Provider warnt vor Viren

#1 Hi,

ich habe heute mittag ne mail von meinem Provider (1&1) bekommen ich zitiere

Zitat

Betreff: 1&1 warnt: Hinweise auf eine Virus-Infektion auf Ihrem PC

heute erhalten Sie eine dringende Nachricht zu Ihrem 1&1 DSL-Anschluss. 1&1 hat
es sich zur Aufgabe gemacht, vor den Gefahren des Internets zu warnen und seine
Kunden zu schützen.

Unser Expertenteam hat Hinweise erhalten, dass sich auf einem Computer an
Ihrem Anschluss ein Virus befindet: Ihr Anschluss hat Verbindung zum 1&1
Mailserver aufgenommen ohne zuvor eine Mailbox zu verwenden oder sich zu
authentifizieren. Dieses ungewöhnliche Verhalten wird in der Regel von einer
Virus-Software gesteuert. Den Namen des Virus konnten wir nicht feststellen.
[...]

hier mal der hijacklog

Zitat

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:29:52, on 01.04.2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Hotspot Shield\bin\openvpnas.exe
C:\Programme\Hotspot Shield\HssWPR\hsssrv.exe
C:\Programme\Hotspot Shield\bin\hsswd.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Sitecom\Common\RegistryWriter.exe
C:\Programme\iZ3D Driver\Win32\S3DCService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\DAEMON Tools Lite\daemon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Sitecom\Common\RaUI.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Hotspot Shield\bin\openvpntray.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: Hotspot Shield Class - {F9E4A054-E9B1-4BC3-83A3-76A1AE736170} - C:\Programme\Hotspot Shield\hssie\HssIE.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Ad-Watch] C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-21-1292428093-1532298954-1801674531-1003\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-21-1292428093-1532298954-1801674531-1003\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun (User '?')
O4 - HKUS\S-1-5-21-1292428093-1532298954-1801674531-1003\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-21-1292428093-1532298954-1801674531-1003 Startup: syspck32.exe (User '?')
O4 - Startup: syspck32.exe
O4 - Global Startup: FRITZ!DSL Startcenter.lnk = ?
O4 - Global Startup: Sitecom Wireless Utility.lnk = C:\Programme\Sitecom\Common\RaUI.exe
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programme\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - C:\Programme\PokerStars.NET\PokerStarsUpdate.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/MessengerGamesContent/GameContent/de/uno1/GAME_UNO1.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1246473744812
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Hotspot Shield Service (HotspotShieldService) - Unknown owner - C:\Programme\Hotspot Shield\bin\openvpnas.exe
O23 - Service: Hotspot Shield Routing Service (HssSrv) - AnchorFree Inc. - C:\Programme\Hotspot Shield\HssWPR\hsssrv.exe
O23 - Service: Hotspot Shield Tray Service (HssTrayService) - Unknown owner - C:\Programme\Hotspot Shield\bin\HssTrayService.EXE
O23 - Service: Hotspot Shield Monitoring Service (HssWd) - Unknown owner - C:\Programme\Hotspot Shield\bin\hsswd.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: AVM IGD CTRL Service (IGDCTRL) - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Ralink Registry Writer (RalinkRegistryWriter) - Ralink Technology, Corp. - C:\Programme\Sitecom\Common\RegistryWriter.exe
O23 - Service: S3D Service (Win32) - iZ3D Inc. - C:\Programme\iZ3D Driver\Win32\S3DCService.exe

--
End of file - 8281 bytes

eben war mein pc auch total lahm...weil svchost verrückt spinnt ich habe diesen prozess beendet und dann kam ein fenster mit dem hinweis dass mein pc automatisch heruntergefahren wird diesen vorgang habe ich dann mit shutdown -a unterbrochen

ich kann mich erinnern vor ein paar jahren machte ein wurm die runde der immer das herunterfahren des pc's erzwingen wollte aber seitdem ich ihn damals mit einem tool beseitigt hatte kam es nie mehr vor dass svchost auf über 70% steigt

mein pc spinnt in letzter zeit sowieso er freezt ohne jeglichen grund immer wieder ein aber das schon seitmonaten mal läuft alles reibungslos paar tage dann freezt er 2 mal hintereinander ein also quasi direkt nachdem neustart wieder und dann läuft alles soweit wieder normal ....vllt hängt das ja auch nicht jetzt unbedingt mit meinem befall zusammen aber hat jmd dazu vllt ach einen zusätzlichen rat?

bin über jegliche hilfe dankbar



EDIT://////


nachdem ich den 3. schritt befolgt und den rechner neugestartet hatte bekam ich 2 mal hintereinander kurz nach dem windows lade bildschirm einen bluescreen ich bin dann durch "letzte verfügbare konfi." wieder in windows hineingelangt


sobald ich dann den 4. schritt befolgen und einen Gmer Report erstellen will fragt bzw warnt das programm mich anfangs

"WARNING GMER has found system modification, which might have been caused by ROOTkit activity do you want to fully scan your system?"

wenn ich danach YES anklicke scant er ca 2 min danach verschwindet meine taskleiste so als ob ich im taskmanager explorer.exe beenden würde
wenn ich dann durch umwege versuche (z.B. weil ich noch firefox anhabe) den taskmanager manuel zu starten bleibt erstmal alles kurz hängen und ich bekomm einen bluescreen

also kann ich diesen schritt leider nicht machen
falls sich was verändert hat lass ich hijack jetzt nochmal durchlaufen


/////EDIT!!!!!

als ich eben hijack starten wollte stellte sich mein xp style automatisch auf den alten um also die fenster&taskleiste wurden eckig
danach startete mein pc sich einfach von selbst neu
also kann ich anscheinend hijack auch nicht mehr öffnen

WAS ISN AUFEINMAL LOS MIT MEINEM PC :S:S HILFE!! xDDD

#2 1. später solltest du dir über dein update verhalten gedanken machen, ist nicht besonders :-)
2. komplett abarbeiten, logs posten
http://board.protecus.de/t23188.htm
3. wenn der pc nicht unbedingt im netz sein muss, ziehe das netzwerkkabel bis wir fertig sind.

#3 ich habe es doch noch geschafft hijack laufen zu lassen schien anscheinend vorhin an etwas anderem zulegen hier die log

Zitat

Logfile of Trend Micro HijackThis v2.0.3 (BETA)
Scan saved at 14:49:40, on 02.04.2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Hotspot Shield\bin\openvpnas.exe
C:\Programme\Hotspot Shield\HssWPR\hsssrv.exe
C:\Programme\Hotspot Shield\bin\hsswd.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Sitecom\Common\RegistryWriter.exe
C:\Programme\iZ3D Driver\Win32\S3DCService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\DAEMON Tools Lite\daemon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Sitecom\Common\RaUI.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Hotspot Shield\bin\openvpntray.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\msiexec.exe
E:\HIJA.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: Hotspot Shield Class - {F9E4A054-E9B1-4BC3-83A3-76A1AE736170} - C:\Programme\Hotspot Shield\hssie\HssIE.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Ad-Watch] C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: FRITZ!DSL Startcenter.lnk = ?
O4 - Global Startup: Sitecom Wireless Utility.lnk = C:\Programme\Sitecom\Common\RaUI.exe
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programme\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - C:\Programme\PokerStars.NET\PokerStarsUpdate.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/MessengerGamesContent/GameContent/de/uno1/GAME_UNO1.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1246473744812
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Hotspot Shield Service (HotspotShieldService) - Unknown owner - C:\Programme\Hotspot Shield\bin\openvpnas.exe
O23 - Service: Hotspot Shield Routing Service (HssSrv) - AnchorFree Inc. - C:\Programme\Hotspot Shield\HssWPR\hsssrv.exe
O23 - Service: Hotspot Shield Tray Service (HssTrayService) - Unknown owner - C:\Programme\Hotspot Shield\bin\HssTrayService.EXE
O23 - Service: Hotspot Shield Monitoring Service (HssWd) - Unknown owner - C:\Programme\Hotspot Shield\bin\hsswd.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: AVM IGD CTRL Service (IGDCTRL) - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Ralink Registry Writer (RalinkRegistryWriter) - Ralink Technology, Corp. - C:\Programme\Sitecom\Common\RegistryWriter.exe
O23 - Service: S3D Service (Win32) - iZ3D Inc. - C:\Programme\iZ3D Driver\Win32\S3DCService.exe

--
End of file - 8094 bytes

HIER die Uninstalllist

Zitat

AC3Filter (remove only)
Ad-Aware
Ad-Aware
Adobe Anchor Service CS4
Adobe Bridge CS4
Adobe CMaps CS4
Adobe Color - Photoshop Specific CS4
Adobe Color EU Recommended Settings CS4
Adobe Color JA Extra Settings CS4
Adobe Color NA Extra Settings CS4
Adobe Color Video Profiles CS CS4
Adobe CSI CS4
Adobe Default Language CS4
Adobe Device Central CS4
Adobe Drive CS4
Adobe ExtendScript Toolkit CS4
Adobe Extension Manager CS4
Adobe Flash Player 10 ActiveX
Adobe Flash Player 10 Plugin
Adobe Fonts All
Adobe Illustrator CS4
Adobe Illustrator CS4
Adobe Linguistics CS4
Adobe Output Module
Adobe PDF Library Files CS4
Adobe Photoshop CS4
Adobe Photoshop CS4
Adobe Photoshop CS4
Adobe Photoshop CS4 Support
Adobe Reader 9.1 - Deutsch
Adobe Search for Help
Adobe Service Manager Extension
Adobe Setup
Adobe Setup
Adobe Shockwave Player 11.5
Adobe Type Support CS4
Adobe Update Manager CS4
Adobe WinSoft Linguistics Plugin
Adobe XMP Panels CS4
AdobeColorCommonSetCMYK
AdobeColorCommonSetRGB
Avira AntiVir Personal - Free Antivirus
AVM FRITZ!Box Dokumentation
AVM FRITZ!Box Druckeranschluss
AVM FRITZ!DSL
Bonjour
Canon CanoScan Toolbox 4.9
Compatibility Pack für 2007 Office System
Connect
CyberLink PowerDVD 9
CyberLink PowerDVD 9
DAEMON Tools Toolbar
Digital Audio Copy for Win32, Version 1.53
DivX Codec
DivX Converter
DivX Player
DivX Plus DirectShow Filters
DivX Web Player
EVEREST Home Edition v2.20
Exact Audio Copy 0.99pb5
FlashFXP v3
FlyakiteOSX
FreakShare Uploadtool 1.3
Free FLV Converter V 6.7.4
Free Video to JPG Converter version 1.5
Full Tilt Poker
Full Tilt Poker.Net
High Definition Audio Driver Package - KB888111
HiJackThis
HijackThis 2.0.2
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)
Hotfix for Windows Media Format 11 SDK (KB929399)
Hotfix for Windows XP (KB926239)
Hotfix für Windows Media Player 11 (KB939683)
Hotfix für Windows XP (KB935448)
Hotfix für Windows XP (KB952287)
Hotfix für Windows XP (KB961118)
Hotfix für Windows XP (KB970653-v3)
Hotfix für Windows XP (KB976098-v2)
Hotfix für Windows XP (KB979306)
Hotspot Shield 1.37
IsoBuster 2.5.5
iTunes
iZ3D Driver Remove
James Cameron's AVATAR(tm): DAS SPIEL
Java(TM) 6 Update 16
kuler
Malwarebytes' Anti-Malware
ManyCam 2.4 (remove only)
Messenger Plus! Live
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 Security Update (KB953297)
Microsoft .NET Framework 2.0 Service Pack 2
Microsoft .NET Framework 3.0 Service Pack 2
Microsoft .NET Framework 3.5 SP1
Microsoft .NET Framework 3.5 SP1
Microsoft Choice Guard
Microsoft Compression Client Pack 1.0 for Windows XP
Microsoft Games for Windows - LIVE
Microsoft Games for Windows - LIVE Redistributable
Microsoft User-Mode Driver Framework Feature Pack 1.0
Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
Microsoft WSE 3.0 Runtime
Monopoly Deluxe
Mozilla Firefox (3.5.9)
MSVCRT
MSXML 6 Service Pack 2 (KB973686)
MyPhoneExplorer
NVIDIA Display Control Panel
NVIDIA Drivers
NVIDIA nView Desktop Manager
NVIDIA PhysX
OpenOffice.org 3.1
PartyPoker
PC Inspector File Recovery
PDF Settings CS4
Photoshop Camera Raw
PokerStars
PokerStars.net
PowerISO
QuickTime
RainMaker AutoPoster 1.0.1.0
Realtek High Definition Audio Driver
Rosetta Stone Version 3
Segoe UI
Sicherheitsupdate für Windows Media Player (KB952069)
Sicherheitsupdate für Windows Media Player (KB954155)
Sicherheitsupdate für Windows Media Player (KB968816)
Sicherheitsupdate für Windows Media Player (KB973540)
Sicherheitsupdate für Windows Media Player 11 (KB936782)
Sicherheitsupdate für Windows Media Player 11 (KB954154)
Sicherheitsupdate für Windows XP (KB923561)
Sicherheitsupdate für Windows XP (KB938464-v2)
Sicherheitsupdate für Windows XP (KB941569)
Sicherheitsupdate für Windows XP (KB944338-v2)
Sicherheitsupdate für Windows XP (KB946648)
Sicherheitsupdate für Windows XP (KB950760)
Sicherheitsupdate für Windows XP (KB950762)
Sicherheitsupdate für Windows XP (KB950974)
Sicherheitsupdate für Windows XP (KB951066)
Sicherheitsupdate für Windows XP (KB951376-v2)
Sicherheitsupdate für Windows XP (KB951748)
Sicherheitsupdate für Windows XP (KB952004)
Sicherheitsupdate für Windows XP (KB952954)
Sicherheitsupdate für Windows XP (KB954600)
Sicherheitsupdate für Windows XP (KB955069)
Sicherheitsupdate für Windows XP (KB956572)
Sicherheitsupdate für Windows XP (KB956802)
Sicherheitsupdate für Windows XP (KB956803)
Sicherheitsupdate für Windows XP (KB956844)
Sicherheitsupdate für Windows XP (KB957097)
Sicherheitsupdate für Windows XP (KB958470)
Sicherheitsupdate für Windows XP (KB958644)
Sicherheitsupdate für Windows XP (KB958687)
Sicherheitsupdate für Windows XP (KB958869)
Sicherheitsupdate für Windows XP (KB959426)
Sicherheitsupdate für Windows XP (KB960225)
Sicherheitsupdate für Windows XP (KB960803)
Sicherheitsupdate für Windows XP (KB960859)
Sicherheitsupdate für Windows XP (KB961371)
Sicherheitsupdate für Windows XP (KB961373)
Sicherheitsupdate für Windows XP (KB961501)
Sicherheitsupdate für Windows XP (KB968537)
Sicherheitsupdate für Windows XP (KB969059)
Sicherheitsupdate für Windows XP (KB969897)
Sicherheitsupdate für Windows XP (KB969898)
Sicherheitsupdate für Windows XP (KB969947)
Sicherheitsupdate für Windows XP (KB970238)
Sicherheitsupdate für Windows XP (KB970430)
Sicherheitsupdate für Windows XP (KB971032)
Sicherheitsupdate für Windows XP (KB971468)
Sicherheitsupdate für Windows XP (KB971486)
Sicherheitsupdate für Windows XP (KB971557)
Sicherheitsupdate für Windows XP (KB971633)
Sicherheitsupdate für Windows XP (KB971657)
Sicherheitsupdate für Windows XP (KB971961)
Sicherheitsupdate für Windows XP (KB972260)
Sicherheitsupdate für Windows XP (KB972270)
Sicherheitsupdate für Windows XP (KB973346)
Sicherheitsupdate für Windows XP (KB973354)
Sicherheitsupdate für Windows XP (KB973507)
Sicherheitsupdate für Windows XP (KB973525)
Sicherheitsupdate für Windows XP (KB973869)
Sicherheitsupdate für Windows XP (KB973904)
Sicherheitsupdate für Windows XP (KB974112)
Sicherheitsupdate für Windows XP (KB974318)
Sicherheitsupdate für Windows XP (KB974392)
Sicherheitsupdate für Windows XP (KB974455)
Sicherheitsupdate für Windows XP (KB974571)
Sicherheitsupdate für Windows XP (KB975025)
Sicherheitsupdate für Windows XP (KB975467)
Sicherheitsupdate für Windows XP (KB975560)
Sicherheitsupdate für Windows XP (KB975561)
Sicherheitsupdate für Windows XP (KB976325)
Sicherheitsupdate für Windows XP (KB977165)
Sicherheitsupdate für Windows XP (KB977914)
Sicherheitsupdate für Windows XP (KB978037)
Sicherheitsupdate für Windows XP (KB978251)
Sicherheitsupdate für Windows XP (KB978262)
Sicherheitsupdate für Windows XP (KB978706)
Sitecom Wireless Network 300N Adapter
SopCast 3.0.3
Spybot - Search & Destroy
Star Spy Plus 1.0
Suite Shared Configuration CS4
Texas Calculatem 4 with "AutoRead"
Tuned!
Ulead PhotoImpact 12
Ulead PhotoImpact X3
Uninstall 1.0.0.1
Update for Microsoft .NET Framework 3.5 SP1 (KB963707)
Update für Windows XP (KB898461)
Update für Windows XP (KB925720)
Update für Windows XP (KB955759)
Update für Windows XP (KB955839)
Update für Windows XP (KB961503)
Update für Windows XP (KB967715)
Update für Windows XP (KB968389)
Update für Windows XP (KB971737)
Update für Windows XP (KB973687)
Update für Windows XP (KB973815)
Update für Windows XP (KB976749)
Update für Windows XP (KB978207)
Update für Windows XP (KB980182)
VC80CRTRedist - 8.0.50727.762
VIA Platform Device Manager
VIA Rhine-Family Fast Ethernet Adapter
VLC media player 0.9.9
Wichtiges Update für Windows Media Player 11 (KB959772)
Winamp
Windows Imaging Component
Windows Installer 3.1 (KB893803)
Windows Live Anmelde-Assistent
Windows Live Call
Windows Live Communications Platform
Windows Live Essentials
Windows Live Essentials
Windows Live Messenger
Windows Live-Uploadtool
Windows Media Format 11 runtime
Windows Media Format 11 runtime
Windows Media Player 11
Windows Media Player 11
WinRAR
XP Codec Pack
xVideos Video Downloader 3.18

#4 lass erst mal gmer weg und mach combofix

#5 hier die combofix datei

#6 versuche erneut gmer.

#7 leider selbe problem wieder

nachdem ich gmer starte und er anfängt zu scannen switcht mein xp style auf den alten style um und ich bekomme einen bluescreen mit folgendem inhalt

" [...]
Ein Treiber hat den stapelbasierten Puffer überschritten. Dieser Überlauf könnte es einem bösartigen Benutzer ermöglichen die Steuerung des Computers zuübernehmen
[...]"

#8 ok download radix:
http://www.chip.de/downloads/Radix-Antirootkit_33955330.html
schalte alle aktieven programme, wie das antivirus programm aus.
trenne die internetverbindung, in dem du wlan ausschaltest, bzw das netzwerkkabel ziehst, dann öffne radix, registerkarte 1-klick wartung, alles aktivieren, scan starten, log hochladen.
während des scans nicht am pc arbeiten.
falls meldungen auftauchen, poste diese.

#9 nach ner minute kam das


it is possible to do an extendet search for hidden drivers, i you enable the global flag FLG_MAINTAIN_OBJECT_TYPELIST of the windows kernel. this parameter is normally used for driver debugging purposes. Generally enabling it doesnt harm your system the perfomance penalty of telling the kernel that is has to keep a Typelist is neglegible in most cases Do you want me to enable this flag? please note that the setting will become effective after the next reboot so it wont be available for this scan you can always change this settings dialog

hab JA angekreuzt

danach füllte sich das vorher leere fenster dann kam eine fehlermeldung
"Das Laufwekr ist nicht bereit . die verriegelung könnte geöffnet sein. stellen sie sicher, dass ein datenräger in laufwerk eingelegt und die laufwerkverggleung geschlossen ist

hab weiter gedrückt da kein laufwerk offen ist danach kam die selbe fehlermeldung hab dann abbrechen gedrückt

daraus folgte dass bei
IRP hooks, Patched modules,SDT hooks, IDT hooks und bei IAT hooksein Warndreieck anstatt ein grüner hacken auftaucht

#10 kannst du mal nen neustart machen und das noch mal probieren? schau mal ob die meldung auftritt, falls ja versuch erst mal weiter oder dann abbrechen. sehe mir das log an, aber die obere endung wird ja, wie geschrieben erst nach neustart gültig
aber ich hab dein rootkit schon gefunden, das kriegen wir hin.

#11 habe deinen rat befolgt und einen neustart gemacht.....



wenn er bei HIDDEN REGISTRY ENTRIES angelangt ist kommt diese meldung

due to the undocumented nature of the registry, this check may return invalid results deleting data from the registry can do serious harm to your system therefore you shoudl be very cautious when interpreting the output of this scan are you sure taht you want to scan?

hab JA angekreuzt

dann kommt wieder die meldung mit dem laufwerk, hab auf weiter geklickt > selbe meldung...hab auch wiederholen geklickt > selbe meldung
selbe spiel IRP HOOKS,Patched modules,SDT hooks und IAT hooks bekommen ein warndreieck


( kann es vllt im zusammenhang mit der fehlermeldung liegen dass mein laufwerk schon seitlängeren aus unergreiflichen gründen keine cd's mehr liest ? sobald ich eine cd im laufwerk habe tut er so als ob keine drin wäre, ich habe mir das immer dadurch erklärt dass das laufwerk vllt an altersschwäche leidet und es auch dabei belassen)

#12 nein, die meldung verursacht das rootkit. ich muss erst durch schauen, moment

#13 start programme zubehör, editor, kopiere ein:


Killall::
Rootkit::
C:\WINDOWS\system32\drivers\vpjrp.sys
C:\WINDOWS\system32\drivers\ayh0iouy.SYS
Driver::
ayh0iouy
vpjrp
Registry::
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\vpjrp]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\vpjrp]


datei speichern unter, typ, alle dateien, name cfscript.txt
speicherort, dort wo sich combofix befindet.
ziehe cfscript.txt auf combofix.exe
programm startet, log posten.

#14 ComboFix 10-04-01.02 - Marko 02.04.2010 18:05:36.2.2 - x86
Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.2047.1389 [GMT 2:00]
ausgeführt von:: e:\mp3player\ComboFix.exe
Benutzte Befehlsschalter :: e:\mp3player\cfscript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_VPJRP
-------\Service_vpjrp


((((((((((((((((((((((( Dateien erstellt von 2010-03-02 bis 2010-04-02 ))))))))))))))))))))))))))))))
.

2010-04-02 13:17 . 2010-04-02 13:33 -------- d-----w- C:\test
2010-04-02 12:48 . 2010-04-02 12:48 -------- d-----w- c:\programme\TrendMicro
2010-04-01 22:42 . 2010-04-01 22:42 0 ----a-w- c:\windows\system32\cd.dat
2010-04-01 21:36 . 2010-04-01 21:36 -------- d-----w- c:\dokumente und einstellungen\Marko\Anwendungsdaten\Malwarebytes
2010-04-01 21:36 . 2010-03-29 22:46 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-04-01 21:36 . 2010-04-01 21:36 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2010-04-01 21:36 . 2010-04-01 21:36 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-04-01 21:36 . 2010-03-29 22:45 20824 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-03-31 12:00 . 2010-03-31 12:00 75 ----a-w- c:\windows\system32\nvUnsupRes.dat
2010-03-24 10:50 . 2010-03-24 10:51 -------- d-----w- C:\Hotspot Shield
2010-03-24 10:50 . 2010-03-24 10:51 -------- d-----w- c:\programme\Hotspot Shield
2010-03-17 14:20 . 2009-04-10 16:19 185344 ----a-w- c:\windows\system32\PCGW32.DLL
2010-03-17 14:20 . 2010-03-17 14:20 -------- d-----w- c:\dokumente und einstellungen\Marko\Anwendungsdaten\iZ3D Driver
2010-03-17 14:20 . 2010-03-17 14:27 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\iZ3D Driver
2010-03-17 14:20 . 2010-03-17 14:20 -------- d-----w- c:\programme\iZ3D Driver
2010-03-05 23:53 . 2010-02-12 10:03 293376 ------w- c:\windows\system32\browserchoice.exe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-04-02 12:48 . 2010-04-02 12:48 388096 ----a-r- c:\dokumente und einstellungen\Marko\Anwendungsdaten\Microsoft\Installer\{0761C9A8-8F3A-4216-B4A7-B7AFBF24A24A}\HiJackThis.exe
2010-04-01 17:17 . 2009-07-09 13:12 -------- d---a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2010-04-01 15:45 . 2009-07-09 13:12 -------- d-----w- c:\dokumente und einstellungen\Marko\Anwendungsdaten\MyPhoneExplorer
2010-04-01 11:58 . 2010-01-28 18:14 1 ----a-w- c:\dokumente und einstellungen\Marko\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-03-31 09:33 . 2010-03-31 09:33 8 ----a-w- c:\windows\system32\config\systemprofile\Anwendungsdaten\jasltw.dat
2010-03-29 15:53 . 2010-03-29 15:53 1925088 ----a-w- c:\dokumente und einstellungen\Marko\Anwendungsdaten\Macromedia\Flash Player\www.macromedia.com\bin\fpupdatepl\fpupdatepl.exe
2010-03-28 06:31 . 2001-08-23 12:00 84318 ----a-w- c:\windows\system32\perfc007.dat
2010-03-28 06:31 . 2001-08-23 12:00 458476 ----a-w- c:\windows\system32\perfh007.dat
2010-03-27 15:03 . 2009-07-08 21:09 -------- d-----w- c:\programme\Wilmaa
2010-03-23 13:10 . 2009-07-01 08:18 37888 ----a-w- c:\dokumente und einstellungen\Marko\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-03-22 18:51 . 2009-06-30 22:56 -------- d--h--w- c:\programme\InstallShield Installation Information
2010-03-22 18:49 . 2009-12-21 23:50 -------- d-----w- c:\programme\Pcsx2
2010-03-22 17:31 . 2009-10-05 10:04 -------- d-----w- c:\programme\Electronic Arts
2010-03-18 18:56 . 2009-07-24 18:18 -------- d-----w- c:\dokumente und einstellungen\Marko\Anwendungsdaten\dvdcss
2010-03-06 17:43 . 2009-07-02 08:47 -------- d-----w- c:\programme\iTunes
2010-03-06 17:18 . 2009-07-02 08:45 -------- d-----w- c:\programme\Gemeinsame Dateien\Apple
2010-03-04 12:20 . 2009-12-19 00:23 -------- d-----w- c:\programme\PokerStars
2010-03-01 19:12 . 2010-03-01 18:42 -------- d-----w- c:\dokumente und einstellungen\Marko\Anwendungsdaten\FreeFLVConverter
2010-03-01 18:42 . 2010-03-01 18:42 -------- d-----w- c:\programme\Free FLV Converter
2010-02-26 15:33 . 2010-02-26 15:33 -------- d-----w- c:\dokumente und einstellungen\Marko\Anwendungsdaten\Thinstall
2010-02-26 06:10 . 2004-08-03 22:57 667648 ------w- c:\windows\system32\wininet.dll
2010-02-26 06:10 . 2004-08-03 22:57 81920 ----a-w- c:\windows\system32\ieencode.dll
2010-02-20 01:30 . 2010-02-20 01:30 -------- d-----w- c:\programme\Animake
2010-02-20 01:29 . 2009-10-30 20:08 -------- d-----w- c:\dokumente und einstellungen\Marko\Anwendungsdaten\Winamp
2010-02-20 00:38 . 2010-02-20 00:37 -------- d-----w- c:\programme\ManyCam 2.4
2010-02-20 00:38 . 2010-02-20 00:37 -------- d-----w- c:\dokumente und einstellungen\Marko\Anwendungsdaten\ManyCam
2010-02-17 18:00 . 2010-02-17 18:00 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\ALM
2010-02-17 18:00 . 2009-07-02 17:18 -------- d-----w- c:\programme\Gemeinsame Dateien\Adobe
2010-02-11 10:45 . 2010-02-11 10:45 -------- dc----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{BC9FCCF7-E686-494B-8C9B-55C9A39A7CA9}
2010-01-28 18:00 . 2009-07-08 21:24 411368 ----a-w- c:\windows\system32\deploytk.dll
2010-01-08 23:42 . 2010-01-08 23:42 37376 ----a-w- c:\windows\system32\drivers\HssDrv.sys
2010-01-08 23:42 . 2010-01-08 23:42 32768 ----a-w- c:\windows\system32\drivers\taphss.sys
2010-01-07 17:19 . 2010-01-07 17:19 138 ----a-w- c:\dokumente und einstellungen\Marko\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
2009-07-14 00:16 . 2009-07-14 00:16 1044480 ----a-w- c:\programme\mozilla firefox\plugins\libdivx.dll
2009-07-14 00:16 . 2009-07-14 00:16 200704 ----a-w- c:\programme\mozilla firefox\plugins\ssldivx.dll
.

((((((((((((((((((((((((((((( SnapShot@2010-04-02_13.31.57 )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-04-02 16:14 . 2010-04-02 16:14 16384 c:\windows\temp\Perflib_Perfdata_760.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{F9E4A054-E9B1-4BC3-83A3-76A1AE736170}]
2010-03-24 10:50 220208 ----a-w- c:\programme\Hotspot Shield\hssie\HssIE.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\programme\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883840]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-01-26 2144088]
"DAEMON Tools Lite"="c:\programme\DAEMON Tools Lite\daemon.exe" [2009-04-23 691656]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"Ad-Watch"="c:\programme\Lavasoft\Ad-Aware\AAWTray.exe" [2010-03-01 524632]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2010-01-28 149280]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-11-20 12669544]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-03 15360]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Marko^Startmenü^Programme^Autostart^OpenOffice.org 3.1.lnk]
path=c:\dokumente und einstellungen\Marko\Startmenü\Programme\Autostart\OpenOffice.org 3.1.lnk
backup=c:\windows\pss\OpenOffice.org 3.1.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2009-02-27 15:10 35696 ----a-w- c:\programme\Adobe\Reader 9.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdobeCS4ServiceManager]
2008-08-14 05:58 611712 ----a-w- c:\programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BDRegion]
2009-02-28 17:40 75048 ----a-w- c:\programme\CyberLink\Shared Files\brs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2009-06-05 11:39 292136 ----a-w- c:\programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
2009-11-20 19:32 12669544 ----a-w- c:\windows\system32\nvcpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
2009-11-20 19:32 110184 ----a-w- c:\windows\system32\nvmctray.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PDVD9LanguageShortcut]
2008-10-13 18:41 50472 ------w- c:\programme\CyberLink\PowerDVD9\Language\Language.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PWRISOVM.EXE]
2008-03-14 23:50 233472 ----a-w- c:\programme\PowerISO\PWRISOVM.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2009-05-26 15:18 413696 ----a-w- c:\programme\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
2009-10-06 14:34 18750976 ----a-w- c:\windows\RTHDCPL.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\System Files Updater]
2006-02-25 11:58 118485 ----a-w- c:\windows\FlyakiteOSX\Tools\System Files Updater.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Ulead AutoDetector v2]
2007-08-02 19:08 95504 ----a-w- c:\programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\Monitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
2009-07-01 16:37 37888 ----a-w- c:\programme\Winamp\winampa.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"=
"c:\\Programme\\FRITZ!DSL\\FBOXUPD.EXE"=
"c:\\Programme\\FRITZ!DSL\\WebwaIgd.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Adobe\\CS4ServiceManager\\CS4ServiceManager.exe"=
"c:\\Programme\\CyberLink\\PowerDVD9\\PowerDVD Cinema\\PowerDVDCinema.exe"=
"c:\\Programme\\CyberLink\\PowerDVD9\\PowerDVD9.exe"=
"c:\\Programme\\SopCast\\adv\\SopAdver.exe"=
"c:\\Programme\\SopCast\\SopCast.exe"=
"c:\\Programme\\Java\\jre6\\bin\\javaw.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Java\\jre6\\bin\\java.exe"=
"c:\\Programme\\Ubisoft\\James Cameron's AVATAR - DAS SPIEL\\bin\\Avatar.exe"=
"c:\\Programme\\Ubisoft\\James Cameron's AVATAR - DAS SPIEL\\bin\\AvatarLauncher.exe"=
"c:\\Programme\\Rosetta Stone\\Rosetta Stone Version 3\\support\\bin\\win\\RosettaStoneLtdServices.exe"=
"c:\\Programme\\Rosetta Stone\\Rosetta Stone Version 3\\RosettaStoneVersion3.exe"=
"c:\\Programme\\FlashFXP\\FlashFXP.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5353:TCP"= 5353:TCP:Adobe CSI CS4

R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [01.07.2009 21:22 64160]
R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [02.07.2009 18:06 721904]
R1 iZ3DInjectionDriver;Driver inject our D3D and OGL wrappers;c:\programme\iZ3D Driver\Win32\S3DInjectionDriver.sys [17.03.2010 16:20 34968]
R2 {B154377D-700F-42cc-9474-23858FBDF4BD};Power Control [2009/07/24 22:08];c:\programme\CyberLink\PowerDVD9\000.fcl [28.02.2009 19:40 87536]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [01.07.2009 10:22 108289]
R2 HssWd;Hotspot Shield Monitoring Service;c:\programme\Hotspot Shield\bin\hsswd.exe [09.01.2010 01:42 285744]
R2 IGDCTRL;AVM IGD CTRL Service;c:\programme\FRITZ!DSL\IGDCTRL.EXE [04.09.2007 10:14 87344]
R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\programme\Lavasoft\Ad-Aware\AAWService.exe [09.03.2009 21:06 1029456]
R2 S3D Service (Win32);S3D Service (Win32);c:\programme\iZ3D Driver\Win32\S3DCService.exe [17.03.2010 16:20 360960]
R3 ManyCam;ManyCam Virtual Webcam, WDM Video Capture Driver;c:\windows\system32\drivers\ManyCam.sys [14.01.2008 12:06 21632]
S3 AIDA32Driver;AIDA32Driver;\??\c:\programme\AIDA32 - Enterprise System Information\aida32.sys --> c:\programme\AIDA32 - Enterprise System Information\aida32.sys [?]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [21.10.2009 16:30 1684736]
.
Inhalt des "geplante Tasks" Ordners

2010-03-31 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-03-09 20:22]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
uInternet Settings,ProxyOverride = *.local
IE: {{FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - c:\programme\PokerStars.NET\PokerStarsUpdate.exe
FF - ProfilePath - c:\dokumente und einstellungen\Marko\Anwendungsdaten\Mozilla\Firefox\Profiles\eg3jxmit.default\
FF - prefs.js: browser.startup.homepage - about:blank
FF - plugin: c:\dokumente und einstellungen\All Users\Anwendungsdaten\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll
FF - plugin: c:\dokumente und einstellungen\Marko\Anwendungsdaten\Mozilla\Firefox\Profiles\eg3jxmit.default\extensions\firefox@tvunetworks.com\plugins\npTVUAx.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npzylomgamesplayer.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-04-02 18:14
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x8A7431F8]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xb80ecfc3
\Driver\ACPI -> ACPI.sys @ 0xb7e65cb8
\Driver\atapi -> 0x8a7431f8
IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x8058241c
ParseProcedure -> ntkrnlpa.exe @ 0x8058155c
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x8058241c
ParseProcedure -> ntkrnlpa.exe @ 0x8058155c
NDIS: VIA Rhine II Fast Ethernet Adapter -> SendCompleteHandler -> NDIS.sys @ 0xb7bd3ba0
PacketIndicateHandler -> NDIS.sys @ 0xb7bc2a0b
SendHandler -> NDIS.sys @ 0xb7bd6b31
Warning: possible MBR rootkit infection !
user & kernel MBR OK

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet002\Services\{B154377D-700F-42cc-9474-23858FBDF4BD}]
"ImagePath"="\??\c:\programme\CyberLink\PowerDVD9\000.fcl"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1292428093-1532298954-1801674531-1003\Software\SecuROM\License information*]
"datasecu"=hex:3e,d7,c1,1d,0b,40,f3,56,3e,8a,80,ca,c9,50,6f,22,39,f3,a4,e3,b2,
5f,91,3d,fa,69,4d,66,c7,e0,f9,e6,c0,61,93,ba,0f,5d,6c,65,3a,55,87,9b,fc,4f,\
"rkeysecu"=hex:fc,a2,2d,0b,24,2f,b9,0c,6d,b2,57,fb,87,ea,5b,26
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(932)
c:\programme\Gemeinsame Dateien\Adobe\Adobe Drive CS4\AdobeDriveCS4_NP.dll

- - - - - - - > 'explorer.exe'(4080)
c:\programme\iZ3D Driver\Win32\S3DInjector.dll
c:\windows\system32\msi.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
c:\programme\WinRAR\rarext.dll
c:\programme\Avira\AntiVir Desktop\shlext.dll
c:\programme\PowerISO\PWRISOSH.DLL
c:\programme\Malwarebytes' Anti-Malware\mbamext.dll
c:\programme\Lavasoft\Ad-Aware\ShellExt.dll
c:\windows\system32\browselc.dll
c:\programme\Spybot - Search & Destroy\SDHelper.dll
c:\programme\Gemeinsame Dateien\Adobe\Adobe Drive CS4\AdobeDriveCS4_NP.dll
c:\windows\system32\shdoclc.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\nvsvc32.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\programme\Hotspot Shield\bin\openvpnas.exe
c:\programme\Hotspot Shield\HssWPR\hsssrv.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Sitecom\Common\RegistryWriter.exe
c:\windows\system32\wbem\unsecapp.exe
c:\programme\Hotspot Shield\bin\openvpntray.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-04-02 18:21:07 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2010-04-02 16:21
ComboFix2.txt 2010-04-02 13:33

Vor Suchlauf: 10 Verzeichnis(se), 50.483.392.512 Bytes frei
Nach Suchlauf: 11 Verzeichnis(se), 50.502.844.416 Bytes frei

- - End Of File - - D798EBAEC65A03A9406BEF9859CCA867

#15 ok, folgendes.
rechtsklick avira schirm, guard deaktivieren.
öffne arbeitsplatz, c:
dort den ordner qoobox suchen
und mit winzip oder rar packen.
lad ihn hoch zu
www.file-upload.net
sende mir den download link als pm.
du hast dort nen rootkit driver, den ich mir ansehen will.
danach gehts weiter.