Werde Vundo, Crypt.XPACK.Gen, Dropper.Gen nicht los, Rechner immer langsamer

#1 Hallo,

ich hab mir irgendwann den Vundo Trojaner eingefangen (wie sich grade herausstellt nicht nur den sondern auch den Crypt.XPACK.Gen...ou und den Dropper.Gen auch) und werd ihn einfach nicht mehr los. Ich hab ehrlich gesagt auch nicht viel Ahnung von dieser ganzen Viren und Trojaner geschichte, aber ich bin immerhin soweit gekommen das ich mir irgendwann MBAM gezogen hab. Das hat dann wzar auch erstmal geholfen, aber mittlerweile funktioniert auch das nicht mehr und MBAM findet jeden Tag um die 30 Infektionen. Ich hab keine Ahnung was ich tun soll und das Forum hier beziehungsweise die helfenden Hände hier scheinen ziemlich kompetent zu sein, deshalb wende ich mich an euch :-). Da ich momentan wirklich viele für mich wichtige Daten auf dem Rechner hab kommt ein Neuaufsetzen des Systems leider nicht in Frage. Zumindest nicht zum jetzigen Zeitpunkt.

Hier ist das Logfile von MBAM das ich grade hab durchlaufen lassen:


Malwarebytes' Anti-Malware 1.32
Database version: 1632
Windows 5.1.2600 Service Pack 2

08.01.2009 20:43:22
mbam-log-2009-01-08 (20-43-22).txt

Scan type: Full Scan (C:\|D:\|E:\|)
Objects scanned: 285062
Time elapsed: 1 hour(s), 2 minute(s), 31 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 4
Registry Keys Infected: 19
Registry Values Infected: 4
Registry Data Items Infected: 2
Folders Infected: 1
Files Infected: 36

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
C:\WINDOWS\system32\aqrseuar.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\qoMfeBqQ.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\yacdzi.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\awtsPifF.dll (Trojan.Vundo) -> Delete on reboot.

Registry Keys Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3b9950ef-5ae8-4947-a68f-1693b5e2fe9c} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{3b9950ef-5ae8-4947-a68f-1693b5e2fe9c} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6add6b98-2f5b-4885-ad47-b0207a209cf7} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{6add6b98-2f5b-4885-ad47-b0207a209cf7} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> Delete on reboot.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\awtspiff (Trojan.Vundo) -> Delete on reboot.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{3b9950ef-5ae8-4947-a68f-1693b5e2fe9c} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6add6b98-2f5b-4885-ad47-b0207a209cf7} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\prunnet (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\xpreapp (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\instkey (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.

Registry Values Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\943eaa47 (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> Delete on reboot.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\prunnet (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\prunnet (Trojan.Downloader) -> Quarantined and deleted successfully.

Registry Data Items Infected:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\qomfebqq -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\qomfebqq -> Delete on reboot.

Folders Infected:
C:\Documents and Settings\All Users\Start Menu\Programs\RelevantKnowledge (Spyware.Marketscore) -> Quarantined and deleted successfully.

Files Infected:
C:\WINDOWS\system32\yacdzi.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\qoMfeBqQ.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\QqBefMoq.ini (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\QqBefMoq.ini2 (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\aqrseuar.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\rauesrqa.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\awtsPifF.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\prunnet.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\Admin\Local Settings\Temp\prun.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\Admin\Local Settings\Temp\xpre.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\Admin\Local Settings\Temp\seneka8a9e.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Documents and Settings\Admin\Local Settings\Temp\winvsnet.tmp (Rogue.Installer) -> Quarantined and deleted successfully.
C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\77OA69A4\index[1] (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\8GS9AFFO\index[1] (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\8GS9AFFO\upd105320[1] (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\TATNGY8X\upd105320[1] (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{C419C916-CAA4-4C61-840D-3BECB10B9573}\RP133\A0043998.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{C419C916-CAA4-4C61-840D-3BECB10B9573}\RP133\A0044012.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{C419C916-CAA4-4C61-840D-3BECB10B9573}\RP133\A0044016.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{C419C916-CAA4-4C61-840D-3BECB10B9573}\RP133\A0044017.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ijekvjje.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\aothlt.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\mmahlrps.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\dfvvxd.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\hdveryvn.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\yussnjwr.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\senekajfomnees.sys (Trojan.TDSS) -> Delete on reboot.
C:\Documents and Settings\All Users\Start Menu\Programs\RelevantKnowledge\About RelevantKnowledge.lnk (Spyware.Marketscore) -> Quarantined and deleted successfully.
C:\Documents and Settings\All Users\Start Menu\Programs\RelevantKnowledge\Privacy Policy and User License Agreement.lnk (Spyware.Marketscore) -> Quarantined and deleted successfully.
C:\Documents and Settings\All Users\Start Menu\Programs\RelevantKnowledge\Support.lnk (Spyware.Marketscore) -> Quarantined and deleted successfully.
C:\Documents and Settings\All Users\Start Menu\Programs\RelevantKnowledge\Uninstall Instructions.lnk (Spyware.Marketscore) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\senekafkprfhkl.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\senekahnfyqjir.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\senekadf.dat (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\seneka.dat (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\senekalog.dat (Trojan.Agent) -> Quarantined and deleted successfully.











Und hier ist das Hijackthis Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:16:47, on 08.01.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\CTHELPER.EXE
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Program Files\SyncroSoft\Pos\H2O\cledx.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Andere Programme\CDBurnerXP\NMSAccessU.exe
C:\Program Files\Ultra Flat Metal USB-Hub Keyboard\MagicKey.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Program Files\Ultra Flat Metal USB-Hub Keyboard\OSD.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Creative Professional\Digital Audio System\E-MU PatchMix DSP\EmuPatchMixDSP.exe
C:\Program Files\Canon\CAL\CALMAIN.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
c:\program files\avira\antivir personaledition classic\avcenter.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\PROGRA~1\MICROS~2\Office12\OUTLOOK.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\ICQ6\ICQ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Winamp\winamp.exe
C:\Program Files\Java\jre1.6.0_07\bin\jucheck.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\notepad.exe

R3 - Default URLSearchHook is missing
O3 - Toolbar: Expressivo - {85F685C3-20D9-4943-95E4-EB4224056C3F} - D:\Andere Programme\Expressivo\integr\ih-iexplorer\IH_iexplorer.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [H2O] C:\Program Files\SyncroSoft\Pos\H2O\cledx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [RelevantKnowledge] C:\Program Files\RelevantKnowledge\rlvknlg.exe -boot
O4 - HKLM\..\Run: [prunnet] "C:\WINDOWS\system32\prunnet.exe"
O4 - HKLM\..\Run: [943eaa47] rundll32.exe "C:\WINDOWS\system32\mmahlrps.dll",b
O4 - HKCU\..\Run: [SetDefaultMIDI] MIDIDef.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Veoh] "C:\Program Files\Veoh Networks\Veoh\VeohClient.exe" /VeohHide
O4 - HKCU\..\Run: [RGSC] E:\Games\GTA4\Rockstar Games Social Club\RGSCLauncher.exe /silent
O4 - HKCU\..\Run: [prunnet] "C:\WINDOWS\system32\prunnet.exe"
O4 - Startup: hamachi.lnk = C:\Program Files\Hamachi\hamachi.exe
O4 - Startup: OneNote 2007 Screen Clipper and Launcher.lnk = C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Startup: OpenOffice.org 2.4.lnk = C:\Program Files\OpenOffice.org 2.4\program\quickstart.exe
O4 - Global Startup: Ultra Flat Metal USB-Hub Keyboard.lnk = C:\Program Files\Ultra Flat Metal USB-Hub Keyboard\MagicKey.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: *.antimalwareguard.com
O15 - Trusted Zone: *.gomyhit.com
O15 - Trusted Zone: *.antimalwareguard.com (HKLM)
O15 - Trusted Zone: *.gomyhit.com (HKLM)
O17 - HKLM\System\CCS\Services\Tcpip\..\{F72864FF-A966-4C46-8B04-395E1328C119}: NameServer = 213.191.74.11 213.191.92.82
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll
O20 - AppInit_DLLs: dfvvxd.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Common Files\BOONTY Shared\Service\Boonty.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe
O23 - Service: Droppix Service - Droppix - C:\Program Files\Common Files\Droppix\DxService.exe
O23 - Service: Google Update Service (gupdate1c904a970227da4) (gupdate1c904a970227da4) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NMSAccessU - Unknown owner - D:\Andere Programme\CDBurnerXP\NMSAccessU.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe

--
End of file - 7750 bytes











Werd mich jetzt mal daran machen dieses combofix programm zu laden und auszuführen. Ich möchte mich jetzt schonmal für jegliche Hilfe im vorraus bedanken

Beste grüsse

Marc





Edit: Hier ist nun das Combifix Log File.....hmmm...und wie gehts jetzt weiter ? :-/


ComboFix 09-01-08.01 - Admin 2009-01-08 21:10:00.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1033.18.3327.2843 [GMT 1:00]
Running from: c:\documents and settings\Admin\Desktop\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated)
* Created a new restore point
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Admin\Application Data\iasna_FB9AECF7-F56E-4c47-A862-8892AA545109.dll
c:\documents and settings\Admin\Local Settings\Temporary Internet Files\AnalogClock.gg
c:\documents and settings\Admin\Local Settings\Temporary Internet Files\videoviewer.gg
c:\windows\system32\drivers\seneka.sys
c:\windows\system32\msvcsv60.dll
c:\windows\system32\nupsoypv.ini
c:\windows\system32\qappjmeq.ini
c:\windows\system32\qhdipodl.ini
c:\windows\system32\sprlhamm.ini
c:\windows\Tasks\xmoybsnd.job

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_BOONTY_GAMES
-------\Legacy_TDSSSERV
-------\Service_Boonty Games
-------\Service_seneka
-------\Service_TDSSserv


((((((((((((((((((((((((( Files Created from 2008-12-08 to 2009-01-08 )))))))))))))))))))))))))))))))
.

2009-01-08 19:43 . 2009-01-08 19:43 90,624 --a------ C:\ARK11F.tmp
2009-01-08 19:34 . 2009-01-08 19:34 73,216 --a------ c:\windows\system32\ffkuz.dll
2009-01-08 19:33 . 2009-01-08 19:33 1,313,653 --ahs---- c:\windows\system32\rauesrqa.tmp
2009-01-08 19:13 . 2009-01-08 19:13 57,856 --a------ C:\ARK120.tmp
2009-01-07 15:41 . 2009-01-07 15:42 <DIR> d-------- c:\program files\Spyware Doctor
2009-01-07 15:41 . 2009-01-07 15:47 <DIR> d-a------ c:\documents and settings\All Users\Application Data\TEMP
2009-01-07 15:41 . 2009-01-07 15:41 <DIR> d-------- c:\documents and settings\Admin\Application Data\PC Tools
2009-01-07 15:41 . 2008-08-25 12:36 81,288 --a------ c:\windows\system32\drivers\iksyssec.sys
2009-01-07 15:41 . 2008-08-25 12:36 66,952 --a------ c:\windows\system32\drivers\iksysflt.sys
2009-01-07 15:41 . 2008-08-25 12:36 40,840 --a------ c:\windows\system32\drivers\ikfilesec.sys
2009-01-07 15:41 . 2008-06-02 16:19 29,576 --a------ c:\windows\system32\drivers\kcom.sys
2009-01-02 18:58 . 2009-01-02 18:58 <DIR> d-------- c:\documents and settings\All Users\Application Data\Codemasters
2009-01-02 18:58 . 2008-10-10 04:52 4,379,984 --a------ c:\windows\system32\D3DX9_40.dll
2009-01-02 18:58 . 2008-10-10 04:52 2,036,576 --a------ c:\windows\system32\D3DCompiler_40.dll
2009-01-02 18:58 . 2008-04-28 16:53 805,400 -ra------ c:\windows\system32\tmp429.tmp
2009-01-02 18:58 . 2008-04-28 16:53 805,400 -ra------ c:\windows\system32\tmp428.tmp
2009-01-02 18:58 . 2008-10-27 10:04 514,384 --a------ c:\windows\system32\XAudio2_3.dll
2009-01-02 18:58 . 2008-10-10 04:52 452,440 --a------ c:\windows\system32\d3dx10_40.dll
2009-01-02 18:58 . 2008-10-27 10:04 235,856 --a------ c:\windows\system32\xactengine3_3.dll
2009-01-02 18:58 . 2008-10-27 10:04 70,992 --a------ c:\windows\system32\XAPOFX1_2.dll
2009-01-02 18:57 . 2008-10-27 10:04 23,376 --a------ c:\windows\system32\X3DAudio1_5.dll
2008-12-31 21:55 . 2008-12-31 21:55 <DIR> d-------- c:\documents and settings\Admin\Application Data\InstallShield
2008-12-31 21:55 . 2008-12-31 21:57 967 --a------ c:\windows\disney.ini
2008-12-31 20:00 . 2008-04-28 16:53 805,400 -ra------ c:\windows\system32\tmp35C.tmp
2008-12-31 20:00 . 2008-04-28 16:53 805,400 -ra------ c:\windows\system32\tmp35B.tmp
2008-12-30 00:05 . 2008-12-30 00:05 <DIR> d-------- c:\program files\Windows Live SkyDrive
2008-12-30 00:05 . 2008-12-30 00:05 <DIR> d-------- c:\program files\Microsoft
2008-12-30 00:03 . 2008-12-30 00:03 <DIR> d-------- c:\program files\Common Files\Windows Live
2008-12-26 17:09 . 2008-07-12 08:18 1,493,528 --a------ c:\windows\system32\D3DCompiler_39.dll
2008-12-26 17:09 . 2008-07-31 10:40 509,448 --a------ c:\windows\system32\XAudio2_2.dll
2008-12-26 17:09 . 2008-07-12 08:18 467,984 --a------ c:\windows\system32\d3dx10_39.dll
2008-12-26 17:09 . 2008-07-31 10:41 238,088 --a------ c:\windows\system32\xactengine3_2.dll
2008-12-26 17:09 . 2008-07-31 10:41 68,616 --a------ c:\windows\system32\XAPOFX1_1.dll
2008-12-26 11:45 . 2008-12-31 20:00 <DIR> d-------- c:\program files\OpenAL
2008-12-26 06:26 . 2008-12-26 06:26 <DIR> d-------- c:\program files\Common Files\Blizzard Entertainment
2008-12-24 20:38 . 2008-12-24 20:38 3,851,784 --a------ c:\windows\system32\d3dx9_39.dll
2008-12-24 13:21 . 2008-12-24 13:21 107,888 --a------ c:\windows\system32\CmdLineExt.dll
2008-12-24 11:35 . 2008-12-24 11:35 <DIR> dr-h----- c:\documents and settings\Admin\Application Data\SecuROM
2008-12-24 11:32 . 2008-12-24 11:32 <DIR> d-------- c:\windows\system32\LogFiles
2008-12-24 11:32 . 2008-12-24 11:32 <DIR> d-------- c:\windows\system32\drivers\umdf
2008-12-24 11:31 . 2008-12-24 12:47 <DIR> d-------- c:\program files\Microsoft Games for Windows - LIVE
2008-12-14 23:50 . 2008-12-14 23:50 <DIR> d---s---- c:\documents and settings\Admin\UserData

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-08 20:13 --------- d-----w c:\documents and settings\Admin\Application Data\Hamachi
2009-01-08 20:12 --------- d-----w c:\documents and settings\Admin\Application Data\OpenOffice.org2
2009-01-08 16:58 --------- d-----w c:\documents and settings\All Users\Application Data\Google Updater
2009-01-07 17:32 --------- d-----w c:\program files\Malwarebytes' Anti-Malware
2009-01-05 12:08 --------- d-----w c:\program files\Soulseek
2009-01-04 17:38 38,496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2009-01-04 17:38 15,504 ----a-w c:\windows\system32\drivers\mbam.sys
2008-12-31 20:57 --------- d--h--w c:\program files\InstallShield Installation Information
2008-12-12 02:04 --------- d-----w c:\documents and settings\All Users\Application Data\Microsoft Help
2008-12-04 03:59 --------- d-----w c:\program files\Java
2008-12-01 22:13 3,452,928 ----a-w c:\windows\system32\drivers\ati2mtag.sys
2008-12-01 19:51 53,248 ----a-w c:\windows\system32\drivers\ati2erec.dll
2008-11-25 23:39 --------- d-----w c:\program files\Registry System Wizard
2008-11-24 02:06 43,872 ------w c:\windows\system32\drivers\PxHelp20.sys
2008-11-19 09:02 --------- d-----w c:\documents and settings\Admin\Application Data\SIR
2008-11-09 02:56 --------- d-----w c:\program files\Vstplugins
2008-11-09 02:56 --------- d-----w c:\program files\VirSyn Software Synthesizer
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\daemon.exe" [2008-04-01 486856]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2004-10-13 1694208]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2007-07-27 15360]
"Veoh"="c:\program files\Veoh Networks\Veoh\VeohClient.exe" [2008-09-26 3660848]
"SetDefaultMIDI"="MIDIDef.exe" [2006-08-04 c:\windows\MIDIDEF.EXE]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-12 39792]
"UpdReg"="c:\windows\UpdReg.EXE" [2000-05-11 90112]
"WinampAgent"="c:\program files\Winamp\winampa.exe" [2007-10-10 36352]
"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-17 266497]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2008-03-28 413696]
"GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2007-08-24 33648]
"H2O"="c:\program files\SyncroSoft\Pos\H2O\cledx.exe" [2005-10-22 385024]
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-08-01 61440]
"RTHDCPL"="RTHDCPL.EXE" [2007-03-21 c:\windows\RTHDCPL.exe]
"CTHelper"="CTHELPER.EXE" [2006-08-04 c:\windows\CTHELPER.EXE]
"CTxfiHlp"="CTXFIHLP.EXE" [2006-08-04 c:\windows\system32\CTXFIHLP.EXE]

c:\documents and settings\Admin\Start Menu\Programs\Startup\
hamachi.lnk - c:\program files\Hamachi\hamachi.exe [2008-07-03 624416]
OneNote 2007 Screen Clipper and Launcher.lnk - c:\program files\Microsoft Office\Office12\ONENOTEM.EXE [2007-12-07 101440]
OpenOffice.org 2.4.lnk - c:\program files\OpenOffice.org 2.4\program\quickstart.exe [2008-01-21 393216]

c:\documents and settings\All Users\Start Menu\Programs\Startup\
Ultra Flat Metal USB-Hub Keyboard.lnk - c:\program files\Ultra Flat Metal USB-Hub Keyboard\MagicKey.exe [2008-10-15 163840]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=dfvvxd.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.l3acm"= c:\windows\system32\l3codecp.acm

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\ICQ6\\ICQ.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\Common Files\\AOL\\Loader\\aolload.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program Files\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Program Files\\AIM6\\aim6.exe"=
"c:\\Program Files\\Soulseek\\slsk.exe"=
"c:\\Program Files\\Hamachi\\hamachi.exe"=
"c:\\Program Files\\Zattoo\\zattood.exe"=
"c:\\Program Files\\Zattoo\\Zattoo2.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Veoh Networks\\Veoh\\VeohClient.exe"=
"e:\\Games\\Call.Of.Duty.World.At.War-RELOADED\\CoDWaWmp.exe"=
"e:\\Games\\Call.Of.Duty.World.At.War-RELOADED\\CoDWaW.exe"=
"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=
"e:\\Games\\PrinceofPersia\\Prince of Persia.exe"=
"e:\\Games\\PrinceofPersia\\PrinceOfPersia_Launcher.exe"=
"e:\\Games\\Race.Driver.GRID.Multi-5.Full-Rip.Skullptura\\Grid\\GRID.exe"=

R0 mv61xx;mv61xx;c:\windows\system32\drivers\mv61xx.sys [2007-05-25 137728]
R1 Asapi;Asapi;c:\windows\system32\drivers\asapi.sys [2008-04-25 11264]
R1 kbfilter;Keyboard Filter Driver;c:\windows\system32\drivers\kbfilter.sys [2008-10-15 11886]
R3 AtcL001;NDIS Miniport Driver for Attansic L1 Gigabit Ethernet Controller;c:\windows\system32\drivers\atl01_xp.sys [2008-03-06 38656]
R3 CLEDX;Team H2O CLEDX service;c:\windows\system32\drivers\cledx.sys [2008-04-23 33792]
S3 Droppix Service;Droppix Service;c:\program files\Common Files\Droppix\DxService.exe [2008-04-26 151552]
S3 MagixASIODrv;MAGIX_ASIO_BoostDriver;c:\program files\MAGIX\Samplitude_10\mxasio.sys [2008-11-04 4899]
S3 sdAuxService;PC Tools Auxiliary Service;c:\program files\Spyware Doctor\pctsAuxs.exe [2009-01-07 356920]
S4 gupdate1c904a970227da4;Google Update Service (gupdate1c904a970227da4);c:\program files\Google\Update\GoogleUpdate.exe [2008-08-22 133104]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7e691842-eb50-11dc-8e77-806d6172696f}]
\Shell\AutoRun\command - F:\Launch.exe
.
Contents of the 'Scheduled Tasks' folder

2009-01-06 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2007-08-29 13:57]

2009-01-08 c:\windows\Tasks\GoogleUpdateTaskMachine.job
- c:\program files\Google\Update\GoogleUpdate.exe [2008-08-30 00:49]
.
- - - - ORPHANS REMOVED - - - -

BHO-{C4AF8873-48CC-4B97-99ED-1D1BB8C902BD} - c:\windows\system32\mlJyWQhh.dll
BHO-{F5A33093-43B8-4F8E-A19A-4471DCF38213} - c:\windows\system32\qoMfeBqQ.dll
BHO-{f8c1bde1-2d33-40ac-8ce3-66d1249c895e} - c:\windows\system32\dfvvxd.dll
HKCU-Run-RGSC - e:\games\GTA4\Rockstar Games Social Club\RGSCLauncher.exe


.
------- Supplementary Scan -------
.
uInternet Connection Wizard,ShellNext = iexplore
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
Trusted Zone: *.antimalwareguard.com
Trusted Zone: *.gomyhit.com
Trusted Zone: *.antimalwareguard.com
Trusted Zone: *.gomyhit.com
TCP: {F72864FF-A966-4C46-8B04-395E1328C119} = 213.191.74.11 213.191.92.82
FF - ProfilePath - c:\documents and settings\Admin\Application Data\Mozilla\Firefox\Profiles\74kg6mse.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&q=
FF - plugin: c:\program files\Google\Google Updater\2.4.1368.5602\npCIDetect13.dll
FF - plugin: c:\program files\Google\Lively\nplively.dll
FF - plugin: c:\program files\Google\Update\1.2.133.33\npGoogleOneClick7.dll
FF - plugin: c:\program files\Veoh Networks\Veoh\Plugins\noreg\NPVeohVersion.dll
FF - plugin: c:\program files\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-08 21:12:51
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
--------------------- LOCKED REGISTRY KEYS ---------------------

[HKEY_USERS\S-1-5-21-73868346-2500763925-1663247047-1003\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{5C0AF4D2-6C63-2877-D614-D4D326749FC8}*NULL*]
"abhldphhapipaekcjggibokododddlnimb"=hex:65,61,68,6c,66,61,6e,62,6b,61,00,00
"maclgpfhhfkigjkmihhkgbnajm"=hex:69,61,62,62,64,66,63,66,62,6f,6f,6c,62,68,61,\
61,65,68,00,00

[HKEY_USERS\S-1-5-21-73868346-2500763925-1663247047-1003\Software\SecuROM\License information*NULL*]
"datasecu"=hex:81,ad,a5,64,40,d7,3d,58,27,68,77,b2,d6,e6,ff,d5,12,2f,52,33,18,\
a2,ad,95,70,2c,16,33,19,df,9c,9b,7f,8d,be,30,7c,a0,70,5b,92,55,29,18,6a,4f,\
ca,c6,40,4f,b9,7f,dd,84,16,74,66,25,cb,79,37,81,df,56,7c,d2,47,75,b9,2f,e7,\
8f,c3,4c,38,c7,a9,80,9e,40,b1,f9,87,9c,34,01,c4,d3,45,6a,2a,21,d8,d3,ae,02,\
7e,47,58,be,e1,d6,69,44,fa,2e,c9,f7,18,3c,76,47,ad,ef,6c,2b,61,51,01,10,0e,\
7f,42,72,c7,90,a5,a0,3c,92,ce,53,dd,0d,15,26,10,b7,bf,3b,6e,27,6a,7c,2e,84,\
b5,ca,c7,18,62,38,4a,bc,d9,28,2d,c1,14,75,2b,5b,00,6b,0e,87,f9,02,3a,e4,53,\
44,ea,e9,54,7a,b6,dd,00,30,df,00,eb,7d,7b,63,df,13,5e,41,83,38,ef,2f,c9,1d,\
ca,bc,26,63,af,93,6a,d6,66,06,cf,de,83,65,05,99,fb,78,92,a8,3f,c4,24,0a,15,\
e0,9b,ec,20,5c,f0,3c,5e,43,8e,71,e1,32,a2,be,d2,a4,7a,46,dc,21,91,e6,f9,17,\
5d,1e,44,7f,4b,aa,11,39,d1,27,61,7c,ee,ce,c9,b1,2a,79,82,f9,a8,1f,2b,03,9d,\
13,ac,e8,59,6c,a4,08,85,d5,b3,49,98,d6,3a,03,09,49,fa,dc,fb,c3,70,4d,f4,f3,\
e1,26,b6,e2,59,24,95,b0,0c,75,e8,5f,be,6a,e6,06,75,fc,a4,14,a6,73,59,3c,db,\
1c,54,98,ad,ec,fd,e6,d7,80,07,65,56,4e,1a,ff,12,09,54,d9,77,eb,28,23,2d,c4,\
07,b7,27,b6,ec,62,fc,ea,c6,3a,73,ea,bc,43,6e,75,7b,cc,c6,4d,f4,ad,d9,48,29,\
23,cd,8f,40,55,1a,04,ff,28,73,2c,fd,4e,b6,f5,0a,8d,9c,4d,96,89,30,f8,52,fe,\
65,83,73,15,39,17,9b,43,2e,cb,fd,f3,af,04,18,97,32,2f,52,78,c3,3b,85,51,29,\
f2,3a,94,d9,3e,e2,a1,13,41,b2,65,fb,0a,ce,8d,9f,1e,24,4e,1f,fe,04,01,17,cc,\
34,17,06,0d,12,af,f6,4e,50,dd,d9,d2,52,63,07,6a,ce,eb,38,1f,5e,78,2b,14,0e,\
b9,04,40,cf,e6,12,56,74,91,7e,1a,f2,50,7f,63,91,5c,7b,56,35,2e,16,b9,d3,41,\
70,bc,d6,e2,cb,97,68,fd,1b,6a,26,08,78,44,1f,31,8d,15,af,fe,63,4d,c5,51,12,\
e6,a7,66,39,34,83,13,47,e7,51,0a,ea,62,8e,bc,aa,cd,2c,05,ff,cf,f7,41,f9,4a,\
25,75,79,29,e1,43,a4,35,5b,49,ec,db,89,04,3a,ee,9d,db,cb,56,59,d0,84,02,b9,\
24,fd,6d,32,2e,50,a6,b5,89,4d,9e,0d,8a,cf,0f,6b,e3,f0,ba,f6,40,27,a5,85,2c,\
bb,d0,f5,01,71,c3,93,99,ac,0c,d3,f8,71,d7,a1,66,aa,64,29,f3,8c,0d,37,0d,05,\
70,46,72,fb,8b,ee,d2,eb,9d,64,9c,80,a6,a1,e5,32,b4,40,bd,24,81,39,ae,b5,8b,\
91,01,df,f0,f0,d3,81,1c,0c,6e,5f,b7,20,36,93,a6,88,c7,e3,b6,7b,6d,c7,7e,cf,\
40,bd,d1,43,31,b5,ad,03,6a,43,5d,62,f0,ef,1d,ba,bc,6e,1a,c7,2b,26,34,8b,14,\
d1,f9,06,16,75,29,6e,3d,66,eb,f0,6a,24,37,d2,d3,ff,5a,2c,70,0e,8c,d1,fb,49,\
97,d0,1e,91,7e,a8,e8,03,e5,8f,ff,15,b5,82,e2,4c,3b,1c,ca,29,5c,3a,3f,46,eb,\
1b,fe,95,5e,14,aa,b3,6d,d7,8f,b3,04,42,d5,ed,9d,b8,af,9f,7f,0b,ed,90,23,a1,\
86,2e,4d,52,df,a9,40,1b,4f,44,93,87,c5,6d,f4,76,f7,cf,79,9f,b0,4b,71,ad,8f,\
31,24,d5,f0,00,00,b4,1b,34,2e,dc,20,11,8d,78,3b,6c,74,ab,29,c9,e1,c9,7b,c6,\
81,58,92,e0,9f,c1,5c,e9,56,1c,13,72,06,91,a3,72,6f,cd,f9,19,0d,aa,f1,57,8e,\
80,ce,41,4b,cb,9e,a6,81,a1,05,5e,68,30,18,b7,58,3f,2d,cd,79,6f,b8,ba,e3,66,\
01,53,ca,33,8c,26,da,6c,1a,d0,0b,7a,e5,c5,95,56,1f,0e,b9,f8,19,b5,c4,3d,e9,\
5a,6f,3b,bf,79,47,5b,62,67,fd,53,44,3e,8f,4c,3e,2b,ad,4e,4b,03,01,d9,9e,82,\
36,25,19,9a,da,50,ad,11,44,87,2a,5f,d5,8b,21,bb,a4,c9,98,39,2e,2b,08,89,b9,\
fd,18,d2,c6,fa,92,3f,b5,0f,8a,e8,31,d8,60,04,5a,16,b7,c5,38,ee,6e,44,78,77,\
82,9e,be,2f,5a,1a,10,6b,1a,0f,0f,93,53,f1,df,07,2d,07,16,61,6e,02,1a,30,69,\
07,f1,a1,d1,77,07,de,e4,c1,84,e2,78,92,56,28,a5,6d,44,bf,29,9f,b9,8e,0f,8e,\
11,18,6a,6e,99,6a,ae,04,13,00,74,8d,80,0b,4b,78,a9,6f,f8,2e,22,33,4d,72,a2,\
e7,51,61,0b,8e,84,df,aa,bd,75,85,37,41,6f,e4,12,7a,98,99,35,c6,07,f5,58,17,\
55,3d,ef,a3,e5,33,f3,81,2c,40,46,bc,79,8d,25,e4,c2,37,1f,c7,dc,66,fc,e9,99,\
f0,b2,fe,64,07,56,6d,40,17,ef,ff,02,dd,ea,54,7f,ff,c3,5e,46,96,2c,33,34,c2,\
4c,c2,4e,0b,20,d3,23,c5,12,d6,eb,19,ab,bb,29,43,3f,70,68,45,8f,c4,be,95,57,\
fb,6a,7e,29,37,e4,50,70,97,4b,97,d3,ef,fc,fa,85,39,c0,07,c8,76,54,76,85,89,\
6f,8f,23,55,25,6d,d0,d1,7a,a2,f9,73,42,f6,ba,ff,01,d7,57,10,f3,e7,e2,02,3d,\
02,62,1d,4f,65,99,55,d1,0f,cd,9a,ea,84,ec,a0,5f,62,4e,fc,18,b9,35,4e,64,22,\
08,ce,0c,0c,58,0c,5e,5b,76,99,33,5b,ed,5f,a9,0c,18,17,6f,4c,b9,99,e3,8f,1a,\
7a,45,3a,6e,ac,1e,f4,89,f6,e9,92,72,e3,e7,37,e1,ed,19,31,9e,ea,6a,06,9c,7d,\
57,56,d0,66,26,3e,f2,fe,81,5b,d6,d7,5a,ca,f7,0d,40,bd,fc,87,13,2a,77,63,a4,\
ff,66,a1,b9,f7
"rkeysecu"=hex:33,c2,7a,13,35,79,62,7d,dc,19,01,5f,37,47,fd,1c

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•A~*NULL*]
"AB141C35E9F4BF344B9FC010BB17F68A"="02:\\Software\\Adobe\\FeatureSubscriptions\\DVAAdobeDocMeta\\{53C141BA-4F9E-43FB-B4F9-0C01BB716FA8}\\Registered"
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'winlogon.exe'(792)
c:\windows\system32\Ati2evxx.dll
.
------------------------ Other Running Processes ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\windows\system32\ati2evxx.exe
c:\program files\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe
d:\andere programme\CDBurnerXP\NMSAccessU.exe
c:\program files\Canon\CAL\CALMAIN.exe
c:\windows\system32\wscntfy.exe
c:\program files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
c:\program files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
c:\program files\Ultra Flat Metal USB-Hub Keyboard\OSD.exe
c:\program files\OpenOffice.org 2.4\program\soffice.exe
c:\program files\OpenOffice.org 2.4\program\soffice.bin
c:\program files\Creative Professional\Digital Audio System\E-MU PatchMix DSP\EmuPatchMixDSP.exe
.
**************************************************************************
.
Completion time: 2009-01-08 21:16:05 - machine was rebooted [Admin]
ComboFix-quarantined-files.txt 2009-01-08 20:16:03

Pre-Run: 11.238.559.744 bytes free
Post-Run: 12,083,679,232 bytes free

WindowsXP-KB310994-SP2-Pro-BootDisk-ENU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

Current=2 Default=2 Failed=3 LastKnownGood=4 Sets=1,2,3,4
298 --- E O F --- 2008-12-25 07:21:26



Edit: Und als letztes noch das "Uninstall" Log File vom Hijackthis:


2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
7-Zip 4.57
Addictive Drums
Admiral Quality Poly-Ana 1.00
Adobe Audition 3.0
Adobe Flash Player 9 ActiveX
Adobe Photoshop Lightroom 2.2
Adobe Reader 8.1.2
Adobe Shockwave Player
AIM
AmpliTube2
Antares Tube 1.02 DirectX
Apple Software Update
Applied Acoustics Lounge Lizard EP VSTi DXi v3.0
Artillery
ASAPI Update
ATI - Software Uninstall Utility
ATI Catalyst Control Center
ATI Display Driver
ATI HYDRAVISION
ATI Parental Control & Encoder
ATI Problem Report Wizard
Attansic Ethernet Utility
Avira AntiVir Personal - Free Antivirus
AVIVO
Big Fish Audio First Call Horns
Cakewalk RgcAudio z3ta Plus v1.5.2 VSTi DXi REPACK
Call of Duty(R) - World at War(TM)
Call of Duty(R) 4 - Modern Warfare(TM) 1.6 Patch
Canon Camera Access Library
Canon Camera Support Core Library
Canon G.726 WMP-Decoder
CANON IMAGE GATEWAY Registrierungsanleitung
CANON iMAGE GATEWAY Task for ZoomBrowser EX
Canon Internet Library for ZoomBrowser EX
Canon MovieEdit Task for ZoomBrowser EX
Canon RAW Image Task for ZoomBrowser EX
Canon Utilities CameraWindow
Canon Utilities CameraWindow DC_DV 5 for ZoomBrowser EX
Canon Utilities CameraWindow DC_DV 6 for ZoomBrowser EX
Canon Utilities EOS Utility
Canon Utilities MyCamera
Canon Utilities RemoteCapture Task for ZoomBrowser EX
Canon Utilities ZoomBrowser EX
Canon ZoomBrowser EX Memory Card Utility
CANTOR 2
Catalyst Control Center - Branding
CDBurnerXP
Choice Guard
Chords & Scales
ChordWizard Songtrix Gold 3.0
Collab
db audioware Sidechain Compressor VST v1.1.0
dBpoweramp Music Converter
Digital Audio System
DivX Codec
DivX Converter
DivX Player
DivX Web Player
Droppix Recorder 2
Effectrix
Expressivo
EZdrummer
EZXClaustrophobic
EZXCocktail
EZXVintage
FabFilter Pro-C VST RTAS v1.0.1
Fallout 3
Fatsondo 2.0
FIFA 09 Demo
FL Studio 8
FreeRIP v3.09
FriendBlasterPro
GForce - impOSCar
GForce - Minimonsta
Gladiator v1.2.2.0
Google Earth
Google Update
Google Updater
GRID
Hamachi 1.0.2.5
High Definition Audio Driver Package - KB888111
HijackThis 2.0.2
Hotfix for Windows Media Format 11 SDK (KB929399)
Hotfix for Windows XP (KB926239)
Hotfix for Windows XP (KB935448)
Hotfix for Windows XP (KB952287)
ICQ6
IL Download Manager
IL Slicex
iZotope Ozone 3
iZotope pHATmatik PRO
Jamstix 2.1.4 Update
Java(TM) 6 Update 4
Java(TM) 6 Update 5
Java(TM) 6 Update 7
K-Lite Codec Pack 4.1.7 (Full)
LinPlug Organ 3
Lively by Google
Luxonix Purity VSTi v1.1.2
LUXONIX Ravity(S) v1.4
Malwarebytes' Anti-Malware
Marble Arena 1.4
marvell 61xx
Melodyne plugin
Microsoft .NET Framework 2.0 Service Pack 1
Microsoft .NET Framework 3.0 Service Pack 1
Microsoft .NET Framework 3.5
Microsoft .NET Framework 3.5
Microsoft Games for Windows - LIVE
Microsoft Games for Windows - LIVE Redistributable
Microsoft Office Access MUI (English) 2007
Microsoft Office Access Setup Metadata MUI (English) 2007
Microsoft Office Enterprise 2007
Microsoft Office Enterprise 2007
Microsoft Office Excel MUI (English) 2007
Microsoft Office Groove MUI (English) 2007
Microsoft Office Groove Setup Metadata MUI (English) 2007
Microsoft Office InfoPath MUI (English) 2007
Microsoft Office OneNote MUI (English) 2007
Microsoft Office Outlook MUI (English) 2007
Microsoft Office PowerPoint MUI (English) 2007
Microsoft Office Proof (English) 2007
Microsoft Office Proof (French) 2007
Microsoft Office Proof (Spanish) 2007
Microsoft Office Proofing (English) 2007
Microsoft Office Publisher MUI (English) 2007
Microsoft Office Shared MUI (English) 2007
Microsoft Office Shared Setup Metadata MUI (English) 2007
Microsoft Office Word MUI (English) 2007
Microsoft User-Mode Driver Framework Feature Pack 1.0
Microsoft Visual C++ 2005 Redistributable
MOTORM4X
Mozilla Firefox (3.0.5)
MP3MyMP3 2.0
MSN
MSXML 6 Service Pack 2 (KB954459)
Native Instruments Absynth 4
Native Instruments B4 II
Native Instruments Battery 3
Native Instruments Guitar Rig 3
Native Instruments Kontakt v2.01
Native Instruments Massive
Native Instruments Vokator
oggcodecs
OpenAL
OpenOffice.org 2.4
Oxygen AVCHD Player Lite
Perfect Ace de
Pianoteq v2.2.0
PoiZone
Prince of Persia
Pure DEMO
QuickTime
RealStrat 1.0
Realtek High Definition Audio Driver
reFX Vanguard VSTi v1.6.1
Registry System Wizard
RelevantKnowledge
Revo Uninstaller 1.75
Rob Papen Albino 3
Rockstar Games Social Club
RSO ExTreme Punch 3 VST
Samplitude 10 10.0.0.0 (US)
Security Update for 2007 Microsoft Office System (KB951550)
Security Update for 2007 Microsoft Office System (KB951944)
Security Update for 2007 Microsoft Office System (KB958439)
Security Update for Microsoft Office Excel 2007 (KB958437)
Security Update for Microsoft Office OneNote 2007 (KB950130)
Security Update for Microsoft Office PowerPoint 2007 (KB951338)
Security Update for Microsoft Office Publisher 2007 (KB950114)
Security Update for Microsoft Office system 2007 (KB954326)
Security Update for Microsoft Office system 2007 (KB956828)
Security Update for Microsoft Office Word 2007 (KB956358)
Security Update for Windows Media Player (KB911564)
Security Update for Windows Media Player (KB952069)
Security Update for Windows Media Player 10 (KB936782)
Security Update for Windows Media Player 6.4 (KB925398)
Security Update for Windows Media Player 9 (KB936782)
Security Update for Windows XP (KB890046)
Security Update for Windows XP (KB893756)
Security Update for Windows XP (KB896358)
Security Update for Windows XP (KB896423)
Security Update for Windows XP (KB896428)
Security Update for Windows XP (KB899587)
Security Update for Windows XP (KB899591)
Security Update for Windows XP (KB900725)
Security Update for Windows XP (KB901017)
Security Update for Windows XP (KB901214)
Security Update for Windows XP (KB902400)
Security Update for Windows XP (KB905414)
Security Update for Windows XP (KB905749)
Security Update for Windows XP (KB908519)
Security Update for Windows XP (KB911562)
Security Update for Windows XP (KB911927)
Security Update for Windows XP (KB913580)
Security Update for Windows XP (KB914388)
Security Update for Windows XP (KB914389)
Security Update for Windows XP (KB917344)
Security Update for Windows XP (KB917953)
Security Update for Windows XP (KB918118)
Security Update for Windows XP (KB918439)
Security Update for Windows XP (KB919007)
Security Update for Windows XP (KB920213)
Security Update for Windows XP (KB920670)
Security Update for Windows XP (KB920683)
Security Update for Windows XP (KB920685)
Security Update for Windows XP (KB921503)
Security Update for Windows XP (KB922819)
Security Update for Windows XP (KB923191)
Security Update for Windows XP (KB923414)
Security Update for Windows XP (KB923689)
Security Update for Windows XP (KB923789)
Security Update for Windows XP (KB923980)
Security Update for Windows XP (KB924270)
Security Update for Windows XP (KB924496)
Security Update for Windows XP (KB924667)
Security Update for Windows XP (KB925902)
Security Update for Windows XP (KB926255)
Security Update for Windows XP (KB926436)
Security Update for Windows XP (KB927779)
Security Update for Windows XP (KB927802)
Security Update for Windows XP (KB928255)
Security Update for Windows XP (KB928843)
Security Update for Windows XP (KB929123)
Security Update for Windows XP (KB930178)
Security Update for Windows XP (KB931261)
Security Update for Windows XP (KB931784)
Security Update for Windows XP (KB932168)
Security Update for Windows XP (KB933729)
Security Update for Windows XP (KB935839)
Security Update for Windows XP (KB935840)
Security Update for Windows XP (KB936021)
Security Update for Windows XP (KB937894)
Security Update for Windows XP (KB938127)
Security Update for Windows XP (KB938464)
Security Update for Windows XP (KB938829)
Security Update for Windows XP (KB941202)
Security Update for Windows XP (KB941568)
Security Update for Windows XP (KB941569)
Security Update for Windows XP (KB941644)
Security Update for Windows XP (KB941693)
Security Update for Windows XP (KB942615)
Security Update for Windows XP (KB943055)
Security Update for Windows XP (KB943460)
Security Update for Windows XP (KB943485)
Security Update for Windows XP (KB944338)
Security Update for Windows XP (KB944653)
Security Update for Windows XP (KB945553)
Security Update for Windows XP (KB946026)
Security Update for Windows XP (KB946648)
Security Update for Windows XP (KB947864)
Security Update for Windows XP (KB948590)
Security Update for Windows XP (KB948881)
Security Update for Windows XP (KB950749)
Security Update for Windows XP (KB950759)
Security Update for Windows XP (KB950760)
Security Update for Windows XP (KB950762)
Security Update for Windows XP (KB950974)
Security Update for Windows XP (KB951066)
Security Update for Windows XP (KB951376)
Security Update for Windows XP (KB951376-v2)
Security Update for Windows XP (KB951698)
Security Update for Windows XP (KB951748)
Security Update for Windows XP (KB952954)
Security Update for Windows XP (KB953838)
Security Update for Windows XP (KB953839)
Security Update for Windows XP (KB954211)
Security Update for Windows XP (KB954600)
Security Update for Windows XP (KB955069)
Security Update for Windows XP (KB956390)
Security Update for Windows XP (KB956391)
Security Update for Windows XP (KB956802)
Security Update for Windows XP (KB956803)
Security Update for Windows XP (KB956841)
Security Update for Windows XP (KB957095)
Security Update for Windows XP (KB957097)
Security Update for Windows XP (KB958215)
Security Update for Windows XP (KB958644)
Security Update for Windows XP (KB960714)
Segoe UI
Sidechain Compressor 1.1.0
Sonnox Oxford Inflator Native VST v1.5.1
Sonnox Oxford Limiter Native VST v1.1.1
Sonnox Oxford R3 Dynamics Native VST v1.3.1
Sonnox Oxford R3 EQ Native VST v1.6.1
Sonnox Oxford Reverb Native VST v1.0
Sonnox Oxford TransMod Native VST v1.3.1
SoulSeek Client 156c
Spyware Doctor 6.0
Steinberg Cubase SX v3.0.2.623
Steinberg The Grand 2
Steinberg The Grand 2 v2.0.0.1152
Steinberg WaveLab 5.01b
Sylenth1 v2.0
SyncroSoft Emu (Remove only)
Syncrosofts Lizenz Kontrolle
Tone2 Firebird VSTi v1.2.1
ToxicIII
Trilogy
Ultra Flat Metal USB-Hub Keyboard
Update for Microsoft Office Outlook 2007 (KB952142)
Update for Office 2007 (KB946691)
Update for Outlook 2007 Junk Email Filter (kb958619)
Update for Windows XP (KB898461)
Update for Windows XP (KB900485)
Update for Windows XP (KB908531)
Update for Windows XP (KB910437)
Update for Windows XP (KB911280)
Update for Windows XP (KB916595)
Update for Windows XP (KB920872)
Update for Windows XP (KB922582)
Update for Windows XP (KB925720)
Update for Windows XP (KB927891)
Update for Windows XP (KB930916)
Update for Windows XP (KB936357)
Update for Windows XP (KB938828)
Update for Windows XP (KB942763)
Update for Windows XP (KB946627)
Update for Windows XP (KB951072-v2)
Update for Windows XP (KB955839)
VeohTV BETA
VideoLAN VLC media player 0.8.6f
Viewpoint Media Player
Waves Diamond Bundle v5.2
Waves L3 v5.2
Waves SSL Collection v1.2
Winamp
Windows Imaging Component
Windows Installer 3.1 (KB893803)
Windows Live Anmelde-Assistent
Windows Live Essentials
Windows Live Essentials
Windows Live-Uploadtool
Windows Media Format 11 runtime
Windows Media Format 11 runtime
Windows Media Player 10
Windows Presentation Foundation
Windows XP Hotfix - KB873339
Windows XP Hotfix - KB885835
Windows XP Hotfix - KB885836
Windows XP Hotfix - KB886185
Windows XP Hotfix - KB887472
Windows XP Hotfix - KB888302
Windows XP Hotfix - KB890859
Windows XP Hotfix - KB891781
WinRAR
World of Warcraft FREE Trial
Zattoo 3.2.4 Beta

#2 Start > Ausführen> Kopiere rein ComboFix /U klick OK

>>
Aktualisiere Antivir, stelle dein Antivir ein, wie hier beschrieben:
http://board.protecus.de/t23979.htm
Danach bitte einen kompletten Systemscann, poste das Log

>>
Lade bitte SDfix, wende es im abgesicherten Modus an + poste hier den Report, der nach Neustart erscheint
http://virus-protect.org/artikel/tools/sdfix.html

>>
Poste ein neues Log von HJT.

Gruss Swiss

#3 Hier einmal den kompletten Systemscanlog nach Einstellung von Antivir wie von euch vorgeschlagen:



Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Thursday, January 08, 2009 23:15

Es wird nach 1172645 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: *******************
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: ROOQ

Versionsinformationen:
BUILD.DAT : 8.2.0.337 16934 Bytes 11/18/2008 13:01:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 11/25/2008 11:20:56
AVSCAN.DLL : 8.1.4.0 48897 Bytes 7/17/2008 17:36:19
LUKE.DLL : 8.1.4.5 164097 Bytes 7/17/2008 17:36:19
LUKERES.DLL : 8.1.4.0 12545 Bytes 7/17/2008 17:36:19
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 10/27/2008 00:27:00
ANTIVIR1.VDF : 7.1.1.33 1705984 Bytes 12/24/2008 15:01:42
ANTIVIR2.VDF : 7.1.1.88 726528 Bytes 1/8/2009 21:18:24
ANTIVIR3.VDF : 7.1.1.89 2048 Bytes 1/8/2009 21:18:25
Engineversion : 8.2.0.45
AEVDF.DLL : 8.1.0.6 102772 Bytes 10/15/2008 23:21:39
AESCRIPT.DLL : 8.1.1.19 336252 Bytes 12/12/2008 15:01:27
AESCN.DLL : 8.1.1.5 123251 Bytes 11/8/2008 00:22:06
AERDL.DLL : 8.1.1.3 438645 Bytes 11/6/2008 00:22:02
AEPACK.DLL : 8.1.3.4 393591 Bytes 11/12/2008 00:22:10
AEOFFICE.DLL : 8.1.0.33 196987 Bytes 12/12/2008 15:01:26
AEHEUR.DLL : 8.1.0.75 1524087 Bytes 12/12/2008 15:01:26
AEHELP.DLL : 8.1.2.0 119159 Bytes 11/19/2008 06:43:41
AEGEN.DLL : 8.1.1.8 323956 Bytes 12/12/2008 15:01:25
AEEMU.DLL : 8.1.0.9 393588 Bytes 10/15/2008 23:21:35
AECORE.DLL : 8.1.5.2 172405 Bytes 11/29/2008 12:25:06
AEBB.DLL : 8.1.0.3 53618 Bytes 10/15/2008 23:21:34
AVWINLL.DLL : 1.0.0.12 15105 Bytes 7/17/2008 17:36:19
AVPREF.DLL : 8.0.2.0 38657 Bytes 7/17/2008 17:36:19
AVREP.DLL : 8.0.0.2 98344 Bytes 7/31/2008 21:45:36
AVREG.DLL : 8.0.0.1 33537 Bytes 7/17/2008 17:36:19
AVARKT.DLL : 1.0.0.23 307457 Bytes 2/12/2008 08:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 7/17/2008 17:36:19
SQLITE3.DLL : 3.3.17.1 339968 Bytes 1/22/2008 17:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 7/17/2008 17:36:19
NETNT.DLL : 8.0.0.1 7937 Bytes 1/25/2008 12:05:07
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 7/17/2008 17:36:17
RCTEXT.DLL : 8.0.52.0 86273 Bytes 7/17/2008 17:36:17

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\program files\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:, E:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: aus
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Thursday, January 08, 2009 23:15

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'OUTLOOK.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ICQ.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EmuPatchMixDSP.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'OSD.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CCC.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MagicKey.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'VeohClient.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msmsgs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'daemon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MOM.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'cledx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GrooveMonitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winampa.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CALMAIN.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleUpdate.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMSAccessU.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleUpdaterService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '43' Prozesse mit '43' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: The device is not ready.
Masterbootsektor HD3
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: The device is not ready.
Masterbootsektor HD4
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: The device is not ready.
Masterbootsektor HD5
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: The device is not ready.

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '62' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <Win XP Prof.SP2>
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Documents and Settings\Admin\Local Settings\Application Data\Mozilla\Firefox\Profiles\74kg6mse.default\Cache\6D952C06d01
[0] Archivtyp: RAR SFX (self extracting)
--> 32788R22FWJFW\hidec.exe
[FUND] Enthält Erkennungsmuster des SPR/Tool.Hide.A-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '499f7b83.qua' verschoben!
C:\Documents and Settings\Admin\Local Settings\Application Data\Mozilla\Firefox\Profiles\74kg6mse.default\Cache\C2152591d01
[0] Archivtyp: RAR SFX (self extracting)
--> 32788R22FWJFW\hidec.exe
[FUND] Enthält Erkennungsmuster des SPR/Tool.Hide.A-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49977b76.qua' verschoben!
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'D:\' <data>
D:\Andere Programme\FriendBlaster_Pro_v10.0.zip
[0] Archivtyp: ZIP
--> FriendBlaster Pro v10.0/FriendBlasterPro v10.x Patch.exe
[FUND] Enthält Erkennungsmuster des SPR/Hacktool.498688-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49cf80a1.qua' verschoben!
D:\Andere Programme\FriendBlaster_Pro_v10.0\FriendBlaster Pro v10.0\FriendBlasterPro v10.x Patch.exe
[FUND] Enthält Erkennungsmuster des SPR/Hacktool.498688-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49cf80cd.qua' verschoben!
D:\Audio Programme\MOTION-STUDIO_G-UNIT-LOOPS_SAMPLES.part2.rar
[0] Archivtyp: RAR
--> MOTION STUDIO G-UNIT LOOPS\G-UNIT LOOPS\G-UNIT DRUMS\FX\click-01.L.wav
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
D:\Audio Programme\MOTION-STUDIO_G-UNIT-LOOPS_SAMPLES.part3.rar
[0] Archivtyp: RAR
--> MOTION STUDIO G-UNIT LOOPS\SAMPLES\88BPM\881\MOOG SUB_01-01.wav
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
D:\Audio Programme\MOTION-STUDIO_G-UNIT-LOOPS_SAMPLES.part4.rar
[0] Archivtyp: RAR
--> MOTION STUDIO G-UNIT LOOPS\SAMPLES\102BPM\1021\SQUARE SYNTH.wav
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
Beginne mit der Suche in 'E:\' <data>


Ende des Suchlaufs: Friday, January 09, 2009 00:07
Benötigte Zeit: 51:58 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

19986 Verzeichnisse wurden überprüft
678218 Dateien wurden geprüft
4 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
4 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
678212 Dateien ohne Befall
4710 Archive wurden durchsucht
9 Warnungen
4 Hinweise








Hier der SDFix Report:




SDFix: Version 1.240
Run by Admin on 09.01.2009 at 00:20

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files :

Trojan Files Found:

C:\Documents and Settings\Admin\Desktop\Casino.url - Deleted





Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-09 00:24:58
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Program Files\DAEMON Tools Lite\"
"h0"=dword:00000000
"khjeh"=hex:51,86,56,01,cb,1b,42,da,28,57,79,30,ed,55,8a,89,7f,b8,a1,ca,fd,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,60,ba,c6,c9,b0,30,06,66,10,aa,f8,b2,b4,f5,53,37,f6,..
"khjeh"=hex:cb,07,08,d8,0c,73,f5,86,b0,7f,b2,50,dc,06,c5,42,16,29,88,1f,f0,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:97,13,3f,1e,e5,07,36,22,e4,81,e6,65,be,50,42,8a,b1,aa,22,1d,76,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41]
"khjeh"=hex:63,2a,23,cf,ba,99,4a,af,e9,ab,0a,63,db,24,3e,16,b0,8b,6a,1d,71,..
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:2df9c43f
"s2"=dword:110480d0
"h0"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Program Files\DAEMON Tools Lite\"
"h0"=dword:00000000
"khjeh"=hex:49,81,5f,b6,a6,66,a1,98,2f,27,e6,90,8a,c6,56,48,e6,9c,2f,cf,37,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,60,ba,c6,c9,b0,30,06,66,10,aa,f8,b2,b4,f5,53,37,f6,..
"khjeh"=hex:cb,07,08,d8,0c,73,f5,86,b0,7f,b2,50,dc,06,c5,42,16,29,88,1f,f0,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:2a,04,a0,78,1c,13,48,3e,2d,11,05,f4,99,ec,45,d3,50,3d,4b,27,ff,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41]
"khjeh"=hex:21,98,a3,62,13,3c,c2,57,26,53,9f,f8,26,c3,6d,93,6f,33,bc,fc,e4,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Program Files\DAEMON Tools Lite\"
"h0"=dword:00000000
"khjeh"=hex:51,86,56,01,cb,1b,42,da,28,57,79,30,ed,55,8a,89,7f,b8,a1,ca,fd,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,60,ba,c6,c9,b0,30,06,66,10,aa,f8,b2,b4,f5,53,37,f6,..
"khjeh"=hex:cb,07,08,d8,0c,73,f5,86,b0,7f,b2,50,dc,06,c5,42,16,29,88,1f,f0,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:ad,0d,16,15,63,49,53,33,ef,2b,b3,e1,45,10,66,29,e9,99,9b,ad,79,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41]
"khjeh"=hex:63,2a,23,cf,ba,99,4a,af,e9,ab,0a,63,db,24,3e,16,b0,8b,6a,1d,71,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Program Files\DAEMON Tools Lite\"
"h0"=dword:00000000
"khjeh"=hex:49,81,5f,b6,a6,66,a1,98,2f,27,e6,90,8a,c6,56,48,e6,9c,2f,cf,37,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,60,ba,c6,c9,b0,30,06,66,10,aa,f8,b2,b4,f5,53,37,f6,..
"khjeh"=hex:cb,07,08,d8,0c,73,f5,86,b0,7f,b2,50,dc,06,c5,42,16,29,88,1f,f0,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:2a,04,a0,78,1c,13,48,3e,2d,11,05,f4,99,ec,45,d3,50,3d,4b,27,ff,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41]
"khjeh"=hex:21,98,a3,62,13,3c,c2,57,26,53,9f,f8,26,c3,6d,93,6f,33,bc,fc,e4,..

scanning hidden registry entries ...

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{5C0AF4D2-6C63-2877-D614-D4D326749FC8}]
"abhldphhapipaekcjggibokododddlnimb"=hex:65,61,68,6c,66,61,6e,62,6b,61,00,00
"maclgpfhhfkigjkmihhkgbnajm"=hex:69,61,62,62,64,66,63,66,62,6f,6f,6c,62,68,61,61,65,68,00,00

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\ICQ6\\ICQ.exe"="C:\\Program Files\\ICQ6\\ICQ.exe:*:Enabled:ICQ6"
"C:\\Program Files\\Messenger\\msmsgs.exe"="C:\\Program Files\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\\Program Files\\Common Files\\AOL\\Loader\\aolload.exe"="C:\\Program Files\\Common Files\\AOL\\Loader\\aolload.exe:*:Enabled:AOL Loader"
"C:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"="C:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook"
"C:\\Program Files\\Microsoft Office\\Office12\\GROOVE.EXE"="C:\\Program Files\\Microsoft Office\\Office12\\GROOVE.EXE:*:Enabled:Microsoft Office Groove"
"C:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"="C:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE:*:Enabled:Microsoft Office OneNote"
"C:\\Program Files\\AIM6\\aim6.exe"="C:\\Program Files\\AIM6\\aim6.exe:*:Enabled:AIM"
"C:\\Program Files\\Soulseek\\slsk.exe"="C:\\Program Files\\Soulseek\\slsk.exe:*:Enabled:SoulSeek"
"C:\\Program Files\\Hamachi\\hamachi.exe"="C:\\Program Files\\Hamachi\\hamachi.exe:*:Enabled:Hamachi Client"
"C:\\Program Files\\Zattoo\\zattood.exe"="C:\\Program Files\\Zattoo\\zattood.exe:*:Enabled:zattood"
"C:\\Program Files\\Zattoo\\Zattoo2.exe"="C:\\Program Files\\Zattoo\\Zattoo2.exe:*:Enabled: "
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\Veoh Networks\\Veoh\\VeohClient.exe"="C:\\Program Files\\Veoh Networks\\Veoh\\VeohClient.exe:*:Enabled:Veoh Client"
"E:\\Games\\Call.Of.Duty.World.At.War-RELOADED\\CoDWaWmp.exe"="E:\\Games\\Call.Of.Duty.World.At.War-RELOADED\\CoDWaWmp.exe:*:Enabled:Call of Duty(R) - World at War(TM)"
"E:\\Games\\Call.Of.Duty.World.At.War-RELOADED\\CoDWaW.exe"="E:\\Games\\Call.Of.Duty.World.At.War-RELOADED\\CoDWaW.exe:*:Enabled:Call of Duty(R) - World at War(TM)"
"C:\\Program Files\\Mozilla Firefox\\firefox.exe"="C:\\Program Files\\Mozilla Firefox\\firefox.exe:*:Enabled:Firefox"
"E:\\Games\\PrinceofPersia\\Prince of Persia.exe"="E:\\Games\\PrinceofPersia\\Prince of Persia.exe:*:Enabledrince of Persia Dx"
"E:\\Games\\PrinceofPersia\\PrinceOfPersia_Launcher.exe"="E:\\Games\\PrinceofPersia\\PrinceOfPersia_Launcher.exe:*:Enabledrince of Persia Update"
"E:\\Games\\Race.Driver.GRID.Multi-5.Full-Rip.Skullptura\\Grid\\GRID.exe"="E:\\Games\\Race.Driver.GRID.Multi-5.Full-Rip.Skullptura\\Grid\\GRID.exe:*:Enabled:GRID Executable"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

Remaining Files :


File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes :

Thu 8 Jan 2009 1,313,653 A.SH. --- "C:\WINDOWS\system32\rauesrqa.tmp"
Mon 30 Jun 2008 4,348 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Wed 31 Dec 2008 1,301 ...HR --- "C:\Documents and Settings\Admin\Application Data\SecuROM\UserData\securom_v7_01.bak"

Finished!








Und Last but not Least ein neues Hijackthis Log File:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:28:59, on 09.01.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Java\jre6\bin\jqs.exe
D:\Andere Programme\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Canon\CAL\CALMAIN.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\WINDOWS\CTHELPER.EXE
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Program Files\SyncroSoft\Pos\H2O\cledx.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Ultra Flat Metal USB-Hub Keyboard\MagicKey.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Program Files\Ultra Flat Metal USB-Hub Keyboard\OSD.EXE
C:\Program Files\Creative Professional\Digital Audio System\E-MU PatchMix DSP\EmuPatchMixDSP.exe
C:\WINDOWS\system32\wuauclt.exe
c:\program files\avira\antivir personaledition classic\avcenter.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Expressivo - {85F685C3-20D9-4943-95E4-EB4224056C3F} - D:\Andere Programme\Expressivo\integr\ih-iexplorer\IH_iexplorer.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Expressivo - {85F685C3-20D9-4943-95E4-EB4224056C3F} - D:\Andere Programme\Expressivo\integr\ih-iexplorer\IH_iexplorer.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [H2O] C:\Program Files\SyncroSoft\Pos\H2O\cledx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKCU\..\Run: [SetDefaultMIDI] MIDIDef.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Veoh] "C:\Program Files\Veoh Networks\Veoh\VeohClient.exe" /VeohHide
O4 - Startup: hamachi.lnk = C:\Program Files\Hamachi\hamachi.exe
O4 - Startup: OneNote 2007 Screen Clipper and Launcher.lnk = C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Startup: OpenOffice.org 2.4.lnk = C:\Program Files\OpenOffice.org 2.4\program\quickstart.exe
O4 - Global Startup: Ultra Flat Metal USB-Hub Keyboard.lnk = C:\Program Files\Ultra Flat Metal USB-Hub Keyboard\MagicKey.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: *.antimalwareguard.com
O15 - Trusted Zone: *.gomyhit.com
O15 - Trusted Zone: *.antimalwareguard.com (HKLM)
O15 - Trusted Zone: *.gomyhit.com (HKLM)
O17 - HKLM\System\CCS\Services\Tcpip\..\{F72864FF-A966-4C46-8B04-395E1328C119}: NameServer = 213.191.74.11 213.191.92.82
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll
O20 - AppInit_DLLs: dfvvxd.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe
O23 - Service: Droppix Service - Droppix - C:\Program Files\Common Files\Droppix\DxService.exe
O23 - Service: Google Update Service (gupdate1c904a970227da4) (gupdate1c904a970227da4) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NMSAccessU - Unknown owner - D:\Andere Programme\CDBurnerXP\NMSAccessU.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe

--
End of file - 8033 bytes

#4 Start -> Einstellungen -> Systemsteuerung -> Software und entferne RelevantKnowledge

Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

O15 - Trusted Zone: *.antimalwareguard.com
O15 - Trusted Zone: *.gomyhit.com
O15 - Trusted Zone: *.antimalwareguard.com (HKLM)
O15 - Trusted Zone: *.gomyhit.com (HKLM)
O20 - AppInit_DLLs: dfvvxd.dll

klicke: Fix checked

Verborgene Dateien sichtbar machen
Arbeitsplatz öffnen >Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und Ordner >"alle Dateien und Ordner anzeigen" aktivieren und >Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner >"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren.

Starte Malwarebytes’Anti-Malware wähle Reiter " Weitere Programme "
Klicke "Programm ausführen " unter FileASSASSIN
Suche C:\ARK11F.tmp und klicke OK

Mach dasselbe mit
C:\ARK120.tmp
c:\windows\system32\ffkuz.dll
c:\windows\system32\rauesrqa.tmp

Benutze CCleaner

ComboFix(by sUBs)
Download ComboFix und speichert es auf den Desktop!
Schliesse alle Programme und Anwendungen mit Hintergrundwächtern inklusive der Firewall + Antivirusprogramme müssen deaktiviert sein

Starte combofix.exe

Folge den Instruktionen in das Fenster

Während Combofix lauft NICHT ins Fenster klicken sonst erfriert dein Rechner

Wenn das Tool fertig ist,oeffnet sich ein logfile (C:\ combofix.txt)
nun das KOMPLETTE Log mit rechtem Mausklick ab kopieren und ins Forum mit rechtem Mausklick "einfügen"
__________
MfG Argus

#5 Alles klar, wird gemacht...kann ein wenig dauern weil mein windows xp englisch ist und ich einiges erst suchen muss etc... aber während ich das mach schonmal ein dickes dickes dankeschön. Das Forum ist bombe, hier werden einem Instruktionen gegeben anstatt das irgendwelche Leute einfach nur rumlabern. Sowas gibt es nicht oft. Vieln Vielen dank für die Hilfe


Edit: Beim Versuch "Relevant Knowledge" zu entfernen wurde mir mitgeteilt das das nicht möglich ist weil das anscheinend schon entfernt wurde

Edit: Hijack this ausgeführt, 5 Files gefixed

Edit: Problem beim ausführen von MBAM File Assassin: von den 4 Files konnte ich lediglich das letzte am angegebenen Platz finden :-(. Die anderen 3 konnte ich nicht entdecken

Edit: CCleaner benutzt und crap entfernt :-)

#6 Darum warte ich auf ComboFix

Wenn Relevant Knowledge noch bei Software stet dann gibt es Add-Remove4good http://www.4dev.com/addremove/index.htm
__________
MfG Argus

#7 Hier jetzt der Combofix log...komischerweise hat combofix diesesmal garnich den Rechner neu gestartet !?!?


ComboFix 09-01-08.01 - Admin 2009-01-09 1:41:10.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1033.18.3327.2744 [GMT 1:00]
Running from: c:\documents and settings\Admin\Desktop\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated)
.

((((((((((((((((((((((((( Files Created from 2008-12-09 to 2009-01-09 )))))))))))))))))))))))))))))))
.

2009-01-09 01:33 . 2009-01-09 01:33 <DIR> d-------- c:\program files\CCleaner
2009-01-09 00:17 . 2009-01-09 00:17 <DIR> d-------- c:\windows\ERUNT
2009-01-08 23:18 . 2009-01-09 00:26 <DIR> d-------- C:\SDFix
2009-01-08 21:54 . 2009-01-08 21:54 410,984 --a------ c:\windows\system32\deploytk.dll
2009-01-07 15:41 . 2009-01-07 15:42 <DIR> d-------- c:\program files\Spyware Doctor
2009-01-07 15:41 . 2009-01-07 15:47 <DIR> d-a------ c:\documents and settings\All Users\Application Data\TEMP
2009-01-07 15:41 . 2009-01-07 15:41 <DIR> d-------- c:\documents and settings\Admin\Application Data\PC Tools
2009-01-07 15:41 . 2008-08-25 12:36 81,288 --a------ c:\windows\system32\drivers\iksyssec.sys
2009-01-07 15:41 . 2008-08-25 12:36 66,952 --a------ c:\windows\system32\drivers\iksysflt.sys
2009-01-07 15:41 . 2008-08-25 12:36 40,840 --a------ c:\windows\system32\drivers\ikfilesec.sys
2009-01-07 15:41 . 2008-06-02 16:19 29,576 --a------ c:\windows\system32\drivers\kcom.sys
2009-01-02 18:58 . 2009-01-02 18:58 <DIR> d-------- c:\documents and settings\All Users\Application Data\Codemasters
2009-01-02 18:58 . 2008-10-10 04:52 4,379,984 --a------ c:\windows\system32\D3DX9_40.dll
2009-01-02 18:58 . 2008-10-10 04:52 2,036,576 --a------ c:\windows\system32\D3DCompiler_40.dll
2009-01-02 18:58 . 2008-04-28 16:53 805,400 -ra------ c:\windows\system32\tmp429.tmp
2009-01-02 18:58 . 2008-04-28 16:53 805,400 -ra------ c:\windows\system32\tmp428.tmp
2009-01-02 18:58 . 2008-10-27 10:04 514,384 --a------ c:\windows\system32\XAudio2_3.dll
2009-01-02 18:58 . 2008-10-10 04:52 452,440 --a------ c:\windows\system32\d3dx10_40.dll
2009-01-02 18:58 . 2008-10-27 10:04 235,856 --a------ c:\windows\system32\xactengine3_3.dll
2009-01-02 18:58 . 2008-10-27 10:04 70,992 --a------ c:\windows\system32\XAPOFX1_2.dll
2009-01-02 18:57 . 2008-10-27 10:04 23,376 --a------ c:\windows\system32\X3DAudio1_5.dll
2008-12-31 21:55 . 2008-12-31 21:55 <DIR> d-------- c:\documents and settings\Admin\Application Data\InstallShield
2008-12-31 21:55 . 2008-12-31 21:57 967 --a------ c:\windows\disney.ini
2008-12-31 20:00 . 2008-04-28 16:53 805,400 -ra------ c:\windows\system32\tmp35C.tmp
2008-12-31 20:00 . 2008-04-28 16:53 805,400 -ra------ c:\windows\system32\tmp35B.tmp
2008-12-30 00:05 . 2008-12-30 00:05 <DIR> d-------- c:\program files\Windows Live SkyDrive
2008-12-30 00:05 . 2008-12-30 00:05 <DIR> d-------- c:\program files\Microsoft
2008-12-30 00:03 . 2008-12-30 00:03 <DIR> d-------- c:\program files\Common Files\Windows Live
2008-12-26 17:09 . 2008-07-12 08:18 1,493,528 --a------ c:\windows\system32\D3DCompiler_39.dll
2008-12-26 17:09 . 2008-07-31 10:40 509,448 --a------ c:\windows\system32\XAudio2_2.dll
2008-12-26 17:09 . 2008-07-12 08:18 467,984 --a------ c:\windows\system32\d3dx10_39.dll
2008-12-26 17:09 . 2008-07-31 10:41 238,088 --a------ c:\windows\system32\xactengine3_2.dll
2008-12-26 17:09 . 2008-07-31 10:41 68,616 --a------ c:\windows\system32\XAPOFX1_1.dll
2008-12-26 11:45 . 2008-12-31 20:00 <DIR> d-------- c:\program files\OpenAL
2008-12-26 06:26 . 2008-12-26 06:26 <DIR> d-------- c:\program files\Common Files\Blizzard Entertainment
2008-12-24 20:38 . 2008-12-24 20:38 3,851,784 --a------ c:\windows\system32\d3dx9_39.dll
2008-12-24 13:21 . 2008-12-24 13:21 107,888 --a------ c:\windows\system32\CmdLineExt.dll
2008-12-24 11:35 . 2008-12-24 11:35 <DIR> dr-h----- c:\documents and settings\Admin\Application Data\SecuROM
2008-12-24 11:32 . 2008-12-24 11:32 <DIR> d-------- c:\windows\system32\LogFiles
2008-12-24 11:32 . 2008-12-24 11:32 <DIR> d-------- c:\windows\system32\drivers\umdf
2008-12-24 11:31 . 2008-12-24 12:47 <DIR> d-------- c:\program files\Microsoft Games for Windows - LIVE
2008-12-14 23:50 . 2008-12-14 23:50 <DIR> d---s---- c:\documents and settings\Admin\UserData

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-08 23:26 --------- d-----w c:\documents and settings\Admin\Application Data\OpenOffice.org2
2009-01-08 23:26 --------- d-----w c:\documents and settings\Admin\Application Data\Hamachi
2009-01-08 20:54 --------- d-----w c:\program files\Java
2009-01-08 16:58 --------- d-----w c:\documents and settings\All Users\Application Data\Google Updater
2009-01-07 17:32 --------- d-----w c:\program files\Malwarebytes' Anti-Malware
2009-01-05 12:08 --------- d-----w c:\program files\Soulseek
2009-01-04 17:38 38,496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2009-01-04 17:38 15,504 ----a-w c:\windows\system32\drivers\mbam.sys
2009-01-02 17:58 444,952 ----a-w c:\windows\system32\wrap_oal.dll
2009-01-02 17:58 109,080 ----a-w c:\windows\system32\OpenAL32.dll
2008-12-31 20:57 --------- d--h--w c:\program files\InstallShield Installation Information
2008-12-12 02:04 --------- d-----w c:\documents and settings\All Users\Application Data\Microsoft Help
2008-12-01 22:13 3,452,928 ----a-w c:\windows\system32\drivers\ati2mtag.sys
2008-12-01 20:52 425,984 ----a-w c:\windows\system32\ATIDEMGX.dll
2008-12-01 20:51 318,464 ----a-w c:\windows\system32\ati2dvag.dll
2008-12-01 20:46 11,304,960 ----a-w c:\windows\system32\atioglxx.dll
2008-12-01 20:41 188,416 ----a-w c:\windows\system32\atipdlxx.dll
2008-12-01 20:40 43,520 ----a-w c:\windows\system32\ati2edxx.dll
2008-12-01 20:40 26,112 ----a-w c:\windows\system32\Ati2mdxx.exe
2008-12-01 20:40 147,456 ----a-w c:\windows\system32\Oemdspif.dll
2008-12-01 20:40 143,360 ----a-w c:\windows\system32\ati2evxx.dll
2008-12-01 20:38 598,016 ----a-w c:\windows\system32\ati2evxx.exe
2008-12-01 20:37 53,248 ----a-w c:\windows\system32\ATIDDC.DLL
2008-12-01 20:27 4,120,384 ----a-w c:\windows\system32\ati3duag.dll
2008-12-01 20:19 307,200 ----a-w c:\windows\system32\atiiiexx.dll
2008-12-01 20:11 2,495,360 ----a-w c:\windows\system32\ativvaxx.dll
2008-12-01 19:57 48,640 ----a-w c:\windows\system32\amdpcom32.dll
2008-12-01 19:53 45,056 ----a-w c:\windows\system32\amdcalrt.dll
2008-12-01 19:53 45,056 ----a-w c:\windows\system32\amdcalcl.dll
2008-12-01 19:53 401,408 ----a-w c:\windows\system32\atikvmag.dll
2008-12-01 19:52 86,016 ----a-w c:\windows\system32\atiadlxx.dll
2008-12-01 19:52 17,408 ----a-w c:\windows\system32\atitvo32.dll
2008-12-01 19:51 53,248 ----a-w c:\windows\system32\drivers\ati2erec.dll
2008-12-01 19:50 3,252,224 ----a-w c:\windows\system32\Amdcaldd.dll
2008-12-01 19:50 286,720 ----a-w c:\windows\system32\atiok3x2.dll
2008-12-01 19:45 577,536 ----a-w c:\windows\system32\ati2cqag.dll
2008-12-01 13:35 593,920 ----a-w c:\windows\system32\ati2sgag.exe
2008-11-25 23:39 --------- d-----w c:\program files\Registry System Wizard
2008-11-24 02:06 43,872 ------w c:\windows\system32\drivers\PxHelp20.sys
2008-11-24 02:06 129,520 ----a-w c:\windows\system32\pxafs.dll
2008-11-24 02:06 120,568 ----a-w c:\windows\system32\pxcpyi64.exe
2008-11-24 02:06 118,256 ----a-w c:\windows\system32\pxinsi64.exe
2008-11-19 09:02 --------- d-----w c:\documents and settings\Admin\Application Data\SIR
2008-11-09 02:56 --------- d-----w c:\program files\Vstplugins
2008-11-09 02:56 --------- d-----w c:\program files\VirSyn Software Synthesizer
2008-10-28 16:41 14,303,392 ----a-w c:\windows\system32\xlive.dll
2008-10-28 16:41 13,643,936 ----a-w c:\windows\system32\xlivefnt.dll
2008-10-23 13:01 283,648 ----a-w c:\windows\system32\gdi32.dll
2008-10-21 18:51 118,784 ----a-w c:\windows\system32\atibrtmon.exe
2008-10-21 17:40 81,920 ----a-w c:\windows\system32\ATIODE.exe
2008-10-21 17:40 45,056 ----a-w c:\windows\system32\ATIODCLI.exe
2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll
2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll
2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll
2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll
2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll
2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe
2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll
2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll
2008-10-16 13:06 268,648 ----a-w c:\windows\system32\mucltui.dll
2008-10-16 13:06 208,744 ----a-w c:\windows\system32\muweb.dll
2008-10-16 10:37 659,456 ----a-w c:\windows\system32\wininet.dll
2006-06-23 06:48 32,768 ----a-r c:\windows\inf\UpdateUSB.exe
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\daemon.exe" [2008-04-01 486856]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2004-10-13 1694208]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2007-07-27 15360]
"Veoh"="c:\program files\Veoh Networks\Veoh\VeohClient.exe" [2008-09-26 3660848]
"SetDefaultMIDI"="MIDIDef.exe" [2006-08-04 c:\windows\MIDIDEF.EXE]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-12 39792]
"UpdReg"="c:\windows\UpdReg.EXE" [2000-05-11 90112]
"WinampAgent"="c:\program files\Winamp\winampa.exe" [2007-10-10 36352]
"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-17 266497]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2008-03-28 413696]
"GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2007-08-24 33648]
"H2O"="c:\program files\SyncroSoft\Pos\H2O\cledx.exe" [2005-10-22 385024]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-01-08 136600]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-08-01 61440]
"RTHDCPL"="RTHDCPL.EXE" [2007-03-21 c:\windows\RTHDCPL.exe]
"CTHelper"="CTHELPER.EXE" [2006-08-04 c:\windows\CTHELPER.EXE]
"CTxfiHlp"="CTXFIHLP.EXE" [2006-08-04 c:\windows\system32\CTXFIHLP.EXE]

c:\documents and settings\Admin\Start Menu\Programs\Startup\
hamachi.lnk - c:\program files\Hamachi\hamachi.exe [2008-07-03 624416]
OneNote 2007 Screen Clipper and Launcher.lnk - c:\program files\Microsoft Office\Office12\ONENOTEM.EXE [2007-12-07 101440]
OpenOffice.org 2.4.lnk - c:\program files\OpenOffice.org 2.4\program\quickstart.exe [2008-01-21 393216]

c:\documents and settings\All Users\Start Menu\Programs\Startup\
Ultra Flat Metal USB-Hub Keyboard.lnk - c:\program files\Ultra Flat Metal USB-Hub Keyboard\MagicKey.exe [2008-10-15 163840]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.l3acm"= c:\windows\system32\l3codecp.acm

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\ICQ6\\ICQ.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\Common Files\\AOL\\Loader\\aolload.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program Files\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Program Files\\AIM6\\aim6.exe"=
"c:\\Program Files\\Soulseek\\slsk.exe"=
"c:\\Program Files\\Hamachi\\hamachi.exe"=
"c:\\Program Files\\Zattoo\\zattood.exe"=
"c:\\Program Files\\Zattoo\\Zattoo2.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Veoh Networks\\Veoh\\VeohClient.exe"=
"e:\\Games\\Call.Of.Duty.World.At.War-RELOADED\\CoDWaWmp.exe"=
"e:\\Games\\Call.Of.Duty.World.At.War-RELOADED\\CoDWaW.exe"=
"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=
"e:\\Games\\PrinceofPersia\\Prince of Persia.exe"=
"e:\\Games\\PrinceofPersia\\PrinceOfPersia_Launcher.exe"=
"e:\\Games\\Race.Driver.GRID.Multi-5.Full-Rip.Skullptura\\Grid\\GRID.exe"=

R0 mv61xx;mv61xx;c:\windows\system32\drivers\mv61xx.sys [2007-05-25 137728]
R1 Asapi;Asapi;c:\windows\system32\drivers\asapi.sys [2008-04-25 11264]
R1 kbfilter;Keyboard Filter Driver;c:\windows\system32\drivers\kbfilter.sys [2008-10-15 11886]
R3 AtcL001;NDIS Miniport Driver for Attansic L1 Gigabit Ethernet Controller;c:\windows\system32\drivers\atl01_xp.sys [2008-03-06 38656]
R3 CLEDX;Team H2O CLEDX service;c:\windows\system32\drivers\cledx.sys [2008-04-23 33792]
S3 Droppix Service;Droppix Service;c:\program files\Common Files\Droppix\DxService.exe [2008-04-26 151552]
S3 MagixASIODrv;MAGIX_ASIO_BoostDriver;c:\program files\MAGIX\Samplitude_10\mxasio.sys [2008-11-04 4899]
S3 sdAuxService;PC Tools Auxiliary Service;c:\program files\Spyware Doctor\pctsAuxs.exe [2009-01-07 356920]
S4 gupdate1c904a970227da4;Google Update Service (gupdate1c904a970227da4);c:\program files\Google\Update\GoogleUpdate.exe [2008-08-22 133104]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7e691842-eb50-11dc-8e77-806d6172696f}]
\Shell\AutoRun\command - F:\Launch.exe
.
Contents of the 'Scheduled Tasks' folder

2009-01-06 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2007-08-29 13:57]

2009-01-08 c:\windows\Tasks\GoogleUpdateTaskMachine.job
- c:\program files\Google\Update\GoogleUpdate.exe [2008-08-30 00:49]
.
.
------- Supplementary Scan -------
.
uInternet Connection Wizard,ShellNext = iexplore
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
TCP: {F72864FF-A966-4C46-8B04-395E1328C119} = 213.191.74.11 213.191.92.82
FF - ProfilePath - c:\documents and settings\Admin\Application Data\Mozilla\Firefox\Profiles\74kg6mse.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&q=
FF - plugin: c:\program files\Google\Google Updater\2.4.1368.5602\npCIDetect13.dll
FF - plugin: c:\program files\Google\Lively\nplively.dll
FF - plugin: c:\program files\Google\Update\1.2.133.33\npGoogleOneClick7.dll
FF - plugin: c:\program files\Veoh Networks\Veoh\Plugins\noreg\NPVeohVersion.dll
FF - plugin: c:\program files\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-09 01:41:51
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
--------------------- LOCKED REGISTRY KEYS ---------------------

[HKEY_USERS\S-1-5-21-73868346-2500763925-1663247047-1003\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{5C0AF4D2-6C63-2877-D614-D4D326749FC8}*NULL*]
"abhldphhapipaekcjggibokododddlnimb"=hex:65,61,68,6c,66,61,6e,62,6b,61,00,00
"maclgpfhhfkigjkmihhkgbnajm"=hex:69,61,62,62,64,66,63,66,62,6f,6f,6c,62,68,61,\
61,65,68,00,00

[HKEY_USERS\S-1-5-21-73868346-2500763925-1663247047-1003\Software\SecuROM\License information*NULL*]
"datasecu"=hex:81,ad,a5,64,40,d7,3d,58,27,68,77,b2,d6,e6,ff,d5,12,2f,52,33,18,\
a2,ad,95,70,2c,16,33,19,df,9c,9b,7f,8d,be,30,7c,a0,70,5b,92,55,29,18,6a,4f,\
ca,c6,40,4f,b9,7f,dd,84,16,74,66,25,cb,79,37,81,df,56,7c,d2,47,75,b9,2f,e7,\
8f,c3,4c,38,c7,a9,80,9e,40,b1,f9,87,9c,34,01,c4,d3,45,6a,2a,21,d8,d3,ae,02,\
7e,47,58,be,e1,d6,69,44,fa,2e,c9,f7,18,3c,76,47,ad,ef,6c,2b,61,51,01,10,0e,\
7f,42,72,c7,90,a5,a0,3c,92,ce,53,dd,0d,15,26,10,b7,bf,3b,6e,27,6a,7c,2e,84,\
b5,ca,c7,18,62,38,4a,bc,d9,28,2d,c1,14,75,2b,5b,00,6b,0e,87,f9,02,3a,e4,53,\
44,ea,e9,54,7a,b6,dd,00,30,df,00,eb,7d,7b,63,df,13,5e,41,83,38,ef,2f,c9,1d,\
ca,bc,26,63,af,93,6a,d6,66,06,cf,de,83,65,05,99,fb,78,92,a8,3f,c4,24,0a,15,\
e0,9b,ec,20,5c,f0,3c,5e,43,8e,71,e1,32,a2,be,d2,a4,7a,46,dc,21,91,e6,f9,17,\
5d,1e,44,7f,4b,aa,11,39,d1,27,61,7c,ee,ce,c9,b1,2a,79,82,f9,a8,1f,2b,03,9d,\
13,ac,e8,59,6c,a4,08,85,d5,b3,49,98,d6,3a,03,09,49,fa,dc,fb,c3,70,4d,f4,f3,\
e1,26,b6,e2,59,24,95,b0,0c,75,e8,5f,be,6a,e6,06,75,fc,a4,14,a6,73,59,3c,db,\
1c,54,98,ad,ec,fd,e6,d7,80,07,65,56,4e,1a,ff,12,09,54,d9,77,eb,28,23,2d,c4,\
07,b7,27,b6,ec,62,fc,ea,c6,3a,73,ea,bc,43,6e,75,7b,cc,c6,4d,f4,ad,d9,48,29,\
23,cd,8f,40,55,1a,04,ff,28,73,2c,fd,4e,b6,f5,0a,8d,9c,4d,96,89,30,f8,52,fe,\
65,83,73,15,39,17,9b,43,2e,cb,fd,f3,af,04,18,97,32,2f,52,78,c3,3b,85,51,29,\
f2,3a,94,d9,3e,e2,a1,13,41,b2,65,fb,0a,ce,8d,9f,1e,24,4e,1f,fe,04,01,17,cc,\
34,17,06,0d,12,af,f6,4e,50,dd,d9,d2,52,63,07,6a,ce,eb,38,1f,5e,78,2b,14,0e,\
b9,04,40,cf,e6,12,56,74,91,7e,1a,f2,50,7f,63,91,5c,7b,56,35,2e,16,b9,d3,41,\
70,bc,d6,e2,cb,97,68,fd,1b,6a,26,08,78,44,1f,31,8d,15,af,fe,63,4d,c5,51,12,\
e6,a7,66,39,34,83,13,47,e7,51,0a,ea,62,8e,bc,aa,cd,2c,05,ff,cf,f7,41,f9,4a,\
25,75,79,29,e1,43,a4,35,5b,49,ec,db,89,04,3a,ee,9d,db,cb,56,59,d0,84,02,b9,\
24,fd,6d,32,2e,50,a6,b5,89,4d,9e,0d,8a,cf,0f,6b,e3,f0,ba,f6,40,27,a5,85,2c,\
bb,d0,f5,01,71,c3,93,99,ac,0c,d3,f8,71,d7,a1,66,aa,64,29,f3,8c,0d,37,0d,05,\
70,46,72,fb,8b,ee,d2,eb,9d,64,9c,80,a6,a1,e5,32,b4,40,bd,24,81,39,ae,b5,8b,\
91,01,df,f0,f0,d3,81,1c,0c,6e,5f,b7,20,36,93,a6,88,c7,e3,b6,7b,6d,c7,7e,cf,\
40,bd,d1,43,31,b5,ad,03,6a,43,5d,62,f0,ef,1d,ba,bc,6e,1a,c7,2b,26,34,8b,14,\
d1,f9,06,16,75,29,6e,3d,66,eb,f0,6a,24,37,d2,d3,ff,5a,2c,70,0e,8c,d1,fb,49,\
97,d0,1e,91,7e,a8,e8,03,e5,8f,ff,15,b5,82,e2,4c,3b,1c,ca,29,5c,3a,3f,46,eb,\
1b,fe,95,5e,14,aa,b3,6d,d7,8f,b3,04,42,d5,ed,9d,b8,af,9f,7f,0b,ed,90,23,a1,\
86,2e,4d,52,df,a9,40,1b,4f,44,93,87,c5,6d,f4,76,f7,cf,79,9f,b0,4b,71,ad,8f,\
31,24,d5,f0,00,00,b4,1b,34,2e,dc,20,11,8d,78,3b,6c,74,ab,29,c9,e1,c9,7b,c6,\
81,58,92,e0,9f,c1,5c,e9,56,1c,13,72,06,91,a3,72,6f,cd,f9,19,0d,aa,f1,57,8e,\
80,ce,41,4b,cb,9e,a6,81,a1,05,5e,68,30,18,b7,58,3f,2d,cd,79,6f,b8,ba,e3,66,\
01,53,ca,33,8c,26,da,6c,1a,d0,0b,7a,e5,c5,95,56,1f,0e,b9,f8,19,b5,c4,3d,e9,\
5a,6f,3b,bf,79,47,5b,62,67,fd,53,44,3e,8f,4c,3e,2b,ad,4e,4b,03,01,d9,9e,82,\
36,25,19,9a,da,50,ad,11,44,87,2a,5f,d5,8b,21,bb,a4,c9,98,39,2e,2b,08,89,b9,\
fd,18,d2,c6,fa,92,3f,b5,0f,8a,e8,31,d8,60,04,5a,16,b7,c5,38,ee,6e,44,78,77,\
82,9e,be,2f,5a,1a,10,6b,1a,0f,0f,93,53,f1,df,07,2d,07,16,61,6e,02,1a,30,69,\
07,f1,a1,d1,77,07,de,e4,c1,84,e2,78,92,56,28,a5,6d,44,bf,29,9f,b9,8e,0f,8e,\
11,18,6a,6e,99,6a,ae,04,13,00,74,8d,80,0b,4b,78,a9,6f,f8,2e,22,33,4d,72,a2,\
e7,51,61,0b,8e,84,df,aa,bd,75,85,37,41,6f,e4,12,7a,98,99,35,c6,07,f5,58,17,\
55,3d,ef,a3,e5,33,f3,81,2c,40,46,bc,79,8d,25,e4,c2,37,1f,c7,dc,66,fc,e9,99,\
f0,b2,fe,64,07,56,6d,40,17,ef,ff,02,dd,ea,54,7f,ff,c3,5e,46,96,2c,33,34,c2,\
4c,c2,4e,0b,20,d3,23,c5,12,d6,eb,19,ab,bb,29,43,3f,70,68,45,8f,c4,be,95,57,\
fb,6a,7e,29,37,e4,50,70,97,4b,97,d3,ef,fc,fa,85,39,c0,07,c8,76,54,76,85,89,\
6f,8f,23,55,25,6d,d0,d1,7a,a2,f9,73,42,f6,ba,ff,01,d7,57,10,f3,e7,e2,02,3d,\
02,62,1d,4f,65,99,55,d1,0f,cd,9a,ea,84,ec,a0,5f,62,4e,fc,18,b9,35,4e,64,22,\
08,ce,0c,0c,58,0c,5e,5b,76,99,33,5b,ed,5f,a9,0c,18,17,6f,4c,b9,99,e3,8f,1a,\
7a,45,3a,6e,ac,1e,f4,89,f6,e9,92,72,e3,e7,37,e1,ed,19,31,9e,ea,6a,06,9c,7d,\
57,56,d0,66,26,3e,f2,fe,81,5b,d6,d7,5a,ca,f7,0d,40,bd,fc,87,13,2a,77,63,a4,\
ff,66,a1,b9,f7
"rkeysecu"=hex:33,c2,7a,13,35,79,62,7d,dc,19,01,5f,37,47,fd,1c

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•A~*NULL*]
"AB141C35E9F4BF344B9FC010BB17F68A"="02:\\Software\\Adobe\\FeatureSubscriptions\\DVAAdobeDocMeta\\{53C141BA-4F9E-43FB-B4F9-0C01BB716FA8}\\Registered"
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'winlogon.exe'(788)
c:\windows\system32\Ati2evxx.dll
.
Completion time: 2009-01-09 1:42:49
ComboFix-quarantined-files.txt 2009-01-09 00:42:48
ComboFix2.txt 2009-01-08 20:16:06

Pre-Run: 12.755.185.664 bytes free
Post-Run: 12,735,164,416 bytes free

Current=2 Default=2 Failed=3 LastKnownGood=4 Sets=1,2,3,4
288 --- E O F --- 2008-12-25 07:21:26

#8 Start > Ausführen> Kopiere rein ComboFix /U OK


Entferne SDFix wieder

Happy Surfing again
__________
MfG Argus

#9 Ha, Bombe, ihr seid die besten. Ein einziges Problem noch: Combofix lässt sich über start -> ausführen etc nicht löschen....Antivir meldet mir dabei immer die Datei: SPR/Tool.Hide.A

#10 c:\documents and settings\Admin\Desktop\ComboFix.exe rechtsklick,löschen


Download OTCleanIt. by OldTimer zum Desktop
Schliesse alle Fenster
Doppelklick: OTCleanIt.
Klicke: CleanUp
cleanup.txt wird vom Internet geladen , von Firewall zulassen!
Wenn gefragt wird “Do you want to reboot now?”klicke “Yes”
Dein Rechner wird neu gestartet
Vista benutzer: rechtermausklick auf OTCleanIt.exe und waehle "Run as an Administrator"

Damit werden Reste von benutzten Programme wieder entfernt
__________
MfG Argus

#11 Yessir, erledigt und für absolut Bombe befunden. Wie gesagt: Vielen lieben Dank, ihr habt mich absolut gerettet.
Jetzt werdi ch tatsächlich mit guter Laune pennen gehen können....hätt ich vorhin nich dran geglaubt

Bis dennsen

Rooq

#12 Gern geschehen und ein Gruss aus Holland
__________
MfG Argus

#13 zu früh gefreut....er ist wieder da...zumindest der crypt.XPACK.gen und der dropper.gen und noch irgendwas .... :-(. Ich weiss, das war jetzt nicht grade aussagekräftig, aber ich hab grade wieder warnmeldungen von antivir bekommen und mein explorer war auf einmal weg...inklusive allem was sich eigentlich am unteren Rand des Bildschirms befindet.
Sehr nervig sowas :-(

#14 Kannst du mal das log von Avira AntiVir posten?
__________
MfG Argus

#15 ich lass antivir grad nochmal scannen....hat aber schon wieder 13 Sachen gefunden...meistens ist das dieses crypt.XPACK.gen oder dropper.gen

Ausserdem hat der mir direkt am anfang eine cogad.exe gemeldet

Ich poste das log sobald der Scan gelaufen ist

Hier der Antivir Scanlog:





Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Saturday, January 10, 2009 23:45

Es wird nach 1179377 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: ***********************
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: ROOQ

Versionsinformationen:
BUILD.DAT : 8.2.0.337 16934 Bytes 11/18/2008 13:01:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 11/25/2008 11:20:56
AVSCAN.DLL : 8.1.4.0 48897 Bytes 7/17/2008 17:36:19
LUKE.DLL : 8.1.4.5 164097 Bytes 7/17/2008 17:36:19
LUKERES.DLL : 8.1.4.0 12545 Bytes 7/17/2008 17:36:19
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 10/27/2008 00:27:00
ANTIVIR1.VDF : 7.1.1.33 1705984 Bytes 12/24/2008 15:01:42
ANTIVIR2.VDF : 7.1.1.88 726528 Bytes 1/8/2009 21:18:24
ANTIVIR3.VDF : 7.1.1.96 100864 Bytes 1/10/2009 21:18:24
Engineversion : 8.2.0.54
AEVDF.DLL : 8.1.0.6 102772 Bytes 10/15/2008 23:21:39
AESCRIPT.DLL : 8.1.1.24 340348 Bytes 1/9/2009 21:18:27
AESCN.DLL : 8.1.1.5 123251 Bytes 11/8/2008 00:22:06
AERDL.DLL : 8.1.1.3 438645 Bytes 11/6/2008 00:22:02
AEPACK.DLL : 8.1.3.5 393588 Bytes 1/9/2009 21:18:26
AEOFFICE.DLL : 8.1.0.33 196987 Bytes 12/12/2008 15:01:26
AEHEUR.DLL : 8.1.0.78 1532280 Bytes 1/9/2009 21:18:26
AEHELP.DLL : 8.1.2.0 119159 Bytes 11/19/2008 06:43:41
AEGEN.DLL : 8.1.1.8 323956 Bytes 12/12/2008 15:01:25
AEEMU.DLL : 8.1.0.9 393588 Bytes 10/15/2008 23:21:35
AECORE.DLL : 8.1.5.2 172405 Bytes 11/29/2008 12:25:06
AEBB.DLL : 8.1.0.3 53618 Bytes 10/15/2008 23:21:34
AVWINLL.DLL : 1.0.0.12 15105 Bytes 7/17/2008 17:36:19
AVPREF.DLL : 8.0.2.0 38657 Bytes 7/17/2008 17:36:19
AVREP.DLL : 8.0.0.2 98344 Bytes 7/31/2008 21:45:36
AVREG.DLL : 8.0.0.1 33537 Bytes 7/17/2008 17:36:19
AVARKT.DLL : 1.0.0.23 307457 Bytes 2/12/2008 08:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 7/17/2008 17:36:19
SQLITE3.DLL : 3.3.17.1 339968 Bytes 1/22/2008 17:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 7/17/2008 17:36:19
NETNT.DLL : 8.0.0.1 7937 Bytes 1/25/2008 12:05:07
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 7/17/2008 17:36:17
RCTEXT.DLL : 8.0.52.0 86273 Bytes 7/17/2008 17:36:17

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\program files\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:, E:, M:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: aus
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Saturday, January 10, 2009 23:45

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ICQ.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'OUTLOOK.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EmuPatchMixDSP.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.bin' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'OSD.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CCC.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MagicKey.exe' - '1' Modul(e) wurden durchsucht
C:\Documents and Settings\Admin\Application Data\cogad\cogad.exe
[FUND] Ist das Trojanische Pferd TR/Downloader.Gen
Durchsuche Prozess 'cogad.exe' - '1' Modul(e) wurden durchsucht
Modul ist infiziert -> 'C:\Documents and Settings\Admin\Application Data\cogad\cogad.exe'
Durchsuche Prozess 'VeohClient.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msmsgs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'daemon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MOM.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'cledx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GrooveMonitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winampa.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CTHELPER.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'reader_sl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CALMAIN.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMSAccessU.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleUpdate.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleUpdaterService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Prozess 'cogad.exe' wird beendet
C:\Documents and Settings\Admin\Application Data\cogad\cogad.exe
[FUND] Ist das Trojanische Pferd TR/Downloader.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49d02573.qua' verschoben!

Es wurden '50' Prozesse mit '49' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: The device is not ready.
Masterbootsektor HD3
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: The device is not ready.
Masterbootsektor HD4
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: The device is not ready.
Masterbootsektor HD5
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: The device is not ready.
Masterbootsektor HD6
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'M:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
C:\WINDOWS\system32\wvUlLBUo.dll
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26003
[WARNUNG] Die Datei konnte nicht gelöscht werden!
[HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK lib durchzuführen.
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4bfa48eb.qua' verschoben!
C:\WINDOWS\system32\prunnet.exe
[FUND] Ist das Trojanische Pferd TR/Agent.ET.1
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49de2580.qua' verschoben!
C:\WINDOWS\system32\xtpsxqdp.dll
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] TR/Crypt.XPACK.Gen:[HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN]:<943eaa47>=sz:xtpsxqdp.dll
[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26003
[WARNUNG] Die Datei konnte nicht gelöscht werden!
[HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK lib durchzuführen.
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b9d48ed.qua' verschoben!

Die Registry wurde durchsucht ( '66' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <Win XP Prof.SP2>
C:\ARK5.tmp
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26003
[WARNUNG] Die Datei konnte nicht gelöscht werden!
[HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK lib durchzuführen.
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4bf298ef.qua' verschoben!
C:\ARK6.tmp
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26003
[WARNUNG] Die Datei konnte nicht gelöscht werden!
[HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK lib durchzuführen.
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4bf298e1.qua' verschoben!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Documents and Settings\Admin\Local Settings\temp\nwmrxocsea.tmp
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49d625ca.qua' verschoben!
C:\Documents and Settings\Admin\Local Settings\temp\prun.tmp
[FUND] Ist das Trojanische Pferd TR/Agent.ET.1
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49de25c7.qua' verschoben!
C:\Documents and Settings\Admin\Local Settings\temp\rnxcewsamo.tmp
[FUND] Ist das Trojanische Pferd TR/Agent.ET.1
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49e125c4.qua' verschoben!
C:\Documents and Settings\Admin\Local Settings\temp\winvsnet.tmp
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49d725c1.qua' verschoben!
C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\CP6JKDMF\upd105320[1]
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49cd25cb.qua' verschoben!
C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\WPURG123\index[1]
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49cd25cd.qua' verschoben!
C:\RECYCLER\S-1-5-21-73868346-2500763925-1663247047-1003\Dc3.exe
[0] Archivtyp: RAR SFX (self extracting)
--> 32788R22FWJFW\hidec.exe
[FUND] Enthält Erkennungsmuster des SPR/Tool.Hide.A-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '499c29e0.qua' verschoben!
C:\System Volume Information\_restore{C419C916-CAA4-4C61-840D-3BECB10B9573}\RP1\A0000528.exe
[FUND] Enthält Erkennungsmuster des SPR/Tool.Hide.A-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '499929bb.qua' verschoben!
C:\WINDOWS\system32\achkjj.dll
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49d12af5.qua' verschoben!
C:\WINDOWS\system32\hojkei.dll
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49d32b12.qua' verschoben!
C:\WINDOWS\system32\ndcidcfe.dll
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49cc2b15.qua' verschoben!
C:\WINDOWS\system32\smshpllp.dll
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49dc2b27.qua' verschoben!
C:\WINDOWS\system32\yAtTmNfF.dll
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26003
[WARNUNG] Die Datei konnte nicht gelöscht werden!
[HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK lib durchzuführen.
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49dd2b07.qua' verschoben!
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'D:\' <data>
D:\Audio Programme\MOTION-STUDIO_G-UNIT-LOOPS_SAMPLES.part2.rar
[0] Archivtyp: RAR
--> MOTION STUDIO G-UNIT LOOPS\G-UNIT LOOPS\G-UNIT DRUMS\FX\click-01.L.wav
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
D:\Audio Programme\MOTION-STUDIO_G-UNIT-LOOPS_SAMPLES.part3.rar
[0] Archivtyp: RAR
--> MOTION STUDIO G-UNIT LOOPS\SAMPLES\88BPM\881\MOOG SUB_01-01.wav
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
D:\Audio Programme\MOTION-STUDIO_G-UNIT-LOOPS_SAMPLES.part4.rar
[0] Archivtyp: RAR
--> MOTION STUDIO G-UNIT LOOPS\SAMPLES\102BPM\1021\SQUARE SYNTH.wav
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
Beginne mit der Suche in 'E:\' <data>
Beginne mit der Suche in 'M:\' <Externe1>


Ende des Suchlaufs: Sunday, January 11, 2009 01:13
Benötigte Zeit: 1:28:18 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

21729 Verzeichnisse wurden überprüft
748534 Dateien wurden geprüft
20 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
19 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
748512 Dateien ohne Befall
5188 Archive wurden durchsucht
14 Warnungen
19 Hinweise