"Your computer is infected" Roter Kreis weißes Kreuz

#1 Hallo, ich habe das problem das ich nicht HijackThis starten kann der der rote kreis-weißes kreuz ist weg weil meine freundin systemwiederherstellung gemacht hat. leider hat das nicht viel geholfen der punkt und kreis ist weg aber ich kann HijackThis einfach nicht öffnen. kann mir jemand sagen was ich machen kann?

#2 >>
Scanne mit Malwarebytes, lass das gefundene löschen und poste das Log:
(Vor der Anwendung Update nicht vergessen)
http://virus-protect.org/artikel/tools/malwarebytes.html

>>
Wende Combofix an und poste das Log:
http://www.virus-protect.org/artikel/tools/combofix.html

>>
Dann versuche HJT nochmals

Gruss Swiss

#3 okay nach 2 std und 40 min habe ich alles geschafft hier alle log

Zitat

Malwarebytes

Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1414
Windows 5.1.2600 Service Pack 3

20.11.2008 20:09:20
mbam-log-2008-11-20 (20-09-20).txt

Scan-Methode: Vollständiger Scan (C:\|E:\|F:\|)
Durchsuchte Objekte: 278061
Laufzeit: 2 hour(s), 27 minute(s), 48 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 16

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{9afb8248-617f-460d-9366-d71cdeda3179} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\System Volume Information\_restore{B3E37E0C-7E45-49B3-9CF2-AC996055B2B5}\RP82\A0037384.dll (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{B3E37E0C-7E45-49B3-9CF2-AC996055B2B5}\RP82\A0037385.dll (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{B3E37E0C-7E45-49B3-9CF2-AC996055B2B5}\RP82\A0037386.dll (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{B3E37E0C-7E45-49B3-9CF2-AC996055B2B5}\RP82\A0037390.sys (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\delself.bat (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\av.dat (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\wini10806.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\TDSS3ab2.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\TDSS4c08.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\TDSS4e98.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\TDSS6f01.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\JuLeZ\Lokale Einstellungen\Temp\wrdwn3 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\JuLeZ\Lokale Einstellungen\Temp\TDSSf998.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\JuLeZ\Lokale Einstellungen\Temp\TDSSf9e6.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\TDSSqiyk.dll (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\TDSSwghd.log (Trojan.TDSS) -> Quarantined and deleted successfully.

Zitat

Combofix
ComboFix 08-11-19.08 - JuLeZ 2008-11-20 20:19:22.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.677 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\JuLeZ\Desktop\ComboFix.exe
.
ADS - system32: deleted 7577 bytes in 1 streams.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_BOONTY_GAMES
-------\Service_Boonty Games


((((((((((((((((((((((( Dateien erstellt von 2008-10-20 bis 2008-11-20 ))))))))))))))))))))))))))))))
.

2008-11-20 17:34 . 2008-11-20 17:34 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2008-11-20 17:34 . 2008-11-20 17:34 <DIR> d-------- c:\dokumente und einstellungen\JuLeZ\Anwendungsdaten\Malwarebytes
2008-11-20 17:34 . 2008-11-20 17:34 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-11-20 17:34 . 2008-10-22 16:10 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2008-11-20 17:34 . 2008-10-22 16:10 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2008-11-20 15:23 . 2008-11-20 15:23 <DIR> d-------- c:\programme\Trend Micro
2008-11-20 10:14 . 2008-11-20 11:33 527 --a------ c:\windows\system32\TDSSmupe.dat
2008-11-17 12:13 . 2008-11-17 12:32 <DIR> d-------- c:\programme\Diner Dash - Flo Through Time
2008-11-17 12:11 . 2008-11-17 12:15 <DIR> d-------- c:\programme\Alice Greenfingers 2
2008-11-16 22:54 . 2008-11-16 22:55 <DIR> d-------- c:\programme\Family Restaurant
2008-11-15 08:26 . 2008-11-15 08:26 <DIR> d-------- c:\dokumente und einstellungen\JuLeZ\Anwendungsdaten\Jane s Hotel
2008-11-13 08:17 . 2008-11-13 08:17 <DIR> d-------- c:\dokumente und einstellungen\JuLeZ\Anwendungsdaten\iWin
2008-11-13 08:17 . 2008-11-13 08:17 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\iWin
2008-11-13 03:25 . 2008-11-13 03:25 1,393 --a------ c:\windows\imsins.BAK
2008-11-13 03:24 . 2008-11-13 03:24 <DIR> d-------- c:\programme\MSXML 4.0
2008-11-13 00:13 . 2008-09-04 18:15 1,106,944 -----c--- c:\windows\system32\dllcache\msxml3.dll
2008-11-13 00:13 . 2008-10-24 12:21 455,296 -----c--- c:\windows\system32\dllcache\mrxsmb.sys
2008-11-10 23:03 . 2008-11-10 23:03 <DIR> d-------- c:\dokumente und einstellungen\JuLeZ\Anwendungsdaten\PlayFirst_DressUpRush
2008-11-10 12:51 . 2008-11-13 08:43 <DIR> d-------- c:\programme\iWin.com
2008-11-10 11:35 . 2008-11-10 11:35 <DIR> d-------- c:\dokumente und einstellungen\JuLeZ\Anwendungsdaten\SpinTop
2008-11-09 22:37 . 2008-11-09 22:37 <DIR> d-------- c:\programme\Build-a-lot 2 Town of the Year
2008-11-09 21:01 . 2008-11-10 19:11 <DIR> d-------- c:\programme\Gamenext
2008-11-09 20:43 . 2008-11-09 20:49 <DIR> d-------- c:\programme\Kabel eins Games
2008-11-09 20:32 . 2008-11-09 20:35 <DIR> d-------- c:\programme\o2 Games
2008-11-08 21:42 . 2008-11-08 21:42 <DIR> d-------- c:\programme\Gemeinsame Dateien\DVDVideoSoft
2008-11-08 21:42 . 2008-11-08 21:42 <DIR> d-------- c:\programme\DVDVideoSoft
2008-11-08 21:42 . 2008-11-08 21:42 <DIR> d-------- c:\programme\AskBarDis
2008-11-08 21:42 . 2008-11-08 21:42 <DIR> d-------- C:\DVDVideoSoft
2008-11-08 21:22 . 2008-11-09 16:16 <DIR> d-------- c:\programme\Sat1 Spiele
2008-11-08 21:22 . 2008-11-08 21:22 <DIR> d-------- c:\programme\Oberon Media
2008-11-07 21:21 . 2008-11-07 21:21 <DIR> d-------- c:\programme\Gemeinsame Dateien\Oberon Media
2008-11-07 21:21 . 2008-11-10 19:14 <DIR> d-------- c:\programme\Acer GameZone
2008-11-07 15:20 . 2008-11-10 19:14 <DIR> d-------- c:\programme\Jojos Fashion Show
2008-11-07 14:01 . 2008-11-07 14:01 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\BOONTY
2008-11-07 14:00 . 2008-11-07 14:00 <DIR> d-------- c:\programme\Gemeinsame Dateien\BOONTY Shared
2008-11-07 13:58 . 2008-11-07 15:19 <DIR> d-------- c:\programme\BoontyGames
2008-11-07 13:58 . 2008-11-07 13:58 <DIR> d-------- c:\programme\Boonty
2008-11-06 13:25 . 2008-11-06 13:25 <DIR> d-------- c:\dokumente und einstellungen\JuLeZ\Anwendungsdaten\Zylom
2008-11-02 12:24 . 2008-11-02 12:24 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Last.fm
2008-11-02 12:23 . 2008-11-02 12:23 <DIR> d-------- c:\programme\Last.fm
2008-10-27 20:30 . 2008-10-27 20:30 <DIR> d-------- c:\dokumente und einstellungen\JuLeZ\Anwendungsdaten\BeachPartyCraze
2008-10-25 21:15 . 2008-10-25 21:26 <DIR> d-------- C:\Funsta
2008-10-24 10:39 . 2008-10-15 17:35 337,408 -----c--- c:\windows\system32\dllcache\netapi32.dll
2008-10-22 20:01 . 2008-10-22 20:01 <DIR> d-------- c:\dokumente und einstellungen\JuLeZ\Anwendungsdaten\SulusGames

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-20 12:56 --------- d-----w c:\programme\PSFtp Free
2008-11-20 08:44 --------- d-----w c:\programme\ThumbsPlus 7x deutsch
2008-11-17 21:20 --------- d-----w c:\dokumente und einstellungen\JuLeZ\Anwendungsdaten\Oberon Games
2008-11-17 21:20 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Oberon Games
2008-11-17 11:32 --------- d-----w c:\dokumente und einstellungen\JuLeZ\Anwendungsdaten\PlayFirst
2008-11-17 11:32 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\PlayFirst
2008-11-17 11:31 --------- d---a-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2008-11-17 11:11 --------- d-----w c:\programme\bfgclient
2008-11-17 11:10 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\BigFishGamesCache
2008-11-10 11:53 --------- d-----w c:\dokumente und einstellungen\JuLeZ\Anwendungsdaten\Gamelab
2008-11-07 12:46 --------- d-----w c:\programme\Silkroad
2008-11-07 12:44 --------- d-----w c:\programme\Zylom Games
2008-11-02 22:28 --------- d-----w c:\programme\DivX
2008-11-01 01:15 --------- d-----w c:\dokumente und einstellungen\JuLeZ\Anwendungsdaten\dvdcss
2008-10-24 11:21 455,296 ----a-w c:\windows\system32\drivers\mrxsmb.sys
2008-10-17 11:53 --------- d-----w c:\dokumente und einstellungen\JuLeZ\Anwendungsdaten\SmartFTP
2008-10-17 10:24 --------- d-----w c:\programme\SmartFTP Client
2008-10-17 10:23 --------- d-----w c:\programme\SmartFTP Client 3.0 Setup Files
2008-10-16 22:41 --------- d-----w c:\programme\FormatFactory
2008-10-16 22:34 --------- d-----w c:\programme\Basement Softworks
2008-10-16 14:43 --------- d-----w c:\programme\picture-shark
2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll
2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll
2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll
2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll
2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll
2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe
2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll
2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2(2).dll
2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll
2008-10-16 13:06 268,648 ----a-w c:\windows\system32\mucltui.dll
2008-10-16 13:06 208,744 ----a-w c:\windows\system32\muweb.dll
2008-10-14 20:12 --------- d--h--w c:\programme\InstallShield Installation Information
2008-10-14 20:12 --------- d-----w c:\dokumente und einstellungen\JuLeZ\Anwendungsdaten\Desperate Housewives
2008-10-14 15:22 --------- d-----w c:\programme\eRightSoft
2008-10-13 17:17 --------- d-----w c:\programme\QuickTime
2008-10-13 17:17 --------- d-----w c:\programme\Gemeinsame Dateien\Apple
2008-10-13 17:17 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer
2008-10-13 17:16 --------- d-----w c:\programme\Apple Software Update
2008-10-13 17:16 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple
2008-10-12 20:13 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\FLEXnet
2008-10-12 20:09 --------- d-----w c:\programme\Gemeinsame Dateien\Adobe
2008-10-12 20:09 --------- d-----w c:\programme\Bonjour
2008-10-11 16:50 --------- d-----w c:\dokumente und einstellungen\JuLeZ\Anwendungsdaten\vlc
2008-10-07 19:10 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\VirtualFarm
2008-10-05 18:52 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Fitn17
2008-10-05 10:13 --------- d-----w c:\dokumente und einstellungen\JuLeZ\Anwendungsdaten\My Games
2008-10-02 19:13 --------- d-----w c:\dokumente und einstellungen\JuLeZ\Anwendungsdaten\EleFun Games
2008-09-30 15:43 1,286,152 ----a-w c:\windows\system32\msxml4.dll
2008-09-29 19:26 --------- d-----w c:\dokumente und einstellungen\JuLeZ\Anwendungsdaten\Alawar
2008-09-29 18:43 --------- d-----w c:\dokumente und einstellungen\JuLeZ\Anwendungsdaten\Canon
2008-09-29 18:34 --------- d-----w c:\dokumente und einstellungen\JuLeZ\Anwendungsdaten\ArcSoft
2008-09-29 18:29 --------- d-----w c:\programme\ArcSoft
2008-09-27 20:16 --------- d-----w c:\dokumente und einstellungen\JuLeZ\Anwendungsdaten\blg
2008-09-27 20:16 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\blg
2008-09-26 21:02 --------- d-----w c:\dokumente und einstellungen\JuLeZ\Anwendungsdaten\BFG_JanesRealty
2008-09-26 19:36 --------- d-----w c:\programme\Empire Interactive
2008-09-23 08:32 --------- d-----w c:\programme\ICQ6
2008-09-22 20:59 --------- d-----w c:\dokumente und einstellungen\JuLeZ\Anwendungsdaten\Go-Go Gourmet Chef of the Year
2008-09-22 20:59 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Trymedia
2008-09-20 12:01 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\SugarGames
2008-09-20 12:00 --------- d-----w c:\programme\DEUTSCHLAND SPIELT
2008-09-20 11:57 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Friday's games
2008-09-20 11:39 --------- d-----w c:\programme\OXXOGames
2008-09-20 11:37 --------- d-----w c:\programme\Electronic Arts
2008-09-20 11:36 --------- d-----w c:\programme\Farmer Jane
2008-09-20 11:32 --------- d-----w c:\dokumente und einstellungen\JuLeZ\Anwendungsdaten\FarmerJane
2008-09-20 11:13 --------- d-----w c:\programme\Go-Go Gourmet 2 - Chef of the Year
2008-09-19 21:55 200,704 ----a-w c:\windows\system32\ssldivx.dll
2008-09-19 21:55 1,044,480 ----a-w c:\windows\system32\libdivx.dll
2008-09-15 15:24 1,846,528 ----a-w c:\windows\system32\win32k.sys
2008-09-14 08:58 499,712 ----a-w c:\windows\system32\msvcp71.dll
2008-09-14 08:58 348,160 ----a-w c:\windows\system32\msvcr71.dll
2008-09-10 01:13 1,307,648 ----a-w c:\windows\system32\msxml6.dll
2008-09-08 08:32 2,104 ----a-w c:\windows\system32\ealregsnapshot1.reg
2008-09-07 22:38 107,888 ----a-w c:\windows\system32\CmdLineExt.dll
2008-09-04 17:15 1,106,944 ----a-w c:\windows\system32\msxml3.dll
2008-08-26 07:57 826,368 ----a-w c:\windows\system32\wininet.dll
2008-04-28 17:26 156,154 ----a-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\firstlsp.reg.dat
2008-02-26 22:53 0 ----a-w c:\programme\temp01
2007-10-23 14:15 396 ----a-w c:\dokumente und einstellungen\JuLeZ\Anwendungsdaten\wklnhst.dat
2008-06-21 10:30 32,768 --sha-w c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008062120080622\index.dat
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}]
2008-08-26 10:32 279944 --a------ c:\programme\AskBarDis\bar\bin\askBar.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{3041d03e-fd4b-44e0-b742-2d9b88305f98}"= "c:\programme\AskBarDis\bar\bin\askBar.dll" [2008-08-26 279944]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{3041D03E-FD4B-44E0-B742-2D9B88305F98}"= "c:\programme\AskBarDis\bar\bin\askBar.dll" [2008-08-26 279944]

[HKEY_CLASSES_ROOT\clsid\{3041d03e-fd4b-44e0-b742-2d9b88305f98}]
[HKEY_CLASSES_ROOT\TypeLib\{4b1c1e16-6b34-430e-b074-5928eca4c150}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-09-17 8491008]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-09-17 81920]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-18 266497]
"itype"="c:\programme\Microsoft IntelliType Pro\itype.exe" [2007-08-31 988584]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-09-14 185896]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2008-09-06 413696]
"nwiz"="nwiz.exe" [2007-09-17 c:\windows\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.I420"= i420vfw.dll

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"CTFMON.EXE"=c:\windows\system32\ctfmon.exe
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" /background

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\usmt\\migwiz.exe"=
"c:\\Programme\\Steam\\SteamApps\\xxjulezxx\\counter-strike source\\hl2.exe"=
"c:\\Programme\\Steam\\SteamApps\\xxjulezxx\\counter-strike\\hl.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\ICQ6\\ICQ.exe"=
"c:\\Programme\\mIRC\\mirc.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Programme\\Zattoo\\zattood.exe"=
"c:\\Programme\\Zattoo\\Zattoo2.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\SmartFTP Client\\SmartFTP.exe"=
"c:\\Programme\\Zattoo\\Zattoo.exe"=

R0 Si3112r;ATI-437A Serial ATA Controller;c:\windows\system32\DRIVERS\SI3112r.sys [2005-05-04 97920]
R2 acedrv11;acedrv11;\??\c:\windows\system32\drivers\acedrv11.sys [2008-01-23 501560]
R2 UxTuneUp;TuneUp Designerweiterung;c:\windows\System32\svchost.exe -k netsvcs [2004-08-04 14336]
S2 P0250BUK;Creative PC-CAM 550 (Still);c:\windows\system32\Drivers\p0250Buk.sys []
S3 avmeject;AVM Eject;c:\windows\system32\drivers\avmeject.sys [2007-12-30 4352]
S3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\DRIVERS\fwlanusb.sys [2007-12-30 265088]
S3 HIDKbFlt;Dritek USB Keyboard HID Filter;c:\windows\system32\drivers\HIDKbFlt.sys [2004-12-14 21120]
S3 P0250VID;Creative PC-CAM 550 (Video);c:\windows\system32\DRIVERS\p0250v2k.sys []
S3 RTLWUSB;802.11g USB2.0 WLAN Dongle;c:\windows\system32\DRIVERS\RTL8187.sys []
S3 SjyPkt;SjyPkt;\??\c:\windows\System32\Drivers\SjyPkt.sys []
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;c:\windows\System32\TuneUpDefragService.exe [2008-03-27 307968]
S3 w200bus;Sony Ericsson W200 driver (WDM);c:\windows\system32\DRIVERS\w200bus.sys [2008-07-26 61504]
S3 w200mdfl;Sony Ericsson W200 USB WMC Modem Filter;c:\windows\system32\DRIVERS\w200mdfl.sys [2008-07-26 9328]
S3 w200mdm;Sony Ericsson W200 USB WMC Modem Driver;c:\windows\system32\DRIVERS\w200mdm.sys [2008-07-26 97056]
S3 w200mgmt;Sony Ericsson W200 USB WMC Device Management Drivers (WDM);c:\windows\system32\DRIVERS\w200mgmt.sys [2008-07-26 88560]
S3 w200obex;Sony Ericsson W200 USB WMC OBEX Interface;c:\windows\system32\DRIVERS\w200obex.sys [2008-07-26 86368]
S4 Contoxpmmnpv;Contoxpmmnpv; []

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{EA0FCA4F-891F-6CBF-DFE2-8A56A5DC5CFE}]
c:\windows\system32:wupdate.exe
.
Inhalt des "geplante Tasks" Ordners

2008-11-08 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
.
.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - c:\dokumente und einstellungen\JuLeZ\Anwendungsdaten\Mozilla\Firefox\Profiles\mvh1qcbm.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.google.de/firefox?client=firefox-a&rls=org.mozilla:de:official
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-20 20:24:01
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\windows\system32\rundll32.exe
c:\programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
c:\programme\avmwlanstick\WLanNetService.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\windows\system32\nvsvc32.exe
c:\programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
c:\programme\Microsoft IntelliType Pro\dpupdchk.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-11-20 20:32:55 - PC wurde neu gestartet [JuLeZ]
ComboFix-quarantined-files.txt 2008-11-20 19:32:47

Vor Suchlauf: 22 Verzeichnis(se), 33,068,515,328 Bytes frei
Nach Suchlauf: 22 Verzeichnis(se), 33,071,210,496 Bytes frei

250 --- E O F --- 2008-11-13 02:26:43

Zitat

Hijack
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:40:25, on 20.11.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Microsoft IntelliType Pro\itype.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
c:\Programme\Microsoft IntelliType Pro\dpupdchk.exe
C:\WINDOWS\explorer.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [itype] "c:\Programme\Microsoft IntelliType Pro\itype.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Bilder mit PicnickerPro laden... - C:\Dokumente und Einstellungen\JuLeZ\Desktop\PicnickerPro\GetCode.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://appldnld.apple.com.edgesuite.net/content.info.apple.com/QuickTime/qtactivex/qtplugin.cab
O16 - DPF: {149E45D8-163E-4189-86FC-45022AB2B6C9} - file:///C:/Programme/Jojo's%20Fashion%20Show/Images/stg_drm.ocx
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1203496686359
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://static.ak.studivz.net/photouploader/ImageUploader4.cab
O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - http://static.pe.studivz.net/photouploader/ImageUploader5.cab?nocache=1206802374
O16 - DPF: {CC450D71-CC90-424C-8638-1F2DBAC87A54} (ArmHelper Control) - file:///C:/Programme/Jojo's%20Fashion%20Show/Images/armhelper.ocx
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 7253 bytes

#4 gibt es noch was was ich noch machen kann?

#5 >>
Mach ein Onlinescan mit Bitdefender und poste das Log:
http://virus-protect.org/artikel/tools/bitdefender.html

>>
Wende Gmer an und poste das Log:
http://virus-protect.org/artikel/tools/gmer.html

>>
Lade Dir Registry Search by Bobbi Flekman
und doppelklicken, um zu starten.
in das Feld: "Enter search strings" (reinschreiben oder reinkopieren)

Contoxpmmnpv

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

Gruss Swiss

#6 Ich hoffe das alle log dabei sind.

Zitat

Registry Search
Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.5.0

; Results at 28.11.2008 09:58:30 for strings:
; 'contoxpmmnpv'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Contoxpmmnpv]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Contoxpmmnpv\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Contoxpmmnpv]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Contoxpmmnpv\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Contoxpmmnpv]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Contoxpmmnpv\Security]

; End Of The Log...

Zitat

Gmer
GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2008-11-28 09:53:33
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.14 ----

SSDT vax347b.sys (Plug and Play BIOS Extension/ ) ZwClose [0xF736ABB8]
SSDT vax347b.sys (Plug and Play BIOS Extension/ ) ZwCreateKey [0xF736AB70]
SSDT vax347b.sys (Plug and Play BIOS Extension/ ) ZwCreatePagingFile [0xF735EC70]
SSDT F7C2BECC ZwCreateThread
SSDT vax347b.sys (Plug and Play BIOS Extension/ ) ZwEnumerateKey [0xF735F4FE]
SSDT vax347b.sys (Plug and Play BIOS Extension/ ) ZwEnumerateValueKey [0xF736ACB0]
SSDT vax347b.sys (Plug and Play BIOS Extension/ ) ZwOpenKey [0xF736AB34]
SSDT F7C2BEB8 ZwOpenProcess
SSDT F7C2BEBD ZwOpenThread
SSDT vax347b.sys (Plug and Play BIOS Extension/ ) ZwQueryKey [0xF735F51E]
SSDT vax347b.sys (Plug and Play BIOS Extension/ ) ZwQueryValueKey [0xF736AC06]
SSDT vax347b.sys (Plug and Play BIOS Extension/ ) ZwSetSystemPowerState [0xF736A450]
SSDT spyv.sys ZwSetValueKey [0xF73BB19A]
SSDT F7C2BEC7 ZwTerminateProcess
SSDT F7C2BEC2 ZwWriteVirtualMemory

INT 0x62 ? 8716DBF8
INT 0x73 ? 871DCBF8
INT 0x82 ? 8716DBF8
INT 0xB4 ? 86C4DBF8
INT 0xB4 ? 86C4DBF8
INT 0xB4 ? 86C4DBF8
INT 0xB4 ? 86C4DBF8

---- Kernel code sections - GMER 1.0.14 ----

? spyv.sys Das System kann die angegebene Datei nicht finden. !
.text USBPORT.SYS!DllUnload F63098AC 5 Bytes JMP 86C4D1D8

---- User code sections - GMER 1.0.14 ----

.text C:\Programme\Internet Explorer\iexplore.exe[3112] USER32.dll!DialogBoxParamW 7E3747AB 5 Bytes JMP 444DF301 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3112] USER32.dll!DialogBoxIndirectParamW 7E382072 5 Bytes JMP 4467179F C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3112] USER32.dll!MessageBoxIndirectA 7E38A082 5 Bytes JMP 44671720 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3112] USER32.dll!DialogBoxParamA 7E38B144 5 Bytes JMP 44671764 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3112] USER32.dll!MessageBoxExW 7E3A0838 5 Bytes JMP 446716AC C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3112] USER32.dll!MessageBoxExA 7E3A085C 5 Bytes JMP 446716E6 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3112] USER32.dll!DialogBoxIndirectParamA 7E3A6D7D 5 Bytes JMP 446717DA C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3112] USER32.dll!MessageBoxIndirectW 7E3B64D5 5 Bytes JMP 445016B6 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

---- Devices - GMER 1.0.14 ----

Device \FileSystem\Ntfs \Ntfs 8716B1F8

AttachedDevice \FileSystem\Ntfs \Ntfs SiWinAcc.sys (Windows Accelerator Driver/Silicon Image, Inc.)

Device \Driver\usbohci \Device\USBPDO-0 86C4C1F8
Device \Driver\usbohci \Device\USBPDO-1 86C4C1F8
Device \Driver\usbehci \Device\USBPDO-2 86C991F8
Device \Driver\Ftdisk \Device\HarddiskVolume1 871DA1F8
Device \Driver\Ftdisk \Device\HarddiskVolume2 871DA1F8
Device \Driver\Cdrom \Device\CdRom0 867E72C8
Device \FileSystem\Rdbss \Device\FsWrap 86AF7CF8
Device \Driver\Ftdisk \Device\HarddiskVolume3 871DA1F8
Device \Driver\Cdrom \Device\CdRom1 867E72C8
Device \Driver\atapi \Device\Ide\IdePort0 867ED290
Device \Driver\atapi \Device\Ide\IdePort1 867ED290
Device \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-3 867ED290
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-e 867ED290
Device \Driver\usbstor \Device\00000074 86A19500
Device \Driver\NetBT \Device\NetBT_Tcpip_{DAED2C14-9B68-4453-A754-F32FB0CF7032} 8690C500
Device \Driver\NetBT \Device\NetBt_Wins_Export 8690C500
Device \Driver\usbstor \Device\00000078 86A19500
Device \Driver\NetBT \Device\NetbiosSmb 8690C500
Device \Driver\usbstor \Device\00000079 86A19500
Device \FileSystem\Srv \Device\LanmanServer 86A89320
Device \Driver\usbohci \Device\USBFDO-0 86C4C1F8
Device \Driver\usbstor \Device\0000007a 86A19500
Device \Driver\usbohci \Device\USBFDO-1 86C4C1F8
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 8688E500
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 86AFBD28
Device \Driver\usbstor \Device\0000007b 86A19500
Device \Driver\usbehci \Device\USBFDO-2 86C991F8
Device \FileSystem\MRxSmb \Device\LanmanRedirector 8688E500
Device \FileSystem\MRxSmb \Device\LanmanRedirector 86AFBD28
Device \Driver\usbstor \Device\0000007c 86A19500
Device \FileSystem\Npfs \Device\NamedPipe 86B797A8
Device \Driver\Ftdisk \Device\FtControl 871DA1F8
Device \FileSystem\Msfs \Device\Mailslot 8675A910
Device \Driver\Si3112r \Device\Scsi\Si3112r2Port3Path0Target0Lun0 871D91F8
Device \Driver\vax347s \Device\Scsi\vax347s1 8683CC08
Device \Driver\Si3112r \Device\Scsi\Si3112r1 871D91F8
Device \Driver\Si3112r \Device\Scsi\Si3112r2 871D91F8
Device \Driver\vax347s \Device\Scsi\vax347s1Port4Path0Target0Lun0 8683CC08
Device \FileSystem\Fs_Rec \FileSystem\UdfsCdRomRecognizer 869FE260
Device \FileSystem\Fs_Rec \FileSystem\FatCdRomRecognizer 869FE260
Device \FileSystem\Fs_Rec \FileSystem\CdfsRecognizer 869FE260
Device \FileSystem\Fs_Rec \FileSystem\FatDiskRecognizer 869FE260
Device \FileSystem\Fs_Rec \FileSystem\UdfsDiskRecognizer 869FE260
Device \FileSystem\Cdfs \Cdfs 86B38500
Device \FileSystem\Cdfs \Cdfs 86A380D0

---- Modules - GMER 1.0.14 ----

Module _________ F72E6000-F72FE000 (98304 bytes)

---- Registry - GMER 1.0.14 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x03 0x85 0x79 0xB2 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\vax347s\Config\jdgg40
Reg HKLM\SYSTEM\CurrentControlSet\Services\vax347s\Config\jdgg40@ujdew 0x20 0x02 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\vax347s\Config\jdgg40@ljej40 0x16 0xFB 0x86 0x17 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\vax347s\Config\jdgg40@ljej41 0xB6 0xFA 0x55 0x3D ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\vax347s\Config\jdgg40@ljej42 0xB2 0xFA 0x13 0x4E ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\vax347s\Config\jdgg40@ljej43 0xBE 0xFA 0x50 0x88 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\vax347s\Config\jdgg40@ljej44 0xBA 0xFA 0x46 0xA9 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\vax347s\Config\jdgg40@ljej45 0xA6 0xFA 0x2B 0xB7 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\vax347s\Config\jdgg40@ljej46 0xA2 0xFA 0x0F 0x5B ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\vax347s\Config\jdgg40@ljej47 0xAD 0xFA 0x0A 0xD9 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\vax347s\Config\jdgg40@ljej48 0xA9 0xFA 0x06 0x26 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\vax347s\Config\jdgg40@ljej49 0x94 0xFA 0xC3 0x61 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x03 0x85 0x79 0xB2 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 0
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x03 0x85 0x79 0xB2 ...
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{E9F81423-211E-46B6-9AE0-38568BC5CF6F}@DisplayName Alcohol 120% (Trial Version)
Reg HKLM\SOFTWARE\Classes\Installer\Products\32418F9EE1126B64A90E8365B85CFCF6@ProductName Alcohol 120% (Trial Version)

Zitat

Bitdefender
BitDefender Online Scanner

Scan report generated at: Fri, Nov 28, 2008 - 09:22:06
Scan path: C:\;D:\;E:\;F:\;G:\;H:\;I:\;J:\;K:\;L:\;


Statistics

Time - 03:08:45
Files - 505543
Folders - 15423
Boot Sectors - 0
Archives - 4414
Packed Files - 42143


Results
Identified Viruses - 2
Infected Files - 5
Suspect Files - 0
Warnings - 0
Disinfected
Deleted Files - 5

Engines Info
Virus Definitions
2269301

Engine build
AVCORE v1.7 (build 8314.19) (i386) (Sep 29 2008 17:19:14)

Scan plugins - 16
Archive plugins - 43
Unpack plugins - 7
E-mail plugins - 6
System plugins - 4




Scan Settings

First Action - Disinfect
Second Action - Delete
Heuristics - Yes
Enable Warnings - Yes
Scanned Extensions *;
Exclude Extensions
Scan Emails - Yes
Scan Archives - Yes
Scan Packed - Yes
Scan Files - Yes
Scan Boot - Yes


Scanned File

C:\Downloads\Directlinks\Sims.2_Complete_All_Addons_Multi\Sims.2_Complete_All_Addons_Multi\The.Sims.2_Glamour_Life_Stuff\Razor1911\Keygen.exe
Infected with: Backdoor.Hupigon.91538

C:\Downloads\Directlinks\Sims.2_Complete_All_Addons_Multi\Sims.2_Complete_All_Addons_Multi\The.Sims.2_Glamour_Life_Stuff\Razor1911\Keygen.exe
Deleted

C:\Downloads\Directlinks\Sims.2_Complete_All_Addons_Multi\Sims.2_Complete_All_Addons_Multi\The.Sims.2_Glamour_Life_Stuff\The_Sims_2_Glamour_Life_Stuff_Addon.iso=>Razor1911/Keygen.exe
Infected with: Backdoor.Hupigon.91538

C:\Downloads\Directlinks\Sims.2_Complete_All_Addons_Multi\Sims.2_Complete_All_Addons_Multi\The.Sims.2_Glamour_Life_Stuff\The_Sims_2_Glamour_Life_Stuff_Addon.iso=>Razor1911/Keygen.exe
Deleted

C:\Downloads\Directlinks\Sims.2_Complete_All_Addons_Multi\Sims.2_Complete_All_Addons_Multi\The.Sims.2_Glamour_Life_Stuff\The_Sims_2_Glamour_Life_Stuff_Addon.iso
Update failed

C:\System Volume Information\_restore{B3E37E0C-7E45-49B3-9CF2-AC996055B2B5}\RP5\A0003487.exe
Infected with: Backdoor.Hupigon.91538

C:\System Volume Information\_restore{B3E37E0C-7E45-49B3-9CF2-AC996055B2B5}\RP5\A0003487.exe
Deleted

F:\Programme\RSD_0.535_Cap6\RSD 0.535 Cap6\Plugins\YCPlugins\safe.dll
Infected with: Trojan.Agent.AKTN

F:\Programme\RSD_0.535_Cap6\RSD 0.535 Cap6\Plugins\YCPlugins\safe.dll
Deleted

F:\System Volume Information\_restore{B3E37E0C-7E45-49B3-9CF2-AC996055B2B5}\RP5\A0003507.dll
Infected with: Trojan.Agent.AKTN

F:\System Volume Information\_restore{B3E37E0C-7E45-49B3-9CF2-AC996055B2B5}\RP5\A0003507.dll
Deleted


BitDefender Online Scanner - Real Time Virus Report
Generated at: Fri, Nov 28, 2008 - 09:23:20
---------------------------------------------------------------------

Scan Info

Scanned Files - 521108
Infected Files - 5


Virus Detected
Trojan.Agent.AKTN - 2
Backdoor.Hupigon.91538 - 3

---------------------------------------------------------------------
This summary of the scan process will be used by the BitDefender Antivirus Lab to create agregate statistics about virus activity around the world.

#7 Wenn man Keygens runterläd, dann muss man damit rechnen, dass man sich schädliches mitläd.


>>
Lade bitte SDfix, wende es im abgesicherten Modus an + poste hier den Report, der nach Neustart erscheint
http://virus-protect.org/artikel/tools/sdfix.html

>>
Post ein neues Log von Combofix.

Gruss Swiss

#8 Ja ich weiß leider hat das meine freundin nur zu spät gemerkt. na ja jetzt weiß sie es besser... hier die logs

Zitat

SDfix


SDFix: Version 1.240
Run by JuLeZ on 28.11.2008 at 18:47

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\Dokumente und Einstellungen\JuLeZ\Desktop\SDFix\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files :

No Trojan Files Found






Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-28 19:04:46
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:2df9c43f
"s2"=dword:110480d0
"h0"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"h0"=dword:00000000
"ujdew"=hex:03,85,79,b2,55,9c,29,13,82,c0,11,57,0a,dc,26,7f,6f,68,d8,8d,49,..
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vax347s\Config\jdgg40]
"ujdew"=hex:20,02,00,00,24,b9,54,4e,a6,f8,78,f9,b4,c9,39,c2,ae,dc,a2,0d,c4,..
"ljej40"=hex:1e,81,fd,22,0b,95,2f,b6,a3,a3,b5,79,50,f2,0b,be,f8,7d,b9,f0,c3,..
"ljej41"=hex:be,80,2e,08,61,94,50,99,a0,a3,a8,4d,53,f2,ca,86,fa,7d,d5,cd,ed,..
"ljej42"=hex:ba,80,68,7b,65,94,f2,e8,a4,a3,ab,1d,57,f2,5f,d7,fe,7d,a7,9d,e9,..
"ljej43"=hex:b6,80,2b,bd,69,94,96,12,a8,a3,8b,d1,5b,f2,2f,13,f2,7d,27,41,e5,..
"ljej44"=hex:b2,80,3d,9c,6d,94,e3,74,ac,a3,a2,be,5f,f2,64,75,f6,7d,72,3f,e1,..
"ljej45"=hex:ae,80,50,82,71,94,91,12,b0,a3,b9,d0,43,f2,40,13,ea,7d,e5,41,fd,..
"ljej46"=hex:aa,80,74,6e,75,94,a7,e6,b4,a3,c3,2d,47,f2,60,e6,ee,7d,d1,ac,f9,..
"ljej47"=hex:a5,80,71,ec,7a,94,00,64,bb,a3,76,ac,48,f2,9f,67,e1,7d,e9,2d,f6,..
"ljej48"=hex:a1,80,7d,13,7e,94,11,83,bf,a3,67,41,4c,f2,6c,82,e5,7d,9b,b0,f2,..
"ljej49"=hex:9c,80,b8,54,43,94,c5,cf,82,a3,18,04,71,f2,d0,3e,d8,7d,95,74,cf,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"h0"=dword:00000000
"ujdew"=hex:03,85,79,b2,55,9c,29,13,82,c0,11,57,0a,dc,26,7f,6f,68,d8,8d,49,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"h0"=dword:00000000
"ujdew"=hex:03,85,79,b2,55,9c,29,13,82,c0,11,57,0a,dc,26,7f,6f,68,d8,8d,49,..

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{E9F81423-211E-46B6-9AE0-38568BC5CF6F}]
"DisplayName"="Alcohol 120% (Trial Version)"

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\WINDOWS\\system32\\usmt\\migwiz.exe"="C:\\WINDOWS\\system32\\usmt\\migwiz.exe:*:Enabled:Assistent zum šbertragen von Dateien und Einstellungen"
"C:\\Programme\\Steam\\SteamApps\\xxjulezxx\\counter-strike source\\hl2.exe"="C:\\Programme\\Steam\\SteamApps\\xxjulezxx\\counter-strike source\\hl2.exe:*:Enabled:hl2"
"C:\\Programme\\Steam\\SteamApps\\xxjulezxx\\counter-strike\\hl.exe"="C:\\Programme\\Steam\\SteamApps\\xxjulezxx\\counter-strike\\hl.exe:*:Enabled:Half-Life Launcher"
"C:\\Programme\\Mozilla Firefox\\firefox.exe"="C:\\Programme\\Mozilla Firefox\\firefox.exe:*:Enabled:Firefox"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Programme\\ICQ6\\ICQ.exe"="C:\\Programme\\ICQ6\\ICQ.exe:*:Enabled:ICQ6"
"C:\\Programme\\mIRC\\mirc.exe"="C:\\Programme\\mIRC\\mirc.exe:*:Enabled:mIRC"
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"="C:\\Programme\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"C:\\Programme\\Zattoo\\zattood.exe"="C:\\Programme\\Zattoo\\zattood.exe:*:Enabled:zattood"
"C:\\Programme\\Zattoo\\Zattoo2.exe"="C:\\Programme\\Zattoo\\Zattoo2.exe:*:Enabled: "
"C:\\Programme\\Bonjour\\mDNSResponder.exe"="C:\\Programme\\Bonjour\\mDNSResponder.exe:*:Enabled:Bonjour"
"C:\\Programme\\SmartFTP Client\\SmartFTP.exe"="C:\\Programme\\SmartFTP Client\\SmartFTP.exe:*:Enabled:SmartFTP Client 3.0"
"C:\\Programme\\Zattoo\\Zattoo.exe"="C:\\Programme\\Zattoo\\Zattoo.exe:*:Enabled: "

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\Gemeinsame Dateien\\aol\\ACS\\AOLDial.exe"="C:\\Programme\\Gemeinsame Dateien\\aol\\ACS\\AOLDial.exe:*:Enabled:AOL"
"C:\\Programme\\Gemeinsame Dateien\\aol\\ACS\\AOLacsd.exe"="C:\\Programme\\Gemeinsame Dateien\\aol\\ACS\\AOLacsd.exe:*:Enabled:AOL"
"C:\\Programme\\AOL 9.0\\waol.exe"="C:\\Programme\\AOL 9.0\\waol.exe:*:Enabled:AOL 9.0"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"="C:\\Programme\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

Remaining Files :



Files with Hidden Attributes :

Wed 20 Feb 2008 4,348 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\DRMv1.bak"
Thu 21 Feb 2008 0 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\Cache\Indiv02.tmp"
Sat 25 Oct 2008 888 ...HR --- "C:\Dokumente und Einstellungen\JuLeZ\Anwendungsdaten\SecuROM\UserData\securom_v7_01.bak"

Finished!

Zitat

ComboFix
ComboFix 08-11-27.07 - JuLeZ 2008-11-28 19:19:22.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.633 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\JuLeZ\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((( Dateien erstellt von 2008-10-28 bis 2008-11-28 ))))))))))))))))))))))))))))))
.

2008-11-28 18:46 . 2008-11-28 18:46 580,096 --a--c--- c:\windows\system32\dllcache\user32.dll
2008-11-28 18:42 . 2008-11-28 18:42 <DIR> d-------- c:\windows\ERUNT
2008-11-28 09:31 . 2008-11-28 09:32 250 --a------ c:\windows\gmer.ini
2008-11-26 20:58 . 2008-11-26 20:58 <DIR> d-------- c:\programme\Cake Mania 3
2008-11-23 07:30 . 2008-11-23 07:30 <DIR> d-------- c:\dokumente und einstellungen\JuLeZ\Anwendungsdaten\Apple Computer
2008-11-22 23:04 . 2008-11-28 06:13 <DIR> d-------- c:\windows\BDOSCAN8
2008-11-22 19:07 . 2008-11-22 19:07 5,208 --a------ c:\windows\system32\pid.PNF
2008-11-22 18:57 . 2008-11-22 18:57 <DIR> d-------- c:\dokumente und einstellungen\JuLeZ\Anwendungsdaten\Thinstall
2008-11-22 18:52 . 2008-11-22 18:53 <DIR> d-------- c:\programme\XP_Key_Changer
2008-11-22 18:52 . 2008-02-21 01:12 36,864 --a------ c:\windows\system32\MD5.ocx
2008-11-22 17:46 . 2008-11-22 17:46 <DIR> d-------- c:\dokumente und einstellungen\JuLeZ\Deskto
2008-11-22 09:21 . 2008-11-22 09:21 <DIR> d-------- c:\programme\picture-shark
2008-11-22 07:11 . 2008-11-22 07:11 279,144 --a------ c:\dokumente und einstellungen\JuLeZ\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2008-11-20 17:34 . 2008-11-20 17:34 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2008-11-20 17:34 . 2008-11-20 17:34 <DIR> d-------- c:\dokumente und einstellungen\JuLeZ\Anwendungsdaten\Malwarebytes
2008-11-20 17:34 . 2008-11-20 17:34 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-11-20 17:34 . 2008-10-22 16:10 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2008-11-20 17:34 . 2008-10-22 16:10 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2008-11-20 15:23 . 2008-11-20 15:23 <DIR> d-------- c:\programme\Trend Micro
2008-11-15 08:26 . 2008-11-15 08:26 <DIR> d-------- c:\dokumente und einstellungen\JuLeZ\Anwendungsdaten\Jane s Hotel
2008-11-13 08:17 . 2008-11-13 08:17 <DIR> d-------- c:\dokumente und einstellungen\JuLeZ\Anwendungsdaten\iWin
2008-11-13 08:17 . 2008-11-13 08:17 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\iWin
2008-11-13 03:25 . 2008-11-13 03:25 1,393 --a------ c:\windows\imsins.BAK
2008-11-13 03:24 . 2008-11-13 03:24 <DIR> d-------- c:\programme\MSXML 4.0
2008-11-13 00:13 . 2008-09-04 18:15 1,106,944 -----c--- c:\windows\system32\dllcache\msxml3.dll
2008-11-13 00:13 . 2008-10-24 12:21 455,296 -----c--- c:\windows\system32\dllcache\mrxsmb.sys
2008-11-10 23:03 . 2008-11-10 23:03 <DIR> d-------- c:\dokumente und einstellungen\JuLeZ\Anwendungsdaten\PlayFirst_DressUpRush
2008-11-10 12:51 . 2008-11-13 08:43 <DIR> d-------- c:\programme\iWin.com
2008-11-10 11:35 . 2008-11-10 11:35 <DIR> d-------- c:\dokumente und einstellungen\JuLeZ\Anwendungsdaten\SpinTop
2008-11-09 22:37 . 2008-11-09 22:37 <DIR> d-------- c:\programme\Build-a-lot 2 Town of the Year
2008-11-09 21:01 . 2008-11-10 19:11 <DIR> d-------- c:\programme\Gamenext
2008-11-09 20:43 . 2008-11-09 20:49 <DIR> d-------- c:\programme\Kabel eins Games
2008-11-09 20:32 . 2008-11-09 20:35 <DIR> d-------- c:\programme\o2 Games
2008-11-08 21:42 . 2008-11-08 21:42 <DIR> d-------- c:\programme\Gemeinsame Dateien\DVDVideoSoft
2008-11-08 21:42 . 2008-11-08 21:42 <DIR> d-------- c:\programme\DVDVideoSoft
2008-11-08 21:42 . 2008-11-08 21:42 <DIR> d-------- C:\DVDVideoSoft
2008-11-08 21:22 . 2008-11-09 16:16 <DIR> d-------- c:\programme\Sat1 Spiele
2008-11-08 21:22 . 2008-11-08 21:22 <DIR> d-------- c:\programme\Oberon Media
2008-11-07 21:21 . 2008-11-07 21:21 <DIR> d-------- c:\programme\Gemeinsame Dateien\Oberon Media
2008-11-07 21:21 . 2008-11-10 19:14 <DIR> d-------- c:\programme\Acer GameZone
2008-11-07 15:20 . 2008-11-10 19:14 <DIR> d-------- c:\programme\Jojos Fashion Show
2008-11-07 14:01 . 2008-11-07 14:01 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\BOONTY
2008-11-07 14:00 . 2008-11-07 14:00 <DIR> d-------- c:\programme\Gemeinsame Dateien\BOONTY Shared
2008-11-07 13:58 . 2008-11-07 15:19 <DIR> d-------- c:\programme\BoontyGames
2008-11-07 13:58 . 2008-11-07 13:58 <DIR> d-------- c:\programme\Boonty
2008-11-06 13:25 . 2008-11-06 13:25 <DIR> d-------- c:\dokumente und einstellungen\JuLeZ\Anwendungsdaten\Zylom

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-27 22:22 --------- d-----w c:\programme\PSFtp Free
2008-11-26 19:06 --------- d-----w c:\programme\ThumbsPlus 7x deutsch
2008-11-26 00:55 --------- d-----w c:\programme\Image Grabber II
2008-11-17 21:20 --------- d-----w c:\dokumente und einstellungen\JuLeZ\Anwendungsdaten\Oberon Games
2008-11-17 21:20 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Oberon Games
2008-11-17 11:32 --------- d-----w c:\dokumente und einstellungen\JuLeZ\Anwendungsdaten\PlayFirst
2008-11-17 11:32 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\PlayFirst
2008-11-17 11:31 --------- d---a-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2008-11-17 11:11 --------- d-----w c:\programme\bfgclient
2008-11-17 11:10 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\BigFishGamesCache
2008-11-10 11:53 --------- d-----w c:\dokumente und einstellungen\JuLeZ\Anwendungsdaten\Gamelab
2008-11-07 12:46 --------- d-----w c:\programme\Silkroad
2008-11-07 12:44 --------- d-----w c:\programme\Zylom Games
2008-11-02 22:28 --------- d-----w c:\programme\DivX
2008-11-01 01:15 --------- d-----w c:\dokumente und einstellungen\JuLeZ\Anwendungsdaten\dvdcss
2008-10-27 19:30 --------- d-----w c:\dokumente und einstellungen\JuLeZ\Anwendungsdaten\BeachPartyCraze
2008-10-24 11:21 455,296 ----a-w c:\windows\system32\drivers\mrxsmb.sys
2008-10-22 19:01 --------- d-----w c:\dokumente und einstellungen\JuLeZ\Anwendungsdaten\SulusGames
2008-10-17 11:53 --------- d-----w c:\dokumente und einstellungen\JuLeZ\Anwendungsdaten\SmartFTP
2008-10-17 10:24 --------- d-----w c:\programme\SmartFTP Client
2008-10-17 10:23 --------- d-----w c:\programme\SmartFTP Client 3.0 Setup Files
2008-10-16 22:41 --------- d-----w c:\programme\FormatFactory
2008-10-16 22:34 --------- d-----w c:\programme\Basement Softworks
2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll
2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll
2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll
2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll
2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll
2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe
2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll
2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2(2).dll
2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll
2008-10-16 13:06 268,648 ----a-w c:\windows\system32\mucltui.dll
2008-10-16 13:06 208,744 ----a-w c:\windows\system32\muweb.dll
2008-10-14 20:12 --------- d--h--w c:\programme\InstallShield Installation Information
2008-10-14 20:12 --------- d-----w c:\dokumente und einstellungen\JuLeZ\Anwendungsdaten\Desperate Housewives
2008-10-14 15:22 --------- d-----w c:\programme\eRightSoft
2008-10-13 17:17 --------- d-----w c:\programme\QuickTime
2008-10-13 17:17 --------- d-----w c:\programme\Gemeinsame Dateien\Apple
2008-10-13 17:17 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer
2008-10-13 17:16 --------- d-----w c:\programme\Apple Software Update
2008-10-13 17:16 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple
2008-10-12 20:13 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\FLEXnet
2008-10-12 20:09 --------- d-----w c:\programme\Gemeinsame Dateien\Adobe
2008-10-12 20:09 --------- d-----w c:\programme\Bonjour
2008-10-11 16:50 --------- d-----w c:\dokumente und einstellungen\JuLeZ\Anwendungsdaten\vlc
2008-10-07 19:10 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\VirtualFarm
2008-10-05 18:52 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Fitn17
2008-10-05 10:13 --------- d-----w c:\dokumente und einstellungen\JuLeZ\Anwendungsdaten\My Games
2008-10-02 19:13 --------- d-----w c:\dokumente und einstellungen\JuLeZ\Anwendungsdaten\EleFun Games
2008-09-30 15:43 1,286,152 ----a-w c:\windows\system32\msxml4.dll
2008-09-29 19:26 --------- d-----w c:\dokumente und einstellungen\JuLeZ\Anwendungsdaten\Alawar
2008-09-29 18:43 --------- d-----w c:\dokumente und einstellungen\JuLeZ\Anwendungsdaten\Canon
2008-09-29 18:34 --------- d-----w c:\dokumente und einstellungen\JuLeZ\Anwendungsdaten\ArcSoft
2008-09-29 18:29 --------- d-----w c:\programme\ArcSoft
2008-09-19 21:55 200,704 ----a-w c:\windows\system32\ssldivx.dll
2008-09-19 21:55 1,044,480 ----a-w c:\windows\system32\libdivx.dll
2008-09-15 15:24 1,846,528 ----a-w c:\windows\system32\win32k.sys
2008-09-14 08:58 499,712 ----a-w c:\windows\system32\msvcp71.dll
2008-09-14 08:58 348,160 ----a-w c:\windows\system32\msvcr71.dll
2008-09-10 01:13 1,307,648 ----a-w c:\windows\system32\msxml6.dll
2008-09-08 08:32 2,104 ----a-w c:\windows\system32\ealregsnapshot1.reg
2008-09-07 22:38 107,888 ----a-w c:\windows\system32\CmdLineExt.dll
2008-09-04 17:15 1,106,944 ----a-w c:\windows\system32\msxml3.dll
2008-04-28 17:26 156,154 ----a-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\firstlsp.reg.dat
2008-02-26 22:53 0 ----a-w c:\programme\temp01
2007-10-23 14:15 396 ----a-w c:\dokumente und einstellungen\JuLeZ\Anwendungsdaten\wklnhst.dat
2008-06-21 10:30 32,768 --sha-w c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008062120080622\index.dat
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-09-17 8491008]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-09-17 81920]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-18 266497]
"itype"="c:\programme\Microsoft IntelliType Pro\itype.exe" [2007-08-31 988584]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-09-14 185896]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2008-09-06 413696]
"nwiz"="nwiz.exe" [2007-09-17 c:\windows\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.I420"= i420vfw.dll

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"CTFMON.EXE"=c:\windows\system32\ctfmon.exe
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" /background

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\usmt\\migwiz.exe"=
"c:\\Programme\\Steam\\SteamApps\\xxjulezxx\\counter-strike source\\hl2.exe"=
"c:\\Programme\\Steam\\SteamApps\\xxjulezxx\\counter-strike\\hl.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\ICQ6\\ICQ.exe"=
"c:\\Programme\\mIRC\\mirc.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Programme\\Zattoo\\zattood.exe"=
"c:\\Programme\\Zattoo\\Zattoo2.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\SmartFTP Client\\SmartFTP.exe"=
"c:\\Programme\\Zattoo\\Zattoo.exe"=

R0 Si3112r;ATI-437A Serial ATA Controller;c:\windows\system32\DRIVERS\SI3112r.sys [2005-05-04 97920]
R2 acedrv11;acedrv11;\??\c:\windows\system32\drivers\acedrv11.sys [2008-01-23 501560]
S2 P0250BUK;Creative PC-CAM 550 (Still);c:\windows\system32\Drivers\p0250Buk.sys []
S3 avmeject;AVM Eject;c:\windows\system32\drivers\avmeject.sys [2007-12-30 4352]
S3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\DRIVERS\fwlanusb.sys [2007-12-30 265088]
S3 HIDKbFlt;Dritek USB Keyboard HID Filter;c:\windows\system32\drivers\HIDKbFlt.sys [2004-12-14 21120]
S3 P0250VID;Creative PC-CAM 550 (Video);c:\windows\system32\DRIVERS\p0250v2k.sys []
S3 RTLWUSB;802.11g USB2.0 WLAN Dongle;c:\windows\system32\DRIVERS\RTL8187.sys []
S3 SjyPkt;SjyPkt;\??\c:\windows\System32\Drivers\SjyPkt.sys []
S3 w200bus;Sony Ericsson W200 driver (WDM);c:\windows\system32\DRIVERS\w200bus.sys [2008-07-26 61504]
S3 w200mdfl;Sony Ericsson W200 USB WMC Modem Filter;c:\windows\system32\DRIVERS\w200mdfl.sys [2008-07-26 9328]
S3 w200mdm;Sony Ericsson W200 USB WMC Modem Driver;c:\windows\system32\DRIVERS\w200mdm.sys [2008-07-26 97056]
S3 w200mgmt;Sony Ericsson W200 USB WMC Device Management Drivers (WDM);c:\windows\system32\DRIVERS\w200mgmt.sys [2008-07-26 88560]
S3 w200obex;Sony Ericsson W200 USB WMC OBEX Interface;c:\windows\system32\DRIVERS\w200obex.sys [2008-07-26 86368]
S4 Contoxpmmnpv;Contoxpmmnpv; []

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c1b46972-b8b1-11dd-a62f-00055d4f6abf}]
\Shell\AutoRun\command - M:\setup.exe

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{EA0FCA4F-891F-6CBF-DFE2-8A56A5DC5CFE}]
c:\windows\system32:wupdate.exe
.
Inhalt des "geplante Tasks" Ordners

2008-11-08 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
.
.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - c:\dokumente und einstellungen\JuLeZ\Anwendungsdaten\Mozilla\Firefox\Profiles\mvh1qcbm.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.google.de/firefox?client=firefox-a&rls=org.mozilla:de:official
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-28 19:22:26
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-11-28 19:23:54
ComboFix-quarantined-files.txt 2008-11-28 18:23:43
ComboFix2.txt 2008-11-20 19:32:58

Vor Suchlauf: 22 Verzeichnis(se), 61.916.770.304 Bytes frei
Nach Suchlauf: 22 Verzeichnis(se), 61,966,917,632 Bytes frei

211 --- E O F --- 2008-11-13 02:26:43

#9 ADSSpy - anwenden
http://virus-protect.org/artikel/tools/ADSSpy.exe

- Quick scan
- Ignore system info data streams
- Calculate MD5 checksums of streams' contents

wenn der scan beendet ist, klicke mit der rechten Maustaste auf das Fenster
Save scan results to disk