safewebnavigate2008.com, Spyware Protection, privacy protector

#0
06.09.2008, 15:40
Member

Beiträge: 12
#1 Hallo,
ich bin neu hier und gehöre nun also auch zur Gruppe der Virengeschädigten. Folgende Probleme habe ich seit 2 Tagen:
- rechts unten in der TaskLeiste VirusAlert
- ständige Windowswarnungen in englisch, u.a. der Hinweis, ich hätte mir einen Virus eingefangen verbunden mit der Aufforderung, mir verschiedenste Software herunterzuladen (was ich immer abgebrochen habe)
- auf dem Desktop 3 neue Icons: spyware&malware protection, privacy protector, error cleaner
- im Internetexplorer alle paar Minuten der Versuch, mich automatisch mit der site safewebnavigate2008.com zu verbinden
-task manager angeblich vom admin deaktiviert
-im Startmenue waren die Buttons zum öffnen aller Programme und auch zum Benutzerwechsel weg usw.

Zunächst habe ich mit meinem Virenprogramm AVK von Gdata (aktuell upgedated) einen kompletten Virenscann gemacht, dabei wurden auch verschiedene Schädlinge gefunden und gelöscht, die Probleme blieben aber. Auch Tuneup Wartungen waren nicht hilfreich.

Die letzten 3 Stunden habe ich damit verbracht, die kompletten Vorarbeiten aus Euren Anleitungen zu machen. Ergebnis: aktuell keine der oben beschriebenen Probleme mehr. Jetzt möchte ich natürlich weitestgehend sicher sein, dass ich schon alles erwischt habe, daher nachfolgend die verschiedenen logfiles.
Noch eine laienhafte Frage dazu: ich habe in xp verschiedene Benutzerkonten, 2 davon mit admin-Rechten, muß ich die verschiedenen Prüfungen aus jedem Benuterkonto separat machen oder reicht der eine Durchlauf?

Im voraus schon mal vielen Dank für die Unterstützung, ohne Eure Seite wäre ich echt schon verzweifelt!

mbam:
Malwarebytes' Anti-Malware 1.26
Datenbank Version: 1119
Windows 5.1.2600 Service Pack 2

06.09.2008 14:48:30
mbam-log-2008-09-06 (14-48-30).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 134464
Laufzeit: 2 hour(s), 2 minute(s), 24 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 7
Infizierte Registrierungsschlüssel: 27
Infizierte Registrierungswerte: 5
Infizierte Dateiobjekte der Registrierung: 18
Infizierte Verzeichnisse: 0
Infizierte Dateien: 28

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\WINDOWS\system32\khfETkJA.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\yaywurPf.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\ljgzgf.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\dgksvbpn.dll (Trojan.Zlob) -> Delete on reboot.
C:\WINDOWS\vanwxemggfb.dll (Trojan.FakeAlert) -> Delete on reboot.
C:\WINDOWS\xrdwbfgn.dll (Trojan.FakeAlert) -> Delete on reboot.
C:\WINDOWS\gksraemq.dll (Trojan.FakeAlert) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{97f32e17-00de-4176-ae0f-7e2dd897e527} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{97f32e17-00de-4176-ae0f-7e2dd897e527} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9e9f3532-8845-45fb-99c2-b8df08147ebd} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{9e9f3532-8845-45fb-99c2-b8df08147ebd} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{da16164d-96d5-4acb-bcf7-ba486b8abc1a} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\yaywurpf (Trojan.Vundo.H) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{da16164d-96d5-4acb-bcf7-ba486b8abc1a} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{27bff7d8-cc60-4c03-b47d-7adcfdf6b4ac} (Trojan.Zlob) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{d032570a-5f63-4812-a094-87d007c23012} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\TypeLib\{6da06cee-c3b8-4ea1-a29f-0212470f00fc} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{23e0807b-33ba-4d75-970f-d4bb67290cce} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{5309604a-f274-46f0-874d-4405b97ccc4c} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{af57398c-e09d-4229-b2d5-12e909dcc730} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{af57398c-e09d-4229-b2d5-12e909dcc730} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{f5541c1b-feb3-4ebf-be9c-f14cc0edf24e} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\webvideo (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\TypeLib\{2fa1a9cc-5215-42cd-b6ae-23b77d5f0e24} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{707ce553-99aa-4c24-92be-e2a8d2f99ebd} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{0caa216d-b1af-4c4a-8edc-fb2d822570cb} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\VSPlugin (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\gksraemq.btga (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\gksraemq.toolbar.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Trojan.Vundo) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\e0742679 (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{da16164d-96d5-4acb-bcf7-ba486b8abc1a} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\dgksvbpn (Trojan.Zlob) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\xrdwbfgn (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{0caa216d-b1af-4c4a-8edc-fb2d822570cb} (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\khfetkja -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\khfetkja -> Delete on reboot.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.Homepage) -> Bad: (http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2) Good: (http://www.google.com/) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProductId (Trojan.FakeAlert) -> Bad: (VIRUS ALERT!) Good: (55372-OEM-0011903-00384) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\International\sTimeFormat (Trojan.FakeAlert) -> Bad: (HH:mm: VIRUS ALERT!) Good: (HH:mm:ss) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowControlPanel (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowRun (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowSearch (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyDocs (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyComputer (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoStartMenuMorePrograms (Hijack.StartMenu) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\StartMenuLogOff (Hijack.StartMenu) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDrives (Hijack.Drives) -> Bad: (12) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoToolbarCustomize (Hijack.Explorer) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetFolders (Hijack.Explorer) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispCPL (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\ljgzgf.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\khfETkJA.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\AJkTEfhk.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\AJkTEfhk.ini2 (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\yaywurPf.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\csujhtag.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\gathjusc.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\oskemsfp.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\pfsmekso.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\dgksvbpn.dll (Trojan.Zlob) -> Delete on reboot.
C:\Dokumente und Einstellungen\Roland\Lokale Einstellungen\Temporary Internet Files\Content.IE5\1WPVMAE1\upd105320[1] (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Roland\Lokale Einstellungen\Temporary Internet Files\Content.IE5\U568T7JW\nd82m0[1] (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\elkg.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\dvchmyup.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ropxnsni.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\rxaxuj.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\xxyyxuuU.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\mcrh.tmp (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\vanwxemggfb.dll (Trojan.FakeAlert) -> Delete on reboot.
C:\WINDOWS\xrdwbfgn.dll (Trojan.FakeAlert) -> Delete on reboot.
C:\WINDOWS\sxmaokgf.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\gksraemq.dll (Trojan.FakeAlert) -> Delete on reboot.
C:\Dokumente und Einstellungen\Birgit\Desktop\Spyware&Malware Protection.url (Rogue.Link) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Birgit\Desktop\Privacy Protector.url (Rogue.Link) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Birgit\Desktop\Error Cleaner.url (Rogue.Link) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Birgit\Favoriten\Error Cleaner.url (Rogue.Link) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Birgit\Favoriten\Privacy Protector.url (Rogue.Link) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Birgit\Favoriten\Spyware&Malware Protection.url (Rogue.Link) -> Quarantined and deleted successfully.

combofix:

ComboFix 08-09-05.02 - Birgit 2008-09-06 14:56:43.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.1421 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Birgit\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Frank\Cookies\frank@a.geo[2].txt

.
((((((((((((((((((((((( Dateien erstellt von 2008-08-06 bis 2008-09-06 ))))))))))))))))))))))))))))))
.

2008-09-06 12:43 . 2008-09-06 12:43 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-09-06 12:43 . 2008-09-06 12:43 <DIR> d-------- C:\Dokumente und Einstellungen\Birgit\Anwendungsdaten\Malwarebytes
2008-09-06 12:43 . 2008-09-06 12:43 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-09-06 12:43 . 2008-09-02 00:16 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-09-06 12:43 . 2008-09-02 00:16 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-09-06 12:37 . 2008-09-06 12:37 <DIR> d-------- C:\Programme\CCleaner
2008-08-22 12:55 . 2008-08-22 12:55 <DIR> d-------- C:\Dokumente und Einstellungen\Frank\Anwendungsdaten\AdobeUM

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-06 08:30 --------- d-----w C:\Programme\TuneUp Utilities 2007
2008-09-04 19:17 --------- d-----w C:\Programme\AntiVirenKit 2006
2008-09-04 13:29 --------- d-----w C:\Programme\Profi cash
2008-08-26 07:17 --------- d-----w C:\Dokumente und Einstellungen\Birgit\Anwendungsdaten\Apple Computer
2008-07-13 16:14 --------- d-----w C:\Programme\Gemeinsame Dateien\AccSys
2008-07-13 09:35 --------- d-----w C:\Programme\Microsoft ActiveSync
2008-07-12 05:19 --------- d-----w C:\Programme\Apple Software Update
2008-07-11 19:59 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-07-11 19:59 --------- d-----w C:\Programme\SanDisk
2008-07-09 18:40 --------- d-----w C:\Programme\Java
2008-07-07 20:30 253,952 ----a-w C:\WINDOWS\system32\es.dll
2008-06-24 16:22 74,240 ----a-w C:\WINDOWS\system32\mscms.dll
2008-06-23 16:14 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-06-20 17:39 247,296 ----a-w C:\WINDOWS\system32\mswsock.dll
2006-10-14 15:11 53,176 ----a-w C:\Dokumente und Einstellungen\Birgit\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2006-10-05 19:09 1,642 ----a-w C:\Dokumente und Einstellungen\Birgit\Anwendungsdaten\wklnhst.dat
2006-05-11 17:31 0 ----a-w C:\Dokumente und Einstellungen\Frank\Anwendungsdaten\wklnhst.dat
2006-03-24 14:17 952 ----a-w C:\Programme\Nero Online Upgrade.lnk
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360]
"NBJ"="C:\Programme\Ahead\Nero BackItUp\NBJ.exe" [2005-09-16 1961984]
"H/PC Connection Agent"="C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" [2005-01-04 405583]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 1694208]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UserFaultCheck"="C:\WINDOWS\system32\dumprep 0 -u" [X]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 155648]
"ATICCC"="C:\Programme\ATI Technologies\ATI.ACE\cli.exe" [2005-08-12 45056]
"HP Software Update"="C:\Programme\HP\HP Software Update\HPWuSchd2.exe" [2005-05-11 49152]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"watchdog"="C:\Programme\WatchDog\Watchdog.exe" [2004-09-13 732672]
"wlconfig"="C:\Programme\WLAN Monitor\wlconfig.exe" [2005-03-30 1236992]
"RealTray"="C:\Programme\Real\RealPlayer\RealPlay.exe" [2006-03-24 26112]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-05-27 413696]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-06-02 267048]
"RTHDCPL"="RTHDCPL.EXE" [2006-01-11 C:\WINDOWS\RTHDCPL.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 15360]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-04-23 29696]
Corel MEDIA FOLDERS INDEXER 8.LNK - C:\Corel\Graphics8\Programs\MFIndexer.exe [2006-11-24 82944]
HP Digital Imaging Monitor.lnk - C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe [2005-05-11 282624]
HP Image Zone Schnellstart.lnk - C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe [2005-05-12 73728]
Lexware Info Service.lnk - C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe [2005-11-30 479232]
Zahlungserinnerung.lnk - C:\Programme\Profi cash\wzed.exe [2007-08-21 40960]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="C:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\TuneUp Software\\TuneUp Utilities\\WinStyler\\tu_logonui.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=ljgzgf.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"MSACM.CEGSM"= mobilev.acm

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" -atboottime
"RealTray"=C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Real\\RealPlayer\\realplay.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=

R1 bizVSerial;Franson VSerial;C:\WINDOWS\system32\drivers\bizVSerialNT.sys [2007-05-30 14949]
R2 AAV UpdateService;AAV UpdateService;C:\Programme\Gemeinsame Dateien\AAV\aavus.exe [2007-10-04 122880]
R2 AccWLSvc;AccSys WiFi Server;C:\Programme\Gemeinsame Dateien\AccSys\AccWLSvc.exe [2005-03-15 180224]
R2 AVKService;AVK Service;C:\Programme\AntiVirenKit 2006\AVKService.exe [2004-09-28 299008]
R2 AVKWCtl;AVK Wächter;C:\Programme\AntiVirenKit 2006\AVKWCtl.exe [2005-08-15 602112]
R2 cjpcsc;cyberJack PC/SC COM Service ;C:\WINDOWS\system32\cjpcsc.exe [2007-09-11 652592]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 14336]
R3 cjusb;REINER SCT cyberJack pinpad/e-com USB;C:\WINDOWS\system32\DRIVERS\cjusb.sys [2007-05-30 23040]
R3 GDInterceptor;GDInterceptor;C:\WINDOWS\system32\interceptor.sys [2006-05-02 52858]
R3 HookCentre;HookCentre;C:\WINDOWS\system32\drivers\HookCentre.sys [2006-05-02 28066]
R3 ZD1211U(ZyXEL);ZyAIR G-220 IEEE 802.11b+g Wireless LAN Driver (USB)(ZyXEL);C:\WINDOWS\system32\DRIVERS\zd1211u.sys [2004-11-23 237568]
S3 accwldrv;AccSys WiFi Protokoll;C:\WINDOWS\system32\DRIVERS\accwldrv.sys [2005-02-15 12032]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

*Newly Created Service* - PROCEXP90
.
Inhalt des "geplante Tasks" Ordners
.
.
------- Zusätzlicher Scan -------
.
R0 -: HKCU-Main,Start Page = hxxp://www.google.com/
R0 -: HKLM-Main,Start Page = hxxp://www.arcor.de
R0 -: HKLM-Main,Window Title = Arcor AG & Co. KG
O8 -: Nach Microsoft &Excel exportieren - C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O18 -: Handler: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O18 -: Handler: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82} - C:\Programme\Microsoft ActiveSync\aatp.dll
O18 -: WinCE Filter: image/bmp - {86F59FAE-FB3A-11D1-AA72-00C04FAE2D4B} - C:\Programme\Microsoft ActiveSync\cenetflt.dll
O18 -: WinCE Filter: image/gif - {86F59FAE-FB3A-11D1-AA72-00C04FAE2D4B} - C:\Programme\Microsoft ActiveSync\cenetflt.dll
O18 -: WinCE Filter: image/jpeg - {86F59FAE-FB3A-11D1-AA72-00C04FAE2D4B} - C:\Programme\Microsoft ActiveSync\cenetflt.dll
O18 -: WinCE Filter: image/xbm - {86F59FAE-FB3A-11D1-AA72-00C04FAE2D4B} - C:\Programme\Microsoft ActiveSync\cenetflt.dll
O18 -: WinCE Filter: text/asp - {6C5C3074-FFAB-11d1-8EC4-00C04F98D57A} - C:\Programme\Microsoft ActiveSync\cenetflt.dll
O18 -: WinCE Filter: text/html - {6C5C3074-FFAB-11d1-8EC4-00C04F98D57A} - C:\Programme\Microsoft ActiveSync\cenetflt.dll

O16 -: {2EF3FB47-7B1E-4536-BA4D-51427BD45DFA} - hxxp://www.pixaco.de/static/download/pixacodndupload.cab
C:\WINDOWS\Downloaded Program Files\PIXACODnDUpload.inf
C:\WINDOWS\Downloaded Program Files\tra2_2_5.rc
C:\WINDOWS\Downloaded Program Files\PIXACODnDUpload.ocx
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-06 14:59:33
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-09-06 15:01:27
ComboFix-quarantined-files.txt 2008-09-06 13:00:41

Pre-Run: 18 Verzeichnis(se), 228,760,109,056 Bytes frei
Post-Run: 22 Verzeichnis(se), 229,450,178,560 Bytes frei

140 --- E O F --- 2008-08-20 17:07:46


Hijackthis-Logfile:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:10:17, on 06.09.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\AAV\aavus.exe
C:\Programme\Gemeinsame Dateien\AccSys\AccWLSvc.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\AntiVirenKit 2006\AVKService.exe
C:\Programme\AntiVirenKit 2006\AVKWCtl.exe
C:\WINDOWS\system32\cjpcsc.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\WatchDog\Watchdog.exe
C:\Programme\WLAN Monitor\wlconfig.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Corel\Graphics8\Programs\MFIndexer.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\HP\Digital Imaging\bin\hpqimzone.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\explorer.exe
C:\Programme\internet explorer\iexplore.exe
C:\Dokumente und Einstellungen\Birgit\Eigene Dateien\HJT.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.arcor.de
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [watchdog] C:\Programme\WatchDog\Watchdog.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [wlconfig] C:\Programme\WLAN Monitor\wlconfig.exe -autostart
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\Programs\MFIndexer.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Image Zone Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: Lexware Info Service.lnk = C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe
O4 - Global Startup: Zahlungserinnerung.lnk = C:\Programme\Profi cash\wzed.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {2EF3FB47-7B1E-4536-BA4D-51427BD45DFA} (PIXACO Drag and Drop upload plugin) - http://www.pixaco.de/static/download/pixacodndupload.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1176126396062
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O20 - AppInit_DLLs: ljgzgf.dll
O23 - Service: AAV UpdateService - Unknown owner - C:\Programme\Gemeinsame Dateien\AAV\aavus.exe
O23 - Service: AccSys WiFi Server (AccWLSvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\AccWLSvc.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Programme\AntiVirenKit 2006\AVKService.exe
O23 - Service: AVK Wächter (AVKWCtl) - Unknown owner - C:\Programme\AntiVirenKit 2006\AVKWCtl.exe
O23 - Service: cyberJack PC/SC COM Service (cjpcsc) - REINER SCT - C:\WINDOWS\system32\cjpcsc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

--
End of file - 7620 bytes


So, das war´s.
Ich hoffe, Ihr könnt mir helfen.
Viele Grüsse
RolSei
Seitenanfang Seitenende
06.09.2008, 16:19
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#2 Hast du dein Rechner auch neu gestartet nachdem MBAM durch gelaufen ist?
Wenn Nein,mache es und poste nochmal ein log von Hijack This
__________
MfG Argus
Seitenanfang Seitenende
06.09.2008, 17:18
Member

Themenstarter

Beiträge: 12
#3 Hallo Arnold,
mbam hatte gemeldet, dass ein Teil der infizierten Dateien erst nach einem Neustart gelöscht werden, also habe ich das gemacht.

Grüsse
RolSei
Seitenanfang Seitenende
06.09.2008, 18:23
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#4 Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

Zitat

O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O20 - AppInit_DLLs: ljgzgf.dll
klicke: Fix checked
Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst

cfscript
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

File::
C:\WINDOWS\system32\ljgzgf.dll

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"appinit_dlls"=-
CFScript.txt mit der rechten Maustaste auf das Symbol von Combofix ziehen


Combofix noch mal anwenden
poste dann nach neustart das neue Log
__________
MfG Argus
Seitenanfang Seitenende
06.09.2008, 22:14
Member

Themenstarter

Beiträge: 12
#5 Hallo Arnold,
hat etwas gedauert, ich habe die letzten Stunden das ganze Programm nochmal unter meinem 2. Benutzerkonto (leider bisher auch mit admin-Rechten) durchlaufen lassen. Hier erstmal die logs nach dem Durchgang:

log mbam:

Malwarebytes' Anti-Malware 1.26
Database version: 1119
Windows 5.1.2600 Service Pack 2

06.09.2008 21:12:51
mbam-log-2008-09-06 (21-12-51).txt

Scan type: Full Scan (C:\|)
Objects scanned: 125369
Time elapsed: 2 hour(s), 5 minute(s), 27 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 7
Folders Infected: 0
Files Infected: 0

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoStartMenuMorePrograms (Hijack.StartMenu) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\StartMenuLogOff (Hijack.StartMenu) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDrives (Hijack.Drives) -> Bad: (12) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoToolbarCustomize (Hijack.Explorer) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetFolders (Hijack.Explorer) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispCPL (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Folders Infected:
(No malicious items detected)

Files Infected:
(No malicious items detected)

log combofix:

ComboFix 08-09-05.02 - Roland 2008-09-06 21:23:25.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.1407 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Roland\Desktop\ComboFix.exe

[color=red]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/color]
.

((((((((((((((((((((((( Dateien erstellt von 2008-08-06 bis 2008-09-06 ))))))))))))))))))))))))))))))
.

2008-09-06 18:16 . 2008-09-06 18:16 <DIR> d-------- C:\Dokumente und Einstellungen\Roland\Anwendungsdaten\Malwarebytes
2008-09-06 17:08 . 2008-09-06 17:08 <DIR> d--hs---- C:\Dokumente und Einstellungen\Frank\UserData
2008-09-06 16:57 . 2008-09-06 16:57 <DIR> d--hs---- C:\Dokumente und Einstellungen\Internet\UserData
2008-09-06 16:08 . 2006-03-24 15:37 <DIR> d--h----- C:\Dokumente und Einstellungen\Internet\Vorlagen
2008-09-06 16:08 . 2006-03-24 15:32 <DIR> dr------- C:\Dokumente und Einstellungen\Internet\Startmenü
2008-09-06 16:08 . 2006-03-24 15:32 <DIR> d--h----- C:\Dokumente und Einstellungen\Internet\Netzwerkumgebung
2008-09-06 16:08 . 2008-09-06 21:25 <DIR> d--h----- C:\Dokumente und Einstellungen\Internet\Lokale Einstellungen
2008-09-06 16:08 . 2008-09-06 16:08 <DIR> dr------- C:\Dokumente und Einstellungen\Internet\Favoriten
2008-09-06 16:08 . 2008-09-06 16:08 <DIR> dr------- C:\Dokumente und Einstellungen\Internet\Eigene Dateien
2008-09-06 16:08 . 2006-03-24 15:32 <DIR> d--h----- C:\Dokumente und Einstellungen\Internet\Druckumgebung
2008-09-06 16:08 . 2006-03-24 15:59 <DIR> d-------- C:\Dokumente und Einstellungen\Internet\Anwendungsdaten\You've Got Pictures Screensaver
2008-09-06 16:08 . 2006-03-24 16:21 <DIR> d-------- C:\Dokumente und Einstellungen\Internet\Anwendungsdaten\ATI
2008-09-06 16:08 . 2006-04-26 13:50 <DIR> d-------- C:\Dokumente und Einstellungen\Internet\Anwendungsdaten\AOL
2008-09-06 16:08 . 2006-03-24 16:28 <DIR> d-------- C:\Dokumente und Einstellungen\Internet\Anwendungsdaten\Ahead
2008-09-06 16:08 . 2006-03-24 16:25 <DIR> dr-h----- C:\Dokumente und Einstellungen\Internet\Anwendungsdaten
2008-09-06 16:08 . 2008-09-06 19:05 <DIR> d-------- C:\Dokumente und Einstellungen\Internet
2008-09-06 12:43 . 2008-09-06 12:43 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-09-06 12:43 . 2008-09-06 12:43 <DIR> d-------- C:\Dokumente und Einstellungen\Birgit\Anwendungsdaten\Malwarebytes
2008-09-06 12:43 . 2008-09-06 12:43 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-09-06 12:43 . 2008-09-02 00:16 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-09-06 12:43 . 2008-09-02 00:16 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-09-06 12:37 . 2008-09-06 12:37 <DIR> d-------- C:\Programme\CCleaner
2008-08-22 12:55 . 2008-08-22 12:55 <DIR> d-------- C:\Dokumente und Einstellungen\Frank\Anwendungsdaten\AdobeUM

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-06 19:20 --------- d-----w C:\Programme\Lexware
2008-09-06 08:30 --------- d-----w C:\Programme\TuneUp Utilities 2007
2008-09-04 19:17 --------- d-----w C:\Programme\AntiVirenKit 2006
2008-09-04 13:29 --------- d-----w C:\Programme\Profi cash
2008-08-26 07:17 --------- d-----w C:\Dokumente und Einstellungen\Birgit\Anwendungsdaten\Apple Computer
2008-07-13 16:14 --------- d-----w C:\Programme\Gemeinsame Dateien\AccSys
2008-07-13 09:35 --------- d-----w C:\Programme\Microsoft ActiveSync
2008-07-12 05:19 --------- d-----w C:\Programme\Apple Software Update
2008-07-11 19:59 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-07-11 19:59 --------- d-----w C:\Programme\SanDisk
2008-07-09 18:40 --------- d-----w C:\Programme\Java
2008-07-07 20:30 253,952 ----a-w C:\WINDOWS\system32\es.dll
2008-06-24 16:22 74,240 ----a-w C:\WINDOWS\system32\mscms.dll
2008-06-23 16:14 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-06-20 17:39 247,296 ----a-w C:\WINDOWS\system32\mswsock.dll
2006-10-14 15:11 53,176 ----a-w C:\Dokumente und Einstellungen\Birgit\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2006-10-05 19:09 1,642 ----a-w C:\Dokumente und Einstellungen\Birgit\Anwendungsdaten\wklnhst.dat
2006-10-01 12:24 3,544 ----a-w C:\Dokumente und Einstellungen\Roland\Anwendungsdaten\wklnhst.dat
2006-05-13 10:11 52,736 ----a-w C:\Dokumente und Einstellungen\Roland\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2006-05-11 17:31 0 ----a-w C:\Dokumente und Einstellungen\Frank\Anwendungsdaten\wklnhst.dat
2006-03-24 14:17 952 ----a-w C:\Programme\Nero Online Upgrade.lnk
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360]
"NBJ"="C:\Programme\Ahead\Nero BackItUp\NBJ.exe" [2005-09-16 1961984]
"H/PC Connection Agent"="C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" [2005-01-04 405583]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-05-27 413696]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UserFaultCheck"="C:\WINDOWS\system32\dumprep 0 -u" [X]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 155648]
"ATICCC"="C:\Programme\ATI Technologies\ATI.ACE\cli.exe" [2005-08-12 45056]
"HP Software Update"="C:\Programme\HP\HP Software Update\HPWuSchd2.exe" [2005-05-11 49152]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"watchdog"="C:\Programme\WatchDog\Watchdog.exe" [2004-09-13 732672]
"wlconfig"="C:\Programme\WLAN Monitor\wlconfig.exe" [2005-03-30 1236992]
"RealTray"="C:\Programme\Real\RealPlayer\RealPlay.exe" [2006-03-24 26112]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-05-27 413696]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-06-02 267048]
"RTHDCPL"="RTHDCPL.EXE" [2006-01-11 C:\WINDOWS\RTHDCPL.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 15360]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-04-23 29696]
Corel MEDIA FOLDERS INDEXER 8.LNK - C:\Corel\Graphics8\Programs\MFIndexer.exe [2006-11-24 82944]
HP Digital Imaging Monitor.lnk - C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe [2005-05-11 282624]
HP Image Zone Schnellstart.lnk - C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe [2005-05-12 73728]
Lexware Info Service.lnk - C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe [2005-11-30 479232]
Zahlungserinnerung.lnk - C:\Programme\Profi cash\wzed.exe [2007-08-21 40960]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="C:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\TuneUp Software\\TuneUp Utilities\\WinStyler\\tu_logonui.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=ljgzgf.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"MSACM.CEGSM"= mobilev.acm

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"H/PC Connection Agent"="C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" /background

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" -atboottime
"RealTray"=C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Real\\RealPlayer\\realplay.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=

R1 bizVSerial;Franson VSerial;C:\WINDOWS\system32\drivers\bizVSerialNT.sys [2007-05-30 14949]
R2 AAV UpdateService;AAV UpdateService;C:\Programme\Gemeinsame Dateien\AAV\aavus.exe [2007-10-04 122880]
R2 AccWLSvc;AccSys WiFi Server;C:\Programme\Gemeinsame Dateien\AccSys\AccWLSvc.exe [2005-03-15 180224]
R2 AVKService;AVK Service;C:\Programme\AntiVirenKit 2006\AVKService.exe [2004-09-28 299008]
R2 AVKWCtl;AVK Wächter;C:\Programme\AntiVirenKit 2006\AVKWCtl.exe [2005-08-15 602112]
R2 cjpcsc;cyberJack PC/SC COM Service ;C:\WINDOWS\system32\cjpcsc.exe [2007-09-11 652592]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 14336]
R3 cjusb;REINER SCT cyberJack pinpad/e-com USB;C:\WINDOWS\system32\DRIVERS\cjusb.sys [2007-05-30 23040]
R3 GDInterceptor;GDInterceptor;C:\WINDOWS\system32\interceptor.sys [2006-05-02 52858]
R3 HookCentre;HookCentre;C:\WINDOWS\system32\drivers\HookCentre.sys [2006-05-02 28066]
R3 ZD1211U(ZyXEL);ZyAIR G-220 IEEE 802.11b+g Wireless LAN Driver (USB)(ZyXEL);C:\WINDOWS\system32\DRIVERS\zd1211u.sys [2004-11-23 237568]
S3 accwldrv;AccSys WiFi Protokoll;C:\WINDOWS\system32\DRIVERS\accwldrv.sys [2005-02-15 12032]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b20d943d-fbc2-11da-bd3a-001349374c22}]
\Shell\AutoRun\command - I:\setupSNK.exe
.
Inhalt des "geplante Tasks" Ordners
.
.
------- Zusätzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Roland\Anwendungsdaten\Mozilla\Firefox\Profiles\44ma7ia9.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - www.web.de
FF -: plugin - C:\Programme\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll
FF -: plugin - C:\Programme\iTunes\Mozilla Plugins\npitunes.dll
FF -: plugin - C:\Programme\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-06 21:25:48
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-09-06 21:27:03
ComboFix-quarantined-files.txt 2008-09-06 19:26:57
ComboFix2.txt 2008-09-06 13:01:28

Pre-Run: 18 Verzeichnis(se), 229,412,933,632 Bytes frei
Post-Run: 22 Verzeichnis(se), 229,566,734,336 Bytes frei

148 --- E O F --- 2008-08-20 17:07:46

Log Hijack:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:35:59, on 06.09.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\AAV\aavus.exe
C:\Programme\Gemeinsame Dateien\AccSys\AccWLSvc.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\AntiVirenKit 2006\AVKService.exe
C:\Programme\AntiVirenKit 2006\AVKWCtl.exe
C:\WINDOWS\system32\cjpcsc.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\WatchDog\Watchdog.exe
C:\Programme\WLAN Monitor\wlconfig.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Corel\Graphics8\Programs\MFIndexer.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\HP\Digital Imaging\bin\hpqimzone.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programme\internet explorer\iexplore.exe
C:\Dokumente und Einstellungen\Roland\Eigene Dateien\HJT.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.arcor.de
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [watchdog] C:\Programme\WatchDog\Watchdog.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [wlconfig] C:\Programme\WLAN Monitor\wlconfig.exe -autostart
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-21-1935506585-2544835061-141489093-1008\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Frank')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\Programs\MFIndexer.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Image Zone Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: Lexware Info Service.lnk = C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe
O4 - Global Startup: Zahlungserinnerung.lnk = C:\Programme\Profi cash\wzed.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {2EF3FB47-7B1E-4536-BA4D-51427BD45DFA} (PIXACO Drag and Drop upload plugin) - http://www.pixaco.de/static/download/pixacodndupload.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1176126396062
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O20 - AppInit_DLLs: ljgzgf.dll
O23 - Service: AAV UpdateService - Unknown owner - C:\Programme\Gemeinsame Dateien\AAV\aavus.exe
O23 - Service: AccSys WiFi Server (AccWLSvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\AccWLSvc.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Programme\AntiVirenKit 2006\AVKService.exe
O23 - Service: AVK Wächter (AVKWCtl) - Unknown owner - C:\Programme\AntiVirenKit 2006\AVKWCtl.exe
O23 - Service: cyberJack PC/SC COM Service (cjpcsc) - REINER SCT - C:\WINDOWS\system32\cjpcsc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

--
End of file - 7805 bytes

log datfind.bat:

Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E074-26D6

Verzeichnis von C:\WINDOWS\system32

06.09.2008 21:31 1.158 wpa.dbl
06.09.2008 11:27 0 eb57e207-.txt
20.08.2008 19:00 609.048 TZLog.log
05.08.2008 20:11 15.888.504 MRT.exe
14.07.2008 13:09 62.976 tzchange.exe
13.07.2008 12:49 86.456 GDIPFONTCACHEV1.DAT
13.07.2008 12:48 312.376 FNTCACHE.DAT
09.07.2008 20:40 6.944 jupdate-1.6.0_07-b06.log
07.07.2008 22:30 253.952 es.dll
24.06.2008 18:22 74.240 mscms.dll
24.06.2008 10:14 3.592.192 mshtml.dll
23.06.2008 18:14 826.368 wininet.dll
23.06.2008 18:14 105.984 url.dll
23.06.2008 18:14 671.232 mstime.dll
23.06.2008 18:14 477.696 mshtmled.dll
23.06.2008 18:14 1.159.680 urlmon.dll
23.06.2008 18:14 193.024 msrating.dll
23.06.2008 18:14 44.544 pngfilt.dll
23.06.2008 18:14 233.472 webcheck.dll
23.06.2008 18:14 102.912 occache.dll
23.06.2008 18:14 1.831.424 inetcpl.cpl
23.06.2008 18:14 27.648 jsproxy.dll
23.06.2008 18:14 52.224 msfeedsbs.dll
23.06.2008 18:14 459.264 msfeeds.dll
23.06.2008 18:14 267.776 iertutil.dll
23.06.2008 18:14 44.544 iernonce.dll
23.06.2008 18:14 6.066.176 ieframe.dll
23.06.2008 18:14 384.512 iedkcs32.dll
23.06.2008 18:14 214.528 dxtrans.dll
23.06.2008 18:14 63.488 icardie.dll
23.06.2008 18:14 347.136 dxtmsft.dll
23.06.2008 18:14 153.088 ieakeng.dll
23.06.2008 18:14 133.120 extmgr.dll
23.06.2008 18:14 230.400 ieaksie.dll
23.06.2008 18:14 383.488 ieapfltr.dll
23.06.2008 18:14 124.928 advpack.dll
23.06.2008 11:20 13.824 ieudinit.exe
23.06.2008 11:20 70.656 ie4uinit.exe
21.06.2008 07:23 161.792 ieakui.dll
20.06.2008 19:39 247.296 mswsock.dll
20.06.2008 19:39 148.992 dnsapi.dll
10.06.2008 02:32 139.264 javaws.exe
10.06.2008 02:32 73.728 javacpl.cpl
10.06.2008 01:21 135.168 javaw.exe
10.06.2008 01:21 135.168 java.exe
07.06.2008 08:41 8 -529258794

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E074-26D6

Verzeichnis von C:\DOKUME~1\Roland\LOKALE~1\Temp

06.09.2008 21:38 104.928 datfind.txt
06.09.2008 21:36 512 ~DFD277.tmp
06.09.2008 21:36 170 jusched.log
06.09.2008 21:31 16.384 Perflib_Perfdata_bbc.dat
06.09.2008 21:31 16.384 Perflib_Perfdata_b40.dat
06.09.2008 21:31 47.122 DIOC.tmp
06.09.2008 21:31 117 STSB.tmp
06.09.2008 21:31 16.384 Perflib_Perfdata_a1c.dat
06.09.2008 21:31 2.995 hpodvd09.log
06.09.2008 21:31 47.122 DIO8.tmp
06.09.2008 21:31 1.285 MAR7.tmp
06.09.2008 21:31 1.342 MAR6.tmp
06.09.2008 21:31 16.384 ~DFAF37.tmp
06.09.2008 21:31 409.600 ~DF5A98.tmp
06.09.2008 21:31 408 WCESCOMM.LOG
06.09.2008 21:16 409.600 ~DFABB3.tmp
16 Datei(en) 1.090.737 Bytes
0 Verzeichnis(se), 229.579.624.448 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E074-26D6

Verzeichnis von C:\WINDOWS

06.09.2008 21:30 41.646 WindowsUpdate.log
06.09.2008 21:29 0 0.log
06.09.2008 21:29 159 wiadebug.log
06.09.2008 21:29 50 wiaservc.log
06.09.2008 21:29 2.048 bootstat.dat
06.09.2008 21:28 32.630 SchedLgU.Txt
06.09.2008 21:25 227 system.ini
04.09.2008 15:29 829 win.ini
23.08.2008 20:15 116 NeroDigital.ini
20.08.2008 19:37 736 SamsungMaster.INI
13.07.2008 20:42 119 Sansa Media Converter.INI
04.07.2008 22:54 54.156 QTFont.qfn
04.07.2008 22:35 437 cdplayer.ini
30.05.2008 17:10 1.050 ODBC.INI

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E074-26D6

Verzeichnis von C:\WINDOWS\temp

06.09.2008 21:31 408 enablefw.vbs
06.09.2008 21:31 408 disablefw.vbs
06.09.2008 21:31 409 WGANotify.settings
06.09.2008 21:31 255 WGAErrLog.txt
4 Datei(en) 1.480 Bytes
0 Verzeichnis(se), 229.579.616.256 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E074-26D6

Verzeichnis von C:\WINDOWS\Downloaded Program Files

17.06.2008 15:26 144 swdir.inf


Erst danach habe ich Deine obige Anweisung gelesen und sie auch noch ausgeführt:

ComboFix 08-09-05.02 - Roland 2008-09-06 21:54:20.4 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.1410 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Roland\Desktop\ComboFix.exe

[color=red]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/color]
.

((((((((((((((((((((((( Dateien erstellt von 2008-08-06 bis 2008-09-06 ))))))))))))))))))))))))))))))
.

2008-09-06 18:16 . 2008-09-06 18:16 <DIR> d-------- C:\Dokumente und Einstellungen\Roland\Anwendungsdaten\Malwarebytes
2008-09-06 17:08 . 2008-09-06 17:08 <DIR> d--hs---- C:\Dokumente und Einstellungen\Frank\UserData
2008-09-06 16:57 . 2008-09-06 16:57 <DIR> d--hs---- C:\Dokumente und Einstellungen\Internet\UserData
2008-09-06 16:08 . 2006-03-24 15:37 <DIR> d--h----- C:\Dokumente und Einstellungen\Internet\Vorlagen
2008-09-06 16:08 . 2006-03-24 15:32 <DIR> dr------- C:\Dokumente und Einstellungen\Internet\Startmenü
2008-09-06 16:08 . 2006-03-24 15:32 <DIR> d--h----- C:\Dokumente und Einstellungen\Internet\Netzwerkumgebung
2008-09-06 16:08 . 2008-09-06 21:56 <DIR> d--h----- C:\Dokumente und Einstellungen\Internet\Lokale Einstellungen
2008-09-06 16:08 . 2008-09-06 16:08 <DIR> dr------- C:\Dokumente und Einstellungen\Internet\Favoriten
2008-09-06 16:08 . 2008-09-06 16:08 <DIR> dr------- C:\Dokumente und Einstellungen\Internet\Eigene Dateien
2008-09-06 16:08 . 2006-03-24 15:32 <DIR> d--h----- C:\Dokumente und Einstellungen\Internet\Druckumgebung
2008-09-06 16:08 . 2006-03-24 15:59 <DIR> d-------- C:\Dokumente und Einstellungen\Internet\Anwendungsdaten\You've Got Pictures Screensaver
2008-09-06 16:08 . 2006-03-24 16:21 <DIR> d-------- C:\Dokumente und Einstellungen\Internet\Anwendungsdaten\ATI
2008-09-06 16:08 . 2006-04-26 13:50 <DIR> d-------- C:\Dokumente und Einstellungen\Internet\Anwendungsdaten\AOL
2008-09-06 16:08 . 2006-03-24 16:28 <DIR> d-------- C:\Dokumente und Einstellungen\Internet\Anwendungsdaten\Ahead
2008-09-06 16:08 . 2006-03-24 16:25 <DIR> dr-h----- C:\Dokumente und Einstellungen\Internet\Anwendungsdaten
2008-09-06 16:08 . 2008-09-06 19:05 <DIR> d-------- C:\Dokumente und Einstellungen\Internet
2008-09-06 12:43 . 2008-09-06 12:43 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-09-06 12:43 . 2008-09-06 12:43 <DIR> d-------- C:\Dokumente und Einstellungen\Birgit\Anwendungsdaten\Malwarebytes
2008-09-06 12:43 . 2008-09-06 12:43 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-09-06 12:43 . 2008-09-02 00:16 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-09-06 12:43 . 2008-09-02 00:16 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-09-06 12:37 . 2008-09-06 12:37 <DIR> d-------- C:\Programme\CCleaner
2008-08-22 12:55 . 2008-08-22 12:55 <DIR> d-------- C:\Dokumente und Einstellungen\Frank\Anwendungsdaten\AdobeUM

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-06 19:20 --------- d-----w C:\Programme\Lexware
2008-09-06 08:30 --------- d-----w C:\Programme\TuneUp Utilities 2007
2008-09-04 19:17 --------- d-----w C:\Programme\AntiVirenKit 2006
2008-09-04 13:29 --------- d-----w C:\Programme\Profi cash
2008-08-26 07:17 --------- d-----w C:\Dokumente und Einstellungen\Birgit\Anwendungsdaten\Apple Computer
2008-07-13 16:14 --------- d-----w C:\Programme\Gemeinsame Dateien\AccSys
2008-07-13 09:35 --------- d-----w C:\Programme\Microsoft ActiveSync
2008-07-12 05:19 --------- d-----w C:\Programme\Apple Software Update
2008-07-11 19:59 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-07-11 19:59 --------- d-----w C:\Programme\SanDisk
2008-07-09 18:40 --------- d-----w C:\Programme\Java
2008-07-07 20:30 253,952 ----a-w C:\WINDOWS\system32\es.dll
2008-06-24 16:22 74,240 ----a-w C:\WINDOWS\system32\mscms.dll
2008-06-23 16:14 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-06-20 17:39 247,296 ----a-w C:\WINDOWS\system32\mswsock.dll
2006-10-14 15:11 53,176 ----a-w C:\Dokumente und Einstellungen\Birgit\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2006-10-05 19:09 1,642 ----a-w C:\Dokumente und Einstellungen\Birgit\Anwendungsdaten\wklnhst.dat
2006-10-01 12:24 3,544 ----a-w C:\Dokumente und Einstellungen\Roland\Anwendungsdaten\wklnhst.dat
2006-05-13 10:11 52,736 ----a-w C:\Dokumente und Einstellungen\Roland\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2006-05-11 17:31 0 ----a-w C:\Dokumente und Einstellungen\Frank\Anwendungsdaten\wklnhst.dat
2006-03-24 14:17 952 ----a-w C:\Programme\Nero Online Upgrade.lnk
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360]
"NBJ"="C:\Programme\Ahead\Nero BackItUp\NBJ.exe" [2005-09-16 1961984]
"H/PC Connection Agent"="C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" [2005-01-04 405583]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-05-27 413696]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 155648]
"ATICCC"="C:\Programme\ATI Technologies\ATI.ACE\cli.exe" [2005-08-12 45056]
"HP Software Update"="C:\Programme\HP\HP Software Update\HPWuSchd2.exe" [2005-05-11 49152]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"watchdog"="C:\Programme\WatchDog\Watchdog.exe" [2004-09-13 732672]
"wlconfig"="C:\Programme\WLAN Monitor\wlconfig.exe" [2005-03-30 1236992]
"RealTray"="C:\Programme\Real\RealPlayer\RealPlay.exe" [2006-03-24 26112]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-05-27 413696]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-06-02 267048]
"RTHDCPL"="RTHDCPL.EXE" [2006-01-11 C:\WINDOWS\RTHDCPL.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 15360]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-04-23 29696]
Corel MEDIA FOLDERS INDEXER 8.LNK - C:\Corel\Graphics8\Programs\MFIndexer.exe [2006-11-24 82944]
HP Digital Imaging Monitor.lnk - C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe [2005-05-11 282624]
HP Image Zone Schnellstart.lnk - C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe [2005-05-12 73728]
Lexware Info Service.lnk - C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe [2005-11-30 479232]
Zahlungserinnerung.lnk - C:\Programme\Profi cash\wzed.exe [2007-08-21 40960]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="C:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\TuneUp Software\\TuneUp Utilities\\WinStyler\\tu_logonui.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"MSACM.CEGSM"= mobilev.acm

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"H/PC Connection Agent"="C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" /background

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" -atboottime
"RealTray"=C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Real\\RealPlayer\\realplay.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=

R1 bizVSerial;Franson VSerial;C:\WINDOWS\system32\drivers\bizVSerialNT.sys [2007-05-30 14949]
R2 AAV UpdateService;AAV UpdateService;C:\Programme\Gemeinsame Dateien\AAV\aavus.exe [2007-10-04 122880]
R2 AccWLSvc;AccSys WiFi Server;C:\Programme\Gemeinsame Dateien\AccSys\AccWLSvc.exe [2005-03-15 180224]
R2 AVKService;AVK Service;C:\Programme\AntiVirenKit 2006\AVKService.exe [2004-09-28 299008]
R2 AVKWCtl;AVK Wächter;C:\Programme\AntiVirenKit 2006\AVKWCtl.exe [2005-08-15 602112]
R2 cjpcsc;cyberJack PC/SC COM Service ;C:\WINDOWS\system32\cjpcsc.exe [2007-09-11 652592]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 14336]
R3 cjusb;REINER SCT cyberJack pinpad/e-com USB;C:\WINDOWS\system32\DRIVERS\cjusb.sys [2007-05-30 23040]
R3 GDInterceptor;GDInterceptor;C:\WINDOWS\system32\interceptor.sys [2006-05-02 52858]
R3 HookCentre;HookCentre;C:\WINDOWS\system32\drivers\HookCentre.sys [2006-05-02 28066]
R3 ZD1211U(ZyXEL);ZyAIR G-220 IEEE 802.11b+g Wireless LAN Driver (USB)(ZyXEL);C:\WINDOWS\system32\DRIVERS\zd1211u.sys [2004-11-23 237568]
S3 accwldrv;AccSys WiFi Protokoll;C:\WINDOWS\system32\DRIVERS\accwldrv.sys [2005-02-15 12032]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b20d943d-fbc2-11da-bd3a-001349374c22}]
\Shell\AutoRun\command - I:\setupSNK.exe
.
Inhalt des "geplante Tasks" Ordners
.
.
------- Zusätzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Roland\Anwendungsdaten\Mozilla\Firefox\Profiles\44ma7ia9.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - www.web.de
FF -: plugin - C:\Programme\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll
FF -: plugin - C:\Programme\iTunes\Mozilla Plugins\npitunes.dll
FF -: plugin - C:\Programme\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-06 21:56:15
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-09-06 21:57:31
ComboFix-quarantined-files.txt 2008-09-06 19:57:26
ComboFix2.txt 2008-09-06 19:27:04
ComboFix3.txt 2008-09-06 13:01:28

Pre-Run: 18 Verzeichnis(se), 229,538,115,584 Bytes frei
Post-Run: 21 Verzeichnis(se), 229,532,635,136 Bytes frei

146 --- E O F --- 2008-08-20 17:07:46


Wie sieht´s jetzt für Dich aus?
Grüsse
RolSei
Seitenanfang Seitenende
07.09.2008, 22:48
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#6 CombiFix entfernen
Start > Ausführen>Kopiere rein ComboFix /U OK
Entferne auf C:\combofix.txt
Entferne auf C:\ :\combofix
__________
MfG Argus
Seitenanfang Seitenende
08.09.2008, 20:28
Member

Themenstarter

Beiträge: 12
#7 Hallo Arnold,

blöde Frage, aber ist entfernen das Gleiche wie löschen? Die 1. Zeile hat funktioniert, aber wie führe ich die 2. und 3. Zeile Deiner Anweisung aus?

Sollte ich Hijackthis und mbam auch wieder entfernen?

Danke und schönen Abend!
Grüsse
RolSei
Seitenanfang Seitenende
08.09.2008, 20:37
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#8 C:\combofix.txt rechtsklick entfernen

Hijack This nicht entfernen man weiss ja nie
Und MBAM auch nicht,wird fast jeden Tag ge-updated
__________
MfG Argus
Seitenanfang Seitenende
08.09.2008, 21:18
Member

Themenstarter

Beiträge: 12
#9 ok, und danke nochmal für die gute Hilfe!

RolSei
Seitenanfang Seitenende