Was tun beim Worm.Kido-62

#1 Worm.Kido-62
Dieses häßliche Teil nistet sich in alle RECYCLER (RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx), erstmal auf einem Stick und dann auf das System an der dieser Stick angestöpselt ist.
Versucht man im Explorer unter Extras/Ordneroptionen/Ansicht/Versteckte Dateien und Ordner/ Alle Dateien und Ordner zu aktivieren um sich alles anzuschauen, um den RECYCLER evtl. zu löschen. Das System reagiert nicht. Man sieht den RECYCLER nicht.
Mein System Windows Xp Home SP2 verlangsamt sich zusehends, bei einer Software die ich Testweise ausprobieren will erscheint der Installer von Microsoft Office, ist auf meinem Rechner nicht vorhanden.

HHEELLPP
Thanks for answers

#2 schließe alle infizierten sticks an bei der reinigung:
füre flash disinfector aus, dein antivrenprogramm wird aevl. anschlagen ignoriere das.
http://download.bleepingcomputer.com/sUBs/Flash_Disinfector.exe
dann die anleitung genau abarbeiten, logs posten.
http://board.protecus.de/t23187.htm

#3 Hallo Virenfinder,
das hat leider nicht geholfen.
Log-Datei von ClamWin:
Scan Started Tue Mar 10 09:59:18 2009

-------------------------------------------------------------------------------
APP_DIR\APP.DIR_active\Portable _Firefox 3.0.7_deutsch_surf\Profilordner\places.sqlite-journal: Permission denied

RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx: Worm.Kido-62 FOUND

Protecus.de\ComboFix\ComboFix.exe: Pua.Hideexec FOUND

----------- SCAN SUMMARY -----------

Known viruses: 514605

Engine version: 0.94.1

Scanned directories: 1122

Scanned files: 8741

Infected files: 2



Data scanned: 1346.71 MB

Time: 1575.652 sec (26 m 15 s)

--------------------------------------

Completed

--------------------------------------

Das nächste was ich ausprobieren werde ist:
http://support.kaspersky.com/faq/?qid=208279973

Danke bis hierhin

#4 wenn du allein arbeiten willst sag uns bescheid, wenn nicht, arbeite die anleitung genau ab, ohne andere dinge zu tun!
du musst combofix ncoh mal neu laden und das log posten, malwarebytes auch und hijackthis.

#5 Hallo Virenfinder,
allein muss ich ja sowieso arbeiten.
Der Tipp mit
http://download.bleepingcomputer.com/sUBs/Flash_Disinfector.exe
hat mir nur weitere Probleme bereitet.
Wie wird man den Kram wieder los?
Mfg CheckTheTag

#6 welche probleme, wo sind die logs?

#7 Hallo Virenfinder,
die Probleme mit dem Flash-Disinfector:
auf jedem Laufwerk, bzw. jeder Partition befindet sich jetzt ein Ordner "autorun.inf" der sich nicht löschen lässt.
Hier sind die logs.
Combofix
---
ComboFix 09-03-06.02 - 2009-03-11 1:24:52.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.479.173 [GMT 1:00]
ausgeführt von:: m:\protecus.de\ComboFix\ComboFix.exe
AV: avast! antivirus 4.8.1169 [VPS 080502-0] *On-access scanning disabled*
* Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\~\Anwendungsdaten\.#
c:\programme\\setup.exe
c:\windows\Downloaded Program Files\rave
c:\windows\Downloaded Program Files\rave\avirexe.vdm
c:\windows\Downloaded Program Files\rave\avirscr.vdm
c:\windows\Downloaded Program Files\rave\base.vdm
c:\windows\Downloaded Program Files\rave\daily.vdm
c:\windows\Downloaded Program Files\rave\daily.vdt
c:\windows\Downloaded Program Files\rave\filters.vdm
c:\windows\Downloaded Program Files\rave\kernel.vdk
c:\windows\Downloaded Program Files\rave\keyring.vdk
c:\windows\Downloaded Program Files\rave\mapi_vdm.vdm
c:\windows\Downloaded Program Files\rave\modules.vdk
c:\windows\Downloaded Program Files\rave\rav8def.vdm
c:\windows\Downloaded Program Files\rave\rufs.vdm
c:\windows\Downloaded Program Files\rave\rufsplg.vdm
c:\windows\Downloaded Program Files\rave\unarch.vdm
c:\windows\Downloaded Program Files\rave\unmail.vdm
c:\windows\Downloaded Program Files\rave\unpack.vdm
L:\Autorun.inf

.
((((((((((((((((((((((( Dateien erstellt von 2009-02-11 bis 2009-03-11 ))))))))))))))))))))))))))))))
.

2009-03-04 04:53 . 2009-03-04 04:57 <DIR> d-------- c:\dokumente und einstellungen\~\Anwendungsdaten\Media Player Classic
2009-02-28 00:43 . 2009-02-28 00:43 36,736 --ah----- c:\windows\system32\mlfcache.dat
2009-02-20 04:16 . 2009-02-20 04:16 <DIR> d--hs---- c:\windows\ftpcache
2009-02-20 02:49 . 2009-02-20 02:49 <DIR> d-------- c:\windows\system32\IOSUBSYS
2009-02-20 02:33 . 2009-02-20 02:40 <DIR> d-------- c:\dokumente und einstellungen\~\.gimp-2.6
2009-02-20 02:33 . 2009-02-20 02:33 <DIR> d-------- c:\dokumente und einstellungen\~\.gegl-0.0
2009-02-20 02:28 . 2009-02-20 02:28 <DIR> d-------- c:\programme\Scribus 1.3.3.12
2009-02-20 02:19 . 2009-02-20 02:22 <DIR> d-------- c:\programme\Inkscape

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-10 23:52 17,408 ----a-w c:\windows\system32\drivers\USBCRFT.SYS
2009-03-10 23:46 --------- d-----w c:\programme\ac'tivaid
2009-03-10 23:42 --------- d-----r c:\programme\Eigene Programme
2009-03-07 03:24 --------- d-----w c:\programme\ComponentSoftware
2009-03-06 04:30 --------- d-----w c:\dokumente und einstellungen\~\Anwendungsdaten\Winamp
2009-03-01 03:59 --------- d-----w c:\dokumente und einstellungen\~\Anwendungsdaten\OpenOffice.org2
2009-02-22 03:04 --------- d-----w c:\programme\Gemeinsame Dateien\Adobe
2009-02-20 03:55 --------- d-----w c:\dokumente und einstellungen\~\Anwendungsdaten\OpenOffice.org1.1.4
2009-02-09 23:49 --------- d-----w c:\programme\PHPNukeDE
2009-02-09 23:49 --------- d-----w c:\programme\Conduit
2009-02-08 23:01 --------- d-----w c:\programme\Gemeinsame Dateien\SWF Studio
2009-02-04 02:43 --------- d-----w c:\programme\audiograbber
2009-01-30 03:55 --------- d-----w c:\programme\IrfanView
2007-11-16 11:18 36 -c--a-w c:\programme\CD.INF
2007-11-16 11:16 2,267,136 -c--a-w c:\programme\@promt Professional 7.8 German Giant.msi
2007-11-16 11:03 61,824 -c--a-w c:\programme\setup.ini
2007-06-29 10:52 155,714,688 -c--a-w c:\programme\Data.Cab
2006-02-15 11:00 2,585,872 -c--a-w c:\programme\instmsiw.exe
2005-01-30 02:33 186 -c--a-w c:\dokumente und einstellungen\fun\Anwendungsdaten\wklnhst.dat
2008-05-02 08:30 67,696 ----a-w c:\programme\mozilla firefox\components\jar50.dll
2008-05-02 08:30 54,376 ----a-w c:\programme\mozilla firefox\components\jsd3250.dll
2008-05-02 08:30 34,952 ----a-w c:\programme\mozilla firefox\components\myspell.dll
2008-05-02 08:30 46,720 ----a-w c:\programme\mozilla firefox\components\spellchk.dll
2008-05-02 08:30 172,144 -c--a-w c:\programme\mozilla firefox\components\xpinstal.dll
2004-12-28 14:00 8 -csh--r c:\windows\system32\B1BE2C041E.sys
2004-04-21 13:26 53,248 -csha-w c:\windows\system32\ErrExplorer.dll
2007-04-16 15:53 161,814 --sha-r c:\windows\system32\jdeebls.dll
2004-12-28 14:00 4,704 -csha-w c:\windows\system32\KGyGaAvL.sys
.

------- Sigcheck -------

2004-08-04 13:00 14336 65a819b121eb6fdab4400ea42bdffe64 c:\windows\system32\svchost.exe
2004-08-04 13:00 14336 65a819b121eb6fdab4400ea42bdffe64 c:\windows\system32\dllcache\svchost.exe

2004-08-04 13:00 82944 d569240a22421d5f670bb6fb6dd522b5 c:\windows\system32\ws2_32.dll
2004-08-04 13:00 82944 d569240a22421d5f670bb6fb6dd522b5 c:\windows\system32\dllcache\ws2_32.dll

2004-08-04 13:00 507392 2b6a0baf33a9918f09442d873848ff72 c:\windows\system32\winlogon.exe
2004-08-04 13:00 507392 2b6a0baf33a9918f09442d873848ff72 c:\windows\system32\dllcache\winlogon.exe

2004-08-04 13:00 182912 558635d3af1c7546d26067d5d9b6959e c:\windows\system32\dllcache\ndis.sys
2004-08-04 13:00 182912 558635d3af1c7546d26067d5d9b6959e c:\windows\system32\drivers\ndis.sys

2004-08-04 13:00 29056 4448006b6bc60e6c027932cfc38d6855 c:\windows\system32\dllcache\ip6fw.sys
2004-08-04 13:00 29056 4448006b6bc60e6c027932cfc38d6855 c:\windows\system32\drivers\ip6fw.sys

2004-08-04 13:00 108544 edb6b81761bd60f32f740bbc40afb676 c:\windows\system32\services.exe
2004-08-04 13:00 108544 edb6b81761bd60f32f740bbc40afb676 c:\windows\system32\dllcache\services.exe

2004-08-04 13:00 13312 183805eb05bca5a1e4aaaed4d2be3690 c:\windows\system32\lsass.exe
2004-08-04 13:00 13312 183805eb05bca5a1e4aaaed4d2be3690 c:\windows\system32\dllcache\lsass.exe

2004-08-04 13:00 15360 7ce20569925df6789c31799f0c538f29 c:\windows\system32\ctfmon.exe
2004-08-04 13:00 15360 7ce20569925df6789c31799f0c538f29 c:\windows\system32\dllcache\ctfmon.exe

2005-06-11 01:17 57856 ad3d9d191aea7b5445fe1d82ffbb4788 c:\windows\$hf_mig$\KB896423\SP2QFE\spoolsv.exe
2004-08-04 13:00 57856 54e7113a4bd696e430919bcaf5c65e06 c:\windows\$NtUninstallKB896423$\spoolsv.exe
2005-06-11 00:53 57856 da81ec57acd4cdc3d4c51cf3d409af9f c:\windows\system32\spoolsv.exe
2005-06-11 00:53 57856 da81ec57acd4cdc3d4c51cf3d409af9f c:\windows\system32\dllcache\spoolsv.exe

2004-08-04 13:00 25088 d1e53dc57143f2584b1dd53b036c0633 c:\windows\system32\userinit.exe
2004-08-04 13:00 25088 d1e53dc57143f2584b1dd53b036c0633 c:\windows\system32\dllcache\userinit.exe

2004-08-04 13:00 297472 1850bc10de5dcccede063fc2d0f2ceda c:\windows\system32\termsrv.dll
2004-08-04 13:00 297472 1850bc10de5dcccede063fc2d0f2ceda c:\windows\system32\dllcache\termsrv.dll

2004-08-04 13:00 17408 5604574d490b798bd9a946b021a766ad c:\windows\system32\powrprof.dll
2004-08-04 13:00 17408 5604574d490b798bd9a946b021a766ad c:\windows\system32\dllcache\powrprof.dll

2004-08-04 13:00 110080 94101d13a1818a9d08337eec12ed277a c:\windows\system32\imm32.dll
2004-08-04 13:00 110080 94101d13a1818a9d08337eec12ed277a c:\windows\system32\dllcache\imm32.dll
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{c9508125-4747-4733-b048-e4b82dc9716d}"= "c:\programme\PHPNukeDE\tbPHP0.dll" [2008-11-23 1784856]

[HKEY_CLASSES_ROOT\clsid\{c9508125-4747-4733-b048-e4b82dc9716d}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{c9508125-4747-4733-b048-e4b82dc9716d}]
2008-11-23 23:03 1784856 --a------ c:\programme\PHPNukeDE\tbPHP0.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{c9508125-4747-4733-b048-e4b82dc9716d}"= "c:\programme\PHPNukeDE\tbPHP0.dll" [2008-11-23 1784856]

[HKEY_CLASSES_ROOT\clsid\{c9508125-4747-4733-b048-e4b82dc9716d}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{C9508125-4747-4733-B048-E4B82DC9716D}"= "c:\programme\PHPNukeDE\tbPHP0.dll" [2008-11-23 1784856]

[HKEY_CLASSES_ROOT\clsid\{c9508125-4747-4733-b048-e4b82dc9716d}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SiSUSBRG"="c:\windows\SiSUSBrg.exe" [2004-08-18 106496]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"PCMService"="c:\programme\Home Cinema\PowerCinema\PCMService.exe" [2004-10-11 81920]
"mmtask"="c:\programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe" [2004-08-29 53248]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2008-03-29 79224]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"SoundMan"="SOUNDMAN.EXE" [2004-05-14 c:\windows\SOUNDMAN.EXE]
"AGRSMMSG"="AGRSMMSG.exe" [2005-03-04 c:\windows\AGRSMMSG.exe]
"CHotkey"="zHotkey.exe" [2004-05-17 c:\windows\zHotkey.exe]
"Dit"="Dit.exe" [2004-07-20 c:\windows\Dit.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

c:\dokumente und einstellungen\~\Startmen�\Programme\Autostart\
ac'tivAid.lnk - c:\programme\ac'tivaid\ac'tivAid.ahk [2007-11-09 405160]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\system32\\fxsclnt.exe"=
"c:\\WINDOWS\\system32\\mmc.exe"=
"c:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"c:\\Programme\\NetMeeting\\Conf.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Dokumente und Einstellungen\\~\\Eigene Dateien\\___SERVER__REDAKTION___\\mowes_portable\\mysql\\bin\\mysqld-nt.exe"=
"c:\\Dokumente und Einstellungen\\~\\Eigene Dateien\\____AUDIO_SERVER_STICK____\\APP.DIR\\audio_server\\mysql\\bin\\mysqld-nt.exe"=
"c:\\Dokumente und Einstellungen\\~\\Eigene Dateien\\___SERVER__REDAKTION___\\mowes_portable\\apache2\\bin\\httpd.exe"=
"c:\\Dokumente und Einstellungen\\~\\Eigene Dateien\\____AUDIO_SERVER_STICK____\\APP.DIR\\audio_server\\apache2\\bin\\httpd.exe"=
"c:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"7777:TCP"= 7777:TCP:umufq

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2008-05-02 75856]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2008-05-02 20560]
R3 3xHybrid;3xHybrid service;c:\windows\system32\drivers\3xHybrid.sys [2004-12-28 945152]
S2 pmlimj;Monitor Task;c:\windows\system32\svchost.exe -k netsvcs [2004-12-14 14336]
S3 CardReaderFilter;Card Reader Filter;c:\windows\system32\drivers\USBCRFT.SYS [2005-01-18 17408]
S3 HWACCESS;HWACCESS;c:\windows\system32\HWACCESS.SYS [2005-07-27 6808]
S3 SIVDRIVER;SIV Kernel Driver;c:\windows\system32\drivers\SIVX32.sys [2007-10-01 19944]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
pmlimj

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1a14fbee-58d6-11d9-9017-0011093d61ce}]
\Shell\AutoRun\command - @%systemroot%\explorer.exe /e,.

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c262feaa-09a8-11dd-b340-9a1613db96ab}]
\Shell\AutoRun\command - h:\app.dir\audio_server\audio_server.exe
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-ClamWin - l:\clamwin\bin\ClamTray.exe
HKLM-Run-AdressLittle - (no file)


.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://search.conduit.com?SearchSource=10&ctid=CT2102572
uInternet Connection Wizard,ShellNext = iexplore
IE: &Google Search - c:\programme\google\GoogleToolbar2.dll/cmsearch.html
IE: Backward Links - c:\programme\Google\GoogleToolbar1.dll/cmbacklinks.html
IE: Cached Snapshot of Page - c:\programme\Google\GoogleToolbar1.dll/cmcache.html
IE: Im Cache gespeicherte Seite - c:\programme\google\GoogleToolbar2.dll/cmcache.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
IE: Similar Pages - c:\programme\Google\GoogleToolbar1.dll/cmsimilar.html
IE: Translate into English - c:\programme\Google\GoogleToolbar1.dll/cmtrans.html
IE: Verweisseiten - c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
IE: Ähnliche Seiten - c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
IE: {{7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - c:\programme\PRMT78\PRMTIE\prmtie5.htm
IE: {{7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - c:\programme\PRMT78\PRMTIE\options.htm
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\dokumente und einstellungen\~\Anwendungsdaten\Mozilla\Firefox\Profiles\xr1sbwaa.default\
FF - prefs.js: browser.search.selectedEngine - Wikipedia (de)
FF - prefs.js: browser.startup.homepage - hxxp://localhost/zina/
FF - component: c:\programme\Mozilla Firefox\components\xpinstal.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-11 01:26:38
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet003\Services\pmlimj]
"ServiceDll"="c:\windows\system32\jdeebls.dll"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-3925751290-3340900315-1077832637-1007\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)

[HKEY_USERS\S-1-5-21-3925751290-3340900315-1077832637-1007\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{F66A6BBD-C699-84FB-64B4-A6A7D6413090}*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
"jamgifkclepmcdnplmoo"=hex:6b,61,6b,62,61,6d,63,6d,61,6b,6f,61,64,62,70,70,6c,
70,68,6f,61,68,00,00
"iaggkkdlphcagmckhn"=hex:6b,61,6b,62,61,6d,63,6d,61,6b,6f,61,64,62,70,70,6c,70,
68,6f,61,68,00,7c
.
Zeit der Fertigstellung: 2009-03-11 1:29:10
ComboFix-quarantined-files.txt 2009-03-11 00:28:26

Vor Suchlauf: 14 Verzeichnis(se), 13.437.112.320 Bytes frei
Nach Suchlauf: 14 Verzeichnis(se), 13,497,102,336 Bytes frei

Current=3 Default=3 Failed=2 LastKnownGood=4 Sets=1,2,3,4
218 --- E O F --- 2008-05-02 08:16:54

---
Malwarebytes' Anti-Malware

Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1749
Windows 5.1.2600 Service Pack 2

11.03.2009 03:05:06
mbam-log-2009-03-11 (03-05-01).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|L:\|M:\|)
Durchsuchte Objekte: 257587
Laufzeit: 1 hour(s), 24 minute(s), 22 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Programme\PHPNukeDE\PHPNukeDEToolbarHelper.exe (Adware.NetPumper) -> No action taken.
---
HijackThis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 03:11:17, on 11.03.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\zHotkey.exe
C:\WINDOWS\Dit.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AutoHotkey\AutoHotkey.exe
M:\Protecus.de\Trend Micro HijackThis v2.0.2\HJT\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource=10&ctid=CT2102572
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: PHPNukeDE Toolbar - {c9508125-4747-4733-b048-e4b82dc9716d} - C:\Programme\PHPNukeDE\tbPHP0.dll (file missing)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: PHPNukeDE Toolbar - {c9508125-4747-4733-b048-e4b82dc9716d} - C:\Programme\PHPNukeDE\tbPHP0.dll (file missing)
O3 - Toolbar: PHPNukeDE Toolbar - {c9508125-4747-4733-b048-e4b82dc9716d} - C:\Programme\PHPNukeDE\tbPHP0.dll (file missing)
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CHotkey] zHotkey.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [mmtask] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: ac'tivAid.lnk = C:\Programme\ac'tivaid\ac'tivAid.ahk
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://C:\Programme\Google\GoogleToolbar1.dll/cmtrans.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\Programme\PRMT78\PRMTIE\prmtie5.htm
O9 - Extra 'Tools' menuitem: Übersetzen - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\Programme\PRMT78\PRMTIE\prmtie5.htm
O9 - Extra button: (no name) - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - C:\Programme\PRMT78\PRMTIE\options.htm
O9 - Extra 'Tools' menuitem: Übersetzungsoptionen anpassen - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - C:\Programme\PRMT78\PRMTIE\options.htm
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.msn.de/
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 5689 bytes

---
C:\Programme\PHPNukeDE\PHPNukeDEToolbarHelper.exe (Adware.NetPumper)
habe ich entfernt.

MFG
CheckTheTag

#8 könntest du mal malwareBytes updaten und noch mal scannen mit dem oder den sticks?
zeige bitte das Log.
die datei wurde von flash disinfector als Vorsichtsmaßname angelegt, damit kein virus eine autorun.inf schreiben kann, wenn du willst, können wir sie löschen.
Welche probleme hattest du noch? Du sagtest ja, das combofix dir probleme macht.
Strat ausfüren
combofix /u
enter