Bitte um logfile Analyse

#0
15.09.2009, 09:51
...neu hier

Beiträge: 7
#1 Hallo liebes Protecus.de-Team,

hatte einige Viren und Würmer auf'n Rechner. Habe schon den CCleaner und Malwarebytes' Anti-Malware benutzt. Nun bitte ich Euch einen Blick auf meine Logfiles (von Malware und HighJackThis mit Uninstall-List) zu werfen! Besten Dank schon mal dafür!


Malware-Logfile:

Malwarebytes' Anti-Malware 1.41
Datenbank Version: 2798
Windows 5.1.2600 Service Pack 3, v.3311

15.09.2009 08:24:45
mbam-log-2009-09-15 (08-24-45).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 97725
Laufzeit: 8 minute(s), 56 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


---------------------------------------------------------------------------
---------------------------------------------------------------------------


HighJackThis-Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:35:03, on 15.09.2009
Platform: Windows XP SP3, v.3311 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TuneUpUtilities2006\WinStylerThemeSvc.exe
C:\Programme\COMODO\Firewall\cmdagent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\COMODO\Firewall\cfp.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Nokia\MPlatform\NokiaMServer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\ICQ6Toolbar\ICQ Service.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.2.4204.1700\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Programme\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Programme\COMODO\Firewall\cfp.exe" -h
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NokiaMServer] C:\Programme\Gemeinsame Dateien\Nokia\MPlatform\NokiaMServer /watchfiles
O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Programme\COMODO\Firewall\cfp.exe" -h
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [swg] "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6.5\ICQ.exe" silent
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [rundll32.exe] rundll32.exe "C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia\Common\7fb5c00a1.dll"" (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?
O4 - Global Startup: Nokia Ovi Suite.lnk = C:\Programme\Nokia\Ovi\Suite\RunLauncher.exe
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1217704353142
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs:
O21 - SSODL: msgdscinfo - {42532A31-5D50-6F4D-10B9-0333B767D7A5} - (no file)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - Unknown owner - C:\Programme\COMODO\Firewall\cmdagent.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\Nokia\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUpUtilities2006\WinStylerThemeSvc.exe
O23 - Service: TwonkyMedia - PacketVideo - C:\Programme\Nokia\Nokia Home Media Server\Media Server\TwonkyMedia.exe
O24 - Desktop Component 0: (no name) - http://f232.mail.yahoo.com/ya/download?mid=1%5f322167%5fADq9ktkAAD%2bUScK20gEqoQHnOhg&pid=3&fid=Inbox&inline=1

--
End of file - 8909 bytes

--------------------------------------------------------------------------
--------------------------------------------------------------------------

Uninstall-List:

ACDSee 8
Adobe Acrobat 7.0.5 Professional - English, Français, Deutsch
Adobe Flash Player 10 Plugin
Adobe Flash Player ActiveX
Adobe Shockwave Player
Avira AntiVir Personal - Free Antivirus
CDex extraction audio
COMODO Firewall Pro
Corel Paint Shop Pro X
Full Tilt Poker
Google Toolbar for Internet Explorer
Google Toolbar for Internet Explorer
Grand Theft Auto Vice City
HijackThis 2.0.2
ICQ Toolbar
Malwarebytes' Anti-Malware
Microsoft .NET Framework 2.0 Service Pack 1
Microsoft .NET Framework 2.0 Service Pack 1 Language Pack - DEU
Microsoft .NET Framework 3.0 Service Pack 1
Microsoft .NET Framework 3.0 Service Pack 1 Language Pack - DEU
Microsoft .NET Framework 3.5
Microsoft .NET Framework 3.5
Microsoft .NET Framework 3.5 Language Pack - deu
Microsoft .NET Framework 3.5 Language Pack - DEU
Microsoft Compression Client Pack 1.0 for Windows XP
Microsoft Kernel-Mode Driver Framework Feature Pack 1.5
Microsoft Office Professional Edition 2003
Microsoft User-Mode Driver Framework Feature Pack 1.0
Microsoft Visual C++ 2005 Redistributable
Mozilla Firefox (3.5.3)
MSXML 6.0 Parser (KB933579)
Nero 7 Premium
Nokia Connectivity Cable Driver
Nokia Download!
Nokia Flashing Cable Driver
Nokia Home Media Server
Nokia Map Loader
Nokia Ovi Application Installer
Nokia Ovi Application Installer 6.85.3008
Nokia Ovi Content Copier
Nokia Ovi Content Copier 6.85.3008
Nokia Ovi One Touch Access
Nokia Ovi One Touch Access 6.85.3008
Nokia Ovi Suite
Nokia Ovi System Utilities
Nokia Ovi System Utilities 6.85.3008
Nokia Photos
Nokia Software Updater
Norton PartitionMagic 8.0
PC Connectivity Solution
PowerDVD
Skype web features
Skype™ 4.1
Software Menü
Total Commander 6.54a
TransportGigant
TuneUp Utilities 2006
TwonkyMedia
VideoLAN VLC media player 0.8.2
Winamp (remove only)
Windows Internet Explorer 8
Windows Media Format 11 runtime
Windows Media Format 11 runtime
Windows Media Player 11
Windows Media Player 11
Windows XP Service Pack 3
Windows-Treiberpaket - Nokia pccsmcfd (10/12/2007 6.85.4.0)
WinRAR Archivierer
XML Paper Specification Shared Components Language Pack 1.0
Seitenanfang Seitenende
15.09.2009, 09:55
...neu hier

Themenstarter

Beiträge: 7
#2 Hab auch noch ne GMER-List, die ist allerdings sehr lang....deshalb als Anhang ;-)

Anhang: GMER 1.doc
Seitenanfang Seitenende
15.09.2009, 10:12
Moderator

Beiträge: 7795
#3 Bitte beachte, das du nur eine Betaversion des Servicepacks 3 hast und du so nur bedingt alle noetigen Windowsupdates erhaelst. Ich weiss nicht in wie weit man das SP3beta nachtraeglich noch deinstallieren und durch die Finale ersetzen kann...

Nutze bitte Combofix nach Anleitung und poste den Report

http://board.protecus.de/t23187.htm#301850
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
15.09.2009, 10:58
...neu hier

Themenstarter

Beiträge: 7
#4 Hallo Ralf,

danke für deine schnelle Anwtort. Hier der ComboFix-Log und noch mal nen neueren Malware-Log:

ComboFix 09-09-14.02 - Daniel 15.09.2009 10:39.1.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.511.207 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Daniel\Desktop\test.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
FW: COMODO Firewall *enabled* {043803A3-4F86-4ef6-AFC5-F6E02A79969B}

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\Daniel\Anwendungsdaten\Microsoft\Installer\{916800EA-DDA2-4C5E-96F2-811F3F7C4258}\Icon916800EA.exe
c:\dokumente und einstellungen\Daniel\Anwendungsdaten\Microsoft\Installer\{BAC3B914-9A96-4097-A5C7-7BF0CAD679D3}\IconBAC3B914.exe
c:\dokumente und einstellungen\Daniel\Anwendungsdaten\Microsoft\Installer\{BAC3B914-9A96-4097-A5C7-7BF0CAD679D3}\IconBAC3B9141.exe
c:\windows\Installer\279570.msp
c:\windows\Installer\279575.msp
c:\windows\Installer\27957a.msp
c:\windows\Installer\7c576.msp
c:\windows\Installer\f0b79.msp
c:\windows\Installer\f0b7e.msp
c:\windows\sdfixwcs.dll
c:\windows\system32\temp#01.exe

.
((((((((((((((((((((((( Dateien erstellt von 2009-08-15 bis 2009-09-15 ))))))))))))))))))))))))))))))
.

2009-09-15 07:33 . 2009-09-15 07:33 -------- d-----w- c:\programme\Trend Micro
2009-09-15 06:14 . 2009-09-10 12:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-09-15 06:14 . 2009-09-10 12:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-09-15 06:14 . 2009-09-15 08:16 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2009-09-11 07:02 . 2009-09-11 07:02 -------- d-----w- c:\dokumente und einstellungen\Daniel\Anwendungsdaten\Malwarebytes
2009-09-11 07:01 . 2009-09-11 07:01 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-09-11 06:51 . 2009-09-11 06:51 -------- d-sh--w- c:\dokumente und einstellungen\Daniel\IECompatCache
2009-09-11 06:50 . 2009-09-11 06:50 -------- d-sh--w- c:\dokumente und einstellungen\Daniel\PrivacIE
2009-09-11 06:48 . 2009-09-11 06:48 -------- d-sh--w- c:\dokumente und einstellungen\Daniel\IETldCache
2009-09-11 06:40 . 2009-09-11 06:43 -------- dc-h--w- c:\windows\ie8
2009-09-09 10:59 . 2009-09-09 10:59 56 ---ha-w- c:\windows\system32\ezsidmv.dat
2009-09-09 10:59 . 2009-09-15 06:04 -------- d-----w- c:\dokumente und einstellungen\Daniel\Anwendungsdaten\skypePM
2009-09-09 10:55 . 2009-09-15 07:56 -------- d-----w- c:\dokumente und einstellungen\Daniel\Anwendungsdaten\Skype
2009-09-09 10:54 . 2009-09-09 10:54 -------- d-----w- c:\programme\Gemeinsame Dateien\Skype
2009-09-09 10:54 . 2009-09-09 10:54 -------- d-----r- c:\programme\Skype
2009-09-09 10:53 . 2009-09-09 10:54 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype
2009-09-08 14:32 . 2009-09-08 14:32 -------- d-----w- c:\programme\ICQ6Toolbar
2009-09-08 14:31 . 2009-09-08 14:31 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\ICQ
2009-09-08 14:30 . 2009-09-08 14:34 -------- d-----w- c:\dokumente und einstellungen\Daniel\Anwendungsdaten\ICQ

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-09-13 13:44 . 2008-08-11 20:04 -------- d-----w- c:\programme\Full Tilt Poker
2009-09-11 08:39 . 2008-10-13 19:06 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\tmzibcvi
2009-09-08 15:48 . 2009-09-08 15:48 160899 --sha-r- c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\dziwu.dll
2009-09-08 14:31 . 2008-07-21 21:10 -------- d--h--w- c:\programme\InstallShield Installation Information
2009-08-09 08:41 . 2007-02-20 22:38 75096 ----a-w- c:\windows\system32\drivers\avipbb.sys
2009-07-23 19:42 . 2008-07-21 21:02 -------- d-----w- c:\dokumente und einstellungen\Daniel\Anwendungsdaten\Ahead
2008-08-11 20:02 . 2007-03-04 18:49 952 --sha-w- c:\windows\system32\KGyGaAvL.sys
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2006-04-21 94208]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-10-08 68856]
"Skype"="c:\programme\Skype\Phone\Skype.exe" [2009-09-02 25623336]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NokiaMServer"="c:\programme\Gemeinsame Dateien\Nokia\MPlatform\NokiaMServer" [X]
"Acrobat Assistant 7.0"="c:\programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" [2005-09-24 483328]
"NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]
"RemoteControl"="c:\programme\CyberLink\PowerDVD\PDVDServ.exe" [2004-11-02 32768]
"COMODO Firewall Pro"="c:\programme\COMODO\Firewall\cfp.exe" [2009-03-01 1851128]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-02-20 266497]
"COMODO Internet Security"="c:\programme\COMODO\Firewall\cfp.exe" [2009-03-01 1851128]
"Malwarebytes Anti-Malware (reboot)"="c:\programme\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080]
"SoundMan"="SOUNDMAN.EXE" - c:\windows\SOUNDMAN.EXE [2006-06-01 67072]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-02-12 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Acrobat Speed Launcher.lnk - c:\windows\Installer\{AC76BA86-1033-F400-7760-000000000002}\SC_Acrobat.exe [2008-7-21 25214]
Nokia Ovi Suite.lnk - c:\programme\Nokia\Ovi\Suite\RunLauncher.exe [2008-7-25 951600]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoRecentDocsNetHood"= 1 (0x1)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Nokia\\Nokia Home Media Server\\Media Server\\twonkymedia.exe"=
"c:\\Programme\\Nokia\\Nokia Home Media Server\\Media Server\\twonkymediaserver.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"57216:TCP"= 57216:TCP:LiveGlobalization DocumentsPhoto
"49629:TCP"= 49629:TCP:LiveGlobalization MailJava
"11021:UDP"= 11021:UDP:LiveGlobalization PLAIntel
"42630:UDP"= 42630:UDP:LiveGlobalization VisualVisual
"1257:TCP"= 1257:TCP:tidji

R1 cmdGuard;COMODO Firewall Pro Sandbox Driver;c:\windows\system32\drivers\cmdguard.sys [21.02.2007 00:36 110992]
R1 cmdHlp;COMODO Firewall Pro Helper Driver;c:\windows\system32\drivers\cmdhlp.sys [21.02.2007 00:36 24336]
R2 ICQ Service;ICQ Service;c:\programme\ICQ6Toolbar\ICQ Service.exe [08.09.2009 16:32 222456]
S2 baurx;Boot Shell;c:\windows\system32\svchost.exe -k netsvcs [01.06.2006 21:06 14336]
S2 emmziuwg;Universal Windows;c:\windows\system32\svchost.exe -k netsvcs [01.06.2006 21:06 14336]
S2 qvfnrisrk;Support Center;c:\windows\system32\svchost.exe -k netsvcs [01.06.2006 21:06 14336]
S2 rfgatea;Network Universal;c:\windows\system32\svchost.exe -k netsvcs [01.06.2006 21:06 14336]
S2 rlnuo;System Installer;c:\windows\system32\svchost.exe -k netsvcs [01.06.2006 21:06 14336]
S2 TwonkyMedia;TwonkyMedia;c:\programme\Nokia\Nokia Home Media Server\Media Server\TwonkyMedia.exe -serviceversion 0 --> c:\programme\Nokia\Nokia Home Media Server\Media Server\TwonkyMedia.exe -serviceversion 0 [?]
S2 uyvhj;System Support;c:\windows\system32\svchost.exe -k netsvcs [01.06.2006 21:06 14336]
S2 xfrjaz;System Server;c:\windows\system32\svchost.exe -k netsvcs [01.06.2006 21:06 14336]
S2 yisiv;Installer Time;c:\windows\system32\svchost.exe -k netsvcs [01.06.2006 21:06 14336]

--- Andere Dienste/Treiber im Speicher ---

*NewlyCreated* - AUJASNKJ
*Deregistered* - aujasnkj

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
baurx
yisiv
xfrjaz
uyvhj
rfgatea
qvfnrisrk
emmziuwg
rlnuo

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
Inhalt des "geplante Tasks" Ordners

2009-08-07 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUpUtilities2006\SystemOptimizer.exe [2005-08-24 00:29]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.com
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Auswahl in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Auswahl in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: In Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: In vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Verknüpfungsziel in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
FF - ProfilePath - c:\dokumente und einstellungen\Daniel\Anwendungsdaten\Mozilla\Firefox\Profiles\3dju6meu.default\
FF - prefs.js: browser.search.selectedEngine - ICQ Search
FF - prefs.js: browser.startup.homepage - hxxp://start.icq.com/
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&q=
FF - component: c:\programme\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKCU-Run-ICQ - c:\programme\ICQ6.5\ICQ.exe
SSODL-msgdscinfo-{42532A31-5D50-6F4D-10B9-0333B767D7A5} - (no file)



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-09-15 10:47
Windows 5.1.2600 Service Pack 3, v.3311 NTFS

detected NTDLL code modification:
ZwClose, ZwOpenFile

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...


**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet002\Services\baurx]
"ServiceDll"="c:\programme\Internet Explorer\dziwu.dll"
--

[HKEY_LOCAL_MACHINE\System\ControlSet002\Services\emmziuwg]
"ServiceDll"="c:\programme\Movie Maker\dziwu.dll"
--

[HKEY_LOCAL_MACHINE\System\ControlSet002\Services\qvfnrisrk]
"ServiceDll"="c:\programme\Internet Explorer\dziwu.dll"
--

[HKEY_LOCAL_MACHINE\System\ControlSet002\Services\rfgatea]
"ServiceDll"="c:\programme\Internet Explorer\dziwu.dll"

[HKEY_LOCAL_MACHINE\System\ControlSet002\Services\rlnuo]
"ServiceDll"="c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\dziwu.dll"
--

[HKEY_LOCAL_MACHINE\System\ControlSet002\Services\uyvhj]
"ServiceDll"="c:\windows\system32\dziwu.dll"
--

[HKEY_LOCAL_MACHINE\System\ControlSet002\Services\xfrjaz]
"ServiceDll"="c:\windows\system32\dziwu.dll"
--

[HKEY_LOCAL_MACHINE\System\ControlSet002\Services\yisiv]
"ServiceDll"="c:\programme\Movie Maker\dziwu.dll"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h–€|ÿÿÿÿ¤•€|ù•6~*]
"7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(568)
c:\windows\system32\guard32.dll
c:\programme\TuneUpUtilities2006\WinStylerThemeHelper.dll

- - - - - - - > 'lsass.exe'(628)
c:\windows\system32\guard32.dll
c:\programme\TuneUpUtilities2006\WinStylerThemeHelper.dll
.
Zeit der Fertigstellung: 2009-09-15 10:52
ComboFix-quarantined-files.txt 2009-09-15 08:51

Vor Suchlauf: 5 Verzeichnis(se), 10.505.949.184 Bytes frei
Nach Suchlauf: 6 Verzeichnis(se), 10.783.137.792 Bytes frei

Current=2 Default=2 Failed=3 LastKnownGood=4 Sets=1,2,3,4
197 --- E O F --- 2008-12-11 01:01


------------------------------------------------------------------------------------------------------------------------------------------------------

neuerer Malware-Log:

Malwarebytes' Anti-Malware 1.41
Datenbank Version: 2800
Windows 5.1.2600 Service Pack 3, v.3311

15.09.2009 10:27:02
mbam-log-2009-09-15 (10-27-02).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 97722
Laufzeit: 8 minute(s), 48 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
Seitenanfang Seitenende
15.09.2009, 11:35
Moderator

Beiträge: 7795
#5 Pruefe bitte die DAtei c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\dziwu.dll bei Virustotal und poste den Link zum Ergebniss...
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
15.09.2009, 12:51
...neu hier

Themenstarter

Beiträge: 7
#6 erst kam ne Virusmeldung und dann hat es mir das hier angezeigt:

0 bytes size received / Se ha recibido un archivo vacio
Seitenanfang Seitenende
15.09.2009, 12:57
Moderator

Beiträge: 7795
#7 Dann aktualisiere erstmal dein Antivirenprogramm, mache dann einen Komplettscan von laufwerk c: und lasse alle Funde in Quarantaene schieben.
Poste den /die entsprechenden Reporte/Funde...
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
15.09.2009, 20:43
...neu hier

Themenstarter

Beiträge: 7
#8 hier das Ergebnis vom AntiVirScan:


Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '54' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\dziwu.dll
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Conficker.Z.54
[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26003
[WARNUNG] Die Datei konnte nicht gelöscht werden!
[HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK lib durchzuführen.
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49569960.qua' verschoben!
C:\Programme\ACD Systems\ACDSee\8.0\patch.exe
[FUND] Ist das Trojanische Pferd TR/Agent.47104.L
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b23cbda.qua' verschoben!
C:\Programme\hsdmymc\Schei...
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b17cd53.qua' verschoben!
C:\Programme\Internet Explorer\dziwu.dll
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Conficker.I
[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26003
[WARNUNG] Die Datei konnte nicht gelöscht werden!
[HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK lib durchzuführen.
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49488780.qua' verschoben!
C:\System Volume Information\_restore{206E4C2A-7BC7-49A2-9647-1AF1C20BDA82}\RP1\A0000186.dll
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Conficker.Z.53
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4adfceb3.qua' verschoben!
C:\System Volume Information\_restore{206E4C2A-7BC7-49A2-9647-1AF1C20BDA82}\RP1\A0000197.dll
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Conficker.Z.30
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4adfceb8.qua' verschoben!
C:\System Volume Information\_restore{206E4C2A-7BC7-49A2-9647-1AF1C20BDA82}\RP1\A0000202.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Renos.33
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4adfcebb.qua' verschoben!
C:\System Volume Information\_restore{206E4C2A-7BC7-49A2-9647-1AF1C20BDA82}\RP2\A0000494.exe
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4adfcf0d.qua' verschoben!
C:\System Volume Information\_restore{206E4C2A-7BC7-49A2-9647-1AF1C20BDA82}\RP2\A0000554.exe
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4adfcf12.qua' verschoben!
C:\System Volume Information\_restore{206E4C2A-7BC7-49A2-9647-1AF1C20BDA82}\RP4\A0004820.exe
[FUND] Ist das Trojanische Pferd TR/Agent.47104.L
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4adfcf3a.qua' verschoben!
C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\Macromedia\Common\7fb5c00a1.dll
[FUND] Ist das Trojanische Pferd TR/Crypt.FKM.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b11d2d2.qua' verschoben!
Beginne mit der Suche in 'D:\' <DATEN>


Ende des Suchlaufs: Dienstag, 15. September 2009 19:49
Benötigte Zeit: 40:01 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

4926 Verzeichnisse wurden überprüft
159416 Dateien wurden geprüft
11 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
11 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
159403 Dateien ohne Befall
1293 Archive wurden durchsucht
4 Warnungen
11 Hinweise
Seitenanfang Seitenende
15.09.2009, 21:32
Moderator

Beiträge: 7795
#9 Das ist ein Silent Banker:
C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\Macromedia\Common\7fb5c00a1.dll

Der ist extremst boese. Der klaut dir alles an Passwote und Daten, was er in die Finger bekommt.

Im Grunde waere es hier besser den Rechner komplett neu aufzusetzen! Du solltest das ernsthaft in Erwaegung ziehen.

Solltest du das nicht wollen, erstelle ein neuen Combofix report.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
16.09.2009, 08:41
...neu hier

Themenstarter

Beiträge: 7
#10 Das Problem ist nur, dass derjenige, der mir meinen Rechner neu macht gerade im Urlaub ist. Deshalb hier nochmal ein neuer ComboFix Log:

ComboFix 09-09-14.02 - Daniel 16.09.2009 8:14.2.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.511.273 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Daniel\Desktop\test.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
FW: COMODO Firewall *enabled* {043803A3-4F86-4ef6-AFC5-F6E02A79969B}

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\Installer\104179.msp
c:\windows\Installer\10417e.msp
c:\windows\Installer\104183.msp
c:\windows\Installer\104188.msp
c:\windows\Installer\104189.msp
c:\windows\Installer\10418e.msp
c:\windows\Installer\72f02.msp
c:\windows\Installer\72f07.msp

.
((((((((((((((((((((((( Dateien erstellt von 2009-08-16 bis 2009-09-16 ))))))))))))))))))))))))))))))
.

2009-09-15 07:33 . 2009-09-15 07:33 -------- d-----w- c:\programme\Trend Micro
2009-09-15 06:14 . 2009-09-10 12:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-09-15 06:14 . 2009-09-10 12:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-09-15 06:14 . 2009-09-15 08:16 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2009-09-11 07:02 . 2009-09-11 07:02 -------- d-----w- c:\dokumente und einstellungen\Daniel\Anwendungsdaten\Malwarebytes
2009-09-11 07:01 . 2009-09-11 07:01 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-09-11 06:51 . 2009-09-11 06:51 -------- d-sh--w- c:\dokumente und einstellungen\Daniel\IECompatCache
2009-09-11 06:50 . 2009-09-11 06:50 -------- d-sh--w- c:\dokumente und einstellungen\Daniel\PrivacIE
2009-09-11 06:48 . 2009-09-11 06:48 -------- d-sh--w- c:\dokumente und einstellungen\Daniel\IETldCache
2009-09-11 06:40 . 2009-09-11 06:43 -------- dc-h--w- c:\windows\ie8
2009-09-09 10:59 . 2009-09-09 10:59 56 ---ha-w- c:\windows\system32\ezsidmv.dat
2009-09-09 10:59 . 2009-09-15 18:44 -------- d-----w- c:\dokumente und einstellungen\Daniel\Anwendungsdaten\skypePM
2009-09-09 10:55 . 2009-09-16 05:44 -------- d-----w- c:\dokumente und einstellungen\Daniel\Anwendungsdaten\Skype
2009-09-09 10:54 . 2009-09-09 10:54 -------- d-----w- c:\programme\Gemeinsame Dateien\Skype
2009-09-09 10:54 . 2009-09-09 10:54 -------- d-----r- c:\programme\Skype
2009-09-09 10:53 . 2009-09-09 10:54 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype
2009-09-08 14:32 . 2009-09-08 14:32 -------- d-----w- c:\programme\ICQ6Toolbar
2009-09-08 14:31 . 2009-09-08 14:31 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\ICQ
2009-09-08 14:30 . 2009-09-08 14:34 -------- d-----w- c:\dokumente und einstellungen\Daniel\Anwendungsdaten\ICQ

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-09-15 17:20 . 2008-10-13 19:06 -------- d-----w- c:\programme\hsdmymc
2009-09-13 13:44 . 2008-08-11 20:04 -------- d-----w- c:\programme\Full Tilt Poker
2009-09-11 08:39 . 2008-10-13 19:06 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\tmzibcvi
2009-09-08 15:48 . 2009-09-08 15:48 160899 --sha-r- C:\ARK8.tmp
2009-09-08 14:31 . 2008-07-21 21:10 -------- d--h--w- c:\programme\InstallShield Installation Information
2009-08-09 08:41 . 2007-02-20 22:38 75096 ----a-w- c:\windows\system32\drivers\avipbb.sys
2009-07-23 19:42 . 2008-07-21 21:02 -------- d-----w- c:\dokumente und einstellungen\Daniel\Anwendungsdaten\Ahead
2008-08-11 20:02 . 2007-03-04 18:49 952 --sha-w- c:\windows\system32\KGyGaAvL.sys
.

((((((((((((((((((((((((((((( SnapShot@2009-09-15_08.47.26 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-07-11 17:41 . 2009-07-11 17:41 97280 c:\windows\WinSxS\x86_Microsoft.VC80.ATL_1fc8b3b9a1e18e3b_8.0.50727.4053_x-ww_473666fd\ATL80.dll
+ 2009-09-15 10:56 . 2009-09-15 10:56 248832 c:\windows\Installer\104178.msi
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2006-04-21 94208]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-10-08 68856]
"Skype"="c:\programme\Skype\Phone\Skype.exe" [2009-09-02 25623336]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NokiaMServer"="c:\programme\Gemeinsame Dateien\Nokia\MPlatform\NokiaMServer" [X]
"Acrobat Assistant 7.0"="c:\programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" [2005-09-24 483328]
"NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]
"RemoteControl"="c:\programme\CyberLink\PowerDVD\PDVDServ.exe" [2004-11-02 32768]
"COMODO Firewall Pro"="c:\programme\COMODO\Firewall\cfp.exe" [2009-03-01 1851128]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-02-20 266497]
"COMODO Internet Security"="c:\programme\COMODO\Firewall\cfp.exe" [2009-03-01 1851128]
"Malwarebytes Anti-Malware (reboot)"="c:\programme\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080]
"SoundMan"="SOUNDMAN.EXE" - c:\windows\SOUNDMAN.EXE [2006-06-01 67072]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-02-12 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Acrobat Speed Launcher.lnk - c:\windows\Installer\{AC76BA86-1033-F400-7760-000000000002}\SC_Acrobat.exe [2008-7-21 25214]
Nokia Ovi Suite.lnk - c:\programme\Nokia\Ovi\Suite\RunLauncher.exe [2008-7-25 951600]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoRecentDocsNetHood"= 1 (0x1)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Nokia\\Nokia Home Media Server\\Media Server\\twonkymedia.exe"=
"c:\\Programme\\Nokia\\Nokia Home Media Server\\Media Server\\twonkymediaserver.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"57216:TCP"= 57216:TCP:LiveGlobalization DocumentsPhoto
"49629:TCP"= 49629:TCP:LiveGlobalization MailJava
"11021:UDP"= 11021:UDP:LiveGlobalization PLAIntel
"42630:UDP"= 42630:UDP:LiveGlobalization VisualVisual
"1257:TCP"= 1257:TCP:tidji

R1 cmdGuard;COMODO Firewall Pro Sandbox Driver;c:\windows\system32\drivers\cmdguard.sys [21.02.2007 00:36 110992]
R1 cmdHlp;COMODO Firewall Pro Helper Driver;c:\windows\system32\drivers\cmdhlp.sys [21.02.2007 00:36 24336]
R2 ICQ Service;ICQ Service;c:\programme\ICQ6Toolbar\ICQ Service.exe [08.09.2009 16:32 222456]
S2 baurx;Boot Shell;c:\windows\system32\svchost.exe -k netsvcs [01.06.2006 21:06 14336]
S2 emmziuwg;Universal Windows;c:\windows\system32\svchost.exe -k netsvcs [01.06.2006 21:06 14336]
S2 qvfnrisrk;Support Center;c:\windows\system32\svchost.exe -k netsvcs [01.06.2006 21:06 14336]
S2 rfgatea;Network Universal;c:\windows\system32\svchost.exe -k netsvcs [01.06.2006 21:06 14336]
S2 rlnuo;System Installer;c:\windows\system32\svchost.exe -k netsvcs [01.06.2006 21:06 14336]
S2 TwonkyMedia;TwonkyMedia;c:\programme\Nokia\Nokia Home Media Server\Media Server\TwonkyMedia.exe -serviceversion 0 --> c:\programme\Nokia\Nokia Home Media Server\Media Server\TwonkyMedia.exe -serviceversion 0 [?]
S2 uyvhj;System Support;c:\windows\system32\svchost.exe -k netsvcs [01.06.2006 21:06 14336]
S2 xfrjaz;System Server;c:\windows\system32\svchost.exe -k netsvcs [01.06.2006 21:06 14336]
S2 yisiv;Installer Time;c:\windows\system32\svchost.exe -k netsvcs [01.06.2006 21:06 14336]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
baurx
yisiv
xfrjaz
uyvhj
rfgatea
qvfnrisrk
emmziuwg
rlnuo

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
Inhalt des "geplante Tasks" Ordners

2009-08-07 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUpUtilities2006\SystemOptimizer.exe [2005-08-24 00:29]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.com
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Auswahl in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Auswahl in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: In Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: In vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Verknüpfungsziel in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
FF - ProfilePath - c:\dokumente und einstellungen\Daniel\Anwendungsdaten\Mozilla\Firefox\Profiles\3dju6meu.default\
FF - prefs.js: browser.search.selectedEngine - ICQ Search
FF - prefs.js: browser.startup.homepage - hxxp://start.icq.com/
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&q=
FF - component: c:\programme\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-09-16 08:22
Windows 5.1.2600 Service Pack 3, v.3311 NTFS

detected NTDLL code modification:
ZwClose, ZwOpenFile

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...


**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet002\Services\baurx]
"ServiceDll"="c:\programme\Internet Explorer\dziwu.dll"
--

[HKEY_LOCAL_MACHINE\System\ControlSet002\Services\emmziuwg]
"ServiceDll"="c:\programme\Movie Maker\dziwu.dll"
--

[HKEY_LOCAL_MACHINE\System\ControlSet002\Services\qvfnrisrk]
"ServiceDll"="c:\programme\Internet Explorer\dziwu.dll"
--

[HKEY_LOCAL_MACHINE\System\ControlSet002\Services\rfgatea]
"ServiceDll"="c:\programme\Internet Explorer\dziwu.dll"

[HKEY_LOCAL_MACHINE\System\ControlSet002\Services\rlnuo]
"ServiceDll"="c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\dziwu.dll"
--

[HKEY_LOCAL_MACHINE\System\ControlSet002\Services\uyvhj]
"ServiceDll"="c:\windows\system32\dziwu.dll"
--

[HKEY_LOCAL_MACHINE\System\ControlSet002\Services\xfrjaz]
"ServiceDll"="c:\windows\system32\dziwu.dll"
--

[HKEY_LOCAL_MACHINE\System\ControlSet002\Services\yisiv]
"ServiceDll"="c:\programme\Movie Maker\dziwu.dll"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h–€|ÿÿÿÿ¤•€|ù•6~*]
"7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(568)
c:\windows\system32\guard32.dll
c:\programme\TuneUpUtilities2006\WinStylerThemeHelper.dll

- - - - - - - > 'lsass.exe'(628)
c:\windows\system32\guard32.dll
c:\programme\TuneUpUtilities2006\WinStylerThemeHelper.dll
.
Zeit der Fertigstellung: 2009-09-16 8:27
ComboFix-quarantined-files.txt 2009-09-16 06:26
ComboFix2.txt 2009-09-15 08:52

Vor Suchlauf: 5 Verzeichnis(se), 10.583.646.208 Bytes frei
Nach Suchlauf: 6 Verzeichnis(se), 10.630.856.704 Bytes frei

Current=2 Default=2 Failed=3 LastKnownGood=4 Sets=1,2,3,4
195 --- E O F --- 2009-09-16 06:07
Seitenanfang Seitenende
16.09.2009, 12:50
Moderator

Beiträge: 7795
#11 Das folgende wird dein Problem etwas eindaemmen, aber ich denke, da wird noch mehr arbeit notwendig sein.

Mache bitte folgendes:

1. Starte Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code

killall::
driver::
baurx
yisiv
xfrjaz
uyvhj
rfgatea
qvfnrisrk
emmziuwg
rlnuo

netsvc::
baurx
yisiv
xfrjaz
uyvhj
rfgatea
qvfnrisrk
emmziuwg
rlnuo

file::
C:\ARK8.tmp
c:\programme\Movie Maker\dziwu.dll
c:\programme\Internet Explorer\dziwu.dll
c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\dziwu.dll
c:\windows\system32\dziwu.dll
c:\windows\Installer\104178.msi

folder::
c:\programme\hsdmymc
c:\dokumente und einstellungen\All Users\Anwendungsdaten\tmzibcvi

registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"57216:TCP"=-
"49629:TCP"=-
"11021:UDP"=-
"42630:UDP"=-
"1257:TCP"=-


3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer!)

5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.





6. Nach dem Neustart poste den neu erstellten Combofix Report

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
17.09.2009, 10:32
...neu hier

Themenstarter

Beiträge: 7
#12 Danke für die schnellen Antworten. Hab nen neuen ComboFix-Log für dich:

ComboFix 09-09-14.02 - Daniel 17.09.2009 10:07.3.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.511.240 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Daniel\Desktop\test.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Daniel\Desktop\CFScript.txt
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
FW: COMODO Firewall *enabled* {043803A3-4F86-4ef6-AFC5-F6E02A79969B}

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!

FILE ::
"C:\ARK8.tmp"
"c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\dziwu.dll"
"c:\programme\Internet Explorer\dziwu.dll"
"c:\programme\Movie Maker\dziwu.dll"
"c:\windows\Installer\104178.msi"
"c:\windows\system32\dziwu.dll"
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\ARK8.tmp
c:\dokumente und einstellungen\All Users\Anwendungsdaten\tmzibcvi
c:\programme\hsdmymc
c:\windows\Installer\104178.msi

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_BAURX
-------\Legacy_EMMZIUWG
-------\Legacy_QVFNRISRK
-------\Legacy_RFGATEA
-------\Legacy_RLNUO
-------\Legacy_UYVHJ
-------\Legacy_XFRJAZ
-------\Legacy_YISIV
-------\Service_baurx
-------\Service_emmziuwg
-------\Service_qvfnrisrk
-------\Service_rfgatea
-------\Service_rlnuo
-------\Service_uyvhj
-------\Service_xfrjaz
-------\Service_yisiv


((((((((((((((((((((((( Dateien erstellt von 2009-08-17 bis 2009-09-17 ))))))))))))))))))))))))))))))
.

2009-09-15 07:33 . 2009-09-15 07:33 -------- d-----w- c:\programme\Trend Micro
2009-09-15 06:14 . 2009-09-10 12:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-09-15 06:14 . 2009-09-10 12:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-09-15 06:14 . 2009-09-15 08:16 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2009-09-11 07:02 . 2009-09-11 07:02 -------- d-----w- c:\dokumente und einstellungen\Daniel\Anwendungsdaten\Malwarebytes
2009-09-11 07:01 . 2009-09-11 07:01 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-09-11 06:51 . 2009-09-11 06:51 -------- d-sh--w- c:\dokumente und einstellungen\Daniel\IECompatCache
2009-09-11 06:50 . 2009-09-11 06:50 -------- d-sh--w- c:\dokumente und einstellungen\Daniel\PrivacIE
2009-09-11 06:48 . 2009-09-11 06:48 -------- d-sh--w- c:\dokumente und einstellungen\Daniel\IETldCache
2009-09-11 06:40 . 2009-09-11 06:43 -------- dc-h--w- c:\windows\ie8
2009-09-09 10:59 . 2009-09-09 10:59 56 ---ha-w- c:\windows\system32\ezsidmv.dat
2009-09-09 10:59 . 2009-09-15 18:44 -------- d-----w- c:\dokumente und einstellungen\Daniel\Anwendungsdaten\skypePM
2009-09-09 10:55 . 2009-09-17 07:42 -------- d-----w- c:\dokumente und einstellungen\Daniel\Anwendungsdaten\Skype
2009-09-09 10:54 . 2009-09-09 10:54 -------- d-----w- c:\programme\Gemeinsame Dateien\Skype
2009-09-09 10:54 . 2009-09-09 10:54 -------- d-----r- c:\programme\Skype
2009-09-09 10:53 . 2009-09-09 10:54 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype
2009-09-08 14:32 . 2009-09-08 14:32 -------- d-----w- c:\programme\ICQ6Toolbar
2009-09-08 14:31 . 2009-09-08 14:31 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\ICQ
2009-09-08 14:30 . 2009-09-08 14:34 -------- d-----w- c:\dokumente und einstellungen\Daniel\Anwendungsdaten\ICQ

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-09-13 13:44 . 2008-08-11 20:04 -------- d-----w- c:\programme\Full Tilt Poker
2009-09-08 14:31 . 2008-07-21 21:10 -------- d--h--w- c:\programme\InstallShield Installation Information
2009-08-09 08:41 . 2007-02-20 22:38 75096 ----a-w- c:\windows\system32\drivers\avipbb.sys
2009-07-23 19:42 . 2008-07-21 21:02 -------- d-----w- c:\dokumente und einstellungen\Daniel\Anwendungsdaten\Ahead
2008-08-11 20:02 . 2007-03-04 18:49 952 --sha-w- c:\windows\system32\KGyGaAvL.sys
.

((((((((((((((((((((((((((((( SnapShot@2009-09-15_08.47.26 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-07-11 17:41 . 2009-07-11 17:41 97280 c:\windows\WinSxS\x86_Microsoft.VC80.ATL_1fc8b3b9a1e18e3b_8.0.50727.4053_x-ww_473666fd\ATL80.dll
+ 2009-09-17 08:22 . 2009-09-17 08:22 16384 c:\windows\temp\Perflib_Perfdata_af0.dat
+ 2009-09-17 08:20 . 2009-09-17 08:20 1536 c:\windows\temp\NEventMessages.dll
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2006-04-21 94208]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-10-08 68856]
"Skype"="c:\programme\Skype\Phone\Skype.exe" [2009-09-02 25623336]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NokiaMServer"="c:\programme\Gemeinsame Dateien\Nokia\MPlatform\NokiaMServer" [X]
"Acrobat Assistant 7.0"="c:\programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" [2005-09-24 483328]
"NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]
"RemoteControl"="c:\programme\CyberLink\PowerDVD\PDVDServ.exe" [2004-11-02 32768]
"COMODO Firewall Pro"="c:\programme\COMODO\Firewall\cfp.exe" [2009-03-01 1851128]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-02-20 266497]
"COMODO Internet Security"="c:\programme\COMODO\Firewall\cfp.exe" [2009-03-01 1851128]
"Malwarebytes Anti-Malware (reboot)"="c:\programme\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080]
"SoundMan"="SOUNDMAN.EXE" - c:\windows\SOUNDMAN.EXE [2006-06-01 67072]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-02-12 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Acrobat Speed Launcher.lnk - c:\windows\Installer\{AC76BA86-1033-F400-7760-000000000002}\SC_Acrobat.exe [2008-7-21 25214]
Nokia Ovi Suite.lnk - c:\programme\Nokia\Ovi\Suite\RunLauncher.exe [2008-7-25 951600]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoRecentDocsNetHood"= 1 (0x1)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Nokia\\Nokia Home Media Server\\Media Server\\twonkymedia.exe"=
"c:\\Programme\\Nokia\\Nokia Home Media Server\\Media Server\\twonkymediaserver.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R1 cmdGuard;COMODO Firewall Pro Sandbox Driver;c:\windows\system32\drivers\cmdguard.sys [21.02.2007 00:36 110992]
R1 cmdHlp;COMODO Firewall Pro Helper Driver;c:\windows\system32\drivers\cmdhlp.sys [21.02.2007 00:36 24336]
R2 ICQ Service;ICQ Service;c:\programme\ICQ6Toolbar\ICQ Service.exe [08.09.2009 16:32 222456]
S2 TwonkyMedia;TwonkyMedia;c:\programme\Nokia\Nokia Home Media Server\Media Server\TwonkyMedia.exe -serviceversion 0 --> c:\programme\Nokia\Nokia Home Media Server\Media Server\TwonkyMedia.exe -serviceversion 0 [?]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
Inhalt des "geplante Tasks" Ordners

2009-08-07 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUpUtilities2006\SystemOptimizer.exe [2005-08-24 00:29]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.com
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Auswahl in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Auswahl in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: In Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: In vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Verknüpfungsziel in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
FF - ProfilePath - c:\dokumente und einstellungen\Daniel\Anwendungsdaten\Mozilla\Firefox\Profiles\3dju6meu.default\
FF - prefs.js: browser.search.selectedEngine - ICQ Search
FF - prefs.js: browser.startup.homepage - hxxp://start.icq.com/
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&q=
FF - component: c:\programme\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-09-17 10:17
Windows 5.1.2600 Service Pack 3, v.3311 NTFS

detected NTDLL code modification:
ZwClose, ZwOpenFile

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h–€|ÿÿÿÿ¤•€|ù•6~*]
"7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(572)
c:\windows\system32\guard32.dll
c:\programme\TuneUpUtilities2006\WinStylerThemeHelper.dll

- - - - - - - > 'lsass.exe'(632)
c:\windows\system32\guard32.dll
c:\programme\TuneUpUtilities2006\WinStylerThemeHelper.dll

- - - - - - - > 'explorer.exe'(3568)
c:\windows\system32\guard32.dll
c:\windows\system32\ieframe.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\TuneUpUtilities2006\WinStylerThemeSvc.exe
c:\programme\COMODO\Firewall\cmdagent.exe
c:\programme\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
c:\programme\Gemeinsame Dateien\Nokia\MPlatform\NokiaMServer.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\programme\COMODO\Firewall\cfpupdat.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-09-17 10:28 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-09-17 08:28
ComboFix2.txt 2009-09-16 06:27
ComboFix3.txt 2009-09-15 08:52

Vor Suchlauf: 5 Verzeichnis(se), 10.633.646.080 Bytes frei
Nach Suchlauf: 6 Verzeichnis(se), 10.527.121.408 Bytes frei

Current=2 Default=2 Failed=3 LastKnownGood=4 Sets=1,2,3,4
192 --- E O F --- 2009-09-16 06:07
Seitenanfang Seitenende
17.09.2009, 10:41
Moderator

Beiträge: 7795
#13 Erstelle bitte ein neuen Gmer Report und packe alles, was sich in dem Ordner c:\qoobox\quarataine\c befindet mit zip oder rar und lade es hier hoch
http://www.bleepingcomputer.com/submit-malware.php?channel=49
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: