Aktives Fenster wird immer für ein paar Sekunden inaktiv

#1 Hallo, habe seit einiger Zeit das Problem dass das aktive Fenster immer wieder für ein paar Sekunden inaktiv wird, durch anklicken kann ich es aber wieder in den Vordergrund bringen. Wenn ich es nicht anklicke wird es nach ein paar Sekunden automatisch wieder aktiv. Vor ca. einer Woche passierte dann etwas komisches. Anstatt das nur das aktive Fenster inaktiv wird, erschien stattdessen in der rechten unteren Bildschirmecke für ein paar Sekunden lang ein Internet Explorer Fenster (obwohl ich ausschließlich Firefox benutze). Habe darauf den Internet Explorer neu installiert und daraufhin erschien das kleine Fenster nicht mehr, aber das aktive Fenster wurde trotzdem immer wieder inaktiv. Meine Theorie ist nun dass sich alle paar Sekunden etwas (Fenster?) kurz öffnet und wieder schließt und ich es nur nicht sehe.

Bitte um rasche Hilfe, bin am verzweifeln. Habe schon etliche Viren und Anti-Malware Scans durchgeführt, aber nichts hilft.

Habe im Forum auch schon gelesen dass jemand das gleiche Problem hatte, und es bei ihm einfach mit der Updatefunktion von Spamihilator zu tun hatte, aber ich habe dieses Programm meines Wissen nicht installiert.

Kann mir jemand helfen?

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:09:04, on 28.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\Programme\Intel\WiFi\bin\S24EvMon.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
D:\Programme\Bonjour\mDNSResponder.exe
D:\Programme\Cisco Systems\VPN Client\cvpnd.exe
D:\Programme\Intel\WiFi\bin\EvtEng.exe
D:\Programme\CA\eTrust Antivirus\InoRpc.exe
D:\Programme\CA\eTrust Antivirus\InoRT.exe
D:\Programme\CA\eTrust Antivirus\InoTask.exe
D:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
D:\Programme\Gemeinsame Dateien\Intel\WirelessCommon\RegSrvc.exe
D:\Programme\Analog Devices\SoundMAX\SMAgent.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\igfxtray.exe
D:\WINDOWS\system32\hkcmd.exe
D:\WINDOWS\system32\NWTRAY.EXE
D:\Programme\ltmoh\Ltmoh.exe
D:\PROGRA~1\CA\ETRUST~1\realmon.exe
D:\WINDOWS\system32\igfxpers.exe
D:\Programme\Synaptics\SynTP\SynTPLpr.exe
D:\Programme\Synaptics\SynTP\SynTPEnh.exe
D:\WINDOWS\AGRSMMSG.exe
D:\WINDOWS\system32\igfxsrvc.exe
D:\Programme\HPQ\Quick Launch Buttons\EabServr.exe
D:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
D:\Programme\Analog Devices\SoundMAX\Smax4.exe
D:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
D:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe
D:\Programme\Java\jre1.6.0_05\bin\jusched.exe
D:\WINDOWS\system32\dllcache\iexplore.exe
D:\Dokumente und Einstellungen\Georg\Eigene Dateien\Programme\iTunes\iTunesHelper.exe
D:\Programme\Intel\WiFi\bin\ZCfgSvc.exe
D:\Programme\Gemeinsame Dateien\Intel\WirelessCommon\iFrmewrk.exe
D:\WINDOWS\system32\dllcache\iexplore.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Programme\MSN Messenger\MsnMsgr.Exe
D:\Programme\DNA\btdna.exe
D:\Programme\PC Connectivity Solution\ServiceLayer.exe
D:\Programme\Skype\Phone\Skype.exe
D:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
D:\Programme\iPod\bin\iPodService.exe
D:\WINDOWS\system32\zstatus.exe
D:\WINDOWS\System32\wbem\unsecapp.exe
D:\Programme\Internet Explorer\IEXPLORE.EXE
D:\WINDOWS\System32\svchost.exe
D:\Programme\MSN Messenger\livecall.exe
D:\Programme\Skype\Plugin Manager\skypePM.exe
D:\Programme\MSN Messenger\usnsvc.exe
D:\WINDOWS\system32\slS7A548.exe
D:\Programme\Mozilla Firefox\firefox.exe
D:\Programme\a-squared Anti-Malware\a2service.exe
D:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.at/0SEDEAT/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.at/0SEDEAT/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.at/0SEDEAT/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://v4.windowsupdate.microsoft.com/de/default.asp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
F2 - REG:system.ini: UserInit=D:\WINDOWS\system32\userinit.exe
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - D:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - D:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - D:\Programme\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - D:\Programme\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [IgfxTray] D:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] D:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE
O4 - HKLM\..\Run: [LtMoh] D:\Programme\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [Apoint] D:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [Realtime Monitor] D:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [Persistence] D:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SynTPLpr] D:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] D:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [eabconfg.cpl] D:\Programme\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [SoundMAXPnP] D:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "D:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [CiphireStartup] "D:\Programme\Ciphire\ciphire-startup.exe" -registry
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [vthi] D:\WINDOWS\system32\q740q.exe dummy
O4 - HKLM\..\Run: [Adobe Photo Downloader] "D:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [TkBellExe] "D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [VirtualCloneDrive] "D:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [hp 1000 firmware] D:\Programme\hp LaserJet 1000\fwdl.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] D:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [AppleSyncNotifier] D:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Microsoft©] D:\WINDOWS\system32\dllcache\iexplore.exe
O4 - HKLM\..\Run: [iTunesHelper] "D:\Dokumente und Einstellungen\Georg\Eigene Dateien\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [IntelZeroConfig] "D:\Programme\Intel\WiFi\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "D:\Programme\Gemeinsame Dateien\Intel\WirelessCommon\iFrmewrk.exe" /tf Intel Wireless Tray
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "D:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [BitTorrent DNA] "D:\Programme\DNA\btdna.exe"
O4 - HKCU\..\Run: [Skype] "D:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = D:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: VPN Client.lnk = ?
O8 - Extra context menu item: &Windows Live Search - res://D:\Programme\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: In neuer Registerkarte im Hintergrund öffnen - res://D:\Programme\Windows Live Toolbar\Components\de-at\msntabres.dll.mui/229?e5c89212089a49b5b299d90f072cb679
O8 - Extra context menu item: In neuer Registerkarte im Vordergrund öffnen - res://D:\Programme\Windows Live Toolbar\Components\de-at\msntabres.dll.mui/230?e5c89212089a49b5b299d90f072cb679
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: d:\windows\system32\ciphire-lsp.dll
O10 - Unknown file in Winsock LSP: d:\windows\system32\ciphire-lsp.dll
O10 - Unknown file in Winsock LSP: d:\windows\system32\ciphire-lsp.dll
O10 - Unknown file in Winsock LSP: d:\windows\system32\ciphire-lsp.dll
O10 - Unknown file in Winsock LSP: d:\windows\system32\ciphire-lsp.dll
O10 - Unknown file in Winsock LSP: d:\windows\system32\ciphire-lsp.dll
O10 - Unknown file in Winsock LSP: d:\windows\system32\ciphire-lsp.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1119860537383
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1119860481012
O17 - HKLM\System\CCS\Services\Tcpip\..\{0E5BDD3B-4605-4303-A1A3-8684DC83607A}: Domain = uibk.ac.at
O17 - HKLM\System\CCS\Services\Tcpip\..\{0E5BDD3B-4605-4303-A1A3-8684DC83607A}: NameServer = 138.232.1.4,138.232.1.5
O17 - HKLM\System\CCS\Services\Tcpip\..\{124C493B-567E-4FE3-9988-78F535FB65D8}: Domain = uibk.ac.at
O17 - HKLM\System\CCS\Services\Tcpip\..\{15AB299B-0F8A-4F43-856E-5C556701AE03}: Domain = uibk.ac.at
O17 - HKLM\System\CCS\Services\Tcpip\..\{6691F7C7-5B97-4B93-B8AC-3D815658DD1C}: Domain = uibk.ac.at
O17 - HKLM\System\CCS\Services\Tcpip\..\{6691F7C7-5B97-4B93-B8AC-3D815658DD1C}: NameServer = 138.232.1.4,138.232.1.5
O17 - HKLM\System\CCS\Services\Tcpip\..\{67FF2A95-2DC4-483D-BA3F-00ACD68B6ECE}: Domain = uibk.ac.at
O17 - HKLM\System\CCS\Services\Tcpip\..\{67FF2A95-2DC4-483D-BA3F-00ACD68B6ECE}: NameServer = 138.232.1.4,138.232.1.5
O17 - HKLM\System\CCS\Services\Tcpip\..\{74731DD3-3C3E-43D5-BE9D-6D849992B334}: Domain = uibk.ac.at
O17 - HKLM\System\CCS\Services\Tcpip\..\{74731DD3-3C3E-43D5-BE9D-6D849992B334}: NameServer = 138.232.1.4,138.232.1.5
O17 - HKLM\System\CCS\Services\Tcpip\..\{9524B27D-DD25-4739-8AE9-FF772E0C388E}: Domain = uibk.ac.at
O17 - HKLM\System\CCS\Services\Tcpip\..\{9524B27D-DD25-4739-8AE9-FF772E0C388E}: NameServer = 138.232.1.4,138.232.1.5
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - D:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: pasksa - pasksa.dll (file missing)
O23 - Service: a-squared Anti-Malware Service (a2AntiMalware) - Emsi Software GmbH - D:\Programme\a-squared Anti-Malware\a2service.exe
O23 - Service: Apple Mobile Device - Apple Inc. - D:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - D:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Client Update Service for Novell (cusrvc) - Novell, Inc. - D:\WINDOWS\system32\cusrvc.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - D:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: Intel® PROSet/Wireless Event Log (EvtEng) - Intel(R) Corporation - D:\Programme\Intel\WiFi\bin\EvtEng.exe
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - D:\Programme\HPQ\SHARED\HPQWMI.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - D:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - D:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - D:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - D:\Programme\iPod\bin\iPodService.exe
O23 - Service: Intel® PROSet/Wireless Registry Service (RegSrvc) - Intel(R) Corporation - D:\Programme\Gemeinsame Dateien\Intel\WirelessCommon\RegSrvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - D:\Programme\WinPcap\rpcapd.exe
O23 - Service: Intel® PROSet/Wireless WiFi Service (S24EventMonitor) - Intel(R) Corporation - D:\Programme\Intel\WiFi\bin\S24EvMon.exe
O23 - Service: ServiceLayer - Nokia. - D:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - D:\Programme\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 14336 bytes

#2 Virustotal
Prüfe mal diese Datei(en) bei Virustotal http://www.virustotal.com/flash/index_en.html

D:\WINDOWS\system32\slS7A548.exe
D:\WINDOWS\system32\q740q.exe

Note: Wenn bei ViruTotal die Meldung kommt ” Die Datei wurde bereits analysiert “wähle „Analysiere die Datei“
Und Berichte
__________
MfG Argus

#3 D:\WINDOWS\system32\slS7A548.exe:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.8.27.1 2008.08.28 Win32/NSAnti.suspicious
AntiVir 7.8.1.23 2008.08.28 TR/Crypt.ULPM.Gen
Authentium 5.1.0.4 2008.08.28 W32/Downldr2.DIBW
Avast 4.8.1195.0 2008.08.27 Win32:Trojan-gen {Other}
AVG 8.0.0.161 2008.08.28 Generic10.BGUN
BitDefender 7.2 2008.08.28 Trojan.Adclicker.HB
CAT-QuickHeal 9.50 2008.08.26 TrojanDownloader.Agent.wza
ClamAV 0.93.1 2008.08.28 Trojan.Downloader-49111
DrWeb 4.44.0.09170 2008.08.28 Trojan.DownLoad.3179
eSafe 7.0.17.0 2008.08.27 Suspicious File
eTrust-Vet 31.6.6054 2008.08.28 -
Ewido 4.0 2008.08.28 -
F-Prot 4.4.4.56 2008.08.28 W32/Downldr2.DIBW
F-Secure 7.60.13501.0 2008.08.28 Trojan-Downloader.Win32.Agent.wza
Fortinet 3.14.0.0 2008.08.28 W32/Agent.WZA!tr.dldr
GData 19 2008.08.28 Trojan-Downloader.Win32.Agent.wza
Ikarus T3.1.1.34.0 2008.08.28 Trojan-Downloader.Win32.Agent.vvi
K7AntiVirus 7.10.428 2008.08.25 Trojan-Downloader.Win32.Agent.wza
Kaspersky 7.0.0.125 2008.08.28 Trojan-Downloader.Win32.Agent.wza
McAfee 5371 2008.08.27 Downloader.gen.a
Microsoft 1.3807 2008.08.25 -
NOD32v2 3395 2008.08.28 a variant of Win32/TrojanClicker.Agent.NEB
Norman 5.80.02 2008.08.28 W32/Adclicker.EKF
Panda 9.0.0.4 2008.08.27 W32/Brontok.JT.worm
PCTools 4.4.2.0 2008.08.27 -
Prevx1 V2 2008.08.28 Malicious Software
Rising 20.59.31.00 2008.08.28 Trojan.Win32.Undef.jrw
Sophos 4.33.0 2008.08.28 Mal/HckPk-A
Sunbelt 3.1.1582.1 2008.08.26 Trojan-Downloader.Win32.Agent.wza
Symantec 10 2008.08.28 Trojan.Adclicker
TheHacker 6.3.0.6.064 2008.08.27 Trojan/Downloader.Agent.wza
TrendMicro 8.700.0.1004 2008.08.28 TROJ_AGENT.AGIU
VBA32 3.12.8.4 2008.08.28 Trojan-Downloader.Win32.Agent.wza
ViRobot 2008.8.28.1353 2008.08.28 Trojan.Win32.Downloader.35842.D
VirusBuster 4.5.11.0 2008.08.27 -
Webwasher-Gateway 6.6.2 2008.08.28 -
weitere Informationen
File size: 35842 bytes
MD5...: 2866987716da7a2f868e4b64b421b453
SHA1..: 348b3acf92245787dbecf5bc7aed29205b4375d5
SHA256: e78c6e6a599d978b4abf287ff7964f51f3032c6ff759ebe15cf38e83a996e949
SHA512: 342d6b86294e9abe7e876fb349e0a7ae5c8b4ce878fc2acb1c2a885212d18255
58fb2ddcbaa3ea907bf8083a86a84364a23b3295b41956cef8db372b4e86016c
PEiD..: -
TrID..: File type identification
UPX compressed Win32 Executable (39.5%)
Win32 EXE Yoda's Crypter (34.3%)
Win32 Executable Generic (11.0%)
Win32 Dynamic Link Library (generic) (9.8%)
Generic Win/DOS Executable (2.5%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x4141c9
timedatestamp.....: 0x4885a292 (Tue Jul 22 09:04:18 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0xb000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0xc000 0x9000 0x8400 7.99 bc43ef24f5bfc5c90d4b3f7fba678f82
UPX2 0x15000 0x1000 0x400 2.73 af8114c7acc7de4abf32e98010e97503

( 9 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess
> ADVAPI32.dll: RegCloseKey
> NETAPI32.dll: NetScheduleJobAdd
> ole32.dll: CoInitialize
> OLEAUT32.dll: -
> SHELL32.dll: StrChrA
> SHLWAPI.dll: StrDupA
> USER32.dll: wsprintfA
> WININET.dll: InternetOpenA

( 0 exports )
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=3FC0190802597F528C54000E198D0400B53F98A2
ThreatExpert info: http://www.threatexpert.com/report.aspx?md5=2866987716da7a2f868e4b64b421b453




D:\WINDOWS\system32\q740q.exe:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.8.27.1 2008.08.28 Win-Trojan/Xema.variant
AntiVir 7.8.1.23 2008.08.28 TR/Dldr.Small.Com.1
Authentium 5.1.0.4 2008.08.28 W32/Heuristic-257!Eldorado
Avast 4.8.1195.0 2008.08.27 Win32:Trojan-gen {Other}
AVG 8.0.0.161 2008.08.28 Generic3.GBL
BitDefender 7.2 2008.08.28 Trojan.Genlot.YM
CAT-QuickHeal 9.50 2008.08.26 (Suspicious) - DNAScan
ClamAV 0.93.1 2008.08.28 Trojan.Dropper.Small-90
DrWeb 4.44.0.09170 2008.08.28 Trojan.DownLoader.26253
eSafe 7.0.17.0 2008.08.27 Win32.Small.aom
eTrust-Vet 31.6.6054 2008.08.28 -
Ewido 4.0 2008.08.28 Dropper.Small
F-Prot 4.4.4.56 2008.08.28 W32/Heuristic-257!Eldorado
F-Secure 7.60.13501.0 2008.08.28 Trojan-Dropper.Win32.Small.aom
Fortinet 3.14.0.0 2008.08.28 W32/Small.ALI!tr
GData 19 2008.08.28 Trojan-Dropper.Win32.Small.aom
Ikarus T3.1.1.34.0 2008.08.28 Trojan-Downloader.Win32.Small.ccm
K7AntiVirus 7.10.428 2008.08.25 -
Kaspersky 7.0.0.125 2008.08.28 Trojan-Dropper.Win32.Small.aom
McAfee 5371 2008.08.27 Generic.df
Microsoft 1.3807 2008.08.25 TrojanDownloader:Win32/Small
NOD32v2 3395 2008.08.28 Win32/TrojanDropper.Small.ALI
Norman 5.80.02 2008.08.28 W32/DLoader.AYNF.dropper
Panda 9.0.0.4 2008.08.27 Trj/Banker.DFQ
PCTools 4.4.2.0 2008.08.27 -
Rising 20.59.31.00 2008.08.28 Trojan.Spy.Banker.zyv
Sophos 4.33.0 2008.08.28 Mal/DllHook-A
Sunbelt 3.1.1582.1 2008.08.26 Trojan.Unclassified.gen
Symantec 10 2008.08.28 Trojan Horse
TheHacker 6.3.0.6.064 2008.08.27 -
TrendMicro 8.700.0.1004 2008.08.28 TROJ_SMALL.DIR
VBA32 3.12.8.4 2008.08.28 suspected of Embedded.Trojan-Downloader.Win32.Small.cut
ViRobot 2008.8.28.1353 2008.08.28 -
VirusBuster 4.5.11.0 2008.08.27 -
Webwasher-Gateway 6.6.2 2008.08.28 Win32.Malware.gen
weitere Informationen
File size: 9216 bytes
MD5...: 62273e46034d4a285280e5e645ff0b9c
SHA1..: 20b21f54e01cf8354822605855f866f9291e8527
SHA256: 7e778510f3c0bc468c1e552b8f2ef3275fbcef30c13b2a4a3b693b4910a95342
SHA512: 3b38239b91a4b1f58b3875578d5a0188bcdfa07816bd6e890642d15331f2844f
3493c1a7a6ac514d96926e6dcecc75bc43d8c7062c18f04bdf3ff125d20577f0
PEiD..: PECompact v1.47 - v1.50
TrID..: File type identification
Win32 EXE PECompact compressed (generic) (67.3%)
Win32 Executable Generic (13.8%)
Win32 Dynamic Link Library (generic) (12.2%)
Generic Win/DOS Executable (3.2%)
DOS Executable Generic (3.2%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x404d7e
timedatestamp.....: 0x44750000 (Thu May 25 00:53:20 2006)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
pec1 0x1000 0x3000 0x800 6.76 6c76cea33cac027dea2196860fa40320
.rsrc 0x4000 0x6000 0x1400 7.36 ba5abe0d92decd4465edb386e1310f82
.rsrc 0xa000 0x1000 0x400 4.04 8d5422a062ec2b73bff66554e6318cd1

( 4 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualAlloc, VirtualFree, ExitProcess, GetModuleHandleA
> MSVCRT.dll: __setusermatherr
> SHELL32.dll: ShellExecuteA
> ADVAPI32.dll: RegSetValueExA

( 0 exports )
packers (Kaspersky): PECompact
packers (Authentium): PECompact
packers (F-Prot): PECompact

#4 Malwarebytes Anti-Malware fuer Windows 2000,XP und Vista
Download MBAM
Doppelklick mbam-setup und waehle Deutsch ,das Program wird jetzt ge-updatet
Klicke “Einstellungen“ haacke an “ Beende Inter Explorer während des Löschvorgangs “
Waehle bei Reiter “Scanner”> "Quick Scan durchfuehren" .
Waehle alle Laufwerke>Scan laufen lassen
Wenn am Ende infizierungen gefunden werden,anhaacken und entfernen lassen
Unter Scanberichte stet das log (mbam-log-XX-XX-XXXX.txt)
Poste dessen inhalt hier ins Forum
Note:
Wenn MBAM Schwierigkeiten damit hat Daten zu entfernen wird es gemeldet und klicke OK
Danach wird gefragt den Rechner neu zu starten,lass es zu
Nehme als Update Spiegel >>It-mate.co.uk
Malwarebytes Anti-Malware kann man nachher behalten !
__________
MfG Argus

#5 Hallo,villain

««
mit dem HijackThis löschen ("fixen")
Klicke: "Do a system scan only"
Setze ein Häckchen in das Kästchen vor den genannten Eintrag
und wähle fix checked

Zitat

O4 - HKLM\..\Run: [vthi] D:\WINDOWS\system32\q740q.exe dummy

O4 - HKLM\..\Run: [Microsoft©] D:\WINDOWS\system32\dllcache\iexplore.exe

O20 - Winlogon Notify: pasksa - pasksa.dll (file missing)

««
sdifx
http://virus-protect.org/artikel/tools/sdfix.html
unter C:\ findet man nun den SDFix-Ordner

boote in den abgesicherten Modus (die Taste F8 drücken, während der Rechner neustartet)

gehe in den Ordner C:\SDFix

RunThis.bat doppelt klicken
folge allen Anweisungen, während gescannt wird - dann wird der Rechner neustarten
kopiere mit der rechten Maustaste den Text ab, der erscheint - und in den Beitrag,
__________
MfG Sabina

rund um die PC-Sicherheit

#6 mal das:

Malwarebytes' Anti-Malware 1.25
Datenbank Version: 1090
Windows 5.1.2600 Service Pack 2

15:21:51 28.08.2008
mbam-log-08-28-2008 (15-21-51).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 72563
Laufzeit: 8 minute(s), 4 second(s)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4

Infizierte Speicherprozesse:
D:\WINDOWS\system32\slS7A548.exe (Trojan.Adclicker) -> Unloaded process successfully.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\pe386 (Rootkit.ADS) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
D:\WINDOWS\system32\slS7A548.exe (Trojan.Adclicker) -> Quarantined and deleted successfully.
D:\WINDOWS\system32\Dw03o41c.exe.a_a (Trojan.Agent) -> Quarantined and deleted successfully.
D:\WINDOWS\system32\slS7A548.exe.a_a (Trojan.Agent) -> Quarantined and deleted successfully.
D:\WINDOWS\system32:lzx32.sys (Rootkit.ADS) -> Quarantined and deleted successfully.


und das von Sabina mach ich gleich!

#7 Nun arbeite ab, was ich oben geschrieben habe

zusätzlich, wegen dem Rootkit:
lade gmer und poste den report
http://virus-protect.org/artikel/tools/gmer.html
__________
MfG Sabina

rund um die PC-Sicherheit

#8 gmer ist doch meine ich integriert in SDFix. aber will mich ya nicht in eure erstklassige arbeti michen !

#9 hab SDFix gemacht, hab aber nach dem Neustart keinen Text bekommen...

gmer:
GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2008-08-28 17:23:29
Windows 5.1.2600 Service Pack 2


---- Devices - GMER 1.0.14 ----

AttachedDevice \FileSystem\Ntfs \Ntfs ino_flpy.sys (CA eTrust Antivirus/InoculateIT File System Mounting Filter Driver for Windows 2000/XP/.Net/Computer Associates)
AttachedDevice \FileSystem\Fastfat \Fat ino_flpy.sys (CA eTrust Antivirus/InoculateIT File System Mounting Filter Driver for Windows 2000/XP/.Net/Computer Associates)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 EABFiltr.sys (QLB PS/2 Keyboard filter driver/Hewlett-Packard Company)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 EABFiltr.sys (QLB PS/2 Keyboard filter driver/Hewlett-Packard Company)

---- EOF - GMER 1.0.14 ----


vielleicht bin ich nur zu voreilig, aber mein Problem ist zurzeit weg (hat es aber auch manchmal schon gegeben, dass es eine halbe stunde lang in ordnung war)....oder ich bins einfach schon so gewohnt und merke es nicht

#10 gehe in den sdfix-Ordner, dort sollte das Log sein

dann lade combofix + poste den report
http://virus-protect.org/artikel/tools/combofix.html

ich muss noch nachgraben, wegen dem hier
D:\WINDOWS\system32\dllcache\iexplore.exe
__________
MfG Sabina

rund um die PC-Sicherheit

#11 und wie soll das heissen?

#12 keine Ahnung...normalerweise erscheint es gleich bei Neustart ...
..log oder txt-Datei ?

poste dann auch das log von combofix
__________
MfG Sabina

rund um die PC-Sicherheit

#13 Combofix

ComboFix 08-08-27.06 - georg 2008-08-28 17:37:48.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.460 [GMT 2:00]
ausgeführt von:: D:\Dokumente und Einstellungen\Georg\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat
D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat
D:\Dokumente und Einstellungen\Georg\Anwendungsdaten\macromedia\Flash Player\#SharedObjects\KW3WB359\bin.clearspring.com
D:\Dokumente und Einstellungen\Georg\Anwendungsdaten\macromedia\Flash Player\#SharedObjects\KW3WB359\bin.clearspring.com\clearspring.sol
D:\Dokumente und Einstellungen\Georg\Anwendungsdaten\macromedia\Flash Player\#SharedObjects\KW3WB359\interclick.com
D:\Dokumente und Einstellungen\Georg\Anwendungsdaten\macromedia\Flash Player\#SharedObjects\KW3WB359\interclick.com\ud.sol
D:\Dokumente und Einstellungen\Georg\Anwendungsdaten\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#bin.clearspring.com
D:\Dokumente und Einstellungen\Georg\Anwendungsdaten\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#bin.clearspring.com\settings.sol
D:\Dokumente und Einstellungen\Georg\Anwendungsdaten\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#interclick.com
D:\Dokumente und Einstellungen\Georg\Anwendungsdaten\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#interclick.com\settings.sol
D:\WINDOWS\icon.ico
D:\WINDOWS\system32\MSINET.oca

----- BITS: Eventuell infizierte Webseiten -----

http://winsus.uibk.ac.at
.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_6TO4
-------\Service_6to4


((((((((((((((((((((((( Dateien erstellt von 2008-07-28 bis 2008-08-28 ))))))))))))))))))))))))))))))
.

2008-08-28 17:21 . 2008-08-28 17:22 250 --a------ D:\WINDOWS\gmer.ini
2008-08-28 16:54 . 2008-08-28 16:54 578,560 --a--c--- D:\WINDOWS\system32\dllcache\user32.dll
2008-08-28 16:44 . 2008-08-28 16:44 <DIR> d-------- D:\WINDOWS\ERUNT
2008-08-28 14:59 . 2008-08-28 14:59 <DIR> d-------- D:\Programme\Malwarebytes' Anti-Malware
2008-08-28 14:59 . 2008-08-28 14:59 <DIR> d-------- D:\Dokumente und Einstellungen\Georg\Anwendungsdaten\Malwarebytes
2008-08-28 14:59 . 2008-08-28 14:59 <DIR> d-------- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-08-28 14:59 . 2008-08-17 15:01 38,472 --a------ D:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-08-28 14:59 . 2008-08-17 15:01 17,144 --a------ D:\WINDOWS\system32\drivers\mbam.sys
2008-08-28 12:55 . 2008-08-28 12:55 <DIR> d-------- D:\Programme\Trend Micro
2008-08-28 12:29 . 2008-08-28 13:01 <DIR> d-------- D:\Programme\a-squared Anti-Malware
2008-08-27 18:10 . 2008-08-27 18:10 <DIR> d-------- D:\Programme\Gemeinsame Dateien\Intel
2008-08-27 18:10 . 2007-02-12 12:41 2,732,032 --a------ D:\WINDOWS\system32\Netw2r32.dll
2008-08-27 18:10 . 2008-01-07 14:36 2,216,064 -ra------ D:\WINDOWS\system32\drivers\w29n51.sys
2008-08-27 18:10 . 2007-02-12 12:40 557,056 --a------ D:\WINDOWS\system32\Netw2c32.dll
2008-08-27 18:06 . 2008-08-27 18:06 <DIR> d-------- D:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Intel
2008-08-27 18:06 . 2008-08-27 18:06 <DIR> d-------- D:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Intel
2008-08-27 18:06 . 2008-08-27 18:06 <DIR> d-------- D:\Dokumente und Einstellungen\krois\Anwendungsdaten\Intel
2008-08-27 18:06 . 2008-08-27 18:06 <DIR> d-------- D:\Dokumente und Einstellungen\Georg\Anwendungsdaten\Intel
2008-08-27 18:06 . 2008-08-27 18:06 <DIR> d-------- D:\Dokumente und Einstellungen\Familie\Anwendungsdaten\Intel
2008-08-27 18:06 . 2008-08-27 18:06 <DIR> d-------- D:\Dokumente und Einstellungen\c102vos\Anwendungsdaten\Intel
2008-08-27 18:06 . 2008-08-27 18:06 <DIR> d-------- D:\Dokumente und Einstellungen\bernhard\Anwendungsdaten\Intel
2008-08-27 18:06 . 2008-08-27 18:06 <DIR> d-------- D:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Intel
2008-08-27 18:05 . 2008-08-27 18:05 <DIR> d-------- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Intel
2008-08-27 15:03 . 2007-07-12 12:58 49,904 -ra------ D:\WINDOWS\system32\drivers\BVRPMPR5.SYS
2008-08-27 15:02 . 2008-08-27 15:34 <DIR> d-------- D:\Netgear
2008-08-23 17:09 . 2008-08-23 17:09 <DIR> d-------- D:\Programme\iPod
2008-08-18 20:55 . 2008-08-28 16:36 <DIR> d-a------ D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-07-31 20:19 . 2008-08-28 16:06 <DIR> d-------- D:\Dokumente und Einstellungen\Georg\Anwendungsdaten\skypePM
2008-07-31 20:19 . 2008-07-31 20:19 56 --ah----- D:\WINDOWS\system32\ezsidmv.dat
2008-07-31 20:18 . 2008-07-31 20:18 <DIR> d-------- D:\Programme\Skype
2008-07-31 20:18 . 2008-07-31 20:18 <DIR> d-------- D:\Programme\Gemeinsame Dateien\Skype
2008-07-31 20:18 . 2008-08-28 17:23 <DIR> d-------- D:\Dokumente und Einstellungen\Georg\Anwendungsdaten\Skype
2008-07-31 20:17 . 2008-07-31 20:18 <DIR> d-------- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-28 15:42 --------- d-----w D:\Dokumente und Einstellungen\Georg\Anwendungsdaten\DNA
2008-08-28 12:21 --------- d-----w D:\Dokumente und Einstellungen\Georg\Anwendungsdaten\BitTorrent
2008-08-27 17:22 --------- d-----w D:\Dokumente und Einstellungen\Georg\Anwendungsdaten\Azureus
2008-08-27 16:10 --------- d-----w D:\Programme\Intel
2008-08-23 15:59 --------- d-----w D:\Programme\Apple Software Update
2008-07-24 16:00 --------- d-----w D:\Programme\MSN Messenger
2008-07-23 15:02 --------- d-----w D:\Dokumente und Einstellungen\Georg\Anwendungsdaten\AD ON Multimedia
2008-07-23 13:05 --------- d-----w D:\Programme\Spybot - Search & Destroy
2008-07-23 11:03 --------- d-----w D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Windows Live Toolbar
2008-07-20 12:40 --------- d-----w D:\Programme\DNA
2008-07-20 12:40 --------- d-----w D:\Programme\BitTorrent
2008-07-14 09:58 --------- d-----w D:\Programme\QuickTime
2008-07-14 09:58 --------- d-----w D:\Programme\Bonjour
2008-07-14 09:40 --------- d-----w D:\Programme\Safari
2008-07-06 12:06 --------- d-----w D:\Programme\Analog Devices
2008-07-05 11:15 --------- d-----w D:\Programme\PC Inspector File Recovery
2008-07-05 11:14 --------- d--h--w D:\Programme\InstallShield Installation Information
2008-07-05 10:54 --------- d-----w D:\Programme\Recover Files
2008-07-05 10:49 --------- d-----w D:\Programme\Data Doctor Recovery NTFS (Demo)
2008-06-30 20:27 --------- d-----w D:\Programme\Opera
2008-06-15 11:10 39,424 ----a-w D:\WINDOWS\zipinst.exe
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="D:\WINDOWS\system32\ctfmon.exe" [2004-08-04 09:57 15360]
"MsnMsgr"="D:\Programme\MSN Messenger\MsnMsgr.Exe" [2007-01-19 12:55 5674352]
"BitTorrent DNA"="D:\Programme\DNA\btdna.exe" [2008-07-20 14:40 289088]
"Skype"="D:\Programme\Skype\Phone\Skype.exe" [2008-07-23 14:11 21738792]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="D:\WINDOWS\system32\igfxtray.exe" [2005-04-25 11:32 94208]
"HotKeysCmds"="D:\WINDOWS\system32\hkcmd.exe" [2005-04-25 11:29 77824]
"LtMoh"="D:\Programme\ltmoh\Ltmoh.exe" [2003-01-02 18:16 172032]
"Apoint"="D:\Programme\Apoint2K\Apoint.exe" [2002-04-05 16:46 118784]
"Realtime Monitor"="D:\PROGRA~1\CA\ETRUST~1\realmon.exe" [2004-06-26 00:17 504080]
"Persistence"="D:\WINDOWS\system32\igfxpers.exe" [2005-04-25 11:32 114688]
"SynTPLpr"="D:\Programme\Synaptics\SynTP\SynTPLpr.exe" [2004-11-04 19:40 98394]
"SynTPEnh"="D:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2004-11-04 19:38 688218]
"eabconfg.cpl"="D:\Programme\HPQ\Quick Launch Buttons\EabServr.exe" [2004-12-03 14:24 290816]
"SoundMAXPnP"="D:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe" [2004-10-14 10:11 1388544]
"CiphireStartup"="D:\Programme\Ciphire\ciphire-startup.exe" [2005-09-13 18:57 163840]
"Adobe Photo Downloader"="D:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" [2005-06-23 20:33 57344]
"TkBellExe"="D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-02-03 23:51 185896]
"VirtualCloneDrive"="D:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" [2006-04-29 15:21 94208]
"hp 1000 firmware"="D:\Programme\hp LaserJet 1000\fwdl.exe" [2001-12-15 13:10 36864]
"PCSuiteTrayApplication"="D:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe" [2007-06-18 16:10 271360]
"SunJavaUpdateSched"="D:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
"AppleSyncNotifier"="D:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2008-07-10 09:47 116040]
"QuickTime Task"="D:\Programme\QuickTime\QTTask.exe" [2008-05-27 10:50 413696]
"iTunesHelper"="D:\Dokumente und Einstellungen\Georg\Eigene Dateien\Programme\iTunes\iTunesHelper.exe" [2008-07-30 10:47 289064]
"IntelZeroConfig"="D:\Programme\Intel\WiFi\bin\ZCfgSvc.exe" [2008-07-10 20:30 1351680]
"IntelWireless"="D:\Programme\Gemeinsame Dateien\Intel\WirelessCommon\iFrmewrk.exe" [2008-07-10 20:13 1191936]
"SDFix"="C:\SDFix\RunThis.bat" [2008-08-24 04:48 752040]
"NWTRAY"="NWTRAY.EXE" [2002-03-12 10:37 28672 D:\WINDOWS\system32\nwtray.exe]
"AGRSMMSG"="AGRSMMSG.exe" [2005-04-13 11:12 88209 D:\WINDOWS\AGRSMMSG.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="D:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 09:57 15360]
"Nokia.PCSync"="D:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe" [2007-06-19 11:17 1241088]
"msnmsgr"="D:\Programme\MSN Messenger\msnmsgr.exe" [2007-01-19 12:55 5674352]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"CompatibleRUPSecurity"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux1"= ctwdm32.dll
"VIDC.YV12"= yv12vfw.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 nwv1_0

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders msapsspc.dllschannel.dlldigest.dllmsnsspc.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"D:\\Programme\\Cisco Systems\\VPN Client\\cvpnd.exe"=
"D:\Programme\CA\eTrust Antivirus\InoRpc.exe"= D:\Programme\CA\eTrust Antivirus\InoRpc.exe:138.232.1.207/255.255.255.255:Enabled:eTrust Antivirus Administrationsserver
"D:\Programme\CA\eTrust Antivirus\Realmon.exe"= D:\Programme\CA\eTrust Antivirus\Realmon.exe:138.232.1.207/255.255.255.255:Enabled:eTrust Antivirus Realmon
"D:\Programme\CA\eTrust Antivirus\InocIT.exe"= D:\Programme\CA\eTrust Antivirus\InocIT.exe:138.232.1.207/255.255.255.255:Enabled:eTrust Antivirus InocIT
"D:\\Programme\\InterVideo\\DVD6\\WinDVD.exe"=
"D:\\Dokumente und Einstellungen\\Georg\\Eigene Dateien\\Programme\\BearFlix\\bearflix.exe"=
"D:\\StubInstaller.exe"=
"D:\\Dokumente und Einstellungen\\Georg\\Eigene Dateien\\Programme\\LimeWire\\LimeWire.exe"=
"D:\\Dokumente und Einstellungen\\Georg\\Eigene Dateien\\Programme\\Shareaza\\Shareaza.exe"=
"D:\\Dokumente und Einstellungen\\Georg\\Eigene Dateien\\Programme\\FrostWire\\FrostWire.exe"=
"D:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"D:\\Programme\\MSN Messenger\\livecall.exe"=
"D:\\Programme\\Mozilla Firefox\\firefox.exe"=
"D:\\Dokumente und Einstellungen\\Georg\\Eigene Dateien\\Programme\\Azureus\\Azureus.exe"=
"D:\\Programme\\Bonjour\\mDNSResponder.exe"=
"D:\\Programme\\DNA\\btdna.exe"=
"D:\\Programme\\BitTorrent\\bittorrent.exe"=
"D:\\Dokumente und Einstellungen\\Georg\\Eigene Dateien\\Programme\\iTunes\\iTunes.exe"=
"D:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"50815:TCP"= 50815:TCP:Azureus
"50815:UDP"= 50815:UDP:Azureus

R3 GTIPCI21;GTIPCI21;D:\WINDOWS\system32\DRIVERS\gtipci21.sys [2005-05-31 12:46]
S3 {E6759E0C-470B-44DC-A4A1-627E68BB3A85};AIM 3.0 SI164;D:\WINDOWS\system32\drivers\A302.sys [2003-10-08 11:11]
S3 ati2mtaa;ati2mtaa;D:\WINDOWS\system32\DRIVERS\ati2mtaa.sys [2004-08-04 09:38]
S3 NPF;NetGroup Packet Filter Driver;D:\WINDOWS\system32\drivers\npf.sys [2007-11-06 22:22]
S3 Smcpwr2n;SMC EtherPower II 10/100-Ethernetadaptertreiber ;D:\WINDOWS\system32\DRIVERS\smcpwr2n.sys [2001-08-17 13:12]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{58e7f610-b14b-11db-b102-806d6172696f}]
\Shell\AutoRun\command - I:\.\run\autorun.exe
\Shell\open\Command - I:\.\run\autorun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c0999810-1826-11dd-b210-0012f0983654}]
\Shell\AutoRun\command - H:\.\run\autorun.exe
\Shell\open\Command - H:\.\run\autorun.exe
.
Inhalt des "geplante Tasks" Ordners

2008-08-23 D:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- D:\Programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]

2008-08-28 D:\WINDOWS\Tasks\Check Updates for Windows Live Toolbar.job
- D:\Programme\Windows Live Toolbar\MSNTBUP.EXE [2006-07-07 17:26]
.
.
------- Zus„tzlicher Scan -------
.
FireFox -: Profile - D:\Dokumente und Einstellungen\Georg\Anwendungsdaten\Mozilla\Firefox\Profiles\085udbg8.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.google.at/
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-28 17:44:29
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...


D:\Dokumente und Einstellungen\Georg\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\georgkuttner@hotmail.com\SharingMetadata\Working\database_50B0_CB69_B0CB_545E\fsr0081D.log 131072 bytes
D:\Dokumente und Einstellungen\Georg\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\georgkuttner@hotmail.com\SharingMetadata\Working\database_50B0_CB69_B0CB_545E\tmp.edb 131072 bytes

Scan erfolgreich abgeschlossen
versteckte Dateien: 2

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

Prozess: D:\WINDOWS\system32\lsass.exe
-> D:\WINDOWS\system32\ciphire-lsp.dll

Prozess: D:\WINDOWS\Explorer.exe
-> D:\WINDOWS\system32\NWSHLXNT.dll
-> D:\WINDOWS\system32\NLS\DEUTSCH\NWSHLXNR.DLL
.
------------------------ Weitere, laufende Prozesse ------------------------
.
D:\Programme\Intel\WiFi\bin\S24EvMon.exe
D:\WINDOWS\system32\scardsvr.exe
D:\Programme\a-squared Anti-Malware\a2service.exe
D:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
D:\Programme\Bonjour\mDNSResponder.exe
D:\Programme\Cisco Systems\VPN Client\cvpnd.exe
D:\Programme\Intel\WiFi\bin\EvtEng.exe
D:\Programme\CA\eTrust Antivirus\InoRpc.exe
D:\Programme\CA\eTrust Antivirus\InoRT.exe
D:\Programme\CA\eTrust Antivirus\InoTask.exe
D:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
D:\Programme\Gemeinsame Dateien\Intel\WirelessCommon\RegSrvc.exe
D:\Programme\Analog Devices\SoundMAX\SMAgent.exe
D:\WINDOWS\system32\igfxsrvc.exe
D:\Programme\PC Connectivity Solution\ServiceLayer.exe
D:\WINDOWS\system32\zstatus.exe
D:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
D:\Programme\iPod\bin\iPodService.exe
D:\WINDOWS\system32\wbem\unsecapp.exe
D:\Programme\MSN Messenger\usnsvc.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-08-28 17:51:19 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-08-28 15:51:14

Pre-Run: 1,817,014,272 Bytes frei
Post-Run: 1,967,316,992 Bytes frei

233

SDFix

Im Ordner gabs eine report.txt Datei:

SDFix: Version 1.219
Run by Georg on 28.08.2008 at 16:55

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File


oder eine fillkilllist1.txt:

D:\DOKUME~1\Georg\LOKALE~1\Temp\winlogon.exe
D:\WINDOWS\Media\smartwarxyu.dll
D:\WINDOWS\system32\a3dxx.dll
D:\WINDOWS\system32\a3dx8.dll
D:\WINDOWS\system32\Chwmcop.dll
D:\WINDOWS\system32\crypts.dll
D:\WINDOWS\system32\crypt32rt.dll
D:\WINDOWS\system32\cryptsa.dll
D:\WINDOWS\system32\divxrs.dll
D:\WINDOWS\system32\drivers\winlogon.exe
D:\WINDOWS\system32\droute.dll
D:\WINDOWS\system32\ibudu.dll
D:\WINDOWS\system32\ibuntu.dll
D:\WINDOWS\system32\ibutu.dll
D:\WINDOWS\system32\iexplorer.dll
D:\WINDOWS\system32\instcat.dll
D:\WINDOWS\system32\LogCrypt.dll
D:\WINDOWS\system32\mcrwave.dll
D:\WINDOWS\system32\msdtc32.dll
D:\WINDOWS\system32\rpcc.dll
D:\WINDOWS\system32\rpccd.dll
D:\WINDOWS\system32\upsctl.dll
D:\WINDOWS\system32\WinCtrl32.dll
D:\WINDOWS\system32\winlogon.dll
D:\WINDOWS\system32\WLCtrl32.dll
D:\WINDOWS\system32\WinNt32.dll
D:\WINDOWS\system32\WinNt64.dll
D:\WINDOWS\szr_dll.dll
D:\WINDOWS\system32\wudb.dll
D:\WINDOWS\winlogon.exe

#14 zur Info du darfst bei SDFix nicht wieder im abgesicherten Modus starten sonst funktioniert das nicht ... das heißt du startest das Programm im abgesicherten Modus gibst "Y" ein und dann iwann eine beliebige Taste... dann lässt du ihn ganz normal neustarten ohne F8 zudrücken und meldest dich an dann sollte das ganze funktionieren ;-)

#15 @ villian
Die Report-Datei mußt Du posten- aber vollständig !!