Trojaner von AntiVir gefunden; Autom.Updates & Virensoftware deaktiviert; ...

#1 1.Problembeschreibung / Symptome ?

die Trojaner, die von Antivir gefunden wurden, heißen:

TR/Vundo.NS
TR/Monder.acag

Beim Systemstart wird durch diese das Virenprogramm (Antivir) automatisch deaktiviert und die Windows Updates ebenso (können auch manuell nicht eingeschalten werden). Dazu öffnen sich nur (!) beim weiteren surfen mit Firefox alle paar Klicks unmotiviert Browserfenster - und ein paar Mal am Tag öffnet sich der IE und will mit dem Antivirus2009 den PC auf Viren testen.

2.Temporäre Dateien beseitigen

[x] done

3.mache einen Scan mit Malwarebytes

[x] done
(Log-Datei im Anhang)

4.Combofix

laut Combofix keine Wiederherstellungskonsole vorhanden, sowie keine aktive Internetverbindung -> Fehlermeldung:
"Boot Partition kann nicht richtig enummeriert werden."

Report: (Name durch **** ersetzt)

Zitat

ComboFix 08-12-21.04 - **** 2008-12-22 16:19:17.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.1023.685 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\****\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[COLOR=RED]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/COLOR]
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat
C:\test.txt
c:\windows\system32\kakhmlgb.ini
c:\windows\system32\lxhoivrp.ini
c:\windows\system32\mtobjtfi.dll
c:\windows\system32\rpidxhhy.ini
c:\windows\system32\urqRLfge.dll
c:\windows\Tasks\paimzgen.job
c:\windows\Temp\tmp3.tmp

----- BITS: Eventuell infizierte Webseiten -----

hxxp://childhe.com
.
((((((((((((((((((((((( Dateien erstellt von 2008-11-22 bis 2008-12-22 ))))))))))))))))))))))))))))))
.

2008-12-22 16:02 . 2008-12-22 16:02 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2008-12-22 16:02 . 2008-12-22 16:02 <DIR> d-------- c:\dokumente und einstellungen\****\Anwendungsdaten\Malwarebytes
2008-12-22 16:02 . 2008-12-22 16:02 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-12-22 16:02 . 2008-12-03 19:52 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2008-12-22 16:02 . 2008-12-03 19:52 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2008-12-20 17:35 . 2008-12-20 17:35 25,752 --ah----- c:\windows\system32\mlfcache.dat
2008-12-13 14:53 . 2008-12-13 14:53 95 --a------ c:\windows\wininit.ini
2008-12-13 13:52 . 2008-12-13 13:52 <DIR> d-------- c:\programme\TeaTimer (Spybot - Search & Destroy)
2008-12-13 13:52 . 2008-12-13 13:52 <DIR> d-------- c:\programme\SDHelper (Spybot - Search & Destroy)
2008-12-13 13:52 . 2008-12-13 13:52 <DIR> d-------- c:\programme\Misc. Support Library (Spybot - Search & Destroy)
2008-12-13 13:52 . 2008-12-13 13:52 <DIR> d-------- c:\programme\File Scanner Library (Spybot - Search & Destroy)
2008-12-06 10:27 . 2008-12-06 10:27 <DIR> d-------- c:\dokumente und einstellungen\****\Anwendungsdaten\Leawo
2008-12-06 10:26 . 2008-12-06 10:27 <DIR> d-------- c:\programme\AVI Converter
2008-11-29 09:37 . 2008-11-10 05:43 410,984 --a------ c:\windows\system32\deploytk.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-22 15:10 --------- d-----w c:\programme\Trillian
2008-12-22 13:54 --------- d-----w c:\programme\Mozilla Thunderbird
2008-12-22 13:28 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-12-20 17:30 --------- d-----w c:\dokumente und einstellungen\****\Anwendungsdaten\CoreFTP
2008-12-19 15:14 --------- d-----w c:\programme\MSD 0.654
2008-12-13 14:01 --------- d-----w c:\programme\Spybot - Search & Destroy
2008-12-13 13:53 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-12-09 18:28 --------- d-----w c:\dokumente und einstellungen\****\Anwendungsdaten\Skype
2008-12-06 09:24 --------- d-----w c:\programme\Java
2008-11-23 11:31 --------- d---a-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2008-11-01 13:17 --------- d-----w c:\programme\DivxToDVD
2008-10-31 16:20 --------- d-----w c:\programme\Fraps
2008-10-29 19:49 --------- d-----w c:\programme\SDP Multimedia
2008-10-24 11:21 455,296 ----a-w c:\windows\system32\drivers\mrxsmb.sys
2008-10-23 12:36 286,720 ----a-w c:\windows\system32\gdi32.dll
2008-10-16 20:04 826,368 ----a-w c:\windows\system32\wininet.dll
2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll
2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll
2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll
2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll
2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll
2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe
2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll
2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll
2008-10-08 08:45 606,208 ----a-w c:\windows\system32\xvidcore.dll
2008-10-03 10:03 247,326 ----a-w c:\windows\system32\strmdll.dll
2008-09-30 15:43 1,286,152 ----a-w c:\windows\system32\msxml4.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-09-16 1833296]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-09-17 8491008]
"PinnacleDriverCheck"="c:\windows\system32\PSDrvCheck.exe" [2003-11-10 406016]
"SoundMAXPnP"="c:\programme\Analog Devices\SoundMAX\SMax4PNP.exe" [2004-07-27 1388544]
"HP Component Manager"="c:\programme\HP\hpcoretech\hpcmpmgr.exe" [2003-12-22 241664]
"HPDJ Taskbar Utility"="c:\windows\system32\spool\drivers\w32x86\3\hpztsb10.exe" [2004-03-04 172032]
"HP Software Update"="c:\programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe" [2004-02-18 49152]
"avgnt"="c:\programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-17 266497]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-09-17 81920]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-11-11 185632]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2008-03-28 413696]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2008-03-30 267048]
"FreePDF Assistant"="c:\programme\FreePDF_XP\fpassist.exe" [2007-06-26 312320]
"MP10_EnsureFileVer"="c:\windows\inf\unregmp2.exe" [2008-04-14 212992]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2008-11-10 136600]
"nwiz"="nwiz.exe" [2007-09-17 c:\windows\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\****\Startmen�\Programme\Autostart\
Adobe Gamma.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2005-03-16 113664]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=vzrjgo.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Control Center]
--a------ 2004-05-05 13:18 1459200 c:\programme\ASUS\WLAN Card Utilities\Center.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
--a------ 2008-03-30 09:36 267048 c:\programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\mxomssmenu]
--a------ 2007-09-06 14:53 169264 c:\programme\Maxtor\OneTouch Status\MaxMenuMgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 10:50 155648 c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2008-03-28 22:37 413696 c:\programme\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sony Ericsson PC Suite]
--a------ 2008-02-20 16:19 360448 c:\programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
-rahs---- 2008-09-16 12:16 1833296 c:\programme\Spybot - Search & Destroy\TeaTimer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
--a------ 2007-12-20 16:16 37376 c:\programme\Winamp\winampa.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Miranda IM\\Miranda IM\\miranda32.exe"=
"c:\\Programme\\ABC\\abc.exe"=
"c:\\Programme\\TVUPlayer\\TVUPlayer.exe"=
"c:\\Programme\\PPMate\\ppmate.exe"=
"c:\\Programme\\SopCast\\SopCast.exe"=
"c:\\Dokumente und Einstellungen\\****\\Anwendungsdaten\\SopCast\\adv\\SopAdver.exe"=
"c:\\Programme\\Trillian\\trillian.exe"=
"c:\\Programme\\Last.fm\\LastFM.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\SopCast\\adv\\SopAdver.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\TVAnts\\Tvants.exe"=
"c:\\Programme\\Sony Ericsson\\Sony Ericsson Media Manager\\MediaManager.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R2 DriverX;DriverX;c:\windows\system32\drivers\DriverX.sys [1997-03-12 25792]
R3 3xHybrid;Pinnacle PCTV Stereo service;c:\windows\system32\DRIVERS\3xHybrid.sys [2007-07-13 969728]
S3 ASNDIS5;ASNDIS5 Protocol Driver;\??\c:\windows\system32\ASNDIS5.SYS [2007-07-13 16269]
S3 s3017bus;Sony Ericsson Device 3017 driver (WDM);c:\windows\system32\DRIVERS\s3017bus.sys [2008-10-18 83880]
S3 s3017mdfl;Sony Ericsson Device 3017 USB WMC Modem Filter;c:\windows\system32\DRIVERS\s3017mdfl.sys [2008-10-18 15016]
S3 s3017mdm;Sony Ericsson Device 3017 USB WMC Modem Driver;c:\windows\system32\DRIVERS\s3017mdm.sys [2008-10-18 110632]
S3 s3017mgmt;Sony Ericsson Device 3017 USB WMC Device Management Drivers (WDM);c:\windows\system32\DRIVERS\s3017mgmt.sys [2008-10-18 104616]
S3 s3017nd5;Sony Ericsson Device 3017 USB Ethernet Emulation SEMC3017 (NDIS);c:\windows\system32\DRIVERS\s3017nd5.sys [2008-10-18 25512]
S3 s3017obex;Sony Ericsson Device 3017 USB WMC OBEX Interface;c:\windows\system32\DRIVERS\s3017obex.sys [2008-10-18 100648]
S3 s3017unic;Sony Ericsson Device 3017 USB Ethernet Emulation SEMC3017 (WDM);c:\windows\system32\DRIVERS\s3017unic.sys [2008-10-18 110120]
S3 w200bus;Sony Ericsson W200 driver (WDM);c:\windows\system32\DRIVERS\w200bus.sys [2007-07-25 61504]
S3 w200mdfl;Sony Ericsson W200 USB WMC Modem Filter;c:\windows\system32\DRIVERS\w200mdfl.sys [2007-07-25 9328]
S3 w200mdm;Sony Ericsson W200 USB WMC Modem Driver;c:\windows\system32\DRIVERS\w200mdm.sys [2007-07-25 97056]
S3 w200mgmt;Sony Ericsson W200 USB WMC Device Management Drivers (WDM);c:\windows\system32\DRIVERS\w200mgmt.sys [2007-07-25 88560]
S3 w200obex;Sony Ericsson W200 USB WMC OBEX Interface;c:\windows\system32\DRIVERS\w200obex.sys [2007-07-25 86368]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E]
\Shell\Auto\command - AdobeR.exe e
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e

*Newly Created Service* - CATCHME
*Newly Created Service* - PROCEXP90
.
Inhalt des "geplante Tasks" Ordners

2008-12-22 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-04-11 16:57]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

BHO-{11A3B00F-84D8-4FAB-8DBE-CEC8A35B89C3} - (no file)
BHO-{3626A19B-CAC0-4216-B545-63A0698A85CC} - (no file)
BHO-{4073F645-4627-46DB-8CF4-FCAD36CDD1CF} - (no file)
BHO-{59AE9FA6-4741-4FFE-B0BF-840328487C26} - (no file)
BHO-{67F59612-76AB-4F04-A0F5-890C3DA3F731} - (no file)
BHO-{6DB3F2FB-EC43-45CE-94C0-990846EC7F6E} - (no file)
BHO-{74D2840C-E975-44A6-9128-3FFFB8BA317F} - (no file)
BHO-{C171F658-4AB8-4184-831A-065AA6E616C7} - (no file)
HKCU-Run-updateMgr - c:\programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe
HKLM-Run-BVRPLiveUpdate - c:\programme\Avanquest update\Engine\Setup.exe


.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://xanthippe.edu.uni-graz.at/webct/entryPageIns.dowebct
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\ve59tf3r.default\
FF - plugin: c:\programme\Mozilla Firefox\plugins\npmozax.dll

[color=red]ATTENTION: FIREFOX POLICES IS IN FORCE [/color]
c:\programme\Mozilla Firefox\defaults\pref\activex.js - pref("general.useragent.vendorComment", "ax");
c:\programme\Mozilla Firefox\defaults\pref\activex.js - pref("security.xpconnect.activex.global.hosting_flags", 9);
c:\programme\Mozilla Firefox\defaults\pref\activex.js - pref("security.classID.allowByDefault", false);
c:\programme\Mozilla Firefox\defaults\pref\activex.js - pref("capability.policy.default.ClassID.CID6BF52A52-394A-11D3-B153-00C04F79FAA6", "AllAccess");
c:\programme\Mozilla Firefox\defaults\pref\activex.js - pref("capability.policy.default.ClassID.CID22D6F312-B0F6-11D0-94AB-0080C74C7E95", "AllAccess");
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-22 16:21:22
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-12-22 16:23:52
ComboFix-quarantined-files.txt 2008-12-22 15:22:40

Vor Suchlauf: 9 Verzeichnis(se), 174.734.934.016 Bytes frei
Nach Suchlauf: 9 Verzeichnis(se), 174,828,294,144 Bytes frei

196 --- E O F --- 2008-12-12 13:51:31

5.Erstellen eines Hijackthis-Logfiles

Zitat

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:32:06, on 22.12.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\system32\svchost.exe
C:\windows\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Maxtor\Sync\SyncServices.exe
C:\Programme\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
C:\windows\system32\nvsvc32.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\windows\system32\wscntfy.exe
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\windows\system32\ctfmon.exe
C:\Programme\iPod\bin\iPodService.exe
C:\windows\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://xanthippe.edu.uni-graz.at/webct/entryPageIns.dowebct
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [MP10_EnsureFileVer] C:\windows\inf\unregmp2.exe /EnsureFileVersions
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\windows\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\windows\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\windows\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: vzrjgo.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Maxtor Service (Maxtor Sync Service) - Seagate Technology LLC - C:\Programme\Maxtor\Sync\SyncServices.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\windows\system32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 6784 bytes

6.Erstellen einer Uninstall Liste

Zitat

AVI Converter version 1.3.2.0
7-Zip 4.57
ABC (remove only)
Adobe Acrobat and Reader 8.1.2 Security Update 1 (KB403742)
Adobe Bridge 1.0
Adobe Common File Installer
Adobe Flash Player 10 Plugin
Adobe Flash Player ActiveX
Adobe Help Center 1.0
Adobe Photoshop CS2
Adobe Reader 8.1.2 - Deutsch
Adobe Shockwave Player
Adobe Stock Photos 1.0
Advance Split Machine v1.0
AFPL Ghostscript 8.54
AFPL Ghostscript Fonts
Apple Mobile Device Support
Apple Software Update
ASUS Probe V2.23.03
ASUS WLAN Card Utilities/Driver
AudioRecorder
Avanquest update
AVI-GIF 2.1
Avira AntiVir Personal - Free Antivirus
Core FTP LE 1.3c
DirektFotoSystem2
DivX Content Uploader
DivX Web Player
DivxToDVD 0.5.2
Documan 2.06
Easy Thumbnails (Remove only)
EVEREST Home Edition v2.20
FlatOut
FMC Graphic Pack V2.0
Football Manager 2007
Fraps
FreePDF XP (Remove only)
Haali Media Splitter
HAM
HijackThis 2.0.2
Hotfix for Windows Media Format 11 SDK (KB929399)
Hotfix für Windows Internet Explorer 7 (KB947864)
Hotfix für Windows XP (KB952287)
HP Deskjet 5700
HP Software Update
ImgBurn (Remove Only)
iPod for Windows 2005-02-22
iTunes
Java(TM) 6 Update 11
Java(TM) 6 Update 2
Java(TM) 6 Update 3
Java(TM) 6 Update 5
Java(TM) 6 Update 7
Last.fm 1.5.1.30182
Macromedia FreeHand MX
Malwarebytes' Anti-Malware
Matroska Pack
Maxtor Manager
Maxtor Manager
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 Hotfix (KB928366)
Microsoft .NET Framework 2.0 Language Pack - DEU
Microsoft .NET Framework 2.0 Service Pack 1
Microsoft Internationalized Domain Names Mitigation APIs
Microsoft National Language Support Downlevel APIs
Microsoft Office Professional Edition 2003
Microsoft SQL Server Desktop Engine (PINNACLESYS)
Microsoft User-Mode Driver Framework Feature Pack 1.0
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual C++ Run Time Lib Setup
Miranda IM 0.7.1
Mozilla Firefox (3.0.5)
Mozilla Thunderbird (2.0.0.18)
Mp3tag v2.41
MSXML 4.0 SP2 (KB925672)
MSXML 4.0 SP2 (KB927978)
MSXML 4.0 SP2 (KB936181)
MSXML 4.0 SP2 (KB954430)
MSXML 6.0 Parser (KB933579)
Nero 6 Enterprise Edition
NeroVision Express 3 SE
Notepad++
NVIDIA Drivers
OpenOffice.org 2.2
Paint Shop Pro 7
PowerDVD
PPMate Network TV 2.0.0.40
Pro Evolution Soccer 6
QuickTime
RealPlayer
RedMon - Redirection Port Monitor
Safari
SDP Downloader
Sicherheitsupdate für Windows Internet Explorer 7 (KB938127)
Sicherheitsupdate für Windows Internet Explorer 7 (KB942615)
Sicherheitsupdate für Windows Internet Explorer 7 (KB944533)
Sicherheitsupdate für Windows Internet Explorer 7 (KB950759)
Sicherheitsupdate für Windows Internet Explorer 7 (KB953838)
Sicherheitsupdate für Windows Internet Explorer 7 (KB956390)
Sicherheitsupdate für Windows Internet Explorer 7 (KB958215)
Sicherheitsupdate für Windows Media Player (KB952069)
Sicherheitsupdate für Windows Media Player 9 (KB917734)
Sicherheitsupdate für Windows XP (KB923789)
Sicherheitsupdate für Windows XP (KB938464)
Sicherheitsupdate für Windows XP (KB941569)
Sicherheitsupdate für Windows XP (KB946648)
Sicherheitsupdate für Windows XP (KB950760)
Sicherheitsupdate für Windows XP (KB950762)
Sicherheitsupdate für Windows XP (KB950974)
Sicherheitsupdate für Windows XP (KB951066)
Sicherheitsupdate für Windows XP (KB951376)
Sicherheitsupdate für Windows XP (KB951376-v2)
Sicherheitsupdate für Windows XP (KB951698)
Sicherheitsupdate für Windows XP (KB951748)
Sicherheitsupdate für Windows XP (KB952954)
Sicherheitsupdate für Windows XP (KB953839)
Sicherheitsupdate für Windows XP (KB954211)
Sicherheitsupdate für Windows XP (KB954459)
Sicherheitsupdate für Windows XP (KB954600)
Sicherheitsupdate für Windows XP (KB955069)
Sicherheitsupdate für Windows XP (KB956391)
Sicherheitsupdate für Windows XP (KB956802)
Sicherheitsupdate für Windows XP (KB956803)
Sicherheitsupdate für Windows XP (KB956841)
Sicherheitsupdate für Windows XP (KB957095)
Sicherheitsupdate für Windows XP (KB957097)
Sicherheitsupdate für Windows XP (KB958644)
SiS 900 PCI Fast Ethernet Adapter Driver
Skype 3.0
Skype Plugin Manager
Sony Ericsson Media Manager 1.1
Sony Ericsson PC Suite
Sony Ericsson PC Suite 3.209.00
SopCast 3.0.0
SoundMAX
SPEED-LINK DUAL SHOCK ADAPTER
Spybot - Search & Destroy
Spybot - Search & Destroy 1.4
SpywareBlaster v3.5.1
TextBridge Classic
Trillian
TVAnts 1.0
TVUPlayer 2.3.2.47
Update FMC V4.0 Beta 2
Update für Windows XP (KB951072-v2)
Update für Windows XP (KB951978)
Update für Windows XP (KB955839)
VideoLAN VLC media player 0.8.6c
VNC Free Edition 4.1.1
Winamp
Windows Media Format 11 runtime
Windows Media Format 11 runtime
Windows XP Service Pack 3
WinRAR archiver
XviD 1.1 final uninstall

so, hoffe alles wie gewünscht erledigt zu haben, vl besteht ja noch eine Chance, den PC nicht neu aufsetzen zu müssen. Dankeschön.

#2 Hallo Funkmaster,

hake in Hijackthis bitte folgendes an und druecke fix checked:

O20 - AppInit_DLLs: vzrjgo.dll

SChaue, ob der Eintrag nach einem Neustart verschwunden ist. Sollte Mbam danach nichts mehr melden, sollte es das schon gewesen sein...
__________
MfG Ralf
SEO-Spam Hunter

#3

Zitat

raman postete
Hallo Funkmaster,

hake in Hijackthis bitte folgendes an und druecke fix checked:

O20 - AppInit_DLLs: vzrjgo.dll

SChaue, ob der Eintrag nach einem Neustart verschwunden ist. Sollte Mbam danach nichts mehr melden, sollte es das schon gewesen sein...

Danke für die Rasche Antwort, der Trojaner scheint zumindest zur Hälfte entfernt worden zu sein. Hier meine Schritte:

1. Eintrag im HJT nicht mehr vorhanden
2. Malewarebytes findet immer noch Infiziertes, aber nur noch 2 Dateien (siehe Log-Datei anbei)
3. Nach dem Neustart sind die automatischen Updates wieder in der Einstellung, in der ich sie zugewiesen habe, aber der Antivir wird nach wie vor automatisch deaktiviert.
4. Logdatei von HJT:

Zitat

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:56:59, on 22.12.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\system32\svchost.exe
C:\windows\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Maxtor\Sync\SyncServices.exe
C:\Programme\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
C:\windows\system32\nvsvc32.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\windows\Explorer.EXE
C:\windows\system32\wscntfy.exe
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\windows\system32\RUNDLL32.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Programme\QuickTime\QTTask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\windows\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\iPod\bin\iPodService.exe
C:\windows\system32\wuauclt.exe
C:\Programme\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://xanthippe.edu.uni-graz.at/webct/entryPageIns.dowebct
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: (no name) - {11A3B00F-84D8-4FAB-8DBE-CEC8A35B89C3} - (no file)
O2 - BHO: (no name) - {3626A19B-CAC0-4216-B545-63A0698A85CC} - (no file)
O2 - BHO: (no name) - {4073F645-4627-46DB-8CF4-FCAD36CDD1CF} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {59AE9FA6-4741-4FFE-B0BF-840328487C26} - (no file)
O2 - BHO: (no name) - {67F59612-76AB-4F04-A0F5-890C3DA3F731} - (no file)
O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - (no file)
O2 - BHO: (no name) - {6DB3F2FB-EC43-45CE-94C0-990846EC7F6E} - (no file)
O2 - BHO: (no name) - {74D2840C-E975-44A6-9128-3FFFB8BA317F} - (no file)
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {C171F658-4AB8-4184-831A-065AA6E616C7} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [MP10_EnsureFileVer] C:\windows\inf\unregmp2.exe /EnsureFileVersions
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\windows\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\windows\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\windows\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Maxtor Service (Maxtor Sync Service) - Seagate Technology LLC - C:\Programme\Maxtor\Sync\SyncServices.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\windows\system32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 7535 bytes

#4 Dann erstelle und poste bitte ein Gmer Report:
http://forum.hijackthis.de/showthread.php?t=16868

Falls dieser zu lang sein sollte, haeng ihn an. Der Rootkitscan von Antivir bringt keine Funde zu Tage?
__________
MfG Ralf
SEO-Spam Hunter

#5 okay, der Reihe nach:

Antivir findet [jeweils gelöscht!]:

system32\mtobjtfi.dll -> TR/Monder.acfb
system32\urqRLfge.dll -> TR/Dldr.Agent.aubk
SystemVolumeInformation\...\A0067425.dll -> TR/Trash.Gen

der Gmer-Output:

Zitat

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2008-12-22 21:08:09
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.14 ----

SSDT sptd.sys ZwCreateKey [0xF755B0D0]
SSDT F7D6A224 ZwCreateThread
SSDT sptd.sys ZwEnumerateKey [0xF7560E2C]
SSDT sptd.sys ZwEnumerateValueKey [0xF75611BA]
SSDT sptd.sys ZwOpenKey [0xF755B0B0]
SSDT F7D6A210 ZwOpenProcess
SSDT F7D6A215 ZwOpenThread
SSDT sptd.sys ZwQueryKey [0xF7561292]
SSDT sptd.sys ZwQueryValueKey [0xF7561112]
SSDT sptd.sys ZwSetValueKey [0xF7561324]
SSDT F7D6A21F ZwTerminateProcess
SSDT F7D6A21A ZwWriteVirtualMemory

---- Kernel code sections - GMER 1.0.14 ----

? C:\windows\system32\drivers\sptd.sys Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
.text USBPORT.SYS!DllUnload F65EB8AC 5 Bytes JMP 86C361C8
? System32\Drivers\atvzx3z6.SYS Das System kann die angegebene Datei nicht finden. !

---- Kernel IAT/EAT - GMER 1.0.14 ----

IAT \windows\System32\Drivers\SCSIPORT.SYS[ntoskrnl.exe!IoConnectInterrupt] [F7571886] sptd.sys
IAT pci.sys[ntoskrnl.exe!IoDetachDevice] [F7571832] sptd.sys
IAT pci.sys[ntoskrnl.exe!IoAttachDeviceToDeviceStack] [F7593892] sptd.sys
IAT atapi.sys[ntoskrnl.exe!IoConnectInterrupt] [F7571886] sptd.sys
IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [F755BAD4] sptd.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [F755BC1A] sptd.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [F755BB9C] sptd.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [F755C748] sptd.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [F755C61E] sptd.sys
IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [F7570ACA] sptd.sys

---- Devices - GMER 1.0.14 ----

Device \FileSystem\Ntfs \Ntfs 86F5E1E8
Device \Driver\usbohci \Device\USBPDO-0 86C351E8
Device \Driver\dmio \Device\DmControl\DmIoDaemon 86FD21E8
Device \Driver\dmio \Device\DmControl\DmConfig 86FD21E8
Device \Driver\dmio \Device\DmControl\DmPnP 86FD21E8
Device \Driver\dmio \Device\DmControl\DmInfo 86FD21E8
Device \Driver\usbohci \Device\USBPDO-1 86C351E8
Device \Driver\usbohci \Device\USBPDO-2 86C351E8
Device \Driver\usbehci \Device\USBPDO-3 86C131E8
Device \Driver\PCI_NTPNP5534 \Device\00000048 sptd.sys
Device \Driver\Ftdisk \Device\HarddiskVolume1 86F601E8
Device \Driver\Ftdisk \Device\HarddiskVolume2 86F601E8
Device \Driver\Cdrom \Device\CdRom0 86D461E8
Device \Driver\Cdrom \Device\CdRom1 86D461E8
Device \Driver\usbstor \Device\00000073 86AF8620
Device \Driver\usbstor \Device\00000075 86AF8620
Device \Driver\usbstor \Device\00000076 86AF8620
Device \Driver\usbstor \Device\00000077 86AF8620
Device \Driver\NetBT \Device\NetBt_Wins_Export 86B821E8
Device \Driver\usbstor \Device\00000078 86AF8620
Device \Driver\NetBT \Device\NetbiosSmb 86B821E8
Device \Driver\usbohci \Device\USBFDO-0 86C351E8
Device \Driver\usbohci \Device\USBFDO-1 86C351E8
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 86B661E8
Device \Driver\usbohci \Device\USBFDO-2 86C351E8
Device \FileSystem\MRxSmb \Device\LanmanRedirector 86B661E8
Device \Driver\usbehci \Device\USBFDO-3 86C131E8
Device \Driver\NetBT \Device\NetBT_Tcpip_{849FE106-4AE5-46F4-958D-5596F69D107E} 86B821E8
Device \Driver\Ftdisk \Device\FtControl 86F601E8
Device \Driver\atvzx3z6 \Device\Scsi\atvzx3z61Port4Path0Target0Lun0 86BF3420
Device \Driver\atvzx3z6 \Device\Scsi\atvzx3z61 86BF3420
Device \FileSystem\Cdfs \Cdfs 86B5F1E8

---- Registry - GMER 1.0.14 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x14 0x35 0x9D 0x43 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xED 0x5A 0x20 0x34 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x0A 0x1E 0xA4 0x7A ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools\
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x14 0x35 0x9D 0x43 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xED 0x5A 0x20 0x34 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x0A 0x1E 0xA4 0x7A ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools\
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x14 0x35 0x9D 0x43 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xED 0x5A 0x20 0x34 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x0A 0x1E 0xA4 0x7A ...
Reg HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@cd042efbbd7f7af1647644e76e06692b 0xE2 0x63 0x26 0xF1 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@bca643cdc5c2726b20d2ecedcc62c59b 0x71 0x3B 0x04 0x66 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@2c81e34222e8052573023a60d06dd016 0xFF 0x7C 0x85 0xE0 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@2582ae41fb52324423be06337561aa48 0x86 0x8C 0x21 0x01 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@caaeda5fd7a9ed7697d9686d4b818472 0xCD 0x44 0xCD 0xB9 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@a4a1bcf2cc2b8bc3716b74b2b4522f5d 0xDF 0x20 0x58 0x62 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@4d370831d2c43cd13623e232fed27b7b 0xFB 0xA7 0x78 0xE6 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@1d68fe701cdea33e477eb204b76f993d 0x01 0x3A 0x48 0xFC ...
Reg HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@1fac81b91d8e3c5aa4b0a51804d844a3 0x51 0xFA 0x6E 0x91 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@f5f62a6129303efb32fbe080bb27835b 0x3D 0xCE 0xEA 0x26 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@fd4e2e1a3940b94dceb5a6a021f2e3c6 0x2A 0xB7 0xCC 0xB5 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@8a8aec57dd6508a385616fbc86791ec2 0x05 0x73 0x21 0xDD ...

---- EOF - GMER 1.0.14 ----

#6 Da zicken nur die Deamontools. Erstelle bitte ein neues aktuelles Combofix Report. Denke bitte daran alle AV/AS Programme zu deaktivieren, waehrend CF laeuft . Auch den Antivirguard und den Teatimer!
__________
MfG Ralf
SEO-Spam Hunter

#7 Combofix Report: (Name durch **** ersetzt)

Zitat

ComboFix 08-12-21.04 - **** 2008-12-23 13:30:19.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.1023.699 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\****\Desktop\ComboFix.exe

[COLOR=RED]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/COLOR]
.

((((((((((((((((((((((( Dateien erstellt von 2008-11-23 bis 2008-12-23 ))))))))))))))))))))))))))))))
.

2008-12-22 20:52 . 2008-12-22 20:53 250 --a------ c:\windows\gmer.ini
2008-12-22 20:51 . 2008-12-22 20:51 <DIR> d-------- c:\programme\gmer
2008-12-22 16:30 . 2008-12-22 18:56 <DIR> d-------- c:\programme\HJT
2008-12-22 16:02 . 2008-12-22 16:02 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2008-12-22 16:02 . 2008-12-22 16:02 <DIR> d-------- c:\dokumente und einstellungen\****\Anwendungsdaten\Malwarebytes
2008-12-22 16:02 . 2008-12-22 16:02 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-12-22 16:02 . 2008-12-03 19:52 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2008-12-22 16:02 . 2008-12-03 19:52 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2008-12-20 17:35 . 2008-12-20 17:35 25,752 --ah----- c:\windows\system32\mlfcache.dat
2008-12-13 14:53 . 2008-12-13 14:53 95 --a------ c:\windows\wininit.ini
2008-12-13 13:52 . 2008-12-13 13:52 <DIR> d-------- c:\programme\TeaTimer (Spybot - Search & Destroy)
2008-12-13 13:52 . 2008-12-13 13:52 <DIR> d-------- c:\programme\SDHelper (Spybot - Search & Destroy)
2008-12-13 13:52 . 2008-12-13 13:52 <DIR> d-------- c:\programme\Misc. Support Library (Spybot - Search & Destroy)
2008-12-13 13:52 . 2008-12-13 13:52 <DIR> d-------- c:\programme\File Scanner Library (Spybot - Search & Destroy)
2008-12-06 10:27 . 2008-12-06 10:27 <DIR> d-------- c:\dokumente und einstellungen\****\Anwendungsdaten\Leawo
2008-12-06 10:26 . 2008-12-06 10:27 <DIR> d-------- c:\programme\AVI Converter
2008-11-29 09:37 . 2008-11-10 05:43 410,984 --a------ c:\windows\system32\deploytk.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-23 12:23 --------- d-----w c:\programme\Trillian
2008-12-23 09:19 --------- d-----w c:\programme\Mozilla Thunderbird
2008-12-22 13:28 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-12-20 17:30 --------- d-----w c:\dokumente und einstellungen\****\Anwendungsdaten\CoreFTP
2008-12-19 15:14 --------- d-----w c:\programme\MSD 0.654
2008-12-13 14:01 --------- d-----w c:\programme\Spybot - Search & Destroy
2008-12-13 13:53 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-12-09 18:28 --------- d-----w c:\dokumente und einstellungen\****\Anwendungsdaten\Skype
2008-12-06 09:24 --------- d-----w c:\programme\Java
2008-11-23 11:31 --------- d---a-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2008-11-01 13:17 --------- d-----w c:\programme\DivxToDVD
2008-10-31 16:20 --------- d-----w c:\programme\Fraps
2008-10-29 19:49 --------- d-----w c:\programme\SDP Multimedia
2008-10-24 11:21 455,296 ----a-w c:\windows\system32\drivers\mrxsmb.sys
2008-10-23 12:36 286,720 ----a-w c:\windows\system32\gdi32.dll
2008-10-16 20:04 826,368 ----a-w c:\windows\system32\wininet.dll
2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll
2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll
2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll
2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll
2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll
2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe
2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll
2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll
2008-10-08 08:45 606,208 ----a-w c:\windows\system32\xvidcore.dll
2008-10-03 10:03 247,326 ----a-w c:\windows\system32\strmdll.dll
2008-09-30 15:43 1,286,152 ----a-w c:\windows\system32\msxml4.dll
.

((((((((((((((((((((((((((((( snapshot@2008-12-22_16.21.44,26 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-12-22 19:52:03 884,736 ----a-w c:\windows\gmer.dll
+ 2008-04-17 20:13:02 811,008 ----a-w c:\windows\gmer.exe
+ 2008-10-17 00:34:18 3,593,216 -c----w c:\windows\ie7updates\KB960714-IE7\mshtml.dll
+ 2007-03-06 01:14:13 217,312 -c----w c:\windows\ie7updates\KB960714-IE7\spuninst\spuninst.exe
+ 2007-03-06 01:15:22 377,568 -c----w c:\windows\ie7updates\KB960714-IE7\spuninst\updspapi.dll
- 2008-10-17 00:34:18 3,593,216 -c----w c:\windows\system32\dllcache\mshtml.dll
+ 2008-12-13 06:36:44 3,593,216 -c----w c:\windows\system32\dllcache\mshtml.dll
+ 2008-12-22 19:52:03 85,969 ----a-w c:\windows\system32\drivers\gmer.sys
- 2008-10-17 00:34:18 3,593,216 ----a-w c:\windows\system32\mshtml.dll
+ 2008-12-13 06:36:44 3,593,216 ----a-w c:\windows\system32\mshtml.dll
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-09-16 1833296]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-09-17 8491008]
"PinnacleDriverCheck"="c:\windows\system32\PSDrvCheck.exe" [2003-11-10 406016]
"SoundMAXPnP"="c:\programme\Analog Devices\SoundMAX\SMax4PNP.exe" [2004-07-27 1388544]
"HP Component Manager"="c:\programme\HP\hpcoretech\hpcmpmgr.exe" [2003-12-22 241664]
"HPDJ Taskbar Utility"="c:\windows\system32\spool\drivers\w32x86\3\hpztsb10.exe" [2004-03-04 172032]
"HP Software Update"="c:\programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe" [2004-02-18 49152]
"avgnt"="c:\programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-17 266497]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-09-17 81920]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-11-11 185632]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2008-03-28 413696]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2008-03-30 267048]
"FreePDF Assistant"="c:\programme\FreePDF_XP\fpassist.exe" [2007-06-26 312320]
"MP10_EnsureFileVer"="c:\windows\inf\unregmp2.exe" [2008-04-14 212992]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2008-11-10 136600]
"nwiz"="nwiz.exe" [2007-09-17 c:\windows\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\****\Startmen�\Programme\Autostart\
Adobe Gamma.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2005-03-16 113664]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Control Center]
--a------ 2004-05-05 13:18 1459200 c:\programme\ASUS\WLAN Card Utilities\Center.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
--a------ 2008-03-30 09:36 267048 c:\programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\mxomssmenu]
--a------ 2007-09-06 14:53 169264 c:\programme\Maxtor\OneTouch Status\MaxMenuMgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 10:50 155648 c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2008-03-28 22:37 413696 c:\programme\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sony Ericsson PC Suite]
--a------ 2008-02-20 16:19 360448 c:\programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
-rahs---- 2008-09-16 12:16 1833296 c:\programme\Spybot - Search & Destroy\TeaTimer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
--a------ 2007-12-20 16:16 37376 c:\programme\Winamp\winampa.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Miranda IM\\Miranda IM\\miranda32.exe"=
"c:\\Programme\\ABC\\abc.exe"=
"c:\\Programme\\TVUPlayer\\TVUPlayer.exe"=
"c:\\Programme\\PPMate\\ppmate.exe"=
"c:\\Programme\\SopCast\\SopCast.exe"=
"c:\\Dokumente und Einstellungen\\****\\Anwendungsdaten\\SopCast\\adv\\SopAdver.exe"=
"c:\\Programme\\Trillian\\trillian.exe"=
"c:\\Programme\\Last.fm\\LastFM.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\SopCast\\adv\\SopAdver.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\TVAnts\\Tvants.exe"=
"c:\\Programme\\Sony Ericsson\\Sony Ericsson Media Manager\\MediaManager.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R2 DriverX;DriverX;c:\windows\system32\drivers\DriverX.sys [1997-03-12 25792]
R3 3xHybrid;Pinnacle PCTV Stereo service;c:\windows\system32\DRIVERS\3xHybrid.sys [2007-07-13 969728]
S3 ASNDIS5;ASNDIS5 Protocol Driver;\??\c:\windows\system32\ASNDIS5.SYS [2007-07-13 16269]
S3 s3017bus;Sony Ericsson Device 3017 driver (WDM);c:\windows\system32\DRIVERS\s3017bus.sys [2008-10-18 83880]
S3 s3017mdfl;Sony Ericsson Device 3017 USB WMC Modem Filter;c:\windows\system32\DRIVERS\s3017mdfl.sys [2008-10-18 15016]
S3 s3017mdm;Sony Ericsson Device 3017 USB WMC Modem Driver;c:\windows\system32\DRIVERS\s3017mdm.sys [2008-10-18 110632]
S3 s3017mgmt;Sony Ericsson Device 3017 USB WMC Device Management Drivers (WDM);c:\windows\system32\DRIVERS\s3017mgmt.sys [2008-10-18 104616]
S3 s3017nd5;Sony Ericsson Device 3017 USB Ethernet Emulation SEMC3017 (NDIS);c:\windows\system32\DRIVERS\s3017nd5.sys [2008-10-18 25512]
S3 s3017obex;Sony Ericsson Device 3017 USB WMC OBEX Interface;c:\windows\system32\DRIVERS\s3017obex.sys [2008-10-18 100648]
S3 s3017unic;Sony Ericsson Device 3017 USB Ethernet Emulation SEMC3017 (WDM);c:\windows\system32\DRIVERS\s3017unic.sys [2008-10-18 110120]
S3 w200bus;Sony Ericsson W200 driver (WDM);c:\windows\system32\DRIVERS\w200bus.sys [2007-07-25 61504]
S3 w200mdfl;Sony Ericsson W200 USB WMC Modem Filter;c:\windows\system32\DRIVERS\w200mdfl.sys [2007-07-25 9328]
S3 w200mdm;Sony Ericsson W200 USB WMC Modem Driver;c:\windows\system32\DRIVERS\w200mdm.sys [2007-07-25 97056]
S3 w200mgmt;Sony Ericsson W200 USB WMC Device Management Drivers (WDM);c:\windows\system32\DRIVERS\w200mgmt.sys [2007-07-25 88560]
S3 w200obex;Sony Ericsson W200 USB WMC OBEX Interface;c:\windows\system32\DRIVERS\w200obex.sys [2007-07-25 86368]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E]
\Shell\Auto\command - AdobeR.exe e
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e
.
Inhalt des "geplante Tasks" Ordners

2008-12-22 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-04-11 16:57]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

BHO-{11A3B00F-84D8-4FAB-8DBE-CEC8A35B89C3} - (no file)
BHO-{3626A19B-CAC0-4216-B545-63A0698A85CC} - (no file)
BHO-{4073F645-4627-46DB-8CF4-FCAD36CDD1CF} - (no file)
BHO-{59AE9FA6-4741-4FFE-B0BF-840328487C26} - (no file)
BHO-{67F59612-76AB-4F04-A0F5-890C3DA3F731} - (no file)
BHO-{6DB3F2FB-EC43-45CE-94C0-990846EC7F6E} - (no file)
BHO-{74D2840C-E975-44A6-9128-3FFFB8BA317F} - (no file)
BHO-{C171F658-4AB8-4184-831A-065AA6E616C7} - (no file)


.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://xanthippe.edu.uni-graz.at/webct/entryPageIns.dowebct
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\ve59tf3r.default\
FF - prefs.js: browser.search.selectedEngine - Wikipedia (de)
FF - plugin: c:\programme\Mozilla Firefox\plugins\npmozax.dll

[color=red]ATTENTION: FIREFOX POLICES IS IN FORCE [/color]
c:\programme\Mozilla Firefox\defaults\pref\activex.js - pref("general.useragent.vendorComment", "ax");
c:\programme\Mozilla Firefox\defaults\pref\activex.js - pref("security.xpconnect.activex.global.hosting_flags", 9);
c:\programme\Mozilla Firefox\defaults\pref\activex.js - pref("security.classID.allowByDefault", false);
c:\programme\Mozilla Firefox\defaults\pref\activex.js - pref("capability.policy.default.ClassID.CID6BF52A52-394A-11D3-B153-00C04F79FAA6", "AllAccess");
c:\programme\Mozilla Firefox\defaults\pref\activex.js - pref("capability.policy.default.ClassID.CID22D6F312-B0F6-11D0-94AB-0080C74C7E95", "AllAccess");
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-23 13:32:50
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...


**************************************************************************
.
Zeit der Fertigstellung: 2008-12-23 13:35:11
ComboFix-quarantined-files.txt 2008-12-23 12:33:54
ComboFix2.txt 2008-12-22 15:23:54

Vor Suchlauf: 9 Verzeichnis(se), 174.720.790.528 Bytes frei
Nach Suchlauf: 9 Verzeichnis(se), 174,706,810,880 Bytes frei

190 --- E O F --- 2008-12-22 17:53:42

#8 Suche auf deinem Rechner nach einer Datei mit Namen AdobeR.exe. Sie befindet sich hoechstwahrscheinlich in windows\system32
__________
MfG Ralf
SEO-Spam Hunter

#9 der suchlauf findet nur 2x die Datei "AdobeRGB1998.icc" in
C:\WINDOWS\system32\spool\drivers\color
und
C:\Programme\Gemeinsame Dateien\Adobe\Color\Profiles\Recommended

#10 Hast du unter Optionen auch das suchen nach versteckten Dateien aktiviert?

Ansonsten loesche unter diesem Schluessel:
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E]

diese Dinge:
\Shell\Auto\command - AdobeR.exe e
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e

Starte neu und schaue, ob die Dinge geloescht sind.
__________
MfG Ralf
SEO-Spam Hunter

#11

Zitat

raman postete
Hast du unter Optionen auch das suchen nach versteckten Dateien aktiviert?

Jap.

Zitat

Ansonsten loesche unter diesem Schluessel:
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E]

diese Dinge:
\Shell\Auto\command - AdobeR.exe e
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e

Starte neu und schaue, ob die Dinge geloescht sind.

erledigt und ja, bleiben gelöscht ("Wert nicht gesetzt").

Aber zumindest der AntiVirGuard ist beim Neustart wieder deaktiviert bzw der Dienst gestoppt gewesen.

#12 Dann poste doch noch ein aktuellen Cf Report und mache einen Kontrollscan mit f-secure:
http://support.f-secure.de/ger/home/ols.shtml
__________
MfG Ralf
SEO-Spam Hunter

#13

Zitat

ComboFix 08-12-25.04 - **** 2008-12-26 13:37:48.4 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.1023.649 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\****\Desktop\ComboFix.exe

[COLOR=RED]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/COLOR]
.

((((((((((((((((((((((( Dateien erstellt von 2008-11-26 bis 2008-12-26 ))))))))))))))))))))))))))))))
.

2008-12-22 20:52 . 2008-12-22 20:53 250 --a------ c:\windows\gmer.ini
2008-12-22 20:51 . 2008-12-22 20:51 <DIR> d-------- c:\programme\gmer
2008-12-22 16:30 . 2008-12-26 12:29 <DIR> d-------- c:\programme\HJT
2008-12-22 16:02 . 2008-12-22 16:02 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2008-12-22 16:02 . 2008-12-22 16:02 <DIR> d-------- c:\dokumente und einstellungen\****\Anwendungsdaten\Malwarebytes
2008-12-22 16:02 . 2008-12-22 16:02 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-12-22 16:02 . 2008-12-03 19:52 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2008-12-22 16:02 . 2008-12-03 19:52 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2008-12-20 17:35 . 2008-12-20 17:35 25,752 --ah----- c:\windows\system32\mlfcache.dat
2008-12-13 14:53 . 2008-12-13 14:53 95 --a------ c:\windows\wininit.ini
2008-12-13 13:52 . 2008-12-13 13:52 <DIR> d-------- c:\programme\TeaTimer (Spybot - Search & Destroy)
2008-12-13 13:52 . 2008-12-13 13:52 <DIR> d-------- c:\programme\SDHelper (Spybot - Search & Destroy)
2008-12-13 13:52 . 2008-12-13 13:52 <DIR> d-------- c:\programme\Misc. Support Library (Spybot - Search & Destroy)
2008-12-13 13:52 . 2008-12-13 13:52 <DIR> d-------- c:\programme\File Scanner Library (Spybot - Search & Destroy)
2008-12-06 10:27 . 2008-12-06 10:27 <DIR> d-------- c:\dokumente und einstellungen\****\Anwendungsdaten\Leawo
2008-12-06 10:26 . 2008-12-06 10:27 <DIR> d-------- c:\programme\AVI Converter
2008-11-29 09:37 . 2008-11-10 05:43 410,984 --a------ c:\windows\system32\deploytk.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-26 11:45 --------- d-----w c:\programme\Mozilla Thunderbird
2008-12-26 11:10 --------- d-----w c:\programme\Trillian
2008-12-26 10:10 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-12-20 17:30 --------- d-----w c:\dokumente und einstellungen\****\Anwendungsdaten\CoreFTP
2008-12-19 15:14 --------- d-----w c:\programme\MSD 0.654
2008-12-13 14:01 --------- d-----w c:\programme\Spybot - Search & Destroy
2008-12-13 13:53 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-12-09 18:28 --------- d-----w c:\dokumente und einstellungen\****\Anwendungsdaten\Skype
2008-12-06 09:24 --------- d-----w c:\programme\Java
2008-11-23 11:31 --------- d---a-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2008-11-01 13:17 --------- d-----w c:\programme\DivxToDVD
2008-10-31 16:20 --------- d-----w c:\programme\Fraps
2008-10-29 19:49 --------- d-----w c:\programme\SDP Multimedia
2008-10-23 12:36 286,720 ----a-w c:\windows\system32\gdi32.dll
2008-10-16 20:04 826,368 ----a-w c:\windows\system32\wininet.dll
2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll
2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll
2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll
2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll
2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll
2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe
2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll
2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll
2008-10-08 08:45 606,208 ----a-w c:\windows\system32\xvidcore.dll
2008-10-03 10:03 247,326 ----a-w c:\windows\system32\strmdll.dll
2008-09-30 15:43 1,286,152 ----a-w c:\windows\system32\msxml4.dll
.

((((((((((((((((((((((((((((( snapshot@2008-12-22_16.21.44,26 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-12-22 19:52:03 884,736 ----a-w c:\windows\gmer.dll
+ 2008-04-17 20:13:02 811,008 ----a-w c:\windows\gmer.exe
+ 2008-10-17 00:34:18 3,593,216 -c----w c:\windows\ie7updates\KB960714-IE7\mshtml.dll
+ 2007-03-06 01:14:13 217,312 -c----w c:\windows\ie7updates\KB960714-IE7\spuninst\spuninst.exe
+ 2007-03-06 01:15:22 377,568 -c----w c:\windows\ie7updates\KB960714-IE7\spuninst\updspapi.dll
- 2008-10-17 00:34:18 3,593,216 -c----w c:\windows\system32\dllcache\mshtml.dll
+ 2008-12-13 06:36:44 3,593,216 -c----w c:\windows\system32\dllcache\mshtml.dll
+ 2008-12-22 19:52:03 85,969 ----a-w c:\windows\system32\drivers\gmer.sys
- 2008-10-17 00:34:18 3,593,216 ----a-w c:\windows\system32\mshtml.dll
+ 2008-12-13 06:36:44 3,593,216 ----a-w c:\windows\system32\mshtml.dll
- 2008-12-22 15:11:59 16,384 ----atw c:\windows\Temp\Perflib_Perfdata_67c.dat
+ 2008-12-26 11:44:13 16,384 ----atw c:\windows\temp\Perflib_Perfdata_67c.dat
+ 2008-12-26 11:44:17 16,384 ----atw c:\windows\temp\Perflib_Perfdata_6d0.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-09-16 1833296]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-09-17 8491008]
"PinnacleDriverCheck"="c:\windows\system32\PSDrvCheck.exe" [2003-11-10 406016]
"SoundMAXPnP"="c:\programme\Analog Devices\SoundMAX\SMax4PNP.exe" [2004-07-27 1388544]
"HP Component Manager"="c:\programme\HP\hpcoretech\hpcmpmgr.exe" [2003-12-22 241664]
"HPDJ Taskbar Utility"="c:\windows\system32\spool\drivers\w32x86\3\hpztsb10.exe" [2004-03-04 172032]
"HP Software Update"="c:\programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe" [2004-02-18 49152]
"avgnt"="c:\programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-17 266497]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-09-17 81920]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-11-11 185632]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2008-03-28 413696]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2008-03-30 267048]
"FreePDF Assistant"="c:\programme\FreePDF_XP\fpassist.exe" [2007-06-26 312320]
"MP10_EnsureFileVer"="c:\windows\inf\unregmp2.exe" [2008-04-14 212992]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2008-11-10 136600]
"nwiz"="nwiz.exe" [2007-09-17 c:\windows\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\****\Startmen�\Programme\Autostart\
Adobe Gamma.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2005-03-16 113664]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Control Center]
--a------ 2004-05-05 13:18 1459200 c:\programme\ASUS\WLAN Card Utilities\Center.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
--a------ 2008-03-30 09:36 267048 c:\programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\mxomssmenu]
--a------ 2007-09-06 14:53 169264 c:\programme\Maxtor\OneTouch Status\MaxMenuMgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 10:50 155648 c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2008-03-28 22:37 413696 c:\programme\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sony Ericsson PC Suite]
--a------ 2008-02-20 16:19 360448 c:\programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
-rahs---- 2008-09-16 12:16 1833296 c:\programme\Spybot - Search & Destroy\TeaTimer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
--a------ 2007-12-20 16:16 37376 c:\programme\Winamp\winampa.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Miranda IM\\Miranda IM\\miranda32.exe"=
"c:\\Programme\\ABC\\abc.exe"=
"c:\\Programme\\TVUPlayer\\TVUPlayer.exe"=
"c:\\Programme\\PPMate\\ppmate.exe"=
"c:\\Programme\\SopCast\\SopCast.exe"=
"c:\\Dokumente und Einstellungen\\****\\Anwendungsdaten\\SopCast\\adv\\SopAdver.exe"=
"c:\\Programme\\Trillian\\trillian.exe"=
"c:\\Programme\\Last.fm\\LastFM.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\SopCast\\adv\\SopAdver.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\TVAnts\\Tvants.exe"=
"c:\\Programme\\Sony Ericsson\\Sony Ericsson Media Manager\\MediaManager.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R2 DriverX;DriverX;c:\windows\system32\drivers\DriverX.sys [1997-03-12 25792]
R3 3xHybrid;Pinnacle PCTV Stereo service;c:\windows\system32\DRIVERS\3xHybrid.sys [2007-07-13 969728]
S3 ASNDIS5;ASNDIS5 Protocol Driver;\??\c:\windows\system32\ASNDIS5.SYS [2007-07-13 16269]
S3 s3017bus;Sony Ericsson Device 3017 driver (WDM);c:\windows\system32\DRIVERS\s3017bus.sys [2008-10-18 83880]
S3 s3017mdfl;Sony Ericsson Device 3017 USB WMC Modem Filter;c:\windows\system32\DRIVERS\s3017mdfl.sys [2008-10-18 15016]
S3 s3017mdm;Sony Ericsson Device 3017 USB WMC Modem Driver;c:\windows\system32\DRIVERS\s3017mdm.sys [2008-10-18 110632]
S3 s3017mgmt;Sony Ericsson Device 3017 USB WMC Device Management Drivers (WDM);c:\windows\system32\DRIVERS\s3017mgmt.sys [2008-10-18 104616]
S3 s3017nd5;Sony Ericsson Device 3017 USB Ethernet Emulation SEMC3017 (NDIS);c:\windows\system32\DRIVERS\s3017nd5.sys [2008-10-18 25512]
S3 s3017obex;Sony Ericsson Device 3017 USB WMC OBEX Interface;c:\windows\system32\DRIVERS\s3017obex.sys [2008-10-18 100648]
S3 s3017unic;Sony Ericsson Device 3017 USB Ethernet Emulation SEMC3017 (WDM);c:\windows\system32\DRIVERS\s3017unic.sys [2008-10-18 110120]
S3 w200bus;Sony Ericsson W200 driver (WDM);c:\windows\system32\DRIVERS\w200bus.sys [2007-07-25 61504]
S3 w200mdfl;Sony Ericsson W200 USB WMC Modem Filter;c:\windows\system32\DRIVERS\w200mdfl.sys [2007-07-25 9328]
S3 w200mdm;Sony Ericsson W200 USB WMC Modem Driver;c:\windows\system32\DRIVERS\w200mdm.sys [2007-07-25 97056]
S3 w200mgmt;Sony Ericsson W200 USB WMC Device Management Drivers (WDM);c:\windows\system32\DRIVERS\w200mgmt.sys [2007-07-25 88560]
S3 w200obex;Sony Ericsson W200 USB WMC OBEX Interface;c:\windows\system32\DRIVERS\w200obex.sys [2007-07-25 86368]
.
Inhalt des "geplante Tasks" Ordners

2008-12-22 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-04-11 16:57]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

BHO-{11A3B00F-84D8-4FAB-8DBE-CEC8A35B89C3} - (no file)
BHO-{3626A19B-CAC0-4216-B545-63A0698A85CC} - (no file)
BHO-{4073F645-4627-46DB-8CF4-FCAD36CDD1CF} - (no file)
BHO-{59AE9FA6-4741-4FFE-B0BF-840328487C26} - (no file)
BHO-{67F59612-76AB-4F04-A0F5-890C3DA3F731} - (no file)
BHO-{6DB3F2FB-EC43-45CE-94C0-990846EC7F6E} - (no file)
BHO-{74D2840C-E975-44A6-9128-3FFFB8BA317F} - (no file)
BHO-{C171F658-4AB8-4184-831A-065AA6E616C7} - (no file)


.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://xanthippe.edu.uni-graz.at/webct/entryPageIns.dowebct
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\ve59tf3r.default\
FF - prefs.js: browser.search.selectedEngine - Wikipedia (de)
FF - plugin: c:\programme\Mozilla Firefox\plugins\npmozax.dll

[color=red]ATTENTION: FIREFOX POLICES IS IN FORCE [/color]
c:\programme\Mozilla Firefox\defaults\pref\activex.js - pref("general.useragent.vendorComment", "ax");
c:\programme\Mozilla Firefox\defaults\pref\activex.js - pref("security.xpconnect.activex.global.hosting_flags", 9);
c:\programme\Mozilla Firefox\defaults\pref\activex.js - pref("security.classID.allowByDefault", false);
c:\programme\Mozilla Firefox\defaults\pref\activex.js - pref("capability.policy.default.ClassID.CID6BF52A52-394A-11D3-B153-00C04F79FAA6", "AllAccess");
c:\programme\Mozilla Firefox\defaults\pref\activex.js - pref("capability.policy.default.ClassID.CID22D6F312-B0F6-11D0-94AB-0080C74C7E95", "AllAccess");
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-26 13:40:28
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...


**************************************************************************
.
Zeit der Fertigstellung: 2008-12-26 13:42:54
ComboFix-quarantined-files.txt 2008-12-26 12:41:36
ComboFix2.txt 2008-12-26 11:20:33
ComboFix3.txt 2008-12-23 12:35:13
ComboFix4.txt 2008-12-22 15:23:54

Vor Suchlauf: 9 Verzeichnis(se), 174.704.005.120 Bytes frei
Nach Suchlauf: 9 Verzeichnis(se), 174,689,726,464 Bytes frei

191 --- E O F --- 2008-12-22 17:53:42

dann hier die vom f-secure gefundenen probleme:


und anbei der log vom f-secure als html-datei in nem rar-archiv.
danke.