you have a security problem virus

#1 hallo zusammen,

leider hat es mich auch erwischt. seit einem tag erscheint bei mir unten rechts ein fenster im 5 min takt, " you have a security problem". nun habe ich sabinas thread befolgt und alle punkte sauber abgearbeitet. hier nun mein Hijackthis-Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:15:25, on 29.03.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\avmwlanstick\wlangui.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Hewlett-Packard\HP Mobile Printing\HPBMOBIL.EXE
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\OpenOffice.org 2.4\program\soffice.exe
C:\Programme\OpenOffice.org 2.4\program\soffice.BIN
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\Programme\Java\jre1.6.0_07\bin\jucheck.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\explorer.exe
C:\Programme\internet explorer\iexplore.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\hjk\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Programme\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll
O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [HP Mobile Printing] C:\Programme\Hewlett-Packard\HP Mobile Printing\HPBMOBIL.EXE
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.4.lnk = C:\Programme\OpenOffice.org 2.4\program\quickstart.exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1217577018749
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {EDFCB7CB-942C-4822-AF14-F0B687409848} (Image Uploader Control) - http://lokalisten.de/iup/ImageUploader4.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe

--
End of file - 6858 bytes


ich hoffe nun, dass mir einer weiterhelfen kann.
im übrigen erscheint das fenster und alle weiteren virus-fehlermeldungen nicht mehr. trotz alle dem weiß ich nicht, ob wirklich der virus gelöscht wurde, meinerseits.

vielen dank schon mal im voraus

blondes

#2 hi, wo ist das log von malwareBytes und combofix? poste es bitte.

#3 hier der rest, oder fehlt noch was? vielen dank schon mal für deine hilfe


ComboFix 09-03-28.06 - Administrator 2009-03-29 13:01:48.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.511.207 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Administrator\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

[color=blue]Infizierte Kopie von c:\windows\system32\userinit.exe wurde gefunden und desinfiziert
Kopie von - c:\qoobox\Quarantine\C\WINDOWS\system32\userinit.exe.vir wurde wiederhergestellt[/COLOR]

.
((((((((((((((((((((((( Dateien erstellt von 2009-02-28 bis 2009-03-29 ))))))))))))))))))))))))))))))
.

2009-03-29 01:57 . 2009-03-29 01:57 <DIR> dr------- c:\dokumente und einstellungen\NetworkService\Favoriten
2009-03-29 01:25 . 2009-03-29 01:25 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2009-03-29 01:24 . 2009-03-29 01:25 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2009-03-29 01:24 . 2009-03-29 01:24 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-03-29 01:24 . 2009-03-26 17:49 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-03-29 01:24 . 2009-03-26 17:49 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-03-29 00:48 . 2009-03-29 00:48 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Fighters
2009-03-29 00:41 . 2009-03-29 12:02 <DIR> d-------- c:\programme\Fighters
2009-03-29 00:30 . 2009-03-29 02:08 <DIR> d-------- c:\programme\Spybot - Search & Destroy
2009-03-29 00:30 . 2009-03-29 11:48 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-03-29 00:19 . 2009-03-29 00:19 <DIR> d-------- c:\programme\Enigma Software Group
2009-03-29 00:03 . 2009-03-29 00:03 80,384 --a------ c:\windows\system32\p685YFeW.exe
2009-03-12 00:36 . 2008-04-14 04:22 221,184 --a------ c:\windows\system32\wmpns.dll
2009-03-01 11:58 . 2009-03-01 11:58 <DIR> d-------- c:\programme\LernBox

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-29 11:06 --------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Skype
2009-03-29 11:04 --------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\OpenOffice.org2
2009-03-29 09:51 --------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\skypePM
2009-03-28 21:17 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Google Updater
2009-03-19 23:42 --------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Move Networks
2009-02-21 22:19 --------- d-----w c:\programme\TomTom DesktopSuite
2009-02-14 22:19 --------- d-----w c:\programme\iTunes
2009-02-14 22:19 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Last.fm
2009-02-14 22:13 --------- d-----w c:\programme\Last.fm
2009-02-11 23:16 --------- d-----w c:\programme\Google
2009-01-31 14:59 --------- d-----w c:\programme\iPod
2009-01-31 14:59 --------- d-----w c:\programme\Gemeinsame Dateien\Apple
2009-01-31 14:59 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
2009-01-31 14:57 --------- d-----w c:\programme\QuickTime
2009-01-31 14:47 --------- d-----w c:\programme\Bonjour
2009-01-31 14:46 --------- d-----w c:\programme\Safari
2009-01-28 22:44 --------- d--h--w c:\programme\InstallShield Installation Information
2009-01-28 22:44 --------- d-----w c:\programme\Veoh Networks
2008-09-01 17:42 2,817 ----a-w c:\programme\Neue Datenbank.odb
2008-09-01 17:19 134,537,593 ----a-w c:\programme\OOo_2.4.1_Win32Intel_install_wJRE_de.exe
2008-08-25 11:12 1,495,112 ----a-w c:\programme\install_flash_player.exe
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"HP Mobile Printing"="c:\programme\Hewlett-Packard\HP Mobile Printing\HPBMOBIL.EXE" [2003-05-23 630784]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-10-23 68856]
"Skype"="c:\programme\Skype\Phone\Skype.exe" [2008-09-29 21755688]
"MsnMsgr"="c:\programme\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-01-26 2144088]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-06-07 344064]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"AppleSyncNotifier"="c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2008-10-01 111936]
"AVMWlanClient"="c:\programme\avmwlanstick\wlangui.exe" [2008-09-05 1794048]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2009-01-05 413696]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2009-01-06 290088]
"AGRSMMSG"="AGRSMMSG.exe" [2005-04-19 c:\windows\AGRSMMSG.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\Administrator\Startmen�\Programme\Autostart\
OpenOffice.org 2.4.lnk - c:\programme\OpenOffice.org 2.4\program\quickstart.exe [2008-01-21 393216]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
hpoddt01.exe.lnk - c:\programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe [2003-04-06 28672]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R3 CONAN;CONAN;c:\windows\system32\drivers\o2mmb.sys [2008-08-01 182101]
R3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\drivers\fwlanusb.sys [2009-01-12 265088]
R3 MbxStby;MbxStby;c:\windows\system32\drivers\MbxStby.sys [2008-08-01 5689]
S3 avmeject;AVM Eject;c:\windows\system32\drivers\avmeject.sys [2009-01-12 4352]
S3 MRV6X32U;Vista 32-bits Native WiFi Driver - USB;c:\windows\system32\drivers\MRVW23B.sys [2009-01-03 231040]
S3 MRVW225;A/WLAN-1 Wireless LAN Dirver for Windows XP;c:\windows\system32\drivers\MRVW225.sys [2009-01-02 299904]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ade1d700-0065-11de-8e06-000802d97d01}]
\Shell\AutoRun\command - E:\InstallTomTomHOME.exe
.
Inhalt des "geplante Tasks" Ordners

2009-03-11 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]

2009-03-29 c:\windows\Tasks\At1.job
- c:\windows\system32\p685YFeW.exe [2009-03-29 00:03]

2009-03-28 c:\windows\Tasks\At10.job
- c:\windows\system32\p685YFeW.exe [2009-03-29 00:03]

2009-03-28 c:\windows\Tasks\At11.job
- c:\windows\system32\p685YFeW.exe [2009-03-29 00:03]

2009-03-28 c:\windows\Tasks\At12.job
- c:\windows\system32\p685YFeW.exe [2009-03-29 00:03]

2009-03-29 c:\windows\Tasks\At13.job
- c:\windows\system32\p685YFeW.exe [2009-03-29 00:03]

2009-03-29 c:\windows\Tasks\At14.job
- c:\windows\system32\p685YFeW.exe [2009-03-29 00:03]

2009-03-28 c:\windows\Tasks\At15.job
- c:\windows\system32\p685YFeW.exe [2009-03-29 00:03]

2009-03-28 c:\windows\Tasks\At16.job
- c:\windows\system32\p685YFeW.exe [2009-03-29 00:03]

2009-03-28 c:\windows\Tasks\At17.job
- c:\windows\system32\p685YFeW.exe [2009-03-29 00:03]

2009-03-28 c:\windows\Tasks\At18.job
- c:\windows\system32\p685YFeW.exe [2009-03-29 00:03]

2009-03-28 c:\windows\Tasks\At19.job
- c:\windows\system32\p685YFeW.exe [2009-03-29 00:03]

2009-03-29 c:\windows\Tasks\At2.job
- c:\windows\system32\p685YFeW.exe [2009-03-29 00:03]

2009-03-28 c:\windows\Tasks\At20.job
- c:\windows\system32\p685YFeW.exe [2009-03-29 00:03]

2009-03-28 c:\windows\Tasks\At21.job
- c:\windows\system32\p685YFeW.exe [2009-03-29 00:03]

2009-03-28 c:\windows\Tasks\At22.job
- c:\windows\system32\p685YFeW.exe [2009-03-29 00:03]

2009-03-28 c:\windows\Tasks\At23.job
- c:\windows\system32\p685YFeW.exe [2009-03-29 00:03]

2009-03-28 c:\windows\Tasks\At24.job
- c:\windows\system32\p685YFeW.exe [2009-03-29 00:03]

2009-03-28 c:\windows\Tasks\At3.job
- c:\windows\system32\p685YFeW.exe [2009-03-29 00:03]

2009-03-28 c:\windows\Tasks\At4.job
- c:\windows\system32\p685YFeW.exe [2009-03-29 00:03]

2009-03-28 c:\windows\Tasks\At5.job
- c:\windows\system32\p685YFeW.exe [2009-03-29 00:03]

2009-03-28 c:\windows\Tasks\At6.job
- c:\windows\system32\p685YFeW.exe [2009-03-29 00:03]

2009-03-28 c:\windows\Tasks\At7.job
- c:\windows\system32\p685YFeW.exe [2009-03-29 00:03]

2009-03-28 c:\windows\Tasks\At8.job
- c:\windows\system32\p685YFeW.exe [2009-03-29 00:03]

2009-03-28 c:\windows\Tasks\At9.job
- c:\windows\system32\p685YFeW.exe [2009-03-29 00:03]

2009-03-29 c:\windows\Tasks\Google Software Updater.job
- c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-03-26 12:40]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = go.microsoft.com/fwlink/?LinkId=69157
uInternet Settings,ProxyOverride = *.local
FF - ProfilePath - c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\xk0cse8u.default\
FF - plugin: c:\programme\Google\Google Updater\2.4.1536.6592\npCIDetect13.dll
FF - plugin: c:\programme\Opera\program\plugins\npdivx32.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-29 13:06:41
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(968)
c:\windows\system32\Ati2evxx.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\windows\system32\ati2evxx.exe
c:\programme\OpenOffice.org 2.4\program\soffice.exe
c:\programme\OpenOffice.org 2.4\program\soffice.bin
c:\programme\Skype\Plugin Manager\skypePM.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\programme\avmwlanstick\WLanNetService.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\programme\iPod\bin\iPodService.exe
c:\programme\Windows Live\Messenger\usnsvc.exe
c:\programme\Java\jre1.6.0_07\bin\jucheck.exe
c:\windows\system32\wbem\wmiadap.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-03-29 13:10:41 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-03-29 11:10:17

Vor Suchlauf: 10 Verzeichnis(se), 53.160.525.824 Bytes frei
Nach Suchlauf: 9 Verzeichnis(se), 53,363,425,280 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn

204 --- E O F --- 2009-03-12 23:59:08


und mbam log:

Malwarebytes' Anti-Malware 1.35
Datenbank Version: 1915
Windows 5.1.2600 Service Pack 3

29.03.2009 13:55:52
mbam-log-2009-03-29 (13-55-52).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 61777
Laufzeit: 3 minute(s), 23 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


und unistall list:

Adobe Flash Player 10 ActiveX
Adobe Flash Player Plugin
Adobe Reader 9 - Deutsch
Agere Systems AC'97 Modem
Apple Mobile Device Support
Apple Software Update
ATI - Dienstprogramm zur Deinstallation der Software
ATI Control Panel
ATI Display Driver
AVM FRITZ!WLAN
Bonjour
Broadcom 802.11 Wireless LAN Adapter
Broadcom Gigabit Integrated Controller
Compatibility Pack for the 2007 Office system
DivX Codec
DivX Converter
DivX Player
DivX Web Player
Free PDF to Word Doc Converter v1.1
GIMPshop 2.2.8
Google Earth
Google Toolbar for Internet Explorer
Google Updater
HijackThis 2.0.2
Hotfix for Windows Media Format 11 SDK (KB929399)
Hotfix für Windows Media Player 11 (KB939683)
Hotfix für Windows XP (KB952287)
HP Foto- und Bildbearbeitung 2.0 - All-in-One
HP Foto- und Bildbearbeitung 2.0 All-in-One Treiber
HP Mobile Printing
HP Speicher-Disc
IrfanView (remove only)
iTunes
Java(TM) 6 Update 4
Java(TM) 6 Update 7
Last.fm 1.5.2.38918
LernBox
Malwarebytes' Anti-Malware
Microsoft Compression Client Pack 1.0 for Windows XP
Microsoft Internationalized Domain Names Mitigation APIs
Microsoft National Language Support Downlevel APIs
Microsoft Office PowerPoint Viewer 2007 (German)
Microsoft User-Mode Driver Framework Feature Pack 1.0
MobileMe Control Panel
Mozilla Firefox (3.0.8)
O2Micro MemoryCardBus Windows Driver
OpenOffice.org 2.4
Opera 9.51
QuickTime
Safari
Sicherheitsupdate für Windows Internet Explorer 7 (KB938127-v2)
Sicherheitsupdate für Windows Internet Explorer 7 (KB950759)
Sicherheitsupdate für Windows Internet Explorer 7 (KB953838)
Sicherheitsupdate für Windows Internet Explorer 7 (KB956390)
Sicherheitsupdate für Windows Internet Explorer 7 (KB958215)
Sicherheitsupdate für Windows Internet Explorer 7 (KB960714)
Sicherheitsupdate für Windows Internet Explorer 7 (KB961260)
Sicherheitsupdate für Windows Media Player (KB952069)
Sicherheitsupdate für Windows Media Player 11 (KB936782)
Sicherheitsupdate für Windows Media Player 11 (KB954154)
Sicherheitsupdate für Windows XP (KB923789)
Sicherheitsupdate für Windows XP (KB938464)
Sicherheitsupdate für Windows XP (KB941569)
Sicherheitsupdate für Windows XP (KB946648)
Sicherheitsupdate für Windows XP (KB950759)
Sicherheitsupdate für Windows XP (KB950760)
Sicherheitsupdate für Windows XP (KB950762)
Sicherheitsupdate für Windows XP (KB950974)
Sicherheitsupdate für Windows XP (KB951066)
Sicherheitsupdate für Windows XP (KB951376-v2)
Sicherheitsupdate für Windows XP (KB951698)
Sicherheitsupdate für Windows XP (KB951748)
Sicherheitsupdate für Windows XP (KB952954)
Sicherheitsupdate für Windows XP (KB953839)
Sicherheitsupdate für Windows XP (KB954211)
Sicherheitsupdate für Windows XP (KB954459)
Sicherheitsupdate für Windows XP (KB954600)
Sicherheitsupdate für Windows XP (KB955069)
Sicherheitsupdate für Windows XP (KB956391)
Sicherheitsupdate für Windows XP (KB956802)
Sicherheitsupdate für Windows XP (KB956803)
Sicherheitsupdate für Windows XP (KB956841)
Sicherheitsupdate für Windows XP (KB957095)
Sicherheitsupdate für Windows XP (KB957097)
Sicherheitsupdate für Windows XP (KB958644)
Sicherheitsupdate für Windows XP (KB958687)
Sicherheitsupdate für Windows XP (KB958690)
Sicherheitsupdate für Windows XP (KB960225)
Sicherheitsupdate für Windows XP (KB960715)
Skype™ 3.8
Update für Windows XP (KB942763)
Update für Windows XP (KB951072-v2)
Update für Windows XP (KB951978)
Update für Windows XP (KB955839)
Update für Windows XP (KB967715)
Wichtiges Update für Windows Media Player 11 (KB959772)
Windows Internet Explorer 7
Windows Live installer
Windows Live Mail
Windows Live Messenger
Windows Media Format 11 runtime
Windows Media Format 11 runtime
Windows Media Player 11
Windows Media Player 11
Windows XP Service Pack 3
WordToPDF 2.4

#4 Benenne diese Datei um und teste sie bei Virustotal Poste den Link zum Ergebniss
c:\windows\system32\p685YFeW.exe

Was hat der Mbam Scan ergeben?
__________
MfG Ralf
SEO-Spam Hunter

#5 @raman, der scan ist doch da ;-)

#6 Ich muss mal meine Brille putzen.
__________
MfG Ralf
SEO-Spam Hunter

#7 hi raman,

datei von virustotal überprüfen lassen und war in ordnung...

was muss ich weiteres unternehmen?

danke

#8 DAs kann eigentlich nicht sein. Poste bitte den Link zum Ergebniss!
__________
MfG Ralf
SEO-Spam Hunter