PC hängt sich bei Verbindung zum Internet nach kurzer Zeit auf

#1 Hi,

mich plagt seit gestern ein Problem, das nahezu gleichermaßen auf meinem Heimrechner und Laptop auftritt. Über die gemeinsame Internetverbindung haben die sich vermutlich gegenseitig infiziert.

Problembeschreibung:

Wenn ich mit dem Internet verbunden bin, hängt sich das System nach einiger Zeit oder bei bestimmten Aktionen andauernd auf >> Kaltstart erforderlich.

Ich vermute, es hängt auch mit dem Prozess bzw. was sich hinter dem Prozessnamen "svchost" versteckt zusammen, denn wenn ich diesem in der Firewall den Ausgang verweigere, tritt es nahezu unverzüglich ein. Es kommt mit auch komisch vor, dass der PRozess unheimlich aktiv in meiner Firewall aufgelistet ist. (Agnitum Outpost Free Firewall 1.0)

Ich habe entsprechend HiJackThis / Malwarebytes / Antivir & Combofix durchlaufen lassen. >> Alle 4 Logs poste ich am Ende. + Uninstall Liste aus HJT

Hat einer von Euch ne Idee?? Die Sache ist beim Laptop dahingehen akut, da ich darauf grad meine Diplomarbeit schreibe und ich momentan auch keine Zeit für ein Neuaufsetzen habe.

Danke im Voraus und Grüße,

Phipser


HiJackThis Log:
___________________________________________________________
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:19:58, on 27.01.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\System32\DVDRAMSV.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\PROGRA~1\AGNITU~1.0\outpost.exe
C:\Programme\Sunbelt Software\CounterSpy\SBAMSvc.exe
C:\WINDOWS\system32\TDispVol.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\TPSMain.exe
C:\Programme\Toshiba\Toshiba Applet\thotkey.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\RTHDCPL.EXE
E:\Programme\Adobe\Acrobat Pro 7.0\Distillr\Acrotray.exe
C:\Programme\TOSHIBA\TOSHIBA Applet\TAPPSRV.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\WINDOWS\system32\TPSBattM.exe
E:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Synaptics\SynTP\Toshiba.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Sunbelt Software\CounterSpy\SBAMTray.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
c:\programme\avira\antivir personaledition classic\avcenter.exe
C:\Programme\Java\jre1.6.0_07\bin\jucheck.exe
C:\Programme\Trend Micro\HijackThis\HiJT.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spiegel.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 125.101.101.4:80
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat Pro 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - E:\Programme\Adobe\Acrobat Pro 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - E:\Programme\Adobe\Acrobat Pro 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [TDispVol] TDispVol.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [THotkey] C:\Programme\Toshiba\Toshiba Applet\thotkey.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect
O4 - HKLM\..\Run: [NVRotateSysTray] rundll32.exe C:\WINDOWS\system32\nvsysrot.dll,Enable
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRA~1\AGNITU~1.0\outpost.exe /waitservice
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "E:\Programme\Adobe\Acrobat Pro 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "E:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SBAMTray] C:\Programme\Sunbelt Software\CounterSpy\SBAMTray.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://E:\Programme\Adobe\Acrobat Pro 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://E:\Programme\Adobe\Acrobat Pro 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://E:\Programme\Adobe\Acrobat Pro 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://E:\Programme\Adobe\Acrobat Pro 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: In Adobe PDF konvertieren - res://E:\Programme\Adobe\Acrobat Pro 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://E:\Programme\Adobe\Acrobat Pro 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://E:\Programme\Adobe\Acrobat Pro 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://E:\Programme\Adobe\Acrobat Pro 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apache2.2 - Unknown owner - E:\Programme\xampp\apache\bin\apache.exe (file missing)
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\System32\DVDRAMSV.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: mysql - Unknown owner - E:\Programme\xampp\mysql\bin\mysqld-nt.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum - C:\PROGRA~1\AGNITU~1.0\outpost.exe
O23 - Service: Sunbelt VIPRE Antivirus Service (SBAMSvc) - Sunbelt Software - C:\Programme\Sunbelt Software\CounterSpy\SBAMSvc.exe
O23 - Service: TOSHIBA Application Service (TAPPSRV) - TOSHIBA Corp. - C:\Programme\TOSHIBA\TOSHIBA Applet\TAPPSRV.exe
______________________________________________________________

COMBOFIX LOG:
-----------------------------------------------------------------------
ComboFix 09-01-21.04 - Philipp 2009-01-27 13:35:01.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1022.606 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Philipp\Desktop\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated)
.

((((((((((((((((((((((( Dateien erstellt von 2008-12-27 bis 2009-01-27 ))))))))))))))))))))))))))))))
.

2009-01-27 13:17 . 2009-01-27 13:17 <DIR> d-------- c:\programme\Trend Micro
2009-01-27 13:08 . 2009-01-27 13:08 <DIR> d-------- c:\programme\Avira
2009-01-27 13:08 . 2009-01-27 13:08 <DIR> d-------- c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Avira
2009-01-27 12:05 . 2009-01-27 12:05 0 --a------ c:\windows\system32\SBRC.dat
2009-01-27 12:05 . 2009-01-27 12:05 0 --a------ c:\windows\system32\SBFC.dat
2009-01-27 11:52 . 2008-08-13 10:03 68,912 --a------ c:\windows\system32\drivers\sbapifs.sys
2009-01-27 11:52 . 2008-08-13 10:03 13,360 --a------ c:\windows\system32\drivers\sbaphd.sys
2009-01-27 11:51 . 2009-01-27 11:51 <DIR> d-------- c:\programme\Sunbelt Software
2009-01-27 11:51 . 2009-01-27 11:51 <DIR> d-------- c:\dokumente und einstellungen\Philipp\Anwendungsdaten\Sunbelt
2009-01-27 11:51 . 2009-01-27 11:51 <DIR> d-------- c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Sunbelt
2009-01-23 19:53 . 2009-01-23 19:47 1,253,616 --a------ c:\temp\WindowsXP-KB893357-v2-x86-DEU.exe
2009-01-20 00:57 . 2009-01-20 00:57 <DIR> d-------- c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\McAfee
2009-01-13 16:06 . 2009-01-13 16:15 <DIR> d-------- c:\temp\Alter Laptop

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-26 23:50 --------- d-----w c:\dokumente und einstellungen\Philipp\Anwendungsdaten\Hamachi
2009-01-26 17:07 --------- d-----w c:\programme\Trillian
2009-01-26 17:07 --------- d-----w c:\dokumente und einstellungen\Philipp\Anwendungsdaten\U3
2009-01-23 18:14 --------- d-----w c:\dokumente und einstellungen\Philipp\Anwendungsdaten\Meine Der Herr der Ringe™, Aufstieg des Hexenkönigs™-Dateien
2009-01-21 21:16 --------- d--h--w c:\programme\InstallShield Installation Information
2009-01-10 15:42 --------- d-----w c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Microsoft Help
2009-01-10 13:05 --------- d-----w c:\programme\Notepad++
2009-01-06 00:10 --------- d-----w c:\dokumente und einstellungen\Philipp\Anwendungsdaten\Azureus
2008-12-07 11:25 --------- d-----w c:\programme\iPod
2008-12-07 11:25 --------- d-----w c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
2008-12-07 11:24 --------- d-----w c:\programme\Gemeinsame Dateien\Apple
2008-12-07 11:23 --------- d-----w c:\programme\QuickTime
2008-12-07 11:19 --------- d-----w c:\programme\Safari
2008-11-27 22:37 --------- d-----w c:\programme\MSBuild
2008-11-27 22:37 --------- d-----w c:\programme\Microsoft Works
2008-11-27 22:32 --------- d-----w c:\dokumente und einstellungen\Philipp\Anwendungsdaten\DivX
2008-10-28 22:36 823,296 ----a-w c:\windows\system32\divx_xx0c.dll
2008-10-28 22:36 823,296 ----a-w c:\windows\system32\divx_xx07.dll
2008-10-28 22:35 815,104 ----a-w c:\windows\system32\divx_xx0a.dll
2008-10-28 22:35 802,816 ----a-w c:\windows\system32\divx_xx11.dll
2008-10-28 22:35 684,032 ----a-w c:\windows\system32\DivX.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-03 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"THotkey"="c:\programme\Toshiba\Toshiba Applet\thotkey.exe" [2006-01-05 352256]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-05-01 7557120]
"NVRotateSysTray"="c:\windows\system32\nvsysrot.dll" [2006-05-01 49152]
"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"Outpost Firewall"="c:\progra~1\AGNITU~1.0\outpost.exe" [2002-06-14 78848]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2006-03-02 761948]
"Acrobat Assistant 7.0"="e:\programme\Adobe\Acrobat Pro 7.0\Distillr\Acrotray.exe" [2004-12-14 483328]
"AppleSyncNotifier"="c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2008-11-07 111936]
"GrooveMonitor"="c:\programme\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-27 31016]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2008-11-04 413696]
"iTunesHelper"="e:\programme\iTunes\iTunesHelper.exe" [2008-11-20 290088]
"SBAMTray"="c:\programme\Sunbelt Software\CounterSpy\SBAMTray.exe" [2008-08-26 677160]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"TDispVol"="TDispVol.exe" [2005-09-16 c:\windows\system32\TDispVol.exe]
"AGRSMMSG"="AGRSMMSG.exe" [2005-10-15 c:\windows\agrsmmsg.exe]
"TPSMain"="TPSMain.exe" [2005-08-03 c:\windows\system32\TPSMain.exe]
"nwiz"="nwiz.exe" [2006-05-01 c:\windows\system32\nwiz.exe]
"RTHDCPL"="RTHDCPL.EXE" [2006-12-19 c:\windows\RTHDCPL.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-03 15360]

c:\dokumente und einstellungen\Philipp\Startmen�\Programme\Autostart\
Adobe Gamma.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2005-03-16 113664]

c:\dokumente und einstellungen\All Users.WINDOWS\Startmen�\Programme\Autostart\
Adobe Acrobat - Schnellstart.lnk - c:\windows\Installer\{AC76BA86-1033-F400-7760-000000000002}\SC_Acrobat.exe [2008-07-20 25214]
Adobe Reader Synchronizer.lnk - c:\programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe [2006-10-22 734872]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.ffds"= ffdshow.ax

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SBAMSvc]
@="Service"

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS^Startmenü^Programme^Autostart^RAMASST.lnk]
path=c:\dokumente und einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\RAMASST.lnk
backup=c:\windows\pss\RAMASST.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
--a------ 2008-11-20 13:20 290088 e:\programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MimBoot]
--a------ 2006-11-07 14:41 8192 c:\progra~1\MUSICM~1\MUSICM~1\mimboot.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 09:50 155648 c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2008-11-04 10:30 413696 c:\programme\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
-ra------ 2005-05-03 17:43 69632 c:\windows\ALCMTR.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel]
-ra------ 2006-05-16 17:04 2879488 c:\windows\SkyTel.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"e:\\Spiele\\S.T.A.L.K.E.R. - Shadow of Chernobyl\\bin\\XR_3DA.exe"=
"e:\\Spiele\\S.T.A.L.K.E.R. - Shadow of Chernobyl\\bin\\dedicated\\XR_3DA.exe"=
"c:\\Programme\\Musicmatch\\Musicmatch Jukebox\\mmjb.exe"=
"e:\\Spiele\\Call of Duty IV\\iw3mp_1.5.exe"=
"e:\\Programme\\iTunes\\iTunesHelper.exe"=
"e:\\Spiele\\Call of Duty IV\\iw3mp.exe"=
"c:\\Programme\\Trillian\\trillian.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"e:\\Programme\\Azureus\\Azureus.exe"=
"e:\\Spiele\\MittelerdeII\\game.dat"=
"e:\\Spiele\\MittelerdeII\\patchget.dat"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"e:\\Programme\\iTunes\\iTunes.exe"=
"e:\\Spiele\\MittelerdeII\\EP1\\game.dat"=
"e:\\Programme\\Hamachi\\hamachi.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"6811:TCP"= 6811:TCP:mgfww

R1 sbaphd;sbaphd;c:\windows\system32\drivers\sbaphd.sys [2009-01-27 13360]
R1 VFILT;Outpost Firewall Kernel Driver;c:\progra~1\AGNITU~1.0\kernel\2000\FILTNT.SYS [2008-07-14 90368]
R3 ADBLOCK.DLL;Outpost Firewall PlugIn (ADBLOCK.DLL);c:\progra~1\AGNITU~1.0\kernel\ADBLOCK.DLL [2008-07-14 15552]
R3 CONTENT.DLL;Outpost Firewall PlugIn (CONTENT.DLL);c:\progra~1\AGNITU~1.0\kernel\CONTENT.DLL [2008-07-14 3904]
R3 DNSCACHE.DLL;Outpost Firewall PlugIn (DNSCACHE.DLL);c:\progra~1\AGNITU~1.0\kernel\DNSCACHE.DLL [2008-07-14 6144]
R3 FTPFILT.DLL;Outpost Firewall PlugIn (FTPFILT.DLL);c:\progra~1\AGNITU~1.0\kernel\FTPFILT.DLL [2008-07-14 6304]
R3 HTMLFILT.DLL;Outpost Firewall PlugIn (HTMLFILT.DLL);c:\progra~1\AGNITU~1.0\kernel\HTMLFILT.DLL [2008-07-14 7776]
R3 HTTPFILT.DLL;Outpost Firewall PlugIn (HTTPFILT.DLL);c:\progra~1\AGNITU~1.0\kernel\HTTPFILT.DLL [2008-07-14 9152]
R3 IMAPFILT.DLL;Outpost Firewall PlugIn (IMAPFILT.DLL);c:\progra~1\AGNITU~1.0\kernel\IMAPFILT.DLL [2008-07-14 7072]
R3 MAILFILT.DLL;Outpost Firewall PlugIn (MAILFILT.DLL);c:\progra~1\AGNITU~1.0\kernel\MAILFILT.DLL [2008-07-14 9920]
R3 NNTPFILT.DLL;Outpost Firewall PlugIn (NNTPFILT.DLL);c:\progra~1\AGNITU~1.0\kernel\NNTPFILT.DLL [2008-07-14 6656]
R3 POP3FILT.DLL;Outpost Firewall PlugIn (POP3FILT.DLL);c:\progra~1\AGNITU~1.0\kernel\POP3FILT.DLL [2008-07-14 7136]
R3 PROTECT.DLL;Outpost Firewall PlugIn (PROTECT.DLL);c:\progra~1\AGNITU~1.0\kernel\PROTECT.DLL [2008-07-14 15584]
R4 SBAMSvc;Sunbelt VIPRE Antivirus Service;c:\programme\Sunbelt Software\CounterSpy\SBAMSvc.exe [2008-08-26 869672]
R4 sbapifs;sbapifs;c:\windows\system32\drivers\sbapifs.sys [2009-01-27 68912]
S3 AIDA32Driver;AIDA32Driver;\??\c:\dokumente und einstellungen\Philipp\Desktop\aida32ee_393\aida32.sys --> c:\dokumente und einstellungen\Philipp\Desktop\aida32ee_393\aida32.sys [?]
S3 OlyUsbCam;OLYMPUS USB Camera;c:\windows\system32\drivers\OlyUsbCam.sys [2008-06-13 21952]
S3 SBRE;SBRE;c:\windows\system32\drivers\SBREDrv.sys [2007-11-06 87848]
S3 SPOTIGOSp50;SPOTIGOSp50 NDIS Protocol Driver;c:\windows\system32\Drivers\SPOTIGOSp50.sys --> c:\windows\system32\Drivers\SPOTIGOSp50.sys [?]
S4 Apache2.2;Apache2.2;"e:\programme\xampp\apache\bin\apache.exe" -k runservice --> e:\programme\xampp\apache\bin\apache.exe [?]
S4 oxevexvyq;Server Shell;c:\windows\system32\svchost.exe -k netsvcs [2001-08-18 14336]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
oxevexvyq

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0f670a00-f04a-11db-b83e-00a0d16e1b9c}]
\Shell\AutoRun\command - f:\setup\rsrc\Autorun.exe
\Shell\dinstall\command - f:\directx\dxsetup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{13c991ea-fbcd-11db-b853-00a0d16e1b9c}]
\Shell\AutoRun\command - shelexec .\index.html
\Shell\verb\command - shelexec .\index.html

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{99549c6e-e4ca-11dd-be13-00a0d16e1b9c}]
\Shell\AutoRun\command - G:\LaunchU3.exe -a
.
Inhalt des "geplante Tasks" Ordners

2008-12-23 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

MSConfigStartUp-DAEMON Tools - e:\programme\DAEMON Tools\daemon.exe
MSConfigStartUp-TFncKy - TFncKy.exe


.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.spiegel.de/
uSearchMigratedDefaultURL = hxxp://search.yahoo.com/search?p={searchTerms}&ei=utf-8&fr=b1ie7
uInternet Settings,ProxyServer = 125.101.101.4:80
uInternet Settings,ProxyOverride = *.local
IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - e:\programme\Adobe\Acrobat Pro 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - e:\programme\Adobe\Acrobat Pro 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Auswahl in Adobe PDF konvertieren - e:\programme\Adobe\Acrobat Pro 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Auswahl in vorhandene PDF-Datei konvertieren - e:\programme\Adobe\Acrobat Pro 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: In Adobe PDF konvertieren - e:\programme\Adobe\Acrobat Pro 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: In vorhandene PDF-Datei konvertieren - e:\programme\Adobe\Acrobat Pro 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Verknüpfungsziel in Adobe PDF konvertieren - e:\programme\Adobe\Acrobat Pro 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - e:\programme\Adobe\Acrobat Pro 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
Trusted Zone: musicmatch.com\online
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\dokumente und einstellungen\Philipp\Anwendungsdaten\Mozilla\Firefox\Profiles\1qiiotnd.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.spiegel.de/
FF - plugin: e:\programme\iTunes\Mozilla Plugins\npitunes.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-27 13:37:35
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\oxevexvyq]
"ServiceDll"="c:\windows\system32\gpxfhejm.dll"
.
Zeit der Fertigstellung: 2009-01-27 13:39:09
ComboFix-quarantined-files.txt 2009-01-27 12:39:06

Vor Suchlauf: 3,318,915,072 Bytes frei
Nach Suchlauf: 5,552,291,840 Bytes frei
-----------------------------------------------------------------------------

Malwarebytes

________________________________________________________________
Malwarebytes' Anti-Malware 1.33
Datenbank Version: 1654
Windows 5.1.2600 Service Pack 2

27.01.2009 14:37:29
mbam-log-2009-01-27 (14-37-29).txt

Scan-Methode: Vollständiger Scan (C:\|E:\|)
Durchsuchte Objekte: 153868
Laufzeit: 56 minute(s), 6 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
_____________________________________________________________

Antivir LOG
_____________________________________________________________


Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Dienstag, 27. Januar 2009 14:38

Es wird nach 1284652 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: PHIPS-SCHLEPPI

Versionsinformationen:
BUILD.DAT : 8.2.0.337 16934 Bytes 18.11.2008 13:01:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 18.11.2008 08:21:23
AVSCAN.DLL : 8.1.4.0 48897 Bytes 09.05.2008 11:27:06
LUKE.DLL : 8.1.4.5 164097 Bytes 12.06.2008 12:44:16
LUKERES.DLL : 8.1.4.0 12545 Bytes 09.05.2008 11:40:42
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 11:30:36
ANTIVIR1.VDF : 7.1.1.113 2817536 Bytes 14.01.2009 12:15:42
ANTIVIR2.VDF : 7.1.1.172 958464 Bytes 23.01.2009 12:15:45
ANTIVIR3.VDF : 7.1.1.186 182272 Bytes 27.01.2009 12:15:47
Engineversion : 8.2.0.60
AEVDF.DLL : 8.1.0.6 102772 Bytes 14.10.2008 10:05:56
AESCRIPT.DLL : 8.1.1.32 340347 Bytes 27.01.2009 12:15:53
AESCN.DLL : 8.1.1.5 123251 Bytes 07.11.2008 15:06:41
AERDL.DLL : 8.1.1.3 438645 Bytes 04.11.2008 13:58:38
AEPACK.DLL : 8.1.3.5 393588 Bytes 27.01.2009 12:15:52
AEOFFICE.DLL : 8.1.0.33 196987 Bytes 27.01.2009 12:15:51
AEHEUR.DLL : 8.1.0.86 1552759 Bytes 27.01.2009 12:15:51
AEHELP.DLL : 8.1.2.0 119159 Bytes 27.01.2009 12:15:49
AEGEN.DLL : 8.1.1.10 323957 Bytes 27.01.2009 12:15:48
AEEMU.DLL : 8.1.0.9 393588 Bytes 14.10.2008 10:05:56
AECORE.DLL : 8.1.5.2 172405 Bytes 27.01.2009 12:15:48
AEBB.DLL : 8.1.0.3 53618 Bytes 14.10.2008 10:05:56
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09.07.2008 08:40:02
AVPREF.DLL : 8.0.2.0 38657 Bytes 16.05.2008 09:27:58
AVREP.DLL : 8.0.0.2 98344 Bytes 31.07.2008 12:02:15
AVREG.DLL : 8.0.0.1 33537 Bytes 09.05.2008 11:26:37
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12.06.2008 12:27:46
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12.06.2008 12:49:36
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 12.06.2008 13:45:01
RCTEXT.DLL : 8.0.52.0 86273 Bytes 27.06.2008 13:32:05

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, E:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Dienstag, 27. Januar 2009 14:38

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'notepad.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WINWORD.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbam.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jucheck.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wscntfy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SBAMTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TAPPSRV.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SBAMSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'outpost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DVDRAMSV.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Toshiba.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TPSBattM.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GrooveMonitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'acrotray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'THotkey.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TPSMain.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'agrsmmsg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TDispVol.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '48' Prozesse mit '48' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '66' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <XP>
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Phips\Desktop\Winamp v.5.24 Pro + KeyGen + Traduccion ESP_DnGnMsTr\keygen.exe
[FUND] Ist das Trojanische Pferd TR/Agent.14336.L
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49f81093.qua' verschoben!
C:\System Volume Information\_restore{8C4682D4-3B06-4096-931A-F6819D17E056}\RP4\A0007030.dll
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Kido.DV
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49af15c2.qua' verschoben!
C:\System Volume Information\_restore{8C4682D4-3B06-4096-931A-F6819D17E056}\RP4\A0007133.exe
[FUND] Ist das Trojanische Pferd TR/Agent.14336.L
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49af15d0.qua' verschoben!
C:\Temp\htd-stk1.rar
[0] Archivtyp: RAR
--> XR_3DA.exe
[FUND] Ist das Trojanische Pferd TR/Agent.zxk
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49e3162d.qua' verschoben!
C:\Temp\Photomatix.Tone.Mapping.v1.1.2.for.Adobe.Photoshop-SCOTCH.rar
[0] Archivtyp: RAR
--> Photomatix.Tone.Mapping.v1.1.2.for.Adobe.Photoshop-SCOTCH\s_ptm112.zip
[1] Archivtyp: ZIP
--> keygen.rar
[2] Archivtyp: RAR
--> Photomatix.Tone.Mapping.v1.1.2.Keygen.exe
[FUND] Ist das Trojanische Pferd TR/Packed.5256
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49ee1639.qua' verschoben!
C:\Temp\Photomatix_Pro_v2.54.rar
[0] Archivtyp: RAR
--> KeyGenerator\Photomatix.Pro.v2.52.Keygen.exe
[FUND] Ist das Trojanische Pferd TR/Agent.18224.A
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49ee163e.qua' verschoben!
C:\Temp\Adobe Acrobat Reader 7.0 Professional Multilanguage + Keygenerator\Keygenerator.exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Autorun.cxl
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49f81690.qua' verschoben!
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'E:\' <Daten>
E:\PC Adobe InDesign CS2 v4.0 + Keygen-SSG.zip
[0] Archivtyp: ZIP
--> _keygen/keygen.rar
[1] Archivtyp: RAR
--> keygen.exe
[FUND] Ist das Trojanische Pferd TR/Agent.59904.B
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '499f1b92.qua' verschoben!
E:\P.Schmidt\Websites\setup.exe
[FUND] Ist das Trojanische Pferd TR/Proxy.Horst.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49f31ead.qua' verschoben!
E:\Spiele\S.T.A.L.K.E.R. - Shadow of Chernobyl\bin\XR_3DA.exe
[FUND] Ist das Trojanische Pferd TR/Agent.zxk
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49de2447.qua' verschoben!
E:\System Volume Information\_restore{8C4682D4-3B06-4096-931A-F6819D17E056}\RP4\A0007135.exe
[FUND] Ist das Trojanische Pferd TR/Proxy.Horst.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49af2434.qua' verschoben!
E:\System Volume Information\_restore{8C4682D4-3B06-4096-931A-F6819D17E056}\RP4\A0007136.exe
[FUND] Ist das Trojanische Pferd TR/Agent.zxk
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49af2437.qua' verschoben!


Ende des Suchlaufs: Dienstag, 27. Januar 2009 16:11
Benötigte Zeit: 1:32:57 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

10053 Verzeichnisse wurden überprüft
577592 Dateien wurden geprüft
12 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
12 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
577578 Dateien ohne Befall
3668 Archive wurden durchsucht
2 Warnungen
12 Hinweise

_______________________________________________________________

Hier noch das Uninstall-Log von Hijthis:
Adobe Acrobat 7.0 Professional - English, Français, Deutsch
Adobe Anchor Service CS3
Adobe Asset Services CS3
Adobe Bridge CS3
Adobe Bridge Start Meeting
Adobe Camera Raw 4.0
Adobe CMaps
Adobe Color - Photoshop Specific
Adobe Color Common Settings
Adobe Color Common Settings
Adobe Color EU Recommended Settings
Adobe Color JA Extra Settings
Adobe Color NA Extra Settings
Adobe Default Language CS3
Adobe Device Central CS3
Adobe ExtendScript Toolkit 2
Adobe ExtendScript Toolkit 2
Adobe Flash Player Plugin
Adobe Fonts All
Adobe Help Viewer CS3
Adobe InDesign CS2
Adobe Linguistics CS3
Adobe PDF Library Files
Adobe Photoshop CS3
Adobe Photoshop CS3
Adobe Reader 8
Adobe Setup
Adobe Setup
Adobe Setup
Adobe Stock Photos CS3
Adobe Type Support
Adobe Update Manager CS3
Adobe Version Cue CS3 Client
Adobe WinSoft Linguistics Plugin
Adobe XMP Panels CS3
Agnitum Outpost Firewall 1.0
Apple Mobile Device Support
Apple Software Update
Aufstieg des Hexenkönigs™
Avira AntiVir Personal - Free Antivirus
Azureus
Biet-O-Matic v2.8.0
Biet-O-Matic v2.8.2
Bonjour
Call of Duty(R) 4 - Modern Warfare(TM)
Call of Duty(R) 4 - Modern Warfare(TM) 1.4 Patch
Call of Duty(R) 4 - Modern Warfare(TM) 1.5 Multiplayer Patch
Call of Duty(R) 4 - Modern Warfare(TM) 1.6 Patch
Call of Duty(R) 4 - Modern Warfare(TM) 1.7 Patch
Die Schlacht um Mittelerde™ II
DivX Codec
DivX Web Player
DVD-RAM-Treiber
EAX(tm) Unified (SHELL)
ElsterFormular 2006/2007
ElsterFormular 2007/2008
FINAL FANTASY VIII
Hamachi 1.0.2.5
High Definition Audio Driver Package - KB888111
HijackThis 2.0.2
Hotfix for Windows Media Format SDK (KB902344)
Hotfix for Windows Media Format SDK (KB910998)
Hotfix for Windows XP (KB915865)
Hotfix für Windows XP (KB893357)
Intel(R) PRO Network Connections Drivers
iTunes
J2SE Runtime Environment 5.0 Update 12
JAP
Java(TM) 6 Update 2
Java(TM) 6 Update 3
Java(TM) 6 Update 7
Java(TM) SE Runtime Environment 6
Malwarebytes' Anti-Malware
Microsoft Internationalized Domain Names Mitigation APIs
Microsoft National Language Support Downlevel APIs
Microsoft Office Access MUI (English) 2007
Microsoft Office Access Setup Metadata MUI (English) 2007
Microsoft Office Enterprise 2007
Microsoft Office Enterprise 2007
Microsoft Office Excel MUI (English) 2007
Microsoft Office Groove MUI (English) 2007
Microsoft Office Groove Setup Metadata MUI (English) 2007
Microsoft Office InfoPath MUI (English) 2007
Microsoft Office OneNote MUI (English) 2007
Microsoft Office Outlook MUI (English) 2007
Microsoft Office PowerPoint MUI (English) 2007
Microsoft Office Proof (English) 2007
Microsoft Office Proof (French) 2007
Microsoft Office Proof (Spanish) 2007
Microsoft Office Proofing (English) 2007
Microsoft Office Publisher MUI (English) 2007
Microsoft Office Shared MUI (English) 2007
Microsoft Office Shared Setup Metadata MUI (English) 2007
Microsoft Office Standard Edition 2003
Microsoft Office Word MUI (English) 2007
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual C++ 2005 Redistributable
MobileMe Control Panel
Mozilla Firefox (3.0.5)
Mozilla Thunderbird (1.5.0.14)
Mp3tag v2.41
MSXML 4.0 SP2 Parser and SDK
Musicmatch® Jukebox
Nero 7 Demo
Notepad++
NVIDIA Drivers
OLYMPUS Studio 2
PDF Settings
QuickTime
Realtek High Definition Audio Driver
S.T.A.L.K.E.R. - Shadow of Chernobyl [v1.0001]
Safari
SecureW2 TTLS Client 3.3.3 for Windows
StreamDown
Synaptics Pointing Device Driver
TeamSpeak 2 RC2
Texas Instruments PCIxx21/x515/xx12 drivers.
Tone Mapping Plug-In 1.1.2
TOSHIBA Controls
TOSHIBA PC-Diagnose-Tool
TOSHIBA Power Saver
TOSHIBA Software Modem
Trillian
UltraStar 0.6.1
VideoLAN VLC media player 0.8.6c
Winamp
Windows Installer 3.1 (KB893803)
Windows Internet Explorer 7
Windows Media Format Runtime
Windows XP Service Pack 2
Windows-Treiberpaket - OLYMPUS IMAGING CORP. (OlyUsbCam) OlyUsbCam (12/28/2006 1.0.0.0)
WinRAR Archivierer
XP Codec Pack
Yahoo! Toolbar

ENDE

#2 >>
Versteckte Dateien sichtbar machen:
1. Klicke unter Start auf Arbeitsplatz.
2. Klicke im Menü Extras auf Ordneroptionen.
3. Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden --> Haken entfernen
4. Geschützte und Systemdateien ausblenden --> Haken entfernen
5. Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen --> Haken setzen.

Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein.
http://virus-protect.org/invisible.html


>>
Lasse folgende Datei bei www.VIRUSTOTAL.com/de prüfen und poste das Ergebnis:

c:\windows\system32\gpxfhejm.dll

Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> hier kopieren

>>
Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Einträgen bei: (falls diese noch vorhanden sind)

Zitat

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 125.101.101.4:80

und wähle fix checked.

Starte den Rechner neu.

>>
Download Fixwareout zum Desktop
Doppelklick Fixwareout.exe um es zu starten
Klicke Next und dan auf Install, achte darauf das Run fixit angehaakt ist und klick Finish.
Der Fix faengt an und folge die Instruktion im Fenster
Wenn gefragt wird dein Rechner neu zu starten,starte neu
Dein Rechner startet jetzt langsamer das ist normal
Poste den Inhalt von C:\fixwareout\report.txt (report.txt).

>>
Lade bitte SDfix, wende es im abgesicherten Modus an + poste hier den Report, der nach Neustart erscheint
http://virus-protect.org/artikel/tools/sdfix.html

Gruss Swiss

Zitat

S4 oxevexvyq;Server Shell;c:\windows\system32\svchost.exe -k netsvcs [2001-08-18 14336]

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\oxevexvyq]
"ServiceDll"="c:\windows\system32\gpxfhejm.dll"