Hallo,

bei mir öffnen sich alle paar Minuten nervige PopUpfenster, in denen mir gesagt wird, mein PC seie mit Trojanern verseucht, die ich nur entfernen könne wenn ich das angepriesene Antispywareprogramm kaufen würde.

System: upgedatetes XpHome

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:10:52, on 03.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\Dit.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Alcohol 120%\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Skype\Plugin Manager\SkypePM.exe
C:\Programme\NetProject\scm.exe
C:\Programme\NetProject\scit.exe
C:\Programme\AntiVir PersonalEdition Classic\avscan.exe
C:\PROGRA~1\MOZILLA\FIREFOX\FIREFOX.EXE
E:\Tools\VirenKiller\hijackthis.com

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: DVA First - {8377285E-F9CE-4DEB-936C-04CAF05F0512} - C:\WINDOWS\qvlbodmnlks.dll
O3 - Toolbar: Internet Service - {51D81DD5-55B7-497F-95DB-D356429BB54E} - C:\Programme\NetProject\wamdl.dll
O3 - Toolbar: mkrndofl - {503AA2B1-C257-44D3-82D9-43FD349561A6} - C:\WINDOWS\mkrndofl.dll
O4 - HKLM\..\Run: [Resume copy] copyfstq.exe /startup
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Policies\Explorer\Run: [some] C:\Programme\NetProject\scit.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O21 - SSODL: wetkadmr - {36031C94-29B8-4CFA-B310-D95103628EB5} - C:\WINDOWS\wetkadmr.dll
O21 - SSODL: tdomgafw - {1BB1BBF7-2D21-427C-96A1-37740B20E2B0} - C:\WINDOWS\tdomgafw.dll (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Unknown owner - C:\WINDOWS\

--
End of file - 3931 bytes


Ich hoffe mir kann jemand helfen (so schnell wie mich jemand darauf aufmerksam gemacht hat dass ich im falschen Thread gepostet hatte)

Hallo JCLogan und





ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen.

Erstellung eines Hijacklog

• Hier gibt es das Tool -> HijackThis

• Suche die Datei HiJackThis.exe und benenne sie um in 'This.exe'

(Klick auf die Datei mit der rechten Maustaste -> umbenennen)

• Starte nun mit Doppelklick auf This.exe

• Klicke auf den Button "Do a system scan and save a log file"

• Nach der Überprüfung öffnet sich ein Editor Fenster, kopiere nun dieses Logfile ab und füge es in deinen Beitrag hier Forum ein

ComboFix 08-05-01.3 - Johannes 2008-05-03 21:58:11.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.294 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Johannes\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
/wow section - STAGE 38
Der Befehl "L”sche" ist entweder falsch geschrieben oder
konnte nicht gefunden werden.
pv: No matching processes found
Syntaxfehler.


(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Johannes\Favoriten\Error Cleaner.url
C:\Dokumente und Einstellungen\Johannes\Favoriten\Online Security Test.url
C:\Dokumente und Einstellungen\Johannes\Favoriten\Privacy Protector.url
C:\Dokumente und Einstellungen\Johannes\Favoriten\Spyware&Malware Protection.url
C:\WINDOWS\rs.txt

.
((((((((((((((((((((((( Dateien erstellt von 2008-04-03 bis 2008-05-03 ))))))))))))))))))))))))))))))
.

2008-05-03 21:39 . 2008-05-03 21:39 <DIR> d-------- C:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\TmpRecentIcons
2008-05-03 21:26 . 2008-03-15 17:33 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-05-03 21:26 . 2008-03-15 17:29 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmenü
2008-05-03 21:26 . 2008-03-15 17:29 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-05-03 21:26 . 2008-05-03 21:59 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-05-03 21:26 . 2008-03-15 17:29 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-05-03 21:26 . 2008-03-15 17:29 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-05-03 21:26 . 2008-03-15 17:29 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-05-03 21:26 . 2008-05-03 21:26 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator
2008-05-03 21:26 . 2008-05-03 21:58 1,024 --ah----- C:\Dokumente und Einstellungen\Administrator\ntuser.dat.LOG
2008-05-03 20:35 . 2008-05-03 20:46 <DIR> d-------- C:\Programme\Enigma Software Group
2008-05-03 19:53 . 2008-05-03 04:38 331,776 --a------ C:\WINDOWS\wetkadmr.dll
2008-05-03 19:53 . 2008-05-03 04:39 266,240 --a------ C:\WINDOWS\qvlbodmnlks.dll
2008-05-03 19:53 . 2008-05-03 04:40 184,320 --a------ C:\WINDOWS\mkrndofl.dll
2008-05-03 19:53 . 2008-05-03 04:39 110,592 --a------ C:\WINDOWS\svorbmke.exe
2008-05-03 19:53 . 2008-05-03 04:40 90,112 --a------ C:\WINDOWS\knxsrgte.exe
2008-04-16 21:39 . 2008-04-16 21:39 <DIR> d-------- C:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\Ahead
2008-04-13 13:45 . 2008-04-13 13:45 <DIR> d-------- C:\Programme\Home Cinema
2008-04-13 13:45 . 2008-04-13 13:45 <DIR> d-------- C:\Programme\CyberLink
2008-04-13 13:43 . 2008-04-13 13:43 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\muvee Technologies
2008-04-13 13:35 . 2008-04-13 13:35 <DIR> d-------- C:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\CyberLink
2008-04-13 13:35 . 2008-04-13 13:45 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CyberLink
2008-04-13 13:32 . 2008-04-13 13:31 505,128 --a------ C:\WINDOWS\system32\msvcp71.dll
2008-04-12 21:07 . 2008-04-12 21:07 0 --a------ C:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\wklnhst.dat
2008-04-12 20:26 . 2008-04-12 20:26 <DIR> d-------- C:\WINDOWS\ShellNew
2008-04-12 20:26 . 2008-04-12 20:26 400 --a------ C:\WINDOWS\ODBC.INI
2008-04-12 20:20 . 2008-04-12 20:27 <DIR> d-------- C:\Programme\Microsoft Works
2008-04-12 20:18 . 2008-04-12 20:18 <DIR> d-------- C:\Programme\Microsoft Works Suite 2004
2008-04-09 14:45 . 2008-04-26 00:42 <DIR> d-------- C:\Programme\No23 Recorder
2008-04-06 09:51 . 2008-04-06 09:51 754 --a------ C:\WINDOWS\WORDPAD.INI
2008-04-05 01:07 . 2008-04-09 23:20 7,680 --ahs---- C:\WINDOWS\Thumbs.db
2008-04-04 10:40 . 2008-04-04 10:40 <DIR> d-------- C:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\DivX
2008-04-03 00:11 . 2008-04-03 00:11 0 --ah----- C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT_TU_62433.LOG
2008-04-03 00:11 . 2008-04-03 00:11 0 --ah----- C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT_TU_43502.LOG
2008-04-03 00:11 . 2008-04-03 00:11 0 --ah----- C:\Dokumente und Einstellungen\Johannes\NTUSER.DAT_TU_64290.LOG
5 Datei(en) . 14,438,590 C:\ComboFix\Bytes
5 Datei(en) . 492,564 C:\ComboFix\Bytes
5 Datei(en) . 492,564 C:\ComboFix\Bytes
3 Datei(en) . 525,502 C:\ComboFix\Bytes
2 Datei(en) . 62 C:\ComboFix\Bytes
1 Datei(en) . 62 C:\ComboFix\Bytes

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-03 19:57 --------- d-----w C:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\Skype
2008-05-03 18:43 13,440 ----a-w C:\WINDOWS\system32\drivers\USBCRFT.SYS
2008-04-30 21:58 --------- d-----w C:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\Azureus
2008-04-28 22:28 --------- d-----w C:\Programme\Azureus
2008-04-19 16:58 --------- d-----w C:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\AdobeUM
2008-04-19 16:12 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-04-19 16:03 --------- d-----w C:\Programme\Acrobat 6.0
2008-04-13 11:45 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-04-13 11:31 353,576 ----a-w C:\WINDOWS\system32\msvcr71.dll
2008-04-13 10:42 --------- d-----w C:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\dvdcss
2008-04-06 19:07 --------- d-----w C:\Programme\Steam
2008-04-02 21:12 --------- d-----w C:\Programme\QuickTime
2008-04-02 21:12 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2008-04-02 21:11 --------- d-----w C:\Programme\DivX
2008-04-02 21:11 --------- d-----w C:\Programme\Apple Software Update
2008-04-02 21:11 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
2008-04-02 18:27 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ATI
2008-04-02 18:24 --------- d-----w C:\Programme\ATI Technologies
2008-04-02 18:23 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2008-04-02 16:57 --------- d-----w C:\Programme\Veoh Networks
2008-04-02 06:51 --------- d-----w C:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\ATI
2008-03-30 16:19 21,840 ----atw C:\WINDOWS\system32\SIntfNT.dll
2008-03-30 16:19 17,212 ----atw C:\WINDOWS\system32\SIntf32.dll
2008-03-30 16:19 12,067 ----atw C:\WINDOWS\system32\SIntf16.dll
2008-03-30 00:18 --------- d-----w C:\Programme\Promotions
2008-03-29 21:20 --------- d-----w C:\Programme\Risk
2008-03-28 23:09 --------- d-----w C:\Programme\PDF Editor 2
2008-03-26 17:29 73,216 ----a-w C:\WINDOWS\cadkasdeinst01.exe
2008-03-25 23:21 --------- d-----w C:\Programme\WC3Banlist
2008-03-25 23:15 --------- d-----w C:\Programme\WinPcap
2008-03-25 23:07 2,829 ----a-w C:\WINDOWS\War3Unin.pif
2008-03-25 23:07 139,264 ----a-w C:\WINDOWS\War3Unin.exe
2008-03-25 21:37 --------- d-----w C:\Programme\VLC
2008-03-25 14:35 --------- d-----w C:\Programme\Smart Manager
2008-03-25 13:34 307,968 ----a-w C:\WINDOWS\system32\TuneUpDefragService.exe
2008-03-25 13:34 --------- d-----w C:\Programme\TuneUp Utilities 2008
2008-03-25 13:34 --------- d-----w C:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\TuneUp Software
2008-03-25 13:34 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software
2008-03-25 13:33 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-03-18 22:53 --------- d-----w C:\Programme\Winamp
2008-03-16 20:49 --------- d-----w C:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\Talkback
2008-03-16 20:03 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Azureus
2008-03-16 16:08 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-03-16 10:59 --------- d-----w C:\Programme\QIP
2008-03-16 08:45 1,700,352 ----a-w C:\WINDOWS\system32\gdiplus.dll
2008-03-15 22:17 --------- d-----w C:\Programme\CA
2008-03-15 22:16 --------- d-----w C:\Programme\Ahead
2008-03-15 22:06 --------- d-----w C:\Programme\Intel
2008-03-15 18:53 --------- d-----w C:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\vlc
2008-03-15 18:47 --------- d-----w C:\Programme\Gemeinsame Dateien\Ahead
2008-03-15 18:47 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ahead
2008-03-15 18:44 --------- d-----w C:\Programme\Gemeinsame Dateien\Borland Shared
2008-03-15 18:38 --------- d-----w C:\Programme\Java
2008-03-15 18:36 --------- d-----w C:\Programme\Gemeinsame Dateien\Java
2008-03-15 18:33 --------- d-----w C:\Programme\Gemeinsame Dateien\GTK
2008-03-15 18:30 --------- d-----w C:\Programme\Defrag Professional
2008-03-15 18:28 --------- d-----w C:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\Thunderbird
2008-03-15 18:24 --------- d-----w C:\Programme\Alcohol 120%
2008-03-15 18:21 --------- d-----w C:\Programme\Skype
2008-03-15 18:20 --------- d-----w C:\Programme\Gemeinsame Dateien\Skype
2008-03-15 18:20 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype
2008-03-15 18:19 --------- d-----w C:\Programme\Mozilla
2008-03-15 16:07 94,636 ----a-w C:\WINDOWS\dropcpyr.dll
2008-03-15 16:07 73,728 ----a-w C:\WINDOWS\copyfstq.exe
2008-03-15 16:07 --------- d-----w C:\Programme\7-Zip
2008-03-15 16:05 --------- d-----w C:\Programme\Windows Media Connect 2
2008-03-15 15:37 558,142 ----a-w C:\WINDOWS\java\Packages\1JDR5RR1.ZIP
2008-03-15 15:37 155,995 ----a-w C:\WINDOWS\java\Packages\79Z57HBH.ZIP
2008-03-15 15:37 --------- d-----w C:\Programme\microsoft frontpage
2008-03-15 15:36 --------- d-----w C:\Programme\Online-Dienste
2008-03-15 15:35 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste
2008-02-27 12:15 28,416 ----a-w C:\WINDOWS\system32\uxtuneup.dll
2008-02-26 03:12 372,736 ----a-w C:\WINDOWS\system32\ATIDEMGX.dll
2008-02-26 03:10 307,200 ----a-w C:\WINDOWS\system32\atiiiexx.dll
2008-02-26 03:10 299,520 ------w C:\WINDOWS\system32\ati2dvag.dll
2008-02-26 03:02 172,032 ----a-w C:\WINDOWS\system32\atipdlxx.dll
2008-02-26 03:02 126,976 ----a-w C:\WINDOWS\system32\Oemdspif.dll
2008-02-26 03:01 43,520 ----a-w C:\WINDOWS\system32\ati2edxx.dll
2008-02-26 03:01 26,112 ----a-w C:\WINDOWS\system32\Ati2mdxx.exe
2008-02-26 03:01 126,976 ----a-w C:\WINDOWS\system32\ati2evxx.dll
2008-02-26 03:00 520,192 ----a-w C:\WINDOWS\system32\ati2evxx.exe
2008-02-26 02:59 9,797,632 ----a-w C:\WINDOWS\system32\atioglx2.dll
2008-02-26 02:58 53,248 ----a-w C:\WINDOWS\system32\ATIDDC.DLL
2008-02-26 02:49 3,176,480 ------w C:\WINDOWS\system32\ati3duag.dll
2008-02-26 02:41 1,755,264 ------w C:\WINDOWS\system32\ativvaxx.dll
2008-02-26 02:29 46,080 ----a-w C:\WINDOWS\system32\amdpcom32.dll
2008-02-26 02:25 393,216 ----a-w C:\WINDOWS\system32\atikvmag.dll
2008-02-26 02:23 17,408 ----a-w C:\WINDOWS\system32\atitvo32.dll
2008-02-26 02:21 5,439,488 ----a-w C:\WINDOWS\system32\atioglxx.dll
2008-02-26 02:19 167,936 ----a-w C:\WINDOWS\system32\atiok3x2.dll
2008-02-26 02:16 520,192 ------w C:\WINDOWS\system32\ati2cqag.dll
2008-02-25 19:05 593,920 ------w C:\WINDOWS\system32\ati2sgag.exe
2008-02-21 02:05 524,288 ----a-w C:\WINDOWS\system32\DivXsm.exe
2008-02-21 02:05 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll
2008-02-21 02:05 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
2008-02-21 02:05 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
2008-02-21 02:04 823,296 ----a-w C:\WINDOWS\system32\divx_xx0c.dll
2008-02-21 02:04 823,296 ----a-w C:\WINDOWS\system32\divx_xx07.dll
2008-02-21 02:04 81,920 ----a-w C:\WINDOWS\system32\dpl100.dll
2008-02-21 02:04 802,816 ----a-w C:\WINDOWS\system32\divx_xx11.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{8377285E-F9CE-4DEB-936C-04CAF05F0512}]
2008-05-03 04:39 266240 --a------ C:\WINDOWS\qvlbodmnlks.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{503AA2B1-C257-44D3-82D9-43FD349561A6}"= "C:\WINDOWS\mkrndofl.dll" [2008-05-03 04:40 184320]

[HKEY_CLASSES_ROOT\clsid\{503aa2b1-c257-44d3-82d9-43fd349561a6}]
[HKEY_CLASSES_ROOT\mkrndofl.1]
[HKEY_CLASSES_ROOT\TypeLib\{96F7BAE9-BC94-4206-8466-1FA321178963}]
[HKEY_CLASSES_ROOT\mkrndofl]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Resume copy"="copyfstq.exe" [2008-03-15 18:07 73728 C:\WINDOWS\copyfstq.exe]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-15 14:23 262401]
"MSConfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe" [2004-08-04 01:58 160768]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 01:57 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"SynchronousMachineGroupPolicy"= 0 (0x0)
"SynchronousUserGroupPolicy"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoStrCmpLogical"= 1 (0x1)
"NoResolveSearch"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSMBalloonTip"= 0 (0x0)

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"wetkadmr"= {36031C94-29B8-4CFA-B310-D95103628EB5} - C:\WINDOWS\wetkadmr.dll [2008-05-03 04:38 331776]
"tdomgafw"= {1BB1BBF7-2D21-427C-96A1-37740B20E2B0} - C:\WINDOWS\tdomgafw.dll [ ]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-01-11 22:16 39792 C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Cmaudio]


[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
--a------ 2004-08-04 01:57 15360 C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Dit]
--a------ 2003-12-30 00:33 94208 C:\WINDOWS\Dit.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
C:\WINDOWS\system32\dumprep 0 -k

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"WMPNetworkSvc"=3 (0x3)
"TuneUp.Defrag"=3 (0x3)
"rpcapd"=3 (0x3)
"O&O Defrag"=3 (0x3)
"LogWatch"=2 (0x2)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Azureus\\Azureus.exe"=
"C:\\Programme\\QIP\\qip.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"31921:TCP"= 31921:TCP:qip
"33581:TCP"= 33581:TCP:qip2

R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 01:58]
R3 CardReaderFilter;Card Reader Filter;C:\WINDOWS\system32\Drivers\USBCRFT.SYS [2008-05-03 20:43]
R3 wbscr;Winbond Smartcard Reader for I/O;C:\WINDOWS\system32\drivers\wbscr.sys [2002-04-24 13:07]
S3 CA_LIC_CLNT;CA-Lizenz-Client;C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe [2002-09-20 19:27]
S3 CA_LIC_SRVR;CA-Lizenzserver;C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe [2002-09-20 19:41]
S3 NPF;NetGroup Packet Filter Driver;C:\WINDOWS\system32\drivers\npf.sys [2005-08-02 23:10]
S4 LogWatch;Ereignisprotokoll-Überwachung;C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe [2002-09-20 19:29]
S4 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-03-25 15:34]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

*Newly Created Service* - CATCHME
.
Inhalt des "geplante Tasks" Ordners
"2008-04-03 09:00:01 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2008\OneClickStarter.exe
"2008-04-03 08:33:01 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-03 21:59:14
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...


folder error: C:\DOKUME~1\Johannes\LOKALE~1\Temp\

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-05-03 22:00:10
ComboFix-quarantined-files.txt 2008-05-03 20:00:06

5 Verzeichnis(se), 44,107,788,288 Bytes frei
8 Verzeichnis(se), 44,251,852,800 Bytes frei

256 --- E O F --- 2008-03-26 15:53:39

OTMoveIt by OldTimer

Folgendes Tool herunterladen -> OTMoveIt2.exe
--> Starte nun die OTMoveIt.exe

--> Im Fenster links (Paste Standard List of Files/Folders to be Move) folgendes reinkopieren:

Code: Alles auswählenAufklappen

ATTFilter

C:\WINDOWS\wetkadmr.dll
C:\WINDOWS\qvlbodmnlks.dll
C:\WINDOWS\mkrndofl.dll
C:\WINDOWS\svorbmke.exe
C:\WINDOWS\knxsrgte.exe
C:\WINDOWS\tdomgafw.dll
         

--> Danach den Roten MoveIt!-Button klicken
--> Das Programm wird dir anschliessend einen Bericht anzeigen, kopiere diesen ab und füge ihn in deinen Beitrag ein!



Malwarebytes' Anti-Malware

• Lies dir die Entfernungsanleitung durch und lass alles entfernen was gefunden wurde:

• Download von Malwarebytes' Anti-Malware

File/Folder C:\WINDOWS\wetkadmr.dll not found.
C:\WINDOWS\qvlbodmnlks.dll unregistered successfully.
C:\WINDOWS\qvlbodmnlks.dll moved successfully.
C:\WINDOWS\mkrndofl.dll unregistered successfully.
C:\WINDOWS\mkrndofl.dll moved successfully.
C:\WINDOWS\svorbmke.exe moved successfully.
C:\WINDOWS\knxsrgte.exe moved successfully.
File/Folder C:\WINDOWS\tdomgafw.dll not found.

OTMoveIt2 by OldTimer - Version 1.0.4.1 log created on 05042008_082258

Malwarebytes' Anti-Malware 1.11
Datenbank Version: 714

Scan Art: Schnell Scan
Objekte gescannt: 32100
Scan Dauer: 6 minute(s), 49 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 5
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Web Application (Trojan.Zlob) -> No action taken.
HKEY_CLASSES_ROOT\multimediaControls.chl (Trojan.Zlob) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{51d81dd5-55b7-497f-95db-d356429bb54e} (Trojan.Zlob) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{51d81dd5-55b7-497f-95db-d356429bb54e} (Trojan.Zlob) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow\*.securewebinfo.com (Trojan.Zlob) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow\*.safetyincludes.com (Trojan.Zlob) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow\*.securemanaging.com (Trojan.Zlob) -> No action taken.

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
(Keine Malware Objekte gefunden)

hast du löschen gewählt? zeige dann ein neues hijackthis-log und berichte wie der pcläuft.

Desweiteren erstelle ein neus Log mit Combofix!

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:22:16, on 04.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Alcohol 120%\Alcohol 120\StarWind\StarWindService.exe
C:\Programme\Mozilla\Firefox\firefox.exe
E:\Tools\VirenKiller\hijackthis.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O4 - HKLM\..\Run: [Resume copy] copyfstq.exe /startup
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O21 - SSODL: wetkadmr - {36031C94-29B8-4CFA-B310-D95103628EB5} - C:\WINDOWS\wetkadmr.dll (file missing)
O21 - SSODL: tdomgafw - {1BB1BBF7-2D21-427C-96A1-37740B20E2B0} - C:\WINDOWS\tdomgafw.dll (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Unknown owner - C:\WINDOWS\

ComboFix 08-05-01.3 - Johannes 2008-05-04 11:23:14.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.236 [GMT 2:00]
ausgeführt von:: E:\Tools\VirenKiller\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
/wow section - STAGE 38
Syntaxfehler.


((((((((((((((((((((((( Dateien erstellt von 2008-04-04 bis 2008-05-04 ))))))))))))))))))))))))))))))
.

2008-05-04 08:25 . 2008-05-04 08:25 <DIR> d-------- C:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\Malwarebytes
2008-05-04 08:24 . 2008-05-04 08:26 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-05-04 08:24 . 2008-05-04 08:24 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-05-04 08:22 . 2008-05-04 08:22 <DIR> d-------- C:\_OTMoveIt
2008-05-03 21:39 . 2008-05-03 21:39 <DIR> d-------- C:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\TmpRecentIcons
2008-05-03 21:26 . 2008-03-15 17:33 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-05-03 21:26 . 2008-03-15 17:29 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmenü
2008-05-03 21:26 . 2008-03-15 17:29 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-05-03 21:26 . 2008-05-04 11:24 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-05-03 21:26 . 2008-03-15 17:29 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-05-03 21:26 . 2008-03-15 17:29 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-05-03 21:26 . 2008-03-15 17:29 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-05-03 21:26 . 2008-05-03 21:26 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator
2008-05-03 21:26 . 2008-05-04 11:23 1,024 --ah----- C:\Dokumente und Einstellungen\Administrator\ntuser.dat.LOG
2008-04-16 21:39 . 2008-04-16 21:39 <DIR> d-------- C:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\Ahead
2008-04-13 13:45 . 2008-04-13 13:45 <DIR> d-------- C:\Programme\Home Cinema
2008-04-13 13:45 . 2008-04-13 13:45 <DIR> d-------- C:\Programme\CyberLink
2008-04-13 13:43 . 2008-04-13 13:43 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\muvee Technologies
2008-04-13 13:35 . 2008-04-13 13:35 <DIR> d-------- C:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\CyberLink
2008-04-13 13:35 . 2008-04-13 13:45 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CyberLink
2008-04-13 13:32 . 2008-04-13 13:31 505,128 --a------ C:\WINDOWS\system32\msvcp71.dll
2008-04-12 21:07 . 2008-04-12 21:07 0 --a------ C:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\wklnhst.dat
2008-04-12 20:26 . 2008-04-12 20:26 <DIR> d-------- C:\WINDOWS\ShellNew
2008-04-12 20:26 . 2008-04-12 20:26 400 --a------ C:\WINDOWS\ODBC.INI
2008-04-12 20:20 . 2008-04-12 20:27 <DIR> d-------- C:\Programme\Microsoft Works
2008-04-12 20:18 . 2008-04-12 20:18 <DIR> d-------- C:\Programme\Microsoft Works Suite 2004
2008-04-09 14:45 . 2008-04-26 00:42 <DIR> d-------- C:\Programme\No23 Recorder
2008-04-06 09:51 . 2008-04-06 09:51 754 --a------ C:\WINDOWS\WORDPAD.INI
2008-04-05 01:07 . 2008-04-09 23:20 7,680 --ahs---- C:\WINDOWS\Thumbs.db
2008-04-04 10:40 . 2008-04-04 10:40 <DIR> d-------- C:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\DivX
3 Datei(en) . 525,502 C:\ComboFix\Bytes
2 Datei(en) . 62 C:\ComboFix\Bytes
1 Datei(en) . 62 C:\ComboFix\Bytes

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-03 19:57 --------- d-----w C:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\Skype
2008-05-03 18:43 13,440 ----a-w C:\WINDOWS\system32\drivers\USBCRFT.SYS
2008-04-30 21:58 --------- d-----w C:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\Azureus
2008-04-28 22:28 --------- d-----w C:\Programme\Azureus
2008-04-19 16:58 --------- d-----w C:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\AdobeUM
2008-04-19 16:12 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-04-19 16:03 --------- d-----w C:\Programme\Acrobat 6.0
2008-04-13 11:45 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-04-13 11:31 353,576 ----a-w C:\WINDOWS\system32\msvcr71.dll
2008-04-13 10:42 --------- d-----w C:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\dvdcss
2008-04-06 19:07 --------- d-----w C:\Programme\Steam
2008-04-02 21:12 --------- d-----w C:\Programme\QuickTime
2008-04-02 21:12 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2008-04-02 21:11 --------- d-----w C:\Programme\DivX
2008-04-02 21:11 --------- d-----w C:\Programme\Apple Software Update
2008-04-02 21:11 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
2008-04-02 18:27 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ATI
2008-04-02 18:24 --------- d-----w C:\Programme\ATI Technologies
2008-04-02 18:23 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2008-04-02 06:51 --------- d-----w C:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\ATI
2008-03-30 16:19 21,840 ----atw C:\WINDOWS\system32\SIntfNT.dll
2008-03-30 16:19 17,212 ----atw C:\WINDOWS\system32\SIntf32.dll
2008-03-30 16:19 12,067 ----atw C:\WINDOWS\system32\SIntf16.dll
2008-03-30 00:18 --------- d-----w C:\Programme\Promotions
2008-03-28 23:09 --------- d-----w C:\Programme\PDF Editor 2
2008-03-26 17:29 73,216 ----a-w C:\WINDOWS\cadkasdeinst01.exe
2008-03-25 23:21 --------- d-----w C:\Programme\WC3Banlist
2008-03-25 23:15 --------- d-----w C:\Programme\WinPcap
2008-03-25 23:07 2,829 ----a-w C:\WINDOWS\War3Unin.pif
2008-03-25 23:07 139,264 ----a-w C:\WINDOWS\War3Unin.exe
2008-03-25 21:37 --------- d-----w C:\Programme\VLC
2008-03-25 14:35 --------- d-----w C:\Programme\Smart Manager
2008-03-25 13:34 307,968 ----a-w C:\WINDOWS\system32\TuneUpDefragService.exe
2008-03-25 13:34 --------- d-----w C:\Programme\TuneUp Utilities 2008
2008-03-25 13:34 --------- d-----w C:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\TuneUp Software
2008-03-25 13:34 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software
2008-03-25 13:33 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
2008-03-18 22:53 --------- d-----w C:\Programme\Winamp
2008-03-16 20:49 --------- d-----w C:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\Talkback
2008-03-16 20:03 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Azureus
2008-03-16 16:08 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-03-16 10:59 --------- d-----w C:\Programme\QIP
2008-03-16 08:45 1,700,352 ----a-w C:\WINDOWS\system32\gdiplus.dll
2008-03-15 22:17 --------- d-----w C:\Programme\CA
2008-03-15 22:16 --------- d-----w C:\Programme\Ahead
2008-03-15 22:06 --------- d-----w C:\Programme\Intel
2008-03-15 18:53 --------- d-----w C:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\vlc
2008-03-15 18:47 --------- d-----w C:\Programme\Gemeinsame Dateien\Ahead
2008-03-15 18:47 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ahead
2008-03-15 18:44 --------- d-----w C:\Programme\Gemeinsame Dateien\Borland Shared
2008-03-15 18:38 --------- d-----w C:\Programme\Java
2008-03-15 18:36 --------- d-----w C:\Programme\Gemeinsame Dateien\Java
2008-03-15 18:33 --------- d-----w C:\Programme\Gemeinsame Dateien\GTK
2008-03-15 18:28 --------- d-----w C:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\Thunderbird
2008-03-15 18:24 --------- d-----w C:\Programme\Alcohol 120%
2008-03-15 18:21 --------- d-----w C:\Programme\Skype
2008-03-15 18:20 --------- d-----w C:\Programme\Gemeinsame Dateien\Skype
2008-03-15 18:20 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype
2008-03-15 18:19 --------- d-----w C:\Programme\Mozilla
2008-03-15 16:07 94,636 ----a-w C:\WINDOWS\dropcpyr.dll
2008-03-15 16:07 73,728 ----a-w C:\WINDOWS\copyfstq.exe
2008-03-15 16:07 --------- d-----w C:\Programme\7-Zip
2008-03-15 16:05 --------- d-----w C:\Programme\Windows Media Connect 2
2008-03-15 15:37 558,142 ----a-w C:\WINDOWS\java\Packages\1JDR5RR1.ZIP
2008-03-15 15:37 155,995 ----a-w C:\WINDOWS\java\Packages\79Z57HBH.ZIP
2008-03-15 15:37 --------- d-----w C:\Programme\microsoft frontpage
2008-03-15 15:36 --------- d-----w C:\Programme\Online-Dienste
2008-03-15 15:35 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste
2008-02-27 12:15 28,416 ----a-w C:\WINDOWS\system32\uxtuneup.dll
2008-02-26 03:12 372,736 ----a-w C:\WINDOWS\system32\ATIDEMGX.dll
2008-02-26 03:10 307,200 ----a-w C:\WINDOWS\system32\atiiiexx.dll
2008-02-26 03:10 299,520 ------w C:\WINDOWS\system32\ati2dvag.dll
2008-02-26 03:02 172,032 ----a-w C:\WINDOWS\system32\atipdlxx.dll
2008-02-26 03:02 126,976 ----a-w C:\WINDOWS\system32\Oemdspif.dll
2008-02-26 03:01 43,520 ----a-w C:\WINDOWS\system32\ati2edxx.dll
2008-02-26 03:01 26,112 ----a-w C:\WINDOWS\system32\Ati2mdxx.exe
2008-02-26 03:01 126,976 ----a-w C:\WINDOWS\system32\ati2evxx.dll
2008-02-26 03:00 520,192 ----a-w C:\WINDOWS\system32\ati2evxx.exe
2008-02-26 02:59 9,797,632 ----a-w C:\WINDOWS\system32\atioglx2.dll
2008-02-26 02:58 53,248 ----a-w C:\WINDOWS\system32\ATIDDC.DLL
2008-02-26 02:49 3,176,480 ------w C:\WINDOWS\system32\ati3duag.dll
2008-02-26 02:41 1,755,264 ------w C:\WINDOWS\system32\ativvaxx.dll
2008-02-26 02:29 46,080 ----a-w C:\WINDOWS\system32\amdpcom32.dll
2008-02-26 02:25 393,216 ----a-w C:\WINDOWS\system32\atikvmag.dll
2008-02-26 02:23 17,408 ----a-w C:\WINDOWS\system32\atitvo32.dll
2008-02-26 02:21 5,439,488 ----a-w C:\WINDOWS\system32\atioglxx.dll
2008-02-26 02:19 167,936 ----a-w C:\WINDOWS\system32\atiok3x2.dll
2008-02-26 02:16 520,192 ------w C:\WINDOWS\system32\ati2cqag.dll
2008-02-25 19:05 593,920 ------w C:\WINDOWS\system32\ati2sgag.exe
2008-02-21 02:05 524,288 ----a-w C:\WINDOWS\system32\DivXsm.exe
2008-02-21 02:05 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll
2008-02-21 02:05 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
2008-02-21 02:05 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
2008-02-21 02:04 823,296 ----a-w C:\WINDOWS\system32\divx_xx0c.dll
2008-02-21 02:04 823,296 ----a-w C:\WINDOWS\system32\divx_xx07.dll
2008-02-21 02:04 81,920 ----a-w C:\WINDOWS\system32\dpl100.dll
2008-02-21 02:04 802,816 ----a-w C:\WINDOWS\system32\divx_xx11.dll
2008-02-21 02:04 682,496 ----a-w C:\WINDOWS\system32\DivX.dll
2008-02-21 02:04 593,920 ----a-w C:\WINDOWS\system32\dpuGUI11.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Resume copy"="copyfstq.exe" [2008-03-15 18:07 73728 C:\WINDOWS\copyfstq.exe]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-15 14:23 262401]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 01:57 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"SynchronousMachineGroupPolicy"= 0 (0x0)
"SynchronousUserGroupPolicy"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoStrCmpLogical"= 1 (0x1)
"NoResolveSearch"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSMBalloonTip"= 0 (0x0)

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"wetkadmr"= {36031C94-29B8-4CFA-B310-D95103628EB5} - C:\WINDOWS\wetkadmr.dll [ ]
"tdomgafw"= {1BB1BBF7-2D21-427C-96A1-37740B20E2B0} - C:\WINDOWS\tdomgafw.dll [ ]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-01-11 22:16 39792 C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Cmaudio]


[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
--a------ 2004-08-04 01:57 15360 C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Dit]
--a------ 2003-12-30 00:33 94208 C:\WINDOWS\Dit.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
C:\WINDOWS\system32\dumprep 0 -k

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"WMPNetworkSvc"=3 (0x3)
"TuneUp.Defrag"=3 (0x3)
"rpcapd"=3 (0x3)
"O&O Defrag"=3 (0x3)
"LogWatch"=2 (0x2)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Azureus\\Azureus.exe"=
"C:\\Programme\\QIP\\qip.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"31921:TCP"= 31921:TCP:qip
"33581:TCP"= 33581:TCP:qip2

R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 01:58]
R3 CardReaderFilter;Card Reader Filter;C:\WINDOWS\system32\Drivers\USBCRFT.SYS [2008-05-03 20:43]
R3 wbscr;Winbond Smartcard Reader for I/O;C:\WINDOWS\system32\drivers\wbscr.sys [2002-04-24 13:07]
S3 CA_LIC_CLNT;CA-Lizenz-Client;C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe [2002-09-20 19:27]
S3 CA_LIC_SRVR;CA-Lizenzserver;C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe [2002-09-20 19:41]
S3 NPF;NetGroup Packet Filter Driver;C:\WINDOWS\system32\drivers\npf.sys [2005-08-02 23:10]
S4 LogWatch;Ereignisprotokoll-Überwachung;C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe [2002-09-20 19:29]
S4 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-03-25 15:34]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

.
Inhalt des "geplante Tasks" Ordners
"2008-04-03 09:00:01 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2008\OneClickStarter.exe
"2008-04-03 08:33:01 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-04 11:24:19
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-05-04 11:25:12
ComboFix-quarantined-files.txt 2008-05-04 09:25:07

6 Verzeichnis(se), 41,781,800,960 Bytes frei
8 Verzeichnis(se), 41,786,314,752 Bytes frei

225 --- E O F --- 2008-05-04 08:05:33

Ich hoffe es geht in Ordnung wenn ich die Logs immer seperat poste.
Der PC läuft jetzt einwandfrei, ich hatte im Abgesicherten Modus den Ordner "Netproject" gelöscht, weil mir aufgefallen war dass alle Probleme irgendwie darauf zurück zu laufen schienen. Im Internet kam dann der Tipp den Ordner im Abgesicherten Modus (da er normalerweise geschützt ist) zu löschen.

Trotzdem würde ich gerne wisen ob noch irgendwo was sitzt.

Zitat:

Zitat von JCLogan

Trotzdem würde ich gerne wisen ob noch irgendwo was sitzt.

Es sollte alles entfernt sein, nur noch ein paar Schönheitsoperationen:



Fixen/Löschen mit Hijackthis


Hijackthis starten -> Do a system scan only -> einen Haken setzen in folgende weiße Kästchen:

Code: Alles auswählenAufklappen

ATTFilter

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
O21 - SSODL: wetkadmr - {36031C94-29B8-4CFA-B310-D95103628EB5} - C:\WINDOWS\wetkadmr.dll (file missing)
O21 - SSODL: tdomgafw - {1BB1BBF7-2D21-427C-96A1-37740B20E2B0} - C:\WINDOWS\tdomgafw.dll (file missing)
         

Wenn alle Einträge angehakt sind, klick auf den Button -> "Fix checked"
Der Rechner startet nun neu...





Combofix Deinstallieren

Klick auf Start -> Ausführen -> eintippen combofix /U

Damit ist Combofix und alle weiteren Programme entfernt wurden.

Problem gelöst, vielen Dank.