You have a security problem

#1 Hi Leute,

ich hab mir wieder mal was eingefangen :-(
Rechts in der Taskleiste ist ein rotes Symbol, das gelegentlich "You have a security problem" einblendet. Außerdem öffnet sich immer wieder ein Fenster, das mir Virenschutz andrehen will!

Hier mein Logfile, bitte schaut es mal an! Könnt ihr mir bitte helfen und mir sagen, was ich machen soll?

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 12:31:51, on 12.09.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\crypserv.exe
C:\WINDOWS\system32\SLEE12.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mrqvynqt\idcbwngp.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\DOKUME~1\MICHAE~1\LOKALE~1\Temp\video198.cfg.exe
C:\Programme\SlySoft\AnyDVD\AnyDVDtray.exe
C:\Programme\ICQ\Icq.exe
C:\DOKUME~1\MICHAE~1\LOKALE~1\Temp\c.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Elaborate Bytes\CloneDVD2\CloneDVD2.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Michael Raml\Desktop\Internet\Downloads usw\Virenschutz\HiJackThis_v2.exe
C:\WINDOWS\System32\imapi.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: XML module - {500BCA15-57A7-4eaf-8143-8C619470B13D} - C:\WINDOWS\system32\msxml71.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [TrayServer] C:\Programme\MAGIX\Filme_auf_DVD_7\TrayServer.exe
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [PMCLoader] C:\Programme\Pinnacle\TVCenter Pro\PMCLoader.exe -checktasks
O4 - HKCU\..\Run: [Somefox] C:\DOKUME~1\MICHAE~1\LOKALE~1\Temp\video198.cfg.exe
O4 - HKLM\..\Policies\Explorer\Run: [rz2SHxJha5] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mrqvynqt\idcbwngp.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [SAFE8] "C:\Programme\Steganos Safe 8\SAFE8.exe" -firstboot (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [SAFE8] "C:\Programme\Steganos Safe 8\SAFE8.exe" -firstboot (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [SAFE8] "C:\Programme\Steganos Safe 8\SAFE8.exe" -firstboot (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [SAFE8] "C:\Programme\Steganos Safe 8\SAFE8.exe" -firstboot (User 'Default user')
O4 - Global Startup: ICQ.lnk = C:\Programme\ICQ\Icq.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - http://static.pe.studivz.net/photouploader/ImageUploader5.cab?nocache=1220447395
O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - http://static.pe.studivz.net/photouploader/ImageUploader5.cab?nocache=1211735906
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Crypkey License - Unknown owner - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NMIndexingService - Unknown owner - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe (file missing)
O23 - Service: Steganos Live Encryption Engine 12 [Service] (SLEE_12_SERVICE) - Unknown owner - C:\WINDOWS\system32\SLEE12.exe

--
End of file - 8360 bytes



Danke schon mal im Voraus!!!!

Lg Michi

#2 Reeiche die Report von Punkt 2 und 3 von http://board.protecus.de/t23188.htm nach.
__________
MfG Ralf
SEO-Spam Hunter

#3 Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1134
Windows 5.1.2600 Service Pack 2

12.09.2008 13:18:27
mbam-log-2008-09-12 (13-18-23).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 45728
Laufzeit: 9 minute(s), 48 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 11
Infizierte Registrierungswerte: 3
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 2
Infizierte Dateien: 15

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\WINDOWS\system32\msxml71.dll (Trojan.FakeAlert) -> No action taken.

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\xml.xml (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\TypeLib\{9233c3c0-1472-4091-a505-5580a23bb4ac} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{500bca15-57a7-4eaf-8143-8c619470b13d} (Trojan.FakeAlert) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{500bca15-57a7-4eaf-8143-8c619470b13d} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\xml.xml.1 (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\MediaHoldings (Adware.PlayMP3Z) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Mirar (Adware.Mirar) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\PlayMP3 (Adware.PlayMP3Z) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\FBrowsingAdvisor (Trojan.FBrowsingAdvisor) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\fbrowsingadvisor_is1 (Trojan.FBrowsingAdvisor) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\mwc (Malware.Trace) -> No action taken.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\comcfgwin (Trojan.FakeAlert.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\rz2shxjha5 (Trojan.FakeAlert.H) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Somefox (Trojan.FakeAlert) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\Programme\FBrowsingAdvisor (Trojan.FBrowsingAdvisor) -> No action taken.
C:\Programme\FBrowserAdvisor (Trojan.FBrowsingAdvisor) -> No action taken.

Infizierte Dateien:
C:\WINDOWS\system32\rozmnmpw.exe (Trojan.FakeAlert.H) -> No action taken.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mrqvynqt\idcbwngp.exe (Trojan.FakeAlert.H) -> No action taken.
C:\WINDOWS\system32\msxml71.dll (Trojan.FakeAlert) -> No action taken.
C:\regxpcom.exe (Trojan.FBrowsingAdvisor) -> No action taken.
C:\Dokumente und Einstellungen\Michael Raml\Lokale Einstellungen\Temp\tem1D2.tmp.exe (Adware.Mirar) -> No action taken.
C:\Dokumente und Einstellungen\Michael Raml\Lokale Einstellungen\Temp\tem1D4.tmp.exe (Adware.Agent) -> No action taken.
C:\Dokumente und Einstellungen\Michael Raml\Lokale Einstellungen\Temp\Mirar_VC_Setup_876933.exe (Adware.Mirar) -> No action taken.
C:\Programme\FBrowsingAdvisor\IXPCOMEvents.xpt (Trojan.FBrowsingAdvisor) -> No action taken.
C:\Programme\FBrowsingAdvisor\Logo.png (Trojan.FBrowsingAdvisor) -> No action taken.
C:\Programme\FBrowsingAdvisor\main.db (Trojan.FBrowsingAdvisor) -> No action taken.
C:\Programme\FBrowsingAdvisor\unins000.dat (Trojan.FBrowsingAdvisor) -> No action taken.
C:\Programme\FBrowsingAdvisor\unins000.exe (Trojan.FBrowsingAdvisor) -> No action taken.
C:\Programme\FBrowsingAdvisor\XPCOMEvents.dll (Trojan.FBrowsingAdvisor) -> No action taken.
C:\Dokumente und Einstellungen\Michael Raml\Lokale Einstellungen\Temp\video198.cfg.exe (Trojan.FakeAlert) -> No action taken.
C:\Dokumente und Einstellungen\Michael Raml\Lokale Einstellungen\Temp\video198.cfg (Trojan.FakeAlert) -> No action taken.

#4 Du solltest Mbam die Dinge schon reinigen lassen...
__________
MfG Ralf
SEO-Spam Hunter

#5 Hab ich soeben gemacht!

Danke!

#6 Dann noch Combofix und ich bin (fast) zufrieden!
__________
MfG Ralf
SEO-Spam Hunter

#7 ComboFix 08-09-10.04 - Michael Raml 2008-09-12 13:46:30.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1332 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Michael Raml\Desktop\Internet\Downloads usw\Virenschutz\ComboFix.exe

[color=red]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/color]
.

((((((((((((((((((((((( Dateien erstellt von 2008-08-12 bis 2008-09-12 ))))))))))))))))))))))))))))))
.

2008-09-12 13:44 . 2008-09-12 13:44 61,440 --a------ C:\WINDOWS\system32\drivers\sswrlxzq.sys
2008-09-12 13:07 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-09-12 13:07 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-09-12 12:43 . 2008-09-12 12:43 94,208 --------- C:\WINDOWS\system32\rozmnmpw.exe
2008-09-12 12:14 . 2008-09-12 12:14 <DIR> d-------- C:\CloneDVDTemp
2008-09-12 12:12 . 2008-09-12 12:12 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SlySoft
2008-09-12 12:10 . 2008-09-12 12:10 <DIR> d-------- C:\Programme\SlySoft
2008-09-12 12:07 . 2008-09-12 12:07 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mrqvynqt
2008-09-12 12:06 . 2008-09-12 12:06 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Elaborate Bytes
2008-09-12 12:03 . 2008-09-12 12:06 48 --ahs---- C:\WINDOWS\S9E13C048.tmp
2008-09-12 12:01 . 2008-09-12 12:01 <DIR> d-------- C:\Programme\Elaborate Bytes
2008-09-04 12:23 . 2008-09-04 12:23 99,648 --a------ C:\WINDOWS\system32\drivers\AnyDVD.sys
2008-09-01 15:26 . 2008-09-01 15:37 <DIR> d-------- C:\Programme\MP3Gain
2008-08-26 16:41 . 2008-08-26 16:42 <DIR> d-------- C:\Programme\Audio Extractor
2008-08-18 18:41 . 2008-08-18 18:41 34 --a------ C:\WINDOWS\cdplayer.ini
2008-08-18 17:54 . 2008-08-18 17:54 <DIR> d-------- C:\Programme\Audiograbber
2008-08-18 08:44 . 2008-08-18 08:44 <DIR> d-------- C:\Programme\Apple Software Update
2008-08-18 08:43 . 2008-08-18 08:44 <DIR> d-------- C:\Programme\iTunes
2008-08-18 08:43 . 2008-08-18 08:43 <DIR> d-------- C:\Programme\iPod
2008-08-17 10:51 . 2008-08-17 10:57 <DIR> d-------- C:\Programme\CD Audio MP3 Converter
2008-08-17 10:51 . 2001-03-23 16:29 880,912 --a------ C:\WINDOWS\WM8EUTIL.exe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-12 11:44 364 ----a-w C:\Programme\cmwbe.txt
2008-09-12 11:07 --------- d-----w C:\Programme\Malwarebytes
2008-09-11 16:41 --------- d-----w C:\Programme\ICQ
2008-09-11 14:27 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-08-17 08:42 --------- d-----w C:\Dokumente und Einstellungen\Michael Raml\Anwendungsdaten\Tunebite
2008-07-28 19:46 --------- d-----w C:\Dokumente und Einstellungen\Michael Raml\Anwendungsdaten\Apple Computer
2008-07-28 17:46 --------- d-----w C:\Programme\QuickTime
2008-07-28 17:46 --------- d-----w C:\Programme\Bonjour
2008-07-28 17:34 --------- d-----w C:\Programme\Safari
2008-07-21 12:11 24,392 ----a-w C:\WINDOWS\system32\drivers\ElbyCDIO.sys
2008-07-15 20:55 --------- d-----w C:\Programme\MAGIX
2008-07-15 20:55 --------- d-----w C:\Dokumente und Einstellungen\Michael Raml\Anwendungsdaten\MAGIX
2008-07-15 20:54 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MAGIX
2008-07-15 20:53 --------- d-----w C:\Programme\Gemeinsame Dateien\MAGIX Shared
2008-07-15 09:01 --------- d-----w C:\Programme\Allok AVI to DVD SVCD VCD Converter
2008-06-26 11:06 93,128 ----a-w C:\WINDOWS\system32\ElbyCDIO.dll
2007-06-21 15:24 457 ----a-w C:\Programme\INSTALL.LOG
2007-02-12 17:10 2,682,880 ------w C:\Dokumente und Einstellungen\All Users\VCREDI~3.EXE
.

------- Sigcheck -------

2002-08-29 02:58 332928 244a2f9816bc9b593957281ef577d976 C:\WINDOWS\$NtServicePackUninstall$\tcpip.sys
2004-08-03 23:14 359040 9f4b36614a0fc234525ba224957de55c C:\WINDOWS\ServicePackFiles\i386\tcpip.sys
2004-08-03 23:14 359040 6a603809f598332dbedd535bdbce313e C:\WINDOWS\system32\drivers\tcpip.sys
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-31 68856]
"PMCLoader"="C:\Programme\Pinnacle\TVCenter Pro\PMCLoader.exe" [2007-07-26 105544]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2005-12-07 761947]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-18 266497]
"Mirabilis ICQ"="C:\PROGRA~1\ICQ\ICQNet.exe" [2003-10-14 38984]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-05-07 185896]
"TrayServer"="C:\Programme\MAGIX\Filme_auf_DVD_7\TrayServer.exe" [2007-03-29 90112]
"AppleSyncNotifier"="C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2008-07-10 116040]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-05-27 413696]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-07-30 289064]
"Malwarebytes Anti-Malware (reboot)"="C:\Programme\Malwarebytes\mbam.exe" [2008-09-10 1253040]
"RTHDCPL"="RTHDCPL.EXE" [2006-11-14 C:\WINDOWS\RTHDCPL.exe]
"SkyTel"="SkyTel.EXE" [2006-05-16 C:\WINDOWS\SkyTel.exe]
"AGRSMMSG"="AGRSMMSG.exe" [2006-08-30 C:\WINDOWS\AGRSMMSG.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"SAFE8"="C:\Programme\Steganos Safe 8\SAFE8.exe" [2005-08-02 2056192]

C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\
ICQ.lnk - C:\Programme\ICQ\Icq.exe [2007-06-21 1880639]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"swg"=C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
"SAFE8"="C:\Programme\Steganos Safe 8\SAFE8.exe" -boot

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Adobe Photo Downloader"="C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
"NeroFilterCheck"=C:\WINDOWS\system32\NeroCheck.exe
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=

R2 SLEE_12_DRIVER;Steganos Live Encryption Engine 12 [Driver];C:\WINDOWS\system32\drivers\SLEE12.sys [2005-08-01 12:06 73216]
R2 SLEE_12_SERVICE;Steganos Live Encryption Engine 12 [Service];C:\WINDOWS\system32\SLEE12.exe [2005-08-01 12:06 36864]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 14336]
R3 SSB2413;SSB2413 Wireless Network Adapter Service;C:\WINDOWS\system32\DRIVERS\SSB2413.sys [2006-07-17 494080]
S1 atitray;atitray;C:\Programme\Radeon Omega Drivers\v3.8.360\ATI Tray Tools\atitray.sys [ ]
S3 ATICDSDr;ATICDSDr;C:\DOKUME~1\MICHAE~1\LOKALE~1\Temp\ATICDSDr.sys [ ]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;C:\Programme\MAGIX\Common\Database\bin\fbserver.exe [2005-11-17 1527900]
S3 Ltn_stk7070P;PCTV based TV tuner device;C:\WINDOWS\system32\DRIVERS\Ltn_stk7070P.sys [2007-06-14 466048]
S3 Ltn_stkrc;PCTV Infrared Receiver;C:\WINDOWS\system32\DRIVERS\Ltn_stkrc.sys [2007-06-13 13440]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1b4aac69-6ce0-11dc-a1e3-001377361b24}]
\shell\verb1\command - desktop.exe

*Newly Created Service* - CATCHME
*Newly Created Service* - PROCEXP90

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{582610B8-E496-4813-993C-4B027173FE38}]
C:\Programme\PixiePack Codec Pack\InstallerHelper.exe
.
Inhalt des "geplante Tasks" Ordners
.
.
------- Zusätzlicher Scan -------
.
R0 -: HKCU-Main,Start Page = about:blank
R0 -: HKCU-Main,Search Page = hxxp://www.google.com
R0 -: HKCU-Main,Search Bar = hxxp://www.google.com/ie
R1 -: HKCU-Internet Settings,ProxyOverride = *.local
R1 -: HKCU-SearchURL,(Default) = hxxp://www.google.com/search?q=%s
O8 -: &ICQ Toolbar Search - C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 -: Nach Microsoft &Excel exportieren - C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O16 -: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} - hxxp://static.pe.studivz.net/photouploader/ImageUploader5.cab?nocache=1220447395
C:\WINDOWS\Downloaded Program Files\CONFLICT.1\ImageUploader5.inf
C:\WINDOWS\system32\unicows.dll
C:\WINDOWS\Downloaded Program Files\CONFLICT.1\ImageUploader5.ocx

O16 -: {BA162249-F2C5-4851-8ADC-FC58CB424243} - hxxp://static.pe.studivz.net/photouploader/ImageUploader5.cab?nocache=1211735906
C:\WINDOWS\Downloaded Program Files\ImageUploader5.inf
C:\WINDOWS\system32\unicows.dll
C:\WINDOWS\Downloaded Program Files\ImageUploader5.ocx
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-12 13:47:25
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-09-12 13:48:10
ComboFix-quarantined-files.txt 2008-09-12 11:48:07
ComboFix2.txt 2008-09-12 11:25:47

Pre-Run: 4,584,931,328 Bytes frei
Post-Run: 4,572,766,208 Bytes frei

149

#8 Lasse bitte
C:\WINDOWS\system32\drivers\sswrlxzq.sys
C:\WINDOWS\system32\rozmnmpw.exe

bei Virustotal pruefen und poste den gesamten Report, oder den Link zum Ergebniss.

Schau dir C:\Programme\cmwbe.txt mit einem Texteditor an und sag, was du siehst...
__________
MfG Ralf
SEO-Spam Hunter

#9 Erste Datei:

http://www.virustotal.com/de/analisis/6b5449c52ba66b6c26632c0928f1cccb

Die zweite Datei gibts anscheinend nicht, sagt mir Virustotal!


Folgende Textdatei sehe ich bei cmwbe.txt:
Files to delete:
C:\WINDOWS\system32\rozmnmpw.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mrqvynqt\idcbwngp.exe
C:\regxpcom.exe
C:\WINDOWS\system32\msxml71.dll


Vielen Dank für deine Hilfe!!

#10 Dann loesche bitte C:\WINDOWS\system32\drivers\sswrlxzq.sys, lade eine neue Version von combofix und erstelle damit einen neuen Report.
__________
MfG Ralf
SEO-Spam Hunter

#11 Bitte sehr:

ComboFix 08-09-12.09 - Michael Raml 2008-09-13 17:09:33.3 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1306 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Michael Raml\Desktop\Internet\Downloads usw\Virenschutz\ComboFix1.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/color]
.

((((((((((((((((((((((( Dateien erstellt von 2008-08-13 bis 2008-09-13 ))))))))))))))))))))))))))))))
.

2008-09-12 16:36 . 2007-06-18 00:06 <DIR> d--h----- C:\Dokumente und Einstellungen\Michi\Vorlagen
2008-09-12 16:36 . 2007-06-18 01:01 <DIR> dr------- C:\Dokumente und Einstellungen\Michi\Startmenü
2008-09-12 16:36 . 2007-06-18 01:01 <DIR> d--h----- C:\Dokumente und Einstellungen\Michi\Netzwerkumgebung
2008-09-12 16:36 . 2008-09-13 17:10 <DIR> d--h----- C:\Dokumente und Einstellungen\Michi\Lokale Einstellungen
2008-09-12 16:36 . 2008-09-12 16:36 <DIR> dr------- C:\Dokumente und Einstellungen\Michi\Favoriten
2008-09-12 16:36 . 2008-09-12 16:36 <DIR> dr------- C:\Dokumente und Einstellungen\Michi\Eigene Dateien
2008-09-12 16:36 . 2007-06-18 01:01 <DIR> d--h----- C:\Dokumente und Einstellungen\Michi\Druckumgebung
2008-09-12 16:36 . 2008-09-12 16:36 <DIR> d-------- C:\Dokumente und Einstellungen\Michi\Anwendungsdaten\Malwarebytes
2008-09-12 16:36 . 2008-09-12 16:36 <DIR> d-------- C:\Dokumente und Einstellungen\Michi\Anwendungsdaten\ICQ
2008-09-12 16:36 . 2008-09-12 16:38 <DIR> dr-h----- C:\Dokumente und Einstellungen\Michi\Anwendungsdaten
2008-09-12 16:36 . 2008-09-12 16:36 <DIR> d-------- C:\Dokumente und Einstellungen\Michi
2008-09-12 13:46 . 2008-09-12 13:48 <DIR> d-------- C:\ComboFix
2008-09-12 13:07 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-09-12 13:07 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-09-12 12:14 . 2008-09-12 12:14 <DIR> d-------- C:\CloneDVDTemp
2008-09-12 12:12 . 2008-09-12 12:12 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SlySoft
2008-09-12 12:10 . 2008-09-12 12:10 <DIR> d-------- C:\Programme\SlySoft
2008-09-12 12:07 . 2008-09-12 16:36 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mrqvynqt
2008-09-12 12:06 . 2008-09-12 12:06 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Elaborate Bytes
2008-09-12 12:03 . 2008-09-12 12:06 48 --ahs---- C:\WINDOWS\S9E13C048.tmp
2008-09-12 12:01 . 2008-09-12 12:01 <DIR> d-------- C:\Programme\Elaborate Bytes
2008-09-04 12:23 . 2008-09-04 12:23 99,648 --a------ C:\WINDOWS\system32\drivers\AnyDVD.sys
2008-09-01 15:26 . 2008-09-01 15:37 <DIR> d-------- C:\Programme\MP3Gain
2008-08-26 16:41 . 2008-08-26 16:42 <DIR> d-------- C:\Programme\Audio Extractor
2008-08-18 18:41 . 2008-08-18 18:41 34 --a------ C:\WINDOWS\cdplayer.ini
2008-08-18 17:54 . 2008-08-18 17:54 <DIR> d-------- C:\Programme\Audiograbber
2008-08-18 08:44 . 2008-08-18 08:44 <DIR> d-------- C:\Programme\Apple Software Update
2008-08-18 08:43 . 2008-08-18 08:44 <DIR> d-------- C:\Programme\iTunes
2008-08-18 08:43 . 2008-08-18 08:43 <DIR> d-------- C:\Programme\iPod
2008-08-17 10:51 . 2008-08-17 10:57 <DIR> d-------- C:\Programme\CD Audio MP3 Converter
2008-08-17 10:51 . 2001-03-23 16:29 880,912 --a------ C:\WINDOWS\WM8EUTIL.exe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-13 15:01 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-09-12 11:44 364 ----a-w C:\Programme\cmwbe.txt
2008-09-12 11:07 --------- d-----w C:\Programme\Malwarebytes
2008-09-11 16:41 --------- d-----w C:\Programme\ICQ
2008-08-17 08:42 --------- d-----w C:\Dokumente und Einstellungen\Michael Raml\Anwendungsdaten\Tunebite
2008-07-28 19:46 --------- d-----w C:\Dokumente und Einstellungen\Michael Raml\Anwendungsdaten\Apple Computer
2008-07-28 17:46 --------- d-----w C:\Programme\QuickTime
2008-07-28 17:46 --------- d-----w C:\Programme\Bonjour
2008-07-28 17:34 --------- d-----w C:\Programme\Safari
2008-07-21 12:11 24,392 ----a-w C:\WINDOWS\system32\drivers\ElbyCDIO.sys
2008-07-15 20:55 --------- d-----w C:\Programme\MAGIX
2008-07-15 20:55 --------- d-----w C:\Dokumente und Einstellungen\Michael Raml\Anwendungsdaten\MAGIX
2008-07-15 20:54 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MAGIX
2008-07-15 20:53 --------- d-----w C:\Programme\Gemeinsame Dateien\MAGIX Shared
2008-07-15 09:01 --------- d-----w C:\Programme\Allok AVI to DVD SVCD VCD Converter
2008-06-26 11:06 93,128 ----a-w C:\WINDOWS\system32\ElbyCDIO.dll
2007-06-21 15:24 457 ----a-w C:\Programme\INSTALL.LOG
2007-02-12 17:10 2,682,880 ------w C:\Dokumente und Einstellungen\All Users\VCREDI~3.EXE
.

------- Sigcheck -------

2002-08-29 02:58 332928 244a2f9816bc9b593957281ef577d976 C:\WINDOWS\$NtServicePackUninstall$\tcpip.sys
2004-08-03 23:14 359040 9f4b36614a0fc234525ba224957de55c C:\WINDOWS\ServicePackFiles\i386\tcpip.sys
2004-08-03 23:14 359040 6a603809f598332dbedd535bdbce313e C:\WINDOWS\system32\drivers\tcpip.sys
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-31 68856]
"PMCLoader"="C:\Programme\Pinnacle\TVCenter Pro\PMCLoader.exe" [2007-07-26 105544]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2005-12-07 761947]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-18 266497]
"Mirabilis ICQ"="C:\PROGRA~1\ICQ\ICQNet.exe" [2003-10-14 38984]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-05-07 185896]
"TrayServer"="C:\Programme\MAGIX\Filme_auf_DVD_7\TrayServer.exe" [2007-03-29 90112]
"AppleSyncNotifier"="C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2008-07-10 116040]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-05-27 413696]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-07-30 289064]
"RTHDCPL"="RTHDCPL.EXE" [2006-11-14 C:\WINDOWS\RTHDCPL.exe]
"SkyTel"="SkyTel.EXE" [2006-05-16 C:\WINDOWS\SkyTel.exe]
"AGRSMMSG"="AGRSMMSG.exe" [2006-08-30 C:\WINDOWS\AGRSMMSG.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"SAFE8"="C:\Programme\Steganos Safe 8\SAFE8.exe" [2005-08-02 2056192]

C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\
ICQ.lnk - C:\Programme\ICQ\Icq.exe [2007-06-21 1880639]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"swg"=C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
"SAFE8"="C:\Programme\Steganos Safe 8\SAFE8.exe" -boot

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Adobe Photo Downloader"="C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
"NeroFilterCheck"=C:\WINDOWS\system32\NeroCheck.exe
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=

R2 SLEE_12_DRIVER;Steganos Live Encryption Engine 12 [Driver];C:\WINDOWS\system32\drivers\SLEE12.sys [2005-08-01 12:06 73216]
R2 SLEE_12_SERVICE;Steganos Live Encryption Engine 12 [Service];C:\WINDOWS\system32\SLEE12.exe [2005-08-01 12:06 36864]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 14336]
R3 SSB2413;SSB2413 Wireless Network Adapter Service;C:\WINDOWS\system32\DRIVERS\SSB2413.sys [2006-07-17 494080]
S1 atitray;atitray;C:\Programme\Radeon Omega Drivers\v3.8.360\ATI Tray Tools\atitray.sys [ ]
S3 ATICDSDr;ATICDSDr;C:\DOKUME~1\MICHAE~1\LOKALE~1\Temp\ATICDSDr.sys [ ]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;C:\Programme\MAGIX\Common\Database\bin\fbserver.exe [2005-11-17 1527900]
S3 Ltn_stk7070P;PCTV based TV tuner device;C:\WINDOWS\system32\DRIVERS\Ltn_stk7070P.sys [2007-06-14 466048]
S3 Ltn_stkrc;PCTV Infrared Receiver;C:\WINDOWS\system32\DRIVERS\Ltn_stkrc.sys [2007-06-13 13440]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1b4aac69-6ce0-11dc-a1e3-001377361b24}]
\shell\verb1\command - desktop.exe

*Newly Created Service* - CATCHME
*Newly Created Service* - PROCEXP90

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{582610B8-E496-4813-993C-4B027173FE38}]
C:\Programme\PixiePack Codec Pack\InstallerHelper.exe
.
Inhalt des "geplante Tasks" Ordners
.
.
------- Zusätzlicher Scan -------
.
R0 -: HKCU-Main,Start Page = about:blank
R0 -: HKCU-Main,Search Page = hxxp://www.google.com
R0 -: HKCU-Main,Search Bar = hxxp://www.google.com/ie
R1 -: HKCU-Internet Settings,ProxyOverride = *.local
R1 -: HKCU-SearchURL,(Default) = hxxp://www.google.com/search?q=%s
O8 -: &ICQ Toolbar Search - C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 -: Nach Microsoft &Excel exportieren - C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O16 -: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} - hxxp://static.pe.studivz.net/photouploader/ImageUploader5.cab?nocache=1220447395
C:\WINDOWS\Downloaded Program Files\CONFLICT.1\ImageUploader5.inf
C:\WINDOWS\system32\unicows.dll
C:\WINDOWS\Downloaded Program Files\CONFLICT.1\ImageUploader5.ocx

O16 -: {BA162249-F2C5-4851-8ADC-FC58CB424243} - hxxp://static.pe.studivz.net/photouploader/ImageUploader5.cab?nocache=1211735906
C:\WINDOWS\Downloaded Program Files\ImageUploader5.inf
C:\WINDOWS\system32\unicows.dll
C:\WINDOWS\Downloaded Program Files\ImageUploader5.ocx
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-13 17:10:27
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-09-13 17:11:14
ComboFix-quarantined-files.txt 2008-09-13 15:11:10
ComboFix2.txt 2008-09-12 11:48:11
ComboFix3.txt 2008-09-12 11:25:47

Pre-Run: 4,524,929,024 Bytes frei
Post-Run: 4,534,722,560 Bytes frei

160

#12 Gehe bitte mit Hilfe von Regedit nach
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\

und loesche dort (nur!)den "Unterschluessel"
{1b4aac69-6ce0-11dc-a1e3-001377361b24}

Danach neu starten und aktualisiere via www.windowsupdate.com dein Windows. Installiere alle wichtigen Updates. Wiederhole das so oft, bis dir keine mehr angeboten werden.
__________
MfG Ralf
SEO-Spam Hunter

#13 Hallo...
leider hab ich mir auch dieses fiese Teil eingefangen.

Ich hoffe, ich habe alles richtig gemacht

Hier meine Files

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:01:57, on 23.09.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTSERV.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\ATKKBService.exe
C:\Programme\Bonjour\mDNSResponder.exe
F:\eBoostr\EBstrSvc.exe
F:\Logitech\Easy Synchronization\servicestub.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
F:\Logitech\Easy Synchronization\LogitechEasySync.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
F:\Logitech\iTouch\iTouch.exe
C:\WINDOWS\Logi_MwX.Exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
F:\Logitech\Easy Synchronization\LogitechEasySync.exe
F:\Logitech\SetPoint\LBTWiz.exe
F:\iTunes\iTunesHelper.exe
F:\NoPopUp.exe
D:\Programme\Taskbar Shuffle\taskbarshuffle.exe
F:\Visual Task\VisualTaskTips\VisualTaskTips.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
F:\eBoostr\eBoostrCP.exe
F:\Logitech\SetPoint\SetPoint.exe
C:\Programme\iPod\bin\iPodService.exe
C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
C:\Programme\Sony Ericsson\Mobile\Mobile Phone Monitor\epmworker.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Programme\Outlook Express\msimn.exe"
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Idea2 SidebarBrowserMonitor Class - {45AD732C-2CE2-4666-B366-B2214AD57A49} - F:\Sidebar\sbhelp.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WinampAgent] F:\Winamp5\winampa.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [zBrowser Launcher] F:\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Easy Synchronization] F:\Logitech\Easy Synchronization\LogitechEasySync.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "F:\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NoPopUp] F:\NoPopUp.exe /autorun
O4 - HKCU\..\Run: [Taskbar Shuffle] D:\Programme\Taskbar Shuffle\taskbarshuffle.exe
O4 - HKCU\..\Run: [VisualTaskTips] F:\Visual Task\VisualTaskTips\VisualTaskTips.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Programme\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: eBoostr Control Panel.lnk = F:\eBoostr\eBoostrCP.exe
O4 - Global Startup: Logitech SetPoint.lnk = F:\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - F:\Sidebar\sbhelp.dll
O9 - Extra 'Tools' menuitem: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - F:\Sidebar\sbhelp.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/pr02/resources/MSNPUpld.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: eBoostr Service (EBOOSTRSVC) - eBoostr.com - F:\eBoostr\EBstrSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTSERV.EXE
O23 - Service: Logitech Easy Synchronization - Unknown owner - F:\Logitech\Easy Synchronization\servicestub.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

--
End of file - 11493 bytes


ComboFix 08-09-22.02 - Heiko 2008-09-23 17:50:15.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.254 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Heiko\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: C:\Dokumente und Einstellungen\Heiko\Desktop\WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

F:\freeundelete.PIF
L:\Autorun.inf

.
((((((((((((((((((((((( Dateien erstellt von 2008-08-23 bis 2008-09-23 ))))))))))))))))))))))))))))))
.

2008-09-23 17:01 . 2008-09-23 17:01 2,928,600 --a------ C:\Programme\ccsetup211.exe
2008-09-23 16:59 . 2008-09-23 16:59 2,854,922 --a------ C:\Programme\ComboFix.exe
2008-09-22 20:40 . 2008-09-22 20:40 <DIR> d-------- C:\Dokumente und Einstellungen\Heiko\Anwendungsdaten\Malwarebytes
2008-09-22 20:40 . 2008-09-22 20:40 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-09-22 20:40 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-09-22 20:40 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-09-22 20:39 . 2008-09-22 20:39 2,182,784 --a------ C:\Programme\mbam-setup.exe
2008-09-22 18:11 . 2008-09-23 17:50 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\eboostr
2008-09-22 18:07 . 2008-09-22 18:07 1,073,488 --a------ C:\Programme\eBoostr.exe
2008-09-21 20:55 . 2008-09-21 20:55 0 --ah----- C:\WINDOWS\system32\drivers\Msft_Kernel_ggsemc_01005.Wdf
2008-09-21 20:49 . 2008-09-21 20:49 21,672 --a------ C:\WINDOWS\system32\drivers\ggsemc.sys
2008-09-21 20:49 . 2008-09-21 20:49 13,352 --a------ C:\WINDOWS\system32\drivers\ggflt.sys
2008-09-21 19:52 . 2008-09-21 19:54 <DIR> d-------- C:\Programme\Update Sony
2008-09-18 23:28 . 2008-09-18 23:28 <DIR> d-------- C:\Dokumente und Einstellungen\Heiko\Anwendungsdaten\DivX
2008-09-16 20:56 . 2008-07-23 18:50 129,784 --------- C:\WINDOWS\system32\pxafs.dll
2008-09-02 18:28 . 2008-09-02 18:28 <DIR> d-------- C:\Dokumente und Einstellungen\Heiko\Anwendungsdaten\Zylom
2008-09-02 18:28 . 2008-09-02 18:28 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Zylom
2008-09-02 18:28 . 2008-09-02 18:28 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TERMINAL Studio
2008-09-02 18:27 . 2008-09-02 18:27 <DIR> d-------- C:\Programme\Zylom Games
2008-08-25 19:59 . 2008-08-25 19:59 404,635 --a------ C:\Programme\truetransparency-crystalxp.net-en-5139.zip

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-23 15:18 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-09-23 14:57 --------- d-----w C:\Programme\Mozilla Thunderbird
2008-09-21 18:48 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sony Ericsson
2008-09-19 19:34 --------- d-----w C:\Dokumente und Einstellungen\Heiko\Anwendungsdaten\OpenOffice.org2
2008-09-16 18:14 --------- d-----w C:\Programme\Firefox Setups
2008-09-10 20:21 --------- d-----w C:\Programme\OpenOffice.org 2.4
2008-09-10 20:15 --------- d-----w C:\Programme\Java
2008-09-10 17:00 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-09-02 21:55 --------- d-----w C:\Dokumente und Einstellungen\Heiko\Anwendungsdaten\Skype
2008-09-02 21:54 --------- d-----w C:\Dokumente und Einstellungen\Heiko\Anwendungsdaten\skypePM
2008-09-01 18:47 --------- d-----w C:\Programme\ICQ6
2008-08-27 13:46 --------- d-----w C:\Dokumente und Einstellungen\Heiko\Anwendungsdaten\ICQ
2008-08-21 14:01 --------- d-----w C:\Dokumente und Einstellungen\Kinder\Anwendungsdaten\GUTEN TAG
2008-08-20 18:37 --------- d-----w C:\Programme\Apple Software Update
2008-08-20 18:35 --------- d-----w C:\Programme\iPod
2008-08-17 21:13 --------- d-----w C:\Programme\Skype
2008-08-17 21:13 --------- d-----w C:\Programme\Gemeinsame Dateien\Skype
2008-08-17 21:13 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype
2008-08-17 20:52 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-08-08 12:17 96,376 ----a-w C:\WINDOWS\system32\drivers\EBoost.sys
2008-08-07 13:44 74,014 ----a-w C:\Dokumente und Einstellungen\Heiko\Anwendungsdaten\mdbu.bin
2008-08-07 10:59 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\hps
2008-08-07 10:53 --------- d-----w C:\Programme\SCHLECKER
2008-08-03 20:45 --------- d-----w C:\Programme\Foto.com
2008-07-25 08:36 524,288 ----a-w C:\WINDOWS\system32\DivXsm.exe
2008-07-23 18:36 --------- d-----w C:\Programme\QuickTime
2008-07-23 18:28 --------- d-----w C:\Programme\Safari
2008-07-23 16:50 43,528 ------w C:\WINDOWS\system32\drivers\PxHelp20.sys
2008-07-23 16:50 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll
2008-07-23 16:50 120,056 ------w C:\WINDOWS\system32\pxcpyi64.exe
2008-07-23 16:50 118,520 ------w C:\WINDOWS\system32\pxinsi64.exe
2008-07-23 16:48 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
2008-07-23 16:48 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
2008-07-23 16:46 12,288 ----a-w C:\WINDOWS\system32\DivXWMPExtType.dll
2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll
2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll
2008-07-18 20:07 270,880 ----a-w C:\WINDOWS\system32\mucltui.dll
2008-07-18 20:07 210,976 ----a-w C:\WINDOWS\system32\muweb.dll
2008-07-07 20:26 253,952 ----a-w C:\WINDOWS\system32\es.dll
2008-06-24 16:42 74,240 ----a-w C:\WINDOWS\system32\mscms.dll
2008-06-24 16:12 295,936 ------w C:\WINDOWS\system32\wmpeffects.dll
2008-06-23 16:14 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2007-05-07 16:18 1,325,557 ----a-w C:\Programme\fz306.exe
2008-04-30 19:10 32,768 --sha-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008043020080501\index.dat
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]
"NoPopUp"="F:\NoPopUp.exe" [2007-03-05 236544]
"Taskbar Shuffle"="D:\Programme\Taskbar Shuffle\taskbarshuffle.exe" [2006-09-13 799744]
"VisualTaskTips"="F:\Visual Task\VisualTaskTips\VisualTaskTips.exe" [2007-09-05 36352]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2008-04-14 1695232]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2006-06-01 7618560]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-18 266497]
"WinampAgent"="F:\Winamp5\winampa.exe" [2006-06-21 35328]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"zBrowser Launcher"="F:\Logitech\iTouch\iTouch.exe" [2004-03-18 892928]
"Sony Ericsson PC Suite"="C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2006-11-24 487424]
"GrooveMonitor"="C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" [2007-08-24 33648]
"Easy Synchronization"="F:\Logitech\Easy Synchronization\LogitechEasySync.exe" [2005-10-05 53248]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"AppleSyncNotifier"="C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2008-07-10 116040]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-05-27 413696]
"iTunesHelper"="F:\iTunes\iTunesHelper.exe" [2008-07-30 289064]
"NvMediaCenter"="NvMCTray.dll" [2006-06-01 C:\WINDOWS\system32\nvmctray.dll]
"AGRSMMSG"="AGRSMMSG.exe" [2005-03-04 C:\WINDOWS\AGRSMMSG.exe]
"Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAudPropShortcut.exe" [2004-03-17 C:\WINDOWS\system32\Hdaudpropshortcut.exe]
"nwiz"="nwiz.exe" [2006-06-01 C:\WINDOWS\system32\nwiz.exe]
"Logitech Utility"="Logi_MwX.Exe" [2003-12-17 C:\WINDOWS\LOGI_MWX.EXE]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2008-02-29 C:\WINDOWS\KHALMNPR.Exe]
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2008-02-29 C:\WINDOWS\KHALMNPR.Exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2008-04-14 15360]
"DWQueuedReporting"="C:\PROGRA~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe" [2007-08-24 437160]

C:\Dokumente und Einstellungen\Heiko\Startmen�\Programme\Autostart\
OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk - C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE [2007-12-07 101440]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{FE24CD78-7C63-465D-8787-4EDF7FC79895}"= "F:\Logitech\Easy Synchronization\shellexecutehook.dll" [2005-10-05 69632]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
2008-05-02 02:42 72208 c:\Programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTWLgn.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"F:\\Programme\\BearShare\\BearShare.exe"=
"C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"C:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"C:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"D:\\Programme\\eMule\\emule.exe"=
"F:\\FritzX\\Fritzx.exe"=
"F:\\FaxGenie.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"F:\\Zattoo\\Zattoo1.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"C:\\Programme\\MSN Messenger\\livecall.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"F:\\iTunes\\iTunes.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
"F:\\Update Service\\Update Service.exe"=

R0 eBoost;eBoostr caching filter driver;C:\WINDOWS\system32\drivers\eBoost.sys [2008-08-08 96376]
R2 EBOOSTRSVC;eBoostr Service;F:\eBoostr\EBstrSvc.exe [2008-08-08 843384]
R2 LogWatch;Ereignisprotokoll-Überwachung;C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe [2002-09-20 53248]
R3 AVMWAN;AVM NDIS WAN CAPI-Treiber;C:\WINDOWS\system32\DRIVERS\avmwan.sys [2001-08-17 37568]
R3 cmudax;C-Media High Definition Audio Interface;C:\WINDOWS\system32\drivers\cmudax.sys [2004-10-01 1272000]
R3 fpcibase;AVM ISDN-Controller FRITZ!Card PCI;C:\WINDOWS\system32\DRIVERS\fpcibase.sys [2001-08-17 444416]
S3 CA_LIC_CLNT;CA-Lizenz-Client;C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe [2002-09-20 77824]
S3 CA_LIC_SRVR;CA-Lizenzserver;C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe [2002-09-20 77824]
S3 ggflt;SEMC USB Flash Driver Filter;C:\WINDOWS\system32\DRIVERS\ggflt.sys [2008-09-21 13352]
S3 WRSWanDD;iVasion PoET Adapter;C:\WINDOWS\system32\DRIVERS\WrKPoETNic2000.sys [2002-08-26 72852]

*Newly Created Service* - PROCEXP90
.
Inhalt des "geplante Tasks" Ordners
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-Cmaudio - cmicnfg.cpl
HKLM-Run-Bluetooth Connection Assistant - LBTWIZ.EXE


.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Heiko\Anwendungsdaten\Mozilla\Firefox\Profiles\nty3zm8t.default\
FF -: plugin - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll
FF -: plugin - C:\Programme\Mozilla Firefox\plugins\npzylomgamesplayer.dll
FF -: plugin - F:\DivX\DivX Player\npDivxPlayerPlugin.dll
FF -: plugin - F:\DivX\DivX Web Player\npdivx32.dll
FF -: plugin - F:\iTunes\Mozilla Plugins\npitunes.dll
FF -: plugin - F:\VLC Media Player\VLC\npvlc.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-23 17:52:33
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-09-23 17:53:30
ComboFix-quarantined-files.txt 2008-09-23 15:53:23

Vor Suchlauf: 1.122.582.528 Bytes frei
Nach Suchlauf: 5,423,308,800 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn

200 --- E O F --- 2008-09-19 16:05:09

Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1194
Windows 5.1.2600 Service Pack 3

23.09.2008 18:14:11
mbam-log-2008-09-23 (18-14-11).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 53533
Laufzeit: 4 minute(s), 8 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


Muss ich sonst noch was tun?

Vielen Dank und liebe Grüße

Heiko

#14 Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

Zitat

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe (file missing)

klicke: Fix checked
Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst

Es werden zwei Virenscanner benutzt,eins zuviel
__________
MfG Argus

#15 Hallo.. danke

hab ich erledigt.

zwei Virenscanner?

nutze nur AntiVir

meine ich jedenfalls.

Gruß
Heiko