Blauer Bildschirm, permanente Trojanermeldung in

#1 Hallo zusammen

wollte combfix ausführen, war aber nicht möglich. Virusmeldung.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:58, on 2008-08-17
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
C:\Programme\ewido anti-malware\ewidoctrl.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\WINDOWS\stsystra.exe
C:\Programme\Dell\Media Experience\DMXLauncher.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\FreePDF\FreePDFA.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\HP\hpcoretech\comp\hptskmgr.exe
C:\Programme\HP\Digital Imaging\bin\hpqgalry.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\DOKUME~1\HENGEM~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für HiJackThis[1].zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [DMXLauncher] C:\Programme\Dell\Media Experience\DMXLauncher.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [BJCFD] C:\Programme\BroadJump\Client Foundation\CFD.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [FreePDFAssistent] C:\Programme\FreePDF\FreePDFA.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [DVDLauncher] "C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: AutoCAD Startup Accelerator.lnk = C:\Programme\Gemeinsame Dateien\Autodesk Shared\acstart16.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Image Zone Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: &Search - http://kp.bar.need2find.com/KP/menusearch.html?p=KP
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O16 - DPF: {1F831FA3-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) - file://C:\Programme\AutoCAD 2002 Deu\InstFred.ocx
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1218482574500
O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday-Steuerung) - file://C:\Programme\AutoCAD 2002 Deu\AcDcToday.ocx
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {AE563724-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://C:\Programme\AutoCAD 2002 Deu\InstBanr.ocx
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview-Steuerung) - file://C:\Programme\AutoCAD 2002 Deu\AcPreview.ocx
O16 - DPF: {F5D98C43-DB16-11CF-8ECA-0000C0FD59C7} (ActiveCGM Control) - http://geodaten.bsb-partner.ch/oensingen/acgm/acgm.cab
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\PROSetWired\NCS\Sync\NetSvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

--
End of file - 7848 bytes


.
.
Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: DC2B-9ACE

Verzeichnis von C:\WINDOWS\system32

2008-08-17 16:53 2,206 wpa.dbl
2008-08-17 15:58 94,208 B.tmp
2008-08-17 03:03 608,958 TZLog.log
2008-08-16 12:34 185,944 rmoc3260.dll
2008-08-16 12:33 5,632 pndx5032.dll
2008-08-16 12:33 6,656 pndx5016.dll
2008-08-16 12:33 278,528 pncrt.dll
2008-08-12 22:15 353,768 FNTCACHE.DAT
2008-08-05 20:11 15,888,504 MRT.exe
2008-07-14 13:09 62,976 tzchange.exe
2008-07-07 22:30 253,952 es.dll
2008-07-03 11:42 374,272 xpsp3res.dll
2008-06-24 18:22 74,240 mscms.dll
2008-06-23 17:38 665,088 wininet.dll
2008-06-23 17:38 617,984 urlmon.dll
2008-06-23 17:38 1,494,528 shdocvw.dll
2008-06-23 17:38 474,624 shlwapi.dll
2008-06-23 17:38 146,432 msrating.dll
2008-06-23 17:38 39,424 pngfilt.dll
2008-06-23 17:38 3,080,704 mshtml.dll
2008-06-23 17:38 449,024 mshtmled.dll
2008-06-23 17:38 532,480 mstime.dll
2008-06-23 17:38 96,768 inseng.dll

.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: DC2B-9ACE

Verzeichnis von C:\DOKUME~1\HENGEM~1\LOKALE~1\Temp

2008-08-17 16:59 104,221 datfind.txt
2008-08-17 16:53 16,384 ~DF888C.tmp
2008-08-17 16:53 16,384 ~DF29C7.tmp
2008-08-17 16:53 16,384 ~DF1C48.tmp
2008-08-17 16:53 220 jusched.log
2008-08-17 16:51 260,595 hpodvd09.log
6 Datei(en) 414,188 Bytes
0 Verzeichnis(se), 131,926,880,256 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: DC2B-9ACE

Verzeichnis von C:\WINDOWS

2008-08-17 16:53 1,586,551 WindowsUpdate.log
2008-08-17 16:53 0 0.log
2008-08-17 16:53 159 wiadebug.log
2008-08-17 16:53 50 wiaservc.log
2008-08-17 16:52 2,048 bootstat.dat
2008-08-17 16:52 32,618 SchedLgU.Txt
2008-08-16 12:35 0 nsreg.dat
2008-08-16 12:30 3,373 mozver.dat
2008-08-16 10:29 857 win.ini
2008-08-13 00:47 54,156 QTFont.qfn
2008-08-10 12:18 1,904 cdplayer.ini
2008-03-22 20:25 227 system.ini
2007-06-13 15:21 1,036,288 explorer.exe
2007-05-20 15:22 1,409 QTFont.for
2007-04-08 14:37 214 HP_48BitScanUpdatePatch.ini
2006-12-19 21:30 400 ODBC.INI
2006-07-02 10:55 44 liveup.ini
2006-06-10 20:40 206 HPGdiPlus.ini
2006-01-12 18:16 1,025 FLOGLW104.INI
2005-12-16 22:43 98 NemAll_Sketching10.INI
2005-12-03 10:12 253,952 Setup1.exe
2005-12-03 10:12 74,752 ST6UNST.EXE
2005-11-27 23:17 4 num41.jbd
2005-11-27 23:17 4 info147.sys
2005-11-09 21:10 100,724 cpeins04.dat
2005-11-08 18:33 104,249 hpoins04.dat
2005-11-01 14:13 8,192 REGLOCS.OLD
2005-10-25 10:21 61 smscfg.ini
2005-10-25 10:17 138 wininit.ini
2005-10-25 09:52 49,152 setpwrcg.exe
2005-05-27 01:22 10,752 hh.exe
2005-03-23 01:20 339,968 stsystra.exe

.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: DC2B-9ACE

Verzeichnis von C:\WINDOWS\temp

2008-08-17 16:53 409 WGANotify.settings
2008-08-17 16:53 255 WGAErrLog.txt
2008-08-17 16:53 0 T30DebugLogFile.txt
3 Datei(en) 664 Bytes
0 Verzeichnis(se), 131,926,876,160 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: DC2B-9ACE

Verzeichnis von C:\WINDOWS\Downloaded Program Files

2007-07-30 19:24 295 muweb.inf
2007-04-12 20:08 113,784 IDropENU.dll
2007-04-12 20:08 302,712 IDrop.ocx
2007-03-26 16:46 5,085 swflash.inf
2006-08-24 08:28 141,424 asinst.dll
2006-08-22 09:06 537 asinst.inf
2004-08-18 14:17 65 desktop.ini
2004-07-27 17:48 323,584 isusweb.dll
2004-04-29 21:57 1,033 acgm.inf
2002-07-25 19:13 24,576 dwusplay.dll
2002-07-25 19:13 196,608 dwusplay.exe
2002-06-03 17:53 144 QTPlugin.inf
2001-05-04 09:47 288,312 InstFred.ocx
2001-05-04 09:47 112,184 InstBanr.ocx
2001-04-30 11:57 54,896 AcDcToday.ocx
2001-04-30 11:57 120,440 AcPreview.ocx
16 Datei(en) 1,685,679 Bytes
0 Verzeichnis(se), 131,926,872,064 Bytes frei
.
.
.

hoffe, dass ihr da was findet.

mfg chriesi

#2 Hallo chriesi

««
wenn du beim Ausführen von Combofix eine Virenmeldung bekommst, so deaktiviere kurzzeitig deinen fixen Virenscanner

««
scanne mit smitfraudfix - Option 1 und Option 2 - poste hier den report von Option 2
http://virus-protect.org/artikel/tools/smitfrautfix.html

««
scanne mit Malwarebytes + poste den Report
http://virus-protect.org/artikel/tools/malwarebytes.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 ComboFix 08-08-18.05 - Hengemühl 2008-08-19 20:58:42.11 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.646 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Hengemühl\Eigene Dateien\Software\combofix\ComboFix.exe

[color=red]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
---- Previous Run -------
.
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Antivirus XP 2008
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Antivirus XP 2008\Antivirus XP 2008.lnk
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Antivirus XP 2008\How to Register Antivirus XP 2008.lnk
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Antivirus XP 2008\License Agreement.lnk
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Antivirus XP 2008\Register Antivirus XP 2008.lnk
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Antivirus XP 2008\Uninstall.lnk
C:\Dokumente und Einstellungen\Bossert\Cookies\bossert@komtrack[2].txt
C:\Dokumente und Einstellungen\Bossert\UserData
C:\Dokumente und Einstellungen\Bossert\UserData\0HMNK1YB\oWindowsUpdate[1].xml
C:\Dokumente und Einstellungen\Bossert\UserData\0X23OT6Z\oXMLStoreUnit[1].xml
C:\Dokumente und Einstellungen\Bossert\UserData\CL2BKHQ3\oXMLStore[1].xml
C:\Dokumente und Einstellungen\Bossert\UserData\G9Y30DE3\oWindowsUpdate[1].xml
C:\Dokumente und Einstellungen\Bossert\UserData\index.dat
C:\Dokumente und Einstellungen\Hengemühl\UserData
C:\Dokumente und Einstellungen\Hengemühl\UserData\70JXE754\sn[1].xml
C:\Dokumente und Einstellungen\Hengemühl\UserData\8Q0OEVDE\ALM_B51BF0ED1AFEF976C125737900265BFC_ALM[1].xml
C:\Dokumente und Einstellungen\Hengemühl\UserData\index.dat
C:\Dokumente und Einstellungen\Hengemühl\UserData\M2JA66BI\oWindowsUpdate[1].xml
C:\Dokumente und Einstellungen\Hengemühl\UserData\M2JA66BI\oXMLStoreUnit[1].xml
C:\Dokumente und Einstellungen\Hengemühl\UserData\T805OLS0\ALM_B51BF0ED1AFEF976C125737900265BFC_CURR[1].xml
C:\Dokumente und Einstellungen\Hengemühl\UserData\T805OLS0\IsOnIE6tbPromo[1].xml
C:\Programme\Need2Find
C:\Programme\Need2Find\bar\1.bin\N2FFXTBR.JAR
C:\Programme\Need2Find\bar\1.bin\N2NTSTBR.JAR
C:\Programme\Need2Find\bar\1.bin\N2PLUGIN.DLL
C:\Programme\Need2Find\bar\1.bin\NPND2FN.DLL
C:\Programme\Need2Find\bar\1.bin\PARTNER.DAT
C:\Programme\Need2Find\bar\Cache\00509862
C:\Programme\Need2Find\bar\Cache\0050A16B
C:\Programme\Need2Find\bar\Cache\files.ini
C:\Programme\Need2Find\bar\History\search
C:\Programme\Need2Find\bar\Settings\prevcfg.htm

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_sysrest.sys


((((((((((((((((((((((( Dateien erstellt von 2008-07-19 bis 2008-08-19 ))))))))))))))))))))))))))))))
.

2008-08-17 21:50 . 2008-08-17 21:50 <DIR> d-------- C:\WINDOWS\system32\de-de
2008-08-17 21:50 . 2008-08-17 21:50 <DIR> d-------- C:\WINDOWS\system32\de
2008-08-17 21:50 . 2008-08-17 21:50 <DIR> d-------- C:\WINDOWS\system32\bits
2008-08-17 21:50 . 2008-08-17 21:50 <DIR> d-------- C:\WINDOWS\l2schemas
2008-08-17 21:47 . 2008-08-17 21:47 <DIR> d-------- C:\WINDOWS\ServicePackFiles
2008-08-17 21:43 . 2008-08-17 21:56 2,675 --a------ C:\WINDOWS\imsins.BAK
2008-08-17 21:39 . 2008-08-17 21:39 <DIR> d-------- C:\WINDOWS\EHome
2008-08-16 23:40 . 2004-08-04 00:38 327,168 --------- C:\WINDOWS\system32\drivers\ati2mtaa.sys
2008-08-16 12:35 . 2008-08-16 12:35 0 --a------ C:\WINDOWS\nsreg.dat
2008-08-16 12:34 . 2008-08-16 12:34 <DIR> d-------- C:\Programme\Gemeinsame Dateien\xing shared
2008-08-16 12:30 . 2008-08-16 12:30 3,373 --a------ C:\WINDOWS\mozver.dat
2008-08-15 23:49 . 2008-04-11 21:04 691,712 --------- C:\WINDOWS\system32\dllcache\inetcomm.dll
2008-08-15 23:49 . 2008-05-01 16:34 331,776 --------- C:\WINDOWS\system32\dllcache\msadce.dll
2008-08-12 22:40 . 2008-08-17 16:15 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-08-12 22:40 . 2008-07-30 20:07 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-08-12 22:40 . 2008-07-30 20:07 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-08-12 21:56 . 2008-08-12 21:56 <DIR> d-------- C:\Programme\Microsoft CAPICOM 2.1.0.2
2008-08-12 11:24 . 2007-07-30 19:19 271,224 --a------ C:\WINDOWS\system32\mucltui.dll
2008-08-12 11:24 . 2007-07-30 19:18 30,072 --a------ C:\WINDOWS\system32\mucltui.dll.mui

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-16 21:39 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-08-16 10:34 --------- d-----w C:\Programme\Gemeinsame Dateien\Real
2008-08-16 10:30 --------- d-----w C:\Programme\Google
2008-08-12 19:53 --------- d-----w C:\Programme\Microsoft Works
2008-08-12 14:44 --------- d-----w C:\Programme\FreePDF
2008-07-07 20:26 253,952 ----a-w C:\WINDOWS\system32\es.dll
2008-07-07 20:26 253,952 ------w C:\WINDOWS\system32\dllcache\es.dll
2008-06-26 08:12 620,544 ------w C:\WINDOWS\system32\dllcache\urlmon.dll
2008-06-26 08:12 1,499,136 ------w C:\WINDOWS\system32\dllcache\shdocvw.dll
2008-06-24 16:42 74,240 ----a-w C:\WINDOWS\system32\mscms.dll
2008-06-24 16:42 74,240 ------w C:\WINDOWS\system32\dllcache\mscms.dll
2008-06-23 15:10 671,744 ----a-w C:\WINDOWS\system32\wininet.dll
2008-06-23 15:10 671,744 ------w C:\WINDOWS\system32\dllcache\wininet.dll
2008-06-23 15:10 3,088,384 ------w C:\WINDOWS\system32\dllcache\mshtml.dll
2008-06-20 17:46 247,296 ----a-w C:\WINDOWS\system32\mswsock.dll
2008-06-20 17:46 247,296 ------w C:\WINDOWS\system32\dllcache\mswsock.dll
2008-06-20 17:46 147,968 ------w C:\WINDOWS\system32\dllcache\dnsapi.dll
2008-06-20 11:51 361,600 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
2008-06-20 11:51 361,600 ------w C:\WINDOWS\system32\dllcache\tcpip.sys
2008-06-20 11:40 138,496 ----a-w C:\WINDOWS\system32\drivers\afd.sys
2008-06-20 11:40 138,496 ------w C:\WINDOWS\system32\dllcache\afd.sys
2008-06-20 11:08 225,856 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys
2008-06-20 11:08 225,856 ------w C:\WINDOWS\system32\dllcache\tcpip6.sys
2008-06-14 17:32 273,024 ------w C:\WINDOWS\system32\dllcache\bthport.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 04:22 15360]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2008-04-14 04:22 1695232]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe" [2003-11-19 18:48 32881]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-08-05 22:05 344064]
"DMXLauncher"="C:\Programme\Dell\Media Experience\DMXLauncher.exe" [2004-09-15 02:01 86016]
"dla"="C:\WINDOWS\system32\dla\tfswctrl.exe" [2004-12-06 02:05 127035]
"ISUSPM Startup"="C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-07-27 17:50 221184]
"ISUSScheduler"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2004-07-27 17:50 81920]
"BJCFD"="C:\Programme\BroadJump\Client Foundation\CFD.exe" [2002-12-16 20:26 376912]
"HP Component Manager"="C:\Programme\HP\hpcoretech\hpcmpmgr.exe" [2005-01-12 15:54 241664]
"FreePDFAssistent"="C:\Programme\FreePDF\FreePDFA.exe" [2003-12-24 17:35 150528]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-18 08:46 266497]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-05-29 19:02 282624]
"HP Software Update"="C:\Programme\HP\HP Software Update\HPWuSchd2.exe" [2005-02-16 23:11 49152]
"FreePDF Assistant"="C:\Programme\FreePDF_XP\fpassist.exe" [2007-06-26 20:27 312320]
"DVDLauncher"="C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe" [2006-04-06 11:51 49152]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-08-16 12:33 185896]
"SigmatelSysTrayApp"="stsystra.exe" [2005-03-23 01:20 339968 C:\WINDOWS\stsystra.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 04:22 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"AllowLegacyWebView"= 1 (0x1)
"AllowUnhashedWebView"= 1 (0x1)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Microsoft Office\\OFFICE11\\FRONTPG.EXE"=
"C:\\Programme\\Microsoft Office\\OFFICE11\\EXCEL.EXE"=
"C:\\Programme\\HP\\HP Software Update\\HPWUCli.exe"=
"C:\\Programme\\Windows Media Player\\wmplayer.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2008-04-18 07:35]
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2008-07-18 08:46]
R1 ewido security suite driver;ewido security suite driver;C:\Programme\ewido anti-malware\guard.sys [2005-12-30 13:12]
.
.
------- Zus„tzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Hengemühl\Anwendungsdaten\Mozilla\Firefox\Profiles\4xnvlmfn.default\
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-19 21:04:21
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere, laufende Prozesse ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\drivers\CDANTSRV.EXE
C:\Programme\ewido anti-malware\ewidoctrl.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\AntiVir PersonalEdition Classic\guardgui.exe
C:\Programme\HP\hpcoretech\comp\hptskmgr.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\HP\Digital Imaging\bin\hpqgalry.exe
C:\Programme\AntiVir PersonalEdition Classic\guardgui.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-08-19 21:07:13 - PC wurde neu gestartet [Hengem�hl]
ComboFix-quarantined-files.txt 2008-08-19 19:07:10
ComboFix2.txt 2008-03-22 18:26:00

Pre-Run: 14 Verzeichnis(se), 130,946,277,376 Bytes frei
Post-Run: 19 Verzeichnis(se), 130,929,709,056 Bytes frei

173 --- E O F --- 2008-08-18 12:18:09









SmitFraudFix v2.338

Scan done at 21:16:25.18, 19.08.2008
Run from C:\Dokumente und Einstellungen\Hengem�hl\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» RK


»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: USB Cable Modem 351000 - Paketplaner-Miniport
DNS Server Search Order: 62.2.17.61
DNS Server Search Order: 62.2.24.158
DNS Server Search Order: 62.2.17.60
DNS Server Search Order: 62.2.24.162

HKLM\SYSTEM\CCS\Services\Tcpip\..\{3F67B642-FB9E-4683-B758-F5FBADFB2485}: DhcpNameServer=62.2.17.61 62.2.24.158 62.2.17.60 62.2.24.162
HKLM\SYSTEM\CS1\Services\Tcpip\..\{3F67B642-FB9E-4683-B758-F5FBADFB2485}: DhcpNameServer=62.2.17.60 62.2.24.158 62.2.17.61 62.2.24.162
HKLM\SYSTEM\CS3\Services\Tcpip\..\{3F67B642-FB9E-4683-B758-F5FBADFB2485}: DhcpNameServer=62.2.17.61 62.2.24.158 62.2.17.60 62.2.24.162
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=62.2.17.61 62.2.24.158 62.2.17.60 62.2.24.162
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=62.2.17.60 62.2.24.158 62.2.17.61 62.2.24.162
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=62.2.17.61 62.2.24.158 62.2.17.60 62.2.24.162


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End




Malwarebytes' Anti-Malware 1.25
Datenbank Version: 1071
Windows 5.1.2600 Service Pack 3

21:52:16 19.08.2008
mbam-log-08-19-2008 (21-52-16).txt

Scan-Methode: Vollständiger Scan (C:\|E:\|F:\|G:\|H:\|)
Durchsuchte Objekte: 121407
Laufzeit: 30 minute(s), 8 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

#4 Hallo chriesi

ComboFix entfernen
Start - Ausführen - Kopiere rein: Combofix /U
- klicke "OK"

dann kannst du deinen fixen Virenscanner wieder aktivieren...wenn es noch Probleme gibt - melde dich
und pass in Zukunft auf, was du lädst.... nicht alles hält, was es verspricht...
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Hoi Sabina

konnte leider Combofix /U nicht ausführen.

"Combofix konnte nicht gefunden werden....."

mfg chriesi

#6 Entferne
C:\Dokumente und Einstellungen\Hengemühl\Eigene Dateien\Software\combofix\ComboFix.exe
Entferne auf C:\Qoobox

Papierkorb leeren!!

OTMoveIt.exe
Download OTMoveIt2 zum Desktop
Oeffne:OTMoveIt.exe und klicke den CleanUp! button
Begin cleanup process? klicke: Yes. - "Do you want to reboot?" klicke Yes
so wird von OTMoveIt2 automatisch alles an Tools entfernt, die zur Virenreinigung geladen wurden.
http://virus-protect.org/artikel/tools/otmoveIt.html
__________
MfG Argus