Hallo!
Ich hoffe sehr mir kann jemand helfen...!
Seit gestern Abend sagt mir Antivir das sich der Trojaner TR/Crypt.FKM.Gen auf meinem Rechner (Windows XP) befindet. Das selbe Fenster poppt mindestens 3 mal auf. Wenn ich auf löschen klicke tut sich gar nichts, geht nur bei in Qarantäne verschieben weg, ist aber beim nächsten hochfahren wieder da. Ich habe schon versucht was darüber nachzulesen bzw. rauszukriegen wie man den Trojaner wegkriegt, bin aber ein totaler Laie und habe Angst was falsch zu machen! Ich brauche echt Hilfe!
Außerdem hat der Desktop seit heute einen stark gelblichen Farbstich, keine Ahnung ob das was damit zu tun hat...? Hoffe mein Problem ist nicht ganz so groß wie es mir im Moment scheint!
Danke schonmal!

Hey,

hört sich stark nach Silentbanker an.
Führe mal bitte zwecks Analyse diese vier Tools aus:

1.)
IceSword

Hier gibt es das Tool => Klick
(Für Vista => Klick)

FileReg öffnet ein Kommandozeilenfenster, von dem aus man das Dateisystem und die Registry bearbeiten kann. Dazu gehört auch eine einfache Suchfunktion, die ähnlich wie Rootkit Revealer nach verstecken Dateien sucht . Damit lässt sich zum Beispiel Rustock-B (alias lzx32.sys) finden.

1. 
2. 

• Kopiere den Text, der im Kommandozeilenfenster steht.
• Gehe dazu wie folgt vor:

Oben rechts auf das "Schwert-Symbol" klicken => Edit => Select All => wieder auf das "Schwert-Symbol" klicken => Edit => Copy
Füge den Text bitte in Deine nächste Antwort mit ein:

HTML-Code:

[CODE]Hier das Logfile rein![/CODE]

2.)
Blacklight scannen lassen

• Lade F-Secure Blacklight runter in einen eigenen Ordner, z.B. C:\programme\blacklight. Sollte der Download nicht klappen, dann probiere es mit diesem Link.
• Starte in diesem Ordner blbeta.exe. Alle anderen Programme schließen.
• Klick "I accept the agreement", "next", "Scan".
• Wenn der Scan fertig ist beende Blacklight mit "Close".
• Im Verzeichnis von Blacklight findest Du das erstellte Log fsbl-XXX.log, anstelle der XXX steht eine längere Folge von Ziffern.

3.)
Random's System Information Tool

• Lade dir die RSIT.exe von random/random herunter und speichere sie auf den Desktop.
• Starte RSIT mit einem Doppelklick.
• Klicke auf Continue um die Nutzungsbedingungen zu akzeptieren.
• Nach dem Scan werden zwei Logfiles erstellt (log.txt und info.txt)
• Poste den Inhalt der beiden Logfiles in [code]-Tags:

HTML-Code:

[CODE]Hier das Logfile rein![/CODE]

4.)
BankerFix (by ***aDefensiva)

• Lade Dir bankerfix.exe von hier und speichere es auf den Desktop ab.
  (Die Website wird mögl. als attackierend gemeldet. Diese Meldung bitte ignorieren.)
• Starte BankerFix mit einem Doppelklick.
• Das Programm benötigt das Internet, es wird dich ggf. fragen, ob es eine Verbindung aufbauen darf. Beantworte dies mit Yes / Ok.
• Es öffnet sich ein DOS Fenster, um fortzufahren, klicke eine beliebige Taste.
• Wenn der Suchlauf beendet ist, wird ein Report-Log gespeichert.
  Den findest du hier => C:\***aDefensiva\relatorio.txt
• Poste bitte den kompletten Inhalt des Logs, bitte in [code]-Tags umschlossen:

HTML-Code:

[CODE]Hier das Logfile rein![/CODE]

mfg

Vielen Dank für die Hilfe, aber ich kann schon den ersten Schritt nicht ausführen. Wenn ich auf öffnen klicke öffnet sich eine Word Datei mit lauter Seitenwechseln und Symbolen. Ich komme mir wirklich voll dämlich vor...

Lade dir das ZIP-Archiv auf den Desktop => entpacke es => Geh in den erstellten Ordner => Doppelklick auf die .exe

Hab es doch hingekriegt.... Sorry, war wohl zu panisch!
IceSword FileReg plugin [version 1.20]

Find out 1 disk.
>

Ergebnis von Blacklight:
11/14/08 22:13:10 [Info]: BlackLight Engine 2.2.1092 initialized
11/14/08 22:13:10 [Info]: OS: 5.1 build 2600 (Service Pack 3)
11/14/08 22:13:10 [Note]: 7019 4
11/14/08 22:13:10 [Note]: 7005 0

und
11/14/08 22:05:05 [Info]: BlackLight Engine 2.2.1092 initialized
11/14/08 22:05:05 [Info]: OS: 5.1 build 2600 (Service Pack 3)
11/14/08 22:05:06 [Note]: 7019 4
11/14/08 22:05:06 [Note]: 7005 0
11/14/08 22:05:17 [Note]: 7006 0
11/14/08 22:05:18 [Note]: 7011 1596
11/14/08 22:05:18 [Note]: 7035 0
11/14/08 22:05:18 [Note]: 7026 0
11/14/08 22:05:18 [Note]: 7026 0
11/14/08 22:05:32 [Note]: FSRAW library version 1.7.1024
11/14/08 22:12:55 [Note]: 7007 0

Code: Alles auswählenAufklappen

ATTFilter

info.txt logfile of random's system information tool 1.04 2008-11-14 22:16:09

======Uninstall list======

-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{2638924D-DC58-4C40-BB1C-48C2B24B7B1B}\Setup.exe" -L0x7
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{52739387-B81C-4C55-9593-EB7A1044A657}\Setup.exe" -L0x7
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{22EB2FA7-1BA0-4FFB-972F-353EC6ABA9D5}\setup.exe" -l0x7  -removeonly
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{28B97CAB-828F-49D8-A30A-675476F9BA92}\setup.exe" -l0x7 /cont -removeonly
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{4E7DC12A-3597-4A94-9429-F6C6987361B1}\setup.exe" -l0x7  -removeonly
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{6813C983-427E-4511-8456-E98FCAA1A125}\setup.exe" -l0x7  -removeonly
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{7DADB304-AF20-48C3-A780-4B4133A08817}\setup.exe" -l0x7  -removeonly
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{9C423CF6-2DAA-4A37-94B8-59D7ECC7DB13}\setup.exe" -l0x7  -removeonly
-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{ACE66099-E18E-4037-83C8-9D182E5B9FA8}\setup.exe" -l0x7  -removeonly
-->RunDll32
         

Code: Alles auswählenAufklappen

ATTFilter

Logfile of random's system information tool 1.04 (written by random/random)
Run by *** at 2008-11-14 22:15:43
Microsoft Windows XP Home Edition Service Pack 3
System drive C: has 10 GB (27%) free of 38 GB
Total RAM: 255 MB (25% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:16:05, on 14.11.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\windows\system32\nvsvc32.exe
C:\windows\System32\svchost.exe
C:\windows\Explorer.EXE
C:\windows\SOUNDMAN.EXE
C:\Programme\ahead\InCD\InCD.exe
C:\windows\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\windows\system32\NOTEPAD.EXE
C:\windows\system32\NOTEPAD.EXE
C:\windows\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\***\Desktop\RSIT.exe
C:\Programme\trend micro\***.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (file missing)
O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file)
O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [dmuxo.exe] C:\WINDOWS\system32\dmuxo.exe
O4 - HKLM\..\Run: [CanonMyPrinter] C:\Programme\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKCU\..\Run: [CTFMON.EXE] C:\windows\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [desktop] C:\WINDOWS\system32\idemlog.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKCU\..\Run: [Packard Bell Software Suite] C:\Programme\Packard Bell\Packard Bell Software Suite\Launcher.exe /run
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Secunia PSI (RC4).lnk = C:\Programme\Secunia\PSI (RC4)\psi.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Add to AMV Convert Tool... - C:\Programme\MP3 Player Utilities 3.81\AMVConverter\grab.html
O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Programme\MP3 Player Utilities 3.81\MediaManager\grab.html
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\windows\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\windows\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-48.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1220348645687
O17 - HKLM\System\CCS\Services\Tcpip\..\{28956E88-B482-4AA8-B6E2-D707D190A7AB}: NameServer = 85.255.113.91 85.255.112.238
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.91 85.255.112.238
O17 - HKLM\System\CS1\Services\Tcpip\..\{28956E88-B482-4AA8-B6E2-D707D190A7AB}: NameServer = 85.255.113.91 85.255.112.238
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.113.91 85.255.112.238
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.91 85.255.112.238
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\windows\system32\nvsvc32.exe
O23 - Service: Packard Bell Software Suite Service 1 (Service1) - Unknown owner - C:\Programme\Packard Bell\Packard Bell Software Suite\PowerSave\HDPBSSS.exe (file missing)

--
End of file - 5396 bytes

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
Adobe PDF Reader Link Helper - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll []

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{08BEC6AA-49FC-4379-3587-4B21E286C19E}]
SearchToolbar

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{08BEC6AA-49FC-4379-3587-4B21E286C19E} -  []

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"=C:\windows\SOUNDMAN.EXE [2002-06-18 46592]
"NvCplDaemon"=NvQTwk []
"nwiz"=nwiz.exe /install []
"NeroCheck"=C:\WINDOWS\system32\NeroCheck.exe [2001-07-09 155648]
"InCD"=C:\Programme\ahead\InCD\InCD.exe [2002-04-19 1003520]
"UserFaultCheck"=C:\windows\system32\dumprep 0 -u []
"AVGCtrl"=C:\Programme\AVPersonal\AVGNT.EXE /min []
"dmuxo.exe"=C:\WINDOWS\system32\dmuxo.exe []
"CanonMyPrinter"=C:\Programme\Canon\MyPrinter\BJMyPrt.exe [2007-09-13 1603152]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=C:\windows\system32\ctfmon.exe [2008-04-14 15360]
"MSMSGS"=C:\Programme\Messenger\msmsgs.exe [2008-04-14 1695232]
"desktop"=C:\WINDOWS\system32\idemlog.exe []
"updateMgr"=C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe [2006-03-30 313472]
"Packard Bell Software Suite"=C:\Programme\Packard Bell\Packard Bell Software Suite\Launcher.exe /run []

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
Adobe Reader Speed Launch.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe

C:\Dokumente und Einstellungen\Anne\Startmenü\Programme\Autostart
Secunia PSI (RC4).lnk - C:\Programme\Secunia\PSI (RC4)\psi.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon]
C:\windows\system32\WgaLogon.dll [2007-02-15 236928]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
UPnPMonitor - {e57ce738-33e8-4c51-8354-bb4de9d215d1} - C:\WINDOWS\system32\upnpui.dll [2008-04-14 239616]
WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\nm]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\nm.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\UploadMgr]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=0
"NoBandCustomize"=1

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\Skype\Phone\Skype.exe"="C:\Programme\Skype\Phone\Skype.exe:*:Enabled:Skype"
"C:\Programme\WinMX\WinMX.exe"="C:\Programme\WinMX\WinMX.exe:*:Enabled:WinMX Application"
"C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe"="C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe:*:Enabled:BlueSoleil"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Programme\Last.fm\LastFM.exe"="C:\Programme\Last.fm\LastFM.exe:*:Enabled:Last.fm"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5cd93978-3064-11dc-a351-001167308c09}]
shell\Auto\command - vwpzwidxu.exe
shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL vwpzwidxu.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a8399008-5ee0-11dd-a7ca-0020edb01b94}]
shell\AutoRun\command - F:\ClickMe.exe


======List of files/folders created in the last 1 months======

2008-11-14 22:15:46 ----D---- C:\Programme\trend micro
2008-11-14 22:15:43 ----D---- C:\rsit
2008-11-14 22:03:00 ----A---- C:\Programme\fsbl.exe
2008-11-14 11:07:04 ----D---- C:\Programme\Secunia
2008-11-14 10:59:33 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adobe
2008-11-14 10:46:40 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\WinRAR
2008-11-14 10:41:21 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Google
2008-11-14 10:37:16 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google
2008-11-14 10:37:10 ----D---- C:\Programme\Google
2008-11-02 14:00:07 ----A---- C:\windows\system32\1$.tmp
2008-11-02 12:16:32 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Canon
2008-10-31 23:24:26 ----D---- C:\Programme\Packard Bell
2008-10-31 23:23:02 ----D---- C:\Programme\Packard Bell External HDD
2008-10-19 11:18:30 ----D---- C:\Programme\Gemeinsame Dateien\CANON
2008-10-19 11:15:42 ----HD---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonBJ
2008-10-19 11:15:12 ----A---- C:\windows\system32\CNMLM9I.DLL
2008-10-19 11:15:05 ----HD---- C:\windows\system32\CanonIJ Uninstaller Information
2008-10-19 11:14:52 ----A---- C:\windows\system32\CNC190O.DLL
2008-10-19 11:14:51 ----A---- C:\windows\system32\CNC190L.DLL
2008-10-19 11:14:51 ----A---- C:\windows\system32\CNC190I.DLL
2008-10-19 11:14:51 ----A---- C:\windows\system32\CNC190C.DLL
2008-10-19 11:14:35 ----HD---- C:\Programme\CanonBJ
2008-10-19 11:13:15 ----D---- C:\Programme\Canon
2008-10-19 11:10:10 ----HD---- C:\BJPrinter

======List of files/folders modified in the last 1 months======

2008-11-14 22:15:46 ----RD---- C:\Programme
2008-11-14 21:54:58 ----D---- C:\windows\system32\drivers
2008-11-14 20:21:16 ----D---- C:\Programme\Mozilla Firefox
2008-11-14 20:03:26 ----D---- C:\windows\Prefetch
2008-11-14 20:03:25 ----HD---- C:\windows\inf
2008-11-14 20:03:22 ----D---- C:\windows\system32
2008-11-14 20:02:58 ----SHD---- C:\windows\Installer
2008-11-14 20:01:25 ----D---- C:\windows\Temp
2008-11-14 19:59:03 ----D---- C:\windows\system32\CatRoot2
2008-11-14 17:17:02 ----A---- C:\windows\SchedLgU.Txt
2008-11-14 16:42:18 ----D---- C:\WINDOWS
2008-11-14 11:02:22 ----D---- C:\windows\system32\Macromed
2008-11-14 10:59:38 ----D---- C:\windows\WinSxS
2008-11-14 10:59:19 ----D---- C:\Programme\Gemeinsame Dateien\Adobe
2008-11-14 10:52:00 ----SD---- C:\windows\Downloaded Program Files
2008-11-14 10:45:41 ----D---- C:\Programme\WinRAR
2008-11-13 09:06:46 ----D---- C:\Programme\AntiVir PersonalEdition Classic
2008-11-12 21:26:01 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-11-02 12:13:39 ----D---- C:\windows\system32\Samsung_USB_Drivers
2008-11-01 14:22:26 ----RSHDC---- C:\windows\system32\dllcache
2008-11-01 14:17:34 ----HD---- C:\Programme\InstallShield Installation Information
2008-11-01 14:17:34 ----D---- C:\Programme\InterVideo
2008-10-26 02:03:45 ----AC---- C:\windows\system32\PerfStringBackup.INI
2008-10-19 11:21:18 ----D---- C:\windows\Media
2008-10-19 11:18:30 ----D---- C:\Programme\Gemeinsame Dateien
2008-10-19 11:15:04 ----D---- C:\windows\twain_32

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 avgio;avgio; \??\C:\Programme\AntiVir PersonalEdition Classic\avgio.sys []
R1 Cdr4_xp;Cdr4_xp; C:\windows\system32\drivers\Cdr4_xp.sys [2006-08-28 2432]
R1 Cdralw2k;Cdralw2k; C:\windows\system32\drivers\Cdralw2k.sys [2006-08-28 2560]
R1 intelppm;Intel-Prozessortreiber; C:\windows\System32\DRIVERS\intelppm.sys [2008-04-14 40448]
R1 StarOpen;StarOpen; C:\windows\system32\drivers\StarOpen.sys [2006-07-24 5632]
R1 WS2IFSL;Windows Socket 2.0 Non-IFS-Dienstanbieter-Unterstützungsumgebung; C:\windows\System32\drivers\ws2ifsl.sys [2001-08-18 12032]
R2 BsUDF;InCD UDF Driver; C:\windows\system32\drivers\BsUDF.sys [2002-04-19 329728]
R3 actser;actser; C:\windows\system32\drivers\actser.sys [2005-09-12 29440]
R3 ALCXWDM;Service for Avance AC97 Audio (WDM); C:\windows\system32\drivers\ALCXWDM.SYS [2002-06-21 655596]
R3 avgntflt;avgntflt; \??\C:\Programme\AntiVir PersonalEdition Classic\avgntflt.sys []
R3 ms_mpu401;Microsoft MPU-401 MIDI UART-Treiber; C:\windows\system32\drivers\msmpu401.sys [2001-08-17 2944]
R3 nv;nv; C:\windows\System32\DRIVERS\nv4_mini.sys [2002-05-03 931882]
R3 rtl8139;Realtek RTL8139/810x Family Fast Ethernet NIC NT Driver; C:\windows\system32\DRIVERS\R8139n51.SYS [2002-06-13 45568]
R3 usbehci;Microsoft USB 2.0 Enhanced Host Controller Miniport Driver; C:\windows\system32\DRIVERS\usbehci.sys [2008-04-13 30208]
R3 usbhub;Microsoft USB-Standardhubtreiber; C:\windows\System32\DRIVERS\usbhub.sys [2008-04-13 59520]
R3 usbohci;Miniporttreiber für Microsoft USB Open Host-Controller; C:\windows\System32\DRIVERS\usbohci.sys [2008-04-13 17152]
S1 kbdhid;Tastatur-HID-Treiber; C:\windows\system32\DRIVERS\kbdhid.sys [2008-04-14 14720]
S2 ZPMODEMSYSNTDRVNT;ZPMODEMSYSNTDRVNT; \??\C:\WINDOWS\system32\drivers\zpmodemnt.sys []
S3 BlueletAudio;Bluetooth Audio Service; C:\windows\system32\DRIVERS\blueletaudio.sys []
S3 BlueletSCOAudio;Bluetooth SCO Audio Service; C:\windows\system32\DRIVERS\BlueletSCOAudio.sys []
S3 BT;Bluetooth PAN Network Adapter; C:\windows\system32\DRIVERS\btnetdrv.sys []
S3 Btcsrusb;Bluetooth USB For Bluetooth Service; C:\windows\System32\Drivers\btcusb.sys []
S3 BTHidEnum;Bluetooth HID Enumerator; C:\windows\system32\DRIVERS\vbtenum.sys []
S3 CCDECODE;Untertiteldecoder; C:\windows\system32\DRIVERS\CCDECODE.sys [2008-04-13 17024]
S3 MIINPazX;MIINPazX NDIS Protocol Driver; \??\C:\PROGRA~1\GEMEIN~1\MARMIK~1\MInfraIS\MIINPazX.SYS []
S3 mouhid;Maus-HID-Treiber; C:\windows\System32\DRIVERS\mouhid.sys [2001-08-18 12288]
S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\windows\system32\drivers\MSTEE.sys [2008-04-13 5504]
S3 NABTSFEC;NABTS/FEC VBI-Codec; C:\windows\system32\DRIVERS\NABTSFEC.sys [2008-04-13 85248]
S3 NdisIP;Microsoft TV-/Videoverbindung; C:\windows\system32\DRIVERS\NdisIP.sys [2008-04-13 10880]
S3 nm;Netzwerkmonitortreiber; C:\windows\system32\DRIVERS\NMnt.sys [2008-04-13 40320]
S3 OxUSBTIMOUT;OxUSBTIMOUT; C:\windows\system32\DRIVERS\OxUSBTIMOUT.sys [2007-06-07 34152]
S3 PSI;PSI; C:\windows\system32\DRIVERS\psi_mf.sys [2008-10-27 7808]
S3 ROOTMODEM;Microsoft Legacy Modem Driver; C:\windows\System32\Drivers\RootMdm.sys [2001-08-18 5888]
S3 SLIP;BDA Slip De-Framer; C:\windows\system32\DRIVERS\SLIP.sys [2008-04-13 11136]
S3 SONYPVU1;Sony USB-Filtertreiber (SONYPVU1); C:\windows\system32\DRIVERS\SONYPVU1.SYS [2001-08-17 7552]
S3 streamip;BDA-IPSink; C:\windows\system32\DRIVERS\StreamIP.sys [2008-04-13 15232]
S3 T5100_usb;LGE USB driver; C:\windows\System32\Drivers\T5100.sys [2004-10-20 29568]
S3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\windows\system32\DRIVERS\usbccgp.sys [2008-04-13 32128]
S3 usbprint;Microsoft USB-Druckerklasse; C:\windows\system32\DRIVERS\usbprint.sys [2008-04-13 25856]
S3 usbscan;USB-Scannertreiber; C:\windows\system32\DRIVERS\usbscan.sys [2008-04-13 15104]
S3 USBSTOR;USB-Massenspeichertreiber; C:\windows\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368]
S3 VComm;Virtual Serial port driver; C:\windows\system32\DRIVERS\VComm.sys []
S3 VcommMgr;Bluetooth VComm Manager Service; C:\windows\System32\Drivers\VcommMgr.sys []
S3 VHidMinidrv;Bluetooth HID Device Service; C:\windows\system32\drivers\VHIDMini.sys []
S3 vsbus;Virtual Serial Bus Enumerator; C:\windows\system32\DRIVERS\vsb.sys [2005-09-12 15264]
S3 vserial;ELTIMA Virtual Serial Ports Driver; C:\windows\System32\DRIVERS\vserial.sys [2005-09-12 47744]
S3 WSTCODEC;World Standard Teletext-Codec; C:\windows\system32\DRIVERS\WSTCODEC.SYS [2008-04-13 19200]
S3 WudfPf;Windows Driver Foundation - User-mode Driver Framework Platform Driver; C:\windows\system32\DRIVERS\WudfPf.sys [2006-09-28 77568]
S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\windows\system32\DRIVERS\wudfrd.sys [2006-09-28 82944]
S4 IntelIde;IntelIde; C:\windows\system32\drivers\IntelIde.sys []

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AntiVirScheduler;AntiVir PersonalEdition Classic Planer; C:\Programme\AntiVir PersonalEdition Classic\sched.exe [2008-10-23 68865]
R2 AntiVirService;AntiVir PersonalEdition Classic Guard; C:\Programme\AntiVir PersonalEdition Classic\avguard.exe [2008-10-23 151297]
R2 NVSvc;NVIDIA Driver Helper Service; C:\windows\system32\nvsvc32.exe [2002-05-03 61440]
S2 Service1;Packard Bell Software Suite Service 1; C:\Programme\Packard Bell\Packard Bell Software Suite\PowerSave\HDPBSSS.exe []
S3 aspnet_state;ASP.NET State Service; C:\windows\Microsoft.NET\Framework\v1.1.4322\aspnet_state.exe [2004-07-15 32768]
S3 WMPNetworkSvc;Windows Media Player-Netzwerkfreigabedienst; C:\Programme\Windows Media Player\WMPNetwk.exe [2006-11-03 920576]
S3 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\windows\system32\svchost.exe [2008-04-14 14336]

-----------------EOF-----------------
         

Code: Alles auswählenAufklappen

ATTFilter

BankerFix 3.0 VALKYRIE - Banker Trojan Remover
***a Defensiva | http://www.linhadefensiva.org
http://www.linhadefensiva.org/bankerfix/
-------------------------------------------------------
Date: 2008-11-14 - 22:31
-------------------------------------------------------
Version: 2008-10-08-1 | CORE: 2008-09-30-2
=======================================================

Infected file detected: C:\WINDOWS\system32\process.exe
Infected file successfully removed.



----- End -------------------------
         

Hoffe ich hab alles richtig gemacht?!

Ja sieht gut aus.

Poste mal bitte den Avira Fund.

In der Datei 'C:\WINDOWS\system32\c_774380.nls'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.FKM.Gen' [trojan] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben

So, jetzt gehen wir mal radikaler ran:

1.)
Dateipfad finden:

1. Klicke auf Start => Ausführen
2. Kopiere das unten stehende Skript hinein
3. Drücke Enter

Code: Alles auswählenAufklappen

ATTFilter

cmd /c dir /s /a "c:\*~*.*" > c:\find.txt & notepad c:\find.txt
         

Der Editor wird sich mit der Datei c:\find.txt öffnen. Bitte poste den Inhalt hier in den Thread.


2.)
ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)

3.)
Gmer scannen lassen

Lade dir Gmer von dieser Seite runter und entpacke es auf deinen Desktop.

• Starte gmer.exe und gehe zum Tab Rootkit. Alle anderen Programme sollen geschlossen sein.

• Stelle sicher, daß in der Leiste rechts alles von "System" bis "ADS" angehakt ist
• (Wichtig: "Show all" darf nicht angehakt sein)

• Starte den Durchlauf mit "Scan".

• Mache nichts am Computer während der Scan läuft.

• Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird GMER beendet.

• Füge das Log aus der Zwischenablage in deine Antwort hier ein.

Sooo...
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 149C-455F

Verzeichnis von c:\

19.10.2008 11:10 <DIR> BJPrinter
11.10.2008 14:13 <DIR> Dokumente und Einstellungen
15.08.2008 11:29 <DIR> Downloads
30.04.2008 18:37 <DIR> DVDVideoSoft
14.11.2008 22:31 <DIR> ***aDefensiva
14.11.2008 22:15 <DIR> Programme
15.08.2008 11:32 <DIR> Program Files
07.07.2005 15:14 <DIR> System Volume Information
14.05.2007 15:11 161 TO_InstallLog.txt
25.09.2006 10:10 824.853 WS2006-P2.zip
2 Datei(en) 825.014 Bytes

Verzeichnis von c:\Bio_Rad

15.08.2008 11:26 <DIR> ChromKeeper
0 Datei(en) 0 Bytes

Verzeichnis von c:\Bio_Rad\ChromKeeper

19.01.2006 18:46 2.332 ChromKeeper.bcg
1 Datei(en) 2.332 Bytes

Verzeichnis von c:\Dokumente und Einstellungen

24.07.2005 10:01 <DIR> All Users
24.07.2005 10:01 <DIR> Default User
07.07.2005 15:16 <DIR> LocalService
13.03.2007 17:55 <DIR> ***
07.07.2005 14:49 <DIR> NetworkService
0 Datei(en) 0 Bytes

Verzeichnis von c:\Dokumente und Einstellungen\All Users

14.11.2008 10:59 <DIR> Anwendungsdaten
25.08.2008 10:47 <DIR> Dokumente

Soll ich Antivir und die Firewall deaktivieren, meinst du das mit schließen? Habe ich sonst noch Hintergrundwächter?

Ja genau, den AntiVir Guard und die Firewall ausschalten.

ComboFix 08-11-12.02 - *** 2008-11-14 23:35:48.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.87 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\Downloaded Program Files\setup.inf
c:\windows\system32\pppcgm.exe

.
((((((((((((((((((((((( Dateien erstellt von 2008-10-14 bis 2008-11-14 ))))))))))))))))))))))))))))))
.

2008-11-14 23:25 . 2008-11-14 23:25 <DIR> d-------- c:\programme\CCleaner
2008-11-14 22:30 . 2008-11-14 22:31 <DIR> d-------- C:\***aDefensiva
2008-11-14 22:15 . 2008-11-14 22:16 <DIR> d-------- C:\rsit
2008-11-14 22:15 . 2008-11-14 22:16 <DIR> d-------- c:\programme\trend micro
2008-11-14 22:03 . 2008-11-14 22:03 1,137,360 --a------ c:\programme\fsbl.exe
2008-11-14 11:07 . 2008-11-14 11:07 <DIR> d-------- c:\programme\Secunia
2008-11-14 10:37 . 2008-11-14 20:02 <DIR> d-------- c:\programme\Google
2008-11-02 14:00 . 2008-11-02 14:00 153,088 --a------ c:\windows\system32\1$.tmp
2008-11-02 12:16 . 2008-11-02 12:16 <DIR> d-------- c:\dokumente und einstellungen\Anne\Anwendungsdaten\Canon
2008-10-31 23:46 . 2008-10-31 23:46 664 --a------ c:\windows\system32\d3d9caps.dat
2008-10-31 23:24 . 2008-11-01 00:03 <DIR> d-------- c:\programme\Packard Bell
2008-10-31 23:23 . 2008-11-12 20:03 <DIR> d-------- c:\programme\Packard Bell External HDD
2008-10-27 09:04 . 2008-10-27 09:04 7,808 --a------ c:\windows\system32\drivers\psi_mf.sys
2008-10-19 11:21 . 2008-04-13 19:45 32,128 --a------ c:\windows\system32\drivers\usbccgp.sys
2008-10-19 11:21 . 2008-04-13 19:45 32,128 --a--c--- c:\windows\system32\dllcache\usbccgp.sys
2008-10-19 11:18 . 2008-10-19 11:18 <DIR> d-------- c:\programme\Gemeinsame Dateien\CANON
2008-10-19 11:15 . 2008-10-19 11:15 <DIR> d--h----- c:\windows\system32\CanonIJ Uninstaller Information
2008-10-19 11:15 . 2008-10-19 11:15 <DIR> d--h----- c:\dokumente und einstellungen\All Users\Anwendungsdaten\CanonBJ
2008-10-19 11:15 . 2008-02-25 21:00 230,912 --a------ c:\windows\system32\CNMLM9I.DLL
2008-10-19 11:14 . 2008-10-19 11:14 <DIR> d--h----- c:\programme\CanonBJ
2008-10-19 11:14 . 2007-11-09 03:59 1,323,008 --a------ c:\windows\system32\CNC190C.DLL
2008-10-19 11:14 . 2008-02-08 07:38 200,704 --a------ c:\windows\system32\CNC190L.DLL
2008-10-19 11:14 . 2007-03-15 06:12 188,416 --a------ c:\windows\system32\CNC190O.DLL
2008-10-19 11:14 . 2007-11-09 03:58 98,304 --a------ c:\windows\system32\CNC190I.DLL
2008-10-19 11:13 . 2008-10-31 21:52 <DIR> d-------- c:\programme\Canon
2008-10-19 11:10 . 2008-10-19 11:10 <DIR> d--h----- C:\BJPrinter

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-14 21:13 464 ----a-w c:\programme\fsbl-20081114211310.log
2008-11-14 21:12 926 ----a-w c:\programme\fsbl-20081114210505.log
2008-11-14 09:59 --------- d-----w c:\programme\Gemeinsame Dateien\Adobe
2008-11-12 20:26 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-11-01 13:17 --------- d--h--w c:\programme\InstallShield Installation Information
2008-11-01 13:17 --------- d-----w c:\programme\InterVideo
2008-10-03 17:49 --------- d-----w c:\dokumente und einstellungen\***\Anwendungsdaten\Samsung
2008-09-25 21:24 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Bluetooth
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2008-04-14 1695232]
"updateMgr"="c:\programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 313472]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="NvQTwk" [X]
"UserFaultCheck"="c:\windows\system32\dumprep 0 -u" [X]
"NeroCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"InCD"="c:\programme\ahead\InCD\InCD.exe" [2002-04-19 1003520]
"CanonMyPrinter"="c:\programme\Canon\MyPrinter\BJMyPrt.exe" [2007-09-13 1603152]
"SoundMan"="SOUNDMAN.EXE" [2002-06-18 c:\windows\SOUNDMAN.EXE]
"nwiz"="nwiz.exe" [2002-05-03 c:\windows\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\***\Startmen�\Programme\Autostart\
Secunia PSI (RC4).lnk - c:\programme\Secunia\PSI (RC4)\psi.exe [2008-11-12 728408]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
Adobe Reader Speed Launch.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-04-23 29696]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoBandCustomize"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"midi1"= c_774380.nls
"aux2"= c_774380.nls
"wave2"= c_774380.nls
"mixer1"= c_774380.nls
"midi2"= c_774380.nls
"aux1"= c_774380.nls
"wave1"= c_774380.nls
"mixer2"= c_774380.nls

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"1723:TCP"= 1723:TCP:@xpsp2res.dll,-22015
"1701:UDP"= 1701:UDP:@xpsp2res.dll,-22016
"500:UDP"= 500:UDP:@xpsp2res.dll,-22017

R0 BsStor;InCD Storage Helper Driver;c:\windows\system32\DRIVERS\bsstor.sys [2002-04-14 9088]
R2 BsUDF;InCD UDF Driver;c:\windows\system32\drivers\BsUDF.sys [2002-04-19 329728]
S2 ZPMODEMSYSNTDRVNT;ZPMODEMSYSNTDRVNT;c:\windows\system32\drivers\zpmodemnt.sys [2005-12-11 1792]
S3 MIINPazX;MIINPazX NDIS Protocol Driver;c:\progra~1\GEMEIN~1\MARMIK~1\MInfraIS\MIINPazX.SYS [2006-05-22 17152]
S3 OxUSBTIMOUT;OxUSBTIMOUT;c:\windows\system32\DRIVERS\OxUSBTIMOUT.sys [2007-06-07 34152]
S3 PSI;PSI;c:\windows\system32\DRIVERS\psi_mf.sys [2008-10-27 7808]
S3 T5100_usb;LGE USB driver;c:\windows\system32\Drivers\T5100.sys [2004-10-20 29568]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5cd93978-3064-11dc-a351-001167308c09}]
\Shell\Auto\command - vwpzwidxu.exe
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL vwpzwidxu.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a8399008-5ee0-11dd-a7ca-0020edb01b94}]
\Shell\AutoRun\command - F:\ClickMe.exe

*Newly Created Service* - ISDRV122
*Newly Created Service* - PROCEXP90
.
.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\fi6rqeai.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://start.mozilla.org/firefox?client=firefox-a&rls=org.mozilla:de-DEfficial
FF -: plugin - c:\programme\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-14 23:37:17
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Oh weia... es nimmt kein Ende ;-) Aber schon mal Danke für die Mühe!
Soll ich Antivir usw wieder aktivieren bevor ich den nächsten Schritt mache? Wie komme ich eigentlich an die Zwischenablage dran?

ComboFix 08-11-12.02 - Anne 2008-11-14 23:35:48.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.87 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\Downloaded Program Files\setup.inf
c:\windows\system32\pppcgm.exe

.
((((((((((((((((((((((( Dateien erstellt von 2008-10-14 bis 2008-11-14 ))))))))))))))))))))))))))))))
.

2008-11-14 23:25 . 2008-11-14 23:25 <DIR> d-------- c:\programme\CCleaner
2008-11-14 22:30 . 2008-11-14 22:31 <DIR> d-------- C:\***aDefensiva
2008-11-14 22:15 . 2008-11-14 22:16 <DIR> d-------- C:\rsit
2008-11-14 22:15 . 2008-11-14 22:16 <DIR> d-------- c:\programme\trend micro
2008-11-14 22:03 . 2008-11-14 22:03 1,137,360 --a------ c:\programme\fsbl.exe
2008-11-14 11:07 . 2008-11-14 11:07 <DIR> d-------- c:\programme\Secunia
2008-11-14 10:37 . 2008-11-14 20:02 <DIR> d-------- c:\programme\Google
2008-11-02 14:00 . 2008-11-02 14:00 153,088 --a------ c:\windows\system32\1$.tmp
2008-11-02 12:16 . 2008-11-02 12:16 <DIR> d-------- c:\dokumente und einstellungen\***\Anwendungsdaten\Canon
2008-10-31 23:46 . 2008-10-31 23:46 664 --a------ c:\windows\system32\d3d9caps.dat
2008-10-31 23:24 . 2008-11-01 00:03 <DIR> d-------- c:\programme\Packard Bell
2008-10-31 23:23 . 2008-11-12 20:03 <DIR> d-------- c:\programme\Packard Bell External HDD
2008-10-27 09:04 . 2008-10-27 09:04 7,808 --a------ c:\windows\system32\drivers\psi_mf.sys
2008-10-19 11:21 . 2008-04-13 19:45 32,128 --a------ c:\windows\system32\drivers\usbccgp.sys
2008-10-19 11:21 . 2008-04-13 19:45 32,128 --a--c--- c:\windows\system32\dllcache\usbccgp.sys
2008-10-19 11:18 . 2008-10-19 11:18 <DIR> d-------- c:\programme\Gemeinsame Dateien\CANON
2008-10-19 11:15 . 2008-10-19 11:15 <DIR> d--h----- c:\windows\system32\CanonIJ Uninstaller Information
2008-10-19 11:15 . 2008-10-19 11:15 <DIR> d--h----- c:\dokumente und einstellungen\All Users\Anwendungsdaten\CanonBJ
2008-10-19 11:15 . 2008-02-25 21:00 230,912 --a------ c:\windows\system32\CNMLM9I.DLL
2008-10-19 11:14 . 2008-10-19 11:14 <DIR> d--h----- c:\programme\CanonBJ
2008-10-19 11:14 . 2007-11-09 03:59 1,323,008 --a------ c:\windows\system32\CNC190C.DLL
2008-10-19 11:14 . 2008-02-08 07:38 200,704 --a------ c:\windows\system32\CNC190L.DLL
2008-10-19 11:14 . 2007-03-15 06:12 188,416 --a------ c:\windows\system32\CNC190O.DLL
2008-10-19 11:14 . 2007-11-09 03:58 98,304 --a------ c:\windows\system32\CNC190I.DLL
2008-10-19 11:13 . 2008-10-31 21:52 <DIR> d-------- c:\programme\Canon
2008-10-19 11:10 . 2008-10-19 11:10 <DIR> d--h----- C:\BJPrinter

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-14 21:13 464 ----a-w c:\programme\fsbl-20081114211310.log
2008-11-14 21:12 926 ----a-w c:\programme\fsbl-20081114210505.log
2008-11-14 09:59 --------- d-----w c:\programme\Gemeinsame Dateien\Adobe
2008-11-12 20:26 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-11-01 13:17 --------- d--h--w c:\programme\InstallShield Installation Information
2008-11-01 13:17 --------- d-----w c:\programme\InterVideo
2008-10-03 17:49 --------- d-----w c:\dokumente und einstellungen\***\Anwendungsdaten\Samsung
2008-09-25 21:24 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Bluetooth
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2008-04-14 1695232]
"updateMgr"="c:\programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 313472]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="NvQTwk" [X]
"UserFaultCheck"="c:\windows\system32\dumprep 0 -u" [X]
"NeroCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"InCD"="c:\programme\ahead\InCD\InCD.exe" [2002-04-19 1003520]
"CanonMyPrinter"="c:\programme\Canon\MyPrinter\BJMyPrt.exe" [2007-09-13 1603152]
"SoundMan"="SOUNDMAN.EXE" [2002-06-18 c:\windows\SOUNDMAN.EXE]
"nwiz"="nwiz.exe" [2002-05-03 c:\windows\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\***\Startmen�\Programme\Autostart\
Secunia PSI (RC4).lnk - c:\programme\Secunia\PSI (RC4)\psi.exe [2008-11-12 728408]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
Adobe Reader Speed Launch.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-04-23 29696]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoBandCustomize"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"midi1"= c_774380.nls
"aux2"= c_774380.nls
"wave2"= c_774380.nls
"mixer1"= c_774380.nls
"midi2"= c_774380.nls
"aux1"= c_774380.nls
"wave1"= c_774380.nls
"mixer2"= c_774380.nls

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"1723:TCP"= 1723:TCP:@xpsp2res.dll,-22015
"1701:UDP"= 1701:UDP:@xpsp2res.dll,-22016
"500:UDP"= 500:UDP:@xpsp2res.dll,-22017

R0 BsStor;InCD Storage Helper Driver;c:\windows\system32\DRIVERS\bsstor.sys [2002-04-14 9088]
R2 BsUDF;InCD UDF Driver;c:\windows\system32\drivers\BsUDF.sys [2002-04-19 329728]
S2 ZPMODEMSYSNTDRVNT;ZPMODEMSYSNTDRVNT;c:\windows\system32\drivers\zpmodemnt.sys [2005-12-11 1792]
S3 MIINPazX;MIINPazX NDIS Protocol Driver;c:\progra~1\GEMEIN~1\MARMIK~1\MInfraIS\MIINPazX.SYS [2006-05-22 17152]
S3 OxUSBTIMOUT;OxUSBTIMOUT;c:\windows\system32\DRIVERS\OxUSBTIMOUT.sys [2007-06-07 34152]
S3 PSI;PSI;c:\windows\system32\DRIVERS\psi_mf.sys [2008-10-27 7808]
S3 T5100_usb;LGE USB driver;c:\windows\system32\Drivers\T5100.sys [2004-10-20 29568]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5cd93978-3064-11dc-a351-001167308c09}]
\Shell\Auto\command - vwpzwidxu.exe
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL vwpzwidxu.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a8399008-5ee0-11dd-a7ca-0020edb01b94}]
\Shell\AutoRun\command - F:\ClickMe.exe

*Newly Created Service* - ISDRV122
*Newly Created Service* - PROCEXP90
.
.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\fi6rqeai.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://start.mozilla.org/firefox?client=firefox-a&rls=org.mozilla:de-DEfficial
FF -: plugin - c:\programme\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-14 23:37:17
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Aber vielen dank schon mal für die Mühe! Hoffe trotzdem es hat bald ein Ende ;-) Kann ich Antivir usw. wieder aktivieren? Wo finde ich denn die Zwischenablage?

So, bei GMER bitte auch deaktiviert lassen.

Kannst du bitte die C:\QooBox an silent_shark@gmx.de senden?
Danke.

Achja, was ich vergaß:

Überprüfe bitte, wie groß die C:\WINDOWS\system32\c_774380.nls ist.

Schau auch bitte nach (wenn du mehrere c_%ZahlenKombination%.nls in system32 hast), ob eine davon ca. 130-135 KByte groß ist. Wenn ja, teile mir bitte mit, welche es ist.


mfg

Hi! Mein Problem besteht immer noch. Die Antivir Popups existieren immer noch wenn ich den Rechner hochfahre. Erst wenn ich auf in Quarantäne verschieben klicke wird alles richtig geladen... Hab gestern noch das mit dem Combofix gemacht, bin mir aber nicht sicher ob alles richtig war. hHabe zwar Antivir und die Firewall deaktiviert aber angeblich habe ich noch andere Virenprogramme. Hätten die nicht auch ausgeschaltet werden müssen, aber wie? Hier jedenfalls das Ergebnis von Combofix... Macht mir auch etwas Sorgen das da steht ich hätte keine Wiederherstellungskonsole?! Dachte die hätte ich?!
ComboFix 08-11-12.02 - Anne 2008-11-14 23:35:48.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.87 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\Downloaded Program Files\setup.inf
c:\windows\system32\pppcgm.exe

.
((((((((((((((((((((((( Dateien erstellt von 2008-10-14 bis 2008-11-14 ))))))))))))))))))))))))))))))
.

2008-11-14 23:25 . 2008-11-14 23:25 <DIR> d-------- c:\programme\CCleaner
2008-11-14 22:30 . 2008-11-14 22:31 <DIR> d-------- C:\***aDefensiva
2008-11-14 22:15 . 2008-11-14 22:16 <DIR> d-------- C:\rsit
2008-11-14 22:15 . 2008-11-14 22:16 <DIR> d-------- c:\programme\trend micro
2008-11-14 22:03 . 2008-11-14 22:03 1,137,360 --a------ c:\programme\fsbl.exe
2008-11-14 11:07 . 2008-11-14 11:07 <DIR> d-------- c:\programme\Secunia
2008-11-14 10:37 . 2008-11-14 20:02 <DIR> d-------- c:\programme\Google
2008-11-02 14:00 . 2008-11-02 14:00 153,088 --a------ c:\windows\system32\1$.tmp
2008-11-02 12:16 . 2008-11-02 12:16 <DIR> d-------- c:\dokumente und einstellungen\***\Anwendungsdaten\Canon
2008-10-31 23:46 . 2008-10-31 23:46 664 --a------ c:\windows\system32\d3d9caps.dat
2008-10-31 23:24 . 2008-11-01 00:03 <DIR> d-------- c:\programme\Packard Bell
2008-10-31 23:23 . 2008-11-12 20:03 <DIR> d-------- c:\programme\Packard Bell External HDD
2008-10-27 09:04 . 2008-10-27 09:04 7,808 --a------ c:\windows\system32\drivers\psi_mf.sys
2008-10-19 11:21 . 2008-04-13 19:45 32,128 --a------ c:\windows\system32\drivers\usbccgp.sys
2008-10-19 11:21 . 2008-04-13 19:45 32,128 --a--c--- c:\windows\system32\dllcache\usbccgp.sys
2008-10-19 11:18 . 2008-10-19 11:18 <DIR> d-------- c:\programme\Gemeinsame Dateien\CANON
2008-10-19 11:15 . 2008-10-19 11:15 <DIR> d--h----- c:\windows\system32\CanonIJ Uninstaller Information
2008-10-19 11:15 . 2008-10-19 11:15 <DIR> d--h----- c:\dokumente und einstellungen\All Users\Anwendungsdaten\CanonBJ
2008-10-19 11:15 . 2008-02-25 21:00 230,912 --a------ c:\windows\system32\CNMLM9I.DLL
2008-10-19 11:14 . 2008-10-19 11:14 <DIR> d--h----- c:\programme\CanonBJ
2008-10-19 11:14 . 2007-11-09 03:59 1,323,008 --a------ c:\windows\system32\CNC190C.DLL
2008-10-19 11:14 . 2008-02-08 07:38 200,704 --a------ c:\windows\system32\CNC190L.DLL
2008-10-19 11:14 . 2007-03-15 06:12 188,416 --a------ c:\windows\system32\CNC190O.DLL
2008-10-19 11:14 . 2007-11-09 03:58 98,304 --a------ c:\windows\system32\CNC190I.DLL
2008-10-19 11:13 . 2008-10-31 21:52 <DIR> d-------- c:\programme\Canon
2008-10-19 11:10 . 2008-10-19 11:10 <DIR> d--h----- C:\BJPrinter

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-14 21:13 464 ----a-w c:\programme\fsbl-20081114211310.log
2008-11-14 21:12 926 ----a-w c:\programme\fsbl-20081114210505.log
2008-11-14 09:59 --------- d-----w c:\programme\Gemeinsame Dateien\Adobe
2008-11-12 20:26 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-11-01 13:17 --------- d--h--w c:\programme\InstallShield Installation Information
2008-11-01 13:17 --------- d-----w c:\programme\InterVideo
2008-10-03 17:49 --------- d-----w c:\dokumente und einstellungen\***\Anwendungsdaten\Samsung
2008-09-25 21:24 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Bluetooth
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2008-04-14 1695232]
"updateMgr"="c:\programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 313472]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="NvQTwk" [X]
"UserFaultCheck"="c:\windows\system32\dumprep 0 -u" [X]
"NeroCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"InCD"="c:\programme\ahead\InCD\InCD.exe" [2002-04-19 1003520]
"CanonMyPrinter"="c:\programme\Canon\MyPrinter\BJMyPrt.exe" [2007-09-13 1603152]
"SoundMan"="SOUNDMAN.EXE" [2002-06-18 c:\windows\SOUNDMAN.EXE]
"nwiz"="nwiz.exe" [2002-05-03 c:\windows\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\***\Startmen�\Programme\Autostart\
Secunia PSI (RC4).lnk - c:\programme\Secunia\PSI (RC4)\psi.exe [2008-11-12 728408]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
Adobe Reader Speed Launch.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-04-23 29696]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoBandCustomize"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"midi1"= c_774380.nls
"aux2"= c_774380.nls
"wave2"= c_774380.nls
"mixer1"= c_774380.nls
"midi2"= c_774380.nls
"aux1"= c_774380.nls
"wave1"= c_774380.nls
"mixer2"= c_774380.nls

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"1723:TCP"= 1723:TCP:@xpsp2res.dll,-22015
"1701:UDP"= 1701:UDP:@xpsp2res.dll,-22016
"500:UDP"= 500:UDP:@xpsp2res.dll,-22017

R0 BsStor;InCD Storage Helper Driver;c:\windows\system32\DRIVERS\bsstor.sys [2002-04-14 9088]
R2 BsUDF;InCD UDF Driver;c:\windows\system32\drivers\BsUDF.sys [2002-04-19 329728]
S2 ZPMODEMSYSNTDRVNT;ZPMODEMSYSNTDRVNT;c:\windows\system32\drivers\zpmodemnt.sys [2005-12-11 1792]
S3 MIINPazX;MIINPazX NDIS Protocol Driver;c:\progra~1\GEMEIN~1\MARMIK~1\MInfraIS\MIINPazX.SYS [2006-05-22 17152]
S3 OxUSBTIMOUT;OxUSBTIMOUT;c:\windows\system32\DRIVERS\OxUSBTIMOUT.sys [2007-06-07 34152]
S3 PSI;PSI;c:\windows\system32\DRIVERS\psi_mf.sys [2008-10-27 7808]
S3 T5100_usb;LGE USB driver;c:\windows\system32\Drivers\T5100.sys [2004-10-20 29568]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5cd93978-3064-11dc-a351-001167308c09}]
\Shell\Auto\command - vwpzwidxu.exe
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL vwpzwidxu.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a8399008-5ee0-11dd-a7ca-0020edb01b94}]
\Shell\AutoRun\command - F:\ClickMe.exe

*Newly Created Service* - ISDRV122
*Newly Created Service* - PROCEXP90
.
.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\fi6rqeai.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://start.mozilla.org/firefox?client=firefox-a&rls=org.mozilla:de-DEfficial
FF -: plugin - c:\programme\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-14 23:37:17
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...


**************************************************************************
.
Zeit der Fertigstellung: 2008-11-14 23:40:36
ComboFix-quarantined-files.txt 2008-11-14 22:39:33

Vor Suchlauf: 17 Verzeichnis(se), 10.927.042.560 Bytes frei
Nach Suchlauf: 17 Verzeichnis(se), 10,929,123,328 Bytes frei

131 --- E O F --- 2008-09-22 17:11:10