Virenfund alle 10 minuten

#1 Hi,

ich hab seit gestern n Problem. ich weiss nicht was der auslöser gewesen sein könnte (hab nix geladen etc)

aber seit heute morgen kommt ca all 5 -15 minuten n virenfund in C:\Windows\temp\<ordner>

der ordner heisst immer wieder anders und wird anscheinend erstellt, und darin jeweils n Trojaner


hab ma mit hijackthis n log erstellt

hoffe ihr könnt helfen :')


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:21:35, on 31.03.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal



Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\COMODO\COMODO Internet Security\cmdagent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Nero\Nero 7\InCD\NBHGui.exe
C:\Programme\Nero\Nero 7\InCD\InCD.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\COMODO\COMODO Internet Security\cfp.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\LogMeIn Hamachi\hamachi-2-ui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ICQ6.5\ICQ.exe
C:\Programme\Pando Networks\Media Booster\PMB.exe
C:\Programme\DAEMON Tools Lite\DTLite.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\LogMeIn Hamachi\hamachi-2.exe
C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Luxor 3\Luxor3.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\Avira\AntiVir Desktop\GUARDGUI.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SecurDisc] C:\Programme\Nero\Nero 7\InCD\NBHGui.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Nero\Nero 7\InCD\InCD.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Programme\COMODO\COMODO Internet Security\cfp.exe" -h
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [C6501Sound] RunDll32 c6501.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [LogMeIn Hamachi Ui] "C:\Programme\LogMeIn Hamachi\hamachi-2-ui.exe" --auto-start
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6.5\ICQ.exe" silent
O4 - HKCU\..\Run: [Pando Media Booster] C:\Programme\Pando Networks\Media Booster\PMB.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\DTLite.exe" -autorun
O4 - HKCU\..\Run: [EA Core] "C:\Programme\Electronic Arts\EADM\Core.exe" -silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - AppInit_DLLs: C:\WINDOWS\system32\guard32.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - COMODO - C:\Programme\COMODO\COMODO Internet Security\cmdagent.exe
O23 - Service: LogMeIn Hamachi 2.0 Tunneling Engine (Hamachi2Svc) - LogMeIn Inc. - C:\Programme\LogMeIn Hamachi\hamachi-2.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing)

--
End of file - 6040 bytes

#2 bitte abarbeiten, logs posten.
http://board.protecus.de/t23188.htm

#3 Nach dem Säubern mit Malwarebytes kam kein Fund mehr, also geh ich davon aus dass mein Problem gelöst is.


hier trotzdem der log:

Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Datenbank Version: 3937

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

31.03.2010 17:29:45
mbam-log-2010-03-31 (17-29-45).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 103838
Laufzeit: 6 Minute(n), 24 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cbssreg (Trojan.Agent) -> Delete on reboot.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\cbss.dll (Trojan.Agent) -> Delete on reboot.



-

ThX für die anweisung

#4 Heute morgen kam leider wieder eine Serie von Funden

hab den log den ich gestern abend gemacht hab eingefügt

sowie die HJT logs

EDIT: hab glaubich die HJT logfile 2 mal reinkopiert

#5 bitte erstelle ein combofix log. poste es

#6 ComboFix 10-03-29.04 - Besitzer 01.04.2010 13:32:21.1.2 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.2047.1576 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Besitzer\Desktop\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\All Users\Dokumente\Settings
c:\dokumente und einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\udRemove.exe

.
((((((((((((((((((((((( Dateien erstellt von 2010-03-01 bis 2010-04-01 ))))))))))))))))))))))))))))))
.

2010-04-01 11:32 . 2004-06-03 02:40 79360 ----a-r- c:\windows\system32\drivers\nvatabus_2.sys
2010-04-01 07:41 . 2010-04-01 07:41 -------- d-----w- c:\dokumente und einstellungen\NetworkService\Eigene Dateien
2010-04-01 07:41 . 2010-04-01 07:41 -------- d-----w- c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Adobe
2010-03-31 15:28 . 2010-03-31 15:28 -------- d-----w- c:\programme\Trend Micro
2010-03-31 15:20 . 2010-03-31 15:20 -------- d-----w- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Malwarebytes
2010-03-31 15:20 . 2010-03-29 22:46 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-03-31 15:20 . 2010-03-31 15:20 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-03-31 15:20 . 2010-03-31 15:20 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2010-03-31 15:20 . 2010-03-29 22:45 20824 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-03-31 09:21 . 2010-03-31 15:28 -------- d-----w- c:\programme\HJT
2010-03-30 17:46 . 2010-03-30 17:46 -------- d-s---w- c:\dokumente und einstellungen\NetworkService\UserData
2010-03-30 17:11 . 2010-03-30 17:11 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Adobe Systems
2010-03-30 17:11 . 2010-03-30 17:11 -------- d-----w- c:\programme\Gemeinsame Dateien\Adobe Systems Shared
2010-03-30 13:37 . 2010-04-01 05:54 -------- d-----w- c:\programme\LogMeIn Hamachi
2010-03-29 15:21 . 2010-02-03 13:56 26176 ---ha-w- c:\windows\system32\hamachi.sys
2010-03-25 11:19 . 2010-03-25 11:20 38784 ----a-w- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Macromedia\Flash Player\www.macromedia.com\bin\airappinstaller\airappinstaller.exe
2010-03-25 11:19 . 2010-03-25 11:20 38784 ----a-w- c:\dokumente und einstellungen\Default User\Anwendungsdaten\Macromedia\Flash Player\www.macromedia.com\bin\airappinstaller\airappinstaller.exe
2010-03-25 11:19 . 2010-03-25 11:22 -------- d-----w- c:\programme\Gemeinsame Dateien\Adobe AIR
2010-03-23 09:06 . 2010-03-25 11:20 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Electronic Arts
2010-03-23 09:06 . 2010-03-23 09:06 -------- d-----w- C:\ProgramData
2010-03-22 13:30 . 2010-03-22 13:35 -------- d-----w- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Command and Conquer 4
2010-03-14 18:03 . 2010-03-14 17:34 15880 ----a-w- c:\windows\system32\lsdelete.exe
2010-03-14 17:35 . 2010-03-14 17:34 95024 ----a-w- c:\windows\system32\drivers\SBREDrv.sys
2010-03-14 17:28 . 2010-03-14 17:28 -------- dc----w- c:\windows\system32\DRVSTORE
2010-03-14 17:28 . 2010-02-04 15:53 64288 ----a-w- c:\windows\system32\drivers\Lbd.sys
2010-03-14 17:10 . 2010-03-14 17:10 -------- dc-h--w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{74D08EB8-01D1-4BAE-91E3-F30C1B031AC6}
2010-03-14 17:10 . 2010-02-04 15:53 2954656 -c--a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{74D08EB8-01D1-4BAE-91E3-F30C1B031AC6}\Ad-AwareInstaller.exe
2010-03-14 17:10 . 2010-03-14 17:28 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft
2010-03-14 17:10 . 2010-03-14 17:10 -------- d-----w- c:\programme\Lavasoft
2010-03-14 13:10 . 2006-08-30 16:43 266240 ----a-w- c:\windows\Cmi6501Uninstall.exe
2010-03-14 13:10 . 2010-03-14 13:10 -------- d-----w- c:\programme\C-Media 6501 Sound
2010-03-14 13:10 . 2006-09-05 15:04 1419968 ----a-w- c:\windows\system32\drivers\c6501.sys
2010-03-14 13:10 . 2006-08-30 11:38 253952 ----a-w- c:\windows\system32\c6501rm.exe
2010-03-14 13:10 . 2006-06-27 12:54 32768 ----a-w- c:\windows\system32\c6501p.dll
2010-03-14 13:10 . 2005-12-26 15:23 53248 ----a-w- c:\windows\system32\c6501rm.dll
2010-03-14 13:10 . 2001-11-23 10:08 712704 ----a-w- c:\windows\system32\c6501a3d.dll
2010-03-14 11:06 . 2008-04-14 02:22 21504 -c--a-w- c:\windows\system32\dllcache\hidserv.dll
2010-03-14 11:06 . 2008-04-14 02:22 21504 ----a-w- c:\windows\system32\hidserv.dll
2010-03-14 11:06 . 2001-08-18 03:22 12288 -c--a-w- c:\windows\system32\dllcache\mouhid.sys
2010-03-14 11:06 . 2001-08-18 03:22 12288 ----a-w- c:\windows\system32\drivers\mouhid.sys
2010-03-14 11:06 . 2008-04-13 18:45 10368 -c--a-w- c:\windows\system32\dllcache\hidusb.sys
2010-03-14 11:06 . 2008-04-13 18:45 10368 ----a-w- c:\windows\system32\drivers\hidusb.sys
2010-03-14 08:59 . 2010-03-14 08:59 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\MumboJumbo
2010-03-14 08:59 . 2010-03-14 08:59 -------- d-----w- c:\programme\Luxor 3
2010-03-09 15:52 . 2010-03-09 15:54 -------- d-----w- c:\programme\Microsoft Works
2010-03-09 15:48 . 2010-03-09 15:49 -------- d-----w- c:\windows\SHELLNEW
2010-03-09 15:47 . 2010-03-09 15:47 -------- d-----r- C:\MSOCache

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-04-01 11:06 . 2010-02-22 09:07 -------- d-----w- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Winamp
2010-04-01 10:59 . 2010-03-31 22:40 112 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\6nWtI03W.dat
2010-04-01 07:29 . 2010-01-18 23:31 -------- d-----w- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\ICQ
2010-03-31 22:39 . 2010-01-19 09:06 -------- d-----w- c:\programme\COMODO
2010-03-31 22:12 . 2010-01-18 23:49 -------- d-----w- c:\programme\Steam
2010-03-31 15:44 . 2010-02-22 09:07 -------- d-----w- c:\programme\Winamp
2010-03-31 08:35 . 2002-08-29 12:00 3328 ----a-w- c:\windows\system32\drivers\pciide.sys
2010-03-30 20:58 . 2010-01-21 10:27 929688 ----a-w- c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
2010-03-30 17:59 . 2010-02-05 19:46 -------- d-----w- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\vlc
2010-03-30 17:20 . 2010-01-18 23:04 24752 ----a-w- c:\dokumente und einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-03-30 17:11 . 2010-01-19 17:33 -------- d-----w- c:\programme\Gemeinsame Dateien\Adobe
2010-03-30 13:56 . 2010-01-19 16:54 -------- d-----w- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\teamspeak2
2010-03-28 15:42 . 2002-08-29 12:00 448396 ----a-w- c:\windows\system32\perfh007.dat
2010-03-28 15:42 . 2002-08-29 12:00 80092 ----a-w- c:\windows\system32\perfc007.dat
2010-03-22 13:09 . 2010-02-06 14:06 -------- d-----w- c:\programme\Electronic Arts
2010-03-14 17:34 . 2010-03-14 17:34 95024 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware\Update\Drivers\SBREDrv.sys
2010-03-14 17:34 . 2010-03-14 17:34 598368 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware\Update\EmailScanner.dll
2010-03-14 17:34 . 2010-03-14 17:34 566608 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware\Update\sbap.dll
2010-03-14 17:34 . 2010-03-14 17:34 15880 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware\Update\lsdelete.exe
2010-03-14 17:34 . 2010-03-14 17:34 1230160 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware\Update\SBTE.dll
2010-03-14 17:34 . 2010-03-14 17:34 247120 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware\Update\SBRE.dll
2010-03-14 17:34 . 2010-03-14 17:34 6330848 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware\Update\Resources.dll
2010-03-14 17:34 . 2010-03-14 17:34 17480 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware\Update\EmailScannerBridge.dll
2010-03-09 15:58 . 2010-01-21 10:32 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2010-02-24 22:57 . 2010-02-05 19:46 -------- d-----w- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\dvdcss
2010-02-22 09:07 . 2010-01-18 23:48 -------- d-----w- c:\programme\Winamp Detect
2010-02-12 16:50 . 2010-01-18 23:39 -------- d-----w- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Ahead
2010-02-11 02:03 . 2010-02-11 02:03 3198224 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Electronic Arts Inc\CNC4BetaPatch\LauncherUpdate_R15.exe
2010-02-09 21:46 . 2010-02-09 21:45 -------- d-----w- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\fretsonfire
2010-02-09 21:45 . 2010-02-09 21:44 -------- d-----w- c:\programme\Frets on Fire
2010-02-06 14:46 . 2010-02-06 14:38 -------- d-----w- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Command and Conquer 4 Beta
2010-02-06 14:17 . 2010-02-06 14:17 485136 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Electronic Arts Inc\CNC4BetaPatch\LauncherUpdate_R14.exe
2010-02-06 14:17 . 2010-02-06 14:17 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Electronic Arts Inc
2010-02-05 19:45 . 2010-02-05 19:45 -------- d-----w- c:\programme\VideoLAN
2010-01-31 17:38 . 2010-01-24 14:11 -------- d-----w- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\DivX
2010-01-24 17:23 . 2010-01-24 14:38 53319 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Temp\{A8516AC9-AAF1-47F9-9766-03E2D4CDBCF8}\PostBuild.exe
2010-01-24 14:37 . 2010-01-24 14:38 505128 ----a-w- c:\windows\system32\msvcp71.dll
2010-01-24 14:37 . 2010-01-24 14:38 353576 ----a-w- c:\windows\system32\msvcr71.dll
2010-01-24 14:37 . 2010-01-24 14:38 29480 ----a-w- c:\windows\system32\msxml3a.dll
2010-01-23 18:28 . 2010-01-23 18:28 691696 ----a-w- c:\windows\system32\drivers\sptd.sys
2010-01-21 10:35 . 2010-01-21 10:35 113216 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\VCExpress\9.0\1031\ResourceCache.dll
2010-01-21 10:34 . 2010-01-21 10:34 416 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\MSDN\9.0\1031\ResourceCache.dll
2010-01-20 08:06 . 2010-01-19 00:20 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2010-01-19 16:47 . 2010-01-18 22:45 76487 ----a-w- c:\windows\PCHealth\HelpCtr\OfflineCache\index.dat
2010-01-18 23:41 . 2010-01-18 23:41 0 ----a-w- c:\windows\nsreg.dat
2010-01-18 22:45 . 2010-01-18 22:45 558142 ----a-w- c:\windows\java\Packages\VVN7TZTJ.ZIP
2010-01-18 22:45 . 2010-01-18 22:45 2678 ----a-w- c:\windows\java\Packages\Data\OTZJBFJJ.DAT
2010-01-18 22:45 . 2010-01-18 22:45 2678 ----a-w- c:\windows\java\Packages\Data\ECE21V5Z.DAT
2010-01-18 22:45 . 2010-01-18 22:45 155995 ----a-w- c:\windows\java\Packages\OZF9J37F.ZIP
2010-01-18 22:45 . 2010-01-18 22:45 2678 ----a-w- c:\windows\java\Packages\Data\SM4OA5RB.DAT
2010-01-18 22:45 . 2010-01-18 22:45 2678 ----a-w- c:\windows\java\Packages\Data\71BVDBTB.DAT
2010-01-18 22:45 . 2010-01-18 22:45 2678 ----a-w- c:\windows\java\Packages\Data\64G9BR7F.DAT
2010-01-18 22:43 . 2010-01-18 22:43 21740 ----a-w- c:\windows\system32\emptyregdb.dat
.

Code

<pre>
c:\programme\Adobe\Reader 9.0\Reader\Reader_sl .exe
c:\programme\ATI Technologies\ATI.ACE\CLIStart .exe
c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM .exe
c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck .exe
c:\programme\LogMeIn Hamachi\hamachi-2-ui .exe
c:\programme\Nero\Nero 7\InCD\InCD .exe
c:\programme\Nero\Nero 7\InCD\NBHGui .exe
c:\programme\Winamp\winampa .exe
</pre>

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ICQ"="c:\programme\ICQ6.5\ICQ.exe" [2009-11-16 172792]
"Pando Media Booster"="c:\programme\Pando Networks\Media Booster\PMB.exe" [2010-01-19 2937528]
"DAEMON Tools Lite"="c:\programme\DAEMON Tools Lite\DTLite.exe" [2009-10-30 369200]
"EA Core"="c:\programme\Electronic Arts\EADM\Core.exe" [N/A]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [N/A]
"SecurDisc"="c:\programme\Nero\Nero 7\InCD\NBHGui.exe" [N/A]
"InCD"="c:\programme\Nero\Nero 7\InCD\InCD.exe" [N/A]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [N/A]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [N/A]
"ATICCC"="c:\programme\ATI Technologies\ATI.ACE\CLIStart.exe" [N/A]
"C6501Sound"="c6501.cpl" [N/A]
"LogMeIn Hamachi Ui"="c:\programme\LogMeIn Hamachi\hamachi-2-ui.exe" [N/A]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"

R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [14.03.2010 19:28 64288]
R2 Hamachi2Svc;LogMeIn Hamachi 2.0 Tunneling Engine;c:\programme\LogMeIn Hamachi\hamachi-2.exe [30.03.2010 11:16 1107336]
R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\programme\Lavasoft\Ad-Aware\AAWService.exe [04.02.2010 17:52 1263728]
S0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [23.01.2010 20:28 691696]
S3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des -service --> c:\windows\system32\GameMon.des -service [?]
.
Inhalt des "geplante Tasks" Ordners

2010-04-01 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2010-02-04 17:28]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://start.icq.com/
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\kx0q2asj.default\
FF - prefs.js: browser.search.selectedEngine - collectr
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&tb_ver=2.0.0.0&q=
FF - plugin: c:\programme\DivX\DivX Plus Web Player\npdivx32.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npPandoWebInst.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npwachk.dll

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight", 2);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize", 1);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight", 5);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);
c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "http://www.firefox.com");
c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-04-01 13:37
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe catchme.sys CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x89D2BAC8]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xba8ecf28
\Driver\ACPI -> ACPI.sys @ 0xba77ecb8
\Driver\atapi -> atapi.sys @ 0xba736852
IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8
ParseProcedure -> ntkrnlpa.exe @ 0x805827e8
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8
ParseProcedure -> ntkrnlpa.exe @ 0x805827e8
NDIS: NVIDIA nForce Networking Controller -> SendCompleteHandler -> NDIS.sys @ 0xba62ebb0
PacketIndicateHandler -> NDIS.sys @ 0xba63ba21
SendHandler -> NDIS.sys @ 0xba61987b
user & kernel MBR OK

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\npggsvc]
"ImagePath"="c:\windows\system32\GameMon.des -service"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(712)
c:\windows\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2010-04-01 13:41:23
ComboFix-quarantined-files.txt 2010-04-01 11:41

Vor Suchlauf: 3.212.693.504 Bytes frei
Nach Suchlauf: 3.567.882.240 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn

- - End Of File - - C17CFB8323F0409F4BD8C4CB9CE0FCD8

#7 bitte weiter mit gmer. log posten

#8 noch n neuen? der is in der logs.txt mit drin

#9 sorry nein.
so, reihenfolge einhalten!
die folgenden programme, falls vorhanden, deinstalieren, zwischen den deinstalationen neu start.
Daemon Tools and Daemon Tools Lite
Alcohol 120% and 52%
AstroBurn
download:
http://www.duplexsecure.com/download/SPTDinst-v162-x86.exe
klicke uninstall, starte neu, führe combofix noch mals aus, poste das log.

#10 Versuch mit CCleaner die Tempdatein zu löschen, wenn die meldung immer noch kommt währe es angebracht dein Virenscanner zu Updaten.

#11 ne n rootkit löscht man wohl eher nicht mit dem CCleaner.

#12 daemon tools is deinstalliert, aber zu alcohol und astroburn find ich aufm rechner gar nichts

weder in der systemsteuerung noch über die SuFu von windows (sry bin nich ganz so bewandert)

gibts ne mglkt. die zu finden?

#13 nein, falls vorhanden, da das nicht so ist, weiter mit dem rest.

#14 ComboFix 10-03-29.04 - Besitzer 01.04.2010 16:38:32.2.2 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.2047.1516 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Besitzer\Desktop\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\programme\Microsoft Common
c:\programme\Microsoft Common\svchost.exe

Infizierte Kopie von c:\windows\system32\drivers\aec.sys wurde gefunden und desinfiziert
Kopie von - c:\windows\ERDNT\cache\aec.sys wurde wiederhergestellt

.
((((((((((((((((((((((( Dateien erstellt von 2010-03-01 bis 2010-04-01 ))))))))))))))))))))))))))))))
.

2010-04-01 14:38 . 2004-06-03 02:40 79360 ----a-r- c:\windows\system32\drivers\nvatabus_2.sys
2010-04-01 07:41 . 2010-04-01 07:41 -------- d-----w- c:\dokumente und einstellungen\NetworkService\Eigene Dateien
2010-04-01 07:41 . 2010-04-01 07:41 -------- d-----w- c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Adobe
2010-03-31 15:28 . 2010-03-31 15:28 -------- d-----w- c:\programme\Trend Micro
2010-03-31 15:20 . 2010-03-31 15:20 -------- d-----w- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Malwarebytes
2010-03-31 15:20 . 2010-03-29 22:46 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-03-31 15:20 . 2010-03-31 15:20 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-03-31 15:20 . 2010-03-31 15:20 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2010-03-31 15:20 . 2010-03-29 22:45 20824 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-03-31 09:21 . 2010-03-31 15:28 -------- d-----w- c:\programme\HJT
2010-03-30 17:46 . 2010-03-30 17:46 -------- d-s---w- c:\dokumente und einstellungen\NetworkService\UserData
2010-03-30 13:37 . 2010-04-01 05:54 -------- d-----w- c:\programme\LogMeIn Hamachi
2010-03-29 15:21 . 2010-02-03 13:56 26176 ---ha-w- c:\windows\system32\hamachi.sys
2010-03-25 11:19 . 2010-03-25 11:22 -------- d-----w- c:\programme\Gemeinsame Dateien\Adobe AIR
2010-03-23 09:06 . 2010-03-25 11:20 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Electronic Arts
2010-03-23 09:06 . 2010-03-23 09:06 -------- d-----w- C:\ProgramData
2010-03-22 13:30 . 2010-03-22 13:35 -------- d-----w- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Command and Conquer 4
2010-03-14 18:03 . 2010-03-14 17:34 15880 ----a-w- c:\windows\system32\lsdelete.exe
2010-03-14 17:35 . 2010-03-14 17:34 95024 ----a-w- c:\windows\system32\drivers\SBREDrv.sys
2010-03-14 17:28 . 2010-03-14 17:28 -------- dc----w- c:\windows\system32\DRVSTORE
2010-03-14 17:28 . 2010-02-04 15:53 64288 ----a-w- c:\windows\system32\drivers\Lbd.sys
2010-03-14 17:10 . 2010-03-14 17:10 -------- dc-h--w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{74D08EB8-01D1-4BAE-91E3-F30C1B031AC6}
2010-03-14 17:10 . 2010-03-14 17:28 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft
2010-03-14 17:10 . 2010-03-14 17:10 -------- d-----w- c:\programme\Lavasoft
2010-03-14 13:10 . 2006-08-30 16:43 266240 ----a-w- c:\windows\Cmi6501Uninstall.exe
2010-03-14 13:10 . 2010-03-14 13:10 -------- d-----w- c:\programme\C-Media 6501 Sound
2010-03-14 13:10 . 2006-09-05 15:04 1419968 ----a-w- c:\windows\system32\drivers\c6501.sys
2010-03-14 13:10 . 2006-08-30 11:38 253952 ----a-w- c:\windows\system32\c6501rm.exe
2010-03-14 13:10 . 2006-06-27 12:54 32768 ----a-w- c:\windows\system32\c6501p.dll
2010-03-14 13:10 . 2005-12-26 15:23 53248 ----a-w- c:\windows\system32\c6501rm.dll
2010-03-14 13:10 . 2001-11-23 10:08 712704 ----a-w- c:\windows\system32\c6501a3d.dll
2010-03-14 11:06 . 2008-04-14 02:22 21504 -c--a-w- c:\windows\system32\dllcache\hidserv.dll
2010-03-14 11:06 . 2008-04-14 02:22 21504 ----a-w- c:\windows\system32\hidserv.dll
2010-03-14 11:06 . 2001-08-18 03:22 12288 -c--a-w- c:\windows\system32\dllcache\mouhid.sys
2010-03-14 11:06 . 2001-08-18 03:22 12288 ----a-w- c:\windows\system32\drivers\mouhid.sys
2010-03-14 11:06 . 2008-04-13 18:45 10368 -c--a-w- c:\windows\system32\dllcache\hidusb.sys
2010-03-14 11:06 . 2008-04-13 18:45 10368 ----a-w- c:\windows\system32\drivers\hidusb.sys
2010-03-14 08:59 . 2010-03-14 08:59 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\MumboJumbo
2010-03-14 08:59 . 2010-03-14 08:59 -------- d-----w- c:\programme\Luxor 3
2010-03-09 15:52 . 2010-03-09 15:54 -------- d-----w- c:\programme\Microsoft Works
2010-03-09 15:48 . 2010-03-09 15:49 -------- d-----w- c:\windows\SHELLNEW
2010-03-09 15:47 . 2010-03-09 15:47 -------- d-----r- C:\MSOCache

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-04-01 14:46 . 2010-01-18 23:31 -------- d-----w- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\ICQ
2010-04-01 14:25 . 2010-01-19 17:33 -------- d-----w- c:\programme\Gemeinsame Dateien\Adobe
2010-04-01 13:48 . 2010-01-19 16:54 -------- d-----w- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\teamspeak2
2010-04-01 11:51 . 2010-01-18 23:49 -------- d-----w- c:\programme\Steam
2010-04-01 11:06 . 2010-02-22 09:07 -------- d-----w- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Winamp
2010-04-01 10:59 . 2010-03-31 22:40 112 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\6nWtI03W.dat
2010-03-31 22:39 . 2010-01-19 09:06 -------- d-----w- c:\programme\COMODO
2010-03-31 15:44 . 2010-02-22 09:07 -------- d-----w- c:\programme\Winamp
2010-03-31 08:35 . 2002-08-29 12:00 3328 ----a-w- c:\windows\system32\drivers\pciide.sys
2010-03-30 20:58 . 2010-01-21 10:27 929688 ----a-w- c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
2010-03-30 17:59 . 2010-02-05 19:46 -------- d-----w- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\vlc
2010-03-30 17:20 . 2010-01-18 23:04 24752 ----a-w- c:\dokumente und einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-03-28 15:42 . 2002-08-29 12:00 448396 ----a-w- c:\windows\system32\perfh007.dat
2010-03-28 15:42 . 2002-08-29 12:00 80092 ----a-w- c:\windows\system32\perfc007.dat
2010-03-25 11:20 . 2010-03-25 11:19 38784 ----a-w- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Macromedia\Flash Player\www.macromedia.com\bin\airappinstaller\airappinstaller.exe
2010-03-25 11:20 . 2010-03-25 11:19 38784 ----a-w- c:\dokumente und einstellungen\Default User\Anwendungsdaten\Macromedia\Flash Player\www.macromedia.com\bin\airappinstaller\airappinstaller.exe
2010-03-22 13:09 . 2010-02-06 14:06 -------- d-----w- c:\programme\Electronic Arts
2010-03-14 17:34 . 2010-03-14 17:34 95024 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware\Update\Drivers\SBREDrv.sys
2010-03-14 17:34 . 2010-03-14 17:34 598368 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware\Update\EmailScanner.dll
2010-03-14 17:34 . 2010-03-14 17:34 566608 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware\Update\sbap.dll
2010-03-14 17:34 . 2010-03-14 17:34 15880 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware\Update\lsdelete.exe
2010-03-14 17:34 . 2010-03-14 17:34 1230160 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware\Update\SBTE.dll
2010-03-14 17:34 . 2010-03-14 17:34 247120 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware\Update\SBRE.dll
2010-03-14 17:34 . 2010-03-14 17:34 6330848 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware\Update\Resources.dll
2010-03-14 17:34 . 2010-03-14 17:34 17480 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware\Update\EmailScannerBridge.dll
2010-03-09 15:58 . 2010-01-21 10:32 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2010-02-24 22:57 . 2010-02-05 19:46 -------- d-----w- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\dvdcss
2010-02-22 09:07 . 2010-01-18 23:48 -------- d-----w- c:\programme\Winamp Detect
2010-02-12 16:50 . 2010-01-18 23:39 -------- d-----w- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Ahead
2010-02-11 02:03 . 2010-02-11 02:03 3198224 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Electronic Arts Inc\CNC4BetaPatch\LauncherUpdate_R15.exe
2010-02-09 21:46 . 2010-02-09 21:45 -------- d-----w- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\fretsonfire
2010-02-09 21:45 . 2010-02-09 21:44 -------- d-----w- c:\programme\Frets on Fire
2010-02-06 14:46 . 2010-02-06 14:38 -------- d-----w- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Command and Conquer 4 Beta
2010-02-06 14:17 . 2010-02-06 14:17 485136 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Electronic Arts Inc\CNC4BetaPatch\LauncherUpdate_R14.exe
2010-02-06 14:17 . 2010-02-06 14:17 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Electronic Arts Inc
2010-02-05 19:45 . 2010-02-05 19:45 -------- d-----w- c:\programme\VideoLAN
2010-02-04 15:53 . 2010-03-14 17:10 2954656 -c--a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{74D08EB8-01D1-4BAE-91E3-F30C1B031AC6}\Ad-AwareInstaller.exe
2010-01-31 17:38 . 2010-01-24 14:11 -------- d-----w- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\DivX
2010-01-24 17:23 . 2010-01-24 14:38 53319 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Temp\{A8516AC9-AAF1-47F9-9766-03E2D4CDBCF8}\PostBuild.exe
2010-01-24 14:37 . 2010-01-24 14:38 505128 ----a-w- c:\windows\system32\msvcp71.dll
2010-01-24 14:37 . 2010-01-24 14:38 353576 ----a-w- c:\windows\system32\msvcr71.dll
2010-01-24 14:37 . 2010-01-24 14:38 29480 ----a-w- c:\windows\system32\msxml3a.dll
2010-01-21 10:35 . 2010-01-21 10:35 113216 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\VCExpress\9.0\1031\ResourceCache.dll
2010-01-21 10:34 . 2010-01-21 10:34 416 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\MSDN\9.0\1031\ResourceCache.dll
2010-01-19 16:47 . 2010-01-18 22:45 76487 ----a-w- c:\windows\PCHealth\HelpCtr\OfflineCache\index.dat
2010-01-18 23:41 . 2010-01-18 23:41 0 ----a-w- c:\windows\nsreg.dat
2010-01-18 22:45 . 2010-01-18 22:45 558142 ----a-w- c:\windows\java\Packages\VVN7TZTJ.ZIP
2010-01-18 22:45 . 2010-01-18 22:45 2678 ----a-w- c:\windows\java\Packages\Data\OTZJBFJJ.DAT
2010-01-18 22:45 . 2010-01-18 22:45 2678 ----a-w- c:\windows\java\Packages\Data\ECE21V5Z.DAT
2010-01-18 22:45 . 2010-01-18 22:45 155995 ----a-w- c:\windows\java\Packages\OZF9J37F.ZIP
2010-01-18 22:45 . 2010-01-18 22:45 2678 ----a-w- c:\windows\java\Packages\Data\SM4OA5RB.DAT
2010-01-18 22:45 . 2010-01-18 22:45 2678 ----a-w- c:\windows\java\Packages\Data\71BVDBTB.DAT
2010-01-18 22:45 . 2010-01-18 22:45 2678 ----a-w- c:\windows\java\Packages\Data\64G9BR7F.DAT
2010-01-18 22:43 . 2010-01-18 22:43 21740 ----a-w- c:\windows\system32\emptyregdb.dat
.

Code

<pre>
c:\programme\Adobe\Reader 9.0\Reader\Reader_sl .exe
c:\programme\ATI Technologies\ATI.ACE\CLIStart .exe
c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM .exe
c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck .exe
c:\programme\LogMeIn Hamachi\hamachi-2-ui .exe
c:\programme\Nero\Nero 7\InCD\InCD .exe
c:\programme\Nero\Nero 7\InCD\NBHGui .exe
c:\programme\Winamp\winampa .exe
</pre>

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ICQ"="c:\programme\ICQ6.5\ICQ.exe" [2009-11-16 172792]
"Pando Media Booster"="c:\programme\Pando Networks\Media Booster\PMB.exe" [2010-01-19 2937528]
"EA Core"="c:\programme\Electronic Arts\EADM\Core.exe" [N/A]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [N/A]
"SecurDisc"="c:\programme\Nero\Nero 7\InCD\NBHGui.exe" [N/A]
"InCD"="c:\programme\Nero\Nero 7\InCD\InCD.exe" [N/A]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [N/A]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [N/A]
"ATICCC"="c:\programme\ATI Technologies\ATI.ACE\CLIStart.exe" [N/A]
"C6501Sound"="c6501.cpl" [N/A]
"LogMeIn Hamachi Ui"="c:\programme\LogMeIn Hamachi\hamachi-2-ui.exe" [N/A]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Pando Networks\\Media Booster\\PMB.exe"=

R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [14.03.2010 19:28 64288]
R2 Hamachi2Svc;LogMeIn Hamachi 2.0 Tunneling Engine;c:\programme\LogMeIn Hamachi\hamachi-2.exe [30.03.2010 11:16 1107336]
R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\programme\Lavasoft\Ad-Aware\AAWService.exe [04.02.2010 17:52 1263728]
S3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des -service --> c:\windows\system32\GameMon.des -service [?]
S4 sptd;sptd;c:\windows\system32\Drivers\sptd.sys --> c:\windows\system32\Drivers\sptd.sys [?]
.
Inhalt des "geplante Tasks" Ordners

2010-04-01 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2010-02-04 17:28]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://start.icq.com/
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\kx0q2asj.default\
FF - prefs.js: browser.search.selectedEngine - collectr
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&tb_ver=2.0.0.0&q=
FF - plugin: c:\programme\DivX\DivX Plus Web Player\npdivx32.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npPandoWebInst.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npwachk.dll

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight", 2);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize", 1);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight", 5);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);
c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "http://www.firefox.com");
c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-04-01 16:48
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x89D28AC8]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xba8ecf28
\Driver\ACPI -> ACPI.sys @ 0xba77ecb8
\Driver\atapi -> atapi.sys @ 0xba736852
IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8
ParseProcedure -> ntkrnlpa.exe @ 0x805827e8
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8
ParseProcedure -> ntkrnlpa.exe @ 0x805827e8
NDIS: NVIDIA nForce Networking Controller -> SendCompleteHandler -> NDIS.sys @ 0xba62ebb0
PacketIndicateHandler -> NDIS.sys @ 0xba63ba21
SendHandler -> NDIS.sys @ 0xba61987b
user & kernel MBR OK

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\npggsvc]
"ImagePath"="c:\windows\system32\GameMon.des -service"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(716)
c:\windows\system32\Ati2evxx.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\RunDll32.exe
c:\programme\Nero\Nero 7\InCD\InCDsrv.exe
c:\windows\system32\wdfmgr.exe
c:\windows\System32\wbem\unsecapp.exe
c:\windows\system32\wscntfy.exe
c:\programme\Lavasoft\Ad-Aware\AAWTray.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-04-01 16:57:39 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2010-04-01 14:57
ComboFix2.txt 2010-04-01 11:41

Vor Suchlauf: 3.553.402.880 Bytes frei
Nach Suchlauf: 3.527.528.448 Bytes frei

- - End Of File - - 9BB417B4362069243DCFF7170D34C73D

#15 halber erfolg :-)
http://www.paules-pc-forum.de/forum/4-pc-sicherheit/125180-rootkit-tdss-entfernen-norman-tdss-cleaner.html
bitte alle anderen programme abschalten, programm laufen lassen. bitte folge den anweisungen. poste die logs, falls du neustarten musst, oder nur eines, falls alles sofort klappt.