Trojan.Downloader

#1 Hallo zusammen ich habe ein Tierisches problem mein PC ist leider infiziert.
Der Trojaner der sperrt mir auch den zugang zu internetseiten von Kasprsky und konsorten.
In meinem Temp ordner sind dateien drinnen die ich meiner meinung nach nichts zu suchen haben so dateien wie "wintkcl.exe, winffrjg.exe, winwolfox.exe, winvlyggv.exe.

Hier die Logs.

Malwarebytes' Anti-Malware 1.37
Datenbank Version: 2271
Windows 5.1.2600 Service Pack 2

14.06.2009 16:01:15
mbam-log-2009-06-14 (16-01-15).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 77400
Laufzeit: 2 minute(s), 38 second(s)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
C:\Dokumente und Einstellungen\Sneijder\Lokale Einstellungen\temp\winveablb.exe (Trojan.Downloader) -> Unloaded process successfully.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\Sneijder\Lokale Einstellungen\temp\winveablb.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
---------------------------------------------------------------------------

ComboFix 09-06-12.04 - Sneijder 14.06.2009 16:08.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.49.1031.18.1015.734 [GMT 2:00]
ausgeführt von:: E:\ComboFix.exe

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((( Dateien erstellt von 2009-05-14 bis 2009-06-14 ))))))))))))))))))))))))))))))
.

2009-06-28 11:36 . 2004-08-03 22:40 57600 ----a-w- c:\windows\system32\drivers\redbook.sys
2009-06-13 12:52 . 2009-06-13 13:53 -------- d-----w- c:\programme\Lavasoft
2009-06-13 12:52 . 2009-06-13 13:53 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft
2009-06-13 12:12 . 2009-06-13 12:12 -------- d-----w- c:\dokumente und einstellungen\Sneijder\Anwendungsdaten\Malwarebytes
2009-06-13 12:12 . 2009-05-26 11:20 40160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-06-13 12:11 . 2009-06-13 12:11 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-06-13 12:11 . 2009-05-26 11:19 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-06-13 10:49 . 2009-06-13 10:49 -------- d-----w- c:\windows\Performance
2009-06-13 10:48 . 2009-06-13 10:48 -------- d-----w- c:\dokumente und einstellungen\Sneijder\Lokale Einstellungen\Anwendungsdaten\Microsoft Corporation
2009-06-10 11:50 . 2009-06-10 11:50 -------- d-----w- c:\programme\RegCleaner
2009-06-10 11:13 . 2009-04-30 21:13 12800 -c----w- c:\windows\system32\dllcache\xpshims.dll
2009-06-10 11:13 . 2009-04-30 21:12 246272 -c----w- c:\windows\system32\dllcache\ieproxy.dll
2009-06-10 11:12 . 2009-04-30 21:13 1985024 -c----w- c:\windows\system32\dllcache\iertutil.dll
2009-06-10 11:12 . 2009-04-30 21:13 11064832 -c----w- c:\windows\system32\dllcache\ieframe.dll
2009-06-05 08:46 . 2006-08-18 12:38 52736 -c----w- c:\windows\system32\dllcache\wzcsapi.dll
2009-06-05 08:46 . 2006-08-18 12:38 476160 -c----w- c:\windows\system32\dllcache\wzcsvc.dll
2009-06-05 08:46 . 2006-08-18 12:38 384512 -c----w- c:\windows\system32\dllcache\wzcdlg.dll
2009-06-05 08:46 . 2006-08-18 09:36 14592 -c----w- c:\windows\system32\dllcache\ndisuio.sys
2009-06-05 08:46 . 2006-08-18 12:38 1724416 -c----w- c:\windows\system32\dllcache\netshell.dll
2009-06-04 20:55 . 2009-06-04 20:55 -------- d-----w- c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Google
2009-06-04 20:54 . 2009-06-04 20:54 -------- d-----w- c:\programme\Gemeinsame Dateien\DivX Shared
2009-06-04 20:54 . 2009-06-04 20:58 -------- d-----w- c:\programme\DivX
2009-06-04 20:38 . 2009-06-04 20:38 0 ----a-w- c:\windows\nsreg.dat

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-06-14 12:18 . 2009-04-10 11:54 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2009-06-13 10:46 . 2008-03-20 16:46 416044 ----a-w- c:\windows\system32\perfh007.dat
2009-06-13 10:45 . 2008-03-20 16:46 75392 ----a-w- c:\windows\system32\perfc007.dat
2009-06-09 23:18 . 2009-04-11 11:37 -------- d-sh--w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{55A29068-F2CE-456C-9148-C869879E2357}
2009-05-13 05:02 . 2008-03-20 16:46 915456 ----a-w- c:\windows\system32\wininet.dll
2009-05-07 15:42 . 2008-03-20 16:45 346624 ----a-w- c:\windows\system32\localspl.dll
2009-05-01 21:02 . 2009-05-01 21:02 90112 ----a-w- c:\windows\system32\dpl100.dll
2009-05-01 21:02 . 2009-05-01 21:02 823296 ----a-w- c:\windows\system32\divx_xx0c.dll
2009-05-01 21:02 . 2009-05-01 21:02 823296 ----a-w- c:\windows\system32\divx_xx07.dll
2009-05-01 21:02 . 2009-05-01 21:02 815104 ----a-w- c:\windows\system32\divx_xx0a.dll
2009-05-01 21:02 . 2009-05-01 21:02 811008 ----a-w- c:\windows\system32\divx_xx16.dll
2009-05-01 21:02 . 2009-05-01 21:02 802816 ----a-w- c:\windows\system32\divx_xx11.dll
2009-05-01 21:02 . 2009-05-01 21:02 685056 ----a-w- c:\windows\system32\DivX.dll
2009-05-01 20:06 . 2009-05-01 20:07 410984 ----a-w- c:\windows\system32\deploytk.dll
2009-05-01 20:05 . 2008-04-16 16:31 -------- d-----w- c:\programme\Java
2009-05-01 20:05 . 2009-05-01 20:04 152576 ----a-w- c:\dokumente und einstellungen\Sneijder\Anwendungsdaten\Sun\Java\jre1.6.0_13\lzma.dll
2009-04-19 20:06 . 2008-03-20 16:46 1846784 ----a-w- c:\windows\system32\win32k.sys
2009-04-16 20:34 . 2009-04-09 15:16 59608 -c--a-w- c:\dokumente und einstellungen\Sneijder\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-04-16 20:31 . 2009-04-16 20:31 -------- d-----w- c:\programme\Microsoft
2009-04-16 20:30 . 2009-04-16 20:30 -------- d-----w- c:\programme\Windows Live SkyDrive
2009-04-16 20:30 . 2008-04-16 16:05 -------- d-----w- c:\programme\Windows Live
2009-04-16 20:23 . 2009-04-16 20:23 -------- d-----w- c:\programme\Gemeinsame Dateien\Windows Live
2009-04-15 15:29 . 2008-03-20 16:45 583168 ----a-w- c:\windows\system32\rpcrt4.dll
2009-04-11 13:42 . 2009-04-11 13:42 1976960 -c--a-w- c:\dokumente und einstellungen\Sneijder\Anwendungsdaten\Macromedia\Flash Player\www.macromedia.com\bin\fpupdateax\fpupdateax.exe
2009-04-11 11:33 . 2008-03-20 16:46 36864 ----a-w- c:\windows\system32\ctfmon.exe
2009-04-09 15:50 . 2008-03-21 08:54 76487 -c--a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat
.

------- Sigcheck -------

[-] 2009-04-11 11:33 36864 18747FCB2508EEEC79415B32F63F3654 c:\windows\system32\ctfmon.exe
[-] 2009-04-11 11:33 36864 18747FCB2508EEEC79415B32F63F3654 c:\windows\system32\dllcache\ctfmon.exe
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoRecentDocsNetHood"= 1 (0x1)

[COLOR=RED] SafeBoot Registrierungsschlüssel muss repariert werden. Dieser PC kann nicht im abgesicherten Modus starten. [/COLOR]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\File system]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vgasave.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@="DiskDrive"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96A-E325-11CE-BFC1-08002BE10318}]
@="Hdc"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96B-E325-11CE-BFC1-08002BE10318}]
@="Keyboard"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96F-E325-11CE-BFC1-08002BE10318}]
@="Mouse"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E97D-E325-11CE-BFC1-08002BE10318}]
@="System"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{71A27CDD-812A-11D0-BEC7-08002BE2092F}]
@="Volume"

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^AutoRun OSCleaner.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\AutoRun OSCleaner.lnk
backup=c:\windows\pss\AutoRun OSCleaner.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"TuneUp.ProgramStatisticsSvc"=2 (0x2)
"TuneUp.Defrag"=3 (0x3)
"JavaQuickStarterService"=2 (0x2)
"ose"=3 (0x3)
"odserv"=3 (0x3)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\WINDOWS\\ALCMTR.EXE"=
"c:\\Programme\\Elantech\\ETDCtrl.exe"=
"c:\\WINDOWS\\RTHDCPL.EXE"=
"c:\\WINDOWS\\system32\\igfxext.exe"=
"c:\\Programme\\Asus\\EeePC ACPI\\AsAcpiSvr.exe"=
"d:\\Programme\\Microsoft Office\\Office12\\msohtmed.exe"=
"c:\\WINDOWS\\PCHealth\\HelpCtr\\Binaries\\MSConfig.exe"=
"d:\\Programme\\Adobe\\Reader 8.0\\Reader\\AcroRd32.exe"=
"c:\\WINDOWS\\system32\\taskmgr.exe"=
"e:\\Programme\\Malwarebytes' Anti-Malware\\mbam.exe"=
"c:\\WINDOWS\\system32\\CF16472.exe"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager\subsystems]
"Windows"= basesrv.dll

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/ig
IE: Nach Microsoft E&xel exportieren - d:\progra~2\MICROS~2\Office12\EXCEL.EXE/3000
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-06-14 16:11
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(1784)
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Zeit der Fertigstellung: 2009-06-14 16:17
ComboFix-quarantined-files.txt 2009-06-14 14:17
ComboFix2.txt 2009-06-13 14:16

Vor Suchlauf: 208.310.272 Bytes frei
Nach Suchlauf: 182.312.960 Bytes frei

146 --- E O F --- 2009-06-14 12:18
---------------------------------------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:21:16, on 14.06.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\Asus\EeePC ACPI\AsTray.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Programme\Asus\EeePC ACPI\AsAcpiSvr.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\igfxext.exe
C:\WINDOWS\explorer.exe
C:\Programme\internet explorer\iexplore.exe
C:\Programme\internet explorer\iexplore.exe
E:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\Programme\internet explorer\iexplore.exe
C:\DOKUME~1\Sneijder\LOKALE~1\Temp\winhbjf.exe
C:\DOKUME~1\Sneijder\LOKALE~1\Temp\winnlxw.exe
C:\DOKUME~1\Sneijder\LOKALE~1\Temp\winoayfgo.exe
C:\DOKUME~1\Sneijder\LOKALE~1\Temp\w114071.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ig
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [AsusTray] C:\Programme\Asus\EeePC ACPI\AsTray.exe
O4 - HKLM\..\Run: [AsusACPIServer] C:\Programme\Asus\EeePC ACPI\AsAcpiSvr.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [ETDWare] C:\Programme\Elantech\ETDCtrl.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://D:\PROGRA~2\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~2\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

--
End of file - 3572 bytes
---------------------------------------------------------------------------

2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
Adabas D 13.01.00
Adobe Flash Player 10 ActiveX
Adobe Flash Player 10 Plugin
Adobe Reader 8.1.0 - Deutsch
Asus ACPI Driver
Asus OS Cleaner
ASUSUpdate for Eee PC
Atheros Communications Inc.(R) L2 Fast Ethernet Driver
CCleaner (remove only)
Choice Guard
Compatibility Pack für 2007 Office System
DivX Codec
DivX Web Player
ETD Ware PS/2-x86 7.0.1.4 WHQL
HijackThis 2.0.2
Intel(R) Graphics Media Accelerator Driver
Java(TM) 6 Update 13
Java(TM) 6 Update 3
Junk Mail filter update
Malwarebytes' Anti-Malware
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 Hotfix (KB928366)
Microsoft .NET Framework 1.1 Hotfix (KB929729)
Microsoft .NET Framework 2.0
Microsoft Office Access MUI (German) 2007
Microsoft Office Excel MUI (German) 2007
Microsoft Office Outlook MUI (German) 2007
Microsoft Office PowerPoint MUI (German) 2007
Microsoft Office PowerPoint Viewer 2007 (German)
Microsoft Office Professional 2007
Microsoft Office Professional 2007-Testversion
Microsoft Office Proof (English) 2007
Microsoft Office Proof (French) 2007
Microsoft Office Proof (German) 2007
Microsoft Office Proof (Italian) 2007
Microsoft Office Proofing (German) 2007
Microsoft Office Publisher MUI (German) 2007
Microsoft Office Shared MUI (German) 2007
Microsoft Office Word MUI (German) 2007
Microsoft SQL Server 2005 Compact Edition [ENU]
MSVCRT
MSXML 6 Service Pack 2 (KB954459)
Realtek High Definition Audio Driver
Security Update for 2007 Microsoft Office System (KB951550)
Security Update for 2007 Microsoft Office System (KB951944)
Security Update for 2007 Microsoft Office System (KB969559)
Security Update for 2007 Microsoft Office System (KB969679)
Security Update for Microsoft Office Excel 2007 (KB969682)
Security Update for Microsoft Office system 2007 (KB954326)
Security Update for Microsoft Office system 2007 (KB969613)
Security Update for Microsoft Office Word 2007 (KB969604)
Segoe UI
Sicherheitsupdate für Windows Internet Explorer 8 (KB969897)
Sicherheitsupdate für Windows XP (KB923561)
Sicherheitsupdate für Windows XP (KB923789)
Update for 2007 Microsoft Office System (KB967642)
Update for Microsoft Office Outlook 2007 (KB969907)
Update for Outlook 2007 Junk Email Filter (kb970012)
Update für Windows Internet Explorer 8 (KB968220)
VC80CRTRedist - 8.0.50727.762
Visual C++ 2008 x86 Runtime - (v9.0.30729)
Visual C++ 2008 x86 Runtime - v9.0.30729.01
Windows Internet Explorer 8
Windows Live Anmelde-Assistent
Windows Live Call
Windows Live Communications Platform
Windows Live Essentials
Windows Live Essentials
Windows Live Mail
Windows Live Messenger
Windows Live-Uploadtool
Windows Media Format 11 runtime
Windows Media Format 11 runtime
Windows Media Player 11
Windows Media Player 11
---------------------------------------------------------------------------

Ich hoffe ihr könnt mir helfen, zur not muss ich halt den pc platt machen und alle neu aufspielen ich hoffe das es aber so klappen wird.


Mit Freundliche Grüßen

JDINHO

#2 Packe bitte diese DAteien aus deinem temp Ordner mit rar oder Zip
C:\DOKUME~1\Sneijder\LOKALE~1\Temp\winhbjf.exe
C:\DOKUME~1\Sneijder\LOKALE~1\Temp\winnlxw.exe
C:\DOKUME~1\Sneijder\LOKALE~1\Temp\winoayfgo.exe
C:\DOKUME~1\Sneijder\LOKALE~1\Temp\w114071.exe

und lade sie hier hoch:
http://www.bleepingcomputer.com/submit-malware.php?channel=49

Der Inhalt der ComboFix2.txt waere auch interessant.

Zuletzt erstelle bitte ein Gmer Report:
Nutze den "Download exe" Button von hier http://www.gmer.net/#files starte die Date, druecke im Reiter Rootkits auf scan. Nach ende des Scans bitte mit Hilfe von Copy den Report hier einfuegen...
__________
MfG Ralf
SEO-Spam Hunter

#3 GMER 1.0.15.14972 - http://www.gmer.net
Rootkit scan 2009-06-14 17:55:33
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.15 ----

Code \??\C:\DOKUME~1\Sneijder\LOKALE~1\Temp\catchme.sys pIofCallDriver

---- Kernel code sections - GMER 1.0.15 ----

? ocfla.sys Das System kann die angegebene Datei nicht finden. !
? C:\WINDOWS\system32\drivers\jgniln.sys Das System kann die angegebene Datei nicht finden. !
? C:\DOKUME~1\Sneijder\LOKALE~1\Temp\catchme.sys Das System kann die angegebene Datei nicht finden. !
? C:\WINDOWS\system32\Drivers\PROCEXP90.SYS Das System kann die angegebene Datei nicht finden. !

---- User code sections - GMER 1.0.15 ----

.text C:\Programme\internet explorer\iexplore.exe[440] USER32.dll!UnhookWindowsHookEx 7E36F21E 5 Bytes JMP 411D4254 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\internet explorer\iexplore.exe[440] USER32.dll!CallNextHookEx 7E36F85B 5 Bytes JMP 4125C8A9 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\internet explorer\iexplore.exe[440] USER32.dll!CreateWindowExW 7E36FC25 5 Bytes JMP 4126D2C4 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\internet explorer\iexplore.exe[440] USER32.dll!DialogBoxParamW 7E37555F 5 Bytes JMP 411951D5 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\internet explorer\iexplore.exe[440] USER32.dll!SetWindowsHookExW 7E37DDB5 5 Bytes JMP 41269261 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\internet explorer\iexplore.exe[440] USER32.dll!DialogBoxIndirectParamW 7E382032 5 Bytes JMP 4138B6CB C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\internet explorer\iexplore.exe[440] USER32.dll!MessageBoxIndirectA 7E38A04A 5 Bytes JMP 4138B5FD C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\internet explorer\iexplore.exe[440] USER32.dll!DialogBoxParamA 7E38B10C 5 Bytes JMP 4138B668 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\internet explorer\iexplore.exe[440] USER32.dll!MessageBoxExW 7E3A05D8 5 Bytes JMP 4138B4CE C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\internet explorer\iexplore.exe[440] USER32.dll!MessageBoxExA 7E3A05FC 5 Bytes JMP 4138B530 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\internet explorer\iexplore.exe[440] USER32.dll!DialogBoxIndirectParamA 7E3A6B50 5 Bytes JMP 4138B72E C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\internet explorer\iexplore.exe[440] USER32.dll!MessageBoxIndirectW 7E3B62AB 5 Bytes JMP 4138B592 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\internet explorer\iexplore.exe[440] ole32.dll!CoCreateInstance 774CFAC3 5 Bytes JMP 4126D320 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\internet explorer\iexplore.exe[2884] USER32.dll!UnhookWindowsHookEx 7E36F21E 5 Bytes JMP 411D4254 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\internet explorer\iexplore.exe[2884] USER32.dll!CallNextHookEx 7E36F85B 5 Bytes JMP 4125C8A9 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\internet explorer\iexplore.exe[2884] USER32.dll!CreateWindowExW 7E36FC25 5 Bytes JMP 4126D2C4 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\internet explorer\iexplore.exe[2884] USER32.dll!DialogBoxParamW 7E37555F 5 Bytes JMP 411951D5 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\internet explorer\iexplore.exe[2884] USER32.dll!SetWindowsHookExW 7E37DDB5 5 Bytes JMP 41269261 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\internet explorer\iexplore.exe[2884] USER32.dll!DialogBoxIndirectParamW 7E382032 5 Bytes JMP 4138B6CB C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\internet explorer\iexplore.exe[2884] USER32.dll!MessageBoxIndirectA 7E38A04A 5 Bytes JMP 4138B5FD C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\internet explorer\iexplore.exe[2884] USER32.dll!DialogBoxParamA 7E38B10C 5 Bytes JMP 4138B668 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\internet explorer\iexplore.exe[2884] USER32.dll!MessageBoxExW 7E3A05D8 5 Bytes JMP 4138B4CE C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\internet explorer\iexplore.exe[2884] USER32.dll!MessageBoxExA 7E3A05FC 5 Bytes JMP 4138B530 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\internet explorer\iexplore.exe[2884] USER32.dll!DialogBoxIndirectParamA 7E3A6B50 5 Bytes JMP 4138B72E C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\internet explorer\iexplore.exe[2884] USER32.dll!MessageBoxIndirectW 7E3B62AB 5 Bytes JMP 4138B592 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\internet explorer\iexplore.exe[2884] ole32.dll!CoCreateInstance 774CFAC3 5 Bytes JMP 4126D320 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\internet explorer\iexplore.exe[3444] USER32.dll!CreateWindowExW 7E36FC25 5 Bytes JMP 4126D2C4 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\internet explorer\iexplore.exe[3444] USER32.dll!DialogBoxParamW 7E37555F 5 Bytes JMP 411951D5 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\internet explorer\iexplore.exe[3444] USER32.dll!DialogBoxIndirectParamW 7E382032 5 Bytes JMP 4138B6CB C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\internet explorer\iexplore.exe[3444] USER32.dll!MessageBoxIndirectA 7E38A04A 5 Bytes JMP 4138B5FD C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\internet explorer\iexplore.exe[3444] USER32.dll!DialogBoxParamA 7E38B10C 5 Bytes JMP 4138B668 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\internet explorer\iexplore.exe[3444] USER32.dll!MessageBoxExW 7E3A05D8 5 Bytes JMP 4138B4CE C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\internet explorer\iexplore.exe[3444] USER32.dll!MessageBoxExA 7E3A05FC 5 Bytes JMP 4138B530 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\internet explorer\iexplore.exe[3444] USER32.dll!DialogBoxIndirectParamA 7E3A6B50 5 Bytes JMP 4138B72E C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\internet explorer\iexplore.exe[3444] USER32.dll!MessageBoxIndirectW 7E3B62AB 5 Bytes JMP 4138B592 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

---- User IAT/EAT - GMER 1.0.15 ----

IAT C:\Programme\internet explorer\iexplore.exe[440] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!LoadLibraryExW] [451F1A7B] C:\Programme\internet explorer\xpshims.dll (Internet Explorer Compatibility Shims for XP/Microsoft Corporation)
IAT C:\Programme\internet explorer\iexplore.exe[2884] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!LoadLibraryExW] [451F1A7B] C:\Programme\internet explorer\xpshims.dll (Internet Explorer Compatibility Shims for XP/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----
---------------------------------------------------------------------------

die txt. datei von combofix ist doc auch oben oder meint du was anderes?

die dateien habe ich upgeloadet

Gruss JDINHO

#4 Ja, ich meinte auch die combofix2.txt du hast wohl CF 2 mal laufen lassen und das war dann der erste REport.
Das sonderbare ist, das die Dateien im CF Report nicht auftauchen, aber im Hijackthis Log schon, welches spaeter erstellt wurde. Erstelle bitte ein neues Hijackthis log, aber bitte komplett. Bei obigen fehlt 1/3tel

Die Dateien liessen sich hier Problemlos loeschen nach einem neustart....
__________
MfG Ralf
SEO-Spam Hunter

#5 du sollst combofix nicht noch mal laufen lassen? du sollst nur das log, was fehlt posten. du hast combofix ja schon 2 mal ausgefürt.

#6 ComboFix 09-06-12.04 - Sneijder 14.06.2009 16:08.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.49.1031.18.1015.734 [GMT 2:00]
ausgeführt von:: E:\ComboFix.exe

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((( Dateien erstellt von 2009-05-14 bis 2009-06-14 ))))))))))))))))))))))))))))))
.

2009-06-28 11:36 . 2004-08-03 22:40 57600 ----a-w- c:\windows\system32\drivers\redbook.sys
2009-06-13 12:52 . 2009-06-13 13:53 -------- d-----w- c:\programme\Lavasoft
2009-06-13 12:52 . 2009-06-13 13:53 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft
2009-06-13 12:12 . 2009-06-13 12:12 -------- d-----w- c:\dokumente und einstellungen\Sneijder\Anwendungsdaten\Malwarebytes
2009-06-13 12:12 . 2009-05-26 11:20 40160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-06-13 12:11 . 2009-06-13 12:11 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-06-13 12:11 . 2009-05-26 11:19 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-06-13 10:49 . 2009-06-13 10:49 -------- d-----w- c:\windows\Performance
2009-06-13 10:48 . 2009-06-13 10:48 -------- d-----w- c:\dokumente und einstellungen\Sneijder\Lokale Einstellungen\Anwendungsdaten\Microsoft Corporation
2009-06-10 11:50 . 2009-06-10 11:50 -------- d-----w- c:\programme\RegCleaner
2009-06-10 11:13 . 2009-04-30 21:13 12800 -c----w- c:\windows\system32\dllcache\xpshims.dll
2009-06-10 11:13 . 2009-04-30 21:12 246272 -c----w- c:\windows\system32\dllcache\ieproxy.dll
2009-06-10 11:12 . 2009-04-30 21:13 1985024 -c----w- c:\windows\system32\dllcache\iertutil.dll
2009-06-10 11:12 . 2009-04-30 21:13 11064832 -c----w- c:\windows\system32\dllcache\ieframe.dll
2009-06-05 08:46 . 2006-08-18 12:38 52736 -c----w- c:\windows\system32\dllcache\wzcsapi.dll
2009-06-05 08:46 . 2006-08-18 12:38 476160 -c----w- c:\windows\system32\dllcache\wzcsvc.dll
2009-06-05 08:46 . 2006-08-18 12:38 384512 -c----w- c:\windows\system32\dllcache\wzcdlg.dll
2009-06-05 08:46 . 2006-08-18 09:36 14592 -c----w- c:\windows\system32\dllcache\ndisuio.sys
2009-06-05 08:46 . 2006-08-18 12:38 1724416 -c----w- c:\windows\system32\dllcache\netshell.dll
2009-06-04 20:55 . 2009-06-04 20:55 -------- d-----w- c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Google
2009-06-04 20:54 . 2009-06-04 20:54 -------- d-----w- c:\programme\Gemeinsame Dateien\DivX Shared
2009-06-04 20:54 . 2009-06-04 20:58 -------- d-----w- c:\programme\DivX
2009-06-04 20:38 . 2009-06-04 20:38 0 ----a-w- c:\windows\nsreg.dat

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-06-14 12:18 . 2009-04-10 11:54 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2009-06-13 10:46 . 2008-03-20 16:46 416044 ----a-w- c:\windows\system32\perfh007.dat
2009-06-13 10:45 . 2008-03-20 16:46 75392 ----a-w- c:\windows\system32\perfc007.dat
2009-06-09 23:18 . 2009-04-11 11:37 -------- d-sh--w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{55A29068-F2CE-456C-9148-C869879E2357}
2009-05-13 05:02 . 2008-03-20 16:46 915456 ----a-w- c:\windows\system32\wininet.dll
2009-05-07 15:42 . 2008-03-20 16:45 346624 ----a-w- c:\windows\system32\localspl.dll
2009-05-01 21:02 . 2009-05-01 21:02 90112 ----a-w- c:\windows\system32\dpl100.dll
2009-05-01 21:02 . 2009-05-01 21:02 823296 ----a-w- c:\windows\system32\divx_xx0c.dll
2009-05-01 21:02 . 2009-05-01 21:02 823296 ----a-w- c:\windows\system32\divx_xx07.dll
2009-05-01 21:02 . 2009-05-01 21:02 815104 ----a-w- c:\windows\system32\divx_xx0a.dll
2009-05-01 21:02 . 2009-05-01 21:02 811008 ----a-w- c:\windows\system32\divx_xx16.dll
2009-05-01 21:02 . 2009-05-01 21:02 802816 ----a-w- c:\windows\system32\divx_xx11.dll
2009-05-01 21:02 . 2009-05-01 21:02 685056 ----a-w- c:\windows\system32\DivX.dll
2009-05-01 20:06 . 2009-05-01 20:07 410984 ----a-w- c:\windows\system32\deploytk.dll
2009-05-01 20:05 . 2008-04-16 16:31 -------- d-----w- c:\programme\Java
2009-05-01 20:05 . 2009-05-01 20:04 152576 ----a-w- c:\dokumente und einstellungen\Sneijder\Anwendungsdaten\Sun\Java\jre1.6.0_13\lzma.dll
2009-04-19 20:06 . 2008-03-20 16:46 1846784 ----a-w- c:\windows\system32\win32k.sys
2009-04-16 20:34 . 2009-04-09 15:16 59608 -c--a-w- c:\dokumente und einstellungen\Sneijder\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-04-16 20:31 . 2009-04-16 20:31 -------- d-----w- c:\programme\Microsoft
2009-04-16 20:30 . 2009-04-16 20:30 -------- d-----w- c:\programme\Windows Live SkyDrive
2009-04-16 20:30 . 2008-04-16 16:05 -------- d-----w- c:\programme\Windows Live
2009-04-16 20:23 . 2009-04-16 20:23 -------- d-----w- c:\programme\Gemeinsame Dateien\Windows Live
2009-04-15 15:29 . 2008-03-20 16:45 583168 ----a-w- c:\windows\system32\rpcrt4.dll
2009-04-11 13:42 . 2009-04-11 13:42 1976960 -c--a-w- c:\dokumente und einstellungen\Sneijder\Anwendungsdaten\Macromedia\Flash Player\www.macromedia.com\bin\fpupdateax\fpupdateax.exe
2009-04-11 11:33 . 2008-03-20 16:46 36864 ----a-w- c:\windows\system32\ctfmon.exe
2009-04-09 15:50 . 2008-03-21 08:54 76487 -c--a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat
.

------- Sigcheck -------

[-] 2009-04-11 11:33 36864 18747FCB2508EEEC79415B32F63F3654 c:\windows\system32\ctfmon.exe
[-] 2009-04-11 11:33 36864 18747FCB2508EEEC79415B32F63F3654 c:\windows\system32\dllcache\ctfmon.exe
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoRecentDocsNetHood"= 1 (0x1)

[COLOR=RED] SafeBoot Registrierungsschlüssel muss repariert werden. Dieser PC kann nicht im abgesicherten Modus starten. [/COLOR]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\File system]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vgasave.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@="DiskDrive"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96A-E325-11CE-BFC1-08002BE10318}]
@="Hdc"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96B-E325-11CE-BFC1-08002BE10318}]
@="Keyboard"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96F-E325-11CE-BFC1-08002BE10318}]
@="Mouse"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E97D-E325-11CE-BFC1-08002BE10318}]
@="System"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{71A27CDD-812A-11D0-BEC7-08002BE2092F}]
@="Volume"

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^AutoRun OSCleaner.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\AutoRun OSCleaner.lnk
backup=c:\windows\pss\AutoRun OSCleaner.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"TuneUp.ProgramStatisticsSvc"=2 (0x2)
"TuneUp.Defrag"=3 (0x3)
"JavaQuickStarterService"=2 (0x2)
"ose"=3 (0x3)
"odserv"=3 (0x3)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\WINDOWS\\ALCMTR.EXE"=
"c:\\Programme\\Elantech\\ETDCtrl.exe"=
"c:\\WINDOWS\\RTHDCPL.EXE"=
"c:\\WINDOWS\\system32\\igfxext.exe"=
"c:\\Programme\\Asus\\EeePC ACPI\\AsAcpiSvr.exe"=
"d:\\Programme\\Microsoft Office\\Office12\\msohtmed.exe"=
"c:\\WINDOWS\\PCHealth\\HelpCtr\\Binaries\\MSConfig.exe"=
"d:\\Programme\\Adobe\\Reader 8.0\\Reader\\AcroRd32.exe"=
"c:\\WINDOWS\\system32\\taskmgr.exe"=
"e:\\Programme\\Malwarebytes' Anti-Malware\\mbam.exe"=
"c:\\WINDOWS\\system32\\CF16472.exe"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager\subsystems]
"Windows"= basesrv.dll

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/ig
IE: Nach Microsoft E&xel exportieren - d:\progra~2\MICROS~2\Office12\EXCEL.EXE/3000
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-06-14 16:11
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(1784)
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Zeit der Fertigstellung: 2009-06-14 16:17
ComboFix-quarantined-files.txt 2009-06-14 14:17
ComboFix2.txt 2009-06-13 14:16

Vor Suchlauf: 208.310.272 Bytes frei
Nach Suchlauf: 182.312.960 Bytes frei

146 --- E O F --- 2009-06-14 12:18

#7 Besteht das Problem mit den Dateien im temp Ordner noch?
__________
MfG Ralf
SEO-Spam Hunter

#8 jap nur die dateien ändern manchmal den namen

#9 das war schon wieder das selbe log.
ComboFix2.txt 2009-06-13 14:16
die musst du posten.
also
ComboFix2.txt

#10 ja das war die ich habe nur die eine

#11 Erstelle bitte ein neues komplettes Hijackthis log. Bei obigen fehlt 1/3tel
__________
MfG Ralf
SEO-Spam Hunter