VIRUS ALERT! hat mich erwischt

#1 Hallo,

wie anscheinend schon viele andere habe ich mir Virus Alert! eingefangen.
Und zwar glaube ich mit allem drum und dran:
taskmanager deaktiviert; Laufwerke sind unsichtbar; startmenü ist total umgestellt; dieses "tolle" rote Hintergrundbild (wobei ich das inzwischen wegbekommen habe) usw.
Im Moment arbeite ich vom abgesicherten Modus aus, weil sich der normale beim starten immer aufhängt.
Aber auch im abgesicherten Modus steht hinter den Uhrzeiten VIRUS ALERT!

es gab ja schon einige threats zu diesem Virus aber wegen den ganzen logs habe ich noch einmal einen neuen aufgemacht.
Malwarebytes und Combofix kann ich (wie alle anderen programme auf eurer seite) im Moment leider nicht runterladen (sind die downloadserver gerade inaktiv?)

sobald die links bei mir funktionieren werde ich Malwarebytes scanen lassen und das log posten
CCleaner habe ich schon laufen lassen

wenn mir jemand helfen kann wäre das super

schonmal Danke
Zucky

#2 Hallo Zucky
Versuche Malwarebytes hier runterzuladen:
http://www.malwarebytes.org/mbam/program/mbam-setup.exe

#3 Hallo Provisitor,

nein leider funktioniert es von dort auch nicht.
aber wenn der link funktionieren solte kann ich es mit einem anderen PC herunterladen und dann überspielen
mal sehen
wenn es klappt poste ich gleich das log

edit:
es hat geklappt und der scan läuft
wenn er zu lange dauert muss ich erst nochmal weg und bin heute abend wieder mit den logs da

edit 2: (da doppelposts nicht funktionieren)

so also den scan von Malwarebytes hab ich abgeschlosen und die Dateien gelöscht.
er sagte mir, dass er nicht alle löschen kann und neustarten will, um den Rest zu löschen.
gesagt - getan und er is sogar im nicht abgesicherten Modus ohne Probleme hochgefahren.
Das Virus Alert! hinter den Uhrzeiten ist weg, taskmanager ist wieder aktiviert, Startmenü weiderhergestellt und alle Laufwerke tauchen wieder auf...
Muss ich den Rest dann überhaupt noch machen (Combofix etc.) oder ist das dadurch überflüssig geworden?

Hier ist auf jeden fall das Log von Malwarebytes:

Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1204
Windows 5.1.2600 Service Pack 2

25.09.2008 20:10:57
mbam-log-2008-09-25 (20-10-57).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|K:\|N:\|)
Durchsuchte Objekte: 477026
Laufzeit: 2 hour(s), 17 minute(s), 46 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 6
Infizierte Registrierungsschlüssel: 25
Infizierte Registrierungswerte: 3
Infizierte Dateiobjekte der Registrierung: 15
Infizierte Verzeichnisse: 3
Infizierte Dateien: 78

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\WINDOWS\system32\lhojwjul.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\ljJCssro.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\tuvVOeDs.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\qzyjdv.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\enbugjtb.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\ymapzx.dll (Trojan.Vundo) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{532ec1a4-c9c9-404e-82e3-243d2e7d1d31} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{532ec1a4-c9c9-404e-82e3-243d2e7d1d31} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5aee532c-7c2f-4e5c-a044-096846cb9490} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\tuvvoeds (Trojan.Vundo.H) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{5aee532c-7c2f-4e5c-a044-096846cb9490} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{f2cfa712-fa62-4985-a313-51495ecb5905} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{f2cfa712-fa62-4985-a313-51495ecb5905} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winpaa32 (Dialer) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\TypeLib\{03c56db8-a321-4cd1-bd9e-5a85ac0a5144} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{be29f87a-8ede-46fb-bf2c-4e48438f8504} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{d355a751-c166-4351-8112-0eb0775e1b16} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\webvideo (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\VSPlugin (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\fqbewlna.bqmg (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\fqbewlna.toolbar.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\MicroAV (Rogue.MicroAntivirus) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ec9072fd (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{5aee532c-7c2f-4e5c-a044-096846cb9490} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{d355a751-c166-4351-8112-0eb0775e1b16} (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\ljjcssro -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\ljjcssro -> Delete on reboot.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.Homepage) -> Bad: (http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2) Good: (http://www.google.com/) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProductId (Trojan.FakeAlert) -> Bad: (VIRUS ALERT!) Good: (76497-OEM-0011903-00846) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\International\sTimeFormat (Trojan.FakeAlert) -> Bad: (HH:mm: VIRUS ALERT!) Good: (HH:mm:ss) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyDocs (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoStartMenuMorePrograms (Hijack.StartMenu) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\StartMenuLogOff (Hijack.StartMenu) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDrives (Hijack.Drives) -> Bad: (12) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoToolbarCustomize (Hijack.Explorer) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetFolders (Hijack.Explorer) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispCPL (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
C:\Programme\PCHealthCenter (Trojan.Fakealert) -> Quarantined and deleted successfully.
C:\Programme\VSAdd-in (Adware.Agent) -> Quarantined and deleted successfully.
C:\Programme\MicroAV (Rogue.MicroAntivirus) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\WINDOWS\system32\ljJCssro.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\orssCJjl.ini (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\orssCJjl.ini2 (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\tuvVOeDs.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\ymapzx.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\lhojwjul.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\lujwjohl.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ruqlmigb.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\bgimlqur.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ywvesknh.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\hnksevwy.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\qzyjdv.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\enbugjtb.dll (Trojan.Vundo) -> Delete on reboot.
C:\x (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan\1.exe.q_D178400_q (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan\2.exe.q_D178000_q (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan\3.exe.q_D177A00_q (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan\4.exe.q_D177A00_q (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan\7.exe.q_D17A001_q (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan\YUR3.exe.q_8048400_q (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan\YUR30.exe.q_804A001_q (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan\YUR4.exe.q_8048000_q (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan\YUR5.exe.q_8047A00_q (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan\YUR6.exe.q_8047A00_q (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Moritz\Lokale Einstellungen\Temporary Internet Files\Content.IE5\9ZO39S75\nd82m0[1] (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Moritz\Lokale Einstellungen\Temporary Internet Files\Content.IE5\9ZO39S75\upd105320[1] (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Programme\MicroAV\MicroAV.cpl (Rogue.Agent) -> Quarantined and deleted successfully.
C:\Programme\PCHealthCenter\0.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Programme\PCHealthCenter\5.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\eeqb.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\bsvvos.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\flckyf.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\hlqxlb.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\hugphd.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\kxhlbjoc.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\MicroAV.cpl (Rogue.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\njfrby.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ojkfqbax.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\pmbvashf.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\qxtjesyi.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\sjhxckdr.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\svklut.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\tcjphj.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\vlfhfwor.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\vmsttrrq.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\whqqxofw.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\wiyruixf.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\xmarwt.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\xxyvutTL.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Programme\PCHealthCenter\0.gif (Trojan.Fakealert) -> Quarantined and deleted successfully.
C:\Programme\PCHealthCenter\1.gif (Trojan.Fakealert) -> Quarantined and deleted successfully.
C:\Programme\PCHealthCenter\1.ico (Trojan.Fakealert) -> Quarantined and deleted successfully.
C:\Programme\PCHealthCenter\2.gif (Trojan.Fakealert) -> Quarantined and deleted successfully.
C:\Programme\PCHealthCenter\2.ico (Trojan.Fakealert) -> Quarantined and deleted successfully.
C:\Programme\PCHealthCenter\3.gif (Trojan.Fakealert) -> Quarantined and deleted successfully.
C:\Programme\PCHealthCenter\sc.html (Trojan.Fakealert) -> Quarantined and deleted successfully.
C:\Programme\MicroAV\MicroAV.ooo (Rogue.MicroAntivirus) -> Quarantined and deleted successfully.
C:\Programme\MicroAV\MicroAV0.dat (Rogue.MicroAntivirus) -> Quarantined and deleted successfully.
C:\Programme\MicroAV\MicroAV1.dat (Rogue.MicroAntivirus) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\winpaa32.dll (Dialer) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\mcrh.tmp (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\1.ico (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\2.ico (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\tdssadw.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdssl.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdssserf.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdssmain.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdssinit.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdsslog.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdssservers.dat (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\drivers\tdssserv.sys (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\ddcya.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\fqbewlna.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\mqgldfvo.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Moritz\Anwendungsdaten\TmpRecentIcons\Micro Antivirus 2009.lnk (Rogue.Link) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Moritz\Favoriten\Error Cleaner.url (Rogue.Link) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Moritz\Favoriten\Privacy Protector.url (Rogue.Link) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Moritz\Favoriten\Spyware&Malware Protection.url (Rogue.Link) -> Quarantined and deleted successfully.

#4

Zitat

Muss ich den Rest dann überhaupt noch machen (Combofix etc.) oder ist das dadurch überflüssig geworden?

Ja Zucky, Scanne mit Combofix ( & kontrolliere ob die Downloads auch wieder funzen) -poste noch dessen Report und anschließend ein neues Hijackthis. Ggf. muß noch etwas manuell raus!
Kontrolliere auch,- ob Dein Security Task-Manager noch (wieder) einwandfrei funktioniert, an diesem Programm wurde auch manipuliert.

#5 so also hier ist das Combofix log
Hijackthis kommt noch wenn nötig

ComboFix 08-09-25.03 - Moritz 2008-09-25 21:42:45.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.628 [GMT 2:00]
ausgeführt von:: G:\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Moritz\Anwendungsdaten\.#
C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows Media\10.0\WMSDKNSD.XML

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_TDSSSERV
-------\Service_TDSSserv


((((((((((((((((((((((( Dateien erstellt von 2008-08-25 bis 2008-09-25 ))))))))))))))))))))))))))))))
.

2008-09-25 20:14 . 2008-09-25 21:46 921,120 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2008-09-25 20:14 . 2008-09-25 21:46 114,720 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat
2008-09-25 20:14 . 2008-09-25 21:46 9,324 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2008-09-25 20:14 . 2008-09-25 21:46 1,472 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx
2008-09-25 16:47 . 2008-09-25 16:47 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-09-25 16:47 . 2008-09-25 16:47 <DIR> d-------- C:\Dokumente und Einstellungen\Moritz\Anwendungsdaten\Malwarebytes
2008-09-25 16:47 . 2008-09-25 16:47 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-09-25 16:47 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-09-25 16:47 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-09-25 15:03 . 2008-09-25 15:03 <DIR> d-------- C:\Programme\CCleaner
2008-09-22 08:55 . 2008-09-24 13:38 1,662,978 ---hs---- C:\WINDOWS\system32\gqqylnwv.ini
2008-09-21 01:38 . 2008-09-22 08:50 1,107,295 ---hs---- C:\WINDOWS\system32\ysiherke.ini
2008-09-19 21:32 . 2008-09-21 01:38 1,106,995 ---hs---- C:\WINDOWS\system32\qujadrid.ini
2008-09-16 13:24 . 2008-09-19 15:25 1,106,815 ---hs---- C:\WINDOWS\system32\qykusfqb.ini
2008-09-15 21:44 . 2008-09-16 13:24 1,102,525 ---hs---- C:\WINDOWS\system32\gadsbeff.ini
2008-09-15 21:27 . 2003-06-25 16:05 266,360 --a------ C:\WINDOWS\system32\TweakUI.exe
2008-09-15 21:27 . 2002-06-21 15:09 160,217 --a------ C:\WINDOWS\system32\PowerToysLicense.rtf
2008-09-15 10:59 . 2008-09-16 13:27 96,976 --a------ C:\WINDOWS\system32\drivers\klin.dat
2008-09-15 10:59 . 2008-09-16 13:27 87,855 --a------ C:\WINDOWS\system32\drivers\klick.dat
2008-09-15 10:52 . 2008-09-15 10:52 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files
2008-09-06 23:26 . 2008-09-06 23:26 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Motion Playground Inc

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-25 18:16 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-09-25 13:10 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-09-25 13:09 --------- d-----w C:\Programme\My MP3
2008-09-24 18:46 --------- d-----w C:\Dokumente und Einstellungen\Moritz\Anwendungsdaten\teamspeak2
2008-09-23 19:20 --------- d-----w C:\Dokumente und Einstellungen\Moritz\Anwendungsdaten\Hamachi
2008-09-21 23:18 --------- d-----w C:\Programme\Trillian
2008-09-15 21:18 --------- d-----w C:\Dokumente und Einstellungen\Moritz\Anwendungsdaten\Skype
2008-09-15 09:12 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan
2008-09-15 08:57 --------- d-----w C:\Programme\Kaspersky Lab
2008-09-06 20:40 --------- d-----w C:\Dokumente und Einstellungen\Moritz\Anwendungsdaten\CyberLink
2008-07-29 14:52 --------- d-----w C:\Programme\Realtek
2008-07-27 11:35 --------- d-----w C:\Programme\Alcohol 120
2008-06-26 19:01 2,829 ----a-w C:\WINDOWS\War3Unin.pif
2008-06-26 19:01 139,264 ----a-w C:\WINDOWS\War3Unin.exe
2008-02-15 14:25 22,328 ----a-w C:\Dokumente und Einstellungen\Moritz\Anwendungsdaten\PnkBstrK.sys
2007-10-12 00:29 98,570 ----a-w C:\Programme\MyPicture.exe
2007-10-12 00:29 98,570 ----a-w C:\Dokumente und Einstellungen\Programme\MyPicture.exe
2007-10-12 00:26 0 ----a-w C:\Programme\MyPictures.ini
2007-06-19 08:34 24 ----a-w C:\Dokumente und Einstellungen\Moritz\launcher.dat
2006-02-10 11:10 251,214 ----a-w C:\Programme\setup.inx
2007-09-12 09:19 8,784 ----a-w C:\Programme\mozilla firefox\plugins\ractrlkeyhook.dll
2007-09-12 09:22 245,408 ----a-w C:\Programme\mozilla firefox\plugins\unicows.dll
2006-10-09 11:55 8 --sh--r C:\WINDOWS\system32\EC23ACB85A.sys
2006-10-09 11:55 4,704 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
2007-04-29 16:35 616,002 --sh--w C:\WINDOWS\system32\lnnmp.bak1
2007-04-29 20:38 615,704 --sh--w C:\WINDOWS\system32\lnnmp.bak2
2007-04-29 21:05 619,036 --sh--w C:\WINDOWS\system32\lnnmp.ini2
2007-01-31 16:45 477,605 --sh--w C:\WINDOWS\system32\rtutv.bak1
2007-02-04 17:46 486,194 --sh--w C:\WINDOWS\system32\rtutv.bak2
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2006-03-24 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SetIcon"="\Programme\SMSC\SetIcon.exe" [2004-04-28 42496]
"type32"="C:\Programme\Microsoft IntelliType Pro\type32.exe" [2003-05-16 114688]
"IntelliPoint"="C:\Programme\Microsoft IntelliPoint\point32.exe" [2003-05-16 163840]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 8523776]
"RTHDCPL"="RTHDCPL.EXE" [2006-10-09 C:\WINDOWS\RTHDCPL.exe]
"SkyTel"="SkyTel.EXE" [2006-10-09 C:\WINDOWS\SkyTel.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-03-24 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"InstallVisualStyle"= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"= C:\WINDOWS\Resources\Themes\Royale.theme

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LMIinit]
2007-11-15 19:46 87352 C:\WINDOWS\system32\LMIinit.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.mkdmp3enc"= C:\PROGRA~1\HOMECI~1\MAGICD~1\Kernel\Burner\MKDMP3Enc.ACM
"VIDC.ACDV"= ACDV.dll

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Moritz^Startmenü^Programme^Autostart^WINAMP.LNK]
path=C:\Dokumente und Einstellungen\Moritz\Startmenü\Programme\Autostart\WINAMP.LNK
backup=C:\WINDOWS\pss\WINAMP.LNKStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ehTray]
--a------ 2005-09-29 14:01 67584 C:\WINDOWS\ehome\ehtray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HotKey]
--a------ 2006-11-03 17:13 81920 C:\Programme\hotkey\hotkey.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\InstantOn]
--------- 2006-06-21 17:29 93640 C:\Programme\CyberLink\PowerCinema Linux\ion_install.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
--a------ 2008-03-30 10:36 267048 C:\Programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LanguageShortcut]
--a------ 2006-05-18 11:29 49152 C:\Programme\Home Cinema\PowerDVD\Language\Language.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogMeIn GUI]
--a------ 2007-09-12 11:20 63048 C:\Programme\LogMeIn\x86\LogMeInSystray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
--a------ 2006-01-24 21:23 7094272 C:\Programme\MSN Messenger\msnmsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2006-01-12 16:40 155648 C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
--a------ 2007-12-05 02:41 8523776 C:\WINDOWS\system32\nvcpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
--a------ 2007-12-05 02:41 81920 C:\WINDOWS\system32\nvmctray.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2008-03-28 23:37 413696 C:\Programme\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
--a------ 2007-02-09 17:00 25388584 C:\Programme\Skype\Phone\Skype.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TrayServer]
--a------ 2006-10-04 16:41 86016 C:\Programme\Magix\Trayserver.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TVBroadcast]
--a------ 2006-10-20 00:43 814080 C:\Programme\Sceneo\Bonavista\Services\ODSBC\ODSBCApp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TVEService]
--a------ 2006-10-19 15:00 151552 C:\Programme\Home Cinema\TV Enhance\TVEService.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Veoh]
--a------ 2008-05-08 16:53 3640368 C:\Programme\Veoh Networks\Veoh\VeohClient.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
--a------ 2007-12-05 02:41 1626112 C:\WINDOWS\system32\nwiz.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\WINDOWS\\system32\\sessmgr.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\WINDOWS\\system32\\fxsclnt.exe"=
"C:\\Programme\\NetMeeting\\Conf.exe"=
"D:\\Moritz\\Spiele\\Battlefield demo\\BF2.exe"=
"D:\\Moritz\\Spiele\\UT 3 Demo\\Binaries\\UT3Demo.exe"=
"D:\\Moritz\\Spiele\\Unreal Tournament III\\Binaries\\UT3.exe"=
"C:\\WINDOWS\\system32\\PnkBstrA.exe"=
"C:\\WINDOWS\\system32\\PnkBstrB.exe"=
"D:\\Moritz\\Spiele\\Supreme Commander Forged Alliance\\Supreme Commander - Forged Alliance\\bin\\ForgedAlliance.exe"=
"D:\\Moritz\\Spiele\\Supreme Commander Forged Alliance\\GPGNet\\GPG.Multiplayer.Client.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"D:\\Moritz\\Spiele\\Call of Duty 4\\iw3mp.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

R0 klbg;Kaspersky Lab Boot Guard Driver;C:\WINDOWS\system32\drivers\klbg.sys [2008-01-29 32784]
R0 videX32;videX32;C:\WINDOWS\system32\DRIVERS\videX32.sys [2006-09-07 9728]
R0 xfilt;VIA SATA IDE Hot-plug Driver;C:\WINDOWS\system32\DRIVERS\xfilt.sys [2006-09-07 11264]
R2 ACEDRV06;ACEDRV06;C:\WINDOWS\system32\drivers\ACEDRV06.sys [2007-05-07 99840]
R2 LMIInfo;LogMeIn Kernel Information Provider;C:\Programme\LogMeIn\x86\RaInfo.sys [2007-09-12 12992]
R2 LMIRfsDriver;LogMeIn Remote File System Driver;C:\WINDOWS\system32\drivers\LMIRfsDriver.sys [2007-09-12 46112]
R3 3xHybrid;Philips SAA713x PCI Card;C:\WINDOWS\system32\DRIVERS\3xHybrid.sys [2006-10-10 1105664]
R3 KLFLTDEV;Kaspersky Lab KLFltDev;C:\WINDOWS\system32\DRIVERS\klfltdev.sys [2008-03-13 26640]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2008-03-25 24592]
R3 X10Hid;X10 Hid Device;C:\WINDOWS\system32\Drivers\x10hid.sys [2005-11-28 7040]
S3 DMSKSSRh;DMSKSSRh;C:\DOKUME~1\Moritz\LOKALE~1\Temp\DMSKSSRh.sys [ ]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;C:\Programme\Common\Database\bin\fbserver.exe [2005-11-17 1527900]
S3 TVECapSvc;TVEnhance Background Capture Service (TBCS);C:\Programme\Home Cinema\TV Enhance\Kernel\TV\TVECapSvc.exe [2006-10-19 282709]
S3 TVESched;TVEnhance Task Scheduler (TTS));C:\Programme\Home Cinema\TV Enhance\Kernel\TV\TVESched.exe [2006-10-19 122971]
S4 srvcPVR;Sceneo PVR Service;C:\Programme\Sceneo\Bonavista\Services\PVR\PVRService.exe [2006-10-24 1441280]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

SSODL-mgxfebsq-{A747C1EF-5BC6-4836-8A40-99A9FFB1448A} - (no file)
Notify-pmnnl - C:\WINDOWS\system32\pmnnl.dll
Notify-vtutr - C:\WINDOWS\system32\vtutr.dll
Notify-iifddcy - iifddcy.dll
MSConfigStartUp-amva - C:\WINDOWS\system32\amvo.exe
MSConfigStartUp-avgnt - C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
MSConfigStartUp-BullGuard - C:\Programme\BullGuard Software\BullGuard\bullguard.exe
MSConfigStartUp-ICQ Lite - C:\Programme\ICQ\ICQLite.exe


.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Moritz\Anwendungsdaten\Mozilla\Firefox\Profiles\xpv0jh8d.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - www.toool.de
FF -: plugin - C:\Programme\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll
FF -: plugin - C:\Programme\DivX\DivX Content Uploader\npUpload.dll
FF -: plugin - C:\Programme\iTunes\Mozilla Plugins\npitunes.dll
FF -: plugin - C:\Programme\Java\jre1.5.0_08\bin\NPJava11.dll
FF -: plugin - C:\Programme\Java\jre1.5.0_08\bin\NPJava12.dll
FF -: plugin - C:\Programme\Java\jre1.5.0_08\bin\NPJava13.dll
FF -: plugin - C:\Programme\Java\jre1.5.0_08\bin\NPJava14.dll
FF -: plugin - C:\Programme\Java\jre1.5.0_08\bin\NPJava32.dll
FF -: plugin - C:\Programme\Java\jre1.5.0_08\bin\NPJPI150_08.dll
FF -: plugin - C:\Programme\Java\jre1.5.0_08\bin\NPOJI610.dll
FF -: plugin - C:\Programme\Mozilla Firefox\plugins\npRACtrl.dll
FF -: plugin - C:\Programme\Veoh Networks\Veoh\Plugins\noreg\NPVeohVersion.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-25 21:48:01
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien:

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet005\Services\MySQL]
"ImagePath"="\"C:\Programme\MySQL\MySQL Server 5.0\bin\mysqld-nt\" --defaults-file=\"C:\Programme\MySQL\MySQL Server 5.0\my.ini\" MySQL"
.
------------------------ Weitere laufende Prozesse ------------------------
.
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\SMSC\SetIcon.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-09-25 21:50:55 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-09-25 19:50:52

Vor Suchlauf: 9.575.784.448 Bytes frei
Nach Suchlauf: 15 Verzeichnis(se), 13,474,091,008 Bytes frei

222

#6 @ Zucky
poste am besten nochmal ein HJT (kann nie schaden).Mit Combofix wurde auch noch was gelöscht, ein paar Einträge könnten (!) evtl. noch schlecht sein.(in Sys32 und bei einem S3- Eintrag) bin mir aber nicht 100 pro sicher.Warten wir mal ab, was Arnold oder Swiss dazu schreibt.-nichts selber unternehmen!!!
Auf jeden Fall mußt Du nochmal vorbeischauen, weil ganz am Schluß wieder Combofix entfernt werden muß.-Aber poste erstmal das HJT!

#7 ok

hier das HJT logfile

(edit: ich werde warscheinlich erst morgen wieder reinschauen aber schonmal danke für die Hilfe bis jetzt)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:46:38, on 25.09.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\SMSC\SetIcon.exe
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\explorer.exe
C:\Programme\Trillian\trillian.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O4 - HKLM\..\Run: [SetIcon] \Programme\SMSC\SetIcon.exe
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - AutorunsDisabled - (no file)
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: Web traffic protection statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com/
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkID=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1160402350437
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1161001832152
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\Common\Database\bin\fbserver.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Unknown owner - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe (file missing)
O23 - Service: MySQL - Unknown owner - C:\Programme\MySQL\MySQL.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TVEnhance Background Capture Service (TBCS) (TVECapSvc) - Unknown owner - C:\Programme\Home Cinema\TV Enhance\Kernel\TV\TVECapSvc.exe
O23 - Service: TVEnhance Task Scheduler (TTS)) (TVESched) - Unknown owner - C:\Programme\Home Cinema\TV Enhance\Kernel\TV\TVESched.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
O24 - Desktop Component 0: (no name) - (no file)

--
End of file - 5423 bytes

#8 Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

Zitat

O9 - Extra button: (no name) - AutorunsDisabled - (no file)
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Unknown owner - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe (file missing)
O23 - Service: MySQL - Unknown owner - C:\Programme\MySQL\MySQL.exe (file missing)
O24 - Desktop Component 0: (no name) - (no file)

klicke: Fix checked
Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst

CombiFix entfernen
Start > Ausführen>Kopiere rein ComboFix /U OK

Download ComboFix nochmal

ComboFix(by sUBs)
Download ComboFix und speichert es auf den Desktop!
Alle Fenster schließen und combofix.exe starten
Folge den Instruktionen in das Fenster
Während Combofix lauft NICHT ins Fenster klicken sonst erfriert dein Rechner
Wenn das Tool fertig ist,oeffnet sich ein logfile (C:\ combofix.txt)
nun das KOMPLETTE Log mit rechtem Mausklick ab kopieren und ins Forum mit rechtem Mausklick "einfügen"
Wenn dein Virenscanner meckert, ignorieren !

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fix.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

File::
C:\WINDOWS\system32\gqqylnwv.ini
C:\WINDOWS\system32\ysiherke.ini
C:\WINDOWS\system32\qujadrid.ini
C:\WINDOWS\system32\qykusfqb.ini
C:\WINDOWS\system32\gadsbeff.ini
C:\WINDOWS\system32\lnnmp.bak1
C:\WINDOWS\system32\lnnmp.bak2
C:\WINDOWS\system32\lnnmp.ini2
C:\WINDOWS\system32\rtutv.bak1
C:\WINDOWS\system32\rtutv.bak2
C:\DOKUME~1\Moritz\LOKALE~1\Temp\DMSKSSRh.sys

Driver::
DMSKSSRh.sys

CFScript.txt mit der rechten Maustaste auf das Symbol von Combofix ziehen


Combofix noch mal anwenden
poste dann nach neustart das neue Log
__________
MfG Argus

#9 so... ich habe jetzt die 4 sachen mit HJT gefixt, Combofix entfernt, neu runtergeladen und laufen gelassen.

die fix.bat datei habe ich erstellt
[Hier nebenbei noch eine Frage: irgendwie zeigen sich bei mir die dateiendungen nicht mehr an (fix.bat wird als fix angezeigt) wo kann man das zurückstellen?]

Zitat

CFScript.txt mit der rechten Maustaste auf das Symbol von Combofix ziehen

CFScript finde ich nicht.
ist damit combofix.txt also das log vom ersten durchlauf gemeint?

Also diese datei darübergezogen und combofix zum zweiten mal scanen lassen habe ich noch nicht gemacht aber hier ist das logfile des ersten durchlaufs


ComboFix 08-09-25.05 - Moritz 2008-09-26 14:15:28.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.691 [GMT 2:00]
ausgeführt von:: D:\Moritz\Treiber\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/color]
.

((((((((((((((((((((((( Dateien erstellt von 2008-08-26 bis 2008-09-26 ))))))))))))))))))))))))))))))
.

2008-09-25 22:35 . 2008-09-25 22:35 <DIR> d-------- C:\Programme\Trend Micro
2008-09-25 20:14 . 2008-09-26 14:07 921,120 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2008-09-25 20:14 . 2008-09-26 14:07 114,720 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat
2008-09-25 20:14 . 2008-09-26 14:07 9,324 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2008-09-25 20:14 . 2008-09-26 14:07 1,472 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx
2008-09-25 16:47 . 2008-09-25 16:47 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-09-25 16:47 . 2008-09-25 16:47 <DIR> d-------- C:\Dokumente und Einstellungen\Moritz\Anwendungsdaten\Malwarebytes
2008-09-25 16:47 . 2008-09-25 16:47 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-09-25 16:47 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-09-25 16:47 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-09-25 15:03 . 2008-09-25 15:03 <DIR> d-------- C:\Programme\CCleaner
2008-09-22 08:55 . 2008-09-24 13:38 1,662,978 ---hs---- C:\WINDOWS\system32\gqqylnwv.ini
2008-09-21 01:38 . 2008-09-22 08:50 1,107,295 ---hs---- C:\WINDOWS\system32\ysiherke.ini
2008-09-19 21:32 . 2008-09-21 01:38 1,106,995 ---hs---- C:\WINDOWS\system32\qujadrid.ini
2008-09-16 13:24 . 2008-09-19 15:25 1,106,815 ---hs---- C:\WINDOWS\system32\qykusfqb.ini
2008-09-15 21:44 . 2008-09-16 13:24 1,102,525 ---hs---- C:\WINDOWS\system32\gadsbeff.ini
2008-09-15 21:27 . 2003-06-25 16:05 266,360 --a------ C:\WINDOWS\system32\TweakUI.exe
2008-09-15 21:27 . 2002-06-21 15:09 160,217 --a------ C:\WINDOWS\system32\PowerToysLicense.rtf
2008-09-15 10:59 . 2008-09-16 13:27 96,976 --a------ C:\WINDOWS\system32\drivers\klin.dat
2008-09-15 10:59 . 2008-09-16 13:27 87,855 --a------ C:\WINDOWS\system32\drivers\klick.dat
2008-09-15 10:52 . 2008-09-15 10:52 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files
2008-09-06 23:26 . 2008-09-06 23:26 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Motion Playground Inc

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-25 18:16 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-09-25 13:10 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-09-25 13:09 --------- d-----w C:\Programme\My MP3
2008-09-24 18:46 --------- d-----w C:\Dokumente und Einstellungen\Moritz\Anwendungsdaten\teamspeak2
2008-09-23 19:20 --------- d-----w C:\Dokumente und Einstellungen\Moritz\Anwendungsdaten\Hamachi
2008-09-21 23:18 --------- d-----w C:\Programme\Trillian
2008-09-15 21:18 --------- d-----w C:\Dokumente und Einstellungen\Moritz\Anwendungsdaten\Skype
2008-09-15 09:12 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan
2008-09-15 08:57 --------- d-----w C:\Programme\Kaspersky Lab
2008-09-06 20:40 --------- d-----w C:\Dokumente und Einstellungen\Moritz\Anwendungsdaten\CyberLink
2008-07-29 14:52 --------- d-----w C:\Programme\Realtek
2008-07-27 11:35 --------- d-----w C:\Programme\Alcohol 120
2008-06-26 19:01 2,829 ----a-w C:\WINDOWS\War3Unin.pif
2008-06-26 19:01 139,264 ----a-w C:\WINDOWS\War3Unin.exe
2008-02-15 14:25 22,328 ----a-w C:\Dokumente und Einstellungen\Moritz\Anwendungsdaten\PnkBstrK.sys
2007-10-12 00:29 98,570 ----a-w C:\Programme\MyPicture.exe
2007-10-12 00:29 98,570 ----a-w C:\Dokumente und Einstellungen\Programme\MyPicture.exe
2007-10-12 00:26 0 ----a-w C:\Programme\MyPictures.ini
2007-06-19 08:34 24 ----a-w C:\Dokumente und Einstellungen\Moritz\launcher.dat
2006-02-10 11:10 251,214 ----a-w C:\Programme\setup.inx
2007-09-12 09:19 8,784 ----a-w C:\Programme\mozilla firefox\plugins\ractrlkeyhook.dll
2007-09-12 09:22 245,408 ----a-w C:\Programme\mozilla firefox\plugins\unicows.dll
2006-10-09 11:55 8 --sh--r C:\WINDOWS\system32\EC23ACB85A.sys
2006-10-09 11:55 4,704 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
2007-04-29 16:35 616,002 --sh--w C:\WINDOWS\system32\lnnmp.bak1
2007-04-29 20:38 615,704 --sh--w C:\WINDOWS\system32\lnnmp.bak2
2007-04-29 21:05 619,036 --sh--w C:\WINDOWS\system32\lnnmp.ini2
2007-01-31 16:45 477,605 --sh--w C:\WINDOWS\system32\rtutv.bak1
2007-02-04 17:46 486,194 --sh--w C:\WINDOWS\system32\rtutv.bak2
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2006-03-24 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SetIcon"="\Programme\SMSC\SetIcon.exe" [2004-04-28 42496]
"type32"="C:\Programme\Microsoft IntelliType Pro\type32.exe" [2003-05-16 114688]
"IntelliPoint"="C:\Programme\Microsoft IntelliPoint\point32.exe" [2003-05-16 163840]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 8523776]
"RTHDCPL"="RTHDCPL.EXE" [2006-10-09 C:\WINDOWS\RTHDCPL.exe]
"SkyTel"="SkyTel.EXE" [2006-10-09 C:\WINDOWS\SkyTel.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-03-24 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"InstallVisualStyle"= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"= C:\WINDOWS\Resources\Themes\Royale.theme

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LMIinit]
2007-11-15 19:46 87352 C:\WINDOWS\system32\LMIinit.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.mkdmp3enc"= C:\PROGRA~1\HOMECI~1\MAGICD~1\Kernel\Burner\MKDMP3Enc.ACM
"VIDC.ACDV"= ACDV.dll

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Moritz^Startmenü^Programme^Autostart^WINAMP.LNK]
path=C:\Dokumente und Einstellungen\Moritz\Startmenü\Programme\Autostart\WINAMP.LNK
backup=C:\WINDOWS\pss\WINAMP.LNKStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ehTray]
--a------ 2005-09-29 14:01 67584 C:\WINDOWS\ehome\ehtray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HotKey]
--a------ 2006-11-03 17:13 81920 C:\Programme\hotkey\hotkey.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\InstantOn]
--------- 2006-06-21 17:29 93640 C:\Programme\CyberLink\PowerCinema Linux\ion_install.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
--a------ 2008-03-30 10:36 267048 C:\Programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LanguageShortcut]
--a------ 2006-05-18 11:29 49152 C:\Programme\Home Cinema\PowerDVD\Language\Language.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogMeIn GUI]
--a------ 2007-09-12 11:20 63048 C:\Programme\LogMeIn\x86\LogMeInSystray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
--a------ 2006-01-24 21:23 7094272 C:\Programme\MSN Messenger\msnmsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2006-01-12 16:40 155648 C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
--a------ 2007-12-05 02:41 8523776 C:\WINDOWS\system32\nvcpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
--a------ 2007-12-05 02:41 81920 C:\WINDOWS\system32\nvmctray.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2008-03-28 23:37 413696 C:\Programme\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
--a------ 2007-02-09 17:00 25388584 C:\Programme\Skype\Phone\Skype.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TrayServer]
--a------ 2006-10-04 16:41 86016 C:\Programme\Magix\Trayserver.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TVBroadcast]
--a------ 2006-10-20 00:43 814080 C:\Programme\Sceneo\Bonavista\Services\ODSBC\ODSBCApp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TVEService]
--a------ 2006-10-19 15:00 151552 C:\Programme\Home Cinema\TV Enhance\TVEService.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Veoh]
--a------ 2008-05-08 16:53 3640368 C:\Programme\Veoh Networks\Veoh\VeohClient.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
--a------ 2007-12-05 02:41 1626112 C:\WINDOWS\system32\nwiz.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\WINDOWS\\system32\\sessmgr.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\WINDOWS\\system32\\fxsclnt.exe"=
"C:\\Programme\\NetMeeting\\Conf.exe"=
"D:\\Moritz\\Spiele\\Battlefield demo\\BF2.exe"=
"D:\\Moritz\\Spiele\\UT 3 Demo\\Binaries\\UT3Demo.exe"=
"D:\\Moritz\\Spiele\\Unreal Tournament III\\Binaries\\UT3.exe"=
"C:\\WINDOWS\\system32\\PnkBstrA.exe"=
"C:\\WINDOWS\\system32\\PnkBstrB.exe"=
"D:\\Moritz\\Spiele\\Supreme Commander Forged Alliance\\Supreme Commander - Forged Alliance\\bin\\ForgedAlliance.exe"=
"D:\\Moritz\\Spiele\\Supreme Commander Forged Alliance\\GPGNet\\GPG.Multiplayer.Client.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"D:\\Moritz\\Spiele\\Call of Duty 4\\iw3mp.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

R0 klbg;Kaspersky Lab Boot Guard Driver;C:\WINDOWS\system32\drivers\klbg.sys [2008-01-29 32784]
R0 videX32;videX32;C:\WINDOWS\system32\DRIVERS\videX32.sys [2006-09-07 9728]
R0 xfilt;VIA SATA IDE Hot-plug Driver;C:\WINDOWS\system32\DRIVERS\xfilt.sys [2006-09-07 11264]
R2 ACEDRV06;ACEDRV06;C:\WINDOWS\system32\drivers\ACEDRV06.sys [2007-05-07 99840]
R2 LMIInfo;LogMeIn Kernel Information Provider;C:\Programme\LogMeIn\x86\RaInfo.sys [2007-09-12 12992]
R2 LMIRfsDriver;LogMeIn Remote File System Driver;C:\WINDOWS\system32\drivers\LMIRfsDriver.sys [2007-09-12 46112]
R3 3xHybrid;Philips SAA713x PCI Card;C:\WINDOWS\system32\DRIVERS\3xHybrid.sys [2006-10-10 1105664]
R3 KLFLTDEV;Kaspersky Lab KLFltDev;C:\WINDOWS\system32\DRIVERS\klfltdev.sys [2008-03-13 26640]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2008-03-25 24592]
R3 X10Hid;X10 Hid Device;C:\WINDOWS\system32\Drivers\x10hid.sys [2005-11-28 7040]
S3 DMSKSSRh;DMSKSSRh;C:\DOKUME~1\Moritz\LOKALE~1\Temp\DMSKSSRh.sys [ ]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;C:\Programme\Common\Database\bin\fbserver.exe [2005-11-17 1527900]
S3 TVECapSvc;TVEnhance Background Capture Service (TBCS);C:\Programme\Home Cinema\TV Enhance\Kernel\TV\TVECapSvc.exe [2006-10-19 282709]
S3 TVESched;TVEnhance Task Scheduler (TTS));C:\Programme\Home Cinema\TV Enhance\Kernel\TV\TVESched.exe [2006-10-19 122971]
S4 srvcPVR;Sceneo PVR Service;C:\Programme\Sceneo\Bonavista\Services\PVR\PVRService.exe [2006-10-24 1441280]
.
.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Moritz\Anwendungsdaten\Mozilla\Firefox\Profiles\xpv0jh8d.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - www.toool.de
FF -: plugin - C:\Programme\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll
FF -: plugin - C:\Programme\DivX\DivX Content Uploader\npUpload.dll
FF -: plugin - C:\Programme\iTunes\Mozilla Plugins\npitunes.dll
FF -: plugin - C:\Programme\Java\jre1.5.0_08\bin\NPJava11.dll
FF -: plugin - C:\Programme\Java\jre1.5.0_08\bin\NPJava12.dll
FF -: plugin - C:\Programme\Java\jre1.5.0_08\bin\NPJava13.dll
FF -: plugin - C:\Programme\Java\jre1.5.0_08\bin\NPJava14.dll
FF -: plugin - C:\Programme\Java\jre1.5.0_08\bin\NPJava32.dll
FF -: plugin - C:\Programme\Java\jre1.5.0_08\bin\NPJPI150_08.dll
FF -: plugin - C:\Programme\Java\jre1.5.0_08\bin\NPOJI610.dll
FF -: plugin - C:\Programme\Mozilla Firefox\plugins\npRACtrl.dll
FF -: plugin - C:\Programme\Veoh Networks\Veoh\Plugins\noreg\NPVeohVersion.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-26 14:17:49
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien:

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet005\Services\MySQL]
"ImagePath"="\"C:\Programme\MySQL\MySQL Server 5.0\bin\mysqld-nt\" --defaults-file=\"C:\Programme\MySQL\MySQL Server 5.0\my.ini\" MySQL"
.
Zeit der Fertigstellung: 2008-09-26 14:18:32
ComboFix-quarantined-files.txt 2008-09-26 12:18:30
ComboFix2.txt 2008-09-25 19:50:56

Vor Suchlauf: 12 Verzeichnis(se), 13.528.100.864 Bytes frei
Nach Suchlauf: 15 Verzeichnis(se), 13,483,933,696 Bytes frei

196

#10 Ich habe ein fehler gemacht,so muss es sein

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

File::
C:\WINDOWS\system32\gqqylnwv.ini
C:\WINDOWS\system32\ysiherke.ini
C:\WINDOWS\system32\qujadrid.ini
C:\WINDOWS\system32\qykusfqb.ini
C:\WINDOWS\system32\gadsbeff.ini
C:\WINDOWS\system32\lnnmp.bak1
C:\WINDOWS\system32\lnnmp.bak2
C:\WINDOWS\system32\lnnmp.ini2
C:\WINDOWS\system32\rtutv.bak1
C:\WINDOWS\system32\rtutv.bak2
C:\DOKUME~1\Moritz\LOKALE~1\Temp\DMSKSSRh.sys

Driver::
DMSKSSRh.sys

CFScript.txt mit der rechten Maustaste auf das Symbol von Combofix ziehen


Combofix noch mal anwenden
poste dann nach neustart das neue Log

Und dein fehler ist " D:\Moritz\Treiber\ComboFix.exe"
es soll auf dein Desktop stehen
__________
MfG Argus

#11 Ich habe also jetzt cfscript.txt erstellt und mit rechts auf Combofix (Combofix ist jetzt auf dem Desktop) gezogen.
dann kam "öffnen mit" und ich habe Combofix gestartet

neustarten wollte mein Computer nicht aber hier ist das log

ComboFix 08-09-25.05 - Moritz 2008-09-26 15:02:47.3 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.608 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Moritz\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: C:\Dokumente und Einstellungen\Moritz\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/color]

FILE ::
C:\DOKUME~1\Moritz\LOKALE~1\Temp\DMSKSSRh.sys
C:\WINDOWS\system32\gadsbeff.ini
C:\WINDOWS\system32\gqqylnwv.ini
C:\WINDOWS\system32\lnnmp.bak1
C:\WINDOWS\system32\lnnmp.bak2
C:\WINDOWS\system32\lnnmp.ini2
C:\WINDOWS\system32\qujadrid.ini
C:\WINDOWS\system32\qykusfqb.ini
C:\WINDOWS\system32\rtutv.bak1
C:\WINDOWS\system32\rtutv.bak2
C:\WINDOWS\system32\ysiherke.ini
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\gadsbeff.ini
C:\WINDOWS\system32\gqqylnwv.ini
C:\WINDOWS\system32\lnnmp.bak1
C:\WINDOWS\system32\lnnmp.bak2
C:\WINDOWS\system32\lnnmp.ini2
C:\WINDOWS\system32\qujadrid.ini
C:\WINDOWS\system32\qykusfqb.ini
C:\WINDOWS\system32\rtutv.bak1
C:\WINDOWS\system32\rtutv.bak2
C:\WINDOWS\system32\ysiherke.ini

.
((((((((((((((((((((((( Dateien erstellt von 2008-08-26 bis 2008-09-26 ))))))))))))))))))))))))))))))
.

2008-09-25 22:35 . 2008-09-25 22:35 <DIR> d-------- C:\Programme\Trend Micro
2008-09-25 20:14 . 2008-09-26 14:07 921,120 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2008-09-25 20:14 . 2008-09-26 14:07 114,720 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat
2008-09-25 20:14 . 2008-09-26 14:07 9,324 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2008-09-25 20:14 . 2008-09-26 14:07 1,472 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx
2008-09-25 16:47 . 2008-09-25 16:47 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-09-25 16:47 . 2008-09-25 16:47 <DIR> d-------- C:\Dokumente und Einstellungen\Moritz\Anwendungsdaten\Malwarebytes
2008-09-25 16:47 . 2008-09-25 16:47 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-09-25 16:47 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-09-25 16:47 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-09-25 15:03 . 2008-09-25 15:03 <DIR> d-------- C:\Programme\CCleaner
2008-09-15 21:27 . 2003-06-25 16:05 266,360 --a------ C:\WINDOWS\system32\TweakUI.exe
2008-09-15 21:27 . 2002-06-21 15:09 160,217 --a------ C:\WINDOWS\system32\PowerToysLicense.rtf
2008-09-15 10:59 . 2008-09-16 13:27 96,976 --a------ C:\WINDOWS\system32\drivers\klin.dat
2008-09-15 10:59 . 2008-09-16 13:27 87,855 --a------ C:\WINDOWS\system32\drivers\klick.dat
2008-09-15 10:52 . 2008-09-15 10:52 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files
2008-09-06 23:26 . 2008-09-06 23:26 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Motion Playground Inc

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-25 18:16 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-09-25 13:10 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-09-25 13:09 --------- d-----w C:\Programme\My MP3
2008-09-24 18:46 --------- d-----w C:\Dokumente und Einstellungen\Moritz\Anwendungsdaten\teamspeak2
2008-09-23 19:20 --------- d-----w C:\Dokumente und Einstellungen\Moritz\Anwendungsdaten\Hamachi
2008-09-21 23:18 --------- d-----w C:\Programme\Trillian
2008-09-15 21:18 --------- d-----w C:\Dokumente und Einstellungen\Moritz\Anwendungsdaten\Skype
2008-09-15 09:12 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan
2008-09-15 08:57 --------- d-----w C:\Programme\Kaspersky Lab
2008-09-06 20:40 --------- d-----w C:\Dokumente und Einstellungen\Moritz\Anwendungsdaten\CyberLink
2008-07-29 14:52 --------- d-----w C:\Programme\Realtek
2008-07-27 11:35 --------- d-----w C:\Programme\Alcohol 120
2008-06-26 19:01 2,829 ----a-w C:\WINDOWS\War3Unin.pif
2008-06-26 19:01 139,264 ----a-w C:\WINDOWS\War3Unin.exe
2008-02-15 14:25 22,328 ----a-w C:\Dokumente und Einstellungen\Moritz\Anwendungsdaten\PnkBstrK.sys
2007-10-12 00:29 98,570 ----a-w C:\Programme\MyPicture.exe
2007-10-12 00:29 98,570 ----a-w C:\Dokumente und Einstellungen\Programme\MyPicture.exe
2007-10-12 00:26 0 ----a-w C:\Programme\MyPictures.ini
2007-06-19 08:34 24 ----a-w C:\Dokumente und Einstellungen\Moritz\launcher.dat
2006-02-10 11:10 251,214 ----a-w C:\Programme\setup.inx
2007-09-12 09:19 8,784 ----a-w C:\Programme\mozilla firefox\plugins\ractrlkeyhook.dll
2007-09-12 09:22 245,408 ----a-w C:\Programme\mozilla firefox\plugins\unicows.dll
2006-10-09 11:55 8 --sh--r C:\WINDOWS\system32\EC23ACB85A.sys
2006-10-09 11:55 4,704 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2006-03-24 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SetIcon"="\Programme\SMSC\SetIcon.exe" [2004-04-28 42496]
"type32"="C:\Programme\Microsoft IntelliType Pro\type32.exe" [2003-05-16 114688]
"IntelliPoint"="C:\Programme\Microsoft IntelliPoint\point32.exe" [2003-05-16 163840]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 8523776]
"RTHDCPL"="RTHDCPL.EXE" [2006-10-09 C:\WINDOWS\RTHDCPL.exe]
"SkyTel"="SkyTel.EXE" [2006-10-09 C:\WINDOWS\SkyTel.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-03-24 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"InstallVisualStyle"= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"= C:\WINDOWS\Resources\Themes\Royale.theme

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LMIinit]
2007-11-15 19:46 87352 C:\WINDOWS\system32\LMIinit.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.mkdmp3enc"= C:\PROGRA~1\HOMECI~1\MAGICD~1\Kernel\Burner\MKDMP3Enc.ACM
"VIDC.ACDV"= ACDV.dll

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Moritz^Startmenü^Programme^Autostart^WINAMP.LNK]
path=C:\Dokumente und Einstellungen\Moritz\Startmenü\Programme\Autostart\WINAMP.LNK
backup=C:\WINDOWS\pss\WINAMP.LNKStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ehTray]
--a------ 2005-09-29 14:01 67584 C:\WINDOWS\ehome\ehtray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HotKey]
--a------ 2006-11-03 17:13 81920 C:\Programme\hotkey\hotkey.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\InstantOn]
--------- 2006-06-21 17:29 93640 C:\Programme\CyberLink\PowerCinema Linux\ion_install.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
--a------ 2008-03-30 10:36 267048 C:\Programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LanguageShortcut]
--a------ 2006-05-18 11:29 49152 C:\Programme\Home Cinema\PowerDVD\Language\Language.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogMeIn GUI]
--a------ 2007-09-12 11:20 63048 C:\Programme\LogMeIn\x86\LogMeInSystray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
--a------ 2006-01-24 21:23 7094272 C:\Programme\MSN Messenger\msnmsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2006-01-12 16:40 155648 C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
--a------ 2007-12-05 02:41 8523776 C:\WINDOWS\system32\nvcpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
--a------ 2007-12-05 02:41 81920 C:\WINDOWS\system32\nvmctray.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2008-03-28 23:37 413696 C:\Programme\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
--a------ 2007-02-09 17:00 25388584 C:\Programme\Skype\Phone\Skype.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TrayServer]
--a------ 2006-10-04 16:41 86016 C:\Programme\Magix\Trayserver.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TVBroadcast]
--a------ 2006-10-20 00:43 814080 C:\Programme\Sceneo\Bonavista\Services\ODSBC\ODSBCApp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TVEService]
--a------ 2006-10-19 15:00 151552 C:\Programme\Home Cinema\TV Enhance\TVEService.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Veoh]
--a------ 2008-05-08 16:53 3640368 C:\Programme\Veoh Networks\Veoh\VeohClient.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
--a------ 2007-12-05 02:41 1626112 C:\WINDOWS\system32\nwiz.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\WINDOWS\\system32\\sessmgr.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\WINDOWS\\system32\\fxsclnt.exe"=
"C:\\Programme\\NetMeeting\\Conf.exe"=
"D:\\Moritz\\Spiele\\Battlefield demo\\BF2.exe"=
"D:\\Moritz\\Spiele\\UT 3 Demo\\Binaries\\UT3Demo.exe"=
"D:\\Moritz\\Spiele\\Unreal Tournament III\\Binaries\\UT3.exe"=
"C:\\WINDOWS\\system32\\PnkBstrA.exe"=
"C:\\WINDOWS\\system32\\PnkBstrB.exe"=
"D:\\Moritz\\Spiele\\Supreme Commander Forged Alliance\\Supreme Commander - Forged Alliance\\bin\\ForgedAlliance.exe"=
"D:\\Moritz\\Spiele\\Supreme Commander Forged Alliance\\GPGNet\\GPG.Multiplayer.Client.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"D:\\Moritz\\Spiele\\Call of Duty 4\\iw3mp.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

R0 klbg;Kaspersky Lab Boot Guard Driver;C:\WINDOWS\system32\drivers\klbg.sys [2008-01-29 32784]
R0 videX32;videX32;C:\WINDOWS\system32\DRIVERS\videX32.sys [2006-09-07 9728]
R0 xfilt;VIA SATA IDE Hot-plug Driver;C:\WINDOWS\system32\DRIVERS\xfilt.sys [2006-09-07 11264]
R2 ACEDRV06;ACEDRV06;C:\WINDOWS\system32\drivers\ACEDRV06.sys [2007-05-07 99840]
R2 LMIInfo;LogMeIn Kernel Information Provider;C:\Programme\LogMeIn\x86\RaInfo.sys [2007-09-12 12992]
R2 LMIRfsDriver;LogMeIn Remote File System Driver;C:\WINDOWS\system32\drivers\LMIRfsDriver.sys [2007-09-12 46112]
R3 3xHybrid;Philips SAA713x PCI Card;C:\WINDOWS\system32\DRIVERS\3xHybrid.sys [2006-10-10 1105664]
R3 KLFLTDEV;Kaspersky Lab KLFltDev;C:\WINDOWS\system32\DRIVERS\klfltdev.sys [2008-03-13 26640]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2008-03-25 24592]
R3 X10Hid;X10 Hid Device;C:\WINDOWS\system32\Drivers\x10hid.sys [2005-11-28 7040]
S3 DMSKSSRh;DMSKSSRh;C:\DOKUME~1\Moritz\LOKALE~1\Temp\DMSKSSRh.sys [ ]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;C:\Programme\Common\Database\bin\fbserver.exe [2005-11-17 1527900]
S3 TVECapSvc;TVEnhance Background Capture Service (TBCS);C:\Programme\Home Cinema\TV Enhance\Kernel\TV\TVECapSvc.exe [2006-10-19 282709]
S3 TVESched;TVEnhance Task Scheduler (TTS));C:\Programme\Home Cinema\TV Enhance\Kernel\TV\TVESched.exe [2006-10-19 122971]
S4 srvcPVR;Sceneo PVR Service;C:\Programme\Sceneo\Bonavista\Services\PVR\PVRService.exe [2006-10-24 1441280]
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-26 15:03:52
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien:

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet005\Services\MySQL]
"ImagePath"="\"C:\Programme\MySQL\MySQL Server 5.0\bin\mysqld-nt\" --defaults-file=\"C:\Programme\MySQL\MySQL Server 5.0\my.ini\" MySQL"
.
Zeit der Fertigstellung: 2008-09-26 15:04:28
ComboFix-quarantined-files.txt 2008-09-26 13:04:26
ComboFix2.txt 2008-09-26 12:18:33
ComboFix3.txt 2008-09-25 19:50:56

Vor Suchlauf: 12 Verzeichnis(se), 13.469.487.104 Bytes frei
Nach Suchlauf: 15 Verzeichnis(se), 13,420,216,320 Bytes frei

195

#12 CombiFix entfernen
Start > Ausführen>Kopiere rein ComboFix /U OK

Systemwiederherstellung
Info:
http://virus-protect.org/systemwiederherstellung.html
Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung -->
Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. - dann wieder aktivieren

Benutze ATF Cleaner

Doppelklick ATFcleaner um das Program zu starten
Auf tab “Main“ Select All anhaaken.
Klicke den Knopf Empty selected

Wenn man Opera als browser hat:
Klicke auf tab “Opera“ Select All anhaaken.
Willst du die durch Opera aufgehobene passwörter behalten
Dan klickt man im Fenster was erscheint auf “No“
Klicke den Knopf Empty selected

Wenn man [b ]Firefox [/b] als browser hat:
Klicke auf tab “Firefox“ Select All anhaaken.
Willst du die durch Firefox aufgehobene passwörter behalten
Dan klickt man im Fenster was erscheint auf “No“
Klicke den Knopf Empty selected

Geh zum tab“Main“und klicke Exit um das Program
zu schliessen.
__________
MfG Argus

#13 gesagt... getan
nur nochmal... weißt du wie man das zurückstellt?

Zitat

Hier nebenbei noch eine Frage: irgendwie zeigen sich bei mir die dateiendungen nicht mehr an (fix.bat wird als fix angezeigt) wo kann man das zurückstellen?

Gibt es dann noch etwas zu tun?

#14 @ Zucky

Zitat

[Hier nebenbei noch eine Frage: irgendwie zeigen sich bei mir die dateiendungen nicht mehr an (fix.bat wird als fix angezeigt) wo kann man das zurückstellen?]

Ordneroptionen- siehe Bild im Anhang! Das Häkchen muß raus sein, sollte es schon draußen sein und es werden immer noch keine Dateiendungen angezeigt, dann kurzzeitig ein Häkchen setzen+übernehmen+ok,-dann wieder entfernen+übernehmen+ok,- damit das Bit (Reg-Wert) wieder eine Null bekommt.Wenn's nicht klappen sollte,berichte!

#15 funktioniert...
mein PC scheint auch wieder i.O. zu sein.
wenn noch was zu tun ist lasst es mich bitte wissen ansonsten

Danke an Provisitor und Arnold für die gute und schnelle Hilfe