Dns Changer Problem

#1 Also ich habe das Problem das sich bei mir irgend ein dns changer eingeschlichen hat, welcher sich mit normalen mitteln nicht entfernen lässt, hier das combofix logfile:

ComboFix 08-12-15.04 - Isabell Hoffmann 2008-12-16 12:49:12.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.958.597 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Isabell Hoffmann\Desktop\ComboFix.exe

[COLOR=RED]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/COLOR]
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\Isabell Hoffmann\Lokale Einstellungen\Anwendungsdaten\jxnkqaupb.dat
c:\dokumente und einstellungen\Isabell Hoffmann\Lokale Einstellungen\Anwendungsdaten\jxnkqaupb_nav.dat
c:\dokumente und einstellungen\Isabell Hoffmann\Lokale Einstellungen\Anwendungsdaten\jxnkqaupb_navps.dat
c:\programme\autorun.inf
c:\windows\Downloaded Program Files\setup.inf
c:\windows\system32\drivers\msqpdxpefelqcc.sys
c:\windows\system32\msqpdxckfwarqg.dll

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_MSQPDXSERV.SYS
-------\Legacy_MSQPDXSERV.SYS


((((((((((((((((((((((( Dateien erstellt von 2008-11-16 bis 2008-12-16 ))))))))))))))))))))))))))))))
.

2008-12-16 09:08 . 2008-12-16 09:08 61,440 --a------ c:\windows\system32\drivers\ngqitido.sys
2008-12-16 03:15 . 2008-12-16 03:15 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2008-12-16 03:15 . 2008-12-16 03:15 <DIR> d-------- c:\dokumente und einstellungen\Isabell Hoffmann\Anwendungsdaten\Malwarebytes
2008-12-16 03:15 . 2008-12-16 03:15 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-12-16 03:15 . 2008-12-03 19:52 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2008-12-16 03:15 . 2008-12-03 19:52 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2008-12-16 03:04 . 2008-12-16 03:04 <DIR> d-------- c:\programme\TuneUp Utilities 2009
2008-12-16 03:04 . 2008-12-16 03:04 603,904 --a------ c:\windows\system32\TUProgSt.exe
2008-12-16 03:04 . 2008-12-16 03:04 360,192 --a------ c:\windows\system32\TuneUpDefragService.exe
2008-12-16 03:03 . 2008-12-16 03:03 <DIR> d--hs---- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{55A29068-F2CE-456C-9148-C869879E2357}
2008-12-16 02:53 . 2008-12-16 02:53 <DIR> d-------- c:\programme\Trend Micro
2008-12-16 02:23 . 2008-12-16 02:23 79 --a------ c:\windows\wininit.ini
2008-12-16 02:03 . 2008-12-16 02:03 <DIR> d-------- c:\programme\spybot
2008-12-15 23:39 . 2008-12-15 23:41 <DIR> d-------- c:\programme\XeroBank
2008-12-13 21:55 . 2008-12-16 09:22 <DIR> d-------- c:\programme\cyrano
2008-12-13 21:55 . 2008-12-13 22:01 253,952 --------- c:\windows\Setup1.exe
2008-12-13 21:55 . 2008-12-13 22:01 74,752 --a------ c:\windows\ST6UNST.EXE
2008-12-12 00:56 . 2008-12-12 00:56 <DIR> d-------- c:\programme\SopCast
2008-12-11 18:04 . 2008-12-11 18:04 <DIR> d--h----- c:\windows\PIF
2008-12-11 17:53 . 2008-12-11 17:55 309 --a------ c:\windows\UChromeP.uns
2008-12-11 17:52 . 2008-12-11 17:52 <DIR> d-------- c:\programme\Medion
2008-12-11 17:45 . 2008-12-11 17:45 <DIR> d-------- c:\programme\Realtek AC97
2008-12-11 17:20 . 2008-12-11 17:20 <DIR> d--h-c--- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{4439F0FD-AFAF-434D-86E2-DEB14A9C58AC}
2008-12-10 13:32 . 2008-12-11 15:05 <DIR> d-------- c:\programme\Jump Player
2008-12-07 21:13 . 2008-12-07 21:19 19,571 --a------ c:\windows\hpoins01.dat
2008-12-07 21:13 . 2003-04-22 10:24 16,606 --------- c:\windows\hpomdl01.dat
2008-12-07 20:53 . 2008-12-07 20:53 <DIR> d-------- c:\programme\iXi Tools
2008-12-04 17:58 . 2008-12-04 18:03 <DIR> d-------- c:\programme\ICQ6.5
2008-11-30 21:15 . 2008-12-05 01:21 113 --a------ c:\windows\(null)toolkit.ini
2008-11-30 21:14 . 2008-11-30 21:14 <DIR> d-------- c:\dokumente und einstellungen\Isabell Hoffmann\Anwendungsdaten\Trillian
2008-11-30 14:33 . 2008-11-30 14:33 <DIR> d-------- C:\unzipped
2008-11-30 14:30 . 2008-11-30 14:30 <DIR> d-------- c:\programme\MirandaFusion
2008-11-29 00:35 . 2008-11-29 00:35 <DIR> d-------- c:\programme\TeamViewer3
2008-11-27 20:02 . 2008-11-27 20:02 <DIR> d-------- c:\programme\AnalogX
2008-11-26 21:06 . 2008-12-14 21:59 <DIR> d-------- c:\windows\system32\drivers\Avg
2008-11-26 21:06 . 2008-11-26 21:06 97,928 --a------ c:\windows\system32\drivers\avgldx86.sys
2008-11-26 21:06 . 2008-11-26 21:06 10,520 --a------ c:\windows\system32\avgrsstx.dll
2008-11-23 19:44 . 2008-12-07 21:12 <DIR> d-------- c:\temp\HP All-in-One Series Web Release

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-16 08:08 194 ----a-w c:\programme\msbp.txt
2008-12-16 01:06 --------- d-----w c:\programme\Spybot - Search & Destroy
2008-12-16 01:06 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-12-15 21:54 --------- d-----w c:\programme\DC++
2008-12-11 16:55 --------- d--h--w c:\programme\InstallShield Installation Information
2008-12-11 14:23 --------- d-----w c:\dokumente und einstellungen\Isabell Hoffmann\Anwendungsdaten\dvdcss
2008-12-11 13:23 --------- d-----w c:\programme\Trillian
2008-12-04 17:01 --------- d-----w c:\programme\ICQ6
2008-11-26 20:05 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avg8
2008-11-24 20:16 --------- d-----w c:\dokumente und einstellungen\Isabell Hoffmann\Anwendungsdaten\Skype
2008-11-24 19:27 --------- d-----w c:\dokumente und einstellungen\Isabell Hoffmann\Anwendungsdaten\skypePM
2008-11-23 21:48 --------- d-----w c:\programme\Google
2008-11-23 19:15 --------- d-----w c:\dokumente und einstellungen\Isabell Hoffmann\Anwendungsdaten\WordToPDF
2008-11-23 18:58 917 ---ha-w c:\dokumente und einstellungen\Isabell Hoffmann\hpothb07.dat
2008-11-20 21:23 --------- d-----w c:\programme\SmartSoftVideoConverterPro
2008-11-20 21:19 --------- d-----w c:\programme\Hewlett-Packard
2008-11-20 21:03 --------- d-----w c:\programme\Gemeinsame Dateien\Adobe
2008-11-08 21:10 --------- d-----w c:\programme\Network Stumbler
2008-11-03 15:20 --------- d-----w c:\programme\Opera
2008-10-24 11:21 455,296 ----a-w c:\windows\system32\drivers\mrxsmb.sys
2008-10-21 20:16 --------- d-----w c:\dokumente und einstellungen\Isabell Hoffmann\Anwendungsdaten\vlc
2008-10-21 20:14 --------- d-----w c:\programme\VideoLAN
2008-01-31 17:16 32 ----a-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\ezsid.dat
2008-01-14 07:56 5,827,152 ----a-w c:\programme\Firefox_Setup_2.0.0.11de.exe
2008-01-14 07:32 17,820,592 ----a-w c:\programme\antivir_workstation_win7u_de_h270.exe
2007-12-12 15:41 1,911,240 ----a-w c:\programme\daemon_tools.exe
2007-11-09 21:03 10,717,440 ----a-w c:\programme\TU2007TrialDE.exe
2007-10-15 12:48 4,432,944 ----a-w c:\programme\PandoSetup.exe
2007-10-03 17:12 6,573,064 ----a-w c:\programme\Gran Paradiso Setup Alpha 8.exe
2007-10-03 16:56 5,817,144 ----a-w c:\programme\Firefox Setup 2.0.0.7.exe
2007-09-28 19:59 9,679,815 ----a-w c:\programme\vlc-0.8.6c-win32.exe
2007-09-08 22:35 53,003 ----a-w c:\programme\TranslationDE.zip
2007-08-22 18:08 17,976,688 ----a-w c:\programme\Install_Messenger.exe
2007-07-11 18:55 1,673,201 ----a-w c:\programme\Line_Rider_2-6-1.exe
2007-07-08 17:35 15,732,984 ----a-w c:\programme\Google_Earth_BZXE.exe
2007-06-17 19:12 11,898,432 ----a-w c:\programme\install_pro7_icq6.exe
2007-06-15 13:57 767 ----a-w c:\programme\DivX Player.lnk
2007-06-15 13:57 1,641 ----a-w c:\programme\DivX Movies.lnk
2007-06-15 13:56 778 ----a-w c:\programme\DivX Converter.lnk
2007-06-15 13:54 21,736,784 ----a-w c:\programme\DivXInstaller.exe
2007-05-18 14:57 9,216 -csha-w c:\programme\Thumbs.db
2007-04-20 22:53 11,603,464 ----a-w c:\programme\Install_ICQ6.exe
2007-04-19 14:20 20,942,920 ----a-w c:\programme\SkypeSetup.exe
2007-03-23 23:14 8,477,156 ----a-w c:\programme\vpnclient-windows-csn-4.8.00.0440-k9.exe
2007-03-01 11:50 6,051,840 ----a-w c:\programme\icq5_1_german_setup.exe
2007-02-25 01:07 36,808,256 ----a-w c:\programme\iTunesSetup.exe
2007-01-12 16:17 25,842,736 ----a-w c:\programme\wmp11-windowsxp-x86-DE-DE.exe
2007-01-12 15:47 14,843,696 ----a-w c:\programme\IE7-WindowsXP-x86-deu.exe
2006-11-29 12:52 72,997 ----a-w c:\programme\uninstall.exe
2006-11-03 18:59 217,323 -c--a-w c:\programme\_online_banking.pdf
2006-10-27 14:13 2,465,979 ------w c:\programme\devcpp-4.9.9.2_nomingw_setup.exe
2006-10-18 16:42 3,005,632 ----a-w c:\programme\vcsetup.exe
2006-10-05 18:49 8,646,090 ------w c:\programme\vpnclient-windows-tuc-4.8.01.0300-k9.exe
2006-09-09 11:57 475,608 ----a-w c:\programme\gmx_toolbar.exe
2006-09-08 18:50 11,795,448 ----a-w c:\programme\antivir_workstation_win7u_de_h.exe
2006-07-09 15:13 4,017,570 ----a-w c:\programme\pd_setup.exe
2006-06-22 09:18 712 -c--a-w c:\programme\VPN-Zugang TU Chemnitz.pcf
2006-04-20 06:34 70,693 -c--a-w c:\programme\data1.hdr
2006-04-20 06:34 7,551,504 -c--a-w c:\programme\data2.cab
2006-04-20 06:34 472,165 ----a-w c:\programme\data1.cab
2006-04-20 06:34 435 -c--a-w c:\programme\layout.bin
2006-04-20 06:34 29,752 ----a-w c:\programme\InstHelper.dll
2006-04-20 06:34 217,220 ----a-w c:\programme\installservice.exe
2006-04-20 06:34 190,283 -c--a-w c:\programme\setup.inx
2006-04-20 06:34 132 -c--a-w c:\programme\Setup.ini
2006-04-20 06:34 1,603 -c--a-w c:\programme\sig.dat
2006-04-20 06:33 16,506 ----a-w c:\programme\DelayInst.exe
2006-04-20 06:29 154,756 -c--a-w c:\programme\Setup.bmp
2005-12-09 21:06 3,948 -c--a-w c:\programme\README.TXT
2005-02-22 16:22 964,096 ----a-w c:\programme\devcpp.exe
2005-02-22 16:22 1,785,278 -c--a-w c:\programme\devcpp.map
2005-02-19 22:04 697,941 ----a-w c:\programme\Packman.map
2005-02-19 22:04 380,928 ----a-w c:\programme\Packman.exe
2004-12-03 17:15 10,807 -c--a-w c:\programme\NEWS.txt
2004-04-23 14:29 986,173 ----a-w c:\programme\wrar330d.exe
2003-04-22 14:32 2,736,128 ------w c:\programme\aiodrv.msi
2003-04-22 14:28 2,605,056 ------w c:\programme\aiosw.msi
2003-04-22 14:10 16,606 ----a-w c:\programme\hpomdl01.dat
2003-04-22 14:09 201 ----a-w c:\programme\readme.html
2003-04-09 17:19 2,848 ----a-w c:\programme\hpound08.inf
2003-04-09 17:19 14,157 ----a-w c:\programme\hpousc08.inf
2003-04-09 17:00 4,715 ----a-w c:\programme\hpoglu08.inf
2003-04-09 17:00 2,889 ----a-w c:\programme\hpousb08.inf
2003-03-20 15:20 24,728 ----a-w c:\programme\HPZipr12.cat
2003-03-20 15:20 24,285 ----a-w c:\programme\hposcu08.cat
2003-03-20 15:20 22,523 ----a-w c:\programme\HPZius12.cat
2003-03-20 15:20 22,082 ----a-w c:\programme\hpzist12.cat
2003-03-20 15:20 22,082 ----a-w c:\programme\HPZid412.cat
2003-03-20 15:20 21,641 ----a-w c:\programme\HPOunp08.cat
2003-03-20 15:20 205,503 ----a-w c:\programme\hpoprn08.cat
2003-03-09 20:30 63,562 ----a-w c:\programme\hposcu08.inf
2003-03-09 20:30 51,266 ----a-w c:\programme\hpoprn08.inf
2003-03-09 20:30 33,952 ----a-w c:\programme\hpzid412.inf
2003-03-09 20:30 3,898 ----a-w c:\programme\hpounp08.inf
2003-03-09 20:30 3,667 ----a-w c:\programme\hpzist12.inf
2003-03-09 20:30 274,432 ----a-w c:\programme\hpzglu07.exe
2003-03-09 20:30 237,568 ----a-w c:\programme\hpzc3212.dll
2003-03-09 20:30 23,186 ----a-w c:\programme\hpzcin06.ex_
2003-03-09 20:30 184,320 ----a-w c:\programme\hpzscr07.dll
2003-03-09 20:30 16,352 ----a-w c:\programme\HPZUCI12.DLL
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"KTPWare"="c:\programme\Elantech\Ktp.exe" [2005-04-04 253952]
"IntelZeroConfig"="c:\programme\Intel\Wireless\bin\ZCfgSvc.exe" [2007-02-16 798720]
"IntelWireless"="c:\programme\Intel\Wireless\Bin\ifrmewrk.exe" [2007-02-16 696320]
"AVG8_TRAY"="c:\progra~1\AVG\AVG8\avgtray.exe" [2008-11-27 1261336]
"CHotkey"="mHotkey.exe" [2001-12-26 c:\windows\mHotkey.exe]
"SoundMan"="SOUNDMAN.EXE" [2007-04-16 c:\windows\soundman.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^BlueSoleil.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\BlueSoleil.lnk
backup=c:\windows\pss\BlueSoleil.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 10:50 155648 c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Pando]
--a------ 2008-07-25 05:23 6591816 c:\programme\Pando Networks\Pando\pando.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"Pml Driver HPZ12"=3 (0x3)
"ose"=3 (0x3)
"iPod Service"=3 (0x3)
"BlueSoleil Hid Service"=2 (0x2)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"ctfmon.exe"=c:\windows\system32\ctfmon.exe
"DAEMON Tools"="c:\programme\DAEMON Tools\daemon.exe" -lang 1033

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_03\bin\jusched.exe"
"VTTimer"=VTTimer.exe
"IntelZeroConfig"="c:\programme\Intel\Wireless\bin\ZCfgSvc.exe"
"VTTrayp"=VTtrayp.exe
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Pando Networks\\Pando\\pando.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\DC++\\DCPlusPlus.exe"=
"c:\\Programme\\SopCast\\SopCast.exe"=
"c:\\Dokumente und Einstellungen\\Isabell Hoffmann\\Anwendungsdaten\\SopCast\\adv\\SopAdver.exe"=
"c:\\Programme\\proeWildfire 3.0\\i486_nt\\nms\\nmsd.exe"=
"c:\\Programme\\proeWildfire 3.0\\i486_nt\\obj\\pro_comm_msg.exe"=
"c:\\Programme\\proeWildfire 3.0\\i486_nt\\obj\\xtop.exe"=
"c:\\Programme\\SopCast\\adv\\SopAdver.exe"=
"c:\\Programme\\SopCast\\sopvod.exe"=
"c:\\Programme\\kav\\kav7.0\\english\\setup.exe"=
"c:\\Programme\\Opera\\Opera.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Programme\\Trillian\\trillian.exe"=
"c:\\Programme\\AVG\\AVG8\\avgupd.exe"=
"c:\\Programme\\AnalogX\\Proxy\\proxy.exe"=
"c:\\Programme\\MirandaFusion\\miranda32.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)

R1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\system32\Drivers\avgldx86.sys [2008-11-26 97928]
R2 avg8wd;AVG Free8 WatchDog;c:\progra~1\AVG\AVG8\avgwdsvc.exe [2008-11-26 231704]
R3 Ktp;Elantech Touchpad;c:\windows\system32\DRIVERS\Ktp.sys [2006-08-09 25984]
S3 PAC7311;Trust Webcam Live;c:\windows\system32\DRIVERS\PA707UCM.SYS [2007-03-14 449024]
S3 zlportio;zlportio;\??\c:\dokumente und einstellungen\Isabell Hoffmann\Eigene Dateien\ultrastar-dx-100\zlportio.sys []

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners

2008-12-08 c:\windows\Tasks\FRU Task #Hewlett-Packard#hp psc 1200 series#1228681171.job
- c:\programme\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe [2003-04-09 17:56]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKU-Default-RunOnce-IETI - c:\programme\Skype\Phone\IEPlugin\unins000.exe
MSConfigStartUp-iTunesHelper - c:\programme\iTunes\iTunesHelper.exe
MSConfigStartUp-updateMgr - c:\programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe


.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uInternet Settings,ProxyOverride = *.local
IE: Add to AMV Convert Tool... - c:\programme\MP3 Player Utilities 3.78\AMVConverter\grab.html
IE: Add to AMV Converter... - c:\programme\MP3 Player Utilities 4.09\AMVConverter\grab.html
IE: MediaManager tool grab multimedia file - c:\programme\MP3 Player Utilities 4.09\MediaManager\grab.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

c:\windows\Downloaded Program Files\Rawflow.ocx - O16 -: {029FDBA6-3547-11D7-AA4C-0050BF051A00}
hxxp://213.200.64.229/freestream/download/energy/sachsen/p2p/Rawflow.cab

O16 -: {1ED48504-8834-11D5-AC75-0008C73FD642} - file:///C:/Programme/proeWildfire%203.0/i486_nt/obj/pvx_install.exe

O16 -: {DE625294-70E6-45ED-B895-CFFA13AEB044} - hxxp://134.109.68.116/activex/AMC.cab
c:\windows\Downloaded Program Files\setup.inf
FF - ProfilePath - c:\dokumente und einstellungen\Isabell Hoffmann\Anwendungsdaten\Mozilla\Firefox\Profiles\4cy8slmd.default\
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: content.max.tokenizing.time - 200000
FF - user.js: content.notify.interval - 100000
FF - user.js: content.switch.threshold - 650000
FF - user.js: nglayout.initialpaint.delay - 300
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - prefs.js: network.proxy.ftp - 134.109.84.128
FF - prefs.js: network.proxy.ftp_port - 21
FF - prefs.js: network.proxy.http - 134.109.84.128
FF - prefs.js: network.proxy.http_port - 6588
FF - prefs.js: network.proxy.type - 1
FF - plugin: c:\programme\Mozilla Firefox\plugins\npGoogleGadgetPluginFirefoxWin.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npPandoWebInst.dll
FF - plugin: c:\programme\Opera\program\plugins\npagent.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-16 12:58:53
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Intel\Wireless\Bin\EvtEng.exe
c:\programme\Intel\Wireless\Bin\S24EvMon.exe
c:\programme\Cisco Systems\VPN Client\cvpnd.exe
c:\programme\Intel\Wireless\Bin\RegSrvc.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\taskmgr.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-12-16 13:04:08 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-12-16 12:04:06

Vor Suchlauf: 7,806,947,328 Bytes frei
Nach Suchlauf: 7,812,026,368 Bytes frei

296 --- E O F --- 2008-12-12 00:09:54






im Anhang befindet sich das Malware logfile


und hier das hijack this logfile:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:09:29, on 16.12.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\mHotkey.exe
C:\Programme\Elantech\Ktp.exe
C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\explorer.exe
C:\Programme\Opera\opera.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG8\avgssie.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [KTPWare] C:\Programme\Elantech\Ktp.exe
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Add to AMV Convert Tool... - C:\Programme\MP3 Player Utilities 3.78\AMVConverter\grab.html
O8 - Extra context menu item: Add to AMV Converter... - C:\Programme\MP3 Player Utilities 4.09\AMVConverter\grab.html
O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Programme\MP3 Player Utilities 4.09\MediaManager\grab.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {029FDBA6-3547-11D7-AA4C-0050BF051A00} (Rawflow ICD Client) - http://213.200.64.229/freestream/download/energy/sachsen/p2p/Rawflow.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {1ED48504-8834-11D5-AC75-0008C73FD642} - file:///C:/Programme/proeWildfire%203.0/i486_nt/obj/pvx_install.exe
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://static.ak.studivz.net/photouploader/ImageUploader4.cab
O16 - DPF: {DE625294-70E6-45ED-B895-CFFA13AEB044} (AxisMediaControlEmb Class) - http://134.109.68.116/activex/AMC.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG8\avgpp.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe

--
End of file - 6480 bytes


und entsprechend die uninstall liste

Adobe Acrobat and Reader 8.1.2 Security Update 1 (KB403742)
Adobe Flash Player 10 Plugin
Adobe Flash Player 9 ActiveX
Adobe Reader 8.1.2 - Deutsch
AnalogX Proxy
AVG Free 8.0
AXIS Media Control Embedded
BlueSoleil
DC++ 0.707
Dev-C++ 5 beta 9 release (4.9.9.2)
Driver Updater Pro
Driver Updater Pro
Foxit Reader
Google Earth
GPL Ghostscript 8.61
GPL Ghostscript Fonts
HijackThis 2.0.2
Hotfix for Windows Media Format 11 SDK (KB929399)
Hotfix für Windows Internet Explorer 7 (KB947864)
Hotfix für Windows Media Player 11 (KB939683)
Hotfix für Windows XP (KB952287)
HP Photo and Imaging 2.0 - All-in-One
HP Photo and Imaging 2.0 - All-in-One Drivers
HP Photo and Imaging 2.0 - hp psc 1200 series
hp psc 1200 series
HP PSC 1400 series
ICQ6.5
Intel(R) PROSet/Wireless Software
InterActual Player
J2SE Runtime Environment 5.0 Update 10
J2SE Runtime Environment 5.0 Update 11
Java(TM) 6 Update 2
Java(TM) 6 Update 3
Java(TM) SE Runtime Environment 6 Update 1
Jump Player
KTP Ware PS/2-WDM 5.0.0.1
Malwarebytes' Anti-Malware
mCore
mDriver
mDrWiFi
mHelp
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 Hotfix (KB928366)
Microsoft .NET Framework 2.0 Language Pack - DEU
Microsoft .NET Framework 2.0 Service Pack 1
Microsoft Compression Client Pack 1.0 for Windows XP
Microsoft Internationalized Domain Names Mitigation APIs
Microsoft National Language Support Downlevel APIs
Microsoft Office Professional Edition 2003
Microsoft User-Mode Driver Framework Feature Pack 1.0
Microsoft Visual C++ 2005 Redistributable
Miranda Fusion 2.0.2
mIWA
mLogView
mMHouse
Motorola SM56 Data Fax Modem
Mozilla Firefox (3.0.4)
mPfMgr
mPfWiz
mProSafe
MSXML 4.0 SP2 (KB927978)
MSXML 4.0 SP2 (KB936181)
MSXML 4.0 SP2 (KB954430)
MSXML 6.0 Parser (KB933579)
Multimedia / Internet Keyboard Driver VerR8.15
mWlsSafe
mXML
mZConfig
Nero Suite
Network Stumbler 0.4.0 (remove only)
Opera 9.62
Pando
PowerDVD
Pro/ENGINEER Release Wildfire 3.0 Datecode M090
PTC ProductView Express - Wildfire 3.0 (M010)
QuickTime
Realtek AC'97 Audio
Sicherheitsupdate für Step by Step Interactive Training (KB898458)
Sicherheitsupdate für Step by Step Interactive Training (KB923723)
Sicherheitsupdate für Windows Internet Explorer 7 (KB928090)
Sicherheitsupdate für Windows Internet Explorer 7 (KB931768)
Sicherheitsupdate für Windows Internet Explorer 7 (KB933566)
Sicherheitsupdate für Windows Internet Explorer 7 (KB937143)
Sicherheitsupdate für Windows Internet Explorer 7 (KB938127)
Sicherheitsupdate für Windows Internet Explorer 7 (KB939653)
Sicherheitsupdate für Windows Internet Explorer 7 (KB942615)
Sicherheitsupdate für Windows Internet Explorer 7 (KB944533)
Sicherheitsupdate für Windows Internet Explorer 7 (KB950759)
Sicherheitsupdate für Windows Internet Explorer 7 (KB953838)
Sicherheitsupdate für Windows Internet Explorer 7 (KB956390)
Sicherheitsupdate für Windows Internet Explorer 7 (KB958215)
Sicherheitsupdate für Windows Media Player (KB952069)
Sicherheitsupdate für Windows Media Player 10 (KB917734)
Sicherheitsupdate für Windows Media Player 11 (KB936782)
Sicherheitsupdate für Windows Media Player 11 (KB954154)
Sicherheitsupdate für Windows XP (KB938464)
Sicherheitsupdate für Windows XP (KB941569)
Sicherheitsupdate für Windows XP (KB946648)
Sicherheitsupdate für Windows XP (KB950760)
Sicherheitsupdate für Windows XP (KB950762)
Sicherheitsupdate für Windows XP (KB950974)
Sicherheitsupdate für Windows XP (KB951066)
Sicherheitsupdate für Windows XP (KB951376)
Sicherheitsupdate für Windows XP (KB951376-v2)
Sicherheitsupdate für Windows XP (KB951698)
Sicherheitsupdate für Windows XP (KB951748)
Sicherheitsupdate für Windows XP (KB952954)
Sicherheitsupdate für Windows XP (KB953839)
Sicherheitsupdate für Windows XP (KB954211)
Sicherheitsupdate für Windows XP (KB954459)
Sicherheitsupdate für Windows XP (KB954600)
Sicherheitsupdate für Windows XP (KB955069)
Sicherheitsupdate für Windows XP (KB956391)
Sicherheitsupdate für Windows XP (KB956802)
Sicherheitsupdate für Windows XP (KB956803)
Sicherheitsupdate für Windows XP (KB956841)
Sicherheitsupdate für Windows XP (KB957095)
Sicherheitsupdate für Windows XP (KB957097)
Sicherheitsupdate für Windows XP (KB958644)
Skype™ 3.6
SopCast 3.0.3
Spybot - Search & Destroy
TeamViewer 3
Trillian
Trust Webcam Live
TuneUp Utilities 2009
Update für Windows XP (KB951072-v2)
Update für Windows XP (KB951978)
Update für Windows XP (KB955839)
VIA Rhine-Family Fast Ethernet Adapter
VIA/S3G Display Driver
VLC media player 0.9.4
VPN Client
Windows Media Format 11 runtime
Windows Media Format 11 runtime
Windows Media Player 11
Windows Media Player 11
Windows Media Player Firefox Plugin
Windows XP Service Pack 3
WinRAR Archivierer
Wolfram Notebook Indexer 1.1
WordToPDF 2.4



wäre super wenn man mir helfen könnte, danke jetz schonma

#2 Virustotal

Verborgene Dateien sichtbar machen
Arbeitsplatz öffnen >Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und Ordner >"alle Dateien und Ordner anzeigen" aktivieren und >Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner >"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren

Prüfe mal diese Datei(en) bei Virustotal http://www.virustotal.com/flash/index_en.html

Zitat

c:\windows\system32\drivers\ngqitido.sys

Note: Wenn bei ViruTotal die Meldung kommt ” Die Datei wurde bereits analysiert “wähle „Analysiere die Datei“
Poste nur die URL am Ende(der link oben in der leiste)
__________
MfG Argus

#3 hier die analyse:

http://www.virustotal.com/de/analisis/01b81d1d5394b11cd72e26c9e69c4eae

hoffe das hilft irgendwie weiter

#4 cfscript
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop.
Gebe bei Dateityp 'Alle Dateien' an.
Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

File::
c:\windows\system32\drivers\ngqitido.sys

CFScript.txt mit der rechten Maustaste auf das Symbol von Combofix ziehen



Combofix noch mal anwenden
poste dann nach Neustart das neue Log
__________
MfG Argus

#5 hier der neue logfile:

ComboFix 08-12-15.04 - Isabell Hoffmann 2008-12-16 14:45:22.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.958.495 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Isabell Hoffmann\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Isabell Hoffmann\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

[COLOR=RED]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/COLOR]
.

((((((((((((((((((((((( Dateien erstellt von 2008-11-16 bis 2008-12-16 ))))))))))))))))))))))))))))))
.

2008-12-16 14:28 . 2008-12-16 14:31 <DIR> d-------- c:\windows\system32\drivers\Avg
2008-12-16 14:28 . 2008-12-16 14:28 97,928 --a------ c:\windows\system32\drivers\avgldx86.sys
2008-12-16 14:28 . 2008-12-16 14:28 10,520 --a------ c:\windows\system32\avgrsstx.dll
2008-12-16 09:08 . 2008-12-16 09:08 61,440 --a------ c:\windows\system32\drivers\ngqitido.sys
2008-12-16 03:15 . 2008-12-16 03:15 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2008-12-16 03:15 . 2008-12-16 03:15 <DIR> d-------- c:\dokumente und einstellungen\Isabell Hoffmann\Anwendungsdaten\Malwarebytes
2008-12-16 03:15 . 2008-12-16 03:15 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-12-16 03:15 . 2008-12-03 19:52 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2008-12-16 03:15 . 2008-12-03 19:52 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2008-12-16 03:04 . 2008-12-16 03:04 <DIR> d-------- c:\programme\TuneUp Utilities 2009
2008-12-16 03:04 . 2008-12-16 03:04 603,904 --a------ c:\windows\system32\TUProgSt.exe
2008-12-16 03:04 . 2008-12-16 03:04 360,192 --a------ c:\windows\system32\TuneUpDefragService.exe
2008-12-16 03:03 . 2008-12-16 03:03 <DIR> d--hs---- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{55A29068-F2CE-456C-9148-C869879E2357}
2008-12-16 02:53 . 2008-12-16 02:53 <DIR> d-------- c:\programme\Trend Micro
2008-12-16 02:23 . 2008-12-16 02:23 79 --a------ c:\windows\wininit.ini
2008-12-16 02:03 . 2008-12-16 02:03 <DIR> d-------- c:\programme\spybot
2008-12-15 23:39 . 2008-12-15 23:41 <DIR> d-------- c:\programme\XeroBank
2008-12-13 21:55 . 2008-12-16 09:22 <DIR> d-------- c:\programme\cyrano
2008-12-13 21:55 . 2008-12-13 22:01 253,952 --------- c:\windows\Setup1.exe
2008-12-13 21:55 . 2008-12-13 22:01 74,752 --a------ c:\windows\ST6UNST.EXE
2008-12-12 00:56 . 2008-12-12 00:56 <DIR> d-------- c:\programme\SopCast
2008-12-11 18:04 . 2008-12-11 18:04 <DIR> d--h----- c:\windows\PIF
2008-12-11 17:53 . 2008-12-11 17:55 309 --a------ c:\windows\UChromeP.uns
2008-12-11 17:52 . 2008-12-11 17:52 <DIR> d-------- c:\programme\Medion
2008-12-11 17:45 . 2008-12-11 17:45 <DIR> d-------- c:\programme\Realtek AC97
2008-12-11 17:20 . 2008-12-11 17:20 <DIR> d--h-c--- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{4439F0FD-AFAF-434D-86E2-DEB14A9C58AC}
2008-12-10 13:32 . 2008-12-11 15:05 <DIR> d-------- c:\programme\Jump Player
2008-12-07 21:13 . 2008-12-07 21:19 19,571 --a------ c:\windows\hpoins01.dat
2008-12-07 21:13 . 2003-04-22 10:24 16,606 --------- c:\windows\hpomdl01.dat
2008-12-07 20:53 . 2008-12-07 20:53 <DIR> d-------- c:\programme\iXi Tools
2008-12-04 17:58 . 2008-12-04 18:03 <DIR> d-------- c:\programme\ICQ6.5
2008-11-30 21:15 . 2008-12-05 01:21 113 --a------ c:\windows\(null)toolkit.ini
2008-11-30 21:14 . 2008-11-30 21:14 <DIR> d-------- c:\dokumente und einstellungen\Isabell Hoffmann\Anwendungsdaten\Trillian
2008-11-30 14:33 . 2008-11-30 14:33 <DIR> d-------- C:\unzipped
2008-11-30 14:30 . 2008-11-30 14:30 <DIR> d-------- c:\programme\MirandaFusion
2008-11-29 00:35 . 2008-11-29 00:35 <DIR> d-------- c:\programme\TeamViewer3
2008-11-27 20:02 . 2008-11-27 20:02 <DIR> d-------- c:\programme\AnalogX
2008-11-23 19:44 . 2008-12-07 21:12 <DIR> d-------- c:\temp\HP All-in-One Series Web Release

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-16 13:28 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avg8
2008-12-16 08:08 194 ----a-w c:\programme\msbp.txt
2008-12-16 01:06 --------- d-----w c:\programme\Spybot - Search & Destroy
2008-12-16 01:06 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-12-15 21:54 --------- d-----w c:\programme\DC++
2008-12-11 16:55 --------- d--h--w c:\programme\InstallShield Installation Information
2008-12-11 14:23 --------- d-----w c:\dokumente und einstellungen\Isabell Hoffmann\Anwendungsdaten\dvdcss
2008-12-11 13:23 --------- d-----w c:\programme\Trillian
2008-12-11 12:31 27,904 ----a-w c:\windows\system32\uxtuneup.dll
2008-12-04 17:01 --------- d-----w c:\programme\ICQ6
2008-11-24 20:16 --------- d-----w c:\dokumente und einstellungen\Isabell Hoffmann\Anwendungsdaten\Skype
2008-11-24 19:27 --------- d-----w c:\dokumente und einstellungen\Isabell Hoffmann\Anwendungsdaten\skypePM
2008-11-23 21:48 --------- d-----w c:\programme\Google
2008-11-23 19:15 --------- d-----w c:\dokumente und einstellungen\Isabell Hoffmann\Anwendungsdaten\WordToPDF
2008-11-23 18:58 917 ---ha-w c:\dokumente und einstellungen\Isabell Hoffmann\hpothb07.dat
2008-11-20 21:23 --------- d-----w c:\programme\SmartSoftVideoConverterPro
2008-11-20 21:19 --------- d-----w c:\programme\Hewlett-Packard
2008-11-20 21:03 --------- d-----w c:\programme\Gemeinsame Dateien\Adobe
2008-11-08 21:10 --------- d-----w c:\programme\Network Stumbler
2008-11-03 15:20 --------- d-----w c:\programme\Opera
2008-10-24 11:21 455,296 ----a-w c:\windows\system32\drivers\mrxsmb.sys
2008-10-23 12:36 286,720 ----a-w c:\windows\system32\gdi32.dll
2008-10-21 20:16 --------- d-----w c:\dokumente und einstellungen\Isabell Hoffmann\Anwendungsdaten\vlc
2008-10-21 20:14 --------- d-----w c:\programme\VideoLAN
2008-10-16 20:04 826,368 ----a-w c:\windows\system32\wininet.dll
2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll
2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll
2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll
2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll
2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll
2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe
2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll
2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll
2008-10-03 10:03 247,326 ----a-w c:\windows\system32\strmdll.dll
2008-09-30 15:43 1,286,152 ----a-w c:\windows\system32\msxml4.dll
2008-01-31 17:16 32 ----a-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\ezsid.dat
2008-01-14 07:56 5,827,152 ----a-w c:\programme\Firefox_Setup_2.0.0.11de.exe
2008-01-14 07:32 17,820,592 ----a-w c:\programme\antivir_workstation_win7u_de_h270.exe
2007-12-12 15:41 1,911,240 ----a-w c:\programme\daemon_tools.exe
2007-11-09 21:03 10,717,440 ----a-w c:\programme\TU2007TrialDE.exe
2007-10-15 12:48 4,432,944 ----a-w c:\programme\PandoSetup.exe
2007-10-03 17:12 6,573,064 ----a-w c:\programme\Gran Paradiso Setup Alpha 8.exe
2007-10-03 16:56 5,817,144 ----a-w c:\programme\Firefox Setup 2.0.0.7.exe
2007-09-28 19:59 9,679,815 ----a-w c:\programme\vlc-0.8.6c-win32.exe
2007-09-08 22:35 53,003 ----a-w c:\programme\TranslationDE.zip
2007-08-22 18:08 17,976,688 ----a-w c:\programme\Install_Messenger.exe
2007-07-11 18:55 1,673,201 ----a-w c:\programme\Line_Rider_2-6-1.exe
2007-07-08 17:35 15,732,984 ----a-w c:\programme\Google_Earth_BZXE.exe
2007-06-17 19:12 11,898,432 ----a-w c:\programme\install_pro7_icq6.exe
2007-06-15 13:57 767 ----a-w c:\programme\DivX Player.lnk
2007-06-15 13:57 1,641 ----a-w c:\programme\DivX Movies.lnk
2007-06-15 13:56 778 ----a-w c:\programme\DivX Converter.lnk
2007-06-15 13:54 21,736,784 ----a-w c:\programme\DivXInstaller.exe
2007-05-18 14:57 9,216 -csha-w c:\programme\Thumbs.db
2007-04-20 22:53 11,603,464 ----a-w c:\programme\Install_ICQ6.exe
2007-04-19 14:20 20,942,920 ----a-w c:\programme\SkypeSetup.exe
2007-03-23 23:14 8,477,156 ----a-w c:\programme\vpnclient-windows-csn-4.8.00.0440-k9.exe
2007-03-01 11:50 6,051,840 ----a-w c:\programme\icq5_1_german_setup.exe
2007-02-25 01:07 36,808,256 ----a-w c:\programme\iTunesSetup.exe
2007-01-12 16:17 25,842,736 ----a-w c:\programme\wmp11-windowsxp-x86-DE-DE.exe
2007-01-12 15:47 14,843,696 ----a-w c:\programme\IE7-WindowsXP-x86-deu.exe
2006-11-29 12:52 72,997 ----a-w c:\programme\uninstall.exe
2006-11-03 18:59 217,323 -c--a-w c:\programme\_online_banking.pdf
2006-10-27 14:13 2,465,979 ------w c:\programme\devcpp-4.9.9.2_nomingw_setup.exe
2006-10-18 16:42 3,005,632 ----a-w c:\programme\vcsetup.exe
2006-10-05 18:49 8,646,090 ------w c:\programme\vpnclient-windows-tuc-4.8.01.0300-k9.exe
2006-09-09 11:57 475,608 ----a-w c:\programme\gmx_toolbar.exe
2006-09-08 18:50 11,795,448 ----a-w c:\programme\antivir_workstation_win7u_de_h.exe
2006-07-09 15:13 4,017,570 ----a-w c:\programme\pd_setup.exe
2006-06-22 09:18 712 -c--a-w c:\programme\VPN-Zugang TU Chemnitz.pcf
2006-04-20 06:34 70,693 -c--a-w c:\programme\data1.hdr
2006-04-20 06:34 7,551,504 -c--a-w c:\programme\data2.cab
2006-04-20 06:34 472,165 ----a-w c:\programme\data1.cab
2006-04-20 06:34 435 -c--a-w c:\programme\layout.bin
2006-04-20 06:34 29,752 ----a-w c:\programme\InstHelper.dll
2006-04-20 06:34 217,220 ----a-w c:\programme\installservice.exe
2006-04-20 06:34 190,283 -c--a-w c:\programme\setup.inx
2006-04-20 06:34 132 -c--a-w c:\programme\Setup.ini
2006-04-20 06:34 1,603 -c--a-w c:\programme\sig.dat
2006-04-20 06:33 16,506 ----a-w c:\programme\DelayInst.exe
2006-04-20 06:29 154,756 -c--a-w c:\programme\Setup.bmp
2005-12-09 21:06 3,948 -c--a-w c:\programme\README.TXT
2005-02-22 16:22 964,096 ----a-w c:\programme\devcpp.exe
2005-02-22 16:22 1,785,278 -c--a-w c:\programme\devcpp.map
2005-02-19 22:04 697,941 ----a-w c:\programme\Packman.map
2005-02-19 22:04 380,928 ----a-w c:\programme\Packman.exe
2004-12-03 17:15 10,807 -c--a-w c:\programme\NEWS.txt
2004-04-23 14:29 986,173 ----a-w c:\programme\wrar330d.exe
2003-04-22 14:32 2,736,128 ------w c:\programme\aiodrv.msi
2003-04-22 14:28 2,605,056 ------w c:\programme\aiosw.msi
2003-04-22 14:10 16,606 ----a-w c:\programme\hpomdl01.dat
2003-04-22 14:09 201 ----a-w c:\programme\readme.html
2003-04-09 17:19 2,848 ----a-w c:\programme\hpound08.inf
2003-04-09 17:19 14,157 ----a-w c:\programme\hpousc08.inf
2003-04-09 17:00 4,715 ----a-w c:\programme\hpoglu08.inf
2003-04-09 17:00 2,889 ----a-w c:\programme\hpousb08.inf
2003-03-20 15:20 24,728 ----a-w c:\programme\HPZipr12.cat
2003-03-20 15:20 24,285 ----a-w c:\programme\hposcu08.cat
2003-03-20 15:20 22,523 ----a-w c:\programme\HPZius12.cat
2003-03-20 15:20 22,082 ----a-w c:\programme\hpzist12.cat
.

((((((((((((((((((((((((((((( snapshot@2008-12-16_13.03.24.53 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-11-26 20:06:11 26,824 ----a-w c:\windows\system32\drivers\avgmfx86.sys
+ 2008-12-16 13:28:29 26,824 ----a-w c:\windows\system32\drivers\avgmfx86.sys
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"KTPWare"="c:\programme\Elantech\Ktp.exe" [2005-04-04 253952]
"IntelZeroConfig"="c:\programme\Intel\Wireless\bin\ZCfgSvc.exe" [2007-02-16 798720]
"IntelWireless"="c:\programme\Intel\Wireless\Bin\ifrmewrk.exe" [2007-02-16 696320]
"AVG8_TRAY"="c:\progra~1\AVG\AVG8\avgtray.exe" [2008-12-16 1261336]
"CHotkey"="mHotkey.exe" [2001-12-26 c:\windows\mHotkey.exe]
"SoundMan"="SOUNDMAN.EXE" [2007-04-16 c:\windows\soundman.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=avgrsstx.dll

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^BlueSoleil.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\BlueSoleil.lnk
backup=c:\windows\pss\BlueSoleil.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 10:50 155648 c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Pando]
--a------ 2008-07-25 05:23 6591816 c:\programme\Pando Networks\Pando\pando.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"Pml Driver HPZ12"=3 (0x3)
"ose"=3 (0x3)
"iPod Service"=3 (0x3)
"BlueSoleil Hid Service"=2 (0x2)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"ctfmon.exe"=c:\windows\system32\ctfmon.exe
"DAEMON Tools"="c:\programme\DAEMON Tools\daemon.exe" -lang 1033

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_03\bin\jusched.exe"
"VTTimer"=VTTimer.exe
"IntelZeroConfig"="c:\programme\Intel\Wireless\bin\ZCfgSvc.exe"
"VTTrayp"=VTtrayp.exe
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Pando Networks\\Pando\\pando.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\DC++\\DCPlusPlus.exe"=
"c:\\Programme\\SopCast\\SopCast.exe"=
"c:\\Dokumente und Einstellungen\\Isabell Hoffmann\\Anwendungsdaten\\SopCast\\adv\\SopAdver.exe"=
"c:\\Programme\\proeWildfire 3.0\\i486_nt\\nms\\nmsd.exe"=
"c:\\Programme\\proeWildfire 3.0\\i486_nt\\obj\\pro_comm_msg.exe"=
"c:\\Programme\\proeWildfire 3.0\\i486_nt\\obj\\xtop.exe"=
"c:\\Programme\\SopCast\\adv\\SopAdver.exe"=
"c:\\Programme\\SopCast\\sopvod.exe"=
"c:\\Programme\\kav\\kav7.0\\english\\setup.exe"=
"c:\\Programme\\Opera\\Opera.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Programme\\Trillian\\trillian.exe"=
"c:\\Programme\\AnalogX\\Proxy\\proxy.exe"=
"c:\\Programme\\MirandaFusion\\miranda32.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\AVG\\AVG8\\avgupd.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)

R1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\system32\Drivers\avgldx86.sys [2008-12-16 97928]
R2 avg8wd;AVG Free8 WatchDog;c:\progra~1\AVG\AVG8\avgwdsvc.exe [2008-12-16 231704]
R3 Ktp;Elantech Touchpad;c:\windows\system32\DRIVERS\Ktp.sys [2006-08-09 25984]
S3 PAC7311;Trust Webcam Live;c:\windows\system32\DRIVERS\PA707UCM.SYS [2007-03-14 449024]
S3 zlportio;zlportio;\??\c:\dokumente und einstellungen\Isabell Hoffmann\Eigene Dateien\ultrastar-dx-100\zlportio.sys []

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

*Newly Created Service* - AVG8WD
*Newly Created Service* - AVGLDX86
*Newly Created Service* - AVGMFX86
.
Inhalt des "geplante Tasks" Ordners

2008-12-08 c:\windows\Tasks\FRU Task #Hewlett-Packard#hp psc 1200 series#1228681171.job
- c:\programme\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe [2003-04-09 17:56]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uInternet Settings,ProxyOverride = *.local
IE: Add to AMV Convert Tool... - c:\programme\MP3 Player Utilities 3.78\AMVConverter\grab.html
IE: Add to AMV Converter... - c:\programme\MP3 Player Utilities 4.09\AMVConverter\grab.html
IE: MediaManager tool grab multimedia file - c:\programme\MP3 Player Utilities 4.09\MediaManager\grab.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

c:\windows\Downloaded Program Files\Rawflow.ocx - O16 -: {029FDBA6-3547-11D7-AA4C-0050BF051A00}
hxxp://213.200.64.229/freestream/download/energy/sachsen/p2p/Rawflow.cab

O16 -: {1ED48504-8834-11D5-AC75-0008C73FD642} - file:///C:/Programme/proeWildfire%203.0/i486_nt/obj/pvx_install.exe

O16 -: {DE625294-70E6-45ED-B895-CFFA13AEB044} - hxxp://134.109.68.116/activex/AMC.cab
c:\windows\Downloaded Program Files\setup.inf
FF - ProfilePath - c:\dokumente und einstellungen\Isabell Hoffmann\Anwendungsdaten\Mozilla\Firefox\Profiles\4cy8slmd.default\
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: content.max.tokenizing.time - 200000
FF - user.js: content.notify.interval - 100000
FF - user.js: content.switch.threshold - 650000
FF - user.js: nglayout.initialpaint.delay - 300
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - prefs.js: network.proxy.ftp - 134.109.84.128
FF - prefs.js: network.proxy.ftp_port - 21
FF - prefs.js: network.proxy.http - 134.109.84.128
FF - prefs.js: network.proxy.http_port - 6588
FF - prefs.js: network.proxy.type - 1
FF - plugin: c:\programme\Mozilla Firefox\plugins\npGoogleGadgetPluginFirefoxWin.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npPandoWebInst.dll
FF - plugin: c:\programme\Opera\program\plugins\npagent.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-16 14:48:57
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-12-16 14:51:04
ComboFix-quarantined-files.txt 2008-12-16 13:49:59
ComboFix2.txt 2008-12-16 12:04:10

Vor Suchlauf: 8.219.684.864 Bytes frei
Nach Suchlauf: 8,204,836,864 Bytes frei

280 --- E O F --- 2008-12-12 00:09:54

hoffe das hilft weiter

PS: werde erst gg 17:15uhr wieder am laptop sein

#6 Download Avenger
http://virus-protect.org/artikel/tools/avenger.html

kopiere in das weisse Feld:

Files to delete:
c:\windows\system32\drivers\ngqitido.sys

schliesse alle offenen Programme (denn nach Anwendung des Avengers wird der Rechner neustarten)

- Klicke: Execute

- bestätige, dass der Rechner neu gestartet wird - klicke "yes"
nach dem Neustart erscheint automatisch ein Log vom Avenger - (C:\avenger.txt) poste dessen Inhalt
__________
MfG Argus

#7 hab ein problem:

beim rebooten nach dem ausführen von avenger kommt ein bluescreen und laptop fragt ob im gesicherten modus, normal oder ähnliches gestartet werden soll....es wird auch demzufolge kein logfile erstellt

keine ahnung was ich da machen soll

#8 kannst du mal ein frisches hjt und combofixlog posten?