Firefox.exe ... sieht nach Schädling aus

#1 Hallo,

es ist ja normal das man eine firefox.exe in dem task manager hat...
aber wenn man den firefox garnicht offen hat ist es immer noch da... und wenn ich den prozess beende kommt er immer wieder.. Oo

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:08:42, on 29.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
d:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
d:\PROGRA~1\AVG\AVG8\avgam.exe
d:\PROGRA~1\AVG\AVG8\avgrsx.exe
d:\PROGRA~1\AVG\AVG8\avgnsx.exe
D:\PROGRA~1\AVG\AVG8\avgtray.exe
D:\Programme\qipinfium9000\infium.exe
D:\Programme\Mozilla Firefox\firefox.exe
D:\PROGRA~1\MOZILL~1\FIREFOX.EXE
D:\Programme\Malwarebytes' Anti-Malware\mbam.exe
D:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: AVG Safe Search - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - d:\Programme\AVG\AVG8\avgssie.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} -
O4 - HKLM\..\Run: [AVG8_TRAY] d:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [System] C:\WINDOWS\system32\System.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
{08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - d:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - d:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab56986.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab56907.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - d:\Programme\AVG\AVG8\avgpp.dll
O20 - AppInit_DLLs: avgrsstx.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - d:\PROGRA~1\AVG\AVG8\avgwdsvc.exe

--
End of file - 3901 bytes

D:\PROGRA~1\MOZILL~1\FIREFOX.EXE <- das macht mir sorgen..

thx im voraus


markus
__________
MfG Markus

#2 Hallo

wende combofix an + poste den report
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Na dann mal ran.. *schluck*

ComboFix 08-08-28.06 - Markus 2008-08-29 20:13:18.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.639 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Markus\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\system.exe
C:\WINDOWS\system32\system\

.
((((((((((((((((((((((( Dateien erstellt von 2008-07-28 bis 2008-08-29 ))))))))))))))))))))))))))))))
.

2008-08-29 19:06 . 2008-08-17 15:01 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-08-29 19:06 . 2008-08-17 15:01 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-08-29 18:11 . 2008-08-29 20:11 6,679 --a------ C:\WINDOWS\system32\System
2008-08-29 01:42 . 2008-08-29 01:43 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SweetIM
2008-08-28 00:33 . 2008-08-28 00:35 105,472 --a------ C:\WINDOWS\system32\ofp_ex.dll
2008-08-24 13:57 . 2008-08-24 13:57 <DIR> d-------- C:\Programme\AviSynth 2.5
2008-08-24 13:57 . 2004-02-22 10:11 719,872 --a------ C:\WINDOWS\system32\devil.dll
2008-08-24 13:57 . 2006-10-07 17:43 502,784 --a------ C:\WINDOWS\x2.64.exe
2008-08-24 13:57 . 2007-05-17 17:30 318,976 --a------ C:\WINDOWS\system32\avisynth.dll
2008-08-24 13:57 . 2005-02-28 13:16 240,128 --a------ C:\WINDOWS\system32\x.264.exe
2008-08-24 13:57 . 2006-04-12 09:47 217,073 --a------ C:\WINDOWS\meta4.exe
2008-08-24 13:57 . 2004-01-25 00:00 70,656 --a------ C:\WINDOWS\system32\yv12vfw.dll
2008-08-24 13:57 . 2004-01-25 00:00 70,656 --a------ C:\WINDOWS\system32\i420vfw.dll
2008-08-24 13:57 . 2006-04-05 08:09 66,560 --a------ C:\WINDOWS\MOTA113.exe
2008-08-24 13:57 . 2005-07-14 12:31 27,648 --a------ C:\WINDOWS\system32\AVSredirect.dll
2008-08-08 18:25 . 2008-08-08 18:25 45 --a------ C:\WINDOWS\system32\initdebug.nfo
2008-08-08 10:20 . 2008-08-08 10:20 <DIR> d-------- C:\AllDupBackup
2008-08-07 19:22 . 2008-08-07 19:23 <DIR> d-------- C:\Dokumente und Einstellungen\Markus\.traviaut
2008-07-29 22:04 . 2008-07-29 22:04 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MAGIX
2008-07-29 22:04 . 2003-04-18 16:46 1,233,920 --a------ C:\WINDOWS\system32\msxml4.dll
2008-07-29 22:04 . 2003-04-18 16:29 82,432 --a------ C:\WINDOWS\system32\msxml4r.dll
2008-07-29 22:04 . 2003-04-18 16:29 44,544 --a------ C:\WINDOWS\system32\msxml4a.dll
2008-07-29 22:03 . 2008-07-29 22:03 <DIR> d-------- C:\Programme\Gemeinsame Dateien\MAGIX
2008-07-29 22:02 . 2008-07-29 22:02 <DIR> d-------- C:\Programme\Gemeinsame Dateien\MAGIX Shared
2008-07-29 22:00 . 2007-04-27 10:43 120,200 --a------ C:\WINDOWS\system32\DLLDEV32i.dll
2008-07-29 21:59 . 2008-08-08 10:06 <DIR> d-------- C:\WINDOWS\system32\MAGIX
2008-07-29 21:59 . 2007-06-19 16:26 667,648 --a------ C:\WINDOWS\system32\mgxoschk.dll
2008-07-29 21:59 . 2008-07-29 22:04 6,768 --a------ C:\WINDOWS\mgxoschk.ini

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-29 16:51 --------- d-----w C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\Skype
2008-08-29 16:25 --------- d-----w C:\Programme\Vstplugins
2008-08-28 17:05 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-08-08 17:16 --------- d-----w C:\Programme\Gemeinsame Dateien\DVDVideoSoft
2008-08-04 20:06 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sony
2008-07-27 16:53 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-07-26 09:05 --------- d-----w C:\Programme\Bonjour
2008-07-26 07:24 97,928 ----a-w C:\WINDOWS\system32\drivers\avgldx86.sys
2008-07-25 10:18 --------- d-----w C:\Programme\Java
2008-07-25 10:16 --------- d-----w C:\Programme\Gemeinsame Dateien\Java
2008-07-21 16:31 --------- d-----w C:\Programme\Skype
2008-07-21 16:31 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype
2008-07-20 10:39 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-07-18 14:54 --------- d-----w C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\Download Manager
2008-07-15 19:34 --------- d-----w C:\Programme\K-Lite Codec Pack
2008-07-15 10:32 81,920 ----a-w C:\WINDOWS\ALCFDRTM.EXE
2008-07-14 19:37 --------- d-----w C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\Sony
2008-07-10 08:50 --------- d-----w C:\Programme\Gemeinsame Dateien\Seagate
2008-07-09 20:19 --------- d-----w C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\Publish Providers
2008-07-09 20:13 --------- d-----w C:\Programme\Microsoft SQL Server
2008-07-08 10:16 360,064 ----a-w C:\WINDOWS\system32\drivers\TCPIP.SYS.ORIGINAL
2008-07-08 09:51 --------- d-----w C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\Malwarebytes
2008-07-08 09:51 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-07-08 09:40 --------- d-----w C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\vlc
2008-07-08 09:40 --------- d-----w C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\teamspeak2
2008-07-08 09:40 --------- d-----w C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\ICQ
2008-07-08 09:40 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WLInstaller
2008-07-08 07:57 10,520 ----a-w C:\WINDOWS\system32\avgrsstx.dll
2008-07-07 17:31 3,619 ----a-w C:\Dokumente und Einstellungen\Markus\context.bin
2008-07-07 11:38 76,040 ----a-w C:\WINDOWS\system32\drivers\avgtdix.sys
2008-07-07 11:38 12,936 ----a-w C:\WINDOWS\system32\drivers\avgrkx86.sys
2008-07-07 11:38 --------- d-----w C:\Programme\AVG
2008-07-07 11:38 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\avg8
2008-07-07 11:06 400,864 ----a-w C:\WINDOWS\system32\drivers\timntr.sys
2008-07-07 11:06 32,768 ----a-w C:\WINDOWS\system32\drivers\tifsfilt.sys
2008-07-07 11:06 120,992 ----a-w C:\WINDOWS\system32\drivers\snapman.sys
2008-07-06 09:53 --------- d-----w C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\AdobeUM
2008-07-06 06:55 --------- dcsh--w C:\Programme\Gemeinsame Dateien\WindowsLiveInstaller
2008-07-06 06:55 --------- d-----w C:\Programme\Windows Live
2008-07-05 21:49 --------- d-----w C:\Programme\VIA
2008-07-05 21:11 --------- d-----w C:\Programme\ATI Technologies
2008-07-05 21:03 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2008-07-05 20:44 --------- d-----w C:\Programme\microsoft frontpage
2008-07-05 20:42 --------- d-----w C:\Programme\Online-Dienste
2008-07-05 20:41 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste
2008-06-20 17:39 247,296 ----a-w C:\WINDOWS\system32\mswsock.dll
2008-06-11 00:04 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
2008-06-11 00:04 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
2008-05-30 12:19 507,400 ----a-w C:\WINDOWS\system32\XAudio2_1.dll
2008-05-30 12:18 238,088 ----a-w C:\WINDOWS\system32\xactengine3_1.dll
2008-05-30 12:17 65,032 ----a-w C:\WINDOWS\system32\XAPOFX1_0.dll
2008-05-30 12:17 25,608 ----a-w C:\WINDOWS\system32\X3DAudio1_4.dll
2008-05-30 12:11 467,984 ----a-w C:\WINDOWS\system32\d3dx10_38.dll
2008-05-30 12:11 3,850,760 ----a-w C:\WINDOWS\system32\D3DX9_38.dll
2008-05-30 12:11 1,491,992 ----a-w C:\WINDOWS\system32\D3DCompiler_38.dll
2006-05-03 09:06 163,328 --sh--r C:\WINDOWS\system32\flvDX.dll
2007-02-21 10:47 31,232 --sh--r C:\WINDOWS\system32\msfDX.dll
2008-03-16 12:30 216,064 --sh--r C:\WINDOWS\system32\nbDX.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AVG8_TRAY"="d:\PROGRA~1\AVG\AVG8\avgtray.exe" [2008-07-26 09:24 1235736]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=avgrsstx.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.I420"= i420vfw.dll
"vidc.yv12"= yv12vfw.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"AcrSch2Svc"=3 (0x3)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"D:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"D:\\OFP\\FLASHPOINTRESISTANCE.EXE"=
"D:\\Programme\\AVG\\AVG8\\avgupd.exe"=
"D:\\Programme\\AVG\\AVG8\\avgnsx.exe"=
"D:\\OFP\\Server.exe"=
"D:\\Programme\\qipinfium9000\\infium.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

R0 AvgRkx86;avgrkx86.sys;C:\WINDOWS\system32\Drivers\avgrkx86.sys [2008-07-07 13:38]
R1 AvgLdx86;AVG AVI Loader Driver x86;C:\WINDOWS\system32\Drivers\avgldx86.sys [2008-07-26 09:24]
R2 avg8wd;AVG8 WatchDog;d:\PROGRA~1\AVG\AVG8\avgwdsvc.exe [2008-07-26 09:24]
R2 AvgTdiX;AVG8 Network Redirector;C:\WINDOWS\system32\Drivers\avgtdix.sys [2008-07-07 13:38]

*Newly Created Service* - CATCHME
*Newly Created Service* - PROCEXP90

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{E96251B2-66A3-A704-CFC6-D7F017BB4E12}]
C:\WINDOWS\system32\System.exe
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

WebBrowser-{EEE6C35B-6118-11DC-9C72-001320C79847} - (no file)


.
------- Zusätzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\Mozilla\Firefox\Profiles\hx84o9hs.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - www.google.de
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-29 20:14:51
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-08-29 20:17:06
ComboFix-quarantined-files.txt 2008-08-29 18:17:04

Pre-Run: 8 Verzeichnis(se), 15,109,615,616 Bytes frei
Post-Run: 12 Verzeichnis(se), 15,101,616,128 Bytes frei

167 --- E O F --- 2008-07-10 19:39:36
__________
MfG Markus

#4 so.. der prozess ist nicht mehr da.. ist er jetzt ganz weg?
__________
MfG Markus

#5 hier wäre nochmal zum überprüfen das Hijackthislog:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:58:00, on 30.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
D:\PROGRA~1\AVG\AVG8\avgtray.exe
d:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
d:\PROGRA~1\AVG\AVG8\avgam.exe
d:\PROGRA~1\AVG\AVG8\avgrsx.exe
d:\PROGRA~1\AVG\AVG8\avgnsx.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
D:\Programme\Mozilla Firefox\firefox.exe
D:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: AVG Safe Search - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - d:\Programme\AVG\AVG8\avgssie.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O4 - HKLM\..\Run: [AVG8_TRAY] d:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - d:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - d:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - d:\Programme\AVG\AVG8\avgpp.dll
O20 - AppInit_DLLs: avgrsstx.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - d:\PROGRA~1\AVG\AVG8\avgwdsvc.exe

--
End of file - 4074 bytes
__________
MfG Markus

#6 CombiFix entfernen
Start > Ausführen>Kopiere rein ComboFix /U OK

Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

Zitat

R3 - URLSearchHook: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O3 - Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

klicke: Fix checked
Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst

ComboFix(by sUBs)
Download ComboFix und speichert es auf den Desktop!
Alle Fenster schließen und combofix.exe starten
Folge den Instruktionen in das Fenster
Während Combofix lauft NICHT ins Fenster klicken sonst erfriert dein Rechner
Wenn das Tool fertig ist,oeffnet sich ein logfile (C:\ combofix.txt)
nun das KOMPLETTE Log mit rechtem Mausklick ab kopieren und ins Forum mit rechtem Mausklick "einfügen"
Wenn dein Virenscanner meckert, ignorieren !
__________
MfG Argus

#7 ok hab ich mal gemacht, hier das ergebnis:

heißt das das der sich immer widerherstellt?


ComboFix 08-08-29.02 - Markus 2008-08-30 11:53:18.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.691 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Markus\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\system\

.
((((((((((((((((((((((( Dateien erstellt von 2008-07-28 bis 2008-08-30 ))))))))))))))))))))))))))))))
.

2008-08-29 18:11 . 2008-08-29 20:11 6,679 --a------ C:\WINDOWS\system32\System
2008-08-29 01:42 . 2008-08-29 01:43 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SweetIM
2008-08-28 00:33 . 2008-08-28 00:35 105,472 --a------ C:\WINDOWS\system32\ofp_ex.dll
2008-08-24 13:57 . 2008-08-24 13:57 <DIR> d-------- C:\Programme\AviSynth 2.5
2008-08-24 13:57 . 2004-02-22 10:11 719,872 --a------ C:\WINDOWS\system32\devil.dll
2008-08-24 13:57 . 2006-10-07 17:43 502,784 --a------ C:\WINDOWS\x2.64.exe
2008-08-24 13:57 . 2007-05-17 17:30 318,976 --a------ C:\WINDOWS\system32\avisynth.dll
2008-08-24 13:57 . 2005-02-28 13:16 240,128 --a------ C:\WINDOWS\system32\x.264.exe
2008-08-24 13:57 . 2006-04-12 09:47 217,073 --a------ C:\WINDOWS\meta4.exe
2008-08-24 13:57 . 2004-01-25 00:00 70,656 --a------ C:\WINDOWS\system32\yv12vfw.dll
2008-08-24 13:57 . 2004-01-25 00:00 70,656 --a------ C:\WINDOWS\system32\i420vfw.dll
2008-08-24 13:57 . 2006-04-05 08:09 66,560 --a------ C:\WINDOWS\MOTA113.exe
2008-08-24 13:57 . 2005-07-14 12:31 27,648 --a------ C:\WINDOWS\system32\AVSredirect.dll
2008-08-08 18:25 . 2008-08-08 18:25 45 --a------ C:\WINDOWS\system32\initdebug.nfo
2008-08-08 10:20 . 2008-08-08 10:20 <DIR> d-------- C:\AllDupBackup
2008-08-07 19:22 . 2008-08-07 19:23 <DIR> d-------- C:\Dokumente und Einstellungen\Markus\.traviaut
2008-07-29 22:04 . 2008-07-29 22:04 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MAGIX
2008-07-29 22:04 . 2003-04-18 16:46 1,233,920 --a------ C:\WINDOWS\system32\msxml4.dll
2008-07-29 22:04 . 2003-04-18 16:29 82,432 --a------ C:\WINDOWS\system32\msxml4r.dll
2008-07-29 22:04 . 2003-04-18 16:29 44,544 --a------ C:\WINDOWS\system32\msxml4a.dll
2008-07-29 22:03 . 2008-07-29 22:03 <DIR> d-------- C:\Programme\Gemeinsame Dateien\MAGIX
2008-07-29 22:02 . 2008-07-29 22:02 <DIR> d-------- C:\Programme\Gemeinsame Dateien\MAGIX Shared
2008-07-29 22:00 . 2007-04-27 10:43 120,200 --a------ C:\WINDOWS\system32\DLLDEV32i.dll
2008-07-29 21:59 . 2008-08-08 10:06 <DIR> d-------- C:\WINDOWS\system32\MAGIX
2008-07-29 21:59 . 2007-06-19 16:26 667,648 --a------ C:\WINDOWS\system32\mgxoschk.dll
2008-07-29 21:59 . 2008-07-29 22:04 6,768 --a------ C:\WINDOWS\mgxoschk.ini
2008-07-28 15:47 . 2004-08-04 14:00 221,184 --a------ C:\WINDOWS\system32\wmpns.dll
2008-07-26 10:40 . 2008-07-26 11:05 <DIR> d-------- C:\Programme\Bonjour
2008-07-25 12:18 . 2008-07-25 12:18 <DIR> d-------- C:\WINDOWS\Sun
2008-07-25 12:18 . 2008-06-10 02:32 73,728 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-07-25 12:17 . 2008-07-25 12:18 <DIR> d-------- C:\Programme\Java
2008-07-25 12:16 . 2008-07-25 12:16 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Java
2008-07-23 18:23 . 2008-07-23 18:23 <DIR> d-------- C:\Themes
2008-07-21 18:31 . 2008-07-21 18:31 <DIR> d-------- C:\Programme\Skype
2008-07-21 18:31 . 2008-08-30 11:02 <DIR> d-------- C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\Skype
2008-07-21 18:31 . 2008-07-21 18:31 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype
2008-07-17 20:57 . 2008-07-17 20:57 <DIR> d-------- C:\DVDVideoSoft
2008-07-17 20:39 . 2008-07-17 20:39 <DIR> d-------- C:\WINDOWS\system32\LogFiles
2008-07-17 20:39 . 2008-07-17 20:40 <DIR> d-------- C:\WINDOWS\system32\drivers\UMDF
2008-07-17 19:07 . 2008-08-08 19:16 <DIR> d-------- C:\Programme\Gemeinsame Dateien\DVDVideoSoft
2008-07-17 19:01 . 2008-07-17 19:03 <DIR> d-------- C:\Dokumente und Einstellungen\Markus\dwhelper
2008-07-15 21:34 . 2008-07-15 21:34 <DIR> d-------- C:\Programme\K-Lite Codec Pack
2008-07-15 21:34 . 2008-01-10 13:15 755,027 --a------ C:\WINDOWS\system32\xvidcore.dll
2008-07-15 21:34 . 2007-09-04 17:56 164,352 --a------ C:\WINDOWS\system32\unrar.dll
2008-07-15 13:22 . 2008-07-18 16:54 <DIR> d-------- C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\Download Manager
2008-07-15 12:32 . 2008-07-15 12:32 81,920 --a------ C:\WINDOWS\ALCFDRTM.VER
2008-07-15 12:32 . 2008-07-15 12:32 81,920 --a------ C:\WINDOWS\ALCFDRTM.EXE
2008-07-10 21:22 . 2004-08-03 23:08 31,616 --a------ C:\WINDOWS\system32\drivers\usbccgp.sys
2008-07-10 21:22 . 2004-08-03 23:08 31,616 --a--c--- C:\WINDOWS\system32\dllcache\usbccgp.sys
2008-07-09 22:19 . 2008-07-09 22:19 <DIR> d-------- C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\Publish Providers
2008-07-09 22:13 . 2008-07-09 22:13 <DIR> d-------- C:\Programme\Microsoft SQL Server
2008-07-09 22:13 . 1998-10-29 15:45 306,688 --a------ C:\WINDOWS\IsUninst.exe
2008-07-09 22:13 . 2002-12-17 16:23 33,340 --------- C:\WINDOWS\system32\dbmsqlgc.dll
2008-07-09 22:13 . 2002-10-20 14:05 24,576 --------- C:\WINDOWS\system32\dbmsgnet.dll
2008-07-09 22:12 . 2008-07-14 21:37 <DIR> d-------- C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\Sony
2008-07-09 22:11 . 2008-08-29 18:25 <DIR> d-------- C:\Programme\Vstplugins
2008-07-09 22:11 . 2008-08-04 22:06 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sony
2008-07-09 18:58 . 2008-07-09 18:58 250 --a------ C:\WINDOWS\gmer.ini
2008-07-08 18:02 . 2008-08-28 19:05 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-07-08 13:15 . 2008-07-08 13:15 <DIR> d-------- C:\WINDOWS\Logs
2008-07-08 12:16 . 2008-07-08 12:16 360,064 --a------ C:\WINDOWS\system32\drivers\TCPIP.SYS.ORIGINAL
2008-07-08 11:51 . 2008-07-08 11:51 <DIR> d-------- C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\Malwarebytes
2008-07-08 11:51 . 2008-07-08 11:51 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-07-07 19:31 . 2008-07-07 19:31 <DIR> d-------- C:\Dokumente und Einstellungen\Markus\Users
2008-07-07 19:31 . 2008-07-07 19:31 3,619 --a------ C:\Dokumente und Einstellungen\Markus\context.bin
2008-07-07 18:26 . 2008-08-27 13:15 <DIR> d--h----- C:\$AVG8.VAULT$
2008-07-07 18:22 . 2008-07-07 18:22 <DIR> d-------- C:\WINDOWS\system32\QuickTime
2008-07-07 18:22 . 2008-05-28 04:31 107,864 --a------ C:\WINDOWS\system32\tsccvid.dll
2008-07-07 14:50 . 2008-07-08 11:40 <DIR> d-------- C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\teamspeak2
2008-07-07 14:50 . 2008-07-07 14:50 34,064 --a------ C:\WINDOWS\system32\lhacm.acm
2008-07-07 13:38 . 2008-08-30 10:54 <DIR> d-------- C:\WINDOWS\system32\drivers\Avg
2008-07-07 13:38 . 2008-07-07 13:38 <DIR> d-------- C:\Programme\AVG
2008-07-07 13:38 . 2008-07-07 13:38 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\avg8
2008-07-07 13:38 . 2008-07-26 09:24 97,928 --a------ C:\WINDOWS\system32\drivers\avgldx86.sys
2008-07-07 13:38 . 2008-07-07 13:38 76,040 --a------ C:\WINDOWS\system32\drivers\avgtdix.sys
2008-07-07 13:38 . 2008-07-07 13:38 12,936 --a------ C:\WINDOWS\system32\drivers\avgrkx86.sys
2008-07-07 13:38 . 2008-07-08 09:57 10,520 --a------ C:\WINDOWS\system32\avgrsstx.dll
2008-07-07 13:06 . 2008-07-07 13:06 400,864 --a------ C:\WINDOWS\system32\drivers\timntr.sys
2008-07-07 13:06 . 2008-07-07 13:06 120,992 --a------ C:\WINDOWS\system32\drivers\snapman.sys
2008-07-07 13:06 . 2008-07-07 13:06 32,768 --a------ C:\WINDOWS\system32\drivers\tifsfilt.sys
2008-07-07 13:05 . 2008-07-10 10:50 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Seagate
2008-07-06 20:49 . 2007-07-30 19:19 271,224 --a------ C:\WINDOWS\system32\mucltui.dll
2008-07-06 20:49 . 2007-07-30 19:19 207,736 --a------ C:\WINDOWS\system32\muweb.dll
2008-07-06 20:49 . 2007-07-30 19:18 30,072 --a------ C:\WINDOWS\system32\mucltui.dll.mui
2008-07-06 20:09 . 2001-05-11 13:18 420,240 --a------ C:\WINDOWS\system32\mpg4c32.dll
2008-07-06 20:09 . 2001-05-16 17:54 309,616 --a------ C:\WINDOWS\system32\wmv8dmod.dll
2008-07-06 20:09 . 2001-03-26 04:41 245,760 --a------ C:\WINDOWS\system32\mp4sds32.ax
2008-07-06 17:53 . 2008-07-06 17:53 <DIR> d---s---- C:\Dokumente und Einstellungen\Markus\UserData
2008-07-06 12:38 . 2008-07-31 16:28 1,278 --a------ C:\WINDOWS\mozver.dat
2008-07-06 11:53 . 2008-07-06 11:53 <DIR> d-------- C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\AdobeUM
2008-07-06 11:51 . 2008-07-27 18:53 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Adobe
2008-07-06 10:41 . 2008-07-08 11:40 <DIR> d-------- C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\vlc
2008-07-06 09:03 . 2008-07-06 09:03 13,646 --a------ C:\WINDOWS\system32\wpa.bak
2008-07-06 08:56 . 2008-07-08 11:40 <DIR> d-------- C:\Dokumente und Einstellungen\Markus\Contacts
2008-07-06 08:55 . 2008-07-06 08:55 <DIR> d----c--- C:\WINDOWS\system32\DRVSTORE
2008-07-06 08:51 . 2008-07-06 08:55 <DIR> d-------- C:\Programme\Windows Live
2008-07-06 08:51 . 2008-07-06 08:55 <DIR> d--hsc--- C:\Programme\Gemeinsame Dateien\WindowsLiveInstaller
2008-07-06 08:51 . 2008-07-08 11:40 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WLInstaller
2008-07-06 08:48 . 2008-07-06 08:48 0 --a------ C:\WINDOWS\nsreg.dat
2008-07-06 08:41 . 2008-07-06 08:41 <DIR> d-------- C:\WINDOWS\system32\Lang
2008-07-06 08:41 . 2008-07-06 08:41 940,794 --a------ C:\WINDOWS\system32\LoopyMusic.wav
2008-07-06 08:41 . 2008-07-06 08:41 146,650 --a------ C:\WINDOWS\system32\BuzzingBee.wav
2008-07-05 23:54 . 2004-08-03 23:08 26,496 --a--c--- C:\WINDOWS\system32\dllcache\usbstor.sys
2008-07-05 23:49 . 2008-07-05 23:49 <DIR> d-------- C:\Programme\VIA
2008-07-05 23:49 . 2005-04-14 07:54 331,184 --------- C:\WINDOWS\system32\difxapi.dll
2008-07-05 23:36 . 2004-08-04 01:40 57,600 --a------ C:\WINDOWS\system32\drivers\redbook.sys
2008-07-05 23:36 . 2001-08-17 14:59 3,072 --a------ C:\WINDOWS\system32\drivers\audstub.sys
2008-07-05 23:32 . 2008-08-29 20:16 <DIR> d-------- C:\WINDOWS\system32\CatRoot2
2008-07-05 23:32 . 2008-07-08 11:40 <DIR> d--h----- C:\Dokumente und Einstellungen\Default User\Vorlagen
2008-07-05 23:32 . 2008-07-08 11:40 <DIR> dr------- C:\Dokumente und Einstellungen\Default User\Startmenü
2008-07-05 23:32 . 2008-07-05 23:32 <DIR> d--h----- C:\Dokumente und Einstellungen\Default User\Netzwerkumgebung
2008-07-05 23:32 . 2008-07-08 11:40 <DIR> dr-h----- C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen
2008-07-05 23:32 . 2008-07-05 23:32 <DIR> d-------- C:\Dokumente und Einstellungen\Default User\Favoriten
2008-07-05 23:32 . 2008-07-05 23:32 <DIR> d--h----- C:\Dokumente und Einstellungen\Default User\Druckumgebung
2008-07-05 23:32 . 2008-07-08 11:40 <DIR> dr-h----- C:\Dokumente und Einstellungen\Default User\Anwendungsdaten
2008-07-05 23:32 . 2008-07-05 23:32 <DIR> d--h----- C:\Dokumente und Einstellungen\All Users\Vorlagen
2008-07-05 23:32 . 2008-08-24 13:56 <DIR> dr------- C:\Dokumente und Einstellungen\All Users\Startmenü
2008-07-05 23:32 . 2008-07-05 23:32 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Favoriten
2008-07-05 23:32 . 2008-07-26 10:59 <DIR> dr------- C:\Dokumente und Einstellungen\All Users\Dokumente
2008-07-05 23:32 . 2008-08-29 01:42 <DIR> dr-h----- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten
2008-07-05 23:26 . 2008-07-08 11:40 <DIR> d-------- C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\ICQ
2008-07-05 23:18 . 2008-06-14 19:57 273,024 --------- C:\WINDOWS\system32\drivers\bthport.sys
2008-07-05 23:18 . 2008-06-14 19:57 273,024 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys
2008-07-05 23:14 . 2007-05-17 15:30 3,107,788 -ra------ C:\WINDOWS\system32\ativvaxx.dat
2008-07-05 23:14 . 2007-05-17 15:30 3,107,788 -ra------ C:\WINDOWS\system32\ativva5x.dat

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-20 10:39 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-07-05 21:11 --------- d-----w C:\Programme\ATI Technologies
2008-07-05 21:03 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2008-07-05 20:44 --------- d-----w C:\Programme\microsoft frontpage
2008-07-05 20:42 --------- d-----w C:\Programme\Online-Dienste
2008-07-05 20:41 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste
2008-06-20 17:39 247,296 ----a-w C:\WINDOWS\system32\mswsock.dll
2008-06-11 00:04 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
2008-06-11 00:04 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
2008-05-30 12:19 507,400 ----a-w C:\WINDOWS\system32\XAudio2_1.dll
2008-05-30 12:18 238,088 ----a-w C:\WINDOWS\system32\xactengine3_1.dll
2008-05-30 12:17 65,032 ----a-w C:\WINDOWS\system32\XAPOFX1_0.dll
2008-05-30 12:17 25,608 ----a-w C:\WINDOWS\system32\X3DAudio1_4.dll
2008-05-30 12:11 467,984 ----a-w C:\WINDOWS\system32\d3dx10_38.dll
2008-05-30 12:11 3,850,760 ----a-w C:\WINDOWS\system32\D3DX9_38.dll
2008-05-30 12:11 1,491,992 ----a-w C:\WINDOWS\system32\D3DCompiler_38.dll
2008-05-07 05:14 1,293,312 ----a-w C:\WINDOWS\system32\quartz.dll
2006-05-03 09:06 163,328 --sh--r C:\WINDOWS\system32\flvDX.dll
2007-02-21 10:47 31,232 --sh--r C:\WINDOWS\system32\msfDX.dll
2008-03-16 12:30 216,064 --sh--r C:\WINDOWS\system32\nbDX.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AVG8_TRAY"="d:\PROGRA~1\AVG\AVG8\avgtray.exe" [2008-07-26 09:24 1235736]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=avgrsstx.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.I420"= i420vfw.dll
"vidc.yv12"= yv12vfw.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"AcrSch2Svc"=3 (0x3)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"D:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"D:\\OFP\\FLASHPOINTRESISTANCE.EXE"=
"D:\\Programme\\AVG\\AVG8\\avgupd.exe"=
"D:\\Programme\\AVG\\AVG8\\avgnsx.exe"=
"D:\\OFP\\Server.exe"=
"D:\\Programme\\qipinfium9000\\infium.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

R0 AvgRkx86;avgrkx86.sys;C:\WINDOWS\system32\Drivers\avgrkx86.sys [2008-07-07 13:38]
R1 AvgLdx86;AVG AVI Loader Driver x86;C:\WINDOWS\system32\Drivers\avgldx86.sys [2008-07-26 09:24]
R2 avg8wd;AVG8 WatchDog;d:\PROGRA~1\AVG\AVG8\avgwdsvc.exe [2008-07-26 09:24]
R2 AvgTdiX;AVG8 Network Redirector;C:\WINDOWS\system32\Drivers\avgtdix.sys [2008-07-07 13:38]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{E96251B2-66A3-A704-CFC6-D7F017BB4E12}]
C:\WINDOWS\system32\System.exe
.
.
------- Zusätzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\Mozilla\Firefox\Profiles\hx84o9hs.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - www.google.de
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-30 11:54:46
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-08-30 11:56:47
ComboFix-quarantined-files.txt 2008-08-30 09:56:45
ComboFix2.txt 2008-08-29 18:17:07

Pre-Run: 8 Verzeichnis(se), 15,094,669,312 Bytes frei
Post-Run: 12 Verzeichnis(se), 15,085,236,224 Bytes frei

222 --- E O F --- 2008-07-10 19:39:36
__________
MfG Markus

#8 Hier, das kam nach dem combofix/U


__________
MfG Markus

#9 Virustotal
Prüfe mal diese Datei(en) bei Virustotal http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\system32\ofp_ex.dll
C:\WINDOWS\system32\System

Note: Wenn bei ViruTotal die Meldung kommt ” Die Datei wurde bereits analysiert “wähle „Analysiere die Datei“
Und Berichte
__________
MfG Argus

#10 ofp_ex ist ein teil von ofp (operation flashpoint, es ist kein virus)

ergebnis:
http://www.virustotal.com/de/analisis/72f633506244264cca30bbf694faf918

und da ist system:

http://www.virustotal.com/de/analisis/145d761579d6cd7a0f20f2791fc85b7a

juhu sieht ja recht sauber aus wenn ich noch was tun kann um das zu überprüfen bitte sagen... dankeschön an euch



mfg sniper

ps. habe die links reingeschrieben weil ich nicht wieder eine ganze seite verbrauchen will...
__________
MfG Markus

#11 CombiFix entfernen
Start > Ausführen>Kopiere rein ComboFix /U OK
Entferne auf C:\combofix.txt
Entferne auf C:\combofix


Kaspersky Online scanner

http://www.kaspersky.com/de/virusscanner
Der Kaspersky Online-Scanner setzt den Internet Explorer in Version 6.0 oder höher voraus
ActiveX muss aktiviert sein.
Kaspersky fängt damit an die letzten Updates runter zu laden
Klicke danach : “Weiter”
Klicke “Scan-Einstellungen”
Sorge dafür das Erweitert – Archive untersuchen und Mail-Datenbanken angehaakt sind
Klicke OK
Klicke jetzt “Arbeitsplatz”(my Computer)



Mit Kaspersky kann es lange dauern bis alles gescannt ist

Klicke am Ende “Save Report As”und sichere diesen Log als [b] kavscan.txt [b] auf dein Desktop und
poste dessen Inhalt hier in den Thread
__________
MfG Argus

#12 Ok bin gerade dabei beim Update [das dauert ja schon ewig xD (hab eine 1000er Leitung )]

ich werd dann schreiben wenn es fertig ist und das log reinkopieren
__________
MfG Markus

#13 Es gibt auch noch CureIt
http://board.protecus.de/t29350.htm

Oder NOD32 Online
Scanne mit NOD32
Haacke an:YES, I accept the Terms of Use.
Klicke : Start.
Klicke : Install.
Klicke : Start.
Jetzt wird der Scanner Initialisiert und ge-updatet
Haacke “Remove found threats” NICHT an,
Klicke : Scan.
Am Ende klicke den Reiter Details
nun das KOMPLETTE Log mit rechtem Mausklick ab kopieren und ins Forum mit rechtem Mausklick "einfügen"
Oder via C:\Programme\EsetOnlineScanner\log.txt
__________
MfG Argus

#14
ich habe NOD32 Testversion seit gestern und bin sehr zufrieden (sucht im AMON gerade mit kaspersky mit xD)

bin mit dem sehr zufrieden, da es sehr wenig verbraucht und mir viel sicherheit bietet... achja und es hat noch nichts gefunden



mfg markus

edit: kaspersky ist jetzt im windows ordner, mal gucken
__________
MfG Markus

#15 Nod32 oder Eset Smart Security
__________
MfG Argus