HiJackThis 2.0.2 brauche Unterstützung!

#1 hey leute mein pc wird immer langsamer, wollt mal fragen ob ihr vllt eine analyse geben könnt auf diesen HiJackThis Log.

ich bedanke mich für jeden tipp, allein fasse ich das nicht an, weil ich wirklich kein plan habe und möchte ja nicht zu beitragen, dass das ding garnicht mehr läuft

hier ist das ding: ->

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:34:02, on 06.10.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
D:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
D:\Programme\Trend Micro\Internet Security 12\pccguide.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
D:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\system32\svchost.exe
D:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe
D:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe
D:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
C:\WINDOWS\system32\rundll32.exe
D:\Programme\TuneUp Utilities 2006\StartUpManager.exe
C:\Dokumente und Einstellungen\Christian\Eigene Dateien\HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [pccguide.exe] "D:\Programme\Trend Micro\Internet Security 12\pccguide.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {F7EDBBEA-1AD2-4EBF-AA07-D453CC29EE65} (Flash Casino Helper Control) - https://plugins.valueactive.eu/flashax/iefax.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Trend Micro Central Control Component (PcCtlCom) - Trend Micro Incorporated. - D:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: Trend Micro Real-time Service (Tmntsrv) - Trend Micro Incorporated. - D:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe
O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - D:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe
O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. - D:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - D:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

--
End of file - 6990 bytes

ok leute jetzt ist es an euch, was kann raus?? bestimmt eine menge
wie gesagt kein plan und bitte um verständnis ;-)
also vllt in keiner computersprache sprechen und kurz und knapp sagen was raus kann, vllt kurze begründung

#2 Wir prüfen erst mal auf malware:
http://board.protecus.de/t23187.htm
abarbeiten, Logs posten.

#3 ok hier ist die maware


Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 3
Infizierte Dateien: 16

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\RegistryDoktorNE (Rogue.RegistryDoktor) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Casino King (Adware.Casino) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Casino King (Adware.Casino) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\Programme\Registry_Doktor 4.1 (Rogue.RegistryDoctor) -> Quarantined and deleted successfully.
C:\Programme\Registry_Doktor 4.1\definitions (Rogue.RegistryDoctor) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\All Users\AVP 2009 (Malware.Trace) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\Programme\Registry_Doktor 4.1\definitions\200901.cab (Rogue.RegistryDoctor) -> Quarantined and deleted successfully.
C:\Programme\Registry_Doktor 4.1\definitions\200902.cab (Rogue.RegistryDoctor) -> Quarantined and deleted successfully.
C:\Programme\Registry_Doktor 4.1\definitions\200903.cab (Rogue.RegistryDoctor) -> Quarantined and deleted successfully.
C:\Programme\Registry_Doktor 4.1\definitions\200904.cab (Rogue.RegistryDoctor) -> Quarantined and deleted successfully.
C:\Programme\Registry_Doktor 4.1\definitions\200905.cab (Rogue.RegistryDoctor) -> Quarantined and deleted successfully.
C:\Programme\Registry_Doktor 4.1\definitions\20090601.cab (Rogue.RegistryDoctor) -> Quarantined and deleted successfully.
C:\Programme\Registry_Doktor 4.1\definitions\20090602.cab (Rogue.RegistryDoctor) -> Quarantined and deleted successfully.
C:\Programme\Registry_Doktor 4.1\definitions\20090603.cab (Rogue.RegistryDoctor) -> Quarantined and deleted successfully.
C:\Programme\Registry_Doktor 4.1\definitions\20090706.cab (Rogue.RegistryDoctor) -> Quarantined and deleted successfully.
C:\Programme\Registry_Doktor 4.1\definitions\20090714.cab (Rogue.RegistryDoctor) -> Quarantined and deleted successfully.
C:\Programme\Registry_Doktor 4.1\definitions\20090721.cab (Rogue.RegistryDoctor) -> Quarantined and deleted successfully.
C:\Programme\Registry_Doktor 4.1\definitions\20090729.cab (Rogue.RegistryDoctor) -> Quarantined and deleted successfully.
C:\Programme\Registry_Doktor 4.1\definitions\20090805.cab (Rogue.RegistryDoctor) -> Quarantined and deleted successfully.
C:\Programme\Registry_Doktor 4.1\definitions\20090819.cab (Rogue.RegistryDoctor) -> Quarantined and deleted successfully.
C:\Programme\Registry_Doktor 4.1\definitions\20090901.cab (Rogue.RegistryDoctor) -> Quarantined and deleted successfully.
C:\Programme\Registry_Doktor 4.1\definitions\20090921.cab (Rogue.RegistryDoctor) -> Quarantined and deleted successfully.

#4 so und hier ist der GMER report, ist das denn alles notwendig, weil wenn man sieht ist das sehr viel und aufwendig

GMER 1.0.15.15125 - http://www.gmer.net
Rootkit scan 2009-10-06 20:51:06
Windows 5.1.2600 Service Pack 2
Running: izdyrjr6.exe; Driver: C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\pwldypob.sys


---- System - GMER 1.0.15 ----

SSDT a347bus.sys (Plug and Play BIOS Extension/ ) ZwClose [0xF77F3028]
SSDT Lbd.sys (Boot Driver/Lavasoft AB) ZwCreateKey [0xF789E87E]
SSDT a347bus.sys (Plug and Play BIOS Extension/ ) ZwCreatePagingFile [0xF77E6B00]
SSDT a347bus.sys (Plug and Play BIOS Extension/ ) ZwEnumerateKey [0xF77E75DC]
SSDT a347bus.sys (Plug and Play BIOS Extension/ ) ZwEnumerateValueKey [0xF77F3120]
SSDT a347bus.sys (Plug and Play BIOS Extension/ ) ZwOpenFile [0xF77E6B40]
SSDT a347bus.sys (Plug and Play BIOS Extension/ ) ZwOpenKey [0xF77F2FA4]
SSDT a347bus.sys (Plug and Play BIOS Extension/ ) ZwQueryKey [0xF77E75FC]
SSDT a347bus.sys (Plug and Play BIOS Extension/ ) ZwQueryValueKey [0xF77F3076]
SSDT a347bus.sys (Plug and Play BIOS Extension/ ) ZwSetSystemPowerState [0xF77F2550]
SSDT Lbd.sys (Boot Driver/Lavasoft AB) ZwSetValueKey [0xF789EBFE]

---- Kernel code sections - GMER 1.0.15 ----

.text ntoskrnl.exe!ZwYieldExecution + 11A 804E4954 4 Bytes CALL 521A40E2
? C:\WINDOWS\TEMP\mc21.tmp Das System kann die angegebene Datei nicht finden. !

---- User code sections - GMER 1.0.15 ----

.text C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe[200] kernel32.dll!LoadLibraryExW 7C801AF1 6 Bytes JMP 5F070F5A
.text C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe[200] kernel32.dll!FreeLibrary + 15 7C80AA7B 4 Bytes CALL 5F00003D
.text C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe[200] kernel32.dll!CreateFileW 7C810976 6 Bytes JMP 5F040F5A
.text C:\Programme\Java\jre6\bin\jqs.exe[268] kernel32.dll!LoadLibraryExW 7C801AF1 6 Bytes JMP 5F070F5A
.text C:\Programme\Java\jre6\bin\jqs.exe[268] kernel32.dll!FreeLibrary + 15 7C80AA7B 4 Bytes CALL 5F00003D
.text C:\Programme\Java\jre6\bin\jqs.exe[268] kernel32.dll!CreateFileW 7C810976 6 Bytes JMP 5F040F5A
.text C:\WINDOWS\system32\nvsvc32.exe[312] kernel32.dll!LoadLibraryExW 7C801AF1 6 Bytes JMP 5F070F5A
.text C:\WINDOWS\system32\nvsvc32.exe[312] kernel32.dll!FreeLibrary + 15 7C80AA7B 4 Bytes CALL 5F00003D
.text C:\WINDOWS\system32\nvsvc32.exe[312] kernel32.dll!CreateFileW 7C810976 6 Bytes JMP 5F040F5A
.text D:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe[352] kernel32.dll!LoadLibraryExW 7C801AF1 6 Bytes JMP 5F070F5A
.text D:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe[352] kernel32.dll!FreeLibrary + 15 7C80AA7B 4 Bytes CALL 5F00003D
.text D:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe[352] kernel32.dll!CreateFileW 7C810976 6 Bytes JMP 5F040F5A
.text C:\WINDOWS\system32\PnkBstrA.exe[456] kernel32.dll!LoadLibraryExW 7C801AF1 6 Bytes JMP 5F070F5A
.text C:\WINDOWS\system32\PnkBstrA.exe[456] kernel32.dll!FreeLibrary + 15 7C80AA7B 4 Bytes CALL 5F00003D
.text C:\WINDOWS\system32\PnkBstrA.exe[456] kernel32.dll!CreateFileW 7C810976 6 Bytes JMP 5F040F5A
.text C:\WINDOWS\system32\PnkBstrB.exe[472] kernel32.dll!LoadLibraryExW 7C801AF1 6 Bytes JMP 5F070F5A
.text C:\WINDOWS\system32\PnkBstrB.exe[472] kernel32.dll!FreeLibrary + 15 7C80AA7B 4 Bytes CALL 5F00003D
.text C:\WINDOWS\system32\PnkBstrB.exe[472] kernel32.dll!CreateFileW 7C810976 6 Bytes JMP 5F040F5A
.text C:\WINDOWS\system32\svchost.exe[572] kernel32.dll!LoadLibraryExW 7C801AF1 6 Bytes JMP 5F070F5A
.text C:\WINDOWS\system32\svchost.exe[572] kernel32.dll!FreeLibrary + 15 7C80AA7B 4 Bytes CALL 5F00003D
.text C:\WINDOWS\system32\svchost.exe[572] kernel32.dll!CreateFileW 7C810976 6 Bytes JMP 5F040F5A
.text C:\WINDOWS\system32\csrss.exe[612] KERNEL32.dll!LoadLibraryExW 7C801AF1 6 Bytes JMP 5F070F5A
.text C:\WINDOWS\system32\csrss.exe[612] KERNEL32.dll!CreateFileW 7C810976 6 Bytes JMP 5F040F5A
.text C:\WINDOWS\system32\winlogon.exe[640] kernel32.dll!LoadLibraryExW 7C801AF1 6 Bytes JMP 5F070F5A
.text C:\WINDOWS\system32\winlogon.exe[640] kernel32.dll!CreateFileW 7C810976 6 Bytes JMP 5F040F5A
.text C:\WINDOWS\system32\services.exe[684] kernel32.dll!LoadLibraryExW 7C801AF1 6 Bytes JMP 5F070F5A
.text C:\WINDOWS\system32\services.exe[684] kernel32.dll!CreateFileW 7C810976 6 Bytes JMP 5F040F5A
.text C:\WINDOWS\system32\lsass.exe[696] kernel32.dll!LoadLibraryExW 7C801AF1 6 Bytes JMP 5F070F5A
.text C:\WINDOWS\system32\lsass.exe[696] kernel32.dll!CreateFileW 7C810976 6 Bytes JMP 5F040F5A
.text D:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe[824] kernel32.dll!LoadLibraryExW 7C801AF1 6 Bytes JMP 5F070F5A
.text D:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe[824] kernel32.dll!FreeLibrary + 15 7C80AA7B 4 Bytes CALL 5F00003D
.text D:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe[824] kernel32.dll!CreateFileW 7C810976 6 Bytes JMP 5F040F5A
.text C:\WINDOWS\system32\svchost.exe[884] kernel32.dll!LoadLibraryExW 7C801AF1 6 Bytes JMP 5F070F5A
.text C:\WINDOWS\system32\svchost.exe[884] kernel32.dll!CreateFileW 7C810976 6 Bytes JMP 5F040F5A
.text C:\Programme\Mozilla Firefox\firefox.exe[916] kernel32.dll!LoadLibraryExW 7C801AF1 6 Bytes JMP 5F070F5A
.text C:\Programme\Mozilla Firefox\firefox.exe[916] kernel32.dll!FreeLibrary + 15 7C80AA7B 4 Bytes CALL 5F00003D
.text C:\Programme\Mozilla Firefox\firefox.exe[916] kernel32.dll!CreateFileW 7C810976 6 Bytes JMP 5F040F5A
.text C:\WINDOWS\system32\svchost.exe[932] kernel32.dll!LoadLibraryExW 7C801AF1 6 Bytes JMP 5F070F5A
.text C:\WINDOWS\system32\svchost.exe[932] kernel32.dll!CreateFileW 7C810976 6 Bytes JMP 5F040F5A
.text D:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe[1000] kernel32.dll!LoadLibraryExW 7C801AF1 6 Bytes JMP 5F070F5A
.text D:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe[1000] kernel32.dll!CreateFileW 7C810976 6 Bytes JMP 5F040F5A
.text D:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe[1028] kernel32.dll!LoadLibraryExW 7C801AF1 6 Bytes JMP 5F070F5A
.text D:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe[1028] kernel32.dll!FreeLibrary + 15 7C80AA7B 4 Bytes CALL 5F00003D
.text D:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe[1028] kernel32.dll!CreateFileW 7C810976 6 Bytes JMP 5F040F5A
.text C:\WINDOWS\System32\svchost.exe[1052] kernel32.dll!LoadLibraryExW 7C801AF1 6 Bytes JMP 5F070F5A
.text C:\WINDOWS\System32\svchost.exe[1052] kernel32.dll!FreeLibrary + 15 7C80AA7B 4 Bytes CALL 5F00003D
.text C:\WINDOWS\System32\svchost.exe[1052] kernel32.dll!CreateFileW 7C810976 6 Bytes JMP 5F040F5A
.text C:\WINDOWS\system32\svchost.exe[1136] kernel32.dll!LoadLibraryExW 7C801AF1 6 Bytes JMP 5F070F5A
.text C:\WINDOWS\system32\svchost.exe[1136] kernel32.dll!FreeLibrary + 15 7C80AA7B 4 Bytes CALL 5F00003D
.text C:\WINDOWS\system32\svchost.exe[1136] kernel32.dll!CreateFileW 7C810976 6 Bytes JMP 5F040F5A
.text C:\WINDOWS\system32\svchost.exe[1204] kernel32.dll!LoadLibraryExW 7C801AF1 6 Bytes JMP 5F070F5A
.text C:\WINDOWS\system32\svchost.exe[1204] kernel32.dll!FreeLibrary + 15 7C80AA7B 4 Bytes CALL 5F00003D
.text C:\WINDOWS\system32\svchost.exe[1204] kernel32.dll!CreateFileW 7C810976 6 Bytes JMP 5F040F5A
.text C:\Programme\Lavasoft\Ad-Aware\AAWService.exe[1252] kernel32.dll!LoadLibraryExW 7C801AF1 6 Bytes JMP 5F070F5A
.text C:\Programme\Lavasoft\Ad-Aware\AAWService.exe[1252] kernel32.dll!FreeLibrary + 15 7C80AA7B 4 Bytes CALL 5F00003D
.text C:\Programme\Lavasoft\Ad-Aware\AAWService.exe[1252] kernel32.dll!CreateFileW 7C810976 6 Bytes JMP 5F040F5A
.text C:\WINDOWS\system32\spoolsv.exe[1412] kernel32.dll!LoadLibraryExW 7C801AF1 6 Bytes JMP 5F070F5A
.text C:\WINDOWS\system32\spoolsv.exe[1412] kernel32.dll!FreeLibrary + 15 7C80AA7B 4 Bytes CALL 5F00003D
.text C:\WINDOWS\system32\spoolsv.exe[1412] kernel32.dll!CreateFileW 7C810976 6 Bytes JMP 5F040F5A
.text C:\WINDOWS\Explorer.EXE[1640] kernel32.dll!LoadLibraryExW 7C801AF1 6 Bytes JMP 5F070F5A
.text C:\WINDOWS\Explorer.EXE[1640] kernel32.dll!FreeLibrary + 15 7C80AA7B 4 Bytes CALL 5F00003D
.text C:\WINDOWS\Explorer.EXE[1640] kernel32.dll!CreateFileW 7C810976 6 Bytes JMP 5F040F5A
.text D:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe[1756] kernel32.dll!LoadLibraryExW 7C801AF1 6 Bytes JMP 5F070F5A
.text D:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe[1756] kernel32.dll!FreeLibrary + 15 7C80AA7B 4 Bytes CALL 5F00003D
.text D:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe[1756] kernel32.dll!CreateFileW 7C810976 6 Bytes JMP 5F040F5A
.text C:\WINDOWS\system32\RUNDLL32.EXE[1760] kernel32.dll!LoadLibraryExW 7C801AF1 6 Bytes JMP 5F070F5A
.text C:\WINDOWS\system32\RUNDLL32.EXE[1760] kernel32.dll!FreeLibrary + 15 7C80AA7B 4 Bytes CALL 5F00003D
.text C:\WINDOWS\system32\RUNDLL32.EXE[1760] kernel32.dll!CreateFileW 7C810976 6 Bytes JMP 5F040F5A
.text D:\Programme\Trend Micro\Internet Security 12\pccguide.exe[1768] kernel32.dll!LoadLibraryExW 7C801AF1 6 Bytes JMP 5F070F5A
.text D:\Programme\Trend Micro\Internet Security 12\pccguide.exe[1768] kernel32.dll!FreeLibrary + 15 7C80AA7B 4 Bytes CALL 5F00003D
.text D:\Programme\Trend Micro\Internet Security 12\pccguide.exe[1768] kernel32.dll!CreateFileW 7C810976 6 Bytes JMP 5F040F5A
.text C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe[1776] kernel32.dll!LoadLibraryExW 7C801AF1 6 Bytes JMP 5F070F5A
.text C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe[1776] kernel32.dll!FreeLibrary + 15 7C80AA7B 4 Bytes CALL 5F00003D
.text C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe[1776] kernel32.dll!CreateFileW 7C810976 6 Bytes JMP 5F040F5A
.text C:\WINDOWS\SOUNDMAN.EXE[1784] kernel32.dll!LoadLibraryExW 7C801AF1 6 Bytes JMP 5F070F5A
.text C:\WINDOWS\SOUNDMAN.EXE[1784] kernel32.dll!FreeLibrary + 15 7C80AA7B 4 Bytes CALL 5F00003D
.text C:\WINDOWS\SOUNDMAN.EXE[1784] kernel32.dll!CreateFileW 7C810976 6 Bytes JMP 5F040F5A
.text C:\WINDOWS\system32\ctfmon.exe[1800] kernel32.dll!LoadLibraryExW 7C801AF1 6 Bytes JMP 5F070F5A
.text C:\WINDOWS\system32\ctfmon.exe[1800] kernel32.dll!FreeLibrary + 15 7C80AA7B 4 Bytes CALL 5F00003D
.text C:\WINDOWS\system32\ctfmon.exe[1800] kernel32.dll!CreateFileW 7C810976 6 Bytes JMP 5F040F5A
.text C:\WINDOWS\system32\wbem\unsecapp.exe[2300] kernel32.dll!LoadLibraryExW 7C801AF1 6 Bytes JMP 5F070F5A
.text C:\WINDOWS\system32\wbem\unsecapp.exe[2300] kernel32.dll!FreeLibrary + 15 7C80AA7B 4 Bytes CALL 5F00003D
.text C:\WINDOWS\system32\wbem\unsecapp.exe[2300] kernel32.dll!CreateFileW 7C810976 6 Bytes JMP 5F040F5A
.text C:\WINDOWS\system32\wscntfy.exe[2364] kernel32.dll!LoadLibraryExW 7C801AF1 6 Bytes JMP 5F070F5A
.text C:\WINDOWS\system32\wscntfy.exe[2364] kernel32.dll!FreeLibrary + 15 7C80AA7B 4 Bytes CALL 5F00003D
.text C:\WINDOWS\system32\wscntfy.exe[2364] kernel32.dll!CreateFileW 7C810976 6 Bytes JMP 5F040F5A
.text C:\WINDOWS\system32\wbem\wmiprvse.exe[2480] kernel32.dll!LoadLibraryExW 7C801AF1 6 Bytes JMP 5F070F5A
.text C:\WINDOWS\system32\wbem\wmiprvse.exe[2480] kernel32.dll!FreeLibrary + 15 7C80AA7B 4 Bytes CALL 5F00003D
.text C:\WINDOWS\system32\wbem\wmiprvse.exe[2480] kernel32.dll!CreateFileW 7C810976 6 Bytes JMP 5F040F5A
.text C:\WINDOWS\System32\alg.exe[2600] kernel32.dll!LoadLibraryExW 7C801AF1 6 Bytes JMP 5F070F5A
.text C:\WINDOWS\System32\alg.exe[2600] kernel32.dll!FreeLibrary + 15 7C80AA7B 4 Bytes CALL 5F00003D
.text C:\WINDOWS\System32\alg.exe[2600] kernel32.dll!CreateFileW 7C810976 6 Bytes JMP 5F040F5A
.text C:\Programme\Malwarebytes' Anti-Malware\mbam.exe[3072] kernel32.dll!LoadLibraryExW 7C801AF1 6 Bytes JMP 5F070F5A
.text C:\Programme\Malwarebytes' Anti-Malware\mbam.exe[3072] kernel32.dll!FreeLibrary + 15 7C80AA7B 4 Bytes CALL 5F00003D
.text C:\Programme\Malwarebytes' Anti-Malware\mbam.exe[3072] kernel32.dll!CreateFileW 7C810976 6 Bytes JMP 5F040F5A
.text C:\WINDOWS\system32\wuauclt.exe[3120] kernel32.dll!LoadLibraryExW 7C801AF1 6 Bytes JMP 5F070F5A
.text C:\WINDOWS\system32\wuauclt.exe[3120] kernel32.dll!FreeLibrary + 15 7C80AA7B 4 Bytes CALL 5F00003D
.text C:\WINDOWS\system32\wuauclt.exe[3120] kernel32.dll!CreateFileW 7C810976 6 Bytes JMP 5F040F5A
.text C:\WINDOWS\system32\NOTEPAD.EXE[3308] kernel32.dll!LoadLibraryExW 7C801AF1 6 Bytes JMP 5F070F5A
.text C:\WINDOWS\system32\NOTEPAD.EXE[3308] kernel32.dll!FreeLibrary + 15 7C80AA7B 4 Bytes CALL 5F00003D
.text C:\WINDOWS\system32\NOTEPAD.EXE[3308] kernel32.dll!CreateFileW 7C810976 6 Bytes JMP 5F040F5A
.text C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe[3424] kernel32.dll!LoadLibraryExW 7C801AF1 6 Bytes JMP 5F070F5A
.text C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe[3424] kernel32.dll!FreeLibrary + 15 7C80AA7B 4 Bytes CALL 5F00003D
.text C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe[3424] kernel32.dll!CreateFileW 7C810976 6 Bytes JMP 5F040F5A
.text C:\Dokumente und Einstellungen\Christian\Desktop\DL\izdyrjr6.exe[3664] kernel32.dll!LoadLibraryExW 7C801AF1 6 Bytes JMP 5F070F5A
.text C:\Dokumente und Einstellungen\Christian\Desktop\DL\izdyrjr6.exe[3664] kernel32.dll!FreeLibrary + 15 7C80AA7B 4 Bytes CALL 5F00003D
.text C:\Dokumente und Einstellungen\Christian\Desktop\DL\izdyrjr6.exe[3664] kernel32.dll!CreateFileW 7C810976 6 Bytes JMP 5F040F5A

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs 86738918

AttachedDevice \FileSystem\Ntfs \Ntfs Tmpreflt.sys (Pre-Filter For XP/Trend Micro Inc.)
AttachedDevice \Driver\Tcpip \Device\Ip tmtdi.sys (Trend Micro TDI Driver/Trend Micro Inc.)
AttachedDevice \Driver\Tcpip \Device\Tcp tmtdi.sys (Trend Micro TDI Driver/Trend Micro Inc.)

Device \Driver\Cdrom \Device\CdRom0 862C4678
Device \FileSystem\Rdbss \Device\FsWrap 8655C198
Device \Driver\Cdrom \Device\CdRom1 862C4678
Device \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-17 862C4960
Device \Driver\atapi \Device\Ide\IdePort0 862C4960
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-4 862C4960
Device \Driver\atapi \Device\Ide\IdePort1 862C4960
Device \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-c 862C4960
Device \Driver\Cdrom \Device\CdRom2 862C4678
Device \Driver\Cdrom \Device\CdRom3 862C4678
Device \FileSystem\Srv \Device\LanmanServer 8640E370

AttachedDevice \Driver\Tcpip \Device\Udp tmtdi.sys (Trend Micro TDI Driver/Trend Micro Inc.)
AttachedDevice \Driver\Tcpip \Device\RawIp tmtdi.sys (Trend Micro TDI Driver/Trend Micro Inc.)

Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 863E6808
Device \FileSystem\MRxSmb \Device\LanmanRedirector 863E6808
Device \FileSystem\Npfs \Device\NamedPipe 8652DAC0
Device \FileSystem\Msfs \Device\Mailslot 86536E88
Device \Driver\a347scsi \Device\Scsi\a347scsi1Port2Path0Target1Lun0 862C5648
Device \Driver\a347scsi \Device\Scsi\a347scsi1Port2Path0Target0Lun0 862C5648
Device \Driver\a347scsi \Device\Scsi\a347scsi1 862C5648
Device \FileSystem\Fs_Rec \FileSystem\UdfsCdRomRecognizer 863C3268
Device \FileSystem\Fs_Rec \FileSystem\FatCdRomRecognizer 863C3268
Device \FileSystem\Fs_Rec \FileSystem\CdfsRecognizer 863C3268
Device \FileSystem\Fs_Rec \FileSystem\FatDiskRecognizer 863C3268
Device \FileSystem\Fs_Rec \FileSystem\UdfsDiskRecognizer 863C3268
Device \FileSystem\Cdfs \Cdfs 8643B0E0

---- Modules - GMER 1.0.15 ----

Module _________ F776E000-F7786000 (98304 bytes)

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\a347scsi\Config\jdgg40
Reg HKLM\SYSTEM\CurrentControlSet\Services\a347scsi\Config\jdgg41
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{E9F81423-211E-46B6-9AE0-38568BC5CF6F}@DisplayName Alcohol 120%
Reg HKLM\SOFTWARE\Classes\Installer\Products\32418F9EE1126B64A90E8365B85CFCF6@ProductName Alcohol 120%

---- EOF - GMER 1.0.15 ----


so und oben war ja der HiJackThis LOg ;-)
ich hoffe das hilft euch weiter

#5 Hallo,
hast du MalwareBytes mit den neuesten Updates laufen lassen? Quick oder Full scan? Wenn quick, update noch mal und scanne erneut, diesmal full Scan. Funde löschen, Log posten.

#6 ok hier ist jetzt nochmal malware in der neuesten version und fullscan

Malwarebytes' Anti-Malware 1.41
Datenbank Version: 2917
Windows 5.1.2600 Service Pack 2

07.10.2009 10:26:35
mbam-log-2009-10-07 (10-26-35).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 152076
Laufzeit: 24 minute(s), 21 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\Christian\Desktop\DL\registrydoktor-04de.exe (Rogue.Installer) -> Quarantined and deleted successfully.

___________________________________________________________________

und hier die uninstall list


Ad-Aware
Ad-Aware
Adobe Flash Player 10 Plugin
Adobe Flash Player ActiveX
Adobe Reader 9.1.3 - Deutsch
AIDA32 v3.85
Apple Mobile Device Support
Apple Software Update
Battlefield 2142 Deluxe Edition
Brother MFL-Pro Suite
Choice Guard
Codec Pack - All In 1 6.0.3.0
Corel Paint Shop Pro X
EA Download Manager
EVEREST Home Edition v2.20
Full Tilt Poker
HijackThis 2.0.2
Hotfix for Windows Media Format 11 SDK (KB929399)
Hotfix for Windows XP (KB926239)
Hotfix für Windows Media Player 11 (KB939683)
Hotfix für Windows XP (KB952287)
ICQ6.5
iTunes
Java 2 Runtime Environment, SE v1.4.2_05
Java(TM) 6 Update 15
Malwarebytes' Anti-Malware
McLoad Preinstaller
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 German Language Pack
Microsoft .NET Framework 1.1 Hotfix (KB928366)
Microsoft Compression Client Pack 1.0 for Windows XP
Microsoft Office Access MUI (German) 2007
Microsoft Office Enterprise 2007
Microsoft Office Enterprise 2007
Microsoft Office Excel MUI (German) 2007
Microsoft Office Groove MUI (German) 2007
Microsoft Office InfoPath MUI (German) 2007
Microsoft Office OneNote MUI (German) 2007
Microsoft Office Outlook MUI (German) 2007
Microsoft Office PowerPoint MUI (German) 2007
Microsoft Office Proof (English) 2007
Microsoft Office Proof (French) 2007
Microsoft Office Proof (German) 2007
Microsoft Office Proof (Italian) 2007
Microsoft Office Proofing (German) 2007
Microsoft Office Publisher MUI (German) 2007
Microsoft Office Shared MUI (German) 2007
Microsoft Office Word MUI (German) 2007
Microsoft User-Mode Driver Framework Feature Pack 1.0
Microsoft Visual C++ 2005 Redistributable
Mozilla Firefox (3.0.14)
MP4 Player
MSVCRT
MSXML 4.0 SP2 (KB954430)
Nero OEM
neroxml
Next Generation Visualisations
NVIDIA Drivers
PowerDVD
QuickTime
Realtek AC'97 Audio
S.T.A.L.K.E.R. - Shadow of Chernobyl
Segoe UI
Sicherheitsupdate für Windows Media Player (KB952069)
Sicherheitsupdate für Windows Media Player 11 (KB936782)
Sicherheitsupdate für Windows Media Player 11 (KB954154)
Sicherheitsupdate für Windows XP (KB938464)
Sicherheitsupdate für Windows XP (KB941569)
Sicherheitsupdate für Windows XP (KB944338-v2)
Sicherheitsupdate für Windows XP (KB946648)
Sicherheitsupdate für Windows XP (KB950762)
Sicherheitsupdate für Windows XP (KB950974)
Sicherheitsupdate für Windows XP (KB951066)
Sicherheitsupdate für Windows XP (KB951376-v2)
Sicherheitsupdate für Windows XP (KB951698)
Sicherheitsupdate für Windows XP (KB951748)
Sicherheitsupdate für Windows XP (KB952954)
Sicherheitsupdate für Windows XP (KB954211)
Sicherheitsupdate für Windows XP (KB954600)
Sicherheitsupdate für Windows XP (KB955069)
Sicherheitsupdate für Windows XP (KB956391)
Sicherheitsupdate für Windows XP (KB956802)
Sicherheitsupdate für Windows XP (KB956803)
Sicherheitsupdate für Windows XP (KB956841)
Sicherheitsupdate für Windows XP (KB957097)
Sicherheitsupdate für Windows XP (KB958215)
Sicherheitsupdate für Windows XP (KB958644)
Sicherheitsupdate für Windows XP (KB958687)
Sicherheitsupdate für Windows XP (KB960714)
Skype 3.1
Smart-X7 7.70
Spelling Dictionaries Support For Adobe Reader 9
Trend Micro PC-cillin Internet Security 12
TuneUp Utilities 2006
Update für Windows XP (KB898461)
Update für Windows XP (KB955839)
VCRedistSetup
Visual C++ 2008 x86 Runtime - (v9.0.30729)
Visual C++ 2008 x86 Runtime - v9.0.30729.01
Warcraft III
WC3Banlist
Windows Installer 3.1 (KB893803)
Windows Live Anmelde-Assistent
Windows Live Call
Windows Live Communications Platform
Windows Live Essentials
Windows Live Essentials
Windows Live Messenger
Windows Live-Uploadtool
Windows Media Format 11 runtime
Windows Media Format 11 runtime
Windows Media Player 11
Windows Media Player 11
Windows XP-Hotfix - KB834707
Windows XP-Hotfix - KB883517
Windows XP-Hotfix - KB883529
Windows XP-Hotfix - KB883667
Windows XP-Hotfix - KB884018
Windows XP-Hotfix - KB884020
Windows XP-Hotfix - KB884575
Windows XP-Hotfix - KB884868
Windows XP-Hotfix - KB885523
Windows XP-Hotfix - KB885894
WinPcap 4.0.2
WinRAR archiver

gut das müsste es gewesen sein, denke zumindest das jetzt alles geposted wurde

#7 Da sich Malware auf deinem System befand, führe nun bitte noch Combofix aus, poste das log, berichte wie der PC läuft.

#8 ComboFix 09-10-06.03 - Christian 07.10.2009 11:15.1.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.49.1031.18.1023.678 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Christian\Desktop\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\test.txt
c:\windows\Installer\bb988.msi

Infizierte Kopie von c:\windows\system32\drivers\atapi.sys wurde gefunden und desinfiziert
Kitty ate it
.
((((((((((((((((((((((( Dateien erstellt von 2009-09-07 bis 2009-10-07 ))))))))))))))))))))))))))))))
.

2009-10-06 18:00 . 2009-10-06 18:00 -------- d-----w- c:\dokumente und einstellungen\Christian\Anwendungsdaten\Malwarebytes
2009-10-06 18:00 . 2009-09-10 12:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-10-06 18:00 . 2009-10-06 18:00 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2009-10-06 18:00 . 2009-10-06 18:00 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-10-06 18:00 . 2009-09-10 12:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-10-04 15:20 . 2006-12-08 10:02 251672 ----a-w- c:\windows\system32\xactengine2_5.dll
2009-10-04 15:20 . 2006-11-29 11:06 3426072 ----a-w- c:\windows\system32\d3dx9_32.dll
2009-10-04 15:20 . 2006-11-15 09:38 15128 ----a-w- c:\windows\system32\x3daudio1_1.dll
2009-10-04 15:20 . 2006-09-28 14:05 237848 ----a-w- c:\windows\system32\xactengine2_4.dll
2009-10-04 15:20 . 2006-09-28 14:05 2414360 ----a-w- c:\windows\system32\d3dx9_31.dll
2009-10-04 15:20 . 2006-09-28 14:04 68888 ----a-w- c:\windows\system32\xinput1_3.dll
2009-10-04 15:20 . 2006-07-28 07:30 236824 ----a-w- c:\windows\system32\xactengine2_3.dll
2009-10-04 15:20 . 2006-07-28 07:30 62744 ----a-w- c:\windows\system32\xinput1_2.dll
2009-10-01 09:39 . 2009-10-01 09:39 -------- d-----w- c:\programme\Microsoft Works
2009-10-01 09:38 . 2009-10-01 09:38 -------- d-----w- c:\programme\MSBuild
2009-10-01 09:37 . 2009-10-01 09:37 -------- d-----w- c:\programme\Microsoft.NET
2009-10-01 09:34 . 2009-10-01 09:38 -------- d-----w- c:\windows\SHELLNEW
2009-10-01 09:34 . 2009-10-01 09:34 -------- d-----r- C:\MSOCache
2009-10-01 09:00 . 2000-06-26 09:45 106496 ----a-w- c:\windows\system32\TwnLib20.dll
2009-10-01 09:00 . 2001-06-26 06:15 38912 ------w- c:\windows\system32\picn20.dll
2009-10-01 09:00 . 2001-07-09 09:50 155648 ----a-w- c:\windows\system32\NeroCheck.exe
2009-10-01 09:00 . 2009-10-01 09:00 -------- d-----w- c:\programme\Ahead
2009-09-30 11:57 . 2009-10-04 15:03 -------- d-----w- c:\programme\Yahoo!
2009-09-28 21:16 . 2009-09-28 21:16 -------- d-----w- c:\dokumente und einstellungen\Christian\Lokale Einstellungen\Anwendungsdaten\PunkBuster
2009-09-27 20:19 . 2009-09-27 21:08 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\NOS

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-10-07 08:40 . 2009-01-28 21:51 254024 ----a-w- c:\dokumente und einstellungen\Christian\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-10-06 20:20 . 2009-02-21 11:38 138736 ----a-w- c:\windows\system32\drivers\PnkBstrK.sys
2009-10-06 20:20 . 2009-02-21 11:38 188968 ----a-w- c:\windows\system32\PnkBstrB.exe
2009-10-04 15:03 . 2009-01-26 18:19 -------- d--h--w- c:\programme\InstallShield Installation Information
2009-10-03 10:49 . 2009-01-26 16:49 -------- d-----w- c:\programme\Java
2009-10-01 09:41 . 2009-01-26 17:53 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2009-10-01 09:00 . 2009-01-27 17:02 -------- d-----w- c:\programme\Gemeinsame Dateien\Ahead
2009-09-28 22:48 . 2009-05-05 16:07 848 --sha-w- c:\windows\system32\KGyGaAvL.sys
2009-09-28 21:16 . 2009-02-21 11:35 75064 ----a-w- c:\windows\system32\PnkBstrA.exe
2009-09-27 20:05 . 2009-01-27 17:03 -------- d-----w- c:\dokumente und einstellungen\Christian\Anwendungsdaten\Ahead
2009-07-25 03:23 . 2009-03-06 17:09 411368 ----a-w- c:\windows\system32\deploytk.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-07-20 7110656]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2005-07-20 86016]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2005-07-20 1519616]
"SoundMan"="SOUNDMAN.EXE" - c:\windows\soundman.exe [2007-04-16 577536]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]
"Skype"="c:\programme\Skype\Phone\Skype.exe" [2007-03-30 25263144]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"CTFMON.EXE"=c:\windows\system32\ctfmon.exe
"msnmsgr"="c:\programme\Windows Live\Messenger\msnmsgr.exe" /background
"MP4 Player"="c:\programme\MP4 Player\mp4Player.exe" hmw

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Ad-Watch"=c:\programme\Lavasoft\Ad-Aware\AAWTray.exe
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" -atboottime
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
"BrMfcWnd"=c:\programme\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN
"ControlCenter3"=c:\programme\Brother\ControlCenter3\brctrcen.exe /autorun
"GrooveMonitor"="c:\programme\Microsoft Office\Office12\GrooveMonitor.exe"
"iTunesHelper"="d:\programme\iTunes\iTunesHelper.exe"
"RemoteControl"=d:\programme\CyberLink\PowerDVD\PDVDServ.exe
"WheelMouse"=c:\programme\A4Tech\Mouse\Amoumain.exe
"NeroFilterCheck"=c:\windows\system32\NeroCheck.exe
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe"
"Malwarebytes Anti-Malware (reboot)"="c:\programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"d:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Electronic Arts\\Battlefield 2142 Deluxe Edition\\BF2142.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"e:\\Programme\\Stalker\\S.T.A.L.K.E.R. - Shadow of Chernobyl\\bin\\XR_3DA.exe"=
"e:\\Programme\\Stalker\\S.T.A.L.K.E.R. - Shadow of Chernobyl\\bin\\dedicated\\XR_3DA.exe"=

R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [27.01.2009 21:47 64160]
R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\programme\Lavasoft\Ad-Aware\AAWService.exe [18.01.2009 23:34 1028432]
S3 NPF;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [06.11.2007 22:22 34064]

--- Andere Dienste/Treiber im Speicher ---

*Deregistered* - mchInjDrv
.
Inhalt des "geplante Tasks" Ordners

2009-07-24 c:\windows\Tasks\1-Klick-Wartung.job
- d:\programme\TuneUp Utilities 2006\SystemOptimizer.exe [2005-08-24 01:29]

2009-10-06 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-01-18 18:47]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://start.icq.com/
IE: &ICQ Toolbar Search - d:\programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
DPF: {F7EDBBEA-1AD2-4EBF-AA07-D453CC29EE65} - hxxps://plugins.valueactive.eu/flashax/iefax.cab
FF - ProfilePath - c:\dokumente und einstellungen\Christian\Anwendungsdaten\Mozilla\Firefox\Profiles\1vyzl41x.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT1460988&SearchSource=3&q=
FF - prefs.js: browser.search.selectedEngine - ICQ Search
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&q=
FF - component: c:\dokumente und einstellungen\Christian\Anwendungsdaten\Mozilla\Firefox\Profiles\1vyzl41x.default\extensions\{b2e293ee-fd7e-4c71-a714-5f4750d8d7b7}\components\FFAlert.dll
FF - plugin: d:\programme\iTunes\Mozilla Plugins\npitunes.dll

---- FIREFOX Richtlinien ----
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: content.max.tokenizing.time - 200000
FF - user.js: content.notify.interval - 100000
FF - user.js: content.switch.threshold - 650000
FF - user.js: nglayout.initialpaint.delay - 300
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKU-Default-Run-BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA} - c:\programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
AddRemove-Warcraft III - c:\windows\War3Unin.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-10-07 11:19
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\mchInjDrv]
"ImagePath"="\??\c:\windows\TEMP\mc21.tmp"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(636)
d:\programme\TuneUp Utilities 2006\WinStylerThemeHelper.dll

- - - - - - - > 'lsass.exe'(692)
d:\programme\TuneUp Utilities 2006\WinStylerThemeHelper.dll
.
Zeit der Fertigstellung: 2009-10-07 11:20
ComboFix-quarantined-files.txt 2009-10-07 09:20

Vor Suchlauf: 9 Verzeichnis(se), 10.312.089.600 Bytes frei
Nach Suchlauf: 11 Verzeichnis(se), 11.074.990.080 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

165 --- E O F --- 2009-01-28 19:15

#9 Wie läuft der PC?

#10 der pc läuft ziemlich rund, danke aber gibts vllt überflüssiges was ihr vllt aus dem Hijackthis log entnehmen könnt, dass ich den computer so sauber wie möglich habe von unnötigen prozessen

#11 Erst mal den PC sauber bekommen, dann können wir uns unnötigen Programmen Widmen.
www.kaspersky.com/de/virusscanner -
Nutze dafür den Internetexplorer, Untersuchungsobjekt Arbeitsplatz, Log posten.
F-secure, hier kannst du die Funde bereits löschen und ebenfalls das Log posten:
www.f-secure.com/.../online-scanner/index.html -

#12 reicht dafür nicht auch ad-aware um das zu klären?
kann doch einen einfachen virenscan machen oder? wie gesagt will ich unnötige programme beseitigen, viren waren eigentlich nicht das problem

#13 Wie man aber sieht, sind sie es doch, also mach bitte weiter wie beschrieben, Adaware ist nicht besonders gut, ansonnsten hätte es diese Infektion schon längst finden müssen.

#14 -------------------------------------------------------------------------------
PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Mittwoch, 7. Oktober 2009 14:07:40
Betriebssystem: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.98.2
Letztes Update der Antiviren-Datenbanken: 7/10/2009
Anzahl der Einträge in den Antiviren-Datenbanken: 2928134
-------------------------------------------------------------------------------

Scan-Einstellungen:
Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Erweiterte
Archive untersuchen: ja
Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Arbeitsplatz:
A:\
C:\
D:\
E:\
F:\
G:\
H:\
I:\
J:\
K:\
L:\
M:\
N:\
O:\

Untersuchungsergebnisse:
Untersuchte Objekte insgesamt: 49220
Viren gefunden: 1
Infizierte Objekte gefunden: 1
Verdächtige Objekte gefunden: 0
Untersuchungszeit: 00:54:35

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware\MiniMessage\2 Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Christian\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Christian\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Christian\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Christian\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Christian\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Christian\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Christian\NTUSER.DAT.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
C:\System Volume Information\_restore{47B4A64F-9FB4-4C17-943B-A8C039420D14}\RP102\change.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Sti_Trace.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\ODiag.evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\OSession.evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\drivers\atapi.sys Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiadebug.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiaservc.log Das Objekt ist gesperrt übersprungen
D:\My Downloads\hallo byonce (high bitrate).mp3 Infizierte Objekte: Trojan-Downloader.WMA.GetCodec.u übersprungen
D:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
E:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
E:\System Volume Information\_restore{47B4A64F-9FB4-4C17-943B-A8C039420D14}\RP102\change.log Das Objekt ist gesperrt übersprungen

Die Untersuchung wurde abgeschlossen.

ok hast recht, viren sind da, aber kann sie nicht drüber löschen, war jetzt bei kaspersky, der andere link scheint nicht zu funktionieren.

#15 ok, lösche:
D:\My Downloads\hallo byonce (high bitrate).mp3
http://www.bitdefender.com/scanner/online/free.html
versuch diesen.