Nach Download einer Datei heute morgen (Link kann ich gerne schicken) hatte mein PC offensichtlich die Seuche (sofort nach click Info auf dem Desktop und Pop-Ups mit dubiosem PC-Cleaner angebot)

In einem Forum im Netz fand ich die Anleitung diese Schritte durchzuführen:

1. SmitfraudFix im abgesicherten Modus ausgeführt und einige Schädlinge beseitigt (Protokoll vorhanden) - Neustart
2. Malwarebytes - 99 Schädlinge beseitigt (Protokoll vorhanden) - Neustart
CCLEANER - weitere Schädlinge beseitigt
HijackThis - Protokoll erstellt und 3-4 Dinge beseitigt, die bei den vorherigen Tests schon beseitigt wurden

Mir scheint, es ist was hartnäckiges und ich würde mich über einen Blick aufs HijackThis-Protokoll freuen. Kommt mir insgesamt etwas viel vor..so viele Prozesse sehe ich nicht laufen...aber von HijackThis habe ich nunmal keine Ahnung. Würde mich über Hinweise freuen.



Hier zunächst mal die Katastrophe auf einen Blick
--
Malwarebytes' Anti-Malware 1.11
Datenbank Version: 648

Scan Art: Komplett Scan (C:\|)
Objekte gescannt: 134813
Scan Dauer: 27 minute(s), 34 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 2
Infizierte Registrierungsschlüssel: 22
Infizierte Registrierungswerte: 2
Infizierte Datei Objekte der Registrierung: 1
Infizierte Verzeichnisse: 2
Infizierte Dateien: 70

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
C:\WINDOWS\system32\geBstsTJ.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\urqQifEV.dll (Trojan.Vundo) -> No action taken.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{ac2f1a26-cf88-4d19-a457-ac41e4df3225} (Trojan.Vundo) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{ac2f1a26-cf88-4d19-a457-ac41e4df3225} (Trojan.Vundo) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{ee5a1465-1e73-4784-8f63-45983fdf0db8} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{ee5a1465-1e73-4784-8f63-45983fdf0db8} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\urqqifev (Trojan.Vundo) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{000000da-0786-4633-87c6-1aa7a4429ef1} (Fake.Dropped.Malware) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{9dd4258a-7138-49c4-8d34-587879a5c7a4} (Fake.Dropped.Malware) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9dd4258a-7138-49c4-8d34-587879a5c7a4} (Fake.Dropped.Malware) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{b8c0220d-763d-49a4-95f4-61dfdec66ee6} (Fake.Dropped.Malware) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{c3bcc488-1ae7-11d4-ab82-0010a4ec2338} (Fake.Dropped.Malware) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{c3bcc488-1ae7-11d4-ab82-0010a4ec2338} (Fake.Dropped.Malware) -> No action taken.
HKEY_CURRENT_USER\HOL5_VXIEWER.FULL.1 (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\Software\Classes\applications\accessdiver.exe (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\Software\fwbd (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\Software\HolLol (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Inet Delivery (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\mslagent (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorertoolbar (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\Software\mwc (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Golden Palace Casino NEW (Trojan.DNSChanger) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{ee5a1465-1e73-4784-8f63-45983fdf0db8} (Trojan.Vundo) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\{0656a137-b161-cadd-9777-e37a75727e78} (Fake.Dropped.Malware) -> No action taken.

Infizierte Datei Objekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\gebststj -> No action taken.

Infizierte Verzeichnisse:
C:\WINDOWS\mslagent (Adware.EGDAccess) -> No action taken.
C:\WINDOWS\system32smp (Fake.Dropped.Malware) -> No action taken.

Infizierte Dateien:
C:\WINDOWS\system32\geBstsTJ.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\JTstsBeg.ini (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\JTstsBeg.ini2 (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\urqQifEV.dll (Trojan.Vundo) -> No action taken.
C:\Programme\BMWi\SoftwarePaket9\Infothek\Infothek\Zeitplaner in die Selbständigkeit\uninst.exe (Trojan.Downloader) -> No action taken.
C:\System Volume Information\_restore{6366EC35-D732-4CD5-B55C-05024813D774}\RP301\A0143417.exe (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\system32\nqvapitm.exe (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\mslagent\2_mslagent.dll (Adware.EGDAccess) -> No action taken.
C:\WINDOWS\mslagent\mslagent.exe (Adware.EGDAccess) -> No action taken.
C:\WINDOWS\mslagent\uninstall.exe (Adware.EGDAccess) -> No action taken.
C:\WINDOWS\system32smp\msrc.exe (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\a.bat (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\base64.tmp (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\FVProtect.exe (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\System32akttzn.exe (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\System32anticipator.dll (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\System32awtoolb.dll (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\System32bdn.com (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\System32bsva-egihsg52.exe (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\System32dpcproxy.exe (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\System32emesx.dll (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\System32h@tkeysh@@k.dll (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\System32hoproxy.dll (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\System32hxiwlgpm.dat (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\System32hxiwlgpm.exe (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\System32medup012.dll (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\System32medup020.dll (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\System32msgp.exe (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\System32msnbho.dll (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\System32mssecu.exe (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\System32msvchost.exe (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\System32mtr2.exe (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\System32mwin32.exe (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\System32netode.exe (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\System32newsd32.exe (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\System32ps1.exe (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\System32psof1.exe (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\System32psoft1.exe (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\System32regc64.dll (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\System32regm64.dll (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\System32Rundl1.exe (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\System32sncntr.exe (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\System32ssurf022.dll (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\System32ssvchost.com (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\System32ssvchost.exe (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\System32sysreq.exe (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\System32taack.dat (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\System32taack.exe (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\System32temp#01.exe (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\System32thun.dll (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\System32thun32.dll (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\System32VBIEWER.OCX (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\System32vbsys2.dll (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\System32vcatchpi.dll (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\System32winlogonpc.exe (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\System32winsystem.exe (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\System32WINWGPX.EXE (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\userconfig9x.dll (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\winsystem.exe (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\zip1.tmp (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\zip2.tmp (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\zip3.tmp (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\zipped.tmp (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\bdn.com (Trojan.Agent) -> No action taken.
C:\WINDOWS\iTunesMusic.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\mssecu.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\lsprst7.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\ssprs.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\rtqmekwg.exe (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\npqtsrak.exe (Trojan.FakeAlert) -> No action taken.



Und hier das HijackThis-Protokoll nach der weiteren Bearbeitun des Problems wie oben beschrieben.
--
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:57:55, on 18.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Browser Mouse\mouse32a.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\PROGRA~1\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - E:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - E:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programme\Browser Mouse\mouse32a.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [IETI] C:\Programme\Skype\Phone\IEPlugin\unins000.exe /VERYSILENT /SUPPRESSMSGBOXES /NORESTART (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [IETI] C:\Programme\Skype\Phone\IEPlugin\unins000.exe /VERYSILENT /SUPPRESSMSGBOXES /NORESTART (User 'Default user')
O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: Append to existing PDF - res://E:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert link target to Adobe PDF - res://E:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://E:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://E:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://E:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://E:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://E:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://E:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Download &Flash Movies - C:\Programme\Flash2X\Flash Hunter\save.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Seite mit Google übersetzen - C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\TuneUp Software\TuneUp Utilities\Web\gtranslate.htm
O8 - Extra context menu item: Zurückführende &Links - C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\TuneUp Software\TuneUp Utilities\Web\gbacklinks.htm
O8 - Extra context menu item: Übersetzen mit &dict.leo.org - C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\TuneUp Software\TuneUp Utilities\Web\tutrans.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programme\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Flash2X Flash Hunter - {77B563A5-2A35-4E6B-BFC8-F4B6BB65D5DF} - C:\Programme\Flash2X\Flash Hunter\save.htm (HKCU)
O9 - Extra 'Tools' menuitem: &Launch Flash Hunter - {77B563A5-2A35-4E6B-BFC8-F4B6BB65D5DF} - C:\Programme\Flash2X\Flash Hunter\save.htm (HKCU)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1190649312890
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1190649303734
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B4B79FFD-FDDB-456D-B7EB-6B401517B8B6}: NameServer = 213.191.74.11 213.191.92.82
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Spyware Doctor Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe
O23 - Service: Spyware Doctor Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe
----------


Danke!

Und bevor ichs vergesse...

Vor dem ganzen getue habe ich noch Panda Anti-Rootkit laufen lassen.
Diese hat angeblich zwei unbekannte Rootkits entfernt.
Unbekannte...

naja und meine eine Festplatte ist unmittelbar danach bei Checks kaputtgegangen...wohl ein Zufall.

Bin mir 100% sicher, dass es noch nicht alles war - der Systemneustart dauert zwar nicht mehr ganz so lange, aber immer noch viel länger als zuvor und wenn ich die oben beschriebene Reihenfolge von vorne Beginne stößt SmitFraudFix mehrmals auf weitere Probleme bezüglich der Admin-Rechte:

SmitFraudFix v2.314

Scan done at 18:20:11,43, 18.04.2008
Run from C:\Dokumente und Einstellungen\Besitzer\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process

»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» DNS

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» End



Der Link, von dem das ganze stammt gibt es jetzt, also nur 5 Stunden später nicht mehr im Netz..somit kann ich den euch leider auch nicht schicken.

Hoffe ihr könnt was mit meinen Posts anfangen...


und nochmal aktueller Malwarebytes Protokoll:

Malwarebytes' Anti-Malware 1.11
Datenbank Version: 650

Scan Art: Komplett Scan (C:\|)
Objekte gescannt: 126793
Scan Dauer: 38 minute(s), 7 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2


Infizierte Dateien:
C:\System Volume Information\_restore{6366EC35-D732-4CD5-B55C-05024813D774}\RP301\A0147504.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{6366EC35-D732-4CD5-B55C-05024813D774}\RP301\A0147572.dll (Trojan.Vundo) -> Quarantined and deleted successfully.

Zitat:

Nach Download einer Datei heute morgen

Was denn für eine Datei?

Hast Du die unbekannten Rootkits an Panda geschickt?

ja habe ich..

symantec hat ein tool gegen vundo...nur hat dieses tool auf meinem rechner kein vundo gefunden (also jetzt gerade nach all dem durchgeführten)

die datei war ein mod zu einem onlinegame...verdächtig klein (87kb) aber in scheinbar seriösem umfeld gut verpackt angeboten...

mein virenscanner hat sich erst nach dem öffnen gemeldet und da war die party schon auf dem höhepunkt

Das mit den Rootkits macht mir Sorgen.
In der Reihenfolge wende an:

SDFIX ausführen

Download SDFix und speichere es auf dem Desktop.
Mache einen Doppelklick auf die SDFix.exe und wähle "Install" um es in den Ordner X:\SDFix zu entpacken
(X = Dein Windowslaufwerk)

• Bitte starte Deinen Pc im abgesicherten Modus neu

• Starte den PC neu

• Nachdem dein Rechner einmal bei starten gepiept hat, bevor das Windows Logo erscheint, drücke die F8 Taste mehrfach

• Anstatt Windows normal zu starten wird ein Menü erscheinen

• Wähle die Option "Starte Windows im abgesicherten Modus", dann drücke "Enter"

• Wähle Deinen Anmeldenamen

• Im abgesicherten Modus, gehst Du zum SDFix Ordner X:\SDFix (X = Dein Windowslaufwerk)

• Öffne den Ordner und doppelklicke die Datei RunThis.bat um das Script zu starten

• Drücke "Y" um das Script zu starten.

• Es entfernt bösartige Dienste und repariert die Registry. Wenn es durchgelaufen ist, bittet es eine Taste zu drücken um zu rebooten.

• Drücke eine Taste um zu reboooten.

• Dein System wird länger brauchen um jetzt wieder im normalen Modus zu starten, denn das fixtool startet mit und löscht noch einige Dateien.

• Wenn der Desktop geladen ist, ist das Fixtool mit der Bereinigung fertig und sagt das auch, jetzt drücke eine Taste um das Script zu beenden und Deinen Desktop zu laden.

• Jetzt öffne den SDFix Ordner auf Deinem Desktop und copy & paste den Inhalt der Report.txt in Deinen Thread.

Combofix

- Download ComboFix von hier oder hier auf Deinen Desktop.
- Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen!)
- Mache einen Doppelklick auf combofix.exe
- Wenn combofix fertig ist, legt es ein Logfile an. Poste dieses Logfile und ein neues HJT Logfile als nächste Antwort
Achtung: Während Combofix läuft klicke nichts an, und benutze den Rechner nicht.

Scheint alles sauber...
womöglich wurden diese unbekannten Rootkits tatsächlich perfekt beseitigt, das Hochfahren des Systems dauert jedoch nach wie vor einige lange und ungewöhnliche Minuten.


--

SDFix: Version 1.172
Run by Besitzer on 18.04.2008 at 21:59

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFix\SDFix

Checking Services :


Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting


Checking Files :

No Trojan Files Found






Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1353.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-18 22:09:48
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:2df9c43f
"s2"=dword:110480d0

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :



Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\\WINDOWS\\system32\\sessmgr.exe"="C:\\WINDOWS\\system32\\sessmgr.exe:*isabled:@xpsp2res.dll,-22019"
"C:\\Programme\\Bonjour\\mDNSResponder.exe"="C:\\Programme\\Bonjour\\mDNSResponder.exe:*isabled:Bonjour"
"C:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe"="C:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe:*isabled:@xpsp3res.dll,-20000"
"C:\\Programme\\Outlook Express\\msimn.exe"="C:\\Programme\\Outlook Express\\msimn.exe:*:Enabled:Outlook Express"
"C:\\Programme\\Skype\\Phone\\Skype.exe"="C:\\Programme\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"
"C:\\WINDOWS\\system32\\PnkBstrA.exe"="C:\\WINDOWS\\system32\\PnkBstrA.exe:*:Enabled:PnkBstrA"
"C:\\WINDOWS\\system32\\PnkBstrB.exe"="C:\\WINDOWS\\system32\\PnkBstrB.exe:*:Enabled:PnkBstrB"


[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

Remaining Files :


File Backups: - C:\SDFix\SDFix\backups\backups.zip

Files with Hidden Attributes :

Tue 24 Apr 2007 0 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\Cache\Indiv01.tmp"
Fri 11 Jan 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\3464dc2c7c3153d5b4d5db6bc2374792\BITF.tmp"
Fri 11 Jan 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\5738cdd16dbca4079cb3b3de6eaf620f\BITE.tmp"
Tue 7 Aug 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\800cd475826cb17c03741670a52b631c\BIT3C.tmp"
Tue 7 Aug 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\933575948c376b5e5cf8cf2eba74c82f\BIT40.tmp"
Tue 7 Aug 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\a3f97c00be5b8d64876d942170315fc4\BIT3A.tmp"
Tue 7 Aug 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\f3fd5d8ebb6d66f3b5b206e5bac9c21d\BIT3F.tmp"
Thu 17 Apr 2008 857 ...HR --- "C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\SecuROM\UserData\securom_v7_01.bak"

Finished!



Soll ich Combo... auch ausführen? Die Meldung 1 von 100 PCs überstehts nicht macht mir etwas Sorgen...eine Platte ist ja schon hin

Zitat:

Die Meldung 1 von 100 PCs überstehts nicht macht mir etwas Sorgen...eine Platte ist ja schon hin

Das bezieht sich weniger auf die Hard-, als auf die Software.
Und ja, bitte für es aus.

Na gut:

Beachte: Die Enigma Software Group gehört zu einer heute morgen mit augeladenen Fraudt-Software, die Dir aber bekannt sein dürfte.

Habe so viele Anti-Virus Programme installiert, dass dieser Mist im richtigen Moment aufgesprungen sein muss und ich es auch noch installiert habe. Wie es hiess habe ich schon vergessen, war aber ein Fake Anti-Virus (der mir im übrigen Win-Spy aktiv angezeigt hat, was auch nicht gerade beruhigend war, weil ich nicht weiss, wie ich Win-Spy ggf. aufspüre)

----

ComboFix 08-04-17.1 - Besitzer 2008-04-18 22:32:00.1 - NTFSx86
ausgeführt von:: C:\Dokumente und Einstellungen\Besitzer\Desktop\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\winsys.exe

.
((((((((((((((((((((((( Dateien erstellt von 2008-03-18 bis 2008-04-18 ))))))))))))))))))))))))))))))
.

2008-04-18 21:57 . 2008-04-18 21:57 <DIR> d-------- C:\WINDOWS\ERUNT
2008-04-18 21:45 . 2008-04-18 21:45 <DIR> d-------- C:\SDFix
2008-04-18 19:58 . 2008-04-18 20:55 <DIR> d-------- C:\WINDOWS\BDOSCAN8
2008-04-18 19:43 . 2008-04-18 19:51 <DIR> d-------- C:\RVAXO
2008-04-18 19:43 . 2008-04-18 19:44 157,820 --a------ C:\RVAXO.reg
2008-04-18 18:46 . 2008-04-18 10:03 795,237 --a------ C:\WINDOWS\system32\RVAXO.bat
2008-04-18 18:46 . 2001-10-01 14:51 69,632 --a------ C:\WINDOWS\system32\remove.exe
2008-04-18 18:06 . 2008-04-18 18:06 <DIR> d-------- C:\Dokumente und Einstellungen\Besitzer\Pavark
2008-04-18 16:51 . 2008-04-18 16:51 <DIR> d-------- C:\Programme\CCleaner
2008-04-18 16:50 . 2008-04-18 16:50 <DIR> d-------- C:\Programme\Trend Micro
2008-04-18 16:38 . 2008-04-18 16:38 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-04-18 16:38 . 2008-04-18 16:38 <DIR> d-------- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Malwarebytes
2008-04-18 16:38 . 2008-04-18 16:38 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-04-18 16:21 . 2008-04-18 16:21 <DIR> d-------- C:\Programme\Enigma Software Group
2008-04-18 15:54 . 2008-04-18 18:20 2,044 --a------ C:\WINDOWS\system32\tmp.reg
2008-04-18 15:53 . 2007-04-22 18:43 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-04-18 15:53 . 2007-04-22 19:34 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmenü
2008-04-18 15:53 . 2007-04-22 19:34 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-04-18 15:53 . 2008-04-18 22:32 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-04-18 15:53 . 2007-04-22 19:34 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-04-18 15:53 . 2007-04-22 19:34 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-04-18 15:53 . 2007-04-22 19:34 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-04-18 15:53 . 2008-04-18 15:53 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator
2008-04-18 15:53 . 2008-04-18 22:31 1,024 --ah----- C:\Dokumente und Einstellungen\Administrator\NtUser.dat.LOG
2008-04-18 15:42 . 2008-04-18 15:42 <DIR> d-------- C:\Dokumente und Einstellungen\Besitzer\SmitfraudFix
2008-04-18 15:42 . 2007-09-06 00:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2008-04-18 15:42 . 2006-04-27 17:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2008-04-18 15:42 . 2008-04-14 19:28 86,528 --a------ C:\WINDOWS\system32\VACFix.exe
2008-04-18 15:42 . 2008-04-12 13:49 82,432 --a------ C:\WINDOWS\system32\IEDFix.exe
2008-04-18 15:42 . 2003-06-05 21:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
2008-04-18 15:42 . 2004-07-31 18:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2008-04-18 15:42 . 2007-10-04 00:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2008-04-18 15:35 . 2008-04-18 15:35 78 --a------ C:\WINDOWS\WININIT.INIRVAXO
2008-04-18 15:06 . 2008-04-18 15:03 8,704 --a------ C:\WINDOWS\system32\drivers\oqxjejbfvmhd.sys
2008-04-18 13:07 . 2008-04-18 15:35 <DIR> d-------- C:\Programme\BcInstall Data
2008-04-13 21:48 . 2008-04-13 21:48 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-04-13 21:48 . 2008-04-13 21:48 1,409 --a------ C:\WINDOWS\QTFont.for
2008-04-08 21:58 . 2008-04-08 21:58 <DIR> d-------- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Processing
2008-04-06 05:20 . 2008-03-29 19:31 75,856 --a------ C:\WINDOWS\system32\drivers\aswSP.sys
2008-04-06 05:20 . 2008-03-29 19:35 20,560 --a------ C:\WINDOWS\system32\drivers\aswFsBlk.sys
2008-04-03 10:36 . 2008-04-03 10:36 <DIR> d-------- C:\ConvertTemp
2008-04-01 20:48 . 2008-04-01 20:48 <DIR> d-------- C:\Programme\TVAnts
2008-03-31 21:18 . 2008-03-31 21:20 <DIR> d-------- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Xfire
2008-03-29 16:50 . 2008-04-12 22:17 <DIR> d-------- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\teamspeak2
2008-03-29 16:49 . 2008-03-29 16:49 34,064 --a------ C:\WINDOWS\system32\lhacm.acm
2008-03-29 16:48 . 2004-01-21 22:48 133,120 --a------ C:\WINDOWS\system\hvdi.dll
11 Datei(en) . 19,610,684 C:\ComboFix\Bytes
3 Datei(en) . 525,502 C:\ComboFix\Bytes
1 Datei(en) . 62 C:\ComboFix\Bytes

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-18 15:22 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-04-18 09:58 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys
2008-04-18 09:58 107,832 ----a-w C:\WINDOWS\system32\PnkBstrB.exe
2008-04-17 10:11 --------- d-----w C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\temp
2008-04-11 13:00 --------- d-----w C:\Programme\Norton Security Scan
2008-04-08 21:09 --------- d-----w C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Skype
2008-04-01 15:09 --------- d-----w C:\Programme\TuneUp Utilities 2007
2008-03-29 17:45 1,146,232 ----a-w C:\WINDOWS\system32\aswBoot.exe
2008-03-29 17:35 94,544 ----a-w C:\WINDOWS\system32\drivers\aswmon2.sys
2008-03-29 17:29 23,152 ----a-w C:\WINDOWS\system32\drivers\aswRdr.sys
2008-03-29 17:27 42,912 ----a-w C:\WINDOWS\system32\drivers\aswTdi.sys
2008-03-29 17:26 26,944 ----a-w C:\WINDOWS\system32\drivers\aavmker4.sys
2008-03-29 17:23 95,608 ----a-w C:\WINDOWS\system32\AvastSS.scr
2008-03-15 13:32 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-03-13 23:05 41,296 ----a-w C:\WINDOWS\system32\xfcodec.dll
2008-03-08 18:29 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software
2008-03-08 17:55 --------- d-----w C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\StarOffice8
2008-03-01 12:54 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-02-26 15:31 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-02-26 15:29 --------- d-----w C:\Programme\Gemeinsame Dateien\Control Panels
2008-02-26 15:27 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ALM
2008-02-26 15:16 --------- d-----w C:\Programme\Bonjour
2008-02-26 15:13 --------- d-----w C:\Programme\Gemeinsame Dateien\Macrovision Shared
2008-01-03 00:43 22,328 ----a-w C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\PnkBstrK.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2008-03-29 19:37 79224]
"FLMOFFICE4DMOUSE"="C:\Programme\Browser Mouse\mouse32a.exe" [2007-04-22 19:02 360448]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-03-22 04:50 8425472]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"IETI"="C:\Programme\Skype\Phone\IEPlugin\unins000.exe" [ ]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoRecentDocsNetHood"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\WINDOWS\\system32\\sessmgr.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"C:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Outlook Express\\msimn.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
"C:\\WINDOWS\\system32\\PnkBstrA.exe"=
"C:\\WINDOWS\\system32\\PnkBstrB.exe"=

R1 ACEDRV02;ACEDRV02;C:\WINDOWS\system32\drivers\ACEDRV02.sys [2007-05-17 10:30]
R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-03-29 19:31]
R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-03-29 19:35]
R2 ithsgt;ithsgt;C:\WINDOWS\system32\DRIVERS\ithsgt.sys [2007-08-19 01:00]
R2 lilsgt;lilsgt;C:\WINDOWS\system32\DRIVERS\lilsgt.sys [2007-08-19 01:00]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 14:00]
S3 ss_bus;Samsung Mobile USB Device 1.0 driver (WDM);C:\WINDOWS\system32\DRIVERS\ss_bus.sys [2005-01-24 15:38]
S3 ss_mdfl;SAMSUNG Mobile USB Modem 1.0 Filter;C:\WINDOWS\system32\DRIVERS\ss_mdfl.sys [2005-01-24 15:38]
S3 ss_mdm;SAMSUNG Mobile USB Modem 1.0 Drivers;C:\WINDOWS\system32\DRIVERS\ss_mdm.sys [2005-01-24 15:38]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

.
Inhalt des "geplante Tasks" Ordners
"2008-04-11 15:15:00 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe
"2008-04-11 13:00:09 C:\WINDOWS\Tasks\Norton Security Scan.job"
- C:\Programme\Norton Security Scan\Nss.exe
.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-18 22:32:31
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-04-18 22:33:40
ComboFix-quarantined-files.txt 2008-04-18 20:33:16

13 Verzeichnis(se), 7,278,215,168 Bytes frei
15 Verzeichnis(se), 7,270,772,736 Bytes frei
.
2008-01-15 22:10:35 --- E O F ---

Du hast ja wirklich schon einiges auf den Rechner geladen!
Davon bitte alles nicht mehr benötigte löschen!

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code: Alles auswählenAufklappen

ATTFilter

Driver::
oqxjejbfvmhd.sys

File::
C:\WINDOWS\system32\drivers\oqxjejbfvmhd.sys
         

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer!)

5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.





6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:09:45, on 18.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Browser Mouse\mouse32a.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\explorer.exe
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\explorer.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - E:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - E:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programme\Browser Mouse\mouse32a.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [IETI] C:\Programme\Skype\Phone\IEPlugin\unins000.exe /VERYSILENT /SUPPRESSMSGBOXES /NORESTART (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [IETI] C:\Programme\Skype\Phone\IEPlugin\unins000.exe /VERYSILENT /SUPPRESSMSGBOXES /NORESTART (User 'Default user')
O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?
O8 - Extra context menu item: Append to existing PDF - res://E:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert link target to Adobe PDF - res://E:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://E:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://E:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://E:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://E:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://E:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://E:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Download &Flash Movies - C:\Programme\Flash2X\Flash Hunter\save.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Seite mit Google übersetzen - C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\TuneUp Software\TuneUp Utilities\Web\gtranslate.htm
O8 - Extra context menu item: Zurückführende &Links - C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\TuneUp Software\TuneUp Utilities\Web\gbacklinks.htm
O8 - Extra context menu item: Übersetzen mit &dict.leo.org - C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\TuneUp Software\TuneUp Utilities\Web\tutrans.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyCasino - {B4B52284-A248-4c51-9F7C-F0A0C67FCC9D} - C:\Programme\PartyGaming\PartyCasino\RunApp.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Flash2X Flash Hunter - {77B563A5-2A35-4E6B-BFC8-F4B6BB65D5DF} - C:\Programme\Flash2X\Flash Hunter\save.htm (HKCU)
O9 - Extra 'Tools' menuitem: &Launch Flash Hunter - {77B563A5-2A35-4E6B-BFC8-F4B6BB65D5DF} - C:\Programme\Flash2X\Flash Hunter\save.htm (HKCU)
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1190649312890
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1190649303734
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B4B79FFD-FDDB-456D-B7EB-6B401517B8B6}: NameServer = 213.191.74.11 213.191.92.82
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Spyware Doctor Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe
O23 - Service: Spyware Doctor Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe

--
End of file - 9780 bytes

Hast Du meinen Post gelesen?

habe ich wegen Seitenumsprung zunächst nicht gesehen...
Die kaputte Festplatte hat sich heute morgen zurückgemeldet, der Rechner freezed (10 Min und 0% Fortschritt) jedoch bei der Konsistenzüberprüfung - vielleicht kennst Du das auch was - das machte jedenfalls Hoffnung.

In den Prozessen (vor dem erneuten Combofix) fand ich zwei exe-Dateien, die mir verdächtig vorkommen und vorher ziemlich sicher nicht da waren - diese sind: Wuauclt.exe, Wscntfy.exe

Nach dem Combofix ist nur noch die zweite der Dateien als Prozess vorhanden



hier der Log:

ComboFix 08-04-17.1 - Besitzer 2008-04-19 8:19:52.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.1628 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Besitzer\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Besitzer\Desktop\CFScript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

FILE ::
C:\WINDOWS\system32\drivers\oqxjejbfvmhd.sys
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\drivers\oqxjejbfvmhd.sys

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_oqxjejbfvmhd
-------\oqxjejbfvmhd


((((((((((((((((((((((( Dateien erstellt von 2008-03-19 bis 2008-04-19 ))))))))))))))))))))))))))))))
.

2008-04-18 21:57 . 2008-04-18 21:57 <DIR> d-------- C:\WINDOWS\ERUNT
2008-04-18 21:45 . 2008-04-18 21:45 <DIR> d-------- C:\SDFix
2008-04-18 19:58 . 2008-04-18 20:55 <DIR> d-------- C:\WINDOWS\BDOSCAN8
2008-04-18 19:43 . 2008-04-18 19:51 <DIR> d-------- C:\RVAXO
2008-04-18 19:43 . 2008-04-18 19:44 157,820 --a------ C:\RVAXO.reg
2008-04-18 18:46 . 2008-04-18 10:03 795,237 --a------ C:\WINDOWS\system32\RVAXO.bat
2008-04-18 18:46 . 2001-10-01 14:51 69,632 --a------ C:\WINDOWS\system32\remove.exe
2008-04-18 18:06 . 2008-04-18 18:06 <DIR> d-------- C:\Dokumente und Einstellungen\Besitzer\Pavark
2008-04-18 16:51 . 2008-04-18 16:51 <DIR> d-------- C:\Programme\CCleaner
2008-04-18 16:50 . 2008-04-18 16:50 <DIR> d-------- C:\Programme\Trend Micro
2008-04-18 16:38 . 2008-04-18 16:38 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-04-18 16:38 . 2008-04-18 16:38 <DIR> d-------- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Malwarebytes
2008-04-18 16:38 . 2008-04-18 16:38 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-04-18 16:21 . 2008-04-18 16:21 <DIR> d-------- C:\Programme\Enigma Software Group
2008-04-18 15:54 . 2008-04-18 18:20 2,044 --a------ C:\WINDOWS\system32\tmp.reg
2008-04-18 15:53 . 2007-04-22 18:43 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-04-18 15:53 . 2007-04-22 19:34 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmen�
2008-04-18 15:53 . 2007-04-22 19:34 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-04-18 15:53 . 2008-04-19 08:21 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-04-18 15:53 . 2007-04-22 19:34 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-04-18 15:53 . 2007-04-22 19:34 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-04-18 15:53 . 2007-04-22 19:34 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-04-18 15:53 . 2008-04-18 15:53 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator
2008-04-18 15:53 . 2008-04-18 22:31 1,024 --ah----- C:\Dokumente und Einstellungen\Administrator\NtUser.dat.LOG
2008-04-18 15:42 . 2008-04-18 15:42 <DIR> d-------- C:\Dokumente und Einstellungen\Besitzer\SmitfraudFix
2008-04-18 15:42 . 2007-09-06 00:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2008-04-18 15:42 . 2006-04-27 17:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2008-04-18 15:42 . 2008-04-14 19:28 86,528 --a------ C:\WINDOWS\system32\VACFix.exe
2008-04-18 15:42 . 2008-04-12 13:49 82,432 --a------ C:\WINDOWS\system32\IEDFix.exe
2008-04-18 15:42 . 2003-06-05 21:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
2008-04-18 15:42 . 2004-07-31 18:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2008-04-18 15:42 . 2007-10-04 00:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2008-04-18 15:35 . 2008-04-18 15:35 78 --a------ C:\WINDOWS\WININIT.INIRVAXO
2008-04-18 13:07 . 2008-04-18 15:35 <DIR> d-------- C:\Programme\BcInstall Data
2008-04-13 21:48 . 2008-04-13 21:48 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-04-13 21:48 . 2008-04-13 21:48 1,409 --a------ C:\WINDOWS\QTFont.for
2008-04-08 21:58 . 2008-04-08 21:58 <DIR> d-------- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Processing
2008-04-06 05:20 . 2008-03-29 19:31 75,856 --a------ C:\WINDOWS\system32\drivers\aswSP.sys
2008-04-06 05:20 . 2008-03-29 19:35 20,560 --a------ C:\WINDOWS\system32\drivers\aswFsBlk.sys
2008-04-03 10:36 . 2008-04-03 10:36 <DIR> d-------- C:\ConvertTemp
2008-04-01 20:48 . 2008-04-01 20:48 <DIR> d-------- C:\Programme\TVAnts
2008-03-31 21:18 . 2008-03-31 21:20 <DIR> d-------- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Xfire
2008-03-29 16:50 . 2008-04-12 22:17 <DIR> d-------- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\teamspeak2
2008-03-29 16:49 . 2008-03-29 16:49 34,064 --a------ C:\WINDOWS\system32\lhacm.acm
2008-03-29 16:48 . 2004-01-21 22:48 133,120 --a------ C:\WINDOWS\system\hvdi.dll
11 Datei(en) . 19,524,668 C:\ComboFix\Bytes
3 Datei(en) . 525,502 C:\ComboFix\Bytes
1 Datei(en) . 62 C:\ComboFix\Bytes

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-18 15:22 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-04-18 09:58 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys
2008-04-17 10:11 --------- d-----w C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\temp
2008-04-11 13:00 --------- d-----w C:\Programme\Norton Security Scan
2008-04-08 21:09 --------- d-----w C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Skype
2008-04-01 15:09 --------- d-----w C:\Programme\TuneUp Utilities 2007
2008-03-29 17:35 94,544 ----a-w C:\WINDOWS\system32\drivers\aswmon2.sys
2008-03-29 17:29 23,152 ----a-w C:\WINDOWS\system32\drivers\aswRdr.sys
2008-03-29 17:27 42,912 ----a-w C:\WINDOWS\system32\drivers\aswTdi.sys
2008-03-29 17:26 26,944 ----a-w C:\WINDOWS\system32\drivers\aavmker4.sys
2008-03-15 13:32 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-03-08 18:29 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software
2008-03-08 17:55 --------- d-----w C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\StarOffice8
2008-02-26 15:31 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-02-26 15:29 --------- d-----w C:\Programme\Gemeinsame Dateien\Control Panels
2008-02-26 15:27 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ALM
2008-02-26 15:16 --------- d-----w C:\Programme\Bonjour
2008-02-26 15:13 --------- d-----w C:\Programme\Gemeinsame Dateien\Macrovision Shared
2008-02-21 07:57 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DVD Shrink
2008-01-03 00:43 22,328 ----a-w C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\PnkBstrK.sys
.

((((((((((((((((((((((((((((( snapshot@2008-04-18_22.33.10,06 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-04-18 20:09:13 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-04-19 06:28:57 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2005-10-20 18:02:28 163,328 ----a-w C:\WINDOWS\erdnt\subs\ERDNT.EXE
+ 2008-04-19 06:29:00 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_5c4.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"FLMOFFICE4DMOUSE"="C:\Programme\Browser Mouse\mouse32a.exe" [2007-04-22 19:02 360448]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-03-22 04:50 8425472]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"IETI"="C:\Programme\Skype\Phone\IEPlugin\unins000.exe" [ ]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoRecentDocsNetHood"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\WINDOWS\\system32\\sessmgr.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"C:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Outlook Express\\msimn.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
"C:\\WINDOWS\\system32\\PnkBstrA.exe"=
"C:\\WINDOWS\\system32\\PnkBstrB.exe"=
"E:\\Spiele\\callofduty4\\iw3mp.exe"=

R1 ACEDRV02;ACEDRV02;C:\WINDOWS\system32\drivers\ACEDRV02.sys [2007-05-17 10:30]
R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-03-29 19:31]
R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-03-29 19:35]
R2 ithsgt;ithsgt;C:\WINDOWS\system32\DRIVERS\ithsgt.sys [2007-08-19 01:00]
R2 lilsgt;lilsgt;C:\WINDOWS\system32\DRIVERS\lilsgt.sys [2007-08-19 01:00]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 14:00]
S3 ss_bus;Samsung Mobile USB Device 1.0 driver (WDM);C:\WINDOWS\system32\DRIVERS\ss_bus.sys [2005-01-24 15:38]
S3 ss_mdfl;SAMSUNG Mobile USB Modem 1.0 Filter;C:\WINDOWS\system32\DRIVERS\ss_mdfl.sys [2005-01-24 15:38]
S3 ss_mdm;SAMSUNG Mobile USB Modem 1.0 Drivers;C:\WINDOWS\system32\DRIVERS\ss_mdm.sys [2005-01-24 15:38]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

.
Inhalt des "geplante Tasks" Ordners
"2008-04-11 15:15:00 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe
"2008-04-11 13:00:09 C:\WINDOWS\Tasks\Norton Security Scan.job"
- C:\Programme\Norton Security Scan\Nss.exe
.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-19 08:29:16
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
E:\Programme\Adobe\Acrobat 8.0\Acrobat\acrobat_sl.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-04-19 8:33:35 - machine was rebooted
ComboFix-quarantined-files.txt 2008-04-19 06:33:15
ComboFix2.txt 2008-04-18 20:33:40

13 Verzeichnis(se), 7,257,604,096 Bytes frei
15 Verzeichnis(se), 7,178,412,032 Bytes frei
.
2008-01-15 22:10:35 --- E O F ---



----------

Die zwei von Dir bemerkten Dateien gehören zu Windows, Stichwort Sicherheitscenter und Windows Update Client. Die kannste lassen wie sie sind.

Wenn Dein schon installiertes Malewarebytes nichts mehr findet, denke ich der Recher ist clean.
Bitte lösche / deinstalliere noch einige Deiner AV Programme.

Um Combofix zu loeschen(den qoobox ordner) gebe unter Start /Ausführen "combofix /u" ein. Ohne die " natürlich.

Der Rechner startet jetzt auch schneller, die Ladeverzögerungen hatten natürlich jeeils mit den Cleaning-Prozessen zu tun.

Danke für die Mühe nochmal!

Zu der Festplattenrettung fällt Dir nicht zufällig ein interessantes Tool ein, das vor Windowsstart ansetzt? Schön wärs