Habe ein "your computer is infected"

#1 Hallo, mir zeigt es in der Taskleiste immer wieder ein "your computer is infected", antivir findet aber keinen Virus. Ich währe froh um einen Rat!

hier der antivirbericht:



Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Sonntag, 12. Oktober 2008 09:41

Es wird nach 1677110 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 3) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: User
Computername: PIT-PC

Versionsinformationen:
BUILD.DAT : 8.1.00.295 16479 Bytes 09.04.2008 16:22:00
AVSCAN.EXE : 8.1.2.12 311553 Bytes 18.03.2008 09:02:52
AVSCAN.DLL : 8.1.1.0 57601 Bytes 30.01.2008 15:10:50
LUKE.DLL : 8.1.2.9 151809 Bytes 28.02.2008 08:41:20
LUKERES.DLL : 8.1.2.0 12545 Bytes 19.02.2008 08:39:40
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 10:33:34
ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24.06.2008 09:34:07
ANTIVIR2.VDF : 7.0.7.12 4066816 Bytes 08.10.2008 22:01:37
ANTIVIR3.VDF : 7.0.7.28 120320 Bytes 11.10.2008 22:01:41
Engineversion : 8.1.1.35
AEVDF.DLL : 8.1.0.5 102772 Bytes 25.02.2008 09:58:21
AESCRIPT.DLL : 8.1.0.76 319867 Bytes 18.09.2008 18:44:52
AESCN.DLL : 8.1.0.23 119156 Bytes 31.07.2008 09:34:21
AERDL.DLL : 8.1.1.2 438644 Bytes 18.09.2008 18:44:51
AEPACK.DLL : 8.1.2.3 364918 Bytes 24.09.2008 13:08:55
AEOFFICE.DLL : 8.1.0.25 196986 Bytes 18.09.2008 18:44:50
AEHEUR.DLL : 8.1.0.59 1438071 Bytes 18.09.2008 18:44:50
AEHELP.DLL : 8.1.0.15 115063 Bytes 31.07.2008 09:34:16
AEGEN.DLL : 8.1.0.36 315764 Bytes 20.08.2008 18:40:47
AEEMU.DLL : 8.1.0.7 430452 Bytes 02.08.2008 16:35:21
AECORE.DLL : 8.1.1.11 172406 Bytes 03.09.2008 17:38:59
AEBB.DLL : 8.1.0.1 53617 Bytes 31.07.2008 09:34:14
AVWINLL.DLL : 1.0.0.7 14593 Bytes 23.01.2008 17:05:55
AVPREF.DLL : 8.0.0.1 25857 Bytes 18.02.2008 10:29:37
AVREP.DLL : 8.0.0.2 98344 Bytes 02.08.2008 16:35:20
AVREG.DLL : 8.0.0.0 30977 Bytes 23.01.2008 17:05:52
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19
AVEVTLOG.DLL : 8.0.0.11 114945 Bytes 28.02.2008 08:31:27
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02
SMTPLIB.DLL : 1.2.0.19 28929 Bytes 23.01.2008 17:06:34
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07
RCIMAGE.DLL : 8.0.0.35 2371841 Bytes 10.03.2008 14:34:46
RCTEXT.DLL : 8.0.32.0 86273 Bytes 06.03.2008 11:58:49

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: C:\Programme\Avira\AntiVir PersonalEdition Classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: reparieren
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:,
Durchsuche Speicher..............: aus
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: aus
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Sonntag, 12. Oktober 2008 09:41

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MDM.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ATKKBService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hyvilgfs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'btdna.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'daemon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'brastk.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'QTTask.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'point32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'type32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'atiptaxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alcwzrd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SoundMan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'aawservice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '39' Prozesse mit '39' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '39' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <HD 1>
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'D:\' <HD 2>


Ende des Suchlaufs: Sonntag, 12. Oktober 2008 10:48
Benötigte Zeit: 1:06:45 min

Der Suchlauf wurde vollständig durchgeführt.

12265 Verzeichnisse wurden überprüft
381449 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
381449 Dateien ohne Befall
1670 Archive wurden durchsucht
2 Warnungen
0 Hinweise

#2 Malwarebytes Anti-Malware fuer Windows 2000,XP und Vista
Download MBAM
Doppelklick mbam-setup und waehle Deutsch ,das Program wird jetzt ge-updatet

Klicke “Einstellungen“ haacke an “ Beende Inter Explorer während des Löschvorgangs “
Waehle bei Reiter “Scanner”> "Quickscan durchfuehren" .
Waehle alle Laufwerke>
Scan laufen lassen
Wenn am Ende infizierungen gefunden werden,anhaacken und entfernen lassen
Starte dein Rechner neu
Unter Scanberichte stet das log (mbam-log-XX-XX-XXXX.txt)
Poste dessen inhalt hier ins Forum
Note:
Wenn MBAM Schwierigkeiten damit hat Daten zu entfernen wird es gemeldet und klicke OK
Danach wird gefragt den Rechner neu zu starten,lass es zu
Malwarebytes Anti-Malware kann man nachher behalten !

Später kann man noch ein "Vollständiger Suchlauf“durchführen
__________
MfG Argus

#3 Hallo Arnold

Ich hab das gemacht mit malwarebytes, ich hab das heute morgen schon mal gemacht da hat es relativ viel gefunden (135 objekte)! hier der bericht von jetzt:

Malwarebytes' Anti-Malware 1.24
Datenbank Version: 1018
Windows 5.1.2600 Service Pack 3

11:17:23 12.10.2008
mbam-log-10-12-2008 (11-17-23).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 40728
Laufzeit: 3 minute(s), 4 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

#4 Hast du MBAM nicht ge-updated?
Deins
Malwarebytes' Anti-Malware 1.24
Datenbank Version: 1018
Meins
Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1259
__________
MfG Argus

#5 Hier nochmal der malwarebytes bericht, ich war nicht geupdated, sorry, musste jetzt auch neustarten um alles zu entfernen!

Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1134
Windows 5.1.2600 Service Pack 3

12.10.2008 11:27:53
mbam-log-2008-10-12 (11-27-53).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 45634
Laufzeit: 2 minute(s), 20 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{32341DE7-18A1-1820-7CA3-04F68842C7BE} (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\webcommon (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\wincomsys (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Programme\nnzmzcd\WebComMon.dll (Trojan.FakeAlert.H) -> Delete on reboot.
C:\WINDOWS\system32\hyvilgfs.exe (Trojan.FakeAlert.H) -> Delete on reboot.




So jetzt noch komplett ge-updated, sorry:




Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1259
Windows 5.1.2600 Service Pack 3

12.10.2008 11:40:03
mbam-log-2008-10-12 (11-40-03).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 48199
Laufzeit: 4 minute(s), 1 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\wini104552633.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

#6 SDFix für Windows 2000 und Windows XP
Download SDFix zum Desktop

Starte dein Recher in
abgesicherten Modus

SDFix.zip entpacken
unter C:\ findet man nun den SDFix-Ordner

Doppelklick RunThis.bat
Schreibe: Y folge allen Anweisungen
Dann wird der Rechner neustarten
SDFix entfernt jetzt die gefundene Objekte
Kopiere den Inhalt des Berichts SophosReport.txt in diesen Thread
Note:Wenn die Immunisierfunktion von Spybot s&d benutzt wird,nachher wieder installieren,weil SDFix sie entfernt

ComboFix(by sUBs)
Download ComboFix und speichert es auf den Desktop!

Befolge diese Anleitung und installiere auch den Wiederherstellungskonsole

Schliesse alle Programme und Anwendungen mit Hintergrundwächtern inklusive der Firewall + Antivirusprogramme müssen deaktiviert sein

Starte combofix.exe
Folge den Instruktionen in das Fenster

Während Combofix lauft NICHT ins Fenster klicken sonst erfriert dein Rechner

Wenn das Tool fertig ist,oeffnet sich ein logfile (C:\ combofix.txt)
nun das KOMPLETTE Log mit rechtem Mausklick ab kopieren und ins Forum mit rechtem Mausklick "einfügen"

Und ein log von Hijack This
__________
MfG Argus

#7 So alles durch, hier die Berichte:


SDFix: Version 1.234
Run by User on 12.10.2008 at 12:24

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files :

No Trojan Files Found






Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-12 12:32:32
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:2df9c43f
"s2"=dword:110480d0
"h0"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Programme\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:f7,94,ab,08,b7,30,9c,c3,c1,44,55,6b,7b,f4,00,c3,ca,57,3c,ca,ec,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,03,90,ff,a0,88,73,82,7b,7f,f0,eb,2e,f5,49,25,03,a5,..
"khjeh"=hex:4f,b8,83,20,34,05,96,a2,9c,ce,31,d4,c2,3c,eb,8e,14,66,a4,6a,0c,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:b9,12,01,fd,ab,db,63,61,f0,d7,1e,ab,88,bd,bb,7d,4c,ad,cb,27,8f,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Programme\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:f7,94,ab,08,b7,30,9c,c3,c1,44,55,6b,7b,f4,00,c3,ca,57,3c,ca,ec,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,03,90,ff,a0,88,73,82,7b,7f,f0,eb,2e,f5,49,25,03,a5,..
"khjeh"=hex:4f,b8,83,20,34,05,96,a2,9c,ce,31,d4,c2,3c,eb,8e,14,66,a4,6a,0c,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:b9,12,01,fd,ab,db,63,61,f0,d7,1e,ab,88,bd,bb,7d,4c,ad,cb,27,8f,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Programme\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:f7,94,ab,08,b7,30,9c,c3,c1,44,55,6b,7b,f4,00,c3,ca,57,3c,ca,ec,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,03,90,ff,a0,88,73,82,7b,7f,f0,eb,2e,f5,49,25,03,a5,..
"khjeh"=hex:4f,b8,83,20,34,05,96,a2,9c,ce,31,d4,c2,3c,eb,8e,14,66,a4,6a,0c,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:b9,12,01,fd,ab,db,63,61,f0,d7,1e,ab,88,bd,bb,7d,4c,ad,cb,27,8f,..

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\EA Games\\Command and Conquer Gener„le\\patchget.dat"="C:\\Programme\\EA Games\\Command and Conquer Gener„le\\patchget.dat:*:Enabledatchgrabber"
"C:\\Programme\\EA Games\\Command and Conquer Gener„le\\game.dat"="C:\\Programme\\EA Games\\Command and Conquer Gener„le\\game.dat:*:Enabled:game"
"C:\\Programme\\EA Games\\Command & Conquer Gener„le Stunde Null\\patchget.dat"="C:\\Programme\\EA Games\\Command & Conquer Gener„le Stunde Null\\patchget.dat:*:Enabledatchgrabber"
"C:\\Programme\\EA Games\\Command & Conquer Gener„le Stunde Null\\game.dat"="C:\\Programme\\EA Games\\Command & Conquer Gener„le Stunde Null\\game.dat:*:Enabled:game"
"C:\\Programme\\Westwood\\SUN\\GAME.ICD"="C:\\Programme\\Westwood\\SUN\\GAME.ICD:*:Enabled:Main executable for Tiberian Sun"
"C:\\Programme\\Westwood\\SUN\\Game.exe"="C:\\Programme\\Westwood\\SUN\\Game.exe:*:Enabled:Main executable for Tiberian Sun"
"C:\\Programme\\LimeWire\\LimeWire.exe"="C:\\Programme\\LimeWire\\LimeWire.exe:*:Enabled:LimeWire"
"C:\\Programme\\EA Games\\Command & Conquer Gener„le Stunde Null\\generals.exe"="C:\\Programme\\EA Games\\Command & Conquer Gener„le Stunde Null\\generals.exe:*:Enabled:Command & Conquer Gener„le Die Stunde Null "
"C:\\WINDOWS\\system32\\dplaysvr.exe"="C:\\WINDOWS\\system32\\dplaysvr.exe:*:Enabled:Microsoft DirectPlay Helper"
"C:\\Programme\\Firaxis Games\\Sid Meier's Civilization 4\\Civilization4.exe"="C:\\Programme\\Firaxis Games\\Sid Meier's Civilization 4\\Civilization4.exe:*:Enabled:Sid Meier's Civilization 4"
"C:\\Programme\\Ubisoft\\Funatics\\Die Siedler II - Die n„chste Generation\\bin\\S2DNG.exe"="C:\\Programme\\Ubisoft\\Funatics\\Die Siedler II - Die n„chste Generation\\bin\\S2DNG.exe:*:Enabled:S2DNG"
"C:\\Programme\\Firaxis Games\\Sid Meier's Civilization 4\\Warlords\\Civ4Warlords.exe"="C:\\Programme\\Firaxis Games\\Sid Meier's Civilization 4\\Warlords\\Civ4Warlords.exe:*:Enabled:Sid Meier's Civilization 4 Warlords"
"C:\\Programme\\Firaxis Games\\Sid Meier's Civilization 4\\Warlords\\Civ4Warlords_PitBoss.exe"="C:\\Programme\\Firaxis Games\\Sid Meier's Civilization 4\\Warlords\\Civ4Warlords_PitBoss.exe:*:Enabled:Sid Meier's Civilization 4 Pitboss"
"C:\\Programme\\Die Gilde 2\\GuildII.exe"="C:\\Programme\\Die Gilde 2\\GuildII.exe:*:Enabledie Gilde 2"
"C:\\Program files\\Codemasters\\Operation Flashpoint\\FLASHPOINTRESISTANCE.EXE"="C:\\Program files\\Codemasters\\Operation Flashpoint\\FLASHPOINTRESISTANCE.EXE:*:Enabled:Operation Flashpoint"
"C:\\Programme\\Firefly Studios\\Stronghold Legends\\StrongholdLegends.exe"="C:\\Programme\\Firefly Studios\\Stronghold Legends\\StrongholdLegends.exe:*:Enabled:Stronghold Legends"
"C:\\Programme\\Anno 1701\\Anno1701.exe"="C:\\Programme\\Anno 1701\\Anno1701.exe:*:Enabled:Anno 1701"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Programme\\Bohemia Interactive\\ArmA\\arma.exe"="C:\\Programme\\Bohemia Interactive\\ArmA\\arma.exe:*:Enabled:ArmA"
"C:\\Programme\\Messenger\\msmsgs.exe"="C:\\Programme\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\\Programme\\2K Games\\Firaxis Games\\Sid Meier's Railroads!\\RailRoads.exe"="C:\\Programme\\2K Games\\Firaxis Games\\Sid Meier's Railroads!\\RailRoads.exe:*:Enabled:Sid Meier's Railroads!"
"C:\\Programme\\Electronic Arts\\Command & Conquer 3\\RetailExe\\1.0\\cnc3game.dat"="C:\\Programme\\Electronic Arts\\Command & Conquer 3\\RetailExe\\1.0\\cnc3game.dat:*:Enabled:Command & Conquer 3 Tiberium Wars"
"C:\\Programme\\Electronic Arts\\Command & Conquer 3\\RetailExe\\1.4\\cnc3game.dat"="C:\\Programme\\Electronic Arts\\Command & Conquer 3\\RetailExe\\1.4\\cnc3game.dat:*:Enabled:Command & Conquer 3 Tiberium Wars"
"C:\\Programme\\Die Gilde 2 - Die Seer„uber der Hanse\\GuildII.exe"="C:\\Programme\\Die Gilde 2 - Die Seer„uber der Hanse\\GuildII.exe:*:Enabled:GuildII"
"C:\\Programme\\Firaxis Games\\Sid Meier's Civilization 4\\Beyond the Sword\\Civ4BeyondSword.exe"="C:\\Programme\\Firaxis Games\\Sid Meier's Civilization 4\\Beyond the Sword\\Civ4BeyondSword.exe:*:Enabled:Sid Meier's Civilization 4 Beyond the Sword"
"C:\\Programme\\Firaxis Games\\Sid Meier's Civilization 4\\Beyond the Sword\\Civ4BeyondSword_PitBoss.exe"="C:\\Programme\\Firaxis Games\\Sid Meier's Civilization 4\\Beyond the Sword\\Civ4BeyondSword_PitBoss.exe:*:Enabled:Sid Meier's Civilization 4 Beyond the Sword Pitboss"
"C:\\Programme\\Electronic Arts\\Command & Conquer 3\\RetailExe\\1.8\\cnc3game.dat"="C:\\Programme\\Electronic Arts\\Command & Conquer 3\\RetailExe\\1.8\\cnc3game.dat:*:Enabled:Command & Conquer 3 Tiberium Wars"
"C:\\WINDOWS\\system32\\dpvsetup.exe"="C:\\WINDOWS\\system32\\dpvsetup.exe:*:Enabled:Microsoft DirectPlay Voice Test"
"C:\\Programme\\SEGA\\Medieval II Total War\\medieval2.exe"="C:\\Programme\\SEGA\\Medieval II Total War\\medieval2.exe:*:Enabled:Medieval 2: Total War"
"C:\\Programme\\SEGA\\Medieval II Total War\\kingdoms.exe"="C:\\Programme\\SEGA\\Medieval II Total War\\kingdoms.exe:*:Enabled:Medieval 2 Total War: Kingdoms"
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"="C:\\Programme\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"C:\\Programme\\Firefly Studios\\Stronghold Crusader\\Stronghold_Crusader_Extreme.exe"="C:\\Programme\\Firefly Studios\\Stronghold Crusader\\Stronghold_Crusader_Extreme.exe:*:Enabled:Stronghold Crusader"
"C:\\Programme\\Firefly Studios\\Stronghold Crusader\\Stronghold Crusader.exe"="C:\\Programme\\Firefly Studios\\Stronghold Crusader\\Stronghold Crusader.exe:*:Enabled:Stronghold Crusader"
"C:\\Dokumente und Einstellungen\\User\\Desktop\\TT\\TTDLOADW.OVL"="C:\\Dokumente und Einstellungen\\User\\Desktop\\TT\\TTDLOADW.OVL:*:Enabled:TTDLOADW"
"C:\\Programme\\DNA\\btdna.exe"="C:\\Programme\\DNA\\btdna.exe:*:EnabledNA"
"C:\\Programme\\OpenTTD\\openttd.exe"="C:\\Programme\\OpenTTD\\openttd.exe:*:Enabled:OpenTTD"
"C:\\Programme\\Bonjour\\mDNSResponder.exe"="C:\\Programme\\Bonjour\\mDNSResponder.exe:*:Enabled:Bonjour"
"C:\\Programme\\2K Games\\Firaxis Games\\Sid Meier's Civilization IV Colonization\\Colonization.exe"="C:\\Programme\\2K Games\\Firaxis Games\\Sid Meier's Civilization IV Colonization\\Colonization.exe:*:Enabled:Sid Meier's Civilization IV Colonization"
"C:\\Programme\\iTunes\\iTunes.exe"="C:\\Programme\\iTunes\\iTunes.exe:*:Enabled:iTunes"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"="C:\\Programme\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

Remaining Files :



Files with Hidden Attributes :

Mon 3 Dec 2007 6,219,320 A..H. --- "C:\Programme\Picasa2\setup.exe"
Thu 21 Sep 2006 4,348 ..SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\DRMv1.bak"
Thu 14 Dec 2006 0 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\Cache\Indiv01.tmp"
Sun 12 Oct 2008 3,428 ...HR --- "C:\Dokumente und Einstellungen\User\Anwendungsdaten\SecuROM\UserData\securom_v7_01.bak"

Finished!

-----

ComboFix 08-10-11.02 - User 2008-10-12 12:39:17.3 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.589 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\User\Desktop\ComboFix.exe

[COLOR=RED]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/COLOR]
.

((((((((((((((((((((((( Dateien erstellt von 2008-09-12 bis 2008-10-12 ))))))))))))))))))))))))))))))
.

2008-10-12 12:23 . 2008-10-12 12:23 580,096 --a--c--- C:\WINDOWS\system32\dllcache\user32.dll
2008-10-12 12:20 . 2008-10-12 12:20 <DIR> d-------- C:\WINDOWS\ERUNT
2008-10-12 12:17 . 2008-10-12 12:34 <DIR> d-------- C:\SDFix
2008-10-12 01:20 . 2008-10-12 11:29 <DIR> d-------- C:\Programme\nnzmzcd
2008-10-12 01:20 . 2008-10-12 01:20 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\gharalqr
2008-10-05 13:36 . 2008-10-05 13:36 <DIR> d-------- C:\Programme\iTunes
2008-10-05 13:36 . 2008-10-05 13:36 <DIR> d-------- C:\Programme\iPod
2008-10-05 13:36 . 2008-10-05 13:36 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
2008-09-29 10:11 . 2008-09-29 10:11 <DIR> d-------- C:\WINDOWS\system32\de
2008-09-29 10:11 . 2008-09-29 10:11 <DIR> d-------- C:\WINDOWS\system32\bits
2008-09-29 10:11 . 2008-09-29 10:11 <DIR> d-------- C:\WINDOWS\l2schemas
2008-09-26 15:24 . 2007-05-16 16:45 3,497,832 --a------ C:\WINDOWS\system32\d3dx9_34.dll
2008-09-26 15:24 . 2007-05-16 16:45 1,124,720 --a------ C:\WINDOWS\system32\D3DCompiler_34.dll
2008-09-26 15:24 . 2007-05-16 16:45 443,752 --a------ C:\WINDOWS\system32\d3dx10_34.dll
2008-09-26 15:24 . 2007-06-20 20:46 266,088 --a------ C:\WINDOWS\system32\xactengine2_8.dll
2008-09-26 15:24 . 2007-06-20 20:45 18,280 --a------ C:\WINDOWS\system32\x3daudio1_2.dll
2008-09-24 13:21 . 2008-09-24 13:21 <DIR> d-------- C:\Programme\QuickTime
2008-09-24 13:21 . 2008-09-24 13:21 <DIR> d-------- C:\Programme\Bonjour
2008-09-15 18:09 . 2008-09-15 18:09 <DIR> d-------- C:\Programme\OpenTTD
2008-09-13 10:12 . 2008-09-13 10:12 <DIR> d--hs---- C:\found.000

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-12 10:14 --------- d-----w C:\Dokumente und Einstellungen\User\Anwendungsdaten\DNA
2008-10-12 09:24 --------- d-----w C:\Programme\Malwarebytes' Anti-Malware
2008-09-29 08:40 --------- d-----w C:\Programme\DNA
2008-09-26 13:28 107,888 ----a-w C:\WINDOWS\system32\CmdLineExt.dll
2008-09-26 13:24 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-09-24 11:21 --------- d-----w C:\Programme\Gemeinsame Dateien\Apple
2008-09-09 22:04 38,528 ----a-w C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-09-09 22:03 17,200 ----a-w C:\WINDOWS\system32\drivers\mbam.sys
2008-08-29 08:18 87,336 ----a-w C:\WINDOWS\system32\dns-sd.exe
2008-08-29 07:53 61,440 ----a-w C:\WINDOWS\system32\dnssd.dll
2008-08-23 17:52 --------- d-----w C:\Programme\Apple Software Update
2008-07-31 07:03 2,650 ----a-w C:\WINDOWS\system32\tmp.reg
2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll
2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll
2008-07-18 20:07 270,880 ----a-w C:\WINDOWS\system32\mucltui.dll
2008-07-18 20:07 210,976 ----a-w C:\WINDOWS\system32\muweb.dll
.

((((((((((((((((((((((((((((( snapshot_2008-10-12_11.03.38.64 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-08-07 14:27:04 163,328 ----a-w C:\WINDOWS\ERUNT\SDFIX\ERDNT.EXE
+ 2008-10-12 10:21:01 4,820,992 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\00000001\ntuser.dat
+ 2008-10-12 10:21:01 368,640 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\00000002\UsrClass.dat
+ 2008-08-07 14:27:04 163,328 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\ERDNT.EXE
+ 2008-10-12 10:20:50 4,820,992 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\Users\00000001\ntuser.dat
+ 2008-10-12 10:20:50 368,640 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\Users\00000002\UsrClass.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools"="C:\Programme\DAEMON Tools\daemon.exe" [2007-04-04 165784]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]
"BitTorrent DNA"="C:\Programme\DNA\btdna.exe" [2008-09-29 289088]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-02-12 339968]
"type32"="C:\Programme\Microsoft IntelliType Pro\type32.exe" [2004-03-19 184320]
"IntelliPoint"="C:\Programme\Microsoft IntelliPoint\point32.exe" [2004-03-19 212992]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 262401]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2008-09-06 413696]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-10-01 289576]
"High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2005-01-07 C:\WINDOWS\system32\HdAShCut.exe]
"SoundMan"="SOUNDMAN.EXE" [2006-06-17 C:\WINDOWS\SoundMan.exe]
"AlcWzrd"="ALCWZRD.EXE" [2006-06-17 C:\WINDOWS\alcwzrd.exe]

C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\
Mountit.lnk - C:\Programme\Roxio\WinOnCD 6 DVD\MountIt.exe [2003-05-08 1159232]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\EA Games\\Command and Conquer Generäle\\patchget.dat"=
"C:\\Programme\\EA Games\\Command and Conquer Generäle\\game.dat"=
"C:\\Programme\\EA Games\\Command & Conquer Generäle Stunde Null\\patchget.dat"=
"C:\\Programme\\EA Games\\Command & Conquer Generäle Stunde Null\\game.dat"=
"C:\\Programme\\Westwood\\SUN\\GAME.ICD"=
"C:\\Programme\\Westwood\\SUN\\Game.exe"=
"C:\\Programme\\LimeWire\\LimeWire.exe"=
"C:\\Programme\\EA Games\\Command & Conquer Generäle Stunde Null\\generals.exe"=
"C:\\WINDOWS\\system32\\dplaysvr.exe"=
"C:\\Programme\\Firaxis Games\\Sid Meier's Civilization 4\\Civilization4.exe"=
"C:\\Programme\\Ubisoft\\Funatics\\Die Siedler II - Die nächste Generation\\bin\\S2DNG.exe"=
"C:\\Programme\\Firaxis Games\\Sid Meier's Civilization 4\\Warlords\\Civ4Warlords.exe"=
"C:\\Programme\\Firaxis Games\\Sid Meier's Civilization 4\\Warlords\\Civ4Warlords_PitBoss.exe"=
"C:\\Programme\\Die Gilde 2\\GuildII.exe"=
"C:\\Program files\\Codemasters\\Operation Flashpoint\\FLASHPOINTRESISTANCE.EXE"=
"C:\\Programme\\Firefly Studios\\Stronghold Legends\\StrongholdLegends.exe"=
"C:\\Programme\\Anno 1701\\Anno1701.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Bohemia Interactive\\ArmA\\arma.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\Programme\\2K Games\\Firaxis Games\\Sid Meier's Railroads!\\RailRoads.exe"=
"C:\\Programme\\Electronic Arts\\Command & Conquer 3\\RetailExe\\1.0\\cnc3game.dat"=
"C:\\Programme\\Electronic Arts\\Command & Conquer 3\\RetailExe\\1.4\\cnc3game.dat"=
"C:\\Programme\\Die Gilde 2 - Die Seeräuber der Hanse\\GuildII.exe"=
"C:\\Programme\\Firaxis Games\\Sid Meier's Civilization 4\\Beyond the Sword\\Civ4BeyondSword.exe"=
"C:\\Programme\\Firaxis Games\\Sid Meier's Civilization 4\\Beyond the Sword\\Civ4BeyondSword_PitBoss.exe"=
"C:\\Programme\\Electronic Arts\\Command & Conquer 3\\RetailExe\\1.8\\cnc3game.dat"=
"C:\\WINDOWS\\system32\\dpvsetup.exe"=
"C:\\Programme\\SEGA\\Medieval II Total War\\medieval2.exe"=
"C:\\Programme\\SEGA\\Medieval II Total War\\kingdoms.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Programme\\Firefly Studios\\Stronghold Crusader\\Stronghold_Crusader_Extreme.exe"=
"C:\\Programme\\Firefly Studios\\Stronghold Crusader\\Stronghold Crusader.exe"=
"C:\\Dokumente und Einstellungen\\User\\Desktop\\TT\\TTDLOADW.OVL"=
"C:\\Programme\\DNA\\btdna.exe"=
"C:\\Programme\\OpenTTD\\openttd.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"C:\\Programme\\2K Games\\Firaxis Games\\Sid Meier's Civilization IV Colonization\\Colonization.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=

R0 c2scsi;c2scsi;C:\WINDOWS\system32\DRIVERS\c2scsi.sys [2003-03-18 215936]
R1 SSHDRV76;SSHDRV76;C:\WINDOWS\system32\drivers\SSHDRV76.sys [2006-07-23 53760]
R3 A3AB;D-Link AirPro 802.11a/b Wireless Adapter Service(A3AB);C:\WINDOWS\system32\DRIVERS\A3AB.sys [2004-09-03 396480]
S3 bDMusicb;bDMusicb;C:\DOKUME~1\User\LOKALE~1\Temp\bDMusicb.sys [ ]
.
Inhalt des "geplante Tasks" Ordners

2008-10-01 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- C:\Programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]
.
.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\x4qo6677.default\
FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-12 12:40:19
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...


C:\DOKUME~1\User\LOKALE~1\Temp\RGI4.tmp

Scan erfolgreich abgeschlossen
versteckte Dateien: 1

**************************************************************************
.
Zeit der Fertigstellung: 2008-10-12 12:41:37
ComboFix-quarantined-files.txt 2008-10-12 10:41:30
ComboFix2.txt 2008-10-12 09:04:11

Vor Suchlauf: 6'761'734'144 Bytes frei
Nach Suchlauf: 6,751,641,600 Bytes frei

160 --- E O F --- 2008-10-06 20:10:11

----

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:41:57, on 12.10.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\ATKKBService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\ALCWZRD.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\QuickTime\QTTask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\DNA\btdna.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Programme\DNA\btdna.exe"
O4 - Global Startup: Mountit.lnk = C:\Programme\Roxio\WinOnCD 6 DVD\MountIt.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0D41B8C5-2599-4893-8183-00195EC8D5F9} (asusTek_sysctrl Class) - http://support.asus.com/common/asusTek_sys_ctrl.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1151603956094
O16 - DPF: {D27CDC6B-AE6D-11CF-96B8-444553540000} - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe

--
End of file - 5327 bytes

#8 Hallo Piterpan

««
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern

Zitat

KILLALL::

Folder::
C:\Programme\nnzmzcd
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\gharalqr

Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.
cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen


Dann erscheint ein "öffnen mit" -bestätigen - und Combofix startet neu
in C:\ComboFix.txt ist alles gespeichert, kopiere es ab
__________
MfG Sabina

rund um die PC-Sicherheit

#9 Hallo Sabina

Danke für die Antwort, das habe ich jetzt gemacht, ich hoffe das hat geklappt!? Hier der Bericht:

ComboFix 08-10-11.02 - User 2008-10-12 14:28:43.4 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.665 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\User\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: C:\Dokumente und Einstellungen\User\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

[COLOR=RED]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/COLOR]
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\gharalqr
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\gharalqr\grenozsl.exe
C:\Programme\nnzmzcd

.
((((((((((((((((((((((( Dateien erstellt von 2008-09-12 bis 2008-10-12 ))))))))))))))))))))))))))))))
.

2008-10-12 12:41 . 2008-10-12 12:41 <DIR> d-------- C:\Programme\Trend Micro
2008-10-12 12:23 . 2008-10-12 12:23 580,096 --a--c--- C:\WINDOWS\system32\dllcache\user32.dll
2008-10-12 12:20 . 2008-10-12 12:20 <DIR> d-------- C:\WINDOWS\ERUNT
2008-10-12 12:17 . 2008-10-12 12:34 <DIR> d-------- C:\SDFix
2008-10-05 13:36 . 2008-10-05 13:36 <DIR> d-------- C:\Programme\iTunes
2008-10-05 13:36 . 2008-10-05 13:36 <DIR> d-------- C:\Programme\iPod
2008-10-05 13:36 . 2008-10-05 13:36 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
2008-09-29 10:11 . 2008-09-29 10:11 <DIR> d-------- C:\WINDOWS\system32\de
2008-09-29 10:11 . 2008-09-29 10:11 <DIR> d-------- C:\WINDOWS\system32\bits
2008-09-29 10:11 . 2008-09-29 10:11 <DIR> d-------- C:\WINDOWS\l2schemas
2008-09-26 15:24 . 2007-05-16 16:45 3,497,832 --a------ C:\WINDOWS\system32\d3dx9_34.dll
2008-09-26 15:24 . 2007-05-16 16:45 1,124,720 --a------ C:\WINDOWS\system32\D3DCompiler_34.dll
2008-09-26 15:24 . 2007-05-16 16:45 443,752 --a------ C:\WINDOWS\system32\d3dx10_34.dll
2008-09-26 15:24 . 2007-06-20 20:46 266,088 --a------ C:\WINDOWS\system32\xactengine2_8.dll
2008-09-26 15:24 . 2007-06-20 20:45 18,280 --a------ C:\WINDOWS\system32\x3daudio1_2.dll
2008-09-24 13:21 . 2008-09-24 13:21 <DIR> d-------- C:\Programme\QuickTime
2008-09-24 13:21 . 2008-09-24 13:21 <DIR> d-------- C:\Programme\Bonjour
2008-09-15 18:09 . 2008-09-15 18:09 <DIR> d-------- C:\Programme\OpenTTD
2008-09-13 10:12 . 2008-09-13 10:12 <DIR> d--hs---- C:\found.000

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-12 12:24 --------- d-----w C:\Dokumente und Einstellungen\User\Anwendungsdaten\DNA
2008-10-12 09:24 --------- d-----w C:\Programme\Malwarebytes' Anti-Malware
2008-09-29 08:40 --------- d-----w C:\Programme\DNA
2008-09-26 13:24 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-09-24 11:21 --------- d-----w C:\Programme\Gemeinsame Dateien\Apple
2008-09-09 22:04 38,528 ----a-w C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-09-09 22:03 17,200 ----a-w C:\WINDOWS\system32\drivers\mbam.sys
2008-08-23 17:52 --------- d-----w C:\Programme\Apple Software Update
.

((((((((((((((((((((((((((((( snapshot_2008-10-12_11.03.38.64 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-08-07 14:27:04 163,328 ----a-w C:\WINDOWS\ERUNT\SDFIX\ERDNT.EXE
+ 2008-10-12 10:21:01 4,820,992 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\00000001\ntuser.dat
+ 2008-10-12 10:21:01 368,640 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\00000002\UsrClass.dat
+ 2008-08-07 14:27:04 163,328 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\ERDNT.EXE
+ 2008-10-12 10:20:50 4,820,992 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\Users\00000001\ntuser.dat
+ 2008-10-12 10:20:50 368,640 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\Users\00000002\UsrClass.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools"="C:\Programme\DAEMON Tools\daemon.exe" [2007-04-04 165784]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]
"BitTorrent DNA"="C:\Programme\DNA\btdna.exe" [2008-09-29 289088]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-02-12 339968]
"type32"="C:\Programme\Microsoft IntelliType Pro\type32.exe" [2004-03-19 184320]
"IntelliPoint"="C:\Programme\Microsoft IntelliPoint\point32.exe" [2004-03-19 212992]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 262401]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2008-09-06 413696]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-10-01 289576]
"High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2005-01-07 C:\WINDOWS\system32\HdAShCut.exe]
"SoundMan"="SOUNDMAN.EXE" [2006-06-17 C:\WINDOWS\SoundMan.exe]
"AlcWzrd"="ALCWZRD.EXE" [2006-06-17 C:\WINDOWS\alcwzrd.exe]

C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\
Mountit.lnk - C:\Programme\Roxio\WinOnCD 6 DVD\MountIt.exe [2003-05-08 1159232]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\EA Games\\Command and Conquer Generäle\\patchget.dat"=
"C:\\Programme\\EA Games\\Command and Conquer Generäle\\game.dat"=
"C:\\Programme\\EA Games\\Command & Conquer Generäle Stunde Null\\patchget.dat"=
"C:\\Programme\\EA Games\\Command & Conquer Generäle Stunde Null\\game.dat"=
"C:\\Programme\\Westwood\\SUN\\GAME.ICD"=
"C:\\Programme\\Westwood\\SUN\\Game.exe"=
"C:\\Programme\\LimeWire\\LimeWire.exe"=
"C:\\Programme\\EA Games\\Command & Conquer Generäle Stunde Null\\generals.exe"=
"C:\\WINDOWS\\system32\\dplaysvr.exe"=
"C:\\Programme\\Firaxis Games\\Sid Meier's Civilization 4\\Civilization4.exe"=
"C:\\Programme\\Ubisoft\\Funatics\\Die Siedler II - Die nächste Generation\\bin\\S2DNG.exe"=
"C:\\Programme\\Firaxis Games\\Sid Meier's Civilization 4\\Warlords\\Civ4Warlords.exe"=
"C:\\Programme\\Firaxis Games\\Sid Meier's Civilization 4\\Warlords\\Civ4Warlords_PitBoss.exe"=
"C:\\Programme\\Die Gilde 2\\GuildII.exe"=
"C:\\Program files\\Codemasters\\Operation Flashpoint\\FLASHPOINTRESISTANCE.EXE"=
"C:\\Programme\\Firefly Studios\\Stronghold Legends\\StrongholdLegends.exe"=
"C:\\Programme\\Anno 1701\\Anno1701.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Bohemia Interactive\\ArmA\\arma.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\Programme\\2K Games\\Firaxis Games\\Sid Meier's Railroads!\\RailRoads.exe"=
"C:\\Programme\\Electronic Arts\\Command & Conquer 3\\RetailExe\\1.0\\cnc3game.dat"=
"C:\\Programme\\Electronic Arts\\Command & Conquer 3\\RetailExe\\1.4\\cnc3game.dat"=
"C:\\Programme\\Die Gilde 2 - Die Seeräuber der Hanse\\GuildII.exe"=
"C:\\Programme\\Firaxis Games\\Sid Meier's Civilization 4\\Beyond the Sword\\Civ4BeyondSword.exe"=
"C:\\Programme\\Firaxis Games\\Sid Meier's Civilization 4\\Beyond the Sword\\Civ4BeyondSword_PitBoss.exe"=
"C:\\Programme\\Electronic Arts\\Command & Conquer 3\\RetailExe\\1.8\\cnc3game.dat"=
"C:\\WINDOWS\\system32\\dpvsetup.exe"=
"C:\\Programme\\SEGA\\Medieval II Total War\\medieval2.exe"=
"C:\\Programme\\SEGA\\Medieval II Total War\\kingdoms.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Programme\\Firefly Studios\\Stronghold Crusader\\Stronghold_Crusader_Extreme.exe"=
"C:\\Programme\\Firefly Studios\\Stronghold Crusader\\Stronghold Crusader.exe"=
"C:\\Dokumente und Einstellungen\\User\\Desktop\\TT\\TTDLOADW.OVL"=
"C:\\Programme\\DNA\\btdna.exe"=
"C:\\Programme\\OpenTTD\\openttd.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"C:\\Programme\\2K Games\\Firaxis Games\\Sid Meier's Civilization IV Colonization\\Colonization.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=

R0 c2scsi;c2scsi;C:\WINDOWS\system32\DRIVERS\c2scsi.sys [2003-03-18 215936]
R1 SSHDRV76;SSHDRV76;C:\WINDOWS\system32\drivers\SSHDRV76.sys [2006-07-23 53760]
R3 A3AB;D-Link AirPro 802.11a/b Wireless Adapter Service(A3AB);C:\WINDOWS\system32\DRIVERS\A3AB.sys [2004-09-03 396480]
S3 bDMusicb;bDMusicb;C:\DOKUME~1\User\LOKALE~1\Temp\bDMusicb.sys [ ]
.
Inhalt des "geplante Tasks" Ordners

2008-10-01 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- C:\Programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-12 14:32:38
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere laufende Prozesse ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\ATKKBService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-10-12 14:41:05 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-10-12 12:41:01
ComboFix2.txt 2008-10-12 10:41:38
ComboFix3.txt 2008-10-12 09:04:11

Vor Suchlauf: 6'737'842'176 Bytes frei
Nach Suchlauf: 6,725,115,904 Bytes frei

163 --- E O F --- 2008-10-06 20:10:11


MFG Piterpan

#10 Hallo Piterpan

Es sollte wieder alles i.o. sein...

«
Start - Ausführen - Kopiere rein: Combofix /U
- klicke "OK"

««
scanne mit dem Antivirus im abgesicherten Modus - Vollscan

«
wenn es noch Probleme geben sollte...melde dich
__________
MfG Sabina

rund um die PC-Sicherheit

#11 Ok, ich habe deb PC im abgesicherten Modus gescannt! Habe leider doch noch was gefunden! Hier der Bericht:



Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <HD 1>
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\ComboFix\nircmd.com
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.2.B
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 496402d4.qua erstellt ( QUARANTÄNE )
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'D:\' <HD 2>



Danke für deine Bemühungen

MFG Piterpan

#12 der scaner hat combofix gefunden ...das solltest du eigentlich schon deinstalliert haben...

Start - Ausführen - Kopiere rein: Combofix /U
- klicke "OK"
__________
MfG Sabina

rund um die PC-Sicherheit

#13 Hmmm, das habe ich auch schon deinstalliert, und wenn ich es jetzt nochmal probiere findet es die Datei nicht!?

#14 klar..nun ist die combofix in Quarantäne...
__________
MfG Sabina

rund um die PC-Sicherheit

#15 Das heisst ich kann sie dort einfach löschen, oder wie?