Verzeichnis(se), 2,453,868,544 Bytes frei

231 --- E O F --- 2008-06-21 16:44:08

2. Durchlauf von Combofix:

ComboFix 08-06-20.4 - Soiznega 2008-06-30 12:40:18.4 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.1613 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Soiznega\Desktop\ComboFix.exe

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

((((((((((((((((((((((( Dateien erstellt von 2008-05-28 bis 2008-06-30 ))))))))))))))))))))))))))))))
.

2008-06-30 10:29 . 2008-06-30 10:38 2,176 --a------ C:\WINDOWS\system32\tmp.reg
2008-06-29 12:36 . 2008-06-29 12:36 22,328 --a------ C:\Dokumente und Einstellungen\Soiznega\Anwendungsdaten\PnkBstrK.sys
2008-06-29 12:35 . 2008-06-29 12:35 669,184 --a------ C:\WINDOWS\system32\pbsvc.exe
2008-06-28 20:04 . 2008-06-28 20:04 <DIR> d-------- C:\Dokumente und Einstellungen\Soiznega\Anwendungsdaten\Malwarebytes
2008-06-28 20:04 . 2008-06-28 20:04 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-06-28 20:04 . 2008-06-19 17:55 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-06-28 20:04 . 2008-06-19 17:55 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-06-28 19:55 . 2008-06-28 19:55 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Eigene Dateien
2008-06-27 17:58 . 2008-06-27 18:00 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-06-27 15:23 . 2008-06-27 15:23 <DIR> d-------- C:\Dokumente und Einstellungen\Soiznega\Anwendungsdaten\Windows Desktop Search
2008-06-27 15:22 . 2008-06-27 15:22 <DIR> d-------- C:\WINDOWS\system32\de-DE
2008-06-27 15:22 . 2008-06-27 15:22 <DIR> d-------- C:\Programme\Windows Desktop Search
2008-06-23 20:42 . 2008-06-23 20:42 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-06-23 20:42 . 2008-06-23 20:42 1,409 --a------ C:\WINDOWS\QTFont.for
2008-06-21 17:33 . 2008-06-21 17:30 729,088 --a------ C:\WINDOWS\iun6002.exe
2008-06-21 16:28 . 2008-06-14 19:57 273,024 --------- C:\WINDOWS\system32\drivers\bthport.sys
2008-06-21 16:28 . 2008-06-14 19:57 273,024 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys
2008-06-16 18:30 . 2008-06-16 18:31 <DIR> d-------- C:\WINDOWS\system32\Adobe
2008-06-13 19:23 . 2008-06-13 19:23 <DIR> d-------- C:\Dokumente und Einstellungen\Soiznega\Anwendungsdaten\InstallShield Installation Information
2008-06-13 19:14 . 2008-06-13 19:14 <DIR> d-------- C:\WINDOWS\45235788142C44BE8A4DDDE9A84492E5.TMP
2008-06-13 18:31 . 2008-06-23 22:32 1,243 --a------ C:\WINDOWS\eReg.dat
2008-06-13 17:10 . 2008-06-13 17:10 <DIR> d-------- C:\Dokumente und Einstellungen\Soiznega\Anwendungsdaten\Touchstone
2008-06-13 16:54 . 2008-06-13 17:08 761 --a------ C:\WINDOWS\disney.ini
2008-06-13 16:14 . 2008-06-13 16:14 <DIR> d-------- C:\Dokumente und Einstellungen\Soiznega\Anwendungsdaten\FlashFXP
2008-06-13 15:16 . 2008-06-13 15:16 <DIR> d-------- C:\Dokumente und Einstellungen\Soiznega\Anwendungsdaten\GetRightToGo
2008-06-03 02:56 . 2008-06-03 02:56 41,296 --a------ C:\WINDOWS\system32\xfcodec.dll
2008-05-30 19:48 . 2008-05-30 19:48 80 --ah----- C:\WINDOWS\system32\HsInfo.dat
2008-05-20 16:40 . 2008-05-20 16:40 <DIR> d-------- C:\Programme\Gemeinsame Dateien\DirectX
2008-05-20 16:38 . 2008-05-20 16:38 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\InstallShield
2008-05-20 16:35 . 2004-08-09 05:04 73,728 --a------ C:\WINDOWS\system32\ISUSPM.cpl
2008-05-16 11:58 . 2008-05-16 11:58 12,632 --a------ C:\WINDOWS\system32\lsdelete.exe
2008-05-10 20:49 . 2008-05-10 20:50 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NOMBZ Save Data

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-30 10:26 196,608 ----a-w C:\WINDOWS\system32\drivers\nAsmedia.bin
2008-06-29 14:15 --------- d-----w C:\Dokumente und Einstellungen\Soiznega\Anwendungsdaten\X-Chat 2
2008-06-29 10:36 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys
2008-06-29 10:35 66,872 ----a-w C:\WINDOWS\system32\PnkBstrA.exe
2008-06-29 10:35 103,736 ----a-w C:\WINDOWS\system32\PnkBstrB.exe
2008-06-29 09:57 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-06-28 22:54 --------- d-----w C:\Dokumente und Einstellungen\Soiznega\Anwendungsdaten\Xfire
2008-06-28 22:04 --------- d-----w C:\Dokumente und Einstellungen\Soiznega\Anwendungsdaten\gtk-2.0
2008-06-28 18:09 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-06-27 15:57 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-06-27 15:41 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-06-27 15:35 --------- d-----w C:\Dokumente und Einstellungen\Soiznega\Anwendungsdaten\U3
2008-06-27 15:25 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-06-24 20:20 --------- d-----w C:\Dokumente und Einstellungen\Soiznega\Anwendungsdaten\Azureus
2008-06-16 17:00 --------- d-----w C:\Dokumente und Einstellungen\Soiznega\Anwendungsdaten\Hamachi
2008-06-14 21:48 --------- d-----w C:\Dokumente und Einstellungen\Soiznega\Anwendungsdaten\dvdcss
2008-06-13 15:09 107,888 ----a-w C:\WINDOWS\system32\CmdLineExt.dll
2008-06-13 14:55 --------- d-----w C:\Programme\AGEIA Technologies
2008-05-20 14:35 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2008-05-08 12:28 202,752 ----a-w C:\WINDOWS\system32\drivers\rmcast.sys
2008-05-07 05:14 1,293,312 ----a-w C:\WINDOWS\system32\quartz.dll
2008-04-29 09:20 15,648 ----a-w C:\WINDOWS\system32\drivers\NSDriver.sys
2008-04-29 09:19 15,648 ----a-w C:\WINDOWS\system32\drivers\Awrtrd.sys
2008-04-29 09:19 12,960 ----a-w C:\WINDOWS\system32\drivers\Awrtpd.sys
2008-04-21 07:01 665,088 ----a-w C:\WINDOWS\system32\wininet.dll
2008-03-25 04:51 621,344 ----a-w C:\WINDOWS\system32\mswstr10.dll
2008-03-25 04:51 187,168 ----a-w C:\WINDOWS\system32\msjint40.dll
2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
.

((((((((((((((((((((((((((((( snapshot_2008-06-29_19.32.24,96 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-06-29 16:41:13 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-06-30 10:36:06 2,048 --s-a-w C:\WINDOWS\bootstat.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2006-02-28 14:00 15360]
"ASUS SmartDoctor"="C:\Program Files\ASUS\SmartDoctor\SmartDoctor.exe" [2007-10-11 22:36 1126400]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="D:\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-19 13:20 262401]
"Copy Handler"="D:\Copyhandler\ch.exe" [2005-01-31 11:18 146432]
"SmcService"="D:\Sygate\SPF\smc.exe" [2004-02-24 17:35 2372760]
"SoundMAXPnP"="C:\Programme\Analog Devices\Core\smax4pnp.exe" [2006-12-18 22:34 868352]
"zBrowser Launcher"="d:\Logitech\iTouch\iTouch.exe" [2004-03-18 09:33 892928]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-18 20:55 8523776]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-01-07 23:40 155648]
"Adobe Reader Speed Launcher"="D:\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-02-28 14:00 15360]

C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\
Logitech SetPoint.lnk - D:\Logitech\SetPoint\SetPoint.exe [2007-12-25 21:28:52 784912]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= C:\Programme\Windows Desktop Search\MSNLNamespaceMgr.dll [2007-02-05 15:39 294400]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
c:\programme\gemeinsame dateien\logishrd\bluetooth\LBTWlgn.dll 2007-11-15 11:10 72208 c:\Programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTWLgn.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.YV12"= yv12vfw.dll
"vidc.asv2"= asusasv2.dll
"VIDC.XFR1"= xfcodec.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Windows-Desktopsuche.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Windows-Desktopsuche.lnk
backup=C:\WINDOWS\pss\Windows-Desktopsuche.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Soiznega^Startmenü^Programme^Autostart^Adobe Gamma.lnk]
path=C:\Dokumente und Einstellungen\Soiznega\Startmenü\Programme\Autostart\Adobe Gamma.lnk
backup=C:\WINDOWS\pss\Adobe Gamma.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-01-11 22:16 39792 d:\Adobe\Reader 8.0\Reader\Reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ASUSGamerOSD]
C:\Program Files\ASUS\GamerOSD\GamerOSD.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
--a------ 2007-08-03 13:51 202024 C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Copy Handler]
--a------ 2005-01-31 11:18 146432 D:\Copyhandler\ch.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Kernel and Hardware Abstraction Layer]
--a------ 2007-09-21 04:10 55824 C:\WINDOWS\KHALMNPR.Exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--------- 2004-10-13 18:24 1694208 C:\Programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBKeyScan]
--a------ 2007-08-08 10:25 1828136 D:\Nero 8\Nero BackItUp\NBKeyScan.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2007-03-01 16:57 153136 C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
--a------ 2007-12-18 20:55 8523776 C:\WINDOWS\system32\NvCpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NVIDIA nTune]
D:\NVIDIA Corporation\nTune\nTuneCmd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
--a------ 2007-12-18 20:55 81920 C:\WINDOWS\system32\NvMcTray.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
--a------ 2007-12-18 20:55 1626112 C:\WINDOWS\system32\nwiz.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2008-01-07 23:40 155648 C:\Programme\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMAX]
--a------ 2006-07-13 08:12 729088 C:\Programme\Analog Devices\SoundMAX\Smax4.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMAXPnP]
--a------ 2006-12-18 22:34 868352 C:\Programme\Analog Devices\Core\smax4pnp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2007-09-25 02:11 132496 C:\Programme\Java\jre1.6.0_03\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
D:\Winamp\winampa.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"SharedAccess"=2 (0x2)
"Prime95 Service"=2 (0x2)
"Poweroff"=2 (0x2)
"PnkBstrA"=2 (0x2)
"odserv"=3 (0x3)
"Nero BackItUp Scheduler 3"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"D:\\Xfire\\xfire.exe"=
"D:\\X-Chat 2\\xchat.exe"=
"F:\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=
"D:\\ICQ6\\ICQ.exe"=
"F:\\Steam\\SteamApps\\ddc_inox\\counter-strike source\\hl2.exe"=
"F:\\Steam\\SteamApps\\ddc_inox\\source sdk base\\hl2.exe"=
"F:\\Steam\\SteamApps\\ddc_inox\\half-life 2 deathmatch\\hl2.exe"=
"D:\\Skype\\Phone\\Skype.exe"=
"F:\\Turning Point - Fall of Liberty\\Binaries\\LTCG-TPGame.exe"=
"H:\\Games\\AC\\AssassinsCreed_Dx9.exe"=
"H:\\Games\\AC\\AssassinsCreed_Dx10.exe"=
"H:\\Games\\AC\\AssassinsCreed_Launcher.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"H:\\Games\\Unreal Tournament 3\\Binaries\\UT3.exe"=
"D:\\SynchPst\\SynchPst.exe"=
"F:\\Crysis\\Bin32\\Crysis.exe"=
"F:\\Crysis\\Bin32\\CrysisDedicatedServer.exe"=
"C:\\WINDOWS\\system32\\PnkBstrA.exe"=
"C:\\WINDOWS\\system32\\PnkBstrB.exe"=

R3 asusgsb;ASUS Virtual Video Capture Device Driver;C:\WINDOWS\system32\drivers\asusgsb.sys [2007-09-13 16:54]
R3 ASUSVRC;ASUSTeK Virtual Capture Device;C:\WINDOWS\system32\DRIVERS\AsusVRC.sys [2007-01-29 18:12]
R3 Video3D;ASUS Video3D Service;C:\WINDOWS\system32\Drivers\Video3D32.sys [2007-09-13 16:54]
S3 STUSB2Ir;SigmaTel USB 2.0 IrDA Bridge;C:\WINDOWS\system32\DRIVERS\stusb2ir.sys [2004-05-28 07:22]
S4 Poweroff;Poweroff;"C:\WINDOWS\system32\poweroff.exe" -service []

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\J]
\Shell\AutoRun\command - J:\LaunchU3.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0d78c38e-c048-11dc-81a8-001d6050936a}]
\Shell\AutoRun\command - J:\smartAP.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3261799c-0009-11dd-823e-001d6050936a}]
\Shell\Auto\command - J:\xhhfvshmv.exe
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL xhhfvshmv.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5a84bb4a-445b-11dd-82ef-001d6050936a}]
\Shell\AutoRun\command - J:\LaunchU3.exe

.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-30 12:40:59
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-06-30 12:41:28
ComboFix-quarantined-files.txt 2008-06-30 10:41:16
ComboFix2.txt 2008-06-30 10:38:57
ComboFix3.txt 2008-06-29 17:32:35
ComboFix4.txt 2008-06-28 19:20:47

7 Verzeichnis(se), 2,475,859,968 Bytes frei
12 Verzeichnis(se), 2,465,468,416 Bytes frei

212 --- E O F --- 2008-06-21 16:44:08

#6 ««
ComboFix entfernen
Start - Ausführen - Kopiere rein: Combofix /U
- klicke "OK"

dann sollte wieder alles i.o. sein
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Hab ich schon gemacht

Vielen Dank für deine Hilfe, Sabina!