TR/Vundo.flg.9 hat meinen PC befallen!

#1 der Trojaner hat mein System befallen. Antivir kann ihn aufspüren aber nicht löschen weil geschützt. Er sitzt in meine C\Users....\AppData\local\Temp und befällt verschiedene Systemdateien. Einmal TR/Vundo.flg.9 und einmal TR/Vundo.flg.9, jeweils eine andere Datei. habe mir ein TrojanerEntfernProgramm namens SpywareFIGHTER runtergeladen welches die Dateien anscheinend löschen konnte. Jedoch hab ich das Gefühl er erstellt sich immer wieder neu.
habe mir jetzt hijackthis runtergeladen und den Scan durchgeführt.
werde wie folgt vorgehen und erbitte Anweisungen!

1.Erstellen eines Hijackthis-Logfiles
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"

2.
Folgen den Anweisungen unter
http://virus-protect.org/cleanup.html
und stelle den CleanUp genauso ein, wie dort angegeben, dann den Rechner neustarten (so werden die temporaeren Dateien geloescht)

3.
combofix anwenden, auch die Datentraegerbereinigung durchfuehren lassen + den Scanreport abkopieren und im Beitrag posten
http://virus-protect.org/artikel/tools/combofix.html

4.
Logfiles mittels datfind.bat erstellen und posten (abkopieren)
Exakte Anleitung unter: http://virus-protect.org/datfindbat.html
Kopiere diese 6 erstellten Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet.
(kopiere je Logfile nur die letzten 3 Monate ab !)


wenn der Platz im Thread nicht ausreicht, speichere als txt-Datei und poste es als Anhang.
Diese Funktion findet man unten. (Datei: ....... Durchsuchen)
__________
MfG Sabina

Hier die Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:12:34, on 16.09.2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\SigmaTel\C-Major Audio\WDM\sttray.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\SPYWAREfighter\spftray.exe
C:\Windows\ehome\ehtray.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\rundll32.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\SPYWAREfighter\SPYWAREfighter.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer bereitgestellt von Dell
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - c:\Program Files\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: Browser Address Error Redirector - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Program Files\BAE\BAE.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SigmatelSysTrayApp] %ProgramFiles%\SigmaTel\C-Major Audio\WDM\sttray.exe
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NVHotkey] rundll32.exe C:\Windows\system32\nvHotkey.dll,Start
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [spywarefighterguard] C:\Program Files\SPYWAREfighter\spftray.exe
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [MSServer] rundll32.exe C:\Users\Felix\AppData\Local\Temp\vtUMcAPf.dll,#1
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [cmds] rundll32.exe C:\Users\Felix\AppData\Local\Temp\gEWoNgEw.dll,c
O4 - HKCU\..\Run: [d4bd89cc] rundll32.exe "C:\Users\Felix\AppData\Local\Temp\mvnybgfn.dll",b
O4 - HKCU\..\Run: [BMd78eba50] Rundll32.exe "C:\Users\Felix\AppData\Local\Temp\bhhwtejp.dll",s
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Global Startup: VPN Client.lnk = ?
O8 - Extra context menu item: Bild an &Bluetooth-Gerät senden... - c:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Seite an &Bluetooth-Gerät senden... - c:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - c:\Program Files\Java\jre1.6.0\bin\npjpi160.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - c:\Program Files\Java\jre1.6.0\bin\npjpi160.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programs\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programs\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - c:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - c:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O13 - Gopher Prefix:
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Program Files\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: SPYWAREfighterRP - SpamFighter APS - C:\Program Files\SPYWAREfighter\spfprc.exe
O23 - Service: SigmaTel Audio Service (STacSV) - IDT, Inc. - C:\Windows\system32\STacSV.exe
O23 - Service: UPnPService - Magix AG - C:\Program Files\Common Files\MAGIX Shared\UPnPService\UPnPService.exe

--
End of file - 7662 bytes


Ich habe ein Problem mit dem 2 Punkt. Bei CleanUp kann ich das Kästchen Delete Prefetch files nicht anklicken. kann das an Vista liegen? was soll ich tun?

Danke für die schnelle Antwort. ComboFix wurde ausgeführt. hier die Log:

ComboFix 08-09-16.03 - Felix 2008-09-17 9:29:35.1 - NTFSx86
Microsoft® Windows Vista™ Home Premium 6.0.6001.1.1252.1.1031.18.1191 [GMT 2:00]
ausgeführt von:: C:\Users\Felix\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Users\Felix\AppData\Local\Temp\crceqcwn.dll
C:\Users\Felix\AppData\Local\Temp\lmlimiig.dll
C:\Users\Felix\AppData\Local\Temp\xrbvcbjv.dll
C:\Users\Felix\AppData\Roaming\inst.exe
C:\Windows\system32\h@tkeysh@@k.dll

.
((((((((((((((((((((((( Dateien erstellt von 2008-08-17 bis 2008-09-17 ))))))))))))))))))))))))))))))
.

2008-09-17 09:26 . 2008-09-17 09:27 <DIR> d-------- C:\32788R22FWJFW
2008-09-16 17:26 . 2008-09-16 17:26 <DIR> d-------- C:\Program Files\CleanUp!
2008-09-16 17:11 . 2008-09-16 17:11 <DIR> d-------- C:\Program Files\Trend Micro
2008-09-16 16:16 . 2008-09-16 16:22 1,905 --a------ C:\Windows\diagwrn.xml
2008-09-16 16:16 . 2008-09-16 16:22 1,905 --a------ C:\Windows\diagerr.xml
2008-09-15 13:53 . 2008-09-15 13:55 <DIR> d-------- C:\Program Files\SPYWAREfighter
2008-09-15 13:53 . 2008-09-15 13:53 <DIR> d-------- C:\Program Files\Common Files\Application
2008-09-15 13:40 . 2008-09-15 13:40 0 --a------ C:\ARK3EA6.tmp
2008-09-15 12:59 . 2008-09-15 12:59 <DIR> d-------- C:\Users\All Users\Avira
2008-09-15 12:59 . 2008-09-15 12:59 <DIR> d-------- C:\ProgramData\Avira
2008-09-15 12:59 . 2008-09-15 12:59 <DIR> d-------- C:\Program Files\Avira
2008-09-14 16:09 . 2008-09-14 16:09 434 --a------ C:\Windows\wininit.ini
2008-09-14 15:28 . 2008-09-15 12:48 <DIR> d-------- C:\Users\All Users\Spybot - Search & Destroy
2008-09-14 15:28 . 2008-09-15 12:48 <DIR> d-------- C:\ProgramData\Spybot - Search & Destroy
2008-09-14 15:28 . 2008-09-14 15:29 <DIR> d-------- C:\Program Files\Spybot - Search & Destroy
2008-09-12 09:02 . 2008-09-12 09:02 <DIR> d-------- C:\Users\All Users\WinZip
2008-09-12 09:02 . 2008-09-12 09:02 <DIR> d-------- C:\ProgramData\WinZip
2008-09-11 02:37 . 2008-09-11 02:37 <DIR> d-------- C:\Program Files\Intelore
2008-09-10 19:05 . 2008-09-10 19:05 <DIR> d-------- C:\Users\Public\CS maps
2008-09-10 14:37 . 2008-09-10 14:37 219,480 --a------ C:\Users\Felix\AppData\Roaming\mdb.bin
2008-09-10 12:46 . 2008-09-10 12:46 <DIR> d-------- C:\Program Files\Rossmann Fotoservice
2008-09-10 09:06 . 2008-08-02 03:01 625,152 --a------ C:\Windows\System32\drivers\dxgkrnl.sys
2008-09-10 09:06 . 2008-06-26 05:29 565,248 --a------ C:\Windows\System32\emdmgmt.dll
2008-09-10 09:06 . 2008-06-26 05:29 303,616 --a------ C:\Windows\System32\wmpeffects.dll
2008-09-10 09:06 . 2008-05-08 21:21 211,968 --a------ C:\Windows\System32\drivers\mrxsmb10.sys
2008-09-10 09:06 . 2008-05-20 04:07 148,480 --a------ C:\Windows\System32\drivers\nwifi.sys
2008-09-10 09:06 . 2008-06-26 05:29 45,056 --a------ C:\Windows\System32\dataclen.dll
2008-09-10 09:06 . 2008-08-02 05:26 36,864 --a------ C:\Windows\System32\cdd.dll
2008-09-06 12:24 . 2008-09-06 12:24 780,895 ---h----- C:\Windows\System32\~tmp21685.$$$
2008-09-05 15:01 . 2008-09-05 15:11 <DIR> d-------- C:\Program Files\Soldier of Fortune II - Double Helix
2008-09-05 14:58 . 2001-06-19 18:53 266,293 --a------ C:\Windows\System32\temp.001
2008-09-05 14:58 . 2008-09-05 15:04 770 --a------ C:\Windows\Sof2.INI
2008-09-05 14:56 . 2008-09-05 14:56 <DIR> d-------- C:\Program Files\DAEMON Tools Lite
2008-09-04 19:49 . 2008-07-19 07:09 1,811,656 --a------ C:\Windows\System32\wuaueng.dll
2008-09-04 19:49 . 2008-07-19 05:44 1,524,736 --a------ C:\Windows\System32\wucltux.dll
2008-09-04 19:49 . 2008-07-19 07:09 563,912 --a------ C:\Windows\System32\wuapi.dll
2008-09-04 19:49 . 2008-07-19 05:44 83,456 --a------ C:\Windows\System32\wudriver.dll
2008-09-04 19:49 . 2008-07-19 07:10 53,448 --a------ C:\Windows\System32\wuauclt.exe
2008-09-04 19:49 . 2008-07-19 07:10 45,768 --a------ C:\Windows\System32\wups2.dll
2008-09-04 19:49 . 2008-07-19 07:10 36,552 --a------ C:\Windows\System32\wups.dll
2008-09-04 19:48 . 2008-07-18 22:08 163,904 --a------ C:\Windows\System32\wuwebv.dll
2008-09-04 19:48 . 2008-07-18 20:44 31,232 --a------ C:\Windows\System32\wuapp.exe
2008-08-24 16:57 . 2008-08-24 17:00 <DIR> d-------- C:\Program Files\Valve
2008-08-24 13:20 . 2008-08-24 13:20 <DIR> d-------- C:\Users\Felix\AppData\Roaming\DAEMON Tools
2008-08-24 13:20 . 2008-08-24 13:20 717,296 --a------ C:\Windows\System32\drivers\sptd.sys
2008-08-23 13:30 . 2008-08-23 13:39 <DIR> dr------- C:\Users\Public\Counter-Strike Source
2008-08-22 15:56 . 2008-08-22 15:56 <DIR> d-------- C:\Program Files\Command & Conquer Collection

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-15 19:37 --------- d-----w C:\Users\Felix\AppData\Roaming\Skype
2008-09-15 17:44 --------- d-----w C:\Users\Felix\AppData\Roaming\skypePM
2008-09-15 14:43 137,059 ----a-w C:\Users\Felix\AppData\Roaming\nvModes.dat
2008-09-14 14:09 --------- d-----w C:\Users\Felix\AppData\Roaming\RegClean
2008-09-14 14:09 --------- d-----w C:\Program Files\RegClean
2008-09-14 12:36 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-09-11 12:54 --------- d-----w C:\Program Files\iTunes
2008-09-11 12:52 --------- d-----w C:\Program Files\ElcomSoft
2008-09-11 01:02 --------- d-----w C:\ProgramData\Microsoft Help
2008-08-23 11:29 --------- d-----r C:\Program Files\Counter-Strike Source
2008-08-22 13:31 --------- d-----w C:\ProgramData\RapidSolution
2008-08-22 13:29 --------- d-----w C:\ProgramData\Symantec
2008-08-22 13:28 --------- d-----w C:\ProgramData\MAGIX
2008-08-22 13:28 --------- d-----w C:\Program Files\MAGIX
2008-08-22 13:27 --------- d-----w C:\Program Files\ICQToolbar
2008-08-22 13:19 --------- d-----w C:\Program Files\Starcraft
2008-08-22 12:49 69,632 ----a-w C:\Windows\ScUnin.exe
2008-07-30 14:29 --------- d---a-w C:\ProgramData\TEMP
2008-07-25 17:58 --------- d-----w C:\Program Files\WMA-MP3.com
2008-07-25 17:35 --------- d-----w C:\Program Files\K-Lite Codec Pack
2008-07-24 18:12 --------- d-----w C:\Program Files\Mozilla Thunderbird
2008-07-22 20:29 --------- d-----w C:\ProgramData\DVD Shrink
2008-07-22 20:26 --------- d-----w C:\Program Files\DVD Shrink
2008-07-18 10:46 --------- d-----w C:\Program Files\Zattoo
2008-07-16 14:49 56 ---ha-w C:\Users\All Users\ezsidmv.dat
2008-07-16 14:49 56 ---ha-w C:\ProgramData\ezsidmv.dat
2008-07-16 01:32 2,048 ----a-w C:\Windows\System32\tzres.dll
2008-07-07 09:42 174 --sha-w C:\Program Files\desktop.ini
2008-07-07 08:21 82,432 ----a-w C:\Windows\System32\axaltocm.dll
2008-07-07 08:21 101,888 ----a-w C:\Windows\System32\ifxcardm.dll
2008-06-27 04:15 827,392 ----a-w C:\Windows\System32\wininet.dll
2008-06-26 03:29 801,280 ----a-w C:\Windows\System32\NaturalLanguage6.dll
2008-06-26 01:45 2,644,480 ----a-w C:\Windows\System32\NlsLexicons0009.dll
2008-06-26 01:45 12,240,896 ----a-w C:\Windows\System32\NlsLexicons0007.dll
2008-06-19 03:31 361,984 ----a-w C:\Windows\System32\IPSECSVC.DLL
2008-06-18 20:37 2,045,459 ----a-w C:\Windows\System32\x264vfw.dll
2007-12-12 21:24 32 ----a-w C:\Users\All Users\ezsid.dat
2007-12-12 21:24 32 ----a-w C:\ProgramData\ezsid.dat
2007-10-30 19:39 94,208 ----a-w C:\Users\Felix\AppData\Roaming\ezplay.sys
2007-10-30 19:39 47,360 ----a-w C:\Users\Felix\AppData\Roaming\pcouffin.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray.exe"="C:\Windows\ehome\ehTray.exe" [2008-01-19 125952]
"SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2008-08-18 1832272]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2007-05-10 857648]
"SigmatelSysTrayApp"="C:\Program Files\SigmaTel\C-Major Audio\WDM\sttray.exe" [2007-09-07 405504]
"NvSvc"="C:\Windows\system32\nvsvc.dll" [2007-10-04 86016]
"NvCplDaemon"="C:\Windows\system32\NvCpl.dll" [2007-10-04 8497696]
"NvMediaCenter"="C:\Windows\system32\NvMcTray.dll" [2007-10-04 81920]
"NVHotkey"="C:\Windows\system32\nvHotkey.dll" [2007-10-04 86016]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"spywarefighterguard"="C:\Program Files\SPYWAREfighter\spftray.exe" [2008-02-21 115344]

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\
VPN Client.lnk - C:\Windows\Installer\{14FCFE7C-AB86-428A-9D2E-BFB6F5A7AA6E}\Icon3E5562ED7.ico [2008-06-01 6144]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.l3fhg"= mp3fhg.acm
"msacm.divxa32"= divxa32.acm
"VIDC.X264"= x264vfw.dll
"VIDC.HFYU"= huffyuv.dll
"vidc.i263"= i263_32.drv
"VIDC.YV12"= yv12vfw.dll

[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Adobe Reader - Schnellstart.lnk]
path=C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Adobe Reader - Schnellstart.lnk
backup=C:\Windows\pss\Adobe Reader - Schnellstart.lnk.CommonStartup
backupExtension=.CommonStartup

[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^VPN Client.lnk]
path=C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\VPN Client.lnk
backup=C:\Windows\pss\VPN Client.lnk.CommonStartup
backupExtension=.CommonStartup

[HKLM\~\startupfolder\C:^Users^Felix^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Last.fm Helper.lnk]
path=C:\Users\Felix\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Last.fm Helper.lnk
backup=C:\Windows\pss\Last.fm Helper.lnk.Startup
backupExtension=.Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-01-11 22:16 39792 C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
--a------ 2008-08-08 14:11 490952 C:\Program Files\DAEMON Tools Lite\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
--a------ 2007-10-04 21:24 8497696 C:\Windows\System32\nvcpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NVHotkey]
--a------ 2007-10-04 21:24 86016 C:\Windows\System32\nvhotkey.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvSvc]
--a------ 2007-10-04 21:24 86016 C:\Windows\System32\nvsvc.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OEM04Mon.exe]
--a------ 2007-06-11 01:01 36864 C:\Windows\OEM04Mon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
--a------ 2008-06-18 16:31 185632 C:\Program Files\Common Files\Real\Update_OB\realsched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiSpyware]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{292EC226-9DEB-4387-8203-C6AA3957446B}"= UDP:C:\Program Files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote
"{C83F4CC6-FA84-4D11-84AD-496D8BD35DD3}"= TCP:C:\Program Files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote
"{407CAA87-7999-4B59-92D9-29629F070DA3}"= C:\Program Files\Dell\MediaDirect\PowerCinema.exe:CyberLink PowerCinema
"{6F8378D1-D8E1-445F-AF61-7EB07278A17F}"= C:\Program Files\Dell\MediaDirect\PCMService.exe:CyberLink PowerCinema Resident Program
"{A7460A1F-112E-470F-8071-5D1EBC8D4B96}"= C:\Program Files\Dell\MediaDirect\Kernel\DMP\CLBrowserEngine.exe:Cyberlink Media Server Browser Engine
"{77FD0C59-AFE0-4E02-84E3-BE61F7807793}"= C:\Program Files\Dell\MediaDirect\Kernel\DMS\CLMSService.exe:CyberLink Media Server
"{E061C2A6-ECDA-458D-B823-6625795D98CD}"= UDP:C:\Program Files\iTunes\iTunes.exe:iTunes
"{48F8F55E-D1C9-4822-AC69-E78CF4A18162}"= TCP:C:\Program Files\iTunes\iTunes.exe:iTunes
"{F1E095AF-56EF-4256-803F-3BD3E144E01B}"= UDP:C:\Program Files\Winamp Remote\bin\Orb.exe:Orb
"{0D19A044-56B6-4231-9345-517664C6AE6E}"= TCP:C:\Program Files\Winamp Remote\bin\Orb.exe:Orb
"{DA3C4455-E309-44FD-A768-31D6D195A140}"= UDP:C:\Program Files\Winamp Remote\bin\OrbTray.exe:OrbTray
"{C3697FE3-B929-49CE-AE9F-170E50D28306}"= TCP:C:\Program Files\Winamp Remote\bin\OrbTray.exe:OrbTray
"{DBECE197-0D11-4FA7-B73E-126CE6361050}"= UDP:C:\Program Files\Winamp Remote\bin\OrbIR.exe:OrbIR
"{E9447B25-340B-4687-BD7D-AFC46AA61ECD}"= TCP:C:\Program Files\Winamp Remote\bin\OrbIR.exe:OrbIR
"{A0842671-ED21-40E4-A80F-F26C03A647AE}"= UDP:C:\Program Files\Winamp Remote\bin\OrbStreamerClient.exe:Orb Stream Client
"{E1B1F818-57A3-4761-93CF-CDD024821BDA}"= TCP:C:\Program Files\Winamp Remote\bin\OrbStreamerClient.exe:Orb Stream Client
"TCP Query User{ECDA056D-0C8A-4B89-A454-B4DD5D3BD7E0}C:\\program files\\emule.de 0.48a v18\\emule.exe"= UDP:C:\program files\emule.de 0.48a v18\emule.exe:eMule
"UDP Query User{D90F0264-C010-47B1-AD90-CBF118D096A8}C:\\program files\\emule.de 0.48a v18\\emule.exe"= TCP:C:\program files\emule.de 0.48a v18\emule.exe:eMule
"TCP Query User{E3783D58-9B5A-49F4-818C-E9C7133770C6}C:\\program files\\mozilla firefox\\firefox.exe"= UDP:C:\program files\mozilla firefox\firefox.exe:Firefox
"UDP Query User{2E13B389-3275-45B9-8A67-4269049724F9}C:\\program files\\mozilla firefox\\firefox.exe"= TCP:C:\program files\mozilla firefox\firefox.exe:Firefox
"TCP Query User{3254AD4E-43DF-44DD-9C9B-D69A282A195D}C:\\program files\\starcraft\\starcraft.exe"= UDP:C:\program files\starcraft\starcraft.exe:StarCraft
"UDP Query User{A757AA69-8AD5-4FEC-BFBE-E0565887FB35}C:\\program files\\starcraft\\starcraft.exe"= TCP:C:\program files\starcraft\starcraft.exe:StarCraft
"TCP Query User{76434EEF-A524-43ED-BE98-01D4B042E423}C:\\program files\\icq6\\icq.exe"= UDP:C:\program files\icq6\icq.exe:ICQ Library
"UDP Query User{CB81EE91-DC40-4C28-8DE1-A95A62B53643}C:\\program files\\icq6\\icq.exe"= TCP:C:\program files\icq6\icq.exe:ICQ Library
"TCP Query User{89A88F94-C2DE-4989-B7D2-38E4F89F3C2A}C:\\users\\felix\\desktop\\counter-strike source\\hl2.exe"= UDP:C:\users\felix\desktop\counter-strike source\hl2.exe:hl2.exe
"UDP Query User{B7640599-1025-47CB-8DC9-FD42BB049B08}C:\\users\\felix\\desktop\\counter-strike source\\hl2.exe"= TCP:C:\users\felix\desktop\counter-strike source\hl2.exe:hl2.exe
"TCP Query User{E71F8E14-C35F-4571-A15D-C886C868596D}C:\\sierra\\empire earth\\empire earth.exe"= UDP:C:\sierra\empire earth\empire earth.exe:Empire Earth
"UDP Query User{3979FDE2-E5AE-4A61-8AE6-44CBD21CD853}C:\\sierra\\empire earth\\empire earth.exe"= TCP:C:\sierra\empire earth\empire earth.exe:Empire Earth
"TCP Query User{63372F18-8419-4436-96FC-188646BD3B0B}C:\\program files\\icq6\\icq.exe"= UDP:C:\program files\icq6\icq.exe:ICQ Library
"UDP Query User{9791749F-456F-4A70-9C9C-E0AAE6924CD3}C:\\program files\\icq6\\icq.exe"= TCP:C:\program files\icq6\icq.exe:ICQ Library
"TCP Query User{7B4A0241-D05F-4FA6-8C29-271381F6DE81}C:\\program files\\trillian\\trillian.exe"= UDP:C:\program files\trillian\trillian.exe:Trillian
"UDP Query User{01A6D328-A7CA-4751-AF15-673544CB43E7}C:\\program files\\trillian\\trillian.exe"= TCP:C:\program files\trillian\trillian.exe:Trillian
"TCP Query User{E625DD5D-202C-4A3E-A418-AC8E44280E5B}C:\\program files\\trillian\\trillian.exe"= UDP:C:\program files\trillian\trillian.exe:Trillian
"UDP Query User{7D3CA3DB-CEA6-4835-9FA1-1744D6F888F3}C:\\program files\\trillian\\trillian.exe"= TCP:C:\program files\trillian\trillian.exe:Trillian
"{F3523D8B-F57E-401D-9030-F10A81B3465B}"= Disabled:UDP:C:\Program Files\Skype\Phone\Skype.exe:Skype
"{000D4996-B8E8-4E59-928E-2D410B7C46B3}"= Disabled:TCP:C:\Program Files\Skype\Phone\Skype.exe:Skype
"{F769EA87-BF52-4290-85B8-6E1A6D6E10A4}"= Disabled:UDP:C:\Program Files\Skype\Phone\Skype.exe:Skype
"{2A9157E1-C561-4BA5-8489-BC515508BB22}"= TCP:C:\Program Files\Skype\Phone\Skype.exe:Skype
"TCP Query User{C224424F-0410-4386-8184-9E252E816823}C:\\windows\\system32\\java.exe"= UDP:C:\windows\system32\java.exe:Java(TM) Platform SE binary
"UDP Query User{B74F4C25-A479-4AD4-81ED-2382DCB00613}C:\\windows\\system32\\java.exe"= TCP:C:\windows\system32\java.exe:Java(TM) Platform SE binary
"TCP Query User{1FB06422-D2A1-4BB6-A347-A3A5C41FBA9D}C:\\program files\\zattoo\\zattood.exe"= UDP:C:\program files\zattoo\zattood.exe:zattood
"UDP Query User{B99AA526-C9FB-4B10-92BA-27A74F799148}C:\\program files\\zattoo\\zattood.exe"= TCP:C:\program files\zattoo\zattood.exe:zattood
"TCP Query User{56E6A446-CA3B-40ED-85A0-08F97318CADA}C:\\program files\\zattoo\\zattoo.exe"= UDP:C:\program files\zattoo\zattoo.exe:
"UDP Query User{034795A5-3AF2-482C-A737-48FF6C45F91F}C:\\program files\\zattoo\\zattoo.exe"= TCP:C:\program files\zattoo\zattoo.exe:
"TCP Query User{C9276EFD-CAA5-40BE-9786-9E049D160680}C:\\program files\\zattoo\\zattood.exe"= UDP:C:\program files\zattoo\zattood.exe:zattood
"UDP Query User{57168D70-B91A-4B94-ABF5-C3A059D9F215}C:\\program files\\zattoo\\zattood.exe"= TCP:C:\program files\zattoo\zattood.exe:zattood
"TCP Query User{C596B694-4DAD-4E28-A3B3-490B18611675}C:\\program files\\zattoo\\zattoo.exe"= UDP:C:\program files\zattoo\zattoo.exe:
"UDP Query User{173FF4AB-EFAC-468E-8678-223B5EC2CEB4}C:\\program files\\zattoo\\zattoo.exe"= TCP:C:\program files\zattoo\zattoo.exe:
"TCP Query User{BC61A188-710D-4A64-8856-579D8BA0B53B}C:\\program files\\counter-strike source\\hl2.exe"= UDP:C:\program files\counter-strike source\hl2.exe:hl2
"UDP Query User{2A550D83-15F8-439B-B66D-20704810AF58}C:\\program files\\counter-strike source\\hl2.exe"= TCP:C:\program files\counter-strike source\hl2.exe:hl2
"TCP Query User{DB22B72D-FA45-473E-91D8-0BA759FB0750}C:\\program files\\valve\\hl.exe"= UDP:C:\program files\valve\hl.exe:Half-Life Launcher
"UDP Query User{37B432A1-066C-46FA-A975-FEA4956D457F}C:\\program files\\valve\\hl.exe"= TCP:C:\program files\valve\hl.exe:Half-Life Launcher
"TCP Query User{DDDEBD6B-CE9D-4FA5-A0C6-70F8806C706A}C:\\program files\\soldier of fortune ii - double helix\\sof2mp.exe"= UDP:C:\program files\soldier of fortune ii - double helix\sof2mp.exe:SoF2MP
"UDP Query User{AA9F0163-1E93-401A-B071-8098F9078CD1}C:\\program files\\soldier of fortune ii - double helix\\sof2mp.exe"= TCP:C:\program files\soldier of fortune ii - double helix\sof2mp.exe:SoF2MP
"TCP Query User{AA836F7C-1105-4353-95EE-419BBC4BEE33}C:\\program files\\real\\realplayer\\realplay.exe"= UDP:C:\program files\real\realplayer\realplay.exe:RealPlayer
"UDP Query User{4E276CE7-A728-47E7-A20F-C3636DE9710E}C:\\program files\\real\\realplayer\\realplay.exe"= TCP:C:\program files\real\realplayer\realplay.exe:RealPlayer
"TCP Query User{2FE417E2-B63E-4F88-91F0-150CED9142FC}C:\\users\\felix\\desktop\\neuer ordner\\mirc.exe"= UDP:C:\users\felix\desktop\neuer ordner\mirc.exe:mirc.exe
"UDP Query User{163FA809-D2C2-42AD-B6BA-3F2B8E128546}C:\\users\\felix\\desktop\\neuer ordner\\mirc.exe"= TCP:C:\users\felix\desktop\neuer ordner\mirc.exe:mirc.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile]
"EnableFirewall"= 0 (0x0)

R2 SBSDWSCService;SBSD Security Center Service;C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe [2008-01-28 810320]
R3 b57nd60x;Broadcom NetXtreme Gigabit Ethernet - NDIS 6.0;C:\Windows\system32\DRIVERS\b57nd60x.sys [2007-05-24 179712]
R3 btwaudio;Bluetooth-Audiogerät;C:\Windows\system32\drivers\btwaudio.sys [2006-11-07 78128]
R3 btwavdt;Bluetooth AVDT;C:\Windows\system32\drivers\btwavdt.sys [2006-11-07 80176]
R3 btwrchid;btwrchid;C:\Windows\system32\DRIVERS\btwrchid.sys [2006-11-07 16560]
R3 OEM04Vfx;Creative Camera OEM004 Video VFX Driver;C:\Windows\system32\DRIVERS\OEM04Vfx.sys [2007-03-05 7424]
R3 OEM04Vid;Creative Camera OEM004 Driver;C:\Windows\system32\DRIVERS\OEM04Vid.sys [2007-10-10 234720]
R3 SpyFighter;SpyFighter Guard Device;C:\Program Files\SPYWAREfighter\spyfighter.sys [2008-02-21 8336]
R3 SPYWAREfighterRP;SPYWAREfighterRP;C:\Program Files\SPYWAREfighter\spfprc.exe [2008-02-21 406160]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;C:\Program Files\MAGIX\Common\Database\bin\fbserver.exe [2005-11-17 1527900]
S3 UPnPService;UPnPService;C:\Program Files\Common Files\MAGIX Shared\UPnPService\UPnPService.exe [2006-12-14 544768]
S4 AESTFilters;Andrea ST Filters Service;C:\Windows\system32\aestsrv.exe [2007-08-29 73728]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs REG_MULTI_SZ BthServ

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8ef794ae-4fab-11dc-8411-806e6f6e6963}]
\shell\AutoRun\command - E:\setup.exe

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{61E3FE32-07B9-4563-A3E0-2DE2D620FE10}]
C:\Program Files\PixiePack Codec Pack\InstallerHelper.exe
.
Inhalt des "geplante Tasks" Ordners
.
- - - - Entfernte verwaiste Registrierungseintr„ge - - - -

HKCU-Run-MSServer - C:\Users\Felix\AppData\Local\Temp\vtUMcAPf.dll
HKCU-Run-cmds - C:\Users\Felix\AppData\Local\Temp\gEWoNgEw.dll
HKCU-Run-d4bd89cc - C:\Users\Felix\AppData\Local\Temp\mvnybgfn.dll
HKCU-Run-BMd78eba50 - C:\Users\Felix\AppData\Local\Temp\kfecvpgg.dll
MSConfigStartUp-ISTray - C:\Program Files\Spyware Doctor\pctsTray.exe
MSConfigStartUp-OPSE reminder - C:\Program Files\ScanSoft\OmniPageSE2.0\EregGer\Ereg.exe
MSConfigStartUp-OpwareSE2 - C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
MSConfigStartUp-RegClean - C:\Program Files\RegClean\RegClean.exe


.
------- Zus„tzlicher Scan -------
.
FireFox -: Profile - C:\Users\Felix\AppData\Roaming\Mozilla\Firefox\Profiles\0cb7382o.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.studivz.net/
FF -: plugin - c:\Program Files\Java\jre1.6.0\bin\npjava11.dll
FF -: plugin - c:\Program Files\Java\jre1.6.0\bin\npjava12.dll
FF -: plugin - c:\Program Files\Java\jre1.6.0\bin\npjava13.dll
FF -: plugin - c:\Program Files\Java\jre1.6.0\bin\npjava14.dll
FF -: plugin - c:\Program Files\Java\jre1.6.0\bin\npjava32.dll
FF -: plugin - c:\Program Files\Java\jre1.6.0\bin\npjpi160.dll
FF -: plugin - c:\Program Files\Java\jre1.6.0\bin\npoji610.dll
FF -: plugin - C:\Program Files\Mozilla Firefox\plugins\npitunes.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-17 09:35:00
Windows 6.0.6001 Service Pack 1 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere, laufende Prozesse ------------------------
.
C:\Windows\System32\audiodg.exe
C:\Windows\System32\wlanext.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\Windows\System32\stacsv.exe
C:\Windows\System32\conime.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\rundll32.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\System32\wbem\unsecapp.exe
C:\Program Files\Windows Media Player\wmpnetwk.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-09-17 9:41:05 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-09-17 07:40:52

Pre-Run: 13 Verzeichnis(se), 11,391,586,304 Bytes frei
Post-Run: 20 Verzeichnis(se), 11,969,163,264 Bytes frei

302 --- E O F --- 2008-09-12 11:46:04


Punkt 4:

Datentr„ger in Laufwerk C: ist OS
Volumeseriennummer: D4BD-8963

Verzeichnis von c:\

17.09.2008 09:50 0 dirdat.txt
17.09.2008 09:41 24.250 ComboFix.txt
17.09.2008 09:34 2.459.385.856 pagefile.sys
15.09.2008 13:40 0 ARK3EA6.tmp
15.09.2008 12:48 0 MSDOS.SYS
15.09.2008 12:48 0 IO.SYS
19.01.2008 09:45 333.203 bootmgr

Verzeichnis von C:\Windows\system32

17.09.2008 09:34 3.696 7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0
17.09.2008 09:34 3.696 7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0
17.09.2008 09:23 587.178 perfh009.dat
17.09.2008 09:23 101.250 perfc009.dat
17.09.2008 09:23 618.430 perfh007.dat
17.09.2008 09:23 122.648 perfc007.dat
17.09.2008 09:23 1.418.600 PerfStringBackup.INI
11.09.2008 03:38 312.752 FNTCACHE.DAT
06.09.2008 12:24 780.895 ~tmp21685.$$$
26.08.2008 22:28 16.208.504 mrt.exe
02.08.2008 05:26 36.864 cdd.dll
19.07.2008 07:10 53.448 wuauclt.exe
19.07.2008 07:10 45.768 wups2.dll
19.07.2008 07:10 36.552 wups.dll
19.07.2008 07:09 563.912 wuapi.dll
19.07.2008 07:09 1.811.656 wuaueng.dll
19.07.2008 05:44 1.524.736 wucltux.dll
19.07.2008 05:44 83.456 wudriver.dll
18.07.2008 22:08 163.904 wuwebv.dll
18.07.2008 20:44 31.232 wuapp.exe
16.07.2008 03:32 2.048 tzres.dll

Verzeichnis von C:\Windows

17.09.2008 09:41 2.307.776 ntbtlog.txt
17.09.2008 09:40 1.729.787 WindowsUpdate.log
17.09.2008 09:34 215 system.ini
17.09.2008 09:34 67.584 bootstat.dat
17.09.2008 09:34 110.156 PFRO.log
17.09.2008 09:33 836 bthservsdp.dat
16.09.2008 16:22 1.905 diagwrn.xml
16.09.2008 16:22 1.905 diagerr.xml
16.09.2008 16:22 1.263 setupact.log
16.09.2008 16:16 0 setuperr.log
14.09.2008 16:09 434 wininit.ini
11.09.2008 14:33 25 SIERRA.INI
05.09.2008 15:04 770 Sof2.INI
22.08.2008 14:49 33.401 scunin.dat
22.08.2008 14:49 967 ScUnin.pif
22.08.2008 14:49 69.632 ScUnin.exe
07.07.2008 11:42 749 WindowsShell.Manifest
07.07.2008 11:40 3.556 DtcInstall.log

Verzeichnis von C:\Users\Felix\AppData\Local\Temp

17.09.2008 09:44 31.832 Felix.bmp
17.09.2008 09:44 4.100 etilqs_eafLXGgPlx11PezBuahd
17.09.2008 09:41 24.250 log.txt


Hab ich es überstanden? Oder was sind die nächsten Schritte?

#2 Cleanup kannst du ignorieren, nimm die Datentraegerbereinigung und mache dann mit Mbam und Combofix weiter:
http://board.protecus.de/t23188.htm
__________
MfG Ralf
SEO-Spam Hunter

#3

Zitat

felice postete
der Trojaner hat mein System befallen. Antivir kann ihn aufspüren aber nicht löschen weil geschützt. Er sitzt in meine C\Users....\AppData\local\Temp und befällt verschiedene Systemdateien. Einmal TR/Vundo.flg.9 und einmal TR/Vundo.flg.9, jeweils eine andere Datei. habe mir ein TrojanerEntfernProgramm namens SpywareFIGHTER runtergeladen welches die Dateien anscheinend löschen konnte. Jedoch hab ich das Gefühl er erstellt sich immer wieder neu.
habe mir jetzt hijackthis runtergeladen und den Scan durchgeführt.
werde wie folgt vorgehen und erbitte Anweisungen!

1.Erstellen eines Hijackthis-Logfiles
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"

2.
Folgen den Anweisungen unter
http://virus-protect.org/cleanup.html
und stelle den CleanUp genauso ein, wie dort angegeben, dann den Rechner neustarten (so werden die temporaeren Dateien geloescht)

3.
combofix anwenden, auch die Datentraegerbereinigung durchfuehren lassen + den Scanreport abkopieren und im Beitrag posten
http://virus-protect.org/artikel/tools/combofix.html

4.
Logfiles mittels datfind.bat erstellen und posten (abkopieren)
Exakte Anleitung unter: http://virus-protect.org/datfindbat.html
Kopiere diese 6 erstellten Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet.
(kopiere je Logfile nur die letzten 3 Monate ab !)


wenn der Platz im Thread nicht ausreicht, speichere als txt-Datei und poste es als Anhang.
Diese Funktion findet man unten. (Datei: ....... Durchsuchen)
__________
MfG Sabina

Hier die Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:12:34, on 16.09.2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\SigmaTel\C-Major Audio\WDM\sttray.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\SPYWAREfighter\spftray.exe
C:\Windows\ehome\ehtray.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\rundll32.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\SPYWAREfighter\SPYWAREfighter.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer bereitgestellt von Dell
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - c:\Program Files\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: Browser Address Error Redirector - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Program Files\BAE\BAE.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SigmatelSysTrayApp] %ProgramFiles%\SigmaTel\C-Major Audio\WDM\sttray.exe
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NVHotkey] rundll32.exe C:\Windows\system32\nvHotkey.dll,Start
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [spywarefighterguard] C:\Program Files\SPYWAREfighter\spftray.exe
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [MSServer] rundll32.exe C:\Users\Felix\AppData\Local\Temp\vtUMcAPf.dll,#1
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [cmds] rundll32.exe C:\Users\Felix\AppData\Local\Temp\gEWoNgEw.dll,c
O4 - HKCU\..\Run: [d4bd89cc] rundll32.exe "C:\Users\Felix\AppData\Local\Temp\mvnybgfn.dll",b
O4 - HKCU\..\Run: [BMd78eba50] Rundll32.exe "C:\Users\Felix\AppData\Local\Temp\bhhwtejp.dll",s
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Global Startup: VPN Client.lnk = ?
O8 - Extra context menu item: Bild an &Bluetooth-Gerät senden... - c:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Seite an &Bluetooth-Gerät senden... - c:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - c:\Program Files\Java\jre1.6.0\bin\npjpi160.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - c:\Program Files\Java\jre1.6.0\bin\npjpi160.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programs\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programs\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - c:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - c:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O13 - Gopher Prefix:
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Program Files\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: SPYWAREfighterRP - SpamFighter APS - C:\Program Files\SPYWAREfighter\spfprc.exe
O23 - Service: SigmaTel Audio Service (STacSV) - IDT, Inc. - C:\Windows\system32\STacSV.exe
O23 - Service: UPnPService - Magix AG - C:\Program Files\Common Files\MAGIX Shared\UPnPService\UPnPService.exe

--
End of file - 7662 bytes


Ich habe ein Problem mit dem 2 Punkt. Bei CleanUp kann ich das Kästchen Delete Prefetch files nicht anklicken. kann das an Vista liegen? was soll ich tun?

Danke für die schnelle Antwort. ComboFix wurde ausgeführt. hier die Log:

ComboFix 08-09-16.03 - Felix 2008-09-17 9:29:35.1 - NTFSx86
Microsoft® Windows Vista™ Home Premium 6.0.6001.1.1252.1.1031.18.1191 [GMT 2:00]
ausgeführt von:: C:\Users\Felix\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Users\Felix\AppData\Local\Temp\crceqcwn.dll
C:\Users\Felix\AppData\Local\Temp\lmlimiig.dll
C:\Users\Felix\AppData\Local\Temp\xrbvcbjv.dll
C:\Users\Felix\AppData\Roaming\inst.exe
C:\Windows\system32\h@tkeysh@@k.dll

.
((((((((((((((((((((((( Dateien erstellt von 2008-08-17 bis 2008-09-17 ))))))))))))))))))))))))))))))
.

2008-09-17 09:26 . 2008-09-17 09:27 <DIR> d-------- C:\32788R22FWJFW
2008-09-16 17:26 . 2008-09-16 17:26 <DIR> d-------- C:\Program Files\CleanUp!
2008-09-16 17:11 . 2008-09-16 17:11 <DIR> d-------- C:\Program Files\Trend Micro
2008-09-16 16:16 . 2008-09-16 16:22 1,905 --a------ C:\Windows\diagwrn.xml
2008-09-16 16:16 . 2008-09-16 16:22 1,905 --a------ C:\Windows\diagerr.xml
2008-09-15 13:53 . 2008-09-15 13:55 <DIR> d-------- C:\Program Files\SPYWAREfighter
2008-09-15 13:53 . 2008-09-15 13:53 <DIR> d-------- C:\Program Files\Common Files\Application
2008-09-15 13:40 . 2008-09-15 13:40 0 --a------ C:\ARK3EA6.tmp
2008-09-15 12:59 . 2008-09-15 12:59 <DIR> d-------- C:\Users\All Users\Avira
2008-09-15 12:59 . 2008-09-15 12:59 <DIR> d-------- C:\ProgramData\Avira
2008-09-15 12:59 . 2008-09-15 12:59 <DIR> d-------- C:\Program Files\Avira
2008-09-14 16:09 . 2008-09-14 16:09 434 --a------ C:\Windows\wininit.ini
2008-09-14 15:28 . 2008-09-15 12:48 <DIR> d-------- C:\Users\All Users\Spybot - Search & Destroy
2008-09-14 15:28 . 2008-09-15 12:48 <DIR> d-------- C:\ProgramData\Spybot - Search & Destroy
2008-09-14 15:28 . 2008-09-14 15:29 <DIR> d-------- C:\Program Files\Spybot - Search & Destroy
2008-09-12 09:02 . 2008-09-12 09:02 <DIR> d-------- C:\Users\All Users\WinZip
2008-09-12 09:02 . 2008-09-12 09:02 <DIR> d-------- C:\ProgramData\WinZip
2008-09-11 02:37 . 2008-09-11 02:37 <DIR> d-------- C:\Program Files\Intelore
2008-09-10 19:05 . 2008-09-10 19:05 <DIR> d-------- C:\Users\Public\CS maps
2008-09-10 14:37 . 2008-09-10 14:37 219,480 --a------ C:\Users\Felix\AppData\Roaming\mdb.bin
2008-09-10 12:46 . 2008-09-10 12:46 <DIR> d-------- C:\Program Files\Rossmann Fotoservice
2008-09-10 09:06 . 2008-08-02 03:01 625,152 --a------ C:\Windows\System32\drivers\dxgkrnl.sys
2008-09-10 09:06 . 2008-06-26 05:29 565,248 --a------ C:\Windows\System32\emdmgmt.dll
2008-09-10 09:06 . 2008-06-26 05:29 303,616 --a------ C:\Windows\System32\wmpeffects.dll
2008-09-10 09:06 . 2008-05-08 21:21 211,968 --a------ C:\Windows\System32\drivers\mrxsmb10.sys
2008-09-10 09:06 . 2008-05-20 04:07 148,480 --a------ C:\Windows\System32\drivers\nwifi.sys
2008-09-10 09:06 . 2008-06-26 05:29 45,056 --a------ C:\Windows\System32\dataclen.dll
2008-09-10 09:06 . 2008-08-02 05:26 36,864 --a------ C:\Windows\System32\cdd.dll
2008-09-06 12:24 . 2008-09-06 12:24 780,895 ---h----- C:\Windows\System32\~tmp21685.$$$
2008-09-05 15:01 . 2008-09-05 15:11 <DIR> d-------- C:\Program Files\Soldier of Fortune II - Double Helix
2008-09-05 14:58 . 2001-06-19 18:53 266,293 --a------ C:\Windows\System32\temp.001
2008-09-05 14:58 . 2008-09-05 15:04 770 --a------ C:\Windows\Sof2.INI
2008-09-05 14:56 . 2008-09-05 14:56 <DIR> d-------- C:\Program Files\DAEMON Tools Lite
2008-09-04 19:49 . 2008-07-19 07:09 1,811,656 --a------ C:\Windows\System32\wuaueng.dll
2008-09-04 19:49 . 2008-07-19 05:44 1,524,736 --a------ C:\Windows\System32\wucltux.dll
2008-09-04 19:49 . 2008-07-19 07:09 563,912 --a------ C:\Windows\System32\wuapi.dll
2008-09-04 19:49 . 2008-07-19 05:44 83,456 --a------ C:\Windows\System32\wudriver.dll
2008-09-04 19:49 . 2008-07-19 07:10 53,448 --a------ C:\Windows\System32\wuauclt.exe
2008-09-04 19:49 . 2008-07-19 07:10 45,768 --a------ C:\Windows\System32\wups2.dll
2008-09-04 19:49 . 2008-07-19 07:10 36,552 --a------ C:\Windows\System32\wups.dll
2008-09-04 19:48 . 2008-07-18 22:08 163,904 --a------ C:\Windows\System32\wuwebv.dll
2008-09-04 19:48 . 2008-07-18 20:44 31,232 --a------ C:\Windows\System32\wuapp.exe
2008-08-24 16:57 . 2008-08-24 17:00 <DIR> d-------- C:\Program Files\Valve
2008-08-24 13:20 . 2008-08-24 13:20 <DIR> d-------- C:\Users\Felix\AppData\Roaming\DAEMON Tools
2008-08-24 13:20 . 2008-08-24 13:20 717,296 --a------ C:\Windows\System32\drivers\sptd.sys
2008-08-23 13:30 . 2008-08-23 13:39 <DIR> dr------- C:\Users\Public\Counter-Strike Source
2008-08-22 15:56 . 2008-08-22 15:56 <DIR> d-------- C:\Program Files\Command & Conquer Collection

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-15 19:37 --------- d-----w C:\Users\Felix\AppData\Roaming\Skype
2008-09-15 17:44 --------- d-----w C:\Users\Felix\AppData\Roaming\skypePM
2008-09-15 14:43 137,059 ----a-w C:\Users\Felix\AppData\Roaming\nvModes.dat
2008-09-14 14:09 --------- d-----w C:\Users\Felix\AppData\Roaming\RegClean
2008-09-14 14:09 --------- d-----w C:\Program Files\RegClean
2008-09-14 12:36 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-09-11 12:54 --------- d-----w C:\Program Files\iTunes
2008-09-11 12:52 --------- d-----w C:\Program Files\ElcomSoft
2008-09-11 01:02 --------- d-----w C:\ProgramData\Microsoft Help
2008-08-23 11:29 --------- d-----r C:\Program Files\Counter-Strike Source
2008-08-22 13:31 --------- d-----w C:\ProgramData\RapidSolution
2008-08-22 13:29 --------- d-----w C:\ProgramData\Symantec
2008-08-22 13:28 --------- d-----w C:\ProgramData\MAGIX
2008-08-22 13:28 --------- d-----w C:\Program Files\MAGIX
2008-08-22 13:27 --------- d-----w C:\Program Files\ICQToolbar
2008-08-22 13:19 --------- d-----w C:\Program Files\Starcraft
2008-08-22 12:49 69,632 ----a-w C:\Windows\ScUnin.exe
2008-07-30 14:29 --------- d---a-w C:\ProgramData\TEMP
2008-07-25 17:58 --------- d-----w C:\Program Files\WMA-MP3.com
2008-07-25 17:35 --------- d-----w C:\Program Files\K-Lite Codec Pack
2008-07-24 18:12 --------- d-----w C:\Program Files\Mozilla Thunderbird
2008-07-22 20:29 --------- d-----w C:\ProgramData\DVD Shrink
2008-07-22 20:26 --------- d-----w C:\Program Files\DVD Shrink
2008-07-18 10:46 --------- d-----w C:\Program Files\Zattoo
2008-07-16 14:49 56 ---ha-w C:\Users\All Users\ezsidmv.dat
2008-07-16 14:49 56 ---ha-w C:\ProgramData\ezsidmv.dat
2008-07-16 01:32 2,048 ----a-w C:\Windows\System32\tzres.dll
2008-07-07 09:42 174 --sha-w C:\Program Files\desktop.ini
2008-07-07 08:21 82,432 ----a-w C:\Windows\System32\axaltocm.dll
2008-07-07 08:21 101,888 ----a-w C:\Windows\System32\ifxcardm.dll
2008-06-27 04:15 827,392 ----a-w C:\Windows\System32\wininet.dll
2008-06-26 03:29 801,280 ----a-w C:\Windows\System32\NaturalLanguage6.dll
2008-06-26 01:45 2,644,480 ----a-w C:\Windows\System32\NlsLexicons0009.dll
2008-06-26 01:45 12,240,896 ----a-w C:\Windows\System32\NlsLexicons0007.dll
2008-06-19 03:31 361,984 ----a-w C:\Windows\System32\IPSECSVC.DLL
2008-06-18 20:37 2,045,459 ----a-w C:\Windows\System32\x264vfw.dll
2007-12-12 21:24 32 ----a-w C:\Users\All Users\ezsid.dat
2007-12-12 21:24 32 ----a-w C:\ProgramData\ezsid.dat
2007-10-30 19:39 94,208 ----a-w C:\Users\Felix\AppData\Roaming\ezplay.sys
2007-10-30 19:39 47,360 ----a-w C:\Users\Felix\AppData\Roaming\pcouffin.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray.exe"="C:\Windows\ehome\ehTray.exe" [2008-01-19 125952]
"SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2008-08-18 1832272]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2007-05-10 857648]
"SigmatelSysTrayApp"="C:\Program Files\SigmaTel\C-Major Audio\WDM\sttray.exe" [2007-09-07 405504]
"NvSvc"="C:\Windows\system32\nvsvc.dll" [2007-10-04 86016]
"NvCplDaemon"="C:\Windows\system32\NvCpl.dll" [2007-10-04 8497696]
"NvMediaCenter"="C:\Windows\system32\NvMcTray.dll" [2007-10-04 81920]
"NVHotkey"="C:\Windows\system32\nvHotkey.dll" [2007-10-04 86016]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"spywarefighterguard"="C:\Program Files\SPYWAREfighter\spftray.exe" [2008-02-21 115344]

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\
VPN Client.lnk - C:\Windows\Installer\{14FCFE7C-AB86-428A-9D2E-BFB6F5A7AA6E}\Icon3E5562ED7.ico [2008-06-01 6144]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.l3fhg"= mp3fhg.acm
"msacm.divxa32"= divxa32.acm
"VIDC.X264"= x264vfw.dll
"VIDC.HFYU"= huffyuv.dll
"vidc.i263"= i263_32.drv
"VIDC.YV12"= yv12vfw.dll

[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Adobe Reader - Schnellstart.lnk]
path=C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Adobe Reader - Schnellstart.lnk
backup=C:\Windows\pss\Adobe Reader - Schnellstart.lnk.CommonStartup
backupExtension=.CommonStartup

[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^VPN Client.lnk]
path=C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\VPN Client.lnk
backup=C:\Windows\pss\VPN Client.lnk.CommonStartup
backupExtension=.CommonStartup

[HKLM\~\startupfolder\C:^Users^Felix^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Last.fm Helper.lnk]
path=C:\Users\Felix\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Last.fm Helper.lnk
backup=C:\Windows\pss\Last.fm Helper.lnk.Startup
backupExtension=.Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-01-11 22:16 39792 C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
--a------ 2008-08-08 14:11 490952 C:\Program Files\DAEMON Tools Lite\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
--a------ 2007-10-04 21:24 8497696 C:\Windows\System32\nvcpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NVHotkey]
--a------ 2007-10-04 21:24 86016 C:\Windows\System32\nvhotkey.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvSvc]
--a------ 2007-10-04 21:24 86016 C:\Windows\System32\nvsvc.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OEM04Mon.exe]
--a------ 2007-06-11 01:01 36864 C:\Windows\OEM04Mon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
--a------ 2008-06-18 16:31 185632 C:\Program Files\Common Files\Real\Update_OB\realsched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiSpyware]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{292EC226-9DEB-4387-8203-C6AA3957446B}"= UDP:C:\Program Files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote
"{C83F4CC6-FA84-4D11-84AD-496D8BD35DD3}"= TCP:C:\Program Files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote
"{407CAA87-7999-4B59-92D9-29629F070DA3}"= C:\Program Files\Dell\MediaDirect\PowerCinema.exe:CyberLink PowerCinema
"{6F8378D1-D8E1-445F-AF61-7EB07278A17F}"= C:\Program Files\Dell\MediaDirect\PCMService.exe:CyberLink PowerCinema Resident Program
"{A7460A1F-112E-470F-8071-5D1EBC8D4B96}"= C:\Program Files\Dell\MediaDirect\Kernel\DMP\CLBrowserEngine.exe:Cyberlink Media Server Browser Engine
"{77FD0C59-AFE0-4E02-84E3-BE61F7807793}"= C:\Program Files\Dell\MediaDirect\Kernel\DMS\CLMSService.exe:CyberLink Media Server
"{E061C2A6-ECDA-458D-B823-6625795D98CD}"= UDP:C:\Program Files\iTunes\iTunes.exe:iTunes
"{48F8F55E-D1C9-4822-AC69-E78CF4A18162}"= TCP:C:\Program Files\iTunes\iTunes.exe:iTunes
"{F1E095AF-56EF-4256-803F-3BD3E144E01B}"= UDP:C:\Program Files\Winamp Remote\bin\Orb.exe:Orb
"{0D19A044-56B6-4231-9345-517664C6AE6E}"= TCP:C:\Program Files\Winamp Remote\bin\Orb.exe:Orb
"{DA3C4455-E309-44FD-A768-31D6D195A140}"= UDP:C:\Program Files\Winamp Remote\bin\OrbTray.exe:OrbTray
"{C3697FE3-B929-49CE-AE9F-170E50D28306}"= TCP:C:\Program Files\Winamp Remote\bin\OrbTray.exe:OrbTray
"{DBECE197-0D11-4FA7-B73E-126CE6361050}"= UDP:C:\Program Files\Winamp Remote\bin\OrbIR.exe:OrbIR
"{E9447B25-340B-4687-BD7D-AFC46AA61ECD}"= TCP:C:\Program Files\Winamp Remote\bin\OrbIR.exe:OrbIR
"{A0842671-ED21-40E4-A80F-F26C03A647AE}"= UDP:C:\Program Files\Winamp Remote\bin\OrbStreamerClient.exe:Orb Stream Client
"{E1B1F818-57A3-4761-93CF-CDD024821BDA}"= TCP:C:\Program Files\Winamp Remote\bin\OrbStreamerClient.exe:Orb Stream Client
"TCP Query User{ECDA056D-0C8A-4B89-A454-B4DD5D3BD7E0}C:\\program files\\emule.de 0.48a v18\\emule.exe"= UDP:C:\program files\emule.de 0.48a v18\emule.exe:eMule
"UDP Query User{D90F0264-C010-47B1-AD90-CBF118D096A8}C:\\program files\\emule.de 0.48a v18\\emule.exe"= TCP:C:\program files\emule.de 0.48a v18\emule.exe:eMule
"TCP Query User{E3783D58-9B5A-49F4-818C-E9C7133770C6}C:\\program files\\mozilla firefox\\firefox.exe"= UDP:C:\program files\mozilla firefox\firefox.exe:Firefox
"UDP Query User{2E13B389-3275-45B9-8A67-4269049724F9}C:\\program files\\mozilla firefox\\firefox.exe"= TCP:C:\program files\mozilla firefox\firefox.exe:Firefox
"TCP Query User{3254AD4E-43DF-44DD-9C9B-D69A282A195D}C:\\program files\\starcraft\\starcraft.exe"= UDP:C:\program files\starcraft\starcraft.exe:StarCraft
"UDP Query User{A757AA69-8AD5-4FEC-BFBE-E0565887FB35}C:\\program files\\starcraft\\starcraft.exe"= TCP:C:\program files\starcraft\starcraft.exe:StarCraft
"TCP Query User{76434EEF-A524-43ED-BE98-01D4B042E423}C:\\program files\\icq6\\icq.exe"= UDP:C:\program files\icq6\icq.exe:ICQ Library
"UDP Query User{CB81EE91-DC40-4C28-8DE1-A95A62B53643}C:\\program files\\icq6\\icq.exe"= TCP:C:\program files\icq6\icq.exe:ICQ Library
"TCP Query User{89A88F94-C2DE-4989-B7D2-38E4F89F3C2A}C:\\users\\felix\\desktop\\counter-strike source\\hl2.exe"= UDP:C:\users\felix\desktop\counter-strike source\hl2.exe:hl2.exe
"UDP Query User{B7640599-1025-47CB-8DC9-FD42BB049B08}C:\\users\\felix\\desktop\\counter-strike source\\hl2.exe"= TCP:C:\users\felix\desktop\counter-strike source\hl2.exe:hl2.exe
"TCP Query User{E71F8E14-C35F-4571-A15D-C886C868596D}C:\\sierra\\empire earth\\empire earth.exe"= UDP:C:\sierra\empire earth\empire earth.exe:Empire Earth
"UDP Query User{3979FDE2-E5AE-4A61-8AE6-44CBD21CD853}C:\\sierra\\empire earth\\empire earth.exe"= TCP:C:\sierra\empire earth\empire earth.exe:Empire Earth
"TCP Query User{63372F18-8419-4436-96FC-188646BD3B0B}C:\\program files\\icq6\\icq.exe"= UDP:C:\program files\icq6\icq.exe:ICQ Library
"UDP Query User{9791749F-456F-4A70-9C9C-E0AAE6924CD3}C:\\program files\\icq6\\icq.exe"= TCP:C:\program files\icq6\icq.exe:ICQ Library
"TCP Query User{7B4A0241-D05F-4FA6-8C29-271381F6DE81}C:\\program files\\trillian\\trillian.exe"= UDP:C:\program files\trillian\trillian.exe:Trillian
"UDP Query User{01A6D328-A7CA-4751-AF15-673544CB43E7}C:\\program files\\trillian\\trillian.exe"= TCP:C:\program files\trillian\trillian.exe:Trillian
"TCP Query User{E625DD5D-202C-4A3E-A418-AC8E44280E5B}C:\\program files\\trillian\\trillian.exe"= UDP:C:\program files\trillian\trillian.exe:Trillian
"UDP Query User{7D3CA3DB-CEA6-4835-9FA1-1744D6F888F3}C:\\program files\\trillian\\trillian.exe"= TCP:C:\program files\trillian\trillian.exe:Trillian
"{F3523D8B-F57E-401D-9030-F10A81B3465B}"= Disabled:UDP:C:\Program Files\Skype\Phone\Skype.exe:Skype
"{000D4996-B8E8-4E59-928E-2D410B7C46B3}"= Disabled:TCP:C:\Program Files\Skype\Phone\Skype.exe:Skype
"{F769EA87-BF52-4290-85B8-6E1A6D6E10A4}"= Disabled:UDP:C:\Program Files\Skype\Phone\Skype.exe:Skype
"{2A9157E1-C561-4BA5-8489-BC515508BB22}"= TCP:C:\Program Files\Skype\Phone\Skype.exe:Skype
"TCP Query User{C224424F-0410-4386-8184-9E252E816823}C:\\windows\\system32\\java.exe"= UDP:C:\windows\system32\java.exe:Java(TM) Platform SE binary
"UDP Query User{B74F4C25-A479-4AD4-81ED-2382DCB00613}C:\\windows\\system32\\java.exe"= TCP:C:\windows\system32\java.exe:Java(TM) Platform SE binary
"TCP Query User{1FB06422-D2A1-4BB6-A347-A3A5C41FBA9D}C:\\program files\\zattoo\\zattood.exe"= UDP:C:\program files\zattoo\zattood.exe:zattood
"UDP Query User{B99AA526-C9FB-4B10-92BA-27A74F799148}C:\\program files\\zattoo\\zattood.exe"= TCP:C:\program files\zattoo\zattood.exe:zattood
"TCP Query User{56E6A446-CA3B-40ED-85A0-08F97318CADA}C:\\program files\\zattoo\\zattoo.exe"= UDP:C:\program files\zattoo\zattoo.exe:
"UDP Query User{034795A5-3AF2-482C-A737-48FF6C45F91F}C:\\program files\\zattoo\\zattoo.exe"= TCP:C:\program files\zattoo\zattoo.exe:
"TCP Query User{C9276EFD-CAA5-40BE-9786-9E049D160680}C:\\program files\\zattoo\\zattood.exe"= UDP:C:\program files\zattoo\zattood.exe:zattood
"UDP Query User{57168D70-B91A-4B94-ABF5-C3A059D9F215}C:\\program files\\zattoo\\zattood.exe"= TCP:C:\program files\zattoo\zattood.exe:zattood
"TCP Query User{C596B694-4DAD-4E28-A3B3-490B18611675}C:\\program files\\zattoo\\zattoo.exe"= UDP:C:\program files\zattoo\zattoo.exe:
"UDP Query User{173FF4AB-EFAC-468E-8678-223B5EC2CEB4}C:\\program files\\zattoo\\zattoo.exe"= TCP:C:\program files\zattoo\zattoo.exe:
"TCP Query User{BC61A188-710D-4A64-8856-579D8BA0B53B}C:\\program files\\counter-strike source\\hl2.exe"= UDP:C:\program files\counter-strike source\hl2.exe:hl2
"UDP Query User{2A550D83-15F8-439B-B66D-20704810AF58}C:\\program files\\counter-strike source\\hl2.exe"= TCP:C:\program files\counter-strike source\hl2.exe:hl2
"TCP Query User{DB22B72D-FA45-473E-91D8-0BA759FB0750}C:\\program files\\valve\\hl.exe"= UDP:C:\program files\valve\hl.exe:Half-Life Launcher
"UDP Query User{37B432A1-066C-46FA-A975-FEA4956D457F}C:\\program files\\valve\\hl.exe"= TCP:C:\program files\valve\hl.exe:Half-Life Launcher
"TCP Query User{DDDEBD6B-CE9D-4FA5-A0C6-70F8806C706A}C:\\program files\\soldier of fortune ii - double helix\\sof2mp.exe"= UDP:C:\program files\soldier of fortune ii - double helix\sof2mp.exe:SoF2MP
"UDP Query User{AA9F0163-1E93-401A-B071-8098F9078CD1}C:\\program files\\soldier of fortune ii - double helix\\sof2mp.exe"= TCP:C:\program files\soldier of fortune ii - double helix\sof2mp.exe:SoF2MP
"TCP Query User{AA836F7C-1105-4353-95EE-419BBC4BEE33}C:\\program files\\real\\realplayer\\realplay.exe"= UDP:C:\program files\real\realplayer\realplay.exe:RealPlayer
"UDP Query User{4E276CE7-A728-47E7-A20F-C3636DE9710E}C:\\program files\\real\\realplayer\\realplay.exe"= TCP:C:\program files\real\realplayer\realplay.exe:RealPlayer
"TCP Query User{2FE417E2-B63E-4F88-91F0-150CED9142FC}C:\\users\\felix\\desktop\\neuer ordner\\mirc.exe"= UDP:C:\users\felix\desktop\neuer ordner\mirc.exe:mirc.exe
"UDP Query User{163FA809-D2C2-42AD-B6BA-3F2B8E128546}C:\\users\\felix\\desktop\\neuer ordner\\mirc.exe"= TCP:C:\users\felix\desktop\neuer ordner\mirc.exe:mirc.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile]
"EnableFirewall"= 0 (0x0)

R2 SBSDWSCService;SBSD Security Center Service;C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe [2008-01-28 810320]
R3 b57nd60x;Broadcom NetXtreme Gigabit Ethernet - NDIS 6.0;C:\Windows\system32\DRIVERS\b57nd60x.sys [2007-05-24 179712]
R3 btwaudio;Bluetooth-Audiogerät;C:\Windows\system32\drivers\btwaudio.sys [2006-11-07 78128]
R3 btwavdt;Bluetooth AVDT;C:\Windows\system32\drivers\btwavdt.sys [2006-11-07 80176]
R3 btwrchid;btwrchid;C:\Windows\system32\DRIVERS\btwrchid.sys [2006-11-07 16560]
R3 OEM04Vfx;Creative Camera OEM004 Video VFX Driver;C:\Windows\system32\DRIVERS\OEM04Vfx.sys [2007-03-05 7424]
R3 OEM04Vid;Creative Camera OEM004 Driver;C:\Windows\system32\DRIVERS\OEM04Vid.sys [2007-10-10 234720]
R3 SpyFighter;SpyFighter Guard Device;C:\Program Files\SPYWAREfighter\spyfighter.sys [2008-02-21 8336]
R3 SPYWAREfighterRP;SPYWAREfighterRP;C:\Program Files\SPYWAREfighter\spfprc.exe [2008-02-21 406160]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;C:\Program Files\MAGIX\Common\Database\bin\fbserver.exe [2005-11-17 1527900]
S3 UPnPService;UPnPService;C:\Program Files\Common Files\MAGIX Shared\UPnPService\UPnPService.exe [2006-12-14 544768]
S4 AESTFilters;Andrea ST Filters Service;C:\Windows\system32\aestsrv.exe [2007-08-29 73728]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs REG_MULTI_SZ BthServ

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8ef794ae-4fab-11dc-8411-806e6f6e6963}]
\shell\AutoRun\command - E:\setup.exe

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{61E3FE32-07B9-4563-A3E0-2DE2D620FE10}]
C:\Program Files\PixiePack Codec Pack\InstallerHelper.exe
.
Inhalt des "geplante Tasks" Ordners
.
- - - - Entfernte verwaiste Registrierungseintr„ge - - - -

HKCU-Run-MSServer - C:\Users\Felix\AppData\Local\Temp\vtUMcAPf.dll
HKCU-Run-cmds - C:\Users\Felix\AppData\Local\Temp\gEWoNgEw.dll
HKCU-Run-d4bd89cc - C:\Users\Felix\AppData\Local\Temp\mvnybgfn.dll
HKCU-Run-BMd78eba50 - C:\Users\Felix\AppData\Local\Temp\kfecvpgg.dll
MSConfigStartUp-ISTray - C:\Program Files\Spyware Doctor\pctsTray.exe
MSConfigStartUp-OPSE reminder - C:\Program Files\ScanSoft\OmniPageSE2.0\EregGer\Ereg.exe
MSConfigStartUp-OpwareSE2 - C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
MSConfigStartUp-RegClean - C:\Program Files\RegClean\RegClean.exe


.
------- Zus„tzlicher Scan -------
.
FireFox -: Profile - C:\Users\Felix\AppData\Roaming\Mozilla\Firefox\Profiles\0cb7382o.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.studivz.net/
FF -: plugin - c:\Program Files\Java\jre1.6.0\bin\npjava11.dll
FF -: plugin - c:\Program Files\Java\jre1.6.0\bin\npjava12.dll
FF -: plugin - c:\Program Files\Java\jre1.6.0\bin\npjava13.dll
FF -: plugin - c:\Program Files\Java\jre1.6.0\bin\npjava14.dll
FF -: plugin - c:\Program Files\Java\jre1.6.0\bin\npjava32.dll
FF -: plugin - c:\Program Files\Java\jre1.6.0\bin\npjpi160.dll
FF -: plugin - c:\Program Files\Java\jre1.6.0\bin\npoji610.dll
FF -: plugin - C:\Program Files\Mozilla Firefox\plugins\npitunes.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-17 09:35:00
Windows 6.0.6001 Service Pack 1 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere, laufende Prozesse ------------------------
.
C:\Windows\System32\audiodg.exe
C:\Windows\System32\wlanext.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\Windows\System32\stacsv.exe
C:\Windows\System32\conime.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\rundll32.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\System32\wbem\unsecapp.exe
C:\Program Files\Windows Media Player\wmpnetwk.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-09-17 9:41:05 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-09-17 07:40:52

Pre-Run: 13 Verzeichnis(se), 11,391,586,304 Bytes frei
Post-Run: 20 Verzeichnis(se), 11,969,163,264 Bytes frei

302 --- E O F --- 2008-09-12 11:46:04


Punkt 4:

Datentr„ger in Laufwerk C: ist OS
Volumeseriennummer: D4BD-8963

Verzeichnis von c:\

17.09.2008 09:50 0 dirdat.txt
17.09.2008 09:41 24.250 ComboFix.txt
17.09.2008 09:34 2.459.385.856 pagefile.sys
15.09.2008 13:40 0 ARK3EA6.tmp
15.09.2008 12:48 0 MSDOS.SYS
15.09.2008 12:48 0 IO.SYS
19.01.2008 09:45 333.203 bootmgr

Verzeichnis von C:\Windows\system32

17.09.2008 09:34 3.696 7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0
17.09.2008 09:34 3.696 7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0
17.09.2008 09:23 587.178 perfh009.dat
17.09.2008 09:23 101.250 perfc009.dat
17.09.2008 09:23 618.430 perfh007.dat
17.09.2008 09:23 122.648 perfc007.dat
17.09.2008 09:23 1.418.600 PerfStringBackup.INI
11.09.2008 03:38 312.752 FNTCACHE.DAT
06.09.2008 12:24 780.895 ~tmp21685.$$$
26.08.2008 22:28 16.208.504 mrt.exe
02.08.2008 05:26 36.864 cdd.dll
19.07.2008 07:10 53.448 wuauclt.exe
19.07.2008 07:10 45.768 wups2.dll
19.07.2008 07:10 36.552 wups.dll
19.07.2008 07:09 563.912 wuapi.dll
19.07.2008 07:09 1.811.656 wuaueng.dll
19.07.2008 05:44 1.524.736 wucltux.dll
19.07.2008 05:44 83.456 wudriver.dll
18.07.2008 22:08 163.904 wuwebv.dll
18.07.2008 20:44 31.232 wuapp.exe
16.07.2008 03:32 2.048 tzres.dll

Verzeichnis von C:\Windows

17.09.2008 09:41 2.307.776 ntbtlog.txt
17.09.2008 09:40 1.729.787 WindowsUpdate.log
17.09.2008 09:34 215 system.ini
17.09.2008 09:34 67.584 bootstat.dat
17.09.2008 09:34 110.156 PFRO.log
17.09.2008 09:33 836 bthservsdp.dat
16.09.2008 16:22 1.905 diagwrn.xml
16.09.2008 16:22 1.905 diagerr.xml
16.09.2008 16:22 1.263 setupact.log
16.09.2008 16:16 0 setuperr.log
14.09.2008 16:09 434 wininit.ini
11.09.2008 14:33 25 SIERRA.INI
05.09.2008 15:04 770 Sof2.INI
22.08.2008 14:49 33.401 scunin.dat
22.08.2008 14:49 967 ScUnin.pif
22.08.2008 14:49 69.632 ScUnin.exe
07.07.2008 11:42 749 WindowsShell.Manifest
07.07.2008 11:40 3.556 DtcInstall.log

Verzeichnis von C:\Users\Felix\AppData\Local\Temp

17.09.2008 09:44 31.832 Felix.bmp
17.09.2008 09:44 4.100 etilqs_eafLXGgPlx11PezBuahd
17.09.2008 09:41 24.250 log.txt



Nach dem ich alle Programme ausgeführt habe und ich auch das gefühl habe der Trojaner ist weg, meldet Windows nach dem Systemstart dass es zwei DLL-Dateien nicht laden kann. c:\users\..\local\Temp\vtUMcAPf.dll und \gEWoNgEw.dll. kann ich die irgendwie wieder herstellen oder ist da etwa noch ein Trojaner?

Scan wurde durchgeführt. Hier die Log-Datei:

Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1180
Windows 6.0.6001 Service Pack 1

20.09.2008 17:37:18
mbam-log-2008-09-20 (17-37-18).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 183489
Laufzeit: 2 hour(s), 50 minute(s), 36 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\etlrlws.btpv (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{2fe65172-a5c6-4de8-aaca-52b345dfb1ba} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{ff56a4aa-d682-42d8-972f-58940fb6bace} (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MSServer (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\cmds (Malware.Trace) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\QooBox\Quarantine\C\Users\Felix\AppData\Local\Temp\lmlimiig.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Windows\System32\serauth1.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Windows\System32\serauth2.dll (Trojan.Agent) -> Quarantined and deleted successfully.

kann ich mir jetzt sicher sein, dass nichts mehr drauf ist.oder wiederkommt?

#4 * Lade Malwarebytes' Anti-Malware auf deinen Desktop herunter.
www.malwarebytes.org/mbam.php - 10k -
* Mache einen Doppel-Klick auf die mbam-setup.exe und folge den Hinweisen, um das Programm zu installieren.
* Vergewissere dich nun, dass folgende Optionen angehakt sind:

o Malwarebytes' Anti-Malware updaten
o Malwarebytes' Anti-Malware starten

* Klicke nun auf Fertigstellen.
* Wenn ein Update gefunden wird, wird es heruntergeladen und die neueste Version installieren.
* Wenn das Programm fertig geladen ist, wähle kompletScan durchführen, klicke auf Scan.
* Wenn der Scan beendet ist, klicke auf OK, dann auf Ergebnisse anzeigen.
* Vergewissere dich, dass neben allen Malware-Einträgen ein Häkchen sitzt.
* Klicke dann auf 'Ausgewähltes entfernen' und auf OK.

#5 nachdem ich Malware ausgeführt hatte und er auch den Trojaner entdeckt hatte schien alles gut. Bis Antivir wieder den gleichen Trojaner meldete.Anders als bei dem TR\Vundo.flg.9 konnte Antivir diesmal den TR\Vundo.JT und JU löschen.Aber irgendwie habe ich das Gefühl die erstellen sich immer wieder. Sollte ich mit Antivr System Rescue eine Boot-CD erstellen und den Rechner mal durchsuchen lassen?

#6 hallo,
bitte zeige mir das malwarebytes log. mache dann mit neu heruntergeladenem combofix nach anleitung weiter:
http://virus-protect.org/artikel/tools/combofix.html

#7

Zitat

virenfinder postete
hallo,
bitte zeige mir das malwarebytes log. mache dann mit neu heruntergeladenem combofix nach anleitung weiter:
http://virus-protect.org/artikel/tools/combofix.html

alwarebytes' Anti-Malware 1.28
Datenbank Version: 1180
Windows 6.0.6001 Service Pack 1

20.09.2008 17:37:18
mbam-log-2008-09-20 (17-37-18).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 183489
Laufzeit: 2 hour(s), 50 minute(s), 36 second(s)


Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\etlrlws.btpv (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{2fe65172-a5c6-4de8-aaca-52b345dfb1ba} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{ff56a4aa-d682-42d8-972f-58940fb6bace} (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MSServer (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\cmds (Malware.Trace) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\QooBox\Quarantine\C\Users\Felix\AppData\Local\Temp\lmlimiig.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Windows\System32\serauth1.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Windows\System32\serauth2.dll (Trojan.Agent) -> Quarantined and deleted successfully.

Hier auch noch die ComboFix-Log als Anhang!

#8 hallo, wir werden erst mal eine andere (testversion) von avira instalieren, damit wir auch ad und spyware löschen können.
mache bitte alles in der von mir angegebenen reihenfolge:
besuche diese seite:
http://www.avira.com/de/produkte/testlizenz.html
wähle als produkt avira professional und fülle den rest aus.
warte nun so lange, bis du die mal erhalten hast, downloade dann avira professional.
deinstaliere nun die alte version von avira. instaliere die professional und füge die lizensdatei ein. (wird dir beim instalieren angezeigt) nun mache das update.
noch nicht scannen lassen! öffne nun antivir gehe auf konfiguration.
wähle expertenmodus aus. wähle nun scanner. wähle bei gefahrenkategorieen alle aus. bei dateisuchmodus alle dateien. hake sonst alles an außer offline dateien auslassen. bei heuristik stelle die dateiheuristik auf hoch. nun wähle scan und scanne all deine laufwerke. funde in quarantäne und das log posten.

#9

Zitat

virenfinder postete
hallo, wir werden erst mal eine andere (testversion) von avira instalieren, damit wir auch ad und spyware löschen können.
mache bitte alles in der von mir angegebenen reihenfolge:
besuche diese seite:
http://www.avira.com/de/produkte/testlizenz.html
wähle als produkt avira professional und fülle den rest aus.
warte nun so lange, bis du die mal erhalten hast, downloade dann avira professional.
deinstaliere nun die alte version von avira. instaliere die professional und füge die lizensdatei ein. (wird dir beim instalieren angezeigt) nun mache das update.
noch nicht scannen lassen! öffne nun antivir gehe auf konfiguration.
wähle expertenmodus aus. wähle nun scanner. wähle bei gefahrenkategorieen alle aus. bei dateisuchmodus alle dateien. hake sonst alles an außer offline dateien auslassen. bei heuristik stelle die dateiheuristik auf hoch. nun wähle scan und scanne all deine laufwerke. funde in quarantäne und das log posten.

So, hier die Log:

Avira AntiVir Professional
Erstellungsdatum der Reportdatei: Sonntag, 21. September 2008 12:38

Es wird nach 1627335 Virenstämmen gesucht.

Lizenznehmer: Felix ***********
Seriennummer: *************
Plattform: Windows Vista
Windowsversion: (Service Pack 1) [6.0.6001]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: FELIX-PC

Versionsinformationen:
BUILD.DAT : 8.1.0.606 20810 Bytes 12.08.2008 11:18:00
AVSCAN.EXE : 8.1.4.7 315649 Bytes 26.06.2008 08:57:49
AVSCAN.DLL : 8.1.4.0 48897 Bytes 09.05.2008 11:27:06
LUKE.DLL : 8.1.4.5 164097 Bytes 12.06.2008 12:44:16
LUKERES.DLL : 8.1.4.0 12545 Bytes 09.05.2008 11:40:42
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 10:33:34
ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24.06.2008 13:54:15
ANTIVIR2.VDF : 7.0.6.153 3341312 Bytes 12.09.2008 10:35:10
ANTIVIR3.VDF : 7.0.6.189 223744 Bytes 21.09.2008 10:35:12
Engineversion : 8.1.1.34
AEVDF.DLL : 8.1.0.5 102772 Bytes 25.02.2008 09:58:21
AESCRIPT.DLL : 8.1.0.76 319867 Bytes 21.09.2008 10:35:20
AESCN.DLL : 8.1.0.23 119156 Bytes 10.07.2008 12:44:49
AERDL.DLL : 8.1.1.2 438644 Bytes 21.09.2008 10:35:19
AEPACK.DLL : 8.1.2.1 364917 Bytes 15.07.2008 12:58:35
AEOFFICE.DLL : 8.1.0.25 196986 Bytes 21.09.2008 10:35:18
AEHEUR.DLL : 8.1.0.59 1438071 Bytes 21.09.2008 10:35:17
AEHELP.DLL : 8.1.0.15 115063 Bytes 10.07.2008 12:44:48
AEGEN.DLL : 8.1.0.36 315764 Bytes 21.09.2008 10:35:14
AEEMU.DLL : 8.1.0.7 430452 Bytes 31.07.2008 08:33:21
AECORE.DLL : 8.1.1.11 172406 Bytes 21.09.2008 10:35:13
AEBB.DLL : 8.1.0.1 53617 Bytes 10.07.2008 12:44:48
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09.07.2008 08:40:02
AVPREF.DLL : 8.0.2.0 38657 Bytes 16.05.2008 09:27:58
AVREP.DLL : 8.0.0.2 98344 Bytes 21.09.2008 10:35:12
AVREG.DLL : 8.0.0.1 33537 Bytes 09.05.2008 11:26:37
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12.06.2008 12:27:46
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12.06.2008 12:49:36
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07
RCIMAGE.DLL : 8.0.0.51 2420993 Bytes 12.06.2008 13:17:07
RCTEXT.DLL : 8.0.47.0 86273 Bytes 13.06.2008 07:32:21

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: C:\program files\avira\antivir workstation\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: ein
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch

Beginn des Suchlaufs: Sonntag, 21. September 2008 12:38

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '94369' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avmailc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avwebgrd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avesvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'thunderbird.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'VSSVC.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnscfg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'unsecapp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spfprc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WmiPrvSE.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehmsas.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spftray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sttray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dwm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WUDFHost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SDWinSec.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'stacsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RegSrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EvtEng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wlanext.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SLsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'audiodg.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '59' Prozesse mit '59' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit.
[INFO] Bitte starten Sie den Suchlauf erneut mit Administratorrechten

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '53' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <OS>
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Windows\System32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'D:\' <RECOVERY>


Ende des Suchlaufs: Sonntag, 21. September 2008 14:34
Benötigte Zeit: 1:56:13 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

22205 Verzeichnisse wurden überprüft
454014 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
454012 Dateien ohne Befall
5089 Archive wurden durchsucht
3 Warnungen
0 Hinweise
94369 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

Anscheinend hat er ja nichts mehr gefunden. kann ich mir jetzt sicher sein dass mein rechner sauber ist???