TR/Obfuscated.vji.1 und C:\windows\system32\17632734111.CPX gegfunden

#1 Hallo,
mein AntiVir hat heute folgende Meldung ausgegeben:
"C:\windows\system32\17632734111.CPX
ist das Trojanische Pferd TR/Obfuscated.vji.1"
Hab schon einiges versucht, wie spybot , aber ich komm nicht weiter...
Danke für eure Unterstützung!!! Gruß Sebastian



1.Problembeschreibung / Symptome

beim hochfahren kommt jedesmal die AntiVir-Meldung.
Egal ob man das Problem löscht, in Quarantäne schiebt...
es taucht immer wieder auf beim hochfahren.
Darüberhinaus kann sich der Dateiname wandeln z.B. in
C:\windows\system32\11.CPX

Ansonsten habe ich noch keine weiteren Propleme oder Symptome entdecken
können

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Sonntag, 7. Dezember 2008 13:45

Es wird nach 1075399 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 3) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: SEBASTIAN

Versionsinformationen:
BUILD.DAT : 8.2.0.337 16934 Bytes 18.11.2008 13:01:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 06.12.2008 07:52:25
AVSCAN.DLL : 8.1.4.0 48897 Bytes 02.08.2008 08:26:06
LUKE.DLL : 8.1.4.5 164097 Bytes 02.08.2008 08:26:06
LUKERES.DLL : 8.1.4.0 12545 Bytes 02.08.2008 08:26:06
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 08:55:47
ANTIVIR1.VDF : 7.1.0.56 411136 Bytes 09.11.2008 08:55:51
ANTIVIR2.VDF : 7.1.0.160 571392 Bytes 30.11.2008 07:52:25
ANTIVIR3.VDF : 7.1.0.195 219648 Bytes 05.12.2008 07:52:25
Engineversion : 8.2.0.42
AEVDF.DLL : 8.1.0.6 102772 Bytes 16.11.2008 08:56:08
AESCRIPT.DLL : 8.1.1.17 336251 Bytes 06.12.2008 07:52:25
AESCN.DLL : 8.1.1.5 123251 Bytes 16.11.2008 08:56:06
AERDL.DLL : 8.1.1.3 438645 Bytes 16.11.2008 08:56:05
AEPACK.DLL : 8.1.3.4 393591 Bytes 16.11.2008 08:56:03
AEOFFICE.DLL : 8.1.0.32 196987 Bytes 06.12.2008 07:52:25
AEHEUR.DLL : 8.1.0.74 1519990 Bytes 06.12.2008 07:52:25
AEHELP.DLL : 8.1.2.0 119159 Bytes 06.12.2008 07:52:25
AEGEN.DLL : 8.1.1.6 323955 Bytes 06.12.2008 07:52:25
AEEMU.DLL : 8.1.0.9 393588 Bytes 16.11.2008 08:55:55
AECORE.DLL : 8.1.5.2 172405 Bytes 06.12.2008 07:52:25
AEBB.DLL : 8.1.0.3 53618 Bytes 16.11.2008 08:55:53
AVWINLL.DLL : 1.0.0.12 15105 Bytes 02.08.2008 08:26:06
AVPREF.DLL : 8.0.2.0 38657 Bytes 02.08.2008 08:26:06
AVREP.DLL : 8.0.0.2 98344 Bytes 02.08.2008 08:26:07
AVREG.DLL : 8.0.0.1 33537 Bytes 02.08.2008 08:26:06
AVARKT.DLL : 1.0.0.23 307457 Bytes 17.05.2008 07:57:11
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 02.08.2008 08:26:05
SQLITE3.DLL : 3.3.17.1 339968 Bytes 17.05.2008 07:57:12
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 02.08.2008 08:26:06
NETNT.DLL : 8.0.0.1 7937 Bytes 17.05.2008 07:57:12
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 02.08.2008 08:26:03
RCTEXT.DLL : 8.0.52.0 86273 Bytes 02.08.2008 08:26:03

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Sonntag, 7. Dezember 2008 13:45

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'notepad.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WINWORD.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ApntEx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HKWnd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'zlclient.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'LVComSX.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HKServ.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ezSP_Px.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ico.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Apoint.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'carpserv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vsmon.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PDFCreatorMessages.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'cvpnd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '35' Prozesse mit '35' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit.

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '60' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <VAIO>
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Ich\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KL27OTIB\QuickTime[1].msi
[0] Archivtyp: OLE
--> Object
[1] Archivtyp: CAB (Microsoft)
--> QuickTimeVR_trampoline.qtx
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\WINDOWS\system32\11.CPX
[FUND] Ist das Trojanische Pferd TR/Obfuscated.vji.1
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4969d45f.qua' verschoben!
Beginne mit der Suche in 'D:\' <VAIO>


Ende des Suchlaufs: Sonntag, 7. Dezember 2008 15:00
Benötigte Zeit: 1:15:15 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

6954 Verzeichnisse wurden überprüft
275826 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
275823 Dateien ohne Befall
7291 Archive wurden durchsucht
4 Warnungen
1 Hinweise





2.Temporäre Dateien beseitigen: erledigt



3.mache einen Scan mit Malwarebytes


Malwarebytes' Anti-Malware 1.31
Datenbank Version: 1470
Windows 5.1.2600 Service Pack 3

07.12.2008 16:24:57
mbam-log-2008-12-07 (16-24-57).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 45775
Laufzeit: 7 minute(s), 3 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\176327341112.CPX (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\176327341121.cpx (Trojan.Agent) -> Quarantined and deleted successfully.




4.Combofix


ComboFix 08-12-06.06 - Ich 2008-12-07 16:58:00.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.121 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Ich\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((( Dateien erstellt von 2008-11-07 bis 2008-12-07 ))))))))))))))))))))))))))))))
.

2008-12-07 16:25 . 2008-12-07 16:25 352 --a------ c:\windows\system32\176327341121.CPX
2008-12-07 16:25 . 2008-12-07 16:25 89 --a------ c:\windows\system32\176327341112.CPX
2008-12-07 15:58 . 2008-12-07 15:58 <DIR> d-------- c:\dokumente und einstellungen\Ich\Anwendungsdaten\Malwarebytes
2008-12-07 15:57 . 2008-12-07 15:58 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2008-12-07 15:57 . 2008-12-07 15:57 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-12-07 15:57 . 2008-12-03 19:52 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2008-12-07 15:57 . 2008-12-03 19:52 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2008-12-06 08:08 . 2008-12-06 08:08 <DIR> d-------- c:\dokumente und einstellungen\NetworkService\Startmenü
2008-11-29 20:27 . 2002-08-29 13:00 1,042,515 --a--c--- c:\windows\system32\dllcache\cmnresm.dll
2008-11-22 15:10 . 2008-11-22 15:10 <DIR> d-------- c:\programme\iPod
2008-11-22 15:09 . 2008-11-22 15:10 <DIR> d-------- c:\programme\iTunes
2008-11-22 15:09 . 2008-11-22 15:10 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
2008-11-22 15:07 . 2008-11-22 15:07 <DIR> d-------- c:\programme\Bonjour
2008-11-22 15:06 . 2008-11-22 15:07 <DIR> d-------- c:\programme\QuickTime
2008-11-16 10:04 . 2008-10-24 12:21 455,296 -----c--- c:\windows\system32\dllcache\mrxsmb.sys
2008-11-16 10:03 . 2008-09-04 18:15 1,106,944 -----c--- c:\windows\system32\dllcache\msxml3.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-07 16:00 7,315,488 --sha-w c:\windows\system32\drivers\fidbox.dat
2008-12-07 12:44 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-12-07 12:31 89,732 --sha-w c:\windows\system32\drivers\fidbox.idx
2008-12-07 11:28 --------- d-----w c:\programme\Spybot - Search & Destroy
2008-12-07 10:13 --------- d-----w c:\programme\Paint Shop Pro 5
2008-11-29 20:55 10,297,397 -c--a-w c:\windows\Internet Logs\tvDebug.zip
2008-11-22 14:09 --------- d-----w c:\programme\Gemeinsame Dateien\Apple
2008-11-20 17:53 --------- d-----w c:\programme\Apple Software Update
2008-11-14 05:20 --------- d-----w c:\programme\Neuer Ordner
2008-11-07 13:23 32,000 ----a-w c:\windows\system32\drivers\usbaapl.sys
2008-10-24 11:21 455,296 ----a-w c:\windows\system32\drivers\mrxsmb.sys
2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll
2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll
2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll
2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll
2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll
2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe
2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll
2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll
2008-10-12 22:05 901,120 ----a-w c:\windows\Internet Logs\xDB27.tmp
2008-09-15 15:24 1,846,528 ----a-w c:\windows\system32\win32k.sys
2008-09-10 01:13 1,307,648 ------w c:\windows\system32\msxml6.dll
2006-05-03 08:00 953,008 -c--a-w c:\programme\install_flash_player.exe
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Apoint"="c:\programme\Apoint\Apoint.exe" [2003-06-13 114688]
"ezShieldProtector for Px"="c:\windows\System32\ezSP_Px.exe" [2002-08-20 40960]
"HKSERV.EXE"="c:\programme\Sony\HotKey Utility\HKserv.exe" [2003-04-01 81920]
"avgnt"="c:\programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-08-02 266497]
"LVCOMSX"="c:\programme\Gemeinsame Dateien\LogiShrd\LComMgr\LVComSX.exe" [2007-02-06 252704]
"ZoneAlarm Client"="c:\programme\Zone Labs\ZoneAlarm\zlclient.exe" [2008-07-09 919016]
"CARPService"="carpserv.exe" [2003-08-01 c:\windows\system32\carpserv.exe]
"ATIModeChange"="Ati2mdxx.exe" [2002-08-28 c:\windows\system32\Ati2mdxx.exe]
"Mouse Suite 98 Daemon"="ICO.EXE" [2002-03-14 c:\windows\system32\ico.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"WUAppSetup"="c:\programme\Gemeinsame Dateien\logishrd\WUApp32.exe" [2007-02-04 435736]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.dvsd"= c:\progra~1\GEMEIN~1\SONYSH~1\DVLib\sonydv.dll
"wave1"= 17632734111.CPX

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=

R0 avgntmgr;avgntmgr;c:\windows\system32\drivers\avgntmgr.sys [2006-02-05 22336]
R1 avgntdd;avgntdd;c:\windows\system32\DRIVERS\avgntdd.sys [2006-02-05 45376]

*Newly Created Service* - PROCEXP90

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{61E3FE32-07B9-4563-A3E0-2DE2D620FE10}]
c:\programme\PixiePack Codec Pack\InstallerHelper.exe
.
Inhalt des "geplante Tasks" Ordners

2008-11-16 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
uInternet Settings,ProxyOverride = *.local
Trusted Zone: *.sony-europe.com
Trusted Zone: *.sonystyle-europe.com
Trusted Zone: *.vaio-link.com

O16 -: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
c:\windows\Downloaded Program Files\DirectAnimation Java Classes.osd

O16 -: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
c:\windows\Downloaded Program Files\Microsoft XML Parser for Java.osd
FireFox -: Profile - c:\dokumente und einstellungen\Ich\Anwendungsdaten\Mozilla\Firefox\Profiles\mwqtmz4o.default\
FF -: plugin - c:\programme\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll
FF -: plugin - c:\programme\DivX\DivX Content Uploader\npUpload.dll
FF -: plugin - c:\programme\iTunes\Mozilla Plugins\npitunes.dll
FF -: plugin - c:\programme\Java\jre1.5.0_06\bin\NPJava11.dll
FF -: plugin - c:\programme\Java\jre1.5.0_06\bin\NPJava12.dll
FF -: plugin - c:\programme\Java\jre1.5.0_06\bin\NPJava13.dll
FF -: plugin - c:\programme\Java\jre1.5.0_06\bin\NPJava14.dll
FF -: plugin - c:\programme\Java\jre1.5.0_06\bin\NPJava32.dll
FF -: plugin - c:\programme\Java\jre1.5.0_06\bin\NPJPI150_06.dll
FF -: plugin - c:\programme\Java\jre1.5.0_06\bin\NPOJI610.dll
FF -: plugin - c:\programme\Mozilla Firefox\plugins\NPStreamPlug.dll
FF -: plugin - c:\programme\Mozilla Firefox\plugins\NPZoneSB.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-07 17:00:13
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-12-07 17:02:08
ComboFix-quarantined-files.txt 2008-12-07 16:01:11

Vor Suchlauf: 4.295.331.840 Bytes frei
Nach Suchlauf: 4,292,923,392 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn

141 --- E O F --- 2008-11-16 09:10:09



5.Erstellen eines Hijackthis-Logfiles



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:27:21, on 07.12.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\WINDOWS\system32\PDFCreatorMessages.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\carpserv.exe
C:\Programme\Apoint\Apoint.exe
C:\WINDOWS\system32\ICO.EXE
C:\Programme\Sony\HotKey Utility\HKserv.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\LVComSX.exe
C:\Programme\Sony\HotKey Utility\HKWnd.exe
C:\Programme\Apoint\Apntex.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Ich\Desktop\HJT\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [HKSERV.EXE] C:\Programme\Sony\HotKey Utility\HKserv.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [LVCOMSX] "C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\LVComSX.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [WUAppSetup] C:\Programme\Gemeinsame Dateien\logishrd\WUApp32.exe -v 0x046d -p 0x08d7 -f video -m logitech -d 10.5.1.2023 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [WUAppSetup] C:\Programme\Gemeinsame Dateien\logishrd\WUApp32.exe -v 0x046d -p 0x08d7 -f video -m logitech -d 10.5.1.2023 (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com/
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1136630719472
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: PDFCreatorMessages - Global Graphics Software Ltd - C:\WINDOWS\system32\PDFCreatorMessages.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 6294 bytes



6. Erstellen einer Uninstall Liste



Adobe Flash Player ActiveX
Adobe Flash Player Plugin
Adobe Photoshop 7.0
Adobe Reader 7.0.5 - Deutsch
Apple Mobile Device Support
Apple Software Update
ATI Control Panel
ATI Display Driver
AVI/MPEG/ASF/WMV Splitter 2.31
Avira AntiVir Personal - Free Antivirus
Bonjour
DivX
DivX Content Uploader
DivX Player
DivX Web Player
ElsterFormular 2007/2008
Google Earth
HijackThis 2.0.2
Hotfix for Windows Media Format 11 SDK (KB929399)
Hotfix für Windows Media Player 11 (KB939683)
Hotfix für Windows XP (KB952287)
HotKey Utility
hp LaserJet 1010 Series
InterVideo WinDVD 4
iTunes
J2SE Runtime Environment 5.0 Update 3
J2SE Runtime Environment 5.0 Update 6
Jaws PDF Creator
Logitech Audio Echo Cancellation Component
Logitech Video Enumerator
Logitech® Camera-Treiber
Macromedia Flash Player 8
Macromedia Shockwave Player
Malwarebytes' Anti-Malware
Microsoft Compression Client Pack 1.0 for Windows XP
Microsoft Office 2000 Professional
Microsoft User-Mode Driver Framework Feature Pack 1.0
Microsoft Visual C++ 2005 Redistributable
Mozilla Firefox (3.0.4)
MVision
Nero Suite
OpenOffice.org 2.0
Paint Shop Pro 5.03 CD
PixiePack Codec Pack
QuickTime
Sicherheitsupdate für Step by Step Interactive Training (KB898458)
Sicherheitsupdate für Step by Step Interactive Training (KB923723)
Sicherheitsupdate für Windows Media Player 10 (KB911565)
Sicherheitsupdate für Windows Media Player 10 (KB917734)
Sicherheitsupdate für Windows Media Player 10 (KB936782)
Sicherheitsupdate für Windows Media Player 11 (KB936782)
Sicherheitsupdate für Windows Media Player 11 (KB954154)
Sicherheitsupdate für Windows XP (KB938464)
Sicherheitsupdate für Windows XP (KB941569)
Sicherheitsupdate für Windows XP (KB946648)
Sicherheitsupdate für Windows XP (KB950760)
Sicherheitsupdate für Windows XP (KB950762)
Sicherheitsupdate für Windows XP (KB950974)
Sicherheitsupdate für Windows XP (KB951376)
Sicherheitsupdate für Windows XP (KB951376-v2)
Sicherheitsupdate für Windows XP (KB951698)
Sicherheitsupdate für Windows XP (KB951748)
Sicherheitsupdate für Windows XP (KB952954)
Sicherheitsupdate für Windows XP (KB953839)
Sicherheitsupdate für Windows XP (KB954211)
Sicherheitsupdate für Windows XP (KB954459)
Sicherheitsupdate für Windows XP (KB955069)
Sicherheitsupdate für Windows XP (KB956391)
Sicherheitsupdate für Windows XP (KB956803)
Sicherheitsupdate für Windows XP (KB956841)
Sicherheitsupdate für Windows XP (KB957095)
Sicherheitsupdate für Windows XP (KB957097)
Sicherheitsupdate für Windows XP (KB958644)
Skype™ 3.5
SoftK56 Data Fax CARP
Sony DV Shared Library
Sony Notebook Setup
Sony USB Mouse
Sony Utilities DLL
SoundMAX
Spybot - Search & Destroy
Spybot - Search & Destroy 1.4
Total Commander (Remove or Repair)
Update für Windows XP (KB951072-v2)
Update für Windows XP (KB951978)
VAIO Online-Registration (Deutsch)
VideoLAN VLC media player 0.8.6d
VPN Client
Winamp (remove only)
Windows Genuine Advantage v1.3.0254.0
Windows Media Format 11 runtime
Windows Media Format 11 runtime
Windows Media Player 11
Windows Media Player 11
Windows XP Service Pack 3
ZoneAlarm
ZoneAlarm Spy Blocker




[/b]

#2 Loesche bitte diese beiden Dateien:

c:\windows\system32\176327341121.CPX
c:\windows\system32\176327341112.CPX

starte neu und erstelle ein neuen Combofix Report.

Eine Ahnung, wo du dir das eingefangen hast?
__________
MfG Ralf
SEO-Spam Hunter

#3 hallo Roman, danke für die schnelle Antwort..
wüsste nicht wo der her kommt... sollte ich?!?

mehrere Probleme sind aufgetreten:
1. die Datei c:\windows\system32\176327341121.CPX war nicht vorhanden
2. c:\windows\system32\176327341112.CPX hab ich gelöscht, aber sie ist wieder
da
3. und der Antvir hat mir
c:\windows\system32\176327341111.CPX gemeldet welche auch nicht da ist ?!?

jetzt mach ich erst mal den Combofix


ComboFix 08-12-06.06 - Ich 2008-12-08 20:29:50.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.125 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Ich\Desktop\ComboFix.exe
.

((((((((((((((((((((((( Dateien erstellt von 2008-11-08 bis 2008-12-08 ))))))))))))))))))))))))))))))
.

2008-12-08 20:13 . 2008-12-08 20:13 89 --a------ c:\windows\system32\176327341112.CPX
2008-12-07 16:25 . 2008-12-07 16:25 352 --a------ c:\windows\system32\176327341121.CPX
2008-12-07 15:58 . 2008-12-07 15:58 <DIR> d-------- c:\dokumente und einstellungen\Ich\Anwendungsdaten\Malwarebytes
2008-12-07 15:57 . 2008-12-07 15:58 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2008-12-07 15:57 . 2008-12-07 15:57 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-12-07 15:57 . 2008-12-03 19:52 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2008-12-07 15:57 . 2008-12-03 19:52 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2008-12-06 08:08 . 2008-12-06 08:08 <DIR> d-------- c:\dokumente und einstellungen\NetworkService\Startmenü
2008-11-29 20:27 . 2002-08-29 13:00 1,042,515 --a--c--- c:\windows\system32\dllcache\cmnresm.dll
2008-11-22 15:10 . 2008-11-22 15:10 <DIR> d-------- c:\programme\iPod
2008-11-22 15:09 . 2008-11-22 15:10 <DIR> d-------- c:\programme\iTunes
2008-11-22 15:09 . 2008-11-22 15:10 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
2008-11-22 15:07 . 2008-11-22 15:07 <DIR> d-------- c:\programme\Bonjour
2008-11-22 15:06 . 2008-11-22 15:07 <DIR> d-------- c:\programme\QuickTime
2008-11-16 10:04 . 2008-10-24 12:21 455,296 -----c--- c:\windows\system32\dllcache\mrxsmb.sys
2008-11-16 10:03 . 2008-09-04 18:15 1,106,944 -----c--- c:\windows\system32\dllcache\msxml3.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-08 19:35 7,419,936 --sha-w c:\windows\system32\drivers\fidbox.dat
2008-12-08 19:15 91,412 --sha-w c:\windows\system32\drivers\fidbox.idx
2008-12-07 12:44 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-12-07 11:28 --------- d-----w c:\programme\Spybot - Search & Destroy
2008-12-07 10:13 --------- d-----w c:\programme\Paint Shop Pro 5
2008-11-29 20:55 10,297,397 -c--a-w c:\windows\Internet Logs\tvDebug.zip
2008-11-22 14:09 --------- d-----w c:\programme\Gemeinsame Dateien\Apple
2008-11-20 17:53 --------- d-----w c:\programme\Apple Software Update
2008-11-14 05:20 --------- d-----w c:\programme\Neuer Ordner
2008-11-07 13:23 32,000 ----a-w c:\windows\system32\drivers\usbaapl.sys
2008-10-24 11:21 455,296 ----a-w c:\windows\system32\drivers\mrxsmb.sys
2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll
2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll
2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll
2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll
2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll
2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe
2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll
2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll
2008-10-12 22:05 901,120 ----a-w c:\windows\Internet Logs\xDB27.tmp
2008-09-15 15:24 1,846,528 ----a-w c:\windows\system32\win32k.sys
2008-09-10 01:13 1,307,648 ------w c:\windows\system32\msxml6.dll
2006-05-03 08:00 953,008 -c--a-w c:\programme\install_flash_player.exe
.

((((((((((((((((((((((((((((( snapshot@2008-12-07_17.00.35,08 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-12-07 12:38:26 49,424 ----a-w c:\windows\system32\perfc007.dat
+ 2008-12-08 19:21:04 49,424 ----a-w c:\windows\system32\perfc007.dat
- 2008-12-07 12:38:26 40,998 ----a-w c:\windows\system32\perfc009.dat
+ 2008-12-08 19:21:04 40,998 ----a-w c:\windows\system32\perfc009.dat
- 2008-12-07 12:38:26 318,680 ----a-w c:\windows\system32\perfh007.dat
+ 2008-12-08 19:21:04 318,680 ----a-w c:\windows\system32\perfh007.dat
- 2008-12-07 12:38:26 313,280 ----a-w c:\windows\system32\perfh009.dat
+ 2008-12-08 19:21:04 313,280 ----a-w c:\windows\system32\perfh009.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Apoint"="c:\programme\Apoint\Apoint.exe" [2003-06-13 114688]
"ezShieldProtector for Px"="c:\windows\System32\ezSP_Px.exe" [2002-08-20 40960]
"HKSERV.EXE"="c:\programme\Sony\HotKey Utility\HKserv.exe" [2003-04-01 81920]
"avgnt"="c:\programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-08-02 266497]
"LVCOMSX"="c:\programme\Gemeinsame Dateien\LogiShrd\LComMgr\LVComSX.exe" [2007-02-06 252704]
"ZoneAlarm Client"="c:\programme\Zone Labs\ZoneAlarm\zlclient.exe" [2008-07-09 919016]
"CARPService"="carpserv.exe" [2003-08-01 c:\windows\system32\carpserv.exe]
"ATIModeChange"="Ati2mdxx.exe" [2002-08-28 c:\windows\system32\Ati2mdxx.exe]
"Mouse Suite 98 Daemon"="ICO.EXE" [2002-03-14 c:\windows\system32\ico.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"WUAppSetup"="c:\programme\Gemeinsame Dateien\logishrd\WUApp32.exe" [2007-02-04 435736]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.dvsd"= c:\progra~1\GEMEIN~1\SONYSH~1\DVLib\sonydv.dll
"wave1"= 17632734111.CPX

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=

R0 avgntmgr;avgntmgr;c:\windows\system32\drivers\avgntmgr.sys [2006-02-05 22336]
R1 avgntdd;avgntdd;c:\windows\system32\DRIVERS\avgntdd.sys [2006-02-05 45376]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{61E3FE32-07B9-4563-A3E0-2DE2D620FE10}]
c:\programme\PixiePack Codec Pack\InstallerHelper.exe
.
Inhalt des "geplante Tasks" Ordners

2008-11-16 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
uInternet Settings,ProxyOverride = *.local
Trusted Zone: *.sony-europe.com
Trusted Zone: *.sonystyle-europe.com
Trusted Zone: *.vaio-link.com

O16 -: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
c:\windows\Downloaded Program Files\DirectAnimation Java Classes.osd

O16 -: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
c:\windows\Downloaded Program Files\Microsoft XML Parser for Java.osd
FireFox -: Profile - c:\dokumente und einstellungen\Ich\Anwendungsdaten\Mozilla\Firefox\Profiles\mwqtmz4o.default\
FF -: plugin - c:\programme\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll
FF -: plugin - c:\programme\DivX\DivX Content Uploader\npUpload.dll
FF -: plugin - c:\programme\iTunes\Mozilla Plugins\npitunes.dll
FF -: plugin - c:\programme\Java\jre1.5.0_06\bin\NPJava11.dll
FF -: plugin - c:\programme\Java\jre1.5.0_06\bin\NPJava12.dll
FF -: plugin - c:\programme\Java\jre1.5.0_06\bin\NPJava13.dll
FF -: plugin - c:\programme\Java\jre1.5.0_06\bin\NPJava14.dll
FF -: plugin - c:\programme\Java\jre1.5.0_06\bin\NPJava32.dll
FF -: plugin - c:\programme\Java\jre1.5.0_06\bin\NPJPI150_06.dll
FF -: plugin - c:\programme\Java\jre1.5.0_06\bin\NPOJI610.dll
FF -: plugin - c:\programme\Mozilla Firefox\plugins\NPStreamPlug.dll
FF -: plugin - c:\programme\Mozilla Firefox\plugins\NPZoneSB.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-08 20:34:59
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...


c:\windows\system32\17632734111.CPX 115200 bytes executable
c:\windows\system32\176327341121.CPX 352 bytes

Scan erfolgreich abgeschlossen
versteckte Dateien: 2

**************************************************************************
.
Zeit der Fertigstellung: 2008-12-08 20:37:35
ComboFix-quarantined-files.txt 2008-12-08 19:36:52
ComboFix2.txt 2008-12-07 16:02:11

Vor Suchlauf: 4.339.945.472 Bytes frei
Nach Suchlauf: 4,328,591,360 Bytes frei

146 --- E O F --- 2008-11-16 09:10:09

#4 Da sollten wir nicht so lange mit rumdoktoren. Setz den Rechner neu auf und aendere alle Passworte, das ist in diesem Fall wohl das beste....
__________
MfG Ralf
SEO-Spam Hunter