Trojan-Downloader.Win32.Gnisd

#1 Hallo!

Ich habe nach dem Windows xp Start im Ordner c:windows/temp immer eine EXE Datei (zB. D38D60E), die eine Verbindung ins Internet herstellen will.

Laut dem Scan bei virusscan.Jotti.org/de handelt es sich um:
Trojan-Downloader.Win32.Gnisd gefunden von VBA32.

Vielen Dank im Voraus!

#2 Hallo Casares

Bitte arbeite folgendes ab:
http://board.protecus.de/t23188.htm

Gruss Swiss

#3 Hallo!

Ich habe die Liste jetzt abgearbeitet:

Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1225
Windows 5.1.2600 Service Pack 3

02.10.2008 15:50:36
mbam-log-2008-10-02 (15-50-36).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 46413
Laufzeit: 3 minute(s), 38 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

ComboFix 08-10-01.02 - Casares 2008-10-02 15:58:26.8 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.813 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Casares\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_mchinjdrv


((((((((((((((((((((((( Dateien erstellt von 2008-09-02 bis 2008-10-02 ))))))))))))))))))))))))))))))
.

2008-10-02 11:20 . 2008-10-02 11:21 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-10-02 11:20 . 2008-10-02 11:20 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-10-02 11:20 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-10-02 11:20 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-10-02 10:51 . 2008-10-02 11:04 <DIR> d-------- C:\Programme\CleanUp!
2008-10-01 20:40 . 2008-10-01 20:40 <DIR> d-------- C:\Dokumente und Einstellungen\Casares\Anwendungsdaten\Malwarebytes
2008-10-01 18:26 . 2008-10-02 10:46 <DIR> d-------- C:\Programme\a-squared Anti-Malware
2008-10-01 13:56 . 2008-10-01 13:56 <DIR> d-------- C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\Avira
2008-10-01 10:28 . 2008-10-02 16:03 104,178 --a------ C:\WINDOWS\system32\drivers\a4dd57ec.sys
2008-09-30 17:48 . 2008-09-30 17:48 <DIR> d-------- C:\Programme\DVDVideoSoft
2008-09-30 15:12 . 2008-09-30 15:12 <DIR> d-------- C:\Programme\Smart PC Solutions
2008-09-30 15:12 . 2008-09-30 15:12 <DIR> d-------- C:\Dokumente und Einstellungen\Casares\Anwendungsdaten\Smart PC Solutions
2008-09-30 09:56 . 2008-09-30 10:01 <DIR> d-------- C:\Programme\AVS4YOU
2008-09-30 09:17 . 2008-09-30 09:17 <DIR> d-------- C:\Dokumente und Einstellungen\Casares\Anwendungsdaten\AVS4YOU
2008-09-30 09:17 . 2008-09-30 09:17 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AVS4YOU
2008-09-30 09:15 . 2003-05-22 00:50 1,700,352 --a------ C:\WINDOWS\system32\GdiPlus.dll
2008-09-30 09:15 . 2007-09-27 15:22 638,976 --a------ C:\WINDOWS\system32\divx.dll
2008-09-30 09:15 . 2003-05-22 13:26 221,215 --a------ C:\WINDOWS\system32\divxdec.ax
2008-09-30 08:51 . 2008-09-30 17:49 <DIR> d-------- C:\Programme\Gemeinsame Dateien\DVDVideoSoft
2008-09-29 11:50 . 2007-04-02 23:56 19,456 --a------ C:\WINDOWS\system32\dllcache\agt040d.dll
2008-09-29 11:50 . 2007-04-02 23:56 19,456 --a------ C:\WINDOWS\system32\dllcache\agt0401.dll
2008-09-27 14:44 . 2008-09-27 14:44 <DIR> d-------- C:\Dokumente und Einstellungen\Casares\Anwendungsdaten\vlc
2008-09-25 22:17 . 2008-09-30 08:43 <DIR> d-------- C:\DVDVideoSoft
2008-09-23 17:07 . 2008-09-23 17:08 <DIR> d-------- C:\Dokumente und Einstellungen\Casares\Anwendungsdaten\PeaZip
2008-09-20 19:55 . 2008-10-02 10:26 250 --a------ C:\WINDOWS\gmer.ini
2008-09-16 11:24 . 2008-09-16 11:24 <DIR> d-------- C:\WINDOWS\system32\npp
2008-09-16 11:24 . 2008-09-16 11:24 <DIR> d-------- C:\WINDOWS\srchasst
2008-09-16 10:43 . 2008-10-02 10:30 4,528 --a------ C:\WINDOWS\system32\tmp.reg
2008-09-16 09:20 . 2008-09-16 09:20 <DIR> d-------- C:\Programme\rcgxof
2008-09-16 09:19 . 2008-09-16 12:20 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\wvcpubiv
2008-09-16 09:19 . 2008-09-16 09:19 94,208 --a------ C:\WINDOWS\system32\szwbkjex.exe
2008-09-16 01:01 . 2008-09-16 01:02 <DIR> d-------- C:\Programme\LIDL Fotoservice
2008-09-12 20:19 . 2008-09-12 20:19 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ScreenSeven
2008-09-12 16:50 . 2008-09-12 16:50 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Intenium
2008-09-11 16:45 . 2008-09-11 16:45 <DIR> d-------- C:\Programme\Free Video to iPod Converter
2008-09-11 09:45 . 2008-09-11 09:45 <DIR> d-------- C:\Programme\comdirect B”rsenTicker
2008-09-11 09:45 . 2008-09-11 09:45 <DIR> d-------- C:\Dokumente und Einstellungen\Casares\Anwendungsdaten\de.comdirect.ticker.F9E8724CCE1C30FBC384125840AA431F6B009CFC.1
2008-09-11 09:44 . 2008-09-11 09:44 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Adobe AIR
2008-09-10 11:14 . 2008-09-10 11:14 <DIR> d-------- C:\Programme\Microsoft IntelliType Pro
2008-09-10 09:16 . 2008-09-10 09:16 <DIR> d-------- C:\Programme\Microsoft IntelliPoint
2008-09-10 09:16 . 2008-06-10 13:04 31,048 --a------ C:\WINDOWS\system32\drivers\point32.sys
2008-09-09 22:45 . 2008-09-09 22:45 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
2008-09-09 22:44 . 2008-09-09 22:44 <DIR> d-------- C:\Programme\Bonjour
2008-09-09 22:41 . 2008-09-05 22:16 1,900,544 --a------ C:\WINDOWS\system32\usbaaplrc.dll
2008-09-06 15:09 . 2008-09-06 15:09 90,112 --a------ C:\WINDOWS\system32\QuickTimeVR.qtx
2008-09-06 15:09 . 2008-09-06 15:09 57,344 --a------ C:\WINDOWS\system32\QuickTime.qts
2008-09-02 17:38 . 2008-07-03 18:04 732,376 -ra------ C:\WINDOWS\system32\drivers\cfosspeed.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-02 14:01 --------- d-----w C:\Programme\cFosSpeed
2008-10-02 13:56 --------- d-----w C:\Dokumente und Einstellungen\Casares\Anwendungsdaten\Orbit
2008-10-02 13:56 --------- d-----w C:\Dokumente und Einstellungen\Casares\Anwendungsdaten\OpenOffice.org2
2008-10-02 13:56 --------- d-----w C:\Dokumente und Einstellungen\Casares\Anwendungsdaten\KlipFolio
2008-10-02 13:37 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-10-02 13:06 --------- d-----w C:\Programme\Mozilla Thunderbird
2008-10-02 09:28 --------- d-----w C:\Programme\SyncBack
2008-10-01 23:01 --------- d-----w C:\Programme\eMule
2008-10-01 22:29 --------- d-----w C:\Programme\Spybot - Search & Destroy
2008-10-01 13:13 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
2008-10-01 13:00 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-10-01 07:42 --------- d-----w C:\Programme\MeineBeihilfe
2008-09-30 09:04 --------- d-----w C:\Programme\DirSync
2008-09-30 07:57 --------- d-----w C:\Programme\Gemeinsame Dateien\AVSMedia
2008-09-29 20:22 --------- d-----w C:\Dokumente und Einstellungen\Casares\Anwendungsdaten\RipIt4Me
2008-09-28 13:17 --------- d-----w C:\Programme\LingoPad
2008-09-23 08:27 --------- d-----w C:\Programme\MediaMonkey
2008-09-19 16:12 --------- d-----w C:\Programme\Orbitdownloader
2008-09-19 15:10 71,592 ----a-w C:\WINDOWS\system32\drivers\avfwot.sys
2008-09-19 07:51 --------- d-----w C:\Programme\FreeCommander
2008-09-11 07:45 --------- d-----w C:\Programme\comdirect BörsenTicker
2008-09-11 07:08 --------- d-----w C:\Programme\OpenOffice.org 2.4
2008-09-09 20:57 --------- d-----w C:\Dokumente und Einstellungen\Casares\Anwendungsdaten\Apple Computer
2008-09-09 20:45 --------- d-----w C:\Programme\iTunes
2008-09-09 20:45 --------- d-----w C:\Programme\iPod
2008-09-09 20:44 --------- d-----w C:\Programme\QuickTime
2008-09-09 20:43 --------- d-----w C:\Programme\Gemeinsame Dateien\Apple
2008-09-05 20:16 36,864 ----a-w C:\WINDOWS\system32\drivers\usbaapl.sys
2008-09-04 07:22 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-09-02 14:57 --------- d-----w C:\Programme\MyPhoneExplorer
2008-09-02 14:56 --------- d-----w C:\Programme\lg_fwupdate
2008-08-30 16:21 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DVD Shrink
2008-08-26 09:12 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-08-25 15:33 --------- d-----w C:\Dokumente und Einstellungen\Casares\Anwendungsdaten\Ashampoo
2008-08-25 15:31 --------- d-----w C:\Programme\Ashampoo
2008-08-19 06:55 --------- d-----w C:\Programme\Apple Software Update
2006-08-05 08:49 132,242 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\firstlsp.reg.dat
2006-03-14 15:36 81 ----a-w C:\Programme\desktop.ini
2007-01-23 12:07 1,847,296 ----a-w C:\Programme\mozilla firefox\plugins\Seadragon.dll
2008-05-10 12:30 32,768 --sha-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008051020080511\index.dat
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"wmpnscfg"="C:\Programme\Windows Media Player\WMPNSCFG.exe" [2006-10-24 204288]
"tvtip"="C:\Programme\TV Movie\TV Movie ClickFinder\tvstart.exe" [2007-07-02 94208]
"rocketdock"="C:\Programme\RocketDock\RocketDock.exe" [2007-09-02 495616]
"roboform"="C:\Programme\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe" [2008-09-22 160592]
"klipfolio"="C:\Programme\Serence KlipFolio\KlipFolio.exe" [2007-03-21 1063528]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"tkbellexe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-06-18 185896]
"sunjavaupdatesched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"quicktime task"="C:\Programme\QuickTime\QTTask.exe" [2008-09-06 413696]
"phime2002async"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" [2008-04-13 455168]
"phime2002a"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" [2008-04-13 455168]
"nvcpldaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-10-22 7700480]
"mspy2002"="C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe" [2008-04-13 59392]
"itype"="C:\Programme\Microsoft IntelliType Pro\itype.exe" [2008-06-10 1442888]
"ituneshelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-09-08 289576]
"intellipoint"="C:\Programme\Microsoft IntelliPoint\ipoint.exe" [2008-06-10 1406024]
"imjpmig8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" [2008-04-13 208952]
"imekrmig6.1"="C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE" [2002-08-29 44032]
"defragtaskbar"="C:\Programme\Ashampoo\Ashampoo Magical Defrag 2\bin\defragTaskBar.exe" [2008-04-18 173408]
"cfosspeed"="C:\Programme\cFosSpeed\cFosSpeed.exe" [2008-07-03 867544]
"avgnt"="C:\Programme\Avira\Avira Premium Security Suite\avgnt.exe" [2008-08-18 266497]
"applesyncnotifier"="C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2008-09-03 111936]
"adobe reader speed launcher"="C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"soundman"="SOUNDMAN.EXE" [2007-04-16 C:\WINDOWS\soundman.exe]
"nwiz"="nwiz.exe" [2006-10-22 C:\WINDOWS\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2008-04-14 15360]
"DWQueuedReporting"="C:\PROGRA~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe" [2007-02-26 437160]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nltide_2"="shell32" [X]
"tscuninstall"="C:\WINDOWS\system32\tscupgrd.exe" [2004-08-04 44544]
"nltide_3"="advpack.dll" [2008-06-23 C:\WINDOWS\system32\advpack.dll]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"SynchronousMachineGroupPolicy"= 1 (0x1)
"SynchronousUserGroupPolicy"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoStrCmpLogical"= 0 (0x0)
"NoResolveSearch"= 0 (0x0)
"NoResolveTrack"= 1 (0x1)
"NoFileAssociate"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSMBalloonTip"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoSMHelp"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"HlpInfoSh"= {499704CD-1BDC-EF67-41F8-0672030276D8} - C:\Programme\rcgxof\HlpInfoSh.dll [2008-09-16 114688]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=NVDESK32.DLL

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.l3fhg"= mp3fhg.acm
"msacm.divxa32"= divxa32.acm
"VIDC.X264"= x264vfw.dll
"VIDC.HFYU"= huffyuv.dll
"vidc.i263"= i263_32.drv

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"WinDefend"=2 (0x2)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Orbitdownloader\\orbitdm.exe"=
"C:\\Programme\\Orbitdownloader\\orbitnet.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=

R1 avfwot;avfwot;C:\WINDOWS\system32\DRIVERS\avfwot.sys [2008-09-19 71592]
R2 AntiVirFirewallService;Avira Premium Security Suite Firewall;C:\Programme\Avira\Avira Premium Security Suite\avfwsvc.exe [2008-08-18 344321]
R2 AntiVirMailService;Avira Premium Security Suite MailGuard;C:\Programme\Avira\Avira Premium Security Suite\avmailc.exe [2008-08-18 164097]
R2 antivirwebservice;Avira Premium Security Suite WebGuard;C:\Programme\Avira\Avira Premium Security Suite\AVWEBGRD.EXE [2008-08-18 258305]
R2 AVEService;Avira Premium Security Suite MailGuard Hilfsdienst;C:\Programme\Avira\Avira Premium Security Suite\avesvc.exe [2008-08-18 41217]
R2 ithsgt;ithsgt;C:\WINDOWS\system32\DRIVERS\ithsgt.sys [2005-11-26 162432]
R2 lilsgt;lilsgt;C:\WINDOWS\system32\DRIVERS\lilsgt.sys [2005-11-26 12032]
R3 avfwim;AvFw Packet Filter Miniport;C:\WINDOWS\system32\DRIVERS\avfwim.sys [2008-06-22 71464]
R3 SISNICXP;SiS PCI Fast Ethernet Adapter Driver for NDIS51;C:\WINDOWS\system32\DRIVERS\sisnicxp.sys [2006-02-14 32768]
S3 AdslUsbLdr;MicroLink ADSL Fun USB Loader Driver;C:\WINDOWS\system32\drivers\mldslul2.sys [2003-01-27 46551]
S3 mladslusb;MicroLink ADSL Fun USB Driver;C:\WINDOWS\system32\DRIVERS\mldslusb.sys [2002-11-07 112041]
S3 rkhdrv10;RootKit Unhooker Driver;C:\WINDOWS\system32\drivers\rkhdrv10.sys [2006-09-02 14976]
S3 SER120;OTI Serial port driver;C:\WINDOWS\system32\DRIVERS\SER120.sys [2005-03-22 32910]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3f19bab4-4fee-11da-88b9-000000000000}]
\Shell\AutoRun\command - G:\InstallTomTomHOME.exe

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{41F4B657-538B-E6F2-C0E2-5843D8EAF9D6}]
C:\Programme\windows_updates\svchost.exe s
.
Inhalt des "geplante Tasks" Ordners
.
.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Casares\Anwendungsdaten\Mozilla\Firefox\Profiles\7rpqm79k.default\
FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://comdirect.de/
FF -: plugin - C:\Programme\Google\Google Updater\2.2.1111.1511\npCIDetect11.dll
FF -: plugin - C:\Programme\iTunes\Mozilla Plugins\npitunes.dll
FF -: plugin - C:\Programme\Mozilla Firefox\plugins\npmozax.dll
FF -: plugin - C:\Programme\Mozilla Firefox\plugins\nppsynth.dll
FF -: plugin - C:\Programme\Mozilla Firefox\plugins\npracplug.dll
FF -: plugin - C:\Programme\OpenOffice.org 2.4\program\npsoplugin.dll
FF -: plugin - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll
FF -: plugin - C:\WINDOWS\system32\Photosynth\nppsynth.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-02 16:02:51
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\a4dd57ec]
"ImagePath"="\SystemRoot\System32\drivers\a4dd57ec.sys"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

Prozess: C:\WINDOWS\explorer.exe
-> C:\Programme\RocketDock\RocketDock.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\Programme\Avira\Avira Premium Security Suite\sched.exe
C:\Programme\a-squared Anti-Malware\a2service.exe
C:\Programme\Avira\Avira Premium Security Suite\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Ashampoo\Ashampoo Magical Defrag 2\bin\aDefragService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\cFosSpeed\spd.exe
C:\Programme\Microsoft IntelliType Pro\dpupdchk.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Ashampoo\Ashampoo Magical Defrag 2\bin\defragActivityMonitor.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Orbitdownloader\orbitdm.exe
C:\Programme\TV Movie\TV Movie ClickFinder\tvtip.exe
C:\Programme\OpenOffice.org 2.4\program\soffice.exe
C:\Programme\OpenOffice.org 2.4\program\soffice.bin
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-10-02 16:12:49 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-10-02 14:12:22
ComboFix2.txt 2008-10-01 22:22:06
ComboFix3.txt 2008-10-01 15:50:19
ComboFix4.txt 2008-10-01 15:06:54

Vor Suchlauf: 8 Verzeichnis(se), 11.066.802.176 Bytes frei
Nach Suchlauf: 11 Verzeichnis(se), 11,016,785,920 Bytes frei

260

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:21:06, on 02.10.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\Avira Premium Security Suite\sched.exe
C:\Programme\a-squared Anti-Malware\a2service.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Avira\Avira Premium Security Suite\avguard.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Ashampoo\Ashampoo Magical Defrag 2\bin\aDefragService.exe
C:\Programme\Microsoft IntelliType Pro\itype.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Microsoft IntelliPoint\ipoint.exe
C:\Programme\Ashampoo\Ashampoo Magical Defrag 2\bin\defragTaskBar.exe
C:\Programme\Avira\Avira Premium Security Suite\avesvc.exe
C:\Programme\cFosSpeed\cFosSpeed.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\cFosSpeed\spd.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\Programme\Microsoft IntelliType Pro\dpupdchk.exe
C:\Programme\RocketDock\RocketDock.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe
C:\Programme\Serence KlipFolio\KlipFolio.exe
C:\Programme\Ashampoo\Ashampoo Magical Defrag 2\bin\defragActivityMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Orbitdownloader\orbitdm.exe
C:\Programme\TV Movie\TV Movie ClickFinder\tvtip.exe
C:\Programme\OpenOffice.org 2.4\program\soffice.exe
C:\Programme\OpenOffice.org 2.4\program\soffice.BIN
C:\Programme\Avira\Avira Premium Security Suite\avmailc.exe
C:\Programme\Avira\Avira Premium Security Suite\AVWEBGRD.EXE
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\Driver-Tools\WINDOWS XP\VIREN TOOLS\HijackThis\HJT.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Programme\Orbitdownloader\orbitcth.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RoboForm - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Programme\Siber Systems\AI RoboForm\roboform.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O3 - Toolbar: GMX Toolbar - {2D1DDD38-CE4D-459b-A01C-F11BC92D5B69} - C:\Programme\GMX\GMX Toolbar\toolbar.dll
O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Programme\Siber Systems\AI RoboForm\roboform.dll
O3 - Toolbar: Grab Pro - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - C:\Programme\Orbitdownloader\GrabPro.dll
O4 - HKLM\..\Run: [tkbellexe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [sunjavaupdatesched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [soundman] SOUNDMAN.EXE
O4 - HKLM\..\Run: [quicktime task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [phime2002async] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [phime2002a] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [nvcpldaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [mspy2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [itype] "C:\Programme\Microsoft IntelliType Pro\itype.exe"
O4 - HKLM\..\Run: [ituneshelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [intellipoint] "C:\Programme\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [imjpmig8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [imekrmig6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
O4 - HKLM\..\Run: [defragtaskbar] "C:\Programme\Ashampoo\Ashampoo Magical Defrag 2\bin\defragTaskBar.exe"
O4 - HKLM\..\Run: [cfosspeed] C:\Programme\cFosSpeed\cFosSpeed.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\Avira Premium Security Suite\avgnt.exe" /min
O4 - HKLM\..\Run: [applesyncnotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [adobe reader speed launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [wmpnscfg] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [tvtip] C:\Programme\TV Movie\TV Movie ClickFinder\tvstart.exe tvtip
O4 - HKCU\..\Run: [rocketdock] "C:\Programme\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [roboform] "C:\Programme\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe"
O4 - HKCU\..\Run: [klipfolio] "C:\Programme\Serence KlipFolio\KlipFolio.exe" /BOOT
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\Run: [DWQueuedReporting] "C:\PROGRA~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe" -t (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user')
O4 - Startup: Adobe Media Player.lnk = C:\Programme\Adobe Media Player\Adobe Media Player.exe
O4 - Startup: OpenOffice.org 2.4.lnk = C:\Programme\OpenOffice.org 2.4\program\quickstart.exe
O4 - Global Startup: Orbit.lnk = C:\Programme\Orbitdownloader\orbitdm.exe
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Download by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/201
O8 - Extra context menu item: &Grab video by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/204
O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/203
O8 - Extra context menu item: Down&load all by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/202
O9 - Extra button: @C:\Programme\Messenger\Msgslang.dll,-61144 - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: @C:\Programme\Messenger\Msgslang.dll,-61144 - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Upload - {FD4E2FF8-973C-4A19-89BD-8E86B3CFCFE1} - C:\WINDOWS\system32\shdocvw.dll
O15 - Trusted Zone: http://asia.msi.com.tw
O15 - Trusted Zone: http://global.msi.com.tw
O15 - Trusted Zone: http://www.msi.com.tw
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1210423256125
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1131446217406
O16 - DPF: {8167C273-DF59-4416-B647-C8BB2C7EE83E} - http://liveupdate.msi.com.tw/autobios/LOnline/install.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4F1C7D13-3A02-499E-8B01-99455C341A6B}: NameServer = 213.191.92.87 62.109.123.6
O17 - HKLM\System\CCS\Services\Tcpip\..\{A1F23B52-E049-4D46-80BF-9C2C5E24CD5A}: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CCS\Services\Tcpip\..\{E0BB67FE-8AAC-447D-BB12-BA14E2AEE896}: NameServer = 208.67.220.220,208.67.222.222
O21 - SSODL: HlpInfoSh - {499704CD-1BDC-EF67-41F8-0672030276D8} - C:\Programme\rcgxof\HlpInfoSh.dll
O23 - Service: a-squared Anti-Malware Service (a2antimalware) - Emsi Software GmbH - C:\Programme\a-squared Anti-Malware\a2service.exe
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Avira Premium Security Suite Firewall (AntiVirFirewallService) - Avira GmbH - C:\Programme\Avira\Avira Premium Security Suite\avfwsvc.exe
O23 - Service: Avira Premium Security Suite MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\Avira\Avira Premium Security Suite\avmailc.exe
O23 - Service: Avira Premium Security Suite Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\Avira Premium Security Suite\sched.exe
O23 - Service: Avira Premium Security Suite Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\Avira Premium Security Suite\avguard.exe
O23 - Service: Avira Premium Security Suite WebGuard (antivirwebservice) - Avira GmbH - C:\Programme\Avira\Avira Premium Security Suite\AVWEBGRD.EXE
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ashampoo Defrag Service (AshampooDefragService) - - C:\Programme\Ashampoo\Ashampoo Magical Defrag 2\bin\aDefragService.exe
O23 - Service: Avira Premium Security Suite MailGuard Hilfsdienst (AVEService) - Avira GmbH - C:\Programme\Avira\Avira Premium Security Suite\avesvc.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: cFosSpeed System Service (cFosSpeedS) - cFos Software GmbH - C:\Programme\cFosSpeed\spd.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 10809 bytes

Datenträger in Laufwerk C: ist BOOT
Volumeseriennummer: A886-4D9A

Verzeichnis von c:\

02.10.2008 16:22 0 dirdat.txt
02.10.2008 16:12 18.173 ComboFix.txt
01.10.2008 17:52 210 boot.ini
14.04.2008 00:01 251.712 ntldr
13.04.2008 22:13 47.564 NTDETECT.COM
25.11.2007 14:30 0 IO.SYS
25.11.2007 14:30 0 MSDOS.SYS
07.11.2005 23:41 0 AUTOEXEC.BAT
07.11.2005 23:41 0 CONFIG.SYS
29.08.2002 14:00 4.952 bootfont.bin
10 Datei(en) 322.611 Bytes
0 Verzeichnis(se), 11.030.605.824 Bytes frei
Datenträger in Laufwerk C: ist BOOT
Volumeseriennummer: A886-4D9A

Verzeichnis von C:\WINDOWS\system32

02.10.2008 16:04 88.525 nvapps.xml
02.10.2008 14:47 2.206 wpa.dbl
02.10.2008 10:30 0 tmp.txt
02.10.2008 10:30 4.528 tmp.reg
01.10.2008 15:02 106.216 FNTCACHE.DAT
16.09.2008 09:19 94.208 szwbkjex.exe
06.09.2008 15:09 57.344 QuickTime.qts
06.09.2008 15:09 90.112 QuickTimeVR.qtx
05.09.2008 22:16 1.900.544 usbaaplrc.dll
05.09.2008 20:54 34 oeminfo.ini
05.09.2008 20:54 82.134 oemlogo.bmp
29.08.2008 10:18 87.336 dns-sd.exe
29.08.2008 09:53 61.440 dnssd.dll
26.08.2008 13:28 16.208.504 MRT.exe
20.08.2008 21:45 10.820 jeterr35.GID
18.08.2008 21:40 497.112 TZLog.log
18.07.2008 22:10 94.920 cdm.dll
18.07.2008 22:10 53.448 wuauclt.exe
18.07.2008 22:10 45.768 wups2.dll
18.07.2008 22:10 45.768 wups2(2).dll
18.07.2008 22:10 36.552 wups.dll
18.07.2008 22:10 33.992 wucltui.dll.mui
18.07.2008 22:09 29.896 wuaucpl.cpl.mui
18.07.2008 22:09 29.896 wuapi.dll.mui
18.07.2008 22:09 325.832 wucltui.dll
18.07.2008 22:09 215.752 wuaucpl.cpl
18.07.2008 22:09 563.912 wuapi.dll
18.07.2008 22:09 205.000 wuweb.dll
18.07.2008 22:09 1.811.656 wuaueng.dll
18.07.2008 22:08 21.192 wuaueng.dll.mui
18.07.2008 22:07 270.880 mucltui.dll
18.07.2008 22:07 210.976 muweb.dll
18.07.2008 22:07 29.728 mucltui.dll.mui
11.07.2008 14:42 62.976 tzchange.exe
09.07.2008 12:44 6.886 jupdate-1.6.0_07-b06.log
07.07.2008 22:26 253.952 es.dll
03.07.2008 18:04 290.008 cfosspeed.dll
24.06.2008 18:42 74.240 mscms.dll
24.06.2008 18:12 295.936 wmpeffects.dll
24.06.2008 10:14 3.592.192 mshtml.dll
23.06.2008 18:14 826.368 wininet.dll
23.06.2008 18:14 193.024 msrating.dll
23.06.2008 18:14 44.544 pngfilt.dll
23.06.2008 18:14 233.472 webcheck.dll
23.06.2008 18:14 105.984 url.dll
23.06.2008 18:14 477.696 mshtmled.dll
23.06.2008 18:14 1.159.680 urlmon.dll
23.06.2008 18:14 671.232 mstime.dll
23.06.2008 18:14 102.912 occache.dll
23.06.2008 18:14 1.831.424 inetcpl.cpl
23.06.2008 18:14 27.648 jsproxy.dll
23.06.2008 18:14 267.776 iertutil.dll
23.06.2008 18:14 52.224 msfeedsbs.dll
23.06.2008 18:14 459.264 msfeeds.dll
23.06.2008 18:14 44.544 iernonce.dll
23.06.2008 18:14 6.066.176 ieframe.dll
23.06.2008 18:14 347.136 dxtmsft.dll
23.06.2008 18:14 63.488 icardie.dll
23.06.2008 18:14 214.528 dxtrans.dll
23.06.2008 18:14 133.120 extmgr.dll
23.06.2008 18:14 153.088 ieakeng.dll
23.06.2008 18:14 230.400 ieaksie.dll
23.06.2008 18:14 384.512 iedkcs32.dll
23.06.2008 18:14 383.488 ieapfltr.dll
23.06.2008 18:14 124.928 advpack.dll
23.06.2008 11:20 13.824 ieudinit.exe
23.06.2008 11:20 70.656 ie4uinit.exe
22.06.2008 20:20 203.776 clrviddc.dll
21.06.2008 07:23 161.792 ieakui.dll
20.06.2008 19:46 147.968 dnsapi.dll
20.06.2008 19:46 247.296 mswsock.dll
18.06.2008 09:56 5.632 pndx5032.dll
18.06.2008 09:56 6.656 pndx5016.dll
18.06.2008 09:56 348.160 msvcr71.dll
18.06.2008 09:56 499.712 msvcp71.dll
11.06.2008 02:07 3.596.288 qt-dx331.dll
11.06.2008 02:04 1.044.480 libdivx.dll
11.06.2008 02:04 200.704 ssldivx.dll
11.06.2008 02:03 416 dtu100.dll.manifest
11.06.2008 02:03 416 dpl100.dll.manifest
11.06.2008 02:03 196.608 dtu100.dll
11.06.2008 02:03 81.920 dpl100.dll
11.06.2008 02:03 3.051 dtu_de.qm
11.06.2008 02:03 8.523 dpude.qm
11.06.2008 02:03 294.912 dpu11.dll
11.06.2008 02:03 57.344 dpv11.dll
11.06.2008 02:03 344.064 dpus11.dll
11.06.2008 02:03 593.920 dpuGUI11.dll
11.06.2008 02:03 294.912 dpu10.dll
11.06.2008 02:03 53.248 dpuGUI10.dll
10.06.2008 02:32 139.264 javaws.exe
10.06.2008 02:32 73.728 javacpl.cpl
10.06.2008 01:21 135.168 javaw.exe
10.06.2008 01:21 135.168 java.exe
02.06.2008 14:10 1.363.968 HDX4H263Decoder.ax
02.06.2008 14:10 167.936 HDX4FlashDemuxer.ax
31.05.2008 18:00 455.094 perfh009.dat
31.05.2008 18:00 77.498 perfc009.dat
31.05.2008 18:00 475.202 perfh007.dat
31.05.2008 18:00 92.166 perfc007.dat
31.05.2008 18:00 1.068.146 PerfStringBackup.INI
30.05.2008 14:19 507.400 XAudio2_1.dll
30.05.2008 14:18 238.088 xactengine3_1.dll
30.05.2008 14:17 65.032 XAPOFX1_0.dll
30.05.2008 14:17 25.608 X3DAudio1_4.dll
30.05.2008 14:11 1.491.992 D3DCompiler_38.dll
30.05.2008 14:11 467.984 d3dx10_38.dll
30.05.2008 14:11 3.850.760 D3DX9_38.dll
26.05.2008 08:20 4.212 zllictbl.dat
19.05.2008 06:33 18.944 msisip.dll
19.05.2008 06:33 332.800 msihnd.dll
19.05.2008 06:33 4.445.184 msi.dll
19.05.2008 01:57 95.744 msiexec.exe
16.05.2008 11:58 12.632 lsdelete.exe
10.05.2008 21:54 16.832 amcompat.tlb
10.05.2008 21:54 23.392 nscompat.tlb
10.05.2008 14:28 47.338 $winnt$.inf
10.05.2008 14:24 488 WindowsLogon.manifest
10.05.2008 14:24 488 logonui.exe.manifest
10.05.2008 14:24 749 wuaucpl.cpl.manifest
10.05.2008 14:24 749 sapi.cpl.manifest
10.05.2008 14:24 749 nwc.cpl.manifest
10.05.2008 14:24 749 cdplayer.exe.manifest
10.05.2008 14:24 749 ncpa.cpl.manifest
10.05.2008 14:21 23.504 emptyregdb.dat
10.05.2008 10:51 5.208 pid.PNF
10.05.2008 01:24 135.168 wshom.ocx
09.05.2008 18:30 51.712 cnbjmon.dll
09.05.2008 18:30 77.312 usbui.dll
09.05.2008 18:30 23.552 wdmaud.drv
09.05.2008 18:30 16.896 msyuv.dll
09.05.2008 18:30 2.068.224 ntkrnlpa.exe
09.05.2008 18:30 59.392 dmutil.dll
09.05.2008 18:30 52.736 wzcsapi.dll
09.05.2008 18:30 299.008 msh263.drv
09.05.2008 18:30 15.360 pjlmon.dll
09.05.2008 18:30 483.840 wzcsvc.dll
09.05.2008 18:30 21.504 hidserv.dll
09.05.2008 18:30 35.328 pid.dll
09.05.2008 18:30 47.616 iyuv_32.dll
09.05.2008 18:30 20.992 hid.dll
09.05.2008 18:28 102.457 usrv42a.dll
09.05.2008 18:28 8.192 streamci.dll
09.05.2008 18:28 72.192 sprio800.dll
09.05.2008 18:28 69.700 usrshuta.exe
09.05.2008 18:28 49.211 usrsdpia.dll
09.05.2008 18:28 77.883 usrrtosa.dll
09.05.2008 18:28 61.508 usrprbda.exe
09.05.2008 18:28 77.891 usrmlnka.exe
09.05.2008 18:28 45.116 usrvoica.dll
09.05.2008 18:28 53.305 usrlbva.dll
09.05.2008 18:28 86.073 usrfaxa.dll
09.05.2008 18:28 323.641 usrdtea.dll
09.05.2008 18:28 77.890 usrdpa.dll
09.05.2008 18:28 69.699 usrcoina.dll
09.05.2008 18:28 61.500 usrcntra.dll
09.05.2008 18:28 49.211 usrvpa.dll
09.05.2008 18:28 157.696 paqsp.dll
09.05.2008 18:28 70.656 sprio600.dll
09.05.2008 18:28 57.856 dvdplay.exe
09.05.2008 18:28 69.632 spnike.dll
09.05.2008 18:28 41.019 usrsvpia.dll
09.05.2008 18:28 8.192 tsbyuv.dll
09.05.2008 18:28 49.209 usrv80a.dll
09.05.2008 18:28 147.968 mdwmdmsp.dll
09.05.2008 18:28 3.200 wowfax.dll
09.05.2008 18:28 14.336 wowfaxui.dll
09.05.2008 18:20 142.336 sfc_os.dll
09.05.2008 18:20 219.136 uxtheme.dll
09.05.2008 18:20 1.005.056 syssetup.dll
09.05.2008 18:20 24.576 nlsdl.dll
09.05.2008 18:20 39.284 normnfd.nls
09.05.2008 18:20 59.342 normidna.nls
09.05.2008 18:20 60.294 normnfkd.nls
09.05.2008 18:20 45.794 normnfc.nls
09.05.2008 18:20 66.384 normnfkc.nls
09.05.2008 18:20 23.552 normaliz.dll
09.05.2008 18:20 26.112 idndl.dll
09.05.2008 18:20 206.336 winfxdocobj.exe
09.05.2008 18:19 66.560 tdc.ocx
09.05.2008 18:19 1.988 ticrf.rat
09.05.2008 18:19 156.160 msls31.dll
09.05.2008 18:19 48.128 mshtmler.dll
09.05.2008 18:19 1.383.424 mshtml.tlb
09.05.2008 18:19 45.568 mshta.exe
09.05.2008 18:19 12.288 msfeedssync.exe
09.05.2008 18:19 40.960 licmgr10.dll
09.05.2008 18:19 92.672 inseng.dll
09.05.2008 18:19 36.352 imgutil.dll
09.05.2008 18:19 180.736 ieui.dll
09.05.2008 18:19 55.296 iesetup.dll
09.05.2008 18:19 191.488 iepeers.dll
09.05.2008 18:19 78.336 ieencode.dll
09.05.2008 18:19 8.798 icrav03.rat
09.05.2008 18:19 443.904 html.iec
09.05.2008 18:19 17.408 corpol.dll
09.05.2008 18:19 12.288 advpack.dll.mui
09.05.2008 18:19 71.680 admparse.dll
09.05.2008 18:19 56.700 ieuinit.inf
09.05.2008 12:54 172.032 scrrun.dll
09.05.2008 12:54 180.224 scrobj.dll
09.05.2008 12:54 430.080 vbscript.dll
09.05.2008 12:54 90.112 wshext.dll
09.05.2008 12:54 512.000 jscript.dll
08.05.2008 13:24 155.648 wscript.exe
07.05.2008 11:07 135.168 cscript.exe
07.05.2008 07:10 1.293.824 quartz.dll

Mfg Casares

#4 Prüfe mal diese Datei(en) bei Virustotal http://www.virustotal.com/flash/index_en.html

Zitat

C:\WINDOWS\system32\szwbkjex.exe

Note: Wenn bei ViruTotal die Meldung kommt ” Die Datei wurde bereits analysiert “wähle „Analysiere die Datei“
Poste nur die URL am Ende
__________
MfG Argus

#5 Hallo,

Ich habe diese Datei bereits mit dem Programm "Prevx CSI" gelöscht. Ich habe leider kein Log File mehr.

Das Problem besteht aber weiterhin!

Mfg Casares

#6 Poste nochmal ein frisches log von combofix
__________
MfG Argus

#7 Hallo,

Ich habe die Datei "2D66352F.exe" im Ordner "C:/windows/temp" bei Virustotal prüfen lassen:

Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=7A23C91000BACF03CE49000A061421002FEFDF82

ThreatExpert info: http://www.threatexpert.com/report.aspx?md5=73e69eca1a4f682e9428f652c481d260

Das frische Log von Combofix werde ich noch posten.

Vielen Dank für die Hilfe!

Mfg Casares


Hier das frische Log von Combofix:

ComboFix 08-10-01.02 - Casares 2008-10-03 0:10:22.9 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.823 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Casares\Desktop\ComboFix.exe

[color=red]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_mchinjdrv


((((((((((((((((((((((( Dateien erstellt von 2008-09-02 bis 2008-10-02 ))))))))))))))))))))))))))))))
.

2008-10-02 23:18 . 2008-10-02 23:18 <DIR> d-------- C:\Programme\PrevxCSI
2008-10-02 23:18 . 2008-10-02 23:23 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PrevxCSI
2008-10-02 23:18 . 2008-10-02 23:18 25,784 --a------ C:\WINDOWS\system32\drivers\pxark.sys
2008-10-02 20:54 . 2008-10-02 21:34 <DIR> d-------- C:\Programme\a-squared Free
2008-10-02 11:20 . 2008-10-02 11:21 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-10-02 11:20 . 2008-10-02 11:20 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-10-02 11:20 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-10-02 11:20 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-10-02 10:51 . 2008-10-02 11:04 <DIR> d-------- C:\Programme\CleanUp!
2008-10-01 20:40 . 2008-10-01 20:40 <DIR> d-------- C:\Dokumente und Einstellungen\Casares\Anwendungsdaten\Malwarebytes
2008-10-01 13:56 . 2008-10-01 13:56 <DIR> d-------- C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\Avira
2008-10-01 10:28 . 2008-10-03 00:15 104,178 --a------ C:\WINDOWS\system32\drivers\a4dd57ec.sys
2008-09-30 17:48 . 2008-09-30 17:48 <DIR> d-------- C:\Programme\DVDVideoSoft
2008-09-30 15:12 . 2008-09-30 15:12 <DIR> d-------- C:\Programme\Smart PC Solutions
2008-09-30 15:12 . 2008-09-30 15:12 <DIR> d-------- C:\Dokumente und Einstellungen\Casares\Anwendungsdaten\Smart PC Solutions
2008-09-30 09:56 . 2008-09-30 10:01 <DIR> d-------- C:\Programme\AVS4YOU
2008-09-30 09:17 . 2008-09-30 09:17 <DIR> d-------- C:\Dokumente und Einstellungen\Casares\Anwendungsdaten\AVS4YOU
2008-09-30 09:17 . 2008-09-30 09:17 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AVS4YOU
2008-09-30 09:15 . 2003-05-22 00:50 1,700,352 --a------ C:\WINDOWS\system32\GdiPlus.dll
2008-09-30 09:15 . 2007-09-27 15:22 638,976 --a------ C:\WINDOWS\system32\divx.dll
2008-09-30 09:15 . 2003-05-22 13:26 221,215 --a------ C:\WINDOWS\system32\divxdec.ax
2008-09-30 08:51 . 2008-09-30 17:49 <DIR> d-------- C:\Programme\Gemeinsame Dateien\DVDVideoSoft
2008-09-29 11:50 . 2007-04-02 23:56 19,456 --a------ C:\WINDOWS\system32\dllcache\agt040d.dll
2008-09-29 11:50 . 2007-04-02 23:56 19,456 --a------ C:\WINDOWS\system32\dllcache\agt0401.dll
2008-09-27 14:44 . 2008-09-27 14:44 <DIR> d-------- C:\Dokumente und Einstellungen\Casares\Anwendungsdaten\vlc
2008-09-25 22:17 . 2008-09-30 08:43 <DIR> d-------- C:\DVDVideoSoft
2008-09-23 17:07 . 2008-09-23 17:08 <DIR> d-------- C:\Dokumente und Einstellungen\Casares\Anwendungsdaten\PeaZip
2008-09-20 19:55 . 2008-10-02 10:26 250 --a------ C:\WINDOWS\gmer.ini
2008-09-16 11:24 . 2008-09-16 11:24 <DIR> d-------- C:\WINDOWS\system32\npp
2008-09-16 11:24 . 2008-09-16 11:24 <DIR> d-------- C:\WINDOWS\srchasst
2008-09-16 10:43 . 2008-10-02 10:30 4,528 --a------ C:\WINDOWS\system32\tmp.reg
2008-09-16 09:20 . 2008-09-16 09:20 <DIR> d-------- C:\Programme\rcgxof
2008-09-16 09:19 . 2008-09-16 12:20 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\wvcpubiv
2008-09-16 01:01 . 2008-09-16 01:02 <DIR> d-------- C:\Programme\LIDL Fotoservice
2008-09-12 20:19 . 2008-09-12 20:19 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ScreenSeven
2008-09-12 16:50 . 2008-09-12 16:50 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Intenium
2008-09-11 16:45 . 2008-09-11 16:45 <DIR> d-------- C:\Programme\Free Video to iPod Converter
2008-09-11 09:45 . 2008-09-11 09:45 <DIR> d-------- C:\Programme\comdirect B”rsenTicker
2008-09-11 09:45 . 2008-09-11 09:45 <DIR> d-------- C:\Dokumente und Einstellungen\Casares\Anwendungsdaten\de.comdirect.ticker.F9E8724CCE1C30FBC384125840AA431F6B009CFC.1
2008-09-11 09:44 . 2008-09-11 09:44 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Adobe AIR
2008-09-10 11:14 . 2008-09-10 11:14 <DIR> d-------- C:\Programme\Microsoft IntelliType Pro
2008-09-10 09:16 . 2008-09-10 09:16 <DIR> d-------- C:\Programme\Microsoft IntelliPoint
2008-09-10 09:16 . 2008-06-10 13:04 31,048 --a------ C:\WINDOWS\system32\drivers\point32.sys
2008-09-09 22:45 . 2008-09-09 22:45 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
2008-09-09 22:44 . 2008-09-09 22:44 <DIR> d-------- C:\Programme\Bonjour
2008-09-09 22:41 . 2008-09-05 22:16 1,900,544 --a------ C:\WINDOWS\system32\usbaaplrc.dll
2008-09-06 15:09 . 2008-09-06 15:09 90,112 --a------ C:\WINDOWS\system32\QuickTimeVR.qtx
2008-09-06 15:09 . 2008-09-06 15:09 57,344 --a------ C:\WINDOWS\system32\QuickTime.qts
2008-09-02 17:38 . 2008-07-03 18:04 732,376 -ra------ C:\WINDOWS\system32\drivers\cfosspeed.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-02 22:14 --------- d-----w C:\Programme\cFosSpeed
2008-10-02 22:09 --------- d-----w C:\Dokumente und Einstellungen\Casares\Anwendungsdaten\Orbit
2008-10-02 22:09 --------- d-----w C:\Dokumente und Einstellungen\Casares\Anwendungsdaten\OpenOffice.org2
2008-10-02 22:09 --------- d-----w C:\Dokumente und Einstellungen\Casares\Anwendungsdaten\KlipFolio
2008-10-02 21:12 --------- d-----w C:\Programme\Mozilla Thunderbird
2008-10-02 21:08 --------- d-----w C:\Programme\eMule
2008-10-02 21:07 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-10-02 18:26 --------- d-----w C:\Programme\LingoPad
2008-10-02 14:15 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
2008-10-02 09:28 --------- d-----w C:\Programme\SyncBack
2008-10-01 22:29 --------- d-----w C:\Programme\Spybot - Search & Destroy
2008-10-01 13:00 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-10-01 07:42 --------- d-----w C:\Programme\MeineBeihilfe
2008-09-30 09:04 --------- d-----w C:\Programme\DirSync
2008-09-30 07:57 --------- d-----w C:\Programme\Gemeinsame Dateien\AVSMedia
2008-09-29 20:22 --------- d-----w C:\Dokumente und Einstellungen\Casares\Anwendungsdaten\RipIt4Me
2008-09-23 08:27 --------- d-----w C:\Programme\MediaMonkey
2008-09-19 16:12 --------- d-----w C:\Programme\Orbitdownloader
2008-09-19 15:10 71,592 ----a-w C:\WINDOWS\system32\drivers\avfwot.sys
2008-09-19 07:51 --------- d-----w C:\Programme\FreeCommander
2008-09-11 07:45 --------- d-----w C:\Programme\comdirect BörsenTicker
2008-09-11 07:08 --------- d-----w C:\Programme\OpenOffice.org 2.4
2008-09-09 20:57 --------- d-----w C:\Dokumente und Einstellungen\Casares\Anwendungsdaten\Apple Computer
2008-09-09 20:45 --------- d-----w C:\Programme\iTunes
2008-09-09 20:45 --------- d-----w C:\Programme\iPod
2008-09-09 20:44 --------- d-----w C:\Programme\QuickTime
2008-09-09 20:43 --------- d-----w C:\Programme\Gemeinsame Dateien\Apple
2008-09-05 20:16 36,864 ----a-w C:\WINDOWS\system32\drivers\usbaapl.sys
2008-09-04 07:22 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-09-02 14:57 --------- d-----w C:\Programme\MyPhoneExplorer
2008-09-02 14:56 --------- d-----w C:\Programme\lg_fwupdate
2008-08-30 16:21 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DVD Shrink
2008-08-26 09:12 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-08-25 15:33 --------- d-----w C:\Dokumente und Einstellungen\Casares\Anwendungsdaten\Ashampoo
2008-08-25 15:31 --------- d-----w C:\Programme\Ashampoo
2008-08-19 06:55 --------- d-----w C:\Programme\Apple Software Update
2006-08-05 08:49 132,242 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\firstlsp.reg.dat
2006-03-14 15:36 81 ----a-w C:\Programme\desktop.ini
2007-01-23 12:07 1,847,296 ----a-w C:\Programme\mozilla firefox\plugins\Seadragon.dll
2008-05-10 12:30 32,768 --sha-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008051020080511\index.dat
.

((((((((((((((((((((((((((((( snapshot@2008-10-01_17.05.53.70 )))))))))))))))))))))))))))))))))))))))))
.
+ 2005-01-26 11:24:02 6,912 ----a-w C:\WINDOWS\system32\drivers\pxcom.sys
+ 2005-01-26 11:24:08 123,520 ----a-w C:\WINDOWS\system32\drivers\pxfsf.sys
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"wmpnscfg"="C:\Programme\Windows Media Player\WMPNSCFG.exe" [2006-10-24 204288]
"tvtip"="C:\Programme\TV Movie\TV Movie ClickFinder\tvstart.exe" [2007-07-02 94208]
"rocketdock"="C:\Programme\RocketDock\RocketDock.exe" [2007-09-02 495616]
"roboform"="C:\Programme\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe" [2008-09-22 160592]
"klipfolio"="C:\Programme\Serence KlipFolio\KlipFolio.exe" [2007-03-21 1063528]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"tkbellexe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-06-18 185896]
"sunjavaupdatesched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"quicktime task"="C:\Programme\QuickTime\QTTask.exe" [2008-09-06 413696]
"phime2002async"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" [2008-04-13 455168]
"phime2002a"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" [2008-04-13 455168]
"nvcpldaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-10-22 7700480]
"mspy2002"="C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe" [2008-04-13 59392]
"itype"="C:\Programme\Microsoft IntelliType Pro\itype.exe" [2008-06-10 1442888]
"ituneshelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-09-08 289576]
"intellipoint"="C:\Programme\Microsoft IntelliPoint\ipoint.exe" [2008-06-10 1406024]
"imjpmig8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" [2008-04-13 208952]
"imekrmig6.1"="C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE" [2002-08-29 44032]
"defragtaskbar"="C:\Programme\Ashampoo\Ashampoo Magical Defrag 2\bin\defragTaskBar.exe" [2008-04-18 173408]
"cfosspeed"="C:\Programme\cFosSpeed\cFosSpeed.exe" [2008-07-03 867544]
"avgnt"="C:\Programme\Avira\Avira Premium Security Suite\avgnt.exe" [2008-08-18 266497]
"applesyncnotifier"="C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2008-09-03 111936]
"adobe reader speed launcher"="C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"soundman"="SOUNDMAN.EXE" [2007-04-16 C:\WINDOWS\soundman.exe]
"nwiz"="nwiz.exe" [2006-10-22 C:\WINDOWS\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2008-04-14 15360]
"DWQueuedReporting"="C:\PROGRA~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe" [2007-02-26 437160]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nltide_2"="shell32" [X]
"tscuninstall"="C:\WINDOWS\system32\tscupgrd.exe" [2004-08-04 44544]
"nltide_3"="advpack.dll" [2008-06-23 C:\WINDOWS\system32\advpack.dll]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"SynchronousMachineGroupPolicy"= 1 (0x1)
"SynchronousUserGroupPolicy"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoStrCmpLogical"= 0 (0x0)
"NoResolveSearch"= 0 (0x0)
"NoResolveTrack"= 1 (0x1)
"NoFileAssociate"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSMBalloonTip"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoSMHelp"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)
"NoActiveDesktopChanges"= 0 (0x0)

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"HlpInfoSh"= {499704CD-1BDC-EF67-41F8-0672030276D8} - C:\Programme\rcgxof\HlpInfoSh.dll [2008-09-16 114688]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=NVDESK32.DLL

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.l3fhg"= mp3fhg.acm
"msacm.divxa32"= divxa32.acm
"VIDC.X264"= x264vfw.dll
"VIDC.HFYU"= huffyuv.dll
"vidc.i263"= i263_32.drv

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"WinDefend"=2 (0x2)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Orbitdownloader\\orbitdm.exe"=
"C:\\Programme\\Orbitdownloader\\orbitnet.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=

R0 pxark;pxark;C:\WINDOWS\system32\drivers\pxark.sys [2008-10-02 25784]
R1 avfwot;avfwot;C:\WINDOWS\system32\DRIVERS\avfwot.sys [2008-09-19 71592]
R2 AntiVirFirewallService;Avira Premium Security Suite Firewall;C:\Programme\Avira\Avira Premium Security Suite\avfwsvc.exe [2008-08-18 344321]
R2 AntiVirMailService;Avira Premium Security Suite MailGuard;C:\Programme\Avira\Avira Premium Security Suite\avmailc.exe [2008-08-18 164097]
R2 antivirwebservice;Avira Premium Security Suite WebGuard;C:\Programme\Avira\Avira Premium Security Suite\AVWEBGRD.EXE [2008-08-18 258305]
R2 AVEService;Avira Premium Security Suite MailGuard Hilfsdienst;C:\Programme\Avira\Avira Premium Security Suite\avesvc.exe [2008-08-18 41217]
R2 csiscanner;CSIScanner;C:\Programme\PrevxCSI\prevxcsi.exe [2008-10-02 875576]
R2 ithsgt;ithsgt;C:\WINDOWS\system32\DRIVERS\ithsgt.sys [2005-11-26 162432]
R2 lilsgt;lilsgt;C:\WINDOWS\system32\DRIVERS\lilsgt.sys [2005-11-26 12032]
R3 avfwim;AvFw Packet Filter Miniport;C:\WINDOWS\system32\DRIVERS\avfwim.sys [2008-06-22 71464]
R3 SISNICXP;SiS PCI Fast Ethernet Adapter Driver for NDIS51;C:\WINDOWS\system32\DRIVERS\sisnicxp.sys [2006-02-14 32768]
S3 AdslUsbLdr;MicroLink ADSL Fun USB Loader Driver;C:\WINDOWS\system32\drivers\mldslul2.sys [2003-01-27 46551]
S3 mladslusb;MicroLink ADSL Fun USB Driver;C:\WINDOWS\system32\DRIVERS\mldslusb.sys [2002-11-07 112041]
S3 rkhdrv10;RootKit Unhooker Driver;C:\WINDOWS\system32\drivers\rkhdrv10.sys [2006-09-02 14976]
S3 SER120;OTI Serial port driver;C:\WINDOWS\system32\DRIVERS\SER120.sys [2005-03-22 32910]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3f19bab4-4fee-11da-88b9-000000000000}]
\Shell\AutoRun\command - G:\InstallTomTomHOME.exe

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{41F4B657-538B-E6F2-C0E2-5843D8EAF9D6}]
C:\Programme\windows_updates\svchost.exe s
.
Inhalt des "geplante Tasks" Ordners
.
.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Casares\Anwendungsdaten\Mozilla\Firefox\Profiles\7rpqm79k.default\
FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://comdirect.de/
FF -: plugin - C:\Programme\Google\Google Updater\2.2.1111.1511\npCIDetect11.dll
FF -: plugin - C:\Programme\iTunes\Mozilla Plugins\npitunes.dll
FF -: plugin - C:\Programme\Mozilla Firefox\plugins\npmozax.dll
FF -: plugin - C:\Programme\Mozilla Firefox\plugins\nppsynth.dll
FF -: plugin - C:\Programme\Mozilla Firefox\plugins\npracplug.dll
FF -: plugin - C:\Programme\OpenOffice.org 2.4\program\npsoplugin.dll
FF -: plugin - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll
FF -: plugin - C:\WINDOWS\system32\Photosynth\nppsynth.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-03 00:14:55
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\a4dd57ec]
"ImagePath"="\SystemRoot\System32\drivers\a4dd57ec.sys"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

Prozess: C:\WINDOWS\explorer.exe
-> C:\Programme\RocketDock\RocketDock.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\Programme\Avira\Avira Premium Security Suite\sched.exe
C:\Programme\a-squared Free\a2service.exe
C:\Programme\Avira\Avira Premium Security Suite\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Ashampoo\Ashampoo Magical Defrag 2\bin\aDefragService.exe
C:\Programme\Ashampoo\Ashampoo Magical Defrag 2\bin\defragActivityMonitor.exe
C:\Programme\cFosSpeed\spd.exe
C:\Programme\Microsoft IntelliType Pro\dpupdchk.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Orbitdownloader\orbitdm.exe
C:\Programme\TV Movie\TV Movie ClickFinder\tvtip.exe
C:\Programme\OpenOffice.org 2.4\program\soffice.exe
C:\Programme\OpenOffice.org 2.4\program\soffice.bin
C:\Programme\iPod\bin\iPodService.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-10-03 0:24:57 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-10-02 22:24:31
ComboFix2.txt 2008-10-02 14:12:50
ComboFix3.txt 2008-10-01 22:22:06
ComboFix4.txt 2008-10-01 15:50:19
ComboFix5.txt 2008-10-02 22:10:09

Vor Suchlauf: 8 Verzeichnis(se), 10.958.852.096 Bytes frei
Nach Suchlauf: 11 Verzeichnis(se), 10,904,268,800 Bytes frei

268

#8 Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop.
Gebe bei Dateityp 'Alle Dateien' an.
Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

File::
C:\WINDOWS\system32\drivers\a4dd57ec.sys
Folder::
C:\Programme\rcgxof
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\wvcpubiv
Driver::
a4dd57ec

CFScript.txt mit der rechten Maustaste auf das Symbol von Combofix ziehen


Combofix noch mal anwenden
poste dann nach neustart das neue Log

Worauf beziehen sich diese anmerkungen
Ich habe die Datei "2D66352F.exe" im Ordner "C:/windows/temp" bei Virustotal prüfen lassen:

Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=7A23C91000BACF03CE49000A061421002FEFDF82

ThreatExpert info: http://www.threatexpert.com/report.aspx?md5=73e69eca1a4f682e9428f652c481d260
__________
MfG Argus

#9 Hallo,

meine obigen Anmerkungen bezogen sich auf kein Posting. Ich habs halt einfach mal gemacht, weil das u. a. eine Exe-Datei ist, die eine Internetverbindung herstellen will.

Ich hab noch eine Frage:

Ist es normal, das AntiVir nach Anwendung von Combofix und Neustart diverse Dateien (Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.1.B, APPL/NirCmd.E.2.B, APPL/PsExec.E) in Quarantäne stellt?

MfG Casares


Hier jetzt das neue Combofix Log mit Anwendung der obigen "cfscript.txt" Datei:

ComboFix 08-10-01.02 - Casares 2008-10-03 11:15:12.10 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.812 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Casares\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: C:\Dokumente und Einstellungen\Casares\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/color]

FILE ::
C:\WINDOWS\system32\drivers\a4dd57ec.sys
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\wvcpubiv
C:\Programme\rcgxof
C:\Programme\rcgxof\HlpInfoSh.dll

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_a4dd57ec


((((((((((((((((((((((( Dateien erstellt von 2008-09-03 bis 2008-10-03 ))))))))))))))))))))))))))))))
.

2008-10-02 20:54 . 2008-10-02 21:34 <DIR> d-------- C:\Programme\a-squared Free
2008-10-02 11:20 . 2008-10-02 11:21 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-10-02 11:20 . 2008-10-02 11:20 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-10-02 11:20 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-10-02 11:20 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-10-02 10:51 . 2008-10-02 11:04 <DIR> d-------- C:\Programme\CleanUp!
2008-10-01 20:40 . 2008-10-01 20:40 <DIR> d-------- C:\Dokumente und Einstellungen\Casares\Anwendungsdaten\Malwarebytes
2008-10-01 13:56 . 2008-10-01 13:56 <DIR> d-------- C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\Avira
2008-09-30 17:48 . 2008-09-30 17:48 <DIR> d-------- C:\Programme\DVDVideoSoft
2008-09-30 15:12 . 2008-09-30 15:12 <DIR> d-------- C:\Programme\Smart PC Solutions
2008-09-30 15:12 . 2008-09-30 15:12 <DIR> d-------- C:\Dokumente und Einstellungen\Casares\Anwendungsdaten\Smart PC Solutions
2008-09-30 09:56 . 2008-09-30 10:01 <DIR> d-------- C:\Programme\AVS4YOU
2008-09-30 09:17 . 2008-09-30 09:17 <DIR> d-------- C:\Dokumente und Einstellungen\Casares\Anwendungsdaten\AVS4YOU
2008-09-30 09:17 . 2008-09-30 09:17 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AVS4YOU
2008-09-30 09:15 . 2003-05-22 00:50 1,700,352 --a------ C:\WINDOWS\system32\GdiPlus.dll
2008-09-30 09:15 . 2007-09-27 15:22 638,976 --a------ C:\WINDOWS\system32\divx.dll
2008-09-30 09:15 . 2003-05-22 13:26 221,215 --a------ C:\WINDOWS\system32\divxdec.ax
2008-09-30 08:51 . 2008-09-30 17:49 <DIR> d-------- C:\Programme\Gemeinsame Dateien\DVDVideoSoft
2008-09-29 11:50 . 2007-04-02 23:56 19,456 --a------ C:\WINDOWS\system32\dllcache\agt040d.dll
2008-09-29 11:50 . 2007-04-02 23:56 19,456 --a------ C:\WINDOWS\system32\dllcache\agt0401.dll
2008-09-27 14:44 . 2008-09-27 14:44 <DIR> d-------- C:\Dokumente und Einstellungen\Casares\Anwendungsdaten\vlc
2008-09-25 22:17 . 2008-09-30 08:43 <DIR> d-------- C:\DVDVideoSoft
2008-09-23 17:07 . 2008-09-23 17:08 <DIR> d-------- C:\Dokumente und Einstellungen\Casares\Anwendungsdaten\PeaZip
2008-09-20 19:55 . 2008-10-02 10:26 250 --a------ C:\WINDOWS\gmer.ini
2008-09-16 11:24 . 2008-09-16 11:24 <DIR> d-------- C:\WINDOWS\system32\npp
2008-09-16 11:24 . 2008-09-16 11:24 <DIR> d-------- C:\WINDOWS\srchasst
2008-09-16 10:43 . 2008-10-02 10:30 4,528 --a------ C:\WINDOWS\system32\tmp.reg
2008-09-16 01:01 . 2008-09-16 01:02 <DIR> d-------- C:\Programme\LIDL Fotoservice
2008-09-12 20:19 . 2008-09-12 20:19 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ScreenSeven
2008-09-12 16:50 . 2008-09-12 16:50 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Intenium
2008-09-11 16:45 . 2008-09-11 16:45 <DIR> d-------- C:\Programme\Free Video to iPod Converter
2008-09-11 09:45 . 2008-09-11 09:45 <DIR> d-------- C:\Programme\comdirect B”rsenTicker
2008-09-11 09:45 . 2008-09-11 09:45 <DIR> d-------- C:\Dokumente und Einstellungen\Casares\Anwendungsdaten\de.comdirect.ticker.F9E8724CCE1C30FBC384125840AA431F6B009CFC.1
2008-09-11 09:44 . 2008-09-11 09:44 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Adobe AIR
2008-09-10 11:14 . 2008-09-10 11:14 <DIR> d-------- C:\Programme\Microsoft IntelliType Pro
2008-09-10 09:16 . 2008-09-10 09:16 <DIR> d-------- C:\Programme\Microsoft IntelliPoint
2008-09-10 09:16 . 2008-06-10 13:04 31,048 --a------ C:\WINDOWS\system32\drivers\point32.sys
2008-09-09 22:45 . 2008-09-09 22:45 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
2008-09-09 22:44 . 2008-09-09 22:44 <DIR> d-------- C:\Programme\Bonjour
2008-09-09 22:41 . 2008-09-05 22:16 1,900,544 --a------ C:\WINDOWS\system32\usbaaplrc.dll
2008-09-06 15:09 . 2008-09-06 15:09 90,112 --a------ C:\WINDOWS\system32\QuickTimeVR.qtx
2008-09-06 15:09 . 2008-09-06 15:09 57,344 --a------ C:\WINDOWS\system32\QuickTime.qts

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-03 09:13 --------- d-----w C:\Dokumente und Einstellungen\Casares\Anwendungsdaten\Orbit
2008-10-03 09:13 --------- d-----w C:\Dokumente und Einstellungen\Casares\Anwendungsdaten\OpenOffice.org2
2008-10-03 09:13 --------- d-----w C:\Dokumente und Einstellungen\Casares\Anwendungsdaten\KlipFolio
2008-10-03 09:12 --------- d-----w C:\Programme\cFosSpeed
2008-10-03 08:34 --------- d-----w C:\Programme\Mozilla Thunderbird
2008-10-02 21:08 --------- d-----w C:\Programme\eMule
2008-10-02 21:07 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-10-02 18:26 --------- d-----w C:\Programme\LingoPad
2008-10-02 14:15 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
2008-10-02 09:28 --------- d-----w C:\Programme\SyncBack
2008-10-01 22:29 --------- d-----w C:\Programme\Spybot - Search & Destroy
2008-10-01 13:00 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-10-01 07:42 --------- d-----w C:\Programme\MeineBeihilfe
2008-09-30 09:04 --------- d-----w C:\Programme\DirSync
2008-09-30 07:57 --------- d-----w C:\Programme\Gemeinsame Dateien\AVSMedia
2008-09-29 20:22 --------- d-----w C:\Dokumente und Einstellungen\Casares\Anwendungsdaten\RipIt4Me
2008-09-23 08:27 --------- d-----w C:\Programme\MediaMonkey
2008-09-19 16:12 --------- d-----w C:\Programme\Orbitdownloader
2008-09-19 15:10 71,592 ----a-w C:\WINDOWS\system32\drivers\avfwot.sys
2008-09-19 07:51 --------- d-----w C:\Programme\FreeCommander
2008-09-11 07:45 --------- d-----w C:\Programme\comdirect BörsenTicker
2008-09-11 07:08 --------- d-----w C:\Programme\OpenOffice.org 2.4
2008-09-09 20:57 --------- d-----w C:\Dokumente und Einstellungen\Casares\Anwendungsdaten\Apple Computer
2008-09-09 20:45 --------- d-----w C:\Programme\iTunes
2008-09-09 20:45 --------- d-----w C:\Programme\iPod
2008-09-09 20:44 --------- d-----w C:\Programme\QuickTime
2008-09-09 20:43 --------- d-----w C:\Programme\Gemeinsame Dateien\Apple
2008-09-05 20:16 36,864 ----a-w C:\WINDOWS\system32\drivers\usbaapl.sys
2008-09-04 07:22 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-09-02 14:57 --------- d-----w C:\Programme\MyPhoneExplorer
2008-09-02 14:56 --------- d-----w C:\Programme\lg_fwupdate
2008-08-30 16:21 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DVD Shrink
2008-08-26 09:12 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-08-25 15:33 --------- d-----w C:\Dokumente und Einstellungen\Casares\Anwendungsdaten\Ashampoo
2008-08-25 15:31 --------- d-----w C:\Programme\Ashampoo
2008-08-19 06:55 --------- d-----w C:\Programme\Apple Software Update
2006-08-05 08:49 132,242 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\firstlsp.reg.dat
2006-03-14 15:36 81 ----a-w C:\Programme\desktop.ini
2007-01-23 12:07 1,847,296 ----a-w C:\Programme\mozilla firefox\plugins\Seadragon.dll
2008-05-10 12:30 32,768 --sha-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008051020080511\index.dat
.

((((((((((((((((((((((((((((( snapshot@2008-10-01_17.05.53.70 )))))))))))))))))))))))))))))))))))))))))
.
+ 2005-01-26 11:24:02 6,912 ----a-w C:\WINDOWS\system32\drivers\pxcom.sys
+ 2005-01-26 11:24:08 123,520 ----a-w C:\WINDOWS\system32\drivers\pxfsf.sys
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"wmpnscfg"="C:\Programme\Windows Media Player\WMPNSCFG.exe" [2006-10-24 204288]
"tvtip"="C:\Programme\TV Movie\TV Movie ClickFinder\tvstart.exe" [2007-07-02 94208]
"rocketdock"="C:\Programme\RocketDock\RocketDock.exe" [2007-09-02 495616]
"roboform"="C:\Programme\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe" [2008-09-22 160592]
"klipfolio"="C:\Programme\Serence KlipFolio\KlipFolio.exe" [2007-03-21 1063528]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"tkbellexe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-06-18 185896]
"sunjavaupdatesched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"quicktime task"="C:\Programme\QuickTime\QTTask.exe" [2008-09-06 413696]
"phime2002async"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" [2008-04-13 455168]
"phime2002a"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" [2008-04-13 455168]
"nvcpldaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-10-22 7700480]
"mspy2002"="C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe" [2008-04-13 59392]
"itype"="C:\Programme\Microsoft IntelliType Pro\itype.exe" [2008-06-10 1442888]
"ituneshelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-09-08 289576]
"intellipoint"="C:\Programme\Microsoft IntelliPoint\ipoint.exe" [2008-06-10 1406024]
"imjpmig8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" [2008-04-13 208952]
"imekrmig6.1"="C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE" [2002-08-29 44032]
"defragtaskbar"="C:\Programme\Ashampoo\Ashampoo Magical Defrag 2\bin\defragTaskBar.exe" [2008-04-18 173408]
"cfosspeed"="C:\Programme\cFosSpeed\cFosSpeed.exe" [2008-07-03 867544]
"avgnt"="C:\Programme\Avira\Avira Premium Security Suite\avgnt.exe" [2008-08-18 266497]
"applesyncnotifier"="C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2008-09-03 111936]
"adobe reader speed launcher"="C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"soundman"="SOUNDMAN.EXE" [2007-04-16 C:\WINDOWS\soundman.exe]
"nwiz"="nwiz.exe" [2006-10-22 C:\WINDOWS\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2008-04-14 15360]
"DWQueuedReporting"="C:\PROGRA~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe" [2007-02-26 437160]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nltide_2"="shell32" [X]
"tscuninstall"="C:\WINDOWS\system32\tscupgrd.exe" [2004-08-04 44544]
"nltide_3"="advpack.dll" [2008-06-23 C:\WINDOWS\system32\advpack.dll]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"SynchronousMachineGroupPolicy"= 1 (0x1)
"SynchronousUserGroupPolicy"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoStrCmpLogical"= 0 (0x0)
"NoResolveSearch"= 0 (0x0)
"NoResolveTrack"= 1 (0x1)
"NoFileAssociate"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSMBalloonTip"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoSMHelp"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)
"NoActiveDesktopChanges"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=NVDESK32.DLL

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.l3fhg"= mp3fhg.acm
"msacm.divxa32"= divxa32.acm
"VIDC.X264"= x264vfw.dll
"VIDC.HFYU"= huffyuv.dll
"vidc.i263"= i263_32.drv

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"WinDefend"=2 (0x2)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Orbitdownloader\\orbitdm.exe"=
"C:\\Programme\\Orbitdownloader\\orbitnet.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=

R1 avfwot;avfwot;C:\WINDOWS\system32\DRIVERS\avfwot.sys [2008-09-19 71592]
R2 AntiVirFirewallService;Avira Premium Security Suite Firewall;C:\Programme\Avira\Avira Premium Security Suite\avfwsvc.exe [2008-08-18 344321]
R2 AntiVirMailService;Avira Premium Security Suite MailGuard;C:\Programme\Avira\Avira Premium Security Suite\avmailc.exe [2008-08-18 164097]
R2 antivirwebservice;Avira Premium Security Suite WebGuard;C:\Programme\Avira\Avira Premium Security Suite\AVWEBGRD.EXE [2008-08-18 258305]
R2 AVEService;Avira Premium Security Suite MailGuard Hilfsdienst;C:\Programme\Avira\Avira Premium Security Suite\avesvc.exe [2008-08-18 41217]
R2 ithsgt;ithsgt;C:\WINDOWS\system32\DRIVERS\ithsgt.sys [2005-11-26 162432]
R2 lilsgt;lilsgt;C:\WINDOWS\system32\DRIVERS\lilsgt.sys [2005-11-26 12032]
R3 avfwim;AvFw Packet Filter Miniport;C:\WINDOWS\system32\DRIVERS\avfwim.sys [2008-06-22 71464]
R3 SISNICXP;SiS PCI Fast Ethernet Adapter Driver for NDIS51;C:\WINDOWS\system32\DRIVERS\sisnicxp.sys [2006-02-14 32768]
S3 AdslUsbLdr;MicroLink ADSL Fun USB Loader Driver;C:\WINDOWS\system32\drivers\mldslul2.sys [2003-01-27 46551]
S3 mladslusb;MicroLink ADSL Fun USB Driver;C:\WINDOWS\system32\DRIVERS\mldslusb.sys [2002-11-07 112041]
S3 rkhdrv10;RootKit Unhooker Driver;C:\WINDOWS\system32\drivers\rkhdrv10.sys [2006-09-02 14976]
S3 SER120;OTI Serial port driver;C:\WINDOWS\system32\DRIVERS\SER120.sys [2005-03-22 32910]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3f19bab4-4fee-11da-88b9-000000000000}]
\Shell\AutoRun\command - G:\InstallTomTomHOME.exe

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{41F4B657-538B-E6F2-C0E2-5843D8EAF9D6}]
C:\Programme\windows_updates\svchost.exe s
.
Inhalt des "geplante Tasks" Ordners
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

SSODL-HlpInfoSh-{499704CD-1BDC-EF67-41F8-0672030276D8} - C:\Programme\rcgxof\HlpInfoSh.dll



**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-03 11:19:18
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

Prozess: C:\WINDOWS\explorer.exe
-> C:\Programme\RocketDock\RocketDock.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\Programme\Avira\Avira Premium Security Suite\sched.exe
C:\Programme\a-squared Free\a2service.exe
C:\Programme\Avira\Avira Premium Security Suite\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Ashampoo\Ashampoo Magical Defrag 2\bin\aDefragService.exe
C:\Programme\Ashampoo\Ashampoo Magical Defrag 2\bin\defragActivityMonitor.exe
C:\Programme\cFosSpeed\spd.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Microsoft IntelliType Pro\dpupdchk.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Orbitdownloader\orbitdm.exe
C:\Programme\TV Movie\TV Movie ClickFinder\tvtip.exe
C:\Programme\OpenOffice.org 2.4\program\soffice.exe
C:\Programme\OpenOffice.org 2.4\program\soffice.bin
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-10-03 11:29:19 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-10-03 09:28:50
ComboFix2.txt 2008-10-02 22:24:58
ComboFix3.txt 2008-10-02 14:12:50
ComboFix4.txt 2008-10-01 22:22:06
ComboFix5.txt 2008-10-03 09:14:43

Vor Suchlauf: 8 Verzeichnis(se), 10.914.897.920 Bytes frei
Nach Suchlauf: 11 Verzeichnis(se), 10,861,621,248 Bytes frei

249

#10 Nein,ist nicht Normal

Zitat

Ist es normal, das AntiVir nach Anwendung von Combofix und Neustart diverse Dateien (Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.1.B, APPL/NirCmd.E.2.B, APPL/PsExec.E) in Quarantäne stellt?

In dieser Anleitung steht auch deutlich etwas angegeben
http://www.virus-protect.org/artikel/tools/combofix.html

Zitat

schliesse alle Programme und Anwendungen mit Hintergrundwächtern inklusive der Firewall + Antivirusprogramme müssen deaktiviert sein

Im DatfindBat muss es folgendes geben "Verzeichnis von C:\WINDOWS\temp "
kannst du die mal posten?


__________
MfG Argus

#11 Ich hatte ja alles deaktiviert.

Nach dem Neustart wird der AntiVir Guard und die Firewall ja wieder geladen und gestartet.

Seit der letzten Anwendung von Combofix mit "CFScript.txt" ist keine Exe-Datei mehr im Verzeichnis von "C:\WINDOWS\temp" aufgetaucht, die eine Internet-Verbindung herstellen will.

Das Verzeichnis gibt es nicht im DatfindBat!

#12 Hallo Casares

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit "Speichern unter" auf dem Desktop. Gebe bei Dateityp "Alle Dateien" an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Programme\Common Files" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%" >>files.txt
dir "C:\Program Files" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temporary Internet Files\Content.IE5" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temp" >>files.txt
dir "C:\WINDOWS\Temp" >>files.txt
dir "C:\Temp" >>files.txt
dir "C:\Programme" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten" >>files.txt
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
dir "C:\Windows\tasks" >>files.txt
notepad files.txt

__________
MfG Sabina

rund um die PC-Sicherheit

#13 Hallo Sabina,

hier der Text von listen.bat:


Datenträger in Laufwerk C: ist BOOT
Volumeseriennummer: A886-4D9A

Verzeichnis von C:\Programme

Datenträger in Laufwerk C: ist BOOT
Volumeseriennummer: A886-4D9A

Verzeichnis von C:\Dokumente und Einstellungen\Casares

02.10.2008 23:07 <DIR> .
02.10.2008 23:07 <DIR> ..
03.05.2008 14:45 <DIR> .jenny
28.09.2007 11:48 <DIR> .seccommerce
18.05.2008 23:12 <DIR> .Synkron
03.10.2008 14:58 <DIR> Anwendungsdaten
02.10.2008 10:30 <DIR> Application Data
03.10.2008 16:59 <DIR> Desktop
11.01.2008 23:29 <DIR> ElsterFormular
03.10.2008 16:09 16.515.072 ntuser.dat
23.11.2007 13:33 11.272.192 ntuser.dat.rcbak
26.08.2008 22:44 1.167 schedlog.txt
11.06.2008 19:49 <DIR> Startmenü
30.08.2008 22:49 <DIR> SystemRequirementsLab
15.05.2008 16:10 <DIR> temp
08.11.2005 16:10 <DIR> WINDOWS
3 Datei(en) 27.788.431 Bytes
13 Verzeichnis(se), 10.612.736.000 Bytes frei
Datenträger in Laufwerk C: ist BOOT
Volumeseriennummer: A886-4D9A

Verzeichnis von C:\

Datenträger in Laufwerk C: ist BOOT
Volumeseriennummer: A886-4D9A

Verzeichnis von C:\Dokumente und Einstellungen\Casares\Lokale Einstellungen\Temporary Internet Files\Content.IE5

Datenträger in Laufwerk C: ist BOOT
Volumeseriennummer: A886-4D9A

Verzeichnis von C:\Dokumente und Einstellungen\Casares\Lokale Einstellungen\Temp

03.10.2008 16:56 <DIR> .
03.10.2008 16:56 <DIR> ..
03.10.2008 12:16 <DIR> ash1.tmp
03.10.2008 14:57 <DIR> info
03.10.2008 16:40 0 JET1.tmp
03.10.2008 16:44 342 jusched.log
03.10.2008 14:26 2.514 QTInstallCode.log
03.10.2008 16:41 <DIR> svcgn.tmp
03.10.2008 14:58 237.464 v~f8A.tmp
03.10.2008 16:39 <DIR> WPDNSE
03.10.2008 11:23 16.384 ~DF316C.tmp
03.10.2008 16:40 16.384 ~DF5184.tmp
03.10.2008 16:40 16.384 ~DF662C.tmp
03.10.2008 11:24 16.384 ~DF6861.tmp
03.10.2008 14:09 16.384 ~DFC852.tmp
03.10.2008 14:08 16.384 ~DFDE13.tmp
10 Datei(en) 338.624 Bytes
6 Verzeichnis(se), 10.612.736.000 Bytes frei
Datenträger in Laufwerk C: ist BOOT
Volumeseriennummer: A886-4D9A

Verzeichnis von C:\WINDOWS\Temp

03.10.2008 16:42 <DIR> .
03.10.2008 16:42 <DIR> ..
03.10.2008 16:39 66 WGAErrLog.txt
03.10.2008 14:10 409 WGANotify.settings
2 Datei(en) 475 Bytes
2 Verzeichnis(se), 10.612.736.000 Bytes frei
Datenträger in Laufwerk C: ist BOOT
Volumeseriennummer: A886-4D9A

Verzeichnis von C:\

Datenträger in Laufwerk C: ist BOOT
Volumeseriennummer: A886-4D9A

Verzeichnis von C:\Programme

03.10.2008 11:15 <DIR> .
03.10.2008 11:15 <DIR> ..
02.10.2008 21:34 <DIR> a-squared Free
01.07.2008 17:54 <DIR> Access 97 Runtime
02.07.2008 21:30 <DIR> Adobe
19.08.2008 08:55 <DIR> Apple Software Update
25.08.2008 17:31 <DIR> Ashampoo
26.11.2005 17:43 <DIR> Atari
05.07.2008 16:37 <DIR> audiograbber
22.06.2008 10:26 <DIR> Avira
30.09.2008 10:01 <DIR> AVS4YOU
09.09.2008 22:44 <DIR> Bonjour
20.04.2008 22:52 <DIR> CCleaner
03.10.2008 16:52 <DIR> cFosSpeed
02.10.2008 11:04 <DIR> CleanUp!
11.09.2008 09:45 <DIR> comdirect BörsenTicker
27.06.2008 17:35 <DIR> concept design
15.05.2008 08:26 <DIR> Creative
06.05.2006 09:47 <DIR> CWShredder
17.02.2008 12:37 <DIR> CyberLink
17.02.2008 12:39 <DIR> CyberLink DVD Solution
15.09.2007 19:01 <DIR> Deep Silver
14.03.2006 17:36 81 desktop.ini
30.09.2008 11:04 <DIR> DirSync
10.07.2008 22:39 <DIR> DivX
07.04.2007 09:51 <DIR> DVD Decrypter
07.05.2006 09:52 <DIR> DVD Shrink
30.09.2008 17:48 <DIR> DVDVideoSoft
11.01.2008 23:29 <DIR> ElsterFormular
03.10.2008 13:15 <DIR> eMule
07.04.2007 10:01 <DIR> FixVTS
11.09.2008 16:45 <DIR> Free Video to iPod Converter
19.09.2008 09:51 <DIR> FreeCommander
03.10.2008 11:16 <DIR> Gemeinsame Dateien
10.09.2007 22:23 <DIR> GMX
11.07.2008 15:30 <DIR> Google
04.12.2007 20:28 <DIR> Happyneuron
08.11.2005 12:52 <DIR> HighMAT CD Writing Wizard
27.11.2005 20:23 <DIR> Intel
18.08.2008 21:42 <DIR> Internet Explorer
03.10.2008 14:27 <DIR> iPod
25.04.2007 10:11 <DIR> IrfanView
03.10.2008 14:27 <DIR> iTunes
09.07.2008 12:44 <DIR> Java
27.02.2008 17:18 <DIR> K-Lite Codec Pack
27.11.2005 19:32 <DIR> Lavalys
21.05.2008 14:30 <DIR> Lavasoft
02.09.2008 16:56 <DIR> lg_fwupdate
16.09.2008 01:02 <DIR> LIDL Fotoservice
03.10.2008 12:17 <DIR> LingoPad
02.10.2008 11:21 <DIR> Malwarebytes' Anti-Malware
23.09.2008 10:27 <DIR> MediaMonkey
03.10.2008 14:58 <DIR> MeineBeihilfe
03.09.2008 10:11 <DIR> Messenger
07.11.2005 23:41 <DIR> microsoft frontpage
10.09.2008 09:16 <DIR> Microsoft IntelliPoint
10.09.2008 11:14 <DIR> Microsoft IntelliType Pro
10.03.2008 12:09 <DIR> Microsoft Platform SDK
09.08.2006 21:34 <DIR> Microsoft Visual Studio .NET 2003
27.04.2008 12:41 <DIR> Movie Maker
03.10.2008 16:43 <DIR> Mozilla Firefox
03.10.2008 16:56 <DIR> Mozilla Thunderbird
20.04.2008 09:50 <DIR> Mp3tag
07.11.2006 20:04 <DIR> MSBuild
27.04.2008 12:41 <DIR> msn
07.11.2005 23:38 <DIR> MSN Gaming Zone
24.05.2008 22:13 <DIR> Multi_Media
02.09.2008 16:57 <DIR> MyPhoneExplorer
27.04.2008 12:39 <DIR> NetMeeting
11.09.2008 09:08 <DIR> OpenOffice.org 2.4
19.09.2008 18:12 <DIR> Orbitdownloader
10.05.2008 14:23 <DIR> Outlook Express
09.11.2005 19:38 <DIR> Paragon Software
09.09.2008 22:44 <DIR> QuickTime
26.02.2006 20:01 <DIR> Real
14.04.2008 21:58 <DIR> Realtek AC97
07.11.2006 20:00 <DIR> Reference Assemblies
07.04.2007 10:01 <DIR> RipIt4Me
14.07.2008 15:10 <DIR> RocketDock
27.07.2007 23:27 <DIR> Samsung
09.10.2006 13:54 <DIR> Samsung ML-2250 Series
03.04.2008 21:40 <DIR> SecondLife
21.03.2007 14:54 <DIR> Serence KlipFolio
27.06.2008 20:41 <DIR> Siber Systems
11.05.2008 23:37 <DIR> sisagp
17.12.2005 12:01 <DIR> SiSLan
30.09.2008 15:12 <DIR> Smart PC Solutions
18.02.2008 15:23 <DIR> SoftMaker Viewer
02.10.2008 00:29 <DIR> Spybot - Search & Destroy
02.10.2008 11:28 <DIR> SyncBack
07.02.2008 10:57 <DIR> TomTom HOME 2
14.04.2008 14:52 <DIR> Trend Micro
01.11.2007 17:06 <DIR> TV Movie
08.05.2008 13:47 <DIR> Universal Extractor
24.01.2006 10:18 <DIR> VideoLAN
19.12.2005 17:29 <DIR> Windows Media Connect
30.10.2006 23:31 <DIR> Windows Media Connect 2
10.05.2008 15:16 <DIR> Windows Media Player
27.04.2008 12:39 <DIR> Windows NT
03.05.2008 10:52 <DIR> WinRAR
07.11.2005 23:41 <DIR> xerox
1 Datei(en) 81 Bytes
100 Verzeichnis(se), 10.612.731.904 Bytes frei
Datenträger in Laufwerk C: ist BOOT
Volumeseriennummer: A886-4D9A

Verzeichnis von C:\Dokumente und Einstellungen\Casares\Lokale Einstellungen\Anwendungsdaten

02.07.2008 21:31 <DIR> Adobe
03.08.2007 16:59 <DIR> Apple
10.07.2008 20:42 <DIR> Apple Computer
12.02.2008 12:44 <DIR> ApplicationHistory
08.02.2007 22:47 <DIR> Ares
12.10.2007 16:36 <DIR> ashampoo
11.05.2008 10:43 <DIR> assembly
11.05.2008 11:03 <DIR> DassaultSystemes
01.10.2008 21:33 135.168 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
19.09.2008 11:50 <DIR> Downloaded Installations
15.09.2008 17:15 <DIR> Eraser
08.11.2005 15:40 140 fusioncache.dat
01.10.2008 15:02 13.416 GDIPFONTCACHEV1.DAT
16.11.2007 21:49 <DIR> Google
08.11.2005 11:34 <DIR> Help
09.11.2005 23:07 <DIR> Identities
11.05.2008 10:34 <DIR> IsolatedStorage
19.10.2007 21:17 <DIR> konzentrik
16.09.2008 01:02 <DIR> LIDL Fotoservice
30.09.2008 16:38 <DIR> MediaMonkey
02.10.2008 10:42 <DIR> Microsoft
09.08.2006 21:27 <DIR> Microsoft Help
05.04.2008 11:37 <DIR> Mozilla
21.03.2008 18:33 <DIR> Participatory Culture Foundation
22.11.2006 21:00 <DIR> PCHealth
06.09.2008 10:28 <DIR> Prism
22.08.2007 22:19 <DIR> Stardock
18.04.2007 10:41 <DIR> Thunderbird
07.02.2008 10:57 <DIR> TomTom
18.10.2007 16:50 <DIR> WMTools Downloaded Files
30.08.2006 14:03 <DIR> {3248F0A6-6813-11D6-A77B-00B0D0150070}
3 Datei(en) 148.724 Bytes
28 Verzeichnis(se), 10.612.727.808 Bytes frei
Datenträger in Laufwerk C: ist BOOT
Volumeseriennummer: A886-4D9A

Verzeichnis von C:\Dokumente und Einstellungen\Casares\Anwendungsdaten

03.10.2008 14:58 <DIR> .
03.10.2008 14:58 <DIR> ..
11.09.2008 09:44 <DIR> Adobe
06.04.2007 15:47 <DIR> AdobeUM
09.09.2008 22:57 <DIR> Apple Computer
25.08.2008 17:33 <DIR> Ashampoo
22.06.2008 10:39 <DIR> Avira
30.09.2008 09:17 <DIR> AVS4YOU
27.01.2008 17:52 <DIR> concept design
03.03.2007 11:27 <DIR> Creative
17.02.2008 12:41 <DIR> CyberLink
11.09.2008 09:45 <DIR> de.comdirect.ticker.F9E8724CCE1C30FBC384125840AA431F6B009CFC.1
29.04.2008 15:10 <DIR> DivX
23.01.2008 19:35 <DIR> dvdcss
10.09.2007 16:35 <DIR> GMX
30.09.2006 02:18 <DIR> Google
22.06.2008 17:37 <DIR> GrabPro
02.10.2008 11:04 <DIR> Help
08.11.2005 14:36 <DIR> Itsth
03.10.2008 16:43 <DIR> KlipFolio
28.01.2008 12:28 <DIR> Lavasoft
23.11.2007 18:32 <DIR> Lingo4u
25.11.2007 11:40 <DIR> Macromedia
01.10.2008 20:40 <DIR> Malwarebytes
03.10.2008 14:58 19 mdbu.bin
27.02.2008 17:03 <DIR> Media Player Classic
29.09.2008 11:32 <DIR> Mozilla
11.02.2008 14:43 <DIR> Mp3tag
18.04.2008 22:15 <DIR> MyPhoneExplorer
03.10.2008 16:41 <DIR> OpenOffice.org2
03.10.2008 16:41 <DIR> Orbit
04.04.2008 20:42 <DIR> PCF-VLC
23.09.2008 17:08 <DIR> PeaZip
18.06.2008 09:57 <DIR> Real
29.09.2008 22:22 <DIR> RipIt4Me
06.05.2007 14:43 <DIR> SecondLife
30.09.2008 15:12 <DIR> Smart PC Solutions
25.08.2007 15:39 <DIR> SmartLine
01.12.2005 22:27 <DIR> Sun
15.01.2006 18:05 <DIR> Talkback
15.05.2008 16:09 <DIR> TeamViewer
15.01.2006 18:05 <DIR> Thunderbird
07.02.2008 10:57 <DIR> TomTom
27.09.2008 14:44 <DIR> vlc
1 Datei(en) 19 Bytes
43 Verzeichnis(se), 10.612.723.712 Bytes frei
Datenträger in Laufwerk C: ist BOOT
Volumeseriennummer: A886-4D9A

Verzeichnis von C:\Dokumente und Einstellungen\All Users\Anwendungsdaten

10.02.2006 15:50 305 addr_file.html
11.09.2008 09:44 <DIR> Adobe
03.08.2007 16:59 <DIR> Apple
28.09.2006 10:45 <DIR> Apple Computer
02.05.2008 09:45 <DIR> Ashampoo
04.09.2008 09:22 <DIR> Avira
30.09.2008 09:17 <DIR> AVS4YOU
15.02.2008 17:58 <DIR> CyberLink
11.05.2008 10:56 <DIR> DassaultSystemes
30.08.2008 18:21 <DIR> DVD Shrink
11.01.2008 23:34 <DIR> ElsterFormular
05.08.2006 10:49 132.242 firstlsp.reg.dat
08.02.2007 10:04 <DIR> Google
02.10.2008 16:15 <DIR> Google Updater
12.09.2008 16:50 <DIR> Intenium
21.05.2008 14:30 <DIR> Lavasoft
06.07.2007 21:57 <DIR> MailFrontier
02.10.2008 11:20 <DIR> Malwarebytes
09.04.2008 09:24 <DIR> MediaMonkey
15.08.2007 09:53 <DIR> Microsoft Corporation
01.10.2008 15:00 <DIR> Microsoft Help
23.03.2006 21:55 <DIR> Mobile Master
17.01.2006 21:15 <DIR> Motive
02.09.2006 13:48 <DIR> NVIDIA
18.04.2008 22:41 <DIR> nView_Profiles
04.03.2007 11:19 <DIR> RoboForm
12.09.2008 20:19 <DIR> ScreenSeven
18.03.2008 11:46 <DIR> SiteAdvisor
20.03.2008 20:24 <DIR> Sony Ericsson
03.10.2008 12:10 <DIR> Spybot - Search & Destroy
15.01.2008 18:17 <DIR> T-Online
28.05.2007 16:29 <DIR> Tidy Start Menu
08.11.2005 12:18 <DIR> Windows Genuine Advantage
18.02.2007 16:48 <DIR> Yahoo!
03.10.2008 14:27 <DIR> {3276BE95_AF08_429F_A64F_CA64CB79BCF6}
2 Datei(en) 132.547 Bytes
33 Verzeichnis(se), 10.612.723.712 Bytes frei
Datenträger in Laufwerk C: ist BOOT
Volumeseriennummer: A886-4D9A

Verzeichnis von C:\Programme\Gemeinsame Dateien

03.10.2008 11:16 <DIR> .
03.10.2008 11:16 <DIR> ..
02.07.2008 21:30 <DIR> Adobe
11.09.2008 09:44 <DIR> Adobe AIR
23.01.2008 11:27 <DIR> Ahead
09.09.2008 22:43 <DIR> Apple
30.09.2008 09:57 <DIR> AVSMedia
03.03.2007 10:56 <DIR> Creative
10.05.2008 14:23 <DIR> Dienste
30.09.2008 17:49 <DIR> DVDVideoSoft
18.12.2005 20:39 <DIR> Fellowes
26.11.2005 17:42 <DIR> InstallShield
01.12.2005 22:24 <DIR> Java
29.04.2008 18:55 <DIR> L&H
01.10.2008 14:59 <DIR> Microsoft Shared
17.01.2006 21:15 <DIR> Motive
07.11.2005 23:39 <DIR> MSSoap
07.11.2005 23:32 <DIR> ODBC
18.06.2008 09:56 <DIR> Real
07.11.2005 23:32 <DIR> SpeechEngines
26.04.2006 11:02 <DIR> Stardock
10.05.2008 14:22 <DIR> System
21.05.2008 14:30 <DIR> Wise Installation Wizard
18.06.2008 09:56 <DIR> xing shared
0 Datei(en) 0 Bytes
24 Verzeichnis(se), 10.612.723.712 Bytes frei
Datenträger in Laufwerk C: ist BOOT
Volumeseriennummer: A886-4D9A

Verzeichnis von C:\Windows\tasks

20.08.2008 18:14 276 AppleSoftwareUpdate.job
16.03.2008 10:42 110 SesamTVMC.job
2 Datei(en) 386 Bytes
0 Verzeichnis(se), 10.612.723.712 Bytes frei


MfG Casares

#14 C:\WINDOWS\Temp - ist wieder in Ordnung,

ist dir dies ein Begriff (dein Internetanbieter ??)
IP address [?]: 208.67.220.220 [Copy][Whois]
IP address country: United States
IP address state: California
IP address city: San Francisco

FALLS NICHT:

mit dem HijackThis löschen ("fixen")
Klicke: "Do a system scan only"
Setze ein Häckchen in das Kästchen vor den genannten Eintrag
der im SicherheitsForum als zu "fixen" (löschen) empfohlen wurde) - keine anderen !!
und wähle fix checked.

Zitat

O17 - HKLM\System\CCS\Services\Tcpip\..\{A1F23B52-E049-4D46-80BF-9C2C5E24CD5A}: NameServer = 208.67.220.220,208.67.222.222

O17 - HKLM\System\CCS\Services\Tcpip\..\{E0BB67FE-8AAC-447D-BB12-BA14E2AEE896}: NameServer = 208.67.220.220,208.67.222.222

««
wende bitte fixwareout an + poste den report
http://virus-protect.org/artikel/tools/fixwareout.html

««
poste dann bitte auch ein neues Log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit