Bitte meine Combofix.txt auch analysieren

#1 ComboFix 08-11-13.01 - Antoniö 2008-11-15 17:38:30.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.719 [GMT 1:00]
ausgeführt von:: c:\desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WinRAR.exe
d:\windows\smdat32a.sys
d:\windows\smdat32m.sys
G:\Autorun.inf

.
((((((((((((((((((((((( Dateien erstellt von 2008-10-15 bis 2008-11-15 ))))))))))))))))))))))))))))))
.

2008-11-08 11:47 . 2008-11-08 11:47 <DIR> d-------- d:\dokumente und einstellungen\All Users\Anwendungsdaten\GameHouse
2008-11-03 16:10 . 2008-11-03 16:14 0 --a------ D:\TS_03-11-2008_03-10-15_796.mpg
2008-10-22 15:17 . 2004-08-03 23:57 221,184 --a------ d:\windows\system32\wmpns.dll
2008-10-15 22:22 . 2008-10-15 22:22 <DIR> d-------- d:\dokumente und einstellungen\All Users\Anwendungsdaten\Blizzard

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-15 15:42 --------- d-----w d:\programme\Mozilla Thunderbird
2008-11-07 14:23 --------- d-----w d:\programme\DVD Audio Extractor
2008-11-05 13:57 --------- d-----w d:\programme\buffed
2008-10-26 16:22 --------- d-----w d:\dokumente und einstellungen\Antoniö\Anwendungsdaten\HartlauerFotoService3
2008-10-26 16:22 --------- d-----w d:\dokumente und einstellungen\Antoniö\Anwendungsdaten\HartlauerFotoService3
2008-10-26 16:22 --------- d-----w d:\dokumente und einstellungen\Antoniö\Anwendungsdaten\HartlauerFotoService3
2008-10-01 13:55 --------- d-----w d:\dokumente und einstellungen\Antoniö\Anwendungsdaten\WTablet
2008-10-01 13:55 --------- d-----w d:\dokumente und einstellungen\Antoniö\Anwendungsdaten\WTablet
2008-10-01 13:55 --------- d-----w d:\dokumente und einstellungen\Antoniö\Anwendungsdaten\WTablet
2008-09-28 18:01 --------- d-----w d:\dokumente und einstellungen\All Users\Anwendungsdaten\Pinnacle
2008-09-28 17:57 --------- d-----w d:\programme\Pinnacle
2008-09-28 17:53 --------- d-----w d:\programme\MSXML 4.0
2008-09-28 17:51 --------- d--h--w d:\programme\InstallShield Installation Information
2008-09-27 08:08 --------- d-----w d:\dokumente und einstellungen\Antoniö\Anwendungsdaten\dvdcss
2008-09-27 08:08 --------- d-----w d:\dokumente und einstellungen\Antoniö\Anwendungsdaten\dvdcss
2008-09-27 08:08 --------- d-----w d:\dokumente und einstellungen\Antoniö\Anwendungsdaten\dvdcss
2008-09-19 21:55 200,704 ----a-w d:\windows\system32\ssldivx.dll
2008-09-19 21:55 1,044,480 ----a-w d:\windows\system32\libdivx.dll
2006-09-12 20:26 88 --sh--r d:\windows\system32\74D11776BD.sys
2007-05-20 11:48 2,516 -csha-w d:\windows\system32\KGyGaAvL.sys
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PMCLoader"="c:\tvcenter pro\PMCLoader.exe" [2008-01-24 644368]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TkBellExe"="d:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2006-12-14 185896]
"Adobe Reader Speed Launcher"="c:\reader\Reader_sl.exe" [2007-05-11 40048]

d:\dokumente und einstellungen\Antoni”\Startmen�\Programme\Autostart\
Adobe Gamma.lnk - d:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2005-03-16 113664]
Trillian.lnk - c:\trillian\trillian.exe [2008-05-19 1873280]

d:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
Pinnacle Streaming Server.lnk - c:\programme\Pinnacle\Shared Files\Programs\StrmServer\StrmServer.exe [2007-12-03 599312]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATICCC]
--a--c--- 2006-05-10 10:12 90112 d:\programme\ATI Technologies\ATI.ACE\CLIStart.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a--c--- 2007-07-12 03:00 132496 d:\programme\Java\jre1.6.0_02\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nForce Tray Options]
-ra------ 2002-11-13 08:34 73728 d:\windows\system32\sstray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\World of Warcraft\\BackgroundDownloader.exe"=
"c:\\World of Warcraft\\Repair.exe"=
"c:\\Realplayer\\RealPlay.exe"=
"c:\\Trillian\\trillian.exe"=
"c:\\VLC\\vlc.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3724:TCP"= 3724:TCP:Blizzard Downloader: 3724

S3 MODRC;DiBcom Infrared Receiver;d:\windows\system32\DRIVERS\modrc.sys [2007-10-19 13824]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\H]
\Shell\AutoRun\command - H:\LaunchU3.exe -a

*Newly Created Service* - PROCEXP90
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKCU-Run-BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA} - d:\programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
HKCU-Run-BLASC - d:\programme\buffed\BLASC.exe
HKCU-Run-DW6 - d:\programme\The Weather Channel FW\Desktop\DesktopWeather.exe
HKCU-Run-PMCRemote - (no file)
MSConfigStartUp-Adobe Photo Downloader - d:\programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
MSConfigStartUp-CursorXP - c:\\CursorXP.exe
MSConfigStartUp-NeroFilterCheck - d:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
MSConfigStartUp-QuickTime Task - d:\programme\QuickTime\qttask.exe
MSConfigStartUp-SsAAD - d:\progra~1\Sony\SONICS~1\SsAAD.exe


.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - d:\dokumente und einstellungen\Antoniö\Anwendungsdaten\Mozilla\Firefox\Profiles\q8ugay5f.default\
FF -: plugin - c:\divx\DivX Content Uploader\npUpload.dll
FF -: plugin - c:\divx\DivX Player\npDivxPlayerPlugin.dll
FF -: plugin - c:\divx\DivX Web Player\npdivx32.dll
FF -: plugin - c:\mozilla firefox\plugins\npdivx32.dll
FF -: plugin - c:\mozilla firefox\plugins\npnul32.dll
FF -: plugin - c:\reader\browser\nppdf32.dll
FF -: plugin - c:\realplayer\Netscape6\nppl3260.dll
FF -: plugin - c:\realplayer\Netscape6\nprjplug.dll
FF -: plugin - c:\realplayer\Netscape6\nprpjplug.dll
FF -: plugin - d:\dokumente und einstellungen\All Users\Anwendungsdaten\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-15 17:39:58
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-11-15 17:41:32
ComboFix-quarantined-files.txt 2008-11-15 16:40:45

Vor Suchlauf: 2.680.999.936 Bytes frei
Nach Suchlauf: 3,446,292,480 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn

127


ps: ich kenn mich überhaupt nicht mit solchen tiergründigeren sachen beim pc aus, wäre nett wenn ihr mir helfen könntet.
ich habe das selbe problem auch auf meinem macbook, vllt kann das ein usb stick oder die externe festplatte übertragen haben?#

jetzt hab ich wieder einen ordner geöffnet, und dasselbe problem, muss ich das combofix jetzt nochmal drüber laufen lassen?

#2

Zitat

ich habe das selbe problem auch auf meinem macbook,

Welches Problem hast du genau?
__________
MfG Ralf
SEO-Spam Hunter

#3 explorer.exe hat ein problem festgestellt und wird geschlossen, bei jeden ordnern die ich aufmache.

#4 Arbeite bitte die Punkte 2 und 3 aus http://board.protecus.de/t23188.htm ab und mache einen Kontrollscan mit Drweb Cureit.
http://board.protecus.de/t29350.htm

Poste die entsprechenden Reporte.
BTW: Tritt das Problem auch im abgesicherten Modus auf?
__________
MfG Ralf
SEO-Spam Hunter

#5 Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1400
Windows 5.1.2600 Service Pack 2

15.11.2008 18:35:21
mbam-log-2008-11-15 (18-35-21).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 48617
Laufzeit: 3 minute(s), 16 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{014da6c1-189f-421a-88cd-07cfe51cff10} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\MySearch (Adware.MyWebSearch) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


und drweb cureit mach ich gleich n ach dem neustart

#6 Der Explorer gibt dir normalerweise mehr Informationen, aus welchem Grund der Eplorer geschlossen wurde. Welche Informationen sind das bei dir.

Ich weiss es gerade nicht auswendig, aber es kann sein, das du auf einen Link in der Explorermeldung klicken musst, damit das angezeigt wird.
__________
MfG Ralf
SEO-Spam Hunter

#7 so, jetzt hab ich wieder zeit, kann mir jetzt nochmal einer sagen wie ich das genau anfangen soll? wieder mit dem combofix, oder das erstmal weglassen? lieben gruß

ich kann nur das hier kopieren bei der fehlermeldung: AppName: explorer.exe AppVer: 6.0.2900.2180 ModName: pcleh264enc.dll
ModVer: 3.0.498.0 Offset: 00002a18

#8 Das Problem scheint mit deiner Pinnacle Software zusammenzuhaengen. Benoetigst du diese unbedingt? Wenn ja, versuche eine neuere Version zu installieren, wenn nein, deinstalliere sie.
__________
MfG Ralf
SEO-Spam Hunter