Fehlermeldung beim booten und beim Start von Prog's

#1 Hallo erst mal,

Seit gestern bekomme während des hochfahrens an die zehn Fehlermeldungen.
Alle lauten z.B. so:

OUTLOOK.EXE - Abbild fehlerhaft
"Die Anwendung oder DLL globalroot\systemroot\system32\SKYNETkdbotvvr.dll ist keina gültige Windows_Datei. Überprüfen sie dies mit der Installationsdiskette."

Seit dem reagiert Kaspersky (Internet Security 7.0.0.124) auch eigenartig. Die Firewall von Kaspersky lässt sich nicht mehr einschalten, stürzt beim Versuch sie zu aktivieren ab.

Ich hoffe jemand kann mir weiterhelfen, da ich den PC dringend für meine Arbeit brauche und ich daher keine Zeit habe alles neu aufzusetzen.

Besten Dank schon mal im Vorraus.

#2 So hier mal die Malwarebytes Logdatei

Malwarebytes' Anti-Malware 1.38
Datenbank Version: 2369
Windows 5.1.2600 Service Pack 3

03.07.2009 22:35:49
mbam-log-2009-07-03 (22-35-49).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 93863
Laufzeit: 5 minute(s), 19 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 4
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 1
Infizierte Dateien: 8

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{d97fc677-694d-4a75-ac89-a5b85c2bcfed} (Adware.BullseyeToolbar) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6226ba26-c017-4007-928c-de9715c6fa67} (Adware.BullseyeToolbar) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\urlsearchhook.toolbarurlsearchhook (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\urlsearchhook.toolbarurlsearchhook.1 (Trojan.BHO) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
C:\Programme\runit (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Dateien:
c:\WINDOWS\aihr5668.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
c:\WINDOWS\aptt75451.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\programme\runit\config.txt (Trojan.Agent) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\SKYNEToyidulck.dat (Trojan.Agent) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\SKYNETqoxujcos.dat (Trojan.Agent) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\SKYNETkdbotvvr.dll (Trojan.Agent) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\SKYNETrrmydlkg.dll (Trojan.Agent) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\drivers\SKYNETrrqjwqvp.sys (Trojan.Agent) -> Quarantined and deleted successfully.

#3 Dann scanne noch mit Combofix poste das LOg und danach ein HJT-Log.

Gruss Swiss

#4 Hier Combofix-Log:

ComboFix 09-07-03.02 - Greilberger 03.07.2009 23:24.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1022.707 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Name\Desktop\ComboFix.exe
AV: Kaspersky Internet Security *On-access scanning disabled* (Updated) {2C4D4BC6-0793-4956-A9F9-E252435469C0}
FW: Kaspersky Internet Security *disabled* {2C4D4BC6-0793-4956-A9F9-E252435469C0}
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\All Users\Startmenü\Programme\Internet Explorer.lnk
c:\programme\IEToolbar
c:\windows\aptt85451.exe
c:\windows\ktreo1133.exe
c:\windows\system32\drivers\SKYNETrrqjwqvp.sys
c:\windows\system32\SKYNETkdbotvvr.dll
c:\windows\system32\SKYNEToyidulck.dat
c:\windows\system32\SKYNETqoxujcos.dat
c:\windows\system32\SKYNETrrmydlkg.dll

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_SKYNETmvkyavsb


((((((((((((((((((((((( Dateien erstellt von 2009-06-03 bis 2009-07-03 ))))))))))))))))))))))))))))))
.

2009-07-03 20:28 . 2009-07-03 20:28 -------- d-----w- c:\dokumente und einstellungen\Name\Anwendungsdaten\Malwarebytes
2009-07-03 20:27 . 2009-06-17 09:27 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-07-03 20:27 . 2009-07-03 20:27 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-07-03 20:27 . 2009-07-03 20:27 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2009-07-03 20:27 . 2009-06-17 09:27 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-07-03 19:22 . 2009-07-03 19:25 -------- d-----w- c:\programme\Trojancheck 6
2009-07-02 21:24 . 2009-07-02 21:25 -------- dc-h--w- c:\windows\ie8
2009-07-02 20:45 . 2009-07-02 20:46 -------- d-----w- c:\dokumente und einstellungen\Name\.housecall6.6
2009-07-02 18:49 . 2009-07-02 22:36 -------- d-----w- c:\windows\BDOSCAN8
2009-07-02 18:20 . 2009-07-02 18:20 -------- d-----w- c:\programme\AutostartAdministrator
2009-06-30 19:46 . 2009-06-30 19:46 -------- d-sh--w- c:\dokumente und einstellungen\LocalService\UserData
2009-06-30 19:46 . 2009-06-30 19:46 -------- d-sh--w- c:\dokumente und einstellungen\LocalService\PrivacIE
2009-06-30 19:46 . 2009-06-30 19:46 -------- d-sh--w- c:\dokumente und einstellungen\LocalService\IECompatCache
2009-06-30 19:44 . 2009-06-30 19:44 -------- d-sh--w- c:\dokumente und einstellungen\LocalService\IETldCache
2009-06-30 19:44 . 2009-06-30 19:44 -------- d-----r- c:\dokumente und einstellungen\LocalService\Favoriten
2009-06-28 10:27 . 2009-06-28 10:27 -------- d-sh--w- c:\windows\system32\config\systemprofile\IETldCache
2009-06-28 10:14 . 2009-06-28 10:14 -------- d--h--r- C:\MSOCache
2009-06-28 09:27 . 2009-06-28 09:49 -------- d-----w- c:\programme\MP3Gain
2009-06-22 20:52 . 2009-06-22 20:54 -------- d-----w- c:\windows\system32\Adobe
2009-06-17 19:53 . 2009-06-17 19:53 -------- d-sh--w- c:\dokumente und einstellungen\Name\IECompatCache
2009-06-17 19:51 . 2009-06-17 19:51 -------- d-sh--w- c:\dokumente und einstellungen\Name\PrivacIE
2009-06-17 19:48 . 2009-06-17 19:48 -------- d-sh--w- c:\dokumente und einstellungen\Name\IETldCache
2009-06-17 19:46 . 2009-07-02 18:15 -------- d-----w- c:\windows\ie8updates
2009-06-17 19:39 . 2009-04-30 21:13 12800 -c----w- c:\windows\system32\dllcache\xpshims.dll
2009-06-17 19:39 . 2009-04-30 21:12 246272 -c----w- c:\windows\system32\dllcache\ieproxy.dll
2009-06-17 19:37 . 2009-06-02 10:12 102912 -c----w- c:\windows\system32\dllcache\iecompat.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-07-03 21:36 . 2009-01-12 18:09 30426400 --sha-w- c:\windows\system32\drivers\fidbox.dat
2009-07-03 21:35 . 2009-01-12 18:09 1339680 --sha-w- c:\windows\system32\drivers\fidbox2.dat
2009-07-03 21:34 . 2009-01-12 18:09 420956 --sha-w- c:\windows\system32\drivers\fidbox.idx
2009-07-03 21:34 . 2009-01-12 18:09 131816 --sha-w- c:\windows\system32\drivers\fidbox2.idx
2009-07-03 21:28 . 2001-08-18 12:00 91608 ----a-w- c:\windows\system32\perfc007.dat
2009-07-03 21:28 . 2001-08-18 12:00 474782 ----a-w- c:\windows\system32\perfh007.dat
2009-07-03 20:49 . 2009-01-12 18:09 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2009-06-28 10:27 . 2009-01-12 19:43 -------- d-----w- c:\dokumente und einstellungen\Name\Anwendungsdaten\Winamp
2009-06-20 22:32 . 2009-03-05 17:34 891096 ----a-w- c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
2009-05-30 16:10 . 2009-01-05 17:28 119896 ----a-w- c:\dokumente und einstellungen\Name\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-05-30 12:23 . 2009-05-30 11:55 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2009-05-30 12:21 . 2009-03-05 17:34 -------- d-----w- c:\programme\MSBuild
2009-05-20 17:08 . 2009-01-12 18:09 94643 ----a-w- c:\windows\system32\drivers\klick.dat
2009-05-20 17:08 . 2009-01-12 18:09 105395 ----a-w- c:\windows\system32\drivers\klin.dat
2009-05-16 06:40 . 2009-01-15 16:45 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\ZoomBrowser
2009-05-13 05:02 . 2004-08-03 22:57 915456 ----a-w- c:\windows\system32\wininet.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"itype"="c:\programme\Microsoft IntelliType Pro\itype.exe" [2006-11-22 813912]
"IntelliPoint"="c:\programme\Microsoft IntelliPoint\ipoint.exe" [2006-11-22 842584]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-09-17 13574144]
"NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]
"Omnipage"="c:\programme\ScanSoft\OmniPageSE\opware32.exe" [2002-06-03 49152]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-09-17 86016]
"PinnacleDriverCheck"="c:\windows\system32\\PSDrvCheck.exe" [2004-03-10 406016]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2008-03-28 413696]
"SW20"="c:\windows\system32\sw20.exe" [2006-05-18 208896]
"SW24"="c:\windows\system32\sw24.exe" [2006-05-17 69632]
"AVP"="c:\programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" [2007-06-26 218376]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2008-09-17 1657376]
"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.EXE [2008-09-30 16864768]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^HP Digital Imaging Monitor.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\HP Digital Imaging Monitor.lnk
backup=c:\windows\pss\HP Digital Imaging Monitor.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^HP Image Zone Schnellstart.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\HP Image Zone Schnellstart.lnk
backup=c:\windows\pss\HP Image Zone Schnellstart.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Pinnacle\\Studio 10\\programs\\RM.exe"=
"c:\\Programme\\Pinnacle\\Studio 10\\programs\\Studio.exe"=
"c:\\Programme\\Pinnacle\\Studio 10\\programs\\PMSRegisterFile.exe"=
"c:\\Programme\\Pinnacle\\Studio 10\\programs\\umi.exe"=
"c:\\Programme\\Sony Ericsson\\Sony Ericsson Media Manager\\MediaManager.exe"=
"c:\\Programme\\Shareaza\\Shareaza.exe"=
"c:\\Programme\\Kaspersky Lab\\Kaspersky Internet Security 7.0\\avp.exe"=

R0 xfilt;VIA SATA IDE Hot-plug Driver;c:\windows\system32\drivers\xfilt.sys [08.01.2009 22:05 17920]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [04.04.2007 15:58 24344]
S2 AdobeActiveFileMonitor5.0Alerter;Adobe Active File Monitor V5 AdobeActiveFileMonitor5.0Alerter;c:\windows\TEMP\nfvoeqmbdf.exe service --> c:\windows\TEMP\nfvoeqmbdf.exe service [?]
S3 SDTHelper;Helper driver for SDT-Tool;d:\!ralph\Tool's\Security\radix_installer1008\SDTHLPR.sys [03.07.2009 21:29 13385]
S3 SetupNTGLM7X;SetupNTGLM7X;\??\f:\ntglm7x.sys --> f:\NTGLM7X.sys [?]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.at/
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~4\OFFICE12\EXCEL.EXE/3000
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - hxxp://www.bitdefender.de/scan_de/scan8/oscan8.cab
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-07-03 23:36
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1417001333-1220945662-839522115-1003\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"cd042efbbd7f7af1647644e76e06692b"=hex:2e,e8,e1,00,eb,16,2b,de,92,dc,50,73,5b,
87,27,d5,e2,63,26,f1,3f,c8,ff,68,0c,c3,11,e7,1a,7d,e1,ab,e2,63,26,f1,3f,c8,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"bca643cdc5c2726b20d2ecedcc62c59b"=hex:6a,9c,d6,61,af,45,84,18,6c,d8,cf,59,17,
06,de,78,6a,9c,d6,61,af,45,84,18,71,65,5f,77,7c,b6,b5,68,6a,9c,d6,61,af,45,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"2c81e34222e8052573023a60d06dd016"=hex:ff,7c,85,e0,43,d4,0e,fe,21,b0,f6,9b,ec,
e3,29,b6,ff,7c,85,e0,43,d4,0e,fe,50,0a,b6,a4,7e,f9,33,88,ff,7c,85,e0,43,d4,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"2582ae41fb52324423be06337561aa48"=hex:86,8c,21,01,be,91,eb,e7,42,bb,ec,4c,34,
a6,b2,6f,86,8c,21,01,be,91,eb,e7,ec,35,ef,66,79,58,3b,26,86,8c,21,01,be,91,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"caaeda5fd7a9ed7697d9686d4b818472"=hex:cd,44,cd,b9,a6,33,6c,cd,b8,bd,bf,a7,13,
57,64,50,f5,1d,4d,73,a8,13,5c,05,b5,b7,cb,00,8b,b8,6f,ac,f5,1d,4d,73,a8,13,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"a4a1bcf2cc2b8bc3716b74b2b4522f5d"=hex:df,20,58,62,78,6b,cf,c8,60,c5,7c,03,02,
30,b4,29,df,20,58,62,78,6b,cf,c8,7c,1d,2d,dd,00,5d,9b,b6,df,20,58,62,78,6b,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"4d370831d2c43cd13623e232fed27b7b"=hex:fb,a7,78,e6,12,2f,9a,ea,e0,6b,4c,54,d5,
9c,b3,8f,fb,a7,78,e6,12,2f,9a,ea,02,8f,9a,fb,27,8d,bb,ba,fb,a7,78,e6,12,2f,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"1d68fe701cdea33e477eb204b76f993d"=hex:01,3a,48,fc,e8,04,4a,f1,8d,ef,26,ac,90,
06,82,c8,01,3a,48,fc,e8,04,4a,f1,8a,18,7c,32,88,17,59,d2,01,3a,48,fc,e8,04,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"1fac81b91d8e3c5aa4b0a51804d844a3"=hex:b2,46,9a,e2,1b,fe,1b,94,3c,a0,8d,de,d1,
9d,06,a3,f6,0f,4e,58,98,5b,89,c9,0b,14,ec,66,f5,27,e3,29,f6,0f,4e,58,98,5b,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"f5f62a6129303efb32fbe080bb27835b"=hex:3d,ce,ea,26,2d,45,aa,78,58,b7,de,cb,21,
18,7b,15,3d,ce,ea,26,2d,45,aa,78,f0,85,4c,f3,23,75,3c,13,3d,ce,ea,26,2d,45,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"fd4e2e1a3940b94dceb5a6a021f2e3c6"=hex:e3,0e,66,d5,eb,bc,2f,6b,1e,4c,e4,07,cc,
a3,59,e2,2a,b7,cc,b5,b9,7f,41,e7,77,36,ac,fa,a8,b0,98,a1,2a,b7,cc,b5,b9,7f,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"8a8aec57dd6508a385616fbc86791ec2"=hex:fa,ea,66,7f,d4,3b,6b,70,07,72,52,15,0e,
09,d1,94,6c,43,2d,1e,aa,22,2f,9c,46,4a,8b,72,83,51,ab,80,6c,43,2d,1e,aa,22,\
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(1100)
c:\programme\Kaspersky Lab\Kaspersky Internet Security 7.0\miscr3.dll
c:\windows\system32\klogon.dll

- - - - - - - > 'lsass.exe'(1160)
c:\programme\Kaspersky Lab\Kaspersky Internet Security 7.0\dnsq.dll
c:\programme\Kaspersky Lab\Kaspersky Internet Security 7.0\miscr3.dll

- - - - - - - > 'explorer.exe'(520)
c:\programme\ScanSoft\OmniPageSE\ophook32.dll
c:\programme\Kaspersky Lab\Kaspersky Internet Security 7.0\miscr3.dll
c:\programme\Kaspersky Lab\Kaspersky Internet Security 7.0\scrchpg.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe
c:\windows\system32\rundll32.exe
c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\HPZipm12.exe
c:\programme\Pinnacle\Shared Files\Programs\MediaServer\PMSHost.exe
c:\programme\Canon\CAL\CALMAIN.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-07-03 23:43 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-07-03 21:43

Vor Suchlauf: 5 Verzeichnis(se), 38.038.786.048 Bytes frei
Nach Suchlauf: 5 Verzeichnis(se), 37.889.331.200 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect /usepmtimer /noguiboot

243

#5 Und das HJT-Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:55:04, on 03.07.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe
C:\Programme\Microsoft IntelliType Pro\itype.exe
C:\Programme\Microsoft IntelliPoint\ipoint.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
c:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe
C:\Programme\Canon\CAL\CALMAIN.exe
C:\WINDOWS\explorer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
D:\!Ralph\Tool's\Security\Protectus\HiJackThis\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [itype] "C:\Programme\Microsoft IntelliType Pro\itype.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\\PSDrvCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SW20] C:\WINDOWS\system32\sw20.exe
O4 - HKLM\..\Run: [SW24] C:\WINDOWS\system32\sw24.exe
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~4\OFFICE12\EXCEL.EXE/3000
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/3.0.0.0/srl_bin/sysreqlab3.cab
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://housecall65.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O16 - DPF: {4871A87A-BFDD-4106-8153-FFDE2BAC2967} (DLM Control) - http://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.4.5.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.de/scan_de/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1231177889265
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - http://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Adobe Active File Monitor V5 (AdobeActiveFileMonitor5.0) - Unknown owner - C:\Programme\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe
O23 - Service: Adobe Active File Monitor V5 AdobeActiveFileMonitor5.0Alerter (AdobeActiveFileMonitor5.0Alerter) - Unknown owner - C:\WINDOWS\TEMP\nfvoeqmbdf.exe (file missing)
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - c:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

--
End of file - 6684 bytes

#6 >>
Start - Ausführen - gb ein: regedit
Navigiere zu:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"UpdatesDisableNotify"=dword:00000001 - in 0 ändern
rechtsklick auf den Eintrag auf UpdatesDisableNotify
die 1 wegklicken und 0 reinschreiben, dann abspeichern

das gleiche mit:
"AntiVirusDisableNotify"=dword:00000001 - in 0 ändern

>>
http://www.gmer.net/#files
Starte gmer und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. ist dieser beendet, wähle Copy und füge den Bericht ein.

>>
ServiceFilter
http://virus-protect.org/artikel/tools/ServiceFilter.zip

- entzippen
- doppelklick auf die datei ServiceFilter.vbs
- versions-nummer bestätigen
- scannen
- öffnen von wordpad oder editor erlauben
- POST_THIS.TXT abkopieren

>>
Lade Dir Registry Search by Bobbi Flekman

und doppelklicken, um zu starten.
in das Feld: "Enter search strings" (reinschreiben oder reinkopieren)

SKYNET

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

>>
Mach ein Onlinescan mit Bitdefender und poste das Log:
http://virus-protect.org/artikel/tools/bitdefender.html

gRUSS SWISS

#7 So jetzt das GMER-Logfile, ist eine ganze Menge.
Zum einfügen zu groß, darum als Anhang.

#8 ServiceFilter Log:

ServiceFilter 1.1
by rand1038

Microsoft Windows XP Professional
Version: 5.1.2600 Service Pack 3
Jul 5, 2009 10:42:58


---> Begin Service Listing <---

Unknown Service # 1
Service Name: AdobeActiveFileMonitor5.0
Display Name: Adobe Active File Monitor V5
Start Mode: Auto
Start Name: LocalSystem
Description: Verfolgt Dateien, die von Adobe Photoshop Elements verwaltet ...
Service Type: Own Process
Path: c:\programme\adobe\photoshop elements 5.0\photoshopelementsfileagent.exe
State: Running
Process ID: 792
Started: Wahr
Exit Code: 0
Accept Pause: Wahr
Accept Stop: Wahr

Unknown Service # 2
Service Name: AdobeActiveFileMonitor5.0Alerter
Display Name: Adobe Active File Monitor V5 AdobeActiveFileMonitor5.0Alerter
Start Mode: Auto
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: c:\windows\temp\nfvoeqmbdf.exe service
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service #3
Service Name: aspnet_state
Display Name: ASP.NET State Service
Start Mode: Manual
Start Name: NT AUTHORITY\NetworkService
Description: Provides support for out-of-process session states for ASP.NET. If this service is stopped, ...
Service Type: Own Process
Path: c:\windows\microsoft.net\framework\v2.0.50727\aspnet_state.exe
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 4
Service Name: Autodesk Licensing Service
Display Name: Autodesk Licensing Service
Start Mode: Manual
Start Name: LocalSystem
Description: Anchor service for Autodesk products licensed with ...
Service Type: Own Process
Path: "c:\programme\gemeinsame dateien\autodesk shared\service\adskscsrv.exe"
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 5
Service Name: AVP
Display Name: Kaspersky Internet Security 7.0
Start Mode: Auto
Start Name: LocalSystem
Description: Bietet Schutz vor Computerviren, Spionageprogrammen, Hackerangriffen, Cyberkriminalität und ...
Service Type: Own Process
Path: "c:\programme\kaspersky lab\kaspersky internet security 7.0\avp.exe" -r
State: Running
Process ID: 880
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 6
Service Name: CCALib8
Display Name: Canon Camera Access Library 8
Start Mode: Auto
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: c:\programme\canon\cal\calmain.exe
State: Running
Process ID: 688
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service # 7
Service Name: clr_optimization_v2.0.50727_32
Display Name: .NET Runtime Optimization Service v2.0.50727_X86
Start Mode: Manual
Start Name: LocalSystem
Description: Microsoft .NET Framework ...
Service Type: Own Process
Path: c:\windows\microsoft.net\framework\v2.0.50727\mscorsvw.exe
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 8
Service Name: Dot3svc
Display Name: Automatische Konfiguration (verkabelt)
Start Mode: Manual
Start Name: LocalSystem
Description: Dieser Dienst führt eine IEEE 802.1X-Authentifizierung auf Ethernet-Schnittstellen ...
Service Type: Share Process
Path: c:\windows\system32\svchost.exe -k dot3svc
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 9
Service Name: EapHost
Display Name: Extensible Authentication-Protokolldienst
Start Mode: Manual
Start Name: localSystem
Description: Stellt Windows-Clients den Extensible Authentication-Protokolldienst ...
Service Type: Share Process
Path: c:\windows\system32\svchost.exe -k eapsvcs
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 10
Service Name: FontCache3.0.0.0
Display Name: Windows Presentation Foundation Font Cache 3.0.0.0
Start Mode: Manual
Start Name: NT AUTHORITY\LocalService
Description: Optimizes performance of Windows Presentation Foundation (WPF) applications by caching commonly ...
Service Type: Own Process
Path: c:\windows\microsoft.net\framework\v3.0\wpf\presentationfontcache.exe
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 11
Service Name: hkmsvc
Display Name: Integritätsschlüssel- und Zertifikatverwaltungsdienst
Start Mode: Manual
Start Name: localSystem
Description: Verwaltet Integritätszertifikate und -schlüssel (die von NAP verwendet ...
Service Type: Share Process
Path: c:\windows\system32\svchost.exe -k netsvcs
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 12
Service Name: idsvc
Display Name: Windows CardSpace
Start Mode: Manual
Start Name: LocalSystem
Description: Securely enables the creation, management, and disclosure of digital ...
Service Type: Share Process
Path: "c:\windows\microsoft.net\framework\v3.0\windows communication foundation\infocard.exe"
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service #13
Service Name: MDM
Display Name: Machine Debug Manager
Start Mode: Auto
Start Name: LocalSystem
Description: Unterstützt lokales und remotes Debuggen für Visual Studio- und Skript-Debugger. Wenn dieser ...
Service Type: Own Process
Path: "c:\programme\gemeinsame dateien\microsoft shared\vs7debug\mdm.exe"
State: Running
Process ID: 1040
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service # 14
Service Name: MSSQL$PINNACLESYS
Display Name: MSSQL$PINNACLESYS
Start Mode: Auto
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: "c:\programme\pinnacle\mediaserver\microsoft sql server\mssql$pinnaclesys\binn\sqlservr.exe" -spinnaclesys
State: Running
Process ID: 1072
Started: Wahr
Exit Code: 0
Accept Pause: Wahr
Accept Stop: Wahr

Unknown Service # 15
Service Name: MSSQLServerADHelper
Display Name: MSSQLServerADHelper
Start Mode: Manual
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: "c:\programme\microsoft sql server\80\tools\binn\sqladhlp.exe"
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 16
Service Name: napagent
Display Name: NAP-Agent (Network Access Protection)
Start Mode: Manual
Start Name: localSystem
Description: Ermöglicht Windows-Clients die Teilnahme am Netzwerkzugriffsschutz (Network Access Protection, ...
Service Type: Share Process
Path: c:\windows\system32\svchost.exe -k netsvcs
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 17
Service Name: NetTcpPortSharing
Display Name: Net.Tcp Port Sharing Service
Start Mode: Disabled
Start Name: NT AUTHORITY\LocalService
Description: Provides ability to share TCP ports over the net.tcp ...
Service Type: Share Process
Path: "c:\windows\microsoft.net\framework\v3.0\windows communication foundation\smsvchost.exe"
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service #18
Service Name: ose
Display Name: Office Source Engine
Start Mode: Manual
Start Name: LocalSystem
Description: Saves installation files used for updates and repairs and is required for the downloading of Setup ...
Service Type: Own Process
Path: "c:\programme\gemeinsame dateien\microsoft shared\source engine\ose.exe"
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 19
Service Name: PinnacleSys.MediaServer
Display Name: Pinnacle Systems Media Service
Start Mode: Auto
Start Name: LocalSystem
Description: Provides Media Database and Media related services like Transcoding, Watchfolder, ... to Pinnacle ...
Service Type: Own Process
Path: c:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe
State: Running
Process ID: 2176
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service # 20
Service Name: SQLAgent$PINNACLESYS
Display Name: SQLAgent$PINNACLESYS
Start Mode: Manual
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: "c:\programme\pinnacle\mediaserver\microsoft sql server\mssql$pinnaclesys\binn\sqlagent.exe" -i pinnaclesys
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service #21
Service Name: SwPrv
Display Name: MS Software Shadow Copy Provider
Start Mode: Manual
Start Name: LocalSystem
Description: Verwaltet Software-basierte Schattenkopien des Volumeschattenkopie-Dienstes. Software-basierte ...
Service Type: Own Process
Path: c:\windows\system32\dllhost.exe /processid:{b130a5af-4c08-4785-9f65-76e4b6f99ff1}
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 22
Service Name: WudfSvc
Display Name: Windows Driver Foundation - User-mode Driver Framework
Start Mode: Manual
Start Name: LocalSystem
Description: Manages user-mode driver host ...
Service Type: Share Process
Path: c:\windows\system32\svchost.exe -k wudfservicegroup
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

---> End Service Listing <---

There are 102 Win32 services on this machine.
22 were unrecognized.

Script Execution Time: 0,34375 seconds.

#9 Registry Search Log-File:

Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.6.0

; Results at 05.07.2009 10:47:54 for strings:
; 'skynet'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


; End Of The Log...

#10 Nach dem Scan mit Bitdefender Log posten, danach:

>>
Combofix entfernen:
Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK"
(oder, wenn es nicht funktioniert: C:\QooBox löschen)

>>
Wie siehts aus mit den Fehlermeldungen und Kaspersky?

Gruss Swiss[/u]

#11 Bit Defender-Log:

BitDefender Online Scanner

Scan report generated at: Sun, Jul 05, 2009 - 13:59:24

Scan path: A:\;C:\;D:\;E:\;F:\;G:\;

Statistics

Time
03:03:31

Files
901315

Folders
10370

Boot Sectors
0

Archives
6715

Packed Files
95425




Results

Identified Viruses
1

Infected Files
2

Suspect Files
0

Warnings
0

Disinfected
0

Deleted Files
2




Engines Info

Virus Definitions
3654113

Engine build
AVCORE v1.7 (build 8314.19) (i386) (Sep 29 2008 17:19:14)

Scan plugins
17

Archive plugins
45

Unpack plugins
7

E-mail plugins
6

System plugins
4




Scan Settings

First Action
Disinfect

Second Action
Delete

Heuristics
Yes

Enable Warnings
Yes

Scanned Extensions
*;

Exclude Extensions


Scan Emails
Yes

Scan Archives
Yes

Scan Packed
Yes

Scan Files
Yes

Scan Boot
Yes




Scanned File
Status

C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\SKYNETrrqjwqvp.sys.vir
Infected with: Gen:Rootkit.Heur.4018E7A6A6

C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\SKYNETrrqjwqvp.sys.vir
Disinfection failed

C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\SKYNETrrqjwqvp.sys.vir
Deleted

C:\System Volume Information\_restore{BF0ACA3B-6BA2-4CEA-A3C6-2FF13B0FC91E}\RP139\A0027251.sys
Infected with: Gen:Rootkit.Heur.4018E7A6A6

C:\System Volume Information\_restore{BF0ACA3B-6BA2-4CEA-A3C6-2FF13B0FC91E}\RP139\A0027251.sys
Disinfection failed

C:\System Volume Information\_restore{BF0ACA3B-6BA2-4CEA-A3C6-2FF13B0FC91E}\RP139\A0027251.sys

#12 Hallo,

Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK" - ging nicht
(oder, wenn es nicht funktioniert: C:\QooBox löschen) - hat funktioniert

Die Fehlermeldungen waren nach eigentlich nach dem scan mit Malewarebytes schon weg. Auch Kaspersky funktionierte danach eigentlich wieder ohne Probleme. Anscheinend hat aber der Onlinescan mit BitDefender noch immer etwas gefunden?!?!?

Gruß
Siggi666

#13 Ja das hast du ja nun gelöscht: c:/Qoobox

Das andere ist lediglich noch in der Systemwiederherstellung gefangen. Deaktivier diese danach aktivier sie wieder. Dann sind auch diese Einträge weg.

Gruss und happy surfing Swiss

#14 Hallo Swiss,

Habe die Systemwiederherstellung deaktiviert und dannach wieder aktiviert. Hoffe jetzt ist mein System wieder sauber. Werd jetzt noch mein Kaspersky verlängern da die Lizenz jetzt bald ausläuft. Wobei sich aber mir die Frage stellt wie sicher ist Kaspersky und Co?!?!?!

Aber jedenfalls mal recht herzlichen Dank an dich und euer Forum, war jetzt schon das zweite mal das mir euer Rat perfekt und promt geholfen hat. Man merkt das hier Experten am Werk sind, DANKE!!!

Gruß Siggi666

#15 Hallo, du kannst mit deiner jetzigen lizenz auch schon mal ein upgrade auf 2010 machen.
http://www.kaspersky.com/de/anti-virus
Ein programm kann niemals alles an Viren erkennen, da ist auch die Vorsicht der User gefragt.
Hier noch ein paar Tipps für die Konfiguration des PC's:
http://www.paules-pc-forum.de/forum/4-pc-sicherheit/114329-paules-10-empfehlungen-zum-sicheren-surfen-im-internet.html