Was Ist Da Schon Wieder Los?

#1 Sabina!! Pinguin!! Es hat mich mal wieder erwischt.
Irgend etwas auf meinem Rechner macht lastet CPU
fast voll aus (manchmal), versucht an meine Bankdaten
zu kommen (ich bekomme die Aufforderung, TANs anzugeben,
und zwar mit hochoffiziellem Aussehen ín einem Frame meiner
Bank).

Ich trau meiner Kiste nicht mehr, aber Euch ;-)

Ach ja, meine Files (und DANKE!!!):

Logfile of HijackThis v1.99.0
Scan saved at 21:03:50, on 12.09.2008
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
F:\Entwuerfe\xampp\xampp\apache\bin\Apache.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\hidserv.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpm.exe
C:\mysql\bin\mysqld-nt.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\Explorer.EXE
F:\Entwuerfe\xampp\xampp\apache\bin\Apache.exe
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\QuickTime\qttask.exe
C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\WINNT\system32\internat.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\Microsoft Office\Office\FINDFAST.EXE
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\Programme\WinZip\WZQKPICK.EXE
C:\mysql\bin\winmysqladmin.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\WINNT\system32\wuauclt.exe
D:\iPod\bin\iPodService.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\jaywood\Lokale Einstellungen\Temp\HijackThis.exe
C:\WINNT\system32\NOTEPAD.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.jaywoods.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online
O2 - BHO: mscorews - {00009E9F-DDD7-AA59-AA7D-AA4B7D6BE000} - C:\WINNT\system32\mscorews.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: WinMySQLadmin.lnk = C:\mysql\bin\winmysqladmin.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O23 - Service: AntiVir PersonalEdition Classic Planer - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apache2 - Apache Software Foundation - F:\Entwuerfe\xampp\xampp\apache\bin\Apache.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: InstallDriver Table Manager - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper - Unknown - C:\Programme\Ahead\InCD\InCDsrv.exe (file missing)
O23 - Service: iPod-Dienst - Apple Inc. - D:\iPod\bin\iPodService.exe
O23 - Service: KAV Monitor Service - Kaspersky Labs. - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpm.exe
O23 - Service: MySql - Unknown - C:/mysql/bin/mysqld-nt.exe
O23 - Service: Leadtek Driver Helper Service - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
O23 - Service: Sophos Anti-Virus Network - Sophos Plc - C:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe

#2 Hallo JayWood,

bitte einmal die Dinge aus Punkt 1-4 nachreichen/abarbeiten...
http://board.protecus.de/t23188.htm
__________
MfG Ralf
SEO-Spam Hunter

#3 Danke Ralf,

ich habe versucht, alles abzuarbeiten.
Here are the results ;-)

Reinigungslog von Malwarebytes
Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1156
Windows 5.0.2195 Service Pack 4

16.09.2008 20:14:25
mbam-log-2008-09-16 (20-14-21).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|)
Durchsuchte Objekte: 112987
Laufzeit: 1 hour(s), 2 minute(s), 56 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{00009e9f-ddd7-aa59-aa7d-aa4b7d6be000} (Spyware.Passwords) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{00009e9f-ddd7-aa59-aa7d-aa4b7d6be000} (Spyware.Passwords) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINNT\system32\mscorews.dll (Spyware.Passwords) -> No action taken.
C:\WINNT\system32\msratnit.dll (Trojan.Agent) -> No action taken.
C:\WINNT\system32\comsatac.dll (Trojan.Agent) -> No action taken.
C:\WINNT\system32\qviexio3.dat (Malware.Trace) -> No action taken.


Combofix-Report

ComboFix 08-09-15.02 - jaywood 16.09.2008 20:31:30.2 - NTFSx86
Microsoft Windows 2000 Professional 5.0.2195.4.1252.1.1031.18.277 [GMT 2:00]
ausgeführt von:: D:\downloads\programme\virentools\ComboFix.exe

[color=red]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/color]
.

((((((((((((((((((((((( Dateien erstellt von 2008-08-16 bis 2008-09-16 ))))))))))))))))))))))))))))))
.

2008-09-16 20:25 . 08-09-16 20:25 16,384 --a----t- C:\WINNT\system32\Perflib_Perfdata_388.dat
2008-09-15 20:54 . 08-09-15 20:54 <DIR> d-------- C:\Dokumente und Einstellungen\jaywood\Anwendungsdaten\Malwarebytes
2008-09-15 20:53 . 08-09-15 20:54 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-09-15 20:53 . 08-09-15 20:53 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINNT\Anwendungsdaten\Malwarebytes
2008-09-15 20:53 . 08-09-10 00:04 38,528 --a------ C:\WINNT\system32\drivers\mbamswissarmy.sys
2008-09-15 20:53 . 08-09-10 00:03 17,200 --a------ C:\WINNT\system32\drivers\mbam.sys
2008-09-15 20:41 . 08-09-15 20:41 <DIR> d-------- C:\Programme\Symantec
2008-09-15 20:24 . 08-09-15 20:24 <DIR> d-------- C:\Programme\CCleaner
2008-09-15 19:43 . 08-09-15 19:43 0 -ra------ C:\WINNT\system32\TFTP872
2008-09-15 19:02 . 08-09-15 19:02 16,384 --a----t- C:\WINNT\system32\Perflib_Perfdata_a88.dat
2008-09-12 20:45 . 08-09-12 20:45 0 -ra------ C:\WINNT\system32\TFTP2348
2008-09-12 20:08 . 08-09-12 20:08 <DIR> d-------- C:\Programme\TeaTimer (Spybot - Search & Destroy)
2008-09-10 18:29 . 08-09-12 11:54 80 --a------ C:\WINNT\system32\i
2008-09-10 17:58 . 08-09-10 17:58 0 -ra------ C:\WINNT\system32\TFTP572
2008-09-09 21:05 . 08-09-09 21:05 4,608 -ra------ C:\WINNT\system32\TFTP2256
2008-09-08 15:25 . 08-09-08 15:30 <DIR> d--h----- C:\WINNT\msdownld.tmp
2008-09-08 15:23 . 08-09-08 15:25 <DIR> d-------- C:\WINNT\Windows Update Setup Files
2008-09-08 15:17 . 08-09-08 15:17 0 -ra------ C:\WINNT\system32\TFTP1004
2008-09-08 14:40 . 08-09-08 14:40 16,384 --a----t- C:\WINNT\system32\Perflib_Perfdata_310.dat
2008-09-08 14:35 . 03-06-19 12:05 147,216 --a------ C:\WINNT\system32\dssenh.dll
2008-09-08 14:35 . 03-06-19 12:05 134,928 --a------ C:\WINNT\system32\rsaenh.dll
2008-09-08 14:35 . 03-06-19 12:05 57,296 --a------ C:\WINNT\system32\drivers\irda.sys
2008-09-08 14:35 . 03-06-19 12:05 30,720 --a------ C:\WINNT\system32\msxmlr.dll
2008-09-08 14:35 . 03-06-19 12:05 13,072 --a------ C:\WINNT\system32\spiisupd.exe
2008-09-08 14:33 . 03-06-19 12:05 2,531,088 --a------ C:\WINNT\system32\cdosys.dll
2008-09-08 14:32 . 03-06-19 12:05 39,936 --a--c--- C:\WINNT\system32\dllcache\msisip.dll
2008-09-08 12:53 . 03-06-19 12:05 12,592 --a------ C:\WINNT\system32\drivers\usbscan.sys
2008-09-07 17:12 . 98-05-05 10:30 36,352 --a--c--- C:\WINNT\system32\dllcache\xilinxit.dll
2008-09-07 17:10 . 01-05-08 14:00 8,929,280 --a--c--- C:\WINNT\system32\dllcache\hwxjpn.dll
2008-09-07 17:09 . 01-05-08 14:00 32,528 --a--c--- C:\WINNT\system32\dllcache\admwprox.dll
2008-09-07 17:07 . 99-12-08 01:04 258,320 --a------ C:\WINNT\system32\msh263.drv
2008-09-07 17:07 . 99-12-08 01:04 10,000 --a------ C:\WINNT\system32\ksvpintf.ax
2008-09-07 17:07 . 99-12-08 01:04 10,000 --a--c--- C:\WINNT\system32\dllcache\ksvpintf.ax
2008-09-07 17:07 . 99-12-08 01:04 7,952 --a------ C:\WINNT\system32\ksinterf.ax
2008-09-07 17:07 . 99-12-08 01:04 7,952 --a--c--- C:\WINNT\system32\dllcache\ksinterf.ax
2008-09-07 17:07 . 99-12-08 01:04 7,440 --a------ C:\WINNT\system32\ksclockf.ax
2008-09-07 17:07 . 99-12-08 01:04 7,440 --a--c--- C:\WINNT\system32\dllcache\ksclockf.ax
2008-09-07 17:07 . 99-12-08 01:04 6,928 --a------ C:\WINNT\system32\ksdata.ax
2008-09-07 17:07 . 99-12-08 01:04 6,928 --a--c--- C:\WINNT\system32\dllcache\ksdata.ax
2008-09-07 17:06 . 03-06-19 12:05 579,344 --a------ C:\WINNT\system32\hypertrm.dll
2008-09-07 17:06 . 03-06-19 12:05 322,320 --a------ C:\WINNT\system32\MSPAINT.EXE
2008-09-07 17:06 . 03-06-19 12:05 63,248 --a------ C:\WINNT\system32\oiui400.dll
2008-09-07 17:02 . 99-09-24 19:17 18,704 --a------ C:\WINNT\system32\drivers\RTL8139.sys
2008-09-07 17:00 . 08-09-07 17:00 304,808 --a------ C:\WINNT\system32\PerfStringBackup_005.INI
2008-09-07 17:00 . 08-09-07 17:00 304,808 --a------ C:\WINNT\system32\PerfStringBackup_004.INI
2008-09-07 16:59 . 01-05-08 14:00 1,521,913 -ra------ C:\WINNT\SET74.tmp
2008-09-07 16:59 . 01-05-08 14:00 150,528 --a------ C:\WINNT\system32\spxcoins.dll
2008-09-07 16:59 . 01-05-08 14:00 150,528 --a--c--- C:\WINNT\system32\dllcache\spxcoins.dll
2008-09-07 16:59 . 01-05-08 14:00 13,785 -ra------ C:\WINNT\SET38.tmp
2008-08-22 09:48 . 08-08-22 09:48 16,384 --a----t- C:\WINNT\system32\Perflib_Perfdata_848.dat
2008-08-18 20:25 . 08-08-18 20:25 16,384 --a----t- C:\WINNT\system32\Perflib_Perfdata_844.dat

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-16 17:03 --------- d---a-w C:\Dokumente und Einstellungen\All Users.WINNT\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-09-15 18:41 --------- d---a-w C:\Programme\Gemeinsame Dateien\Symantec Shared
2008-09-15 18:33 --------- d---a-w C:\Dokumente und Einstellungen\All Users.WINNT\Anwendungsdaten\Spybot - Search & Destroy
2008-09-12 18:22 --------- d---a-w C:\Programme\Spybot - Search & Destroy
2008-09-07 15:08 271 ---h--w C:\Programme\desktop.ini
2008-09-07 15:08 22,080 ---h--w C:\Programme\folder.htt
2008-09-07 15:08 155,995 ----a-w C:\WINNT\java\Packages\QMAK2075.ZIP
2008-09-07 15:08 --------- d---a-w C:\Programme\Gemeinsame Dateien\Dienste
2008-08-12 22:14 532,480 ----a-w C:\WINNT\system32\imagx5.dll
2008-08-12 22:14 507,960 ----a-w C:\WINNT\Unnero.exe
2008-08-12 22:14 507,904 ----a-w C:\WINNT\system32\imagr5.dll
2008-08-12 22:14 44,227 ----a-w C:\WINNT\system32\drivers\NeroCd2k.sys
2008-08-12 22:14 36,864 ----a-w C:\WINNT\system32\MultiSZ.dll
2008-08-12 22:14 35,328 ----a-w C:\WINNT\system32\picn20.dll
2008-08-12 22:14 275,312 ----a-w C:\WINNT\system32\ImagXpr5.dll
2008-08-12 22:14 106,496 ----a-w C:\WINNT\system32\TwnLib20.dll
2008-08-12 22:14 --------- d---a-w C:\Programme\Ahead
2008-08-03 11:21 --------- d---a-w C:\Programme\Common Files
2008-07-18 20:10 94,920 ----a-w C:\WINNT\system32\cdm.dll
2008-07-18 20:10 53,448 ----a-w C:\WINNT\system32\wuauclt.exe
2008-07-18 20:10 45,768 ----a-w C:\WINNT\system32\wups2.dll
2008-07-18 20:10 36,552 ----a-w C:\WINNT\system32\wups.dll
2008-07-18 20:09 563,912 ----a-w C:\WINNT\system32\wuapi.dll
2008-07-18 20:09 325,832 ----a-w C:\WINNT\system32\wucltui.dll
2008-07-18 20:09 205,000 ----a-w C:\WINNT\system32\wuweb.dll
2008-07-18 20:09 1,811,656 ----a-w C:\WINNT\system32\wuaueng.dll
2005-02-26 13:28 0 -c-ha-w C:\Dokumente und Einstellungen\Jörg\hpothb07.dat
2005-02-26 13:28 0 -c-ha-w C:\Dokumente und Einstellungen\Jörg\hpothb07.dat
2001-05-08 12:00 32,528 ----a-w C:\WINNT\inf\wbfirdma.sys
2005-02-14 19:06 32 -csha-w C:\WINNT\{374F79FD-DD79-4C8A-86F2-5465ECC5A130}.dat
2005-02-14 19:20 32 -csha-w C:\WINNT\{B5AE4C63-A881-4231-88AD-62B9B506E603}.dat
2005-02-14 19:10 32 -csha-w C:\WINNT\{B7F36554-22CF-4073-8537-B5CCC272580E}.dat
2005-02-14 19:10 32 -csha-w C:\WINNT\system32\{3768DF7A-1E79-4DCE-AD7E-E0B6F6D56F5A}.dat
2005-02-14 19:20 32 -csha-w C:\WINNT\system32\{9F57EC8D-06BE-4D09-8101-E7033BD9A94A}.dat
2005-02-14 19:06 32 -csha-w C:\WINNT\system32\{F870DF35-8D1E-41AE-B7EB-2835264C2BE5}.dat
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [08-08-18 18:41 1832272]
"internat.exe"="internat.exe" [01-05-08 14:00 20752 C:\WINNT\system32\internat.exe]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="NvQTwk" [X]
"T-DSL SpeedMgr"="C:\Programme\T-DSL SpeedManager\SpeedMgr.exe" [04-07-14 17:01 397312]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [08-07-19 14:21 266497]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [07-02-16 10:54 282624]
"HPDJ Taskbar Utility"="C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb04.exe" [01-11-15 19:00 196608]
"Synchronization Manager"="mobsync.exe" [03-06-19 12:05 112400 C:\WINNT\system32\mobsync.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"internat.exe"="internat.exe" [01-05-08 14:00 20752 C:\WINNT\system32\internat.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"^SetupICWDesktop"="C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe" [03-06-19 12:05 189712]

C:\Dokumente und Einstellungen\jaywood\Startmen�\Programme\Autostart\
WinMySQLadmin.lnk - C:\mysql\bin\winmysqladmin.exe [2004-05-16 936448]

C:\Dokumente und Einstellungen\All Users.WINNT\Startmen�\Programme\Autostart\
Acrobat Assistant.lnk - C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe [2003-05-06 49254]
Adobe Gamma Loader.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2003-05-06 98304]
Microsoft-Indexerstellung.lnk - C:\Programme\Microsoft Office\Office\FINDFAST.EXE [1997-10-18 111376]
Office-Start.lnk - C:\Programme\Microsoft Office\Office\OSA.EXE [1997-10-18 51984]
WinZip Quick Pick.lnk - C:\Programme\WinZip\WZQKPICK.EXE [2003-05-06 106560]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"= mmdrv.dll
"msacm.divxa32"= DivXa32.acm
"msacm.l3acm"= l3codecp.acm
"VIDC.WOX"= vct3216.dll
"VIDC.3IV2"= 3ivxVfWCodec.dll
"VIDC.AP41"= APmpg4v1.dll
"VIDC.div3"= DivXc32.dll
"VIDC.div4"= DivXc32f.dll
"VIDC.HFYU"= huffyuv.dll
"VIDC.MJPG"= M3JPEG32.DLL
"msacm.i263"= i263_32.drv
"vidc.OGG"= oggDS.dll

R0 avgntmgr;avgntmgr;C:\WINNT\system32\DRIVERS\avgntmgr.sys [08-04-26 16:29 18496]
R1 avgntdd;avgntdd;C:\WINNT\system32\DRIVERS\avgntdd.sys [08-07-19 14:21 64448]
R2 KAVMonitorService;KAV Monitor Service;C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpm.exe [03-11-04 12:43 622750]
R2 SweepNet;Sophos Anti-Virus Network;C:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE [05-01-13 13:36 159744]
R3 NeroCd2k;NeroCd2k;C:\WINNT\system32\drivers\NeroCd2k.sys [08-08-13 00:14 44227]
R3 TDSLAdapter;T-DSL-Adapter (T-Online);C:\WINNT\system32\DRIVERS\TDSLAdap.sys [00-11-08 02:29 47616]
R3 WFsys;WinFox Control I/O Driver;C:\WINNT\system32\DRIVERS\wfsys.sys [01-10-25 14:19 11260]
S1 sglfb;sglfb;C:\WINNT\system32\drivers\sglfb.sys [01-05-08 14:00 6992]
S3 TNPacket;T-Systems Nova Packet Capture Driver;C:\Programme\T-DSL SpeedManager\TNPACKET.SYS [04-03-11 18:44 9696]

*Newly Created Service* - CATCHME
*Newly Created Service* - PROCEXP90
.
Inhalt des "geplante Tasks" Ordners
.
.
------- Zusätzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\jaywood\Anwendungsdaten\Mozilla\Firefox\Profiles\l37ckw0j.default\
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-16 20:32:41
Windows 5.0.2195 Service Pack 4 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet004\Services\MySql]
"ImagePath"="C:/mysql/bin/mysqld-nt.exe"

[HKEY_LOCAL_MACHINE\system\ControlSet004\Services\MySql]
"ImagePath"="C:/mysql/bin/mysqld-nt.exe"
.
Zeit der Fertigstellung: 2008-09-16 20:33:27
ComboFix-quarantined-files.txt 2008-09-16 18:33:22
ComboFix2.txt 2008-09-16 18:28:02

Pre-Run: 954,347,520 Bytes frei
Post-Run: 951,074,816 Bytes frei

176 --- E O F --- 2008-08-03 11:22:04


HJT-log

Logfile of HijackThis v1.99.0
Scan saved at 20:58:37, on 16.09.2008
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
F:\Entwuerfe\xampp\xampp\apache\bin\Apache.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\hidserv.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpm.exe
C:\mysql\bin\mysqld-nt.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
F:\Entwuerfe\xampp\xampp\apache\bin\Apache.exe
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\QuickTime\qttask.exe
C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\WINNT\system32\internat.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\Microsoft Office\Office\FINDFAST.EXE
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\Programme\WinZip\WZQKPICK.EXE
C:\mysql\bin\winmysqladmin.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\WINNT\system32\wuauclt.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINNT\explorer.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
D:\downloads\programme\virentools\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.jaywoods.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=proxy.btx.dtag.de:80;ftp=ftp-proxy.btx.dtag.de:80
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: WinMySQLadmin.lnk = C:\mysql\bin\winmysqladmin.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O23 - Service: AntiVir PersonalEdition Classic Planer - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apache2 - Apache Software Foundation - F:\Entwuerfe\xampp\xampp\apache\bin\Apache.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: InstallDriver Table Manager - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper - Unknown - C:\Programme\Ahead\InCD\InCDsrv.exe (file missing)
O23 - Service: iPod-Dienst - Apple Inc. - D:\iPod\bin\iPodService.exe
O23 - Service: KAV Monitor Service - Kaspersky Labs. - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpm.exe
O23 - Service: MySql - Unknown - C:/mysql/bin/mysqld-nt.exe
O23 - Service: Leadtek Driver Helper Service - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
O23 - Service: Sophos Anti-Virus Network - Sophos Plc - C:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe


Ich hoffe. ich war erfolgreich …



Nachtrag:

Die CPU-Ausnutzung hängt laut Taskmanager
mit der svchost.exe zusammen, die wohl für
die Dienste auf dem Rechner zuständig ist.
Bin aber halt nur ein Laie und hab es auch
nur gelesen …

#4 Das koann mehrere Probleme haben. Einmal, das du min. Teile von 3 AV Programmen auf deinem Rechner hast(KAV, Sophos, Antivir), 2. das dein Win2000 System nicht wirklich gut abgesichert ist. Sprich der Rechner scheint nicht hinter einem Router o.ae zu stehen und Win2000 ist in den Standardeinstellungen nicht gut nach aussen(zum Internet) abgesichert. Das sieht man u.a. daran, das von aussen versucht wird ueber einen Dienst dir Dateien unterzuschieben, die dann ausgefuehrt werden. Das sind diese TFTP* Dateien.

Siehe dazu auch http://www.dingens.org/ oder http://www.ntsvcfg.de/
__________
MfG Ralf
SEO-Spam Hunter