Silentbanker hat sich eingenistet

#1 Nach einer Aktualisierung von Antivir meldetet dieses ,das sich der Silentbanker eingenistet habe. Nachdem ich Malwarebytes drüberlaufen lies und 12 Infizierungen löschen lies, habe ich Cobofix aufgeführt.
Hier der Log:

Zitat

Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.416 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Kevin\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\All Users\Startmenü\Programme\Antivirus XP 2008
c:\dokumente und einstellungen\All Users\Startmenü\Programme\Antivirus XP 2008\How to Register Antivirus XP 2008.lnk

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_HDUSB


((((((((((((((((((((((( Dateien erstellt von 2008-10-28 bis 2008-11-30 ))))))))))))))))))))))))))))))
.

2008-11-30 05:11 . 2008-11-30 05:11 250 --a------ c:\windows\gmer.ini
2008-10-19 08:42 . 2008-10-19 08:42 <DIR> d-------- c:\programme\gs
2008-10-19 08:42 . 2008-10-19 08:42 43 --a------ c:\windows\gswin32.ini
2008-10-19 08:34 . 2008-10-19 08:34 <DIR> d-------- c:\programme\XnView
2008-10-19 08:34 . 2008-10-19 08:46 <DIR> d-------- c:\dokumente und einstellungen\Kevin\Anwendungsdaten\XnView
2008-10-19 08:29 . 2008-10-19 08:29 <DIR> dr------- C:\UDC Output Files
2008-10-19 08:29 . 2008-10-19 08:29 <DIR> d-------- c:\programme\Universal Document Converter
2008-10-19 08:29 . 2008-04-04 17:07 5,632 --a------ c:\windows\system32\udcpm.dll
2008-10-19 08:15 . 2008-10-19 08:20 <DIR> d-------- c:\dokumente und einstellungen\Kevin\Anwendungsdaten\gtk-2.0
2008-10-19 08:13 . 2008-10-19 08:13 <DIR> d-------- c:\dokumente und einstellungen\Kevin\.thumbnails
2008-10-19 08:12 . 2008-10-28 20:38 <DIR> d-------- c:\dokumente und einstellungen\Kevin\.gimp-2.6
2008-10-19 08:12 . 2008-10-19 08:12 <DIR> d-------- c:\dokumente und einstellungen\Kevin\.gegl-0.0
2008-10-19 08:11 . 2008-10-19 08:11 <DIR> d-------- c:\programme\Gimp-2.0

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-30 08:54 --------- d-----w c:\programme\Malwarebytes' Anti-Malware
2008-11-26 22:01 --------- d-----w c:\dokumente und einstellungen\Kevin\Anwendungsdaten\VideoReDoPlus
2008-11-26 21:59 --------- d-----w c:\programme\ICQToolbar
2008-11-26 05:47 --------- d---a-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2008-10-22 15:10 38,496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2008-10-22 15:10 15,504 ----a-w c:\windows\system32\drivers\mbam.sys
2008-09-30 16:51 --------- d-----w c:\programme\ICQ6
2007-12-31 22:25 160 ----a-w c:\dokumente und einstellungen\Kevin\Anwendungsdaten\wklnhst.dat
2006-06-15 19:33 233,472 ----a-w c:\programme\mozilla firefox\plugins\CrazyTalk4Native.dll
2006-05-25 17:43 204,895 ----a-w c:\programme\mozilla firefox\plugins\ctdomemhelper.dll
2005-09-29 13:41 77,824 ----a-w c:\programme\mozilla firefox\plugins\ctframeplayerobject.dll
2006-06-19 12:10 426,081 ----a-w c:\programme\mozilla firefox\plugins\ctplayerobject.dll
2005-02-02 11:19 458,752 ----a-w c:\programme\mozilla firefox\plugins\imagickrt.dll
2006-04-10 17:35 139,264 ----a-w c:\programme\mozilla firefox\plugins\rlcontentclass.dll
2005-11-09 10:10 204,800 ----a-w c:\programme\mozilla firefox\plugins\RLMusicPacker.dll
2005-11-09 10:42 106,496 ----a-w c:\programme\mozilla firefox\plugins\RLMusicUnpacker.dll
2006-01-04 10:22 212,992 ----a-w c:\programme\mozilla firefox\plugins\RLVoicePacker.dll
2006-01-04 10:21 167,936 ----a-w c:\programme\mozilla firefox\plugins\RLVoiceUnpacker.dll
2007-12-28 18:42 80 --sh--r c:\windows\CT4CET.bin
2006-05-03 09:06 163,328 --sh--r c:\windows\system32\flvDX.dll
2007-02-21 10:47 31,232 --sh--r c:\windows\system32\msfDX.dll
2008-03-16 12:30 216,064 --sh--r c:\windows\system32\nbDX.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="c:\windows\ehome\ehtray.exe" [2005-08-05 64512]
"ATIMACE"="c:\programme\ATI Technologies\ATI.ACE\MACE.exe" [2006-01-04 81920]
"ATICCC"="c:\programme\ATI Technologies\ATI.ACE\cli.exe" [2005-08-12 45056]
"AWatch"="c:\programme\FRITZ!DSL\Awatch.exe" [2003-06-10 507904]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-18 266497]
"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 144784]
"AOLDialer"="c:\programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe" [2007-06-21 70952]
"HostManager"="c:\programme\Gemeinsame Dateien\AOL\1212558516\ee\AOLSoftware.exe" [2006-09-26 50736]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2006-01-31 98304]
"SoundMan"="SOUNDMAN.EXE" [2005-11-11 c:\windows\soundman.exe]
"CHotkey"="mHotkey.exe" [2004-12-08 c:\windows\mHotkey.exe]
"ledpointer"="CNYHKey.exe" [2004-03-02 c:\windows\CNYHKey.exe]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-10 c:\windows\system32\bthprops.cpl]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-10 15360]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
Adobe Gamma Loader.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2008-06-02 0]
Adobe Reader - Schnellstart.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 29696]
AOL 9.0 Tray-Symbol.lnk - c:\programme\AOL 9.0\aoltray.exe [2008-06-03 156784]
Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 83360]
OfficeManager Terminerinnerung.lnk - c:\programme\DeTeMedien\Das Telefonbuch f�r Deutschland\OMAlarm.exe [2006-01-31 196608]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.I420"= i420vfw.dll
"wave1"= c_702021.nls
"wave2"= c_702021.nls
"mixer2"= c_702021.nls
"midi1"= c_702021.nls
"mixer1"= c_702021.nls
"VIDC.MJPG"= Pvmjpg30.dll
"msacm.divxa32"= DivXa32.acm
"msacm.l3codec"= L3codecp.acm
"45702052"= 36413745363236322

"45702041"= aaae36713f7d983e80a5113dbd

"aux1"= c_702021.nls
"aux2"= c_702021.nls
"midi2"= c_702021.nls
"45702071"= b092cb132d697d8fb619d8dc
"45702051"= 8f76b6d390f9e05f8db430

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"LaunchList"=c:\programme\Pinnacle\Studio 11\LaunchList2.exe
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" /background
"updateMgr"="c:\programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
"Creative Live! Cam Manager"="c:\programme\Creative\Creative Live! Cam\Live! Cam Manager\CTLCMgr.exe"
"ICQ"="c:\programme\ICQ6\ICQ.exe" silent
"NBJ"="c:\programme\Ahead\Nero BackItUp\NBJ.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"SMSERIAL"=sm56hlpr.exe
"RealTray"=c:\programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
"TomTomHOME.exe"="c:\programme\TomTom HOME\TomTomHOME.exe" -s
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" -atboottime
"AOLDialer"=c:\programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
"V0380Mon.exe"=c:\windows\V0380Mon.exe
"OODefragTray"=c:\windows\system32\oodtray.exe
"NeroFilterCheck"=c:\windows\system32\NeroCheck.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Gemeinsame Dateien\\aol\\Loader\\aolload.exe"=
"c:\\Programme\\Gemeinsame Dateien\\aol\\System Information\\sinf.exe"=
"r:\\Progs\\extreme\\emule.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"r:\\visiongs\\visiongs.exe"=
"q:\\ProgDVB\\ProgDVB.exe"=
"c:\\Programme\\Pinnacle\\Studio 11\\programs\\RM.exe"=
"c:\\Programme\\Pinnacle\\Studio 11\\programs\\Studio.exe"=
"c:\\Programme\\Pinnacle\\Studio 11\\programs\\PMSRegisterFile.exe"=
"c:\\Programme\\Pinnacle\\Studio 11\\programs\\umi.exe"=
"q:\\Programme\\DVBViewerTE\\ts_winlirc.exe"=
"r:\\Programme\\setup.exe"=
"c:\\Programme\\Real\\RealPlayer\\realplay.exe"=
"c:\\Programme\\Gemeinsame Dateien\\AOL\\ACS\\AOLDial.exe"=
"c:\\Programme\\Gemeinsame Dateien\\AOL\\ACS\\AOLAcsd.exe"=
"c:\\Programme\\AOL 9.0\\waol.exe"=
"c:\\Programme\\ICQ6\\ICQ.exe"=
"c:\\Programme\\Gemeinsame Dateien\\aol\\1212558516\\ee\\aolsoftware.exe"=
"r:\\extreme2\\emule.exe"=
"r:\\extreme 3\\emule.exe"=
"r:\\eMule0.49b-Mephisto_v2.1-bin\\emule.exe"=
"c:\\Programme\\ftp-uploader\\ftpuploader.exe"=
"c:\\Programme\\Malwarebytes' Anti-Malware\\mbam.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5900:UDP"= 5900:UDP:Vnc
"5800:TCP"= 5800:TCP:vnc2
"5500:TCP"= 5500:TCP:ultravnc
"5500:UDP"= 5500:UDP:ultraport
"5900:TCP"= 5900:TCPorti

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)

R0 sfdrv01a;StarForce Protection Environment Driver (version 1.x.a);c:\windows\system32\drivers\sfdrv01a.sys [2006-07-05 63352]
R1 HCW88AUD;Hauppauge WinTV 88x Audio Capture;c:\windows\system32\drivers\hcw88aud.sys [2006-01-31 11970]
R2 aadev;AVM ADSL Adapter Device;c:\windows\system32\DRIVERS\aadev.sys [2007-12-27 27648]
R3 AVMDSLPPPOE;AVM DSL PPPoE CAPI Treiber;c:\windows\system32\DRIVERS\avmdsloe.sys [2003-06-11 39552]
R3 AVMNDSL;AVM DSL NDIS WAN CAPI Treiber;c:\windows\system32\DRIVERS\avmndsl.sys [2003-06-11 38992]
R3 FDLUBASE;AVM FRITZ!Card DSL SL USB (WinXP/2000);c:\windows\system32\DRIVERS\fdlubase.sys [2003-06-11 659200]
R3 HCW88BDA;Hauppauge WinTV 88x DVB Tuner/Demod;c:\windows\system32\drivers\hcw88bda.sys [2006-01-31 138816]
R3 HCW88TSE;Hauppauge WinTV 88x MPEG/TS Capture;c:\windows\system32\drivers\hcw88tse.sys [2006-01-31 299715]
R3 HCW88TUNE;Hauppauge WinTV 88x Tuner;c:\windows\system32\drivers\hcw88tun.sys [2006-01-31 142913]
R3 hcw88vid;Hauppauge WinTV 88x Video;c:\windows\system32\drivers\hcw88vid.sys [2006-01-31 494144]
R3 HCW88XBAR;Hauppauge WinTV 88x Crossbar;c:\windows\system32\drivers\HCW88BAR.sys [2006-01-31 23104]
R3 IMT0521;Inmax USB IMT-0521 Smartcard Reader;c:\windows\system32\Drivers\IMT0521.sys [2006-01-30 34825]
R3 NETFWDSL;AVM FRITZ!web DSL PPP;c:\windows\system32\DRIVERS\NETFWDSL.SYS [2007-12-27 336384]
R3 RLDesignVirtualAudioCableWdm;Live! Cam Virtual;c:\windows\system32\DRIVERS\livecamv.sys [2007-12-28 31616]
R3 V0380Afx;Creative Camera VF0380 Audio Effects Driver;c:\windows\system32\DRIVERS\V0380Afx.sys [2007-12-28 142656]
R3 V0380Aud;Creative Camera VF0380 Noise Cancellation APO;c:\windows\system32\DRIVERS\V0380Aud.sys [2007-12-28 94976]
R3 V0380Dev;Creative Camera VF0380 Driver;c:\windows\system32\DRIVERS\V0380Vid.sys [2007-12-28 273152]
R3 V0380Vfx;Creative Camera VF0380 Video VFX Driver;c:\windows\system32\DRIVERS\V0380Vfx.sys [2007-12-28 7168]
R3 X10Hid;X10 Hid Device;c:\windows\system32\Drivers\x10hid.sys [2006-01-31 7040]
S0 pnhmcim;pnhmcim;c:\windows\system32\drivers\zboprwao.sys []
S3 SCR33X USB Smart Card Reader;SCR33X USB Smart Card Reader;c:\windows\system32\DRIVERS\SCR33X2K.sys [2006-01-30 63608]
S3 sea1bus;Sony Ericsson Device 0A1 driver (WDM);c:\windows\system32\DRIVERS\sea1bus.sys [2008-01-01 61536]
S4 Clrsbnnssru;Clrsbnnssru;c:\windows\system32\drivers\MPE.sys [2006-01-31 15360]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a73f7dfc-92e8-11da-97d5-806d6172696f}]
\Shell\AutoRun\command - F:\Setupx.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c0ca61f9-98b4-11da-af06-806d6172696f}]
\Shell\AutoRun\command - D:\Autorun.exe
.
Inhalt des "geplante Tasks" Ordners

2008-11-28 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2006\SystemOptimizer.exe [2005-08-03 06:29]
.
.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - c:\dokumente und einstellungen\Kevin\Anwendungsdaten\Mozilla\Firefox\Profiles\hxvcgzl9.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://start.icq.com/
FF -: plugin - c:\programme\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll
FF -: plugin - c:\programme\Mozilla Firefox\plugins\npRLCT4Player.dll
FF -: plugin - c:\programme\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-30 10:13:29
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...


c:\windows\system32\c_702021.nls 122880 bytes executable

Scan erfolgreich abgeschlossen
versteckte Dateien: 1

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(896)
c:\windows\system32\Ati2evxx.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\windows\system32\scardsvr.exe
c:\programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
c:\windows\system32\ati2evxx.exe
c:\programme\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\windows\system32\rundll32.exe
c:\windows\ehome\ehrecvr.exe
c:\windows\ehome\ehSched.exe
c:\programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
c:\windows\system32\oodag.exe
c:\programme\CyberLink\Shared Files\RichVideo.exe
c:\programme\RealVNC\VNC4\winvnc4.exe
c:\programme\Common Files\X10\Common\X10nets.exe
c:\windows\ehome\mcrdsvc.exe
c:\windows\ehome\ehmsas.exe
c:\windows\system32\dllhost.exe
c:\programme\Gemeinsame Dateien\aol\ACS\AOLacsd.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-11-30 10:16:14 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-11-30 09:16:12
ComboFix2.txt 2008-07-25 20:24:02

Vor Suchlauf: 18 Verzeichnis(se), 133.169.557.504 Bytes frei
Nach Suchlauf: 18 Verzeichnis(se), 133,137,444,864 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Windows XP Media Center Edition" /noexecute=alwaysoff /fastdetect

Nachdem PC Neustart schlägt Antivir aber immer noch Alarm. Was mache ich denn jetzt. Alles neu aufsetzen?

#2 DAs haengt natuerlich von dir ab, waere aber, incl Passwortwechsel, am effektivsten
__________
MfG Ralf
SEO-Spam Hunter

#3 Ich würde alles versuchen den Burschen ohne Neuinstallation loszuwerden.
Mein PC lief fast 4 Monate ohne einen nennenswerten Befund einwandfrei und das soll mir dieser Bastard nicht kaputtmachen.
Hiermal ein Hijackthis Logfile:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:31:42, on 30.11.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\mHotkey.exe
C:\Programme\FRITZ!DSL\Awatch.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\CNYHKey.exe
C:\Programme\Gemeinsame Dateien\AOL\1212558516\ee\AOLSoftware.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\oodag.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\RealVNC\VNC4\WinVNC4.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\system32\dllhost.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\AOL 9.0\waol.exe
C:\Programme\AOL 9.0\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: AOL Toolbar Launcher - {7C554162-8CB7-45A4-B8F4-8EA1C75885F9} - C:\Programme\AOL\AOL Toolbar 4.0\aoltb.dll
O3 - Toolbar: AOL Toolbar - {DE9C389F-3316-41A7-809B-AA305ED9D922} - C:\Programme\AOL\AOL Toolbar 4.0\aoltb.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIMACE] C:\Programme\ATI Technologies\ATI.ACE\MACE.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [HostManager] C:\Programme\Gemeinsame Dateien\AOL\1212558516\ee\AOLSoftware.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: OfficeManager Terminerinnerung.lnk = ?
O8 - Extra context menu item: &AOL Toolbar-Suche - c:\programme\aol\aol toolbar 4.0\resources\de-DE\local\search.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: AOL Toolbar - {3369AF0D-62E9-4bda-8103-B4C75499B578} - C:\Programme\AOL\AOL Toolbar 4.0\aoltb.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.targa.de
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1138717820890
O17 - HKLM\System\CCS\Services\Tcpip\..\{62A996A1-8D39-475D-A837-8FB350A747D1}: NameServer = 205.188.146.145
O17 - HKLM\System\CCS\Services\Tcpip\..\{94786348-0D25-4C2E-BDCF-C99FFBA4399B}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{AA66ED0A-9FBB-46C4-BBD3-50182D244310}: NameServer = 213.191.74.19 62.109.123.197
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: PCLEPCI - Pinnacle Systems GmbH - C:\WINDOWS\system32\drivers\pclepci.sys
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: SF FrontLine Drivers Auto Removal (v1) (sfrem01) - Protection Technology (StarForce) - C:\WINDOWS\system32\sfrem01.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:\Programme\RealVNC\VNC4\WinVNC4.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

#4 Ich sehe, du nutzt Gmer. Wenn es eine aktuelle Version von 2008 ist, starte sie, waehle files gehe in den Ordner, in dem sich die c_702021.nls waehle die Datei und druecke kill und mache einen neustart.

Nach dem neustart wird Antivir einen trash.gen melden diesen bitte loeschen und einen neuen Combofix Report erstellen und posten.

Poste auch ein aktuellen Gmer Report
__________
MfG Ralf
SEO-Spam Hunter

#5 Gmer findet die nls. Datei nicht.

#6 Poste den Gmer Report
__________
MfG Ralf
SEO-Spam Hunter

#7 Blöde Frage ,aber wo packt Gmer den hin?
Bin da ein bisschen unbeholfen.

#8 Meldet Antivir die Datei immer noch mit dem selben DAteinamen?
__________
MfG Ralf
SEO-Spam Hunter

#9 Immoment schweigt Antivir.

#10 Hab ein paar postings geloescht, sonst sieht das extremst unsortiert aus...


Mache bitte folgendes:


1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code

registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"wave1"=-
"wave2"=-
"mixer2"=-
"midi1"=-
"mixer1"=-
"45702052"=-
"45702041"=-
"aux1"=-
"aux2"=-
"midi2"=-
"45702071"=-
"45702051"=-

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer!)

5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.





6. Nach dem Neustart (falls du gefragt wirst, ob Du neustarten willst), poste bitte den neuen Report
__________
MfG Ralf
SEO-Spam Hunter

#11 Hier der Report, wieder sehr lang:
ComboFix 08-11-30.01 - Kevin 2008-11-30 19:06:59.4 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.542 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Kevin\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Kevin\Desktop\CFScript.txt
* Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((( Dateien erstellt von 2008-10-28 bis 2008-11-30 ))))))))))))))))))))))))))))))
.

2008-11-30 05:11 . 2008-11-30 14:20 250 --a------ c:\windows\gmer.ini
2008-10-19 08:42 . 2008-10-19 08:42 <DIR> d-------- c:\programme\gs
2008-10-19 08:42 . 2008-10-19 08:42 43 --a------ c:\windows\gswin32.ini
2008-10-19 08:34 . 2008-10-19 08:34 <DIR> d-------- c:\programme\XnView
2008-10-19 08:34 . 2008-10-19 08:46 <DIR> d-------- c:\dokumente und einstellungen\Kevin\Anwendungsdaten\XnView
2008-10-19 08:29 . 2008-10-19 08:29 <DIR> dr------- C:\UDC Output Files
2008-10-19 08:29 . 2008-10-19 08:29 <DIR> d-------- c:\programme\Universal Document Converter
2008-10-19 08:29 . 2008-04-04 17:07 5,632 --a------ c:\windows\system32\udcpm.dll
2008-10-19 08:15 . 2008-10-19 08:20 <DIR> d-------- c:\dokumente und einstellungen\Kevin\Anwendungsdaten\gtk-2.0
2008-10-19 08:13 . 2008-10-19 08:13 <DIR> d-------- c:\dokumente und einstellungen\Kevin\.thumbnails
2008-10-19 08:12 . 2008-10-28 20:38 <DIR> d-------- c:\dokumente und einstellungen\Kevin\.gimp-2.6
2008-10-19 08:12 . 2008-10-19 08:12 <DIR> d-------- c:\dokumente und einstellungen\Kevin\.gegl-0.0
2008-10-19 08:11 . 2008-10-19 08:11 <DIR> d-------- c:\programme\Gimp-2.0

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-30 08:54 --------- d-----w c:\programme\Malwarebytes' Anti-Malware
2008-11-26 22:01 --------- d-----w c:\dokumente und einstellungen\Kevin\Anwendungsdaten\VideoReDoPlus
2008-11-26 21:59 --------- d-----w c:\programme\ICQToolbar
2008-11-26 05:47 --------- d---a-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2008-10-22 15:10 38,496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2008-10-22 15:10 15,504 ----a-w c:\windows\system32\drivers\mbam.sys
2008-09-30 16:51 --------- d-----w c:\programme\ICQ6
2008-09-04 04:02 730,368 ----a-w c:\windows\system32\oodsvct.exe
2008-09-04 04:02 1,295,616 ----a-w c:\windows\system32\oodag.exe
2008-09-04 04:01 2,524,416 ----a-w c:\windows\system32\oodtray.exe
2008-09-04 04:01 194,816 ----a-w c:\windows\system32\oodbs.exe
2008-09-04 03:59 902,400 ----a-w c:\windows\system32\oodtrrs.dll
2008-09-04 03:59 9,984 ----a-w c:\windows\system32\oodbsrs.dll
2008-09-04 03:59 8,448 ----a-w c:\windows\system32\oodagrs.dll
2008-09-04 03:59 16,640 ----a-w c:\windows\system32\oodagmg.dll
2008-08-30 03:20 15,104 ----a-w c:\windows\system32\ootmapi.dll
2008-08-24 20:36 21,840 ----a-w c:\windows\system32\SIntfNT.dll
2008-08-24 20:36 17,212 ----a-w c:\windows\system32\SIntf32.dll
2008-08-24 20:36 12,067 ----a-w c:\windows\system32\SIntf16.dll
2007-12-31 22:25 160 ----a-w c:\dokumente und einstellungen\Kevin\Anwendungsdaten\wklnhst.dat
2006-06-15 19:33 233,472 ----a-w c:\programme\mozilla firefox\plugins\CrazyTalk4Native.dll
2006-05-25 17:43 204,895 ----a-w c:\programme\mozilla firefox\plugins\ctdomemhelper.dll
2005-09-29 13:41 77,824 ----a-w c:\programme\mozilla firefox\plugins\ctframeplayerobject.dll
2006-06-19 12:10 426,081 ----a-w c:\programme\mozilla firefox\plugins\ctplayerobject.dll
2005-02-02 11:19 458,752 ----a-w c:\programme\mozilla firefox\plugins\imagickrt.dll
2006-04-10 17:35 139,264 ----a-w c:\programme\mozilla firefox\plugins\rlcontentclass.dll
2005-11-09 10:10 204,800 ----a-w c:\programme\mozilla firefox\plugins\RLMusicPacker.dll
2005-11-09 10:42 106,496 ----a-w c:\programme\mozilla firefox\plugins\RLMusicUnpacker.dll
2006-01-04 10:22 212,992 ----a-w c:\programme\mozilla firefox\plugins\RLVoicePacker.dll
2006-01-04 10:21 167,936 ----a-w c:\programme\mozilla firefox\plugins\RLVoiceUnpacker.dll
2007-12-28 18:42 80 --sh--r c:\windows\CT4CET.bin
2006-05-03 09:06 163,328 --sh--r c:\windows\system32\flvDX.dll
2007-02-21 10:47 31,232 --sh--r c:\windows\system32\msfDX.dll
2008-03-16 12:30 216,064 --sh--r c:\windows\system32\nbDX.dll
.

((((((((((((((((((((((((((((( snapshot@2008-11-30_10.15.54.39 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-11-30 09:08:52 75,148 ----a-w c:\windows\system32\perfc007.dat
+ 2008-11-30 09:17:33 75,148 ----a-w c:\windows\system32\perfc007.dat
- 2008-11-30 09:08:52 62,480 ----a-w c:\windows\system32\perfc009.dat
+ 2008-11-30 09:17:33 62,480 ----a-w c:\windows\system32\perfc009.dat
- 2008-11-30 09:08:52 415,744 ----a-w c:\windows\system32\perfh007.dat
+ 2008-11-30 09:17:33 415,744 ----a-w c:\windows\system32\perfh007.dat
- 2008-11-30 09:08:52 401,200 ----a-w c:\windows\system32\perfh009.dat
+ 2008-11-30 09:17:33 401,200 ----a-w c:\windows\system32\perfh009.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="c:\windows\ehome\ehtray.exe" [2005-08-05 64512]
"ATIMACE"="c:\programme\ATI Technologies\ATI.ACE\MACE.exe" [2006-01-04 81920]
"ATICCC"="c:\programme\ATI Technologies\ATI.ACE\cli.exe" [2005-08-12 45056]
"AWatch"="c:\programme\FRITZ!DSL\Awatch.exe" [2003-06-10 507904]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-18 266497]
"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 144784]
"AOLDialer"="c:\programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe" [2007-06-21 70952]
"HostManager"="c:\programme\Gemeinsame Dateien\AOL\1212558516\ee\AOLSoftware.exe" [2006-09-26 50736]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2006-01-31 98304]
"SoundMan"="SOUNDMAN.EXE" [2005-11-11 c:\windows\soundman.exe]
"CHotkey"="mHotkey.exe" [2004-12-08 c:\windows\mHotkey.exe]
"ledpointer"="CNYHKey.exe" [2004-03-02 c:\windows\CNYHKey.exe]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-10 c:\windows\system32\bthprops.cpl]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-10 15360]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
Adobe Gamma Loader.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2008-06-02 0]
Adobe Reader - Schnellstart.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 29696]
AOL 9.0 Tray-Symbol.lnk - c:\programme\AOL 9.0\aoltray.exe [2008-06-03 156784]
Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 83360]
OfficeManager Terminerinnerung.lnk - c:\programme\DeTeMedien\Das Telefonbuch f�r Deutschland\OMAlarm.exe [2006-01-31 196608]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.I420"= i420vfw.dll
"VIDC.MJPG"= Pvmjpg30.dll
"msacm.divxa32"= DivXa32.acm
"msacm.l3codec"= L3codecp.acm

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"LaunchList"=c:\programme\Pinnacle\Studio 11\LaunchList2.exe
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" /background
"updateMgr"="c:\programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
"Creative Live! Cam Manager"="c:\programme\Creative\Creative Live! Cam\Live! Cam Manager\CTLCMgr.exe"
"ICQ"="c:\programme\ICQ6\ICQ.exe" silent
"NBJ"="c:\programme\Ahead\Nero BackItUp\NBJ.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"SMSERIAL"=sm56hlpr.exe
"RealTray"=c:\programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
"TomTomHOME.exe"="c:\programme\TomTom HOME\TomTomHOME.exe" -s
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" -atboottime
"AOLDialer"=c:\programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
"V0380Mon.exe"=c:\windows\V0380Mon.exe
"OODefragTray"=c:\windows\system32\oodtray.exe
"NeroFilterCheck"=c:\windows\system32\NeroCheck.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Gemeinsame Dateien\\aol\\Loader\\aolload.exe"=
"c:\\Programme\\Gemeinsame Dateien\\aol\\System Information\\sinf.exe"=
"r:\\Progs\\extreme\\emule.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"r:\\visiongs\\visiongs.exe"=
"q:\\ProgDVB\\ProgDVB.exe"=
"c:\\Programme\\Pinnacle\\Studio 11\\programs\\RM.exe"=
"c:\\Programme\\Pinnacle\\Studio 11\\programs\\Studio.exe"=
"c:\\Programme\\Pinnacle\\Studio 11\\programs\\PMSRegisterFile.exe"=
"c:\\Programme\\Pinnacle\\Studio 11\\programs\\umi.exe"=
"q:\\Programme\\DVBViewerTE\\ts_winlirc.exe"=
"r:\\Programme\\setup.exe"=
"c:\\Programme\\Real\\RealPlayer\\realplay.exe"=
"c:\\Programme\\Gemeinsame Dateien\\AOL\\ACS\\AOLDial.exe"=
"c:\\Programme\\Gemeinsame Dateien\\AOL\\ACS\\AOLAcsd.exe"=
"c:\\Programme\\AOL 9.0\\waol.exe"=
"c:\\Programme\\ICQ6\\ICQ.exe"=
"c:\\Programme\\Gemeinsame Dateien\\aol\\1212558516\\ee\\aolsoftware.exe"=
"r:\\extreme2\\emule.exe"=
"r:\\extreme 3\\emule.exe"=
"r:\\eMule0.49b-Mephisto_v2.1-bin\\emule.exe"=
"c:\\Programme\\Malwarebytes' Anti-Malware\\mbam.exe"=
"c:\\Programme\\ftp-uploader\\ftpuploader.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5900:UDP"= 5900:UDP:Vnc
"5800:TCP"= 5800:TCP:vnc2
"5500:TCP"= 5500:TCP:ultravnc
"5500:UDP"= 5500:UDP:ultraport
"5900:TCP"= 5900:TCPorti

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)

R0 sfdrv01a;StarForce Protection Environment Driver (version 1.x.a);c:\windows\system32\drivers\sfdrv01a.sys [2006-07-05 63352]
R1 HCW88AUD;Hauppauge WinTV 88x Audio Capture;c:\windows\system32\drivers\hcw88aud.sys [2006-01-31 11970]
R2 aadev;AVM ADSL Adapter Device;c:\windows\system32\DRIVERS\aadev.sys [2007-12-27 27648]
R3 AVMDSLPPPOE;AVM DSL PPPoE CAPI Treiber;c:\windows\system32\DRIVERS\avmdsloe.sys [2003-06-11 39552]
R3 AVMNDSL;AVM DSL NDIS WAN CAPI Treiber;c:\windows\system32\DRIVERS\avmndsl.sys [2003-06-11 38992]
R3 FDLUBASE;AVM FRITZ!Card DSL SL USB (WinXP/2000);c:\windows\system32\DRIVERS\fdlubase.sys [2003-06-11 659200]
R3 HCW88BDA;Hauppauge WinTV 88x DVB Tuner/Demod;c:\windows\system32\drivers\hcw88bda.sys [2006-01-31 138816]
R3 HCW88TSE;Hauppauge WinTV 88x MPEG/TS Capture;c:\windows\system32\drivers\hcw88tse.sys [2006-01-31 299715]
R3 HCW88TUNE;Hauppauge WinTV 88x Tuner;c:\windows\system32\drivers\hcw88tun.sys [2006-01-31 142913]
R3 hcw88vid;Hauppauge WinTV 88x Video;c:\windows\system32\drivers\hcw88vid.sys [2006-01-31 494144]
R3 HCW88XBAR;Hauppauge WinTV 88x Crossbar;c:\windows\system32\drivers\HCW88BAR.sys [2006-01-31 23104]
R3 IMT0521;Inmax USB IMT-0521 Smartcard Reader;c:\windows\system32\Drivers\IMT0521.sys [2006-01-30 34825]
R3 NETFWDSL;AVM FRITZ!web DSL PPP;c:\windows\system32\DRIVERS\NETFWDSL.SYS [2007-12-27 336384]
R3 RLDesignVirtualAudioCableWdm;Live! Cam Virtual;c:\windows\system32\DRIVERS\livecamv.sys [2007-12-28 31616]
R3 V0380Afx;Creative Camera VF0380 Audio Effects Driver;c:\windows\system32\DRIVERS\V0380Afx.sys [2007-12-28 142656]
R3 V0380Aud;Creative Camera VF0380 Noise Cancellation APO;c:\windows\system32\DRIVERS\V0380Aud.sys [2007-12-28 94976]
R3 V0380Dev;Creative Camera VF0380 Driver;c:\windows\system32\DRIVERS\V0380Vid.sys [2007-12-28 273152]
R3 V0380Vfx;Creative Camera VF0380 Video VFX Driver;c:\windows\system32\DRIVERS\V0380Vfx.sys [2007-12-28 7168]
R3 X10Hid;X10 Hid Device;c:\windows\system32\Drivers\x10hid.sys [2006-01-31 7040]
S0 pnhmcim;pnhmcim;c:\windows\system32\drivers\zboprwao.sys []
S3 SCR33X USB Smart Card Reader;SCR33X USB Smart Card Reader;c:\windows\system32\DRIVERS\SCR33X2K.sys [2006-01-30 63608]
S3 sea1bus;Sony Ericsson Device 0A1 driver (WDM);c:\windows\system32\DRIVERS\sea1bus.sys [2008-01-01 61536]
S4 Clrsbnnssru;Clrsbnnssru;c:\windows\system32\drivers\MPE.sys [2006-01-31 15360]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a73f7dfc-92e8-11da-97d5-806d6172696f}]
\Shell\AutoRun\command - F:\Setupx.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c0ca61f9-98b4-11da-af06-806d6172696f}]
\Shell\AutoRun\command - D:\Autorun.exe
.
Inhalt des "geplante Tasks" Ordners

2008-11-28 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2006\SystemOptimizer.exe [2005-08-03 06:29]
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-30 19:07:35
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(896)
c:\windows\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2008-11-30 19:08:17
ComboFix-quarantined-files.txt 2008-11-30 18:07:55
ComboFix2.txt 2008-11-30 17:15:12
ComboFix3.txt 2008-11-30 09:16:16
ComboFix4.txt 2008-07-25 20:24:02

Vor Suchlauf: 18 Verzeichnis(se), 132.876.427.264 Bytes frei
Nach Suchlauf: 18 Verzeichnis(se), 132,864,397,312 Bytes frei

205

#12 Dateimaessig kann ich keine Malware mehr erkennen...
__________
MfG Ralf
SEO-Spam Hunter

#13 Kaum den PC neu gestartet meldet Antivir wieder:
In der Datei 'C:\WINDOWS\system32\c_702021.nls'
wurde ein Virus oder unerwünschtes Programm 'TR/Silentbanker.N' [trojan] gefunden.


Und nun auch hier:
In der Datei 'C:\Dokumente und Einstellungen\Kevin\Lokale Einstellungen\temp\$$21.tmp'
wurde ein Virus oder unerwünschtes Programm 'TR/Silentbanker.N' [trojan] gefunden.

Kriege hier noch die Krise. Erst schweigt sich Antivir zu Tode und nun wieder das.

#14 Hat Antivir die DAtei geloescht, oder nicht?

Nutze bitte einmal gmers MBR scanner
http://virus-protect.org/artikel/tools/mbr.html
__________
MfG Ralf
SEO-Spam Hunter

#15 Habe die Dateien in Quarantäne geschoben und dann gelöscht.

MBR sagt dies:
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK