TR/Vundo.Gen, Vundo.AG, Crypt.XPACK.Gen usw.

Jonny_Phobia · 15.05.2008, 19:42

Hallo,

ich schlage mich nun schon seit geraumer zeit mit einem TR/Vundo.Gen herum und bekomme diesen einfach nicht los.
Sobald beim starten der Desktop erscheint, kommen durch AntiVir zahlreiche meldungen (zuletzt 14 stück) über den fund des trojanischen pferdes TR/Vundo.Gen (vor einigen tagen war es noch TR/Vundo.AG)

Habe schon oft per Virenscan einige dieser dateien gelöscht, die C:\windows\system32\geebc.dll bleibt jedoch immer erhalten und von dieser datei aus scheint sich der virus wieder auf andere .dll dateien auszubreiten.
Als ich vorhin meinen pc hochfuhr, kam auch noch die meldung eines TR/Crypt.XPACK.Gen, TR/Monder.97792 und WORM/Socks.IW.29 dazu. Seit besagtem hochfahren werde ich nun bei jedem öffnen einer anwendung gefragt, mit welcher anwendung ich diese öffnen möchte

Bitte um dringende hilfe falls nicht schon zu spät denn diesen eindruck habe ich fast

Poste hier noch meine HijackThis Logfile :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:58:52, on 15.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\VMware\VMware Player\vmware-authd.exe
C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\WINDOWS\system32\vmnat.exe
C:\WINDOWS\system32\vmnetdhcp.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\explorer.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\Windows Media Player\wmplayer.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Hijackthis\This.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**ps://webmailer.1und1.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://localhost:3476/cgi-bin/ncgir.exe?menu/fwl_index.html
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Programme\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL
O2 - BHO: {314f80ed-31d1-23f9-0754-7926c30f08f0} - {0f80f03c-6297-4570-9f32-1d13de08f413} - C:\WINDOWS\system32\bqrprmbq.dll
O2 - BHO: (no name) - {91223DE9-F8E6-4FFD-8889-BE6784C18696} - C:\WINDOWS\system32\qomlige.dll
O2 - BHO: (no name) - {BD0BE5AA-C383-403B-BFDF-927A58000DD2} - C:\WINDOWS\system32\geebc.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe
O4 - HKLM\..\Run: [autoload] C:\Dokumente und Einstellungen\LocalService\cftmon.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [fcad52ca] rundll32.exe "C:\WINDOWS\system32\wbcuukku.dll",b
O4 - HKLM\..\Run: [BMff9e6156] Rundll32.exe "C:\WINDOWS\system32\abdpwsik.dll",s
O4 - HKLM\..\RunServices: [ZipMagic] D:\\zm32nt.exe
O4 - HKCU\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe
O4 - HKCU\..\Run: [autoload] C:\Dokumente und Einstellungen\****\cftmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Gizmoz Talking Headz.lnk = C:\Programme\Gizmoz Talking Headz\TalkingHeadz.exe
O4 - Startup: OpenOffice.org 2.3.lnk = C:\Programme\OpenOffice.org 2.3\program\quickstart.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: Phonic Control Panel.lnk = D:\Programme\Phonic\HB_FW_MKII_Series\Phonic_cpl.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Search - h**p://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZNfox000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - D:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - D:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - h**p://arcade.icq.com/online/online2/bejeweled2/popcaploader_v6.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: qomlige - C:\WINDOWS\SYSTEM32\qomlige.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - D:\Common\Database\bin\fbserver.exe
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Pml Driver - HP - C:\WINDOWS\system32\HPHipm09.exe
O23 - Service: Taskplaner (Schedule) - Unknown owner - C:\WINDOWS\system32\drivers\spools.exe (file missing)
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SSScsiSV.exe
O23 - Service: UPnPService - Magix AG - C:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Programme\VMware\VMware Player\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe

danke schonmal im voraus

-jonny

**Sunny** · 15.05.2008, 19:56

Hallo Jonny_Phobia und

SDFix

* Lade das SDFix herunter und speichere es auf deinem Desktop.

* Mach einen Doppelklick auf die Datei SDFix.exe, wähle installieren, um das Programm in seinen eigenen Ordner auf deinem Desktop zu entpacken.
* Starte deinen Rechner neu auf, in den abgesicherten Modus

* Öffne den neu entstandenen SDFix Ordner, mach einen Doppelklick auf die RunThis.bat, um das Skript zu starten.
* Gib ein Y ein, um den Reinigungsprozess zu beginnen.
* Das Programm wird alle Trojaner Dienste und die dazugehörigen Registrierungseinträge löschen, die es findet.
* Nun wirst du darum gebeten, eine Taste zu drücken, damit dein Rechner neu aufstarten kann.
* Drücke auf eine Taste. Jetzt wird dein Rechner neu aufgestartet.
* Wenn der Rechner neu aufgestartet ist, wird das Fixtool nocheinmal laufen, um den Reinigungsprozess zu vervollständigen.
* Wenn das Programm angibt, dass es beendet ist (Finished), drücke wieder auf irgendeine Taste, um das Skript zu beenden und deine Desktop Iconen wieder zu laden.
* Wenn die Desktop Icons wieder da sind, wird das Skript ein Fenster öffnen und das Ergebnis als einen Report.txt im Ordner SDFix speichern.
* Kopiere den Inhalt dieses Report.txt und poste ihn, zusammen mit einem neuen HijackThis Logfile in deinem nächsten Posting.

ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen.

Jonny_Phobia · 15.05.2008, 21:18

Habe alle anweisungen befolgt und SDFix durchlaufen lassen aber die virusmeldungen kommen nach wie vor und zwar mindestens 15 hintereinander -.-
Combofix möchte gar nicht erst starten...

SDFix: Version 1.182
Run by ****** on 15.05.2008 at 22:00

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\DOKUME~1\****~1\Desktop\SDFix

Checking Services :

Restoring Windows Registry Values
Restoring Windows Default Hosts File
Restoring Default Schedule Service Path

Rebooting

Checking Files :

Trojan Files Found:

C:\Dokumente und Einstellungen\*****\cftmon.exe - Deleted
C:\Dokumente und Einstellungen\LocalService\cftmon.exe - Deleted

Removing Temp Files

ADS Check :

Final Check :

catchme 0.3.1359.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-15 22:07:22
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:53332dca
"s2"=dword:dad346dd
"h0"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="D:\Programme\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:3b,6b,73,7c,99,53,15,7d,f1,0e,3d,40,0b,7d,e3,59,03,57,75,90,84,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,ed,44,66,81,ba,bb,50,23,65,28,62,c4,7b,63,8e,e8,13,..
"khjeh"=hex:1d,df,12,53,bb,5e,46,9c,a8,06,2c,42,c7,45,56,7a,d9,01,1f,35,fd,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:5e,93,2b,2e,39,39,3b,8a,16,f7,ad,5f,b7,f4,f5,4b,1d,a1,08,21,8c,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="D:\Programme\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:3b,6b,73,7c,99,53,15,7d,f1,0e,3d,40,0b,7d,e3,59,03,57,75,90,84,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,ed,44,66,81,ba,bb,50,23,65,28,62,c4,7b,63,8e,e8,13,..
"khjeh"=hex:1d,df,12,53,bb,5e,46,9c,a8,06,2c,42,c7,45,56,7a,d9,01,1f,35,fd,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:5e,93,2b,2e,39,39,3b,8a,16,f7,ad,5f,b7,f4,f5,4b,1d,a1,08,21,8c,..

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\System]
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

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

Remaining Services :

Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\NVIDIA Corporation\\NetworkAccessManager\\Apache Group\\Apache2\\bin\\Apache.exe"="C:\\Programme\\NVIDIA Corporation\\NetworkAccessManager\\Apache Group\\Apache2\\bin\\Apache.exe:*:Enabled:Apache HTTP Server"
"C:\\Programme\\Gemeinsame Dateien\\aol\\ACS\\AOLDial.exe"="C:\\Programme\\Gemeinsame Dateien\\aol\\ACS\\AOLDial.exe:*:Enabled:AOL"
"C:\\Programme\\Gemeinsame Dateien\\aol\\ACS\\AOLacsd.exe"="C:\\Programme\\Gemeinsame Dateien\\aol\\ACS\\AOLacsd.exe:*:Enabled:AOL"
"C:\\Programme\\AOL 9.0\\waol.exe"="C:\\Programme\\AOL 9.0\\waol.exe:*:Enabled:AOL 9.0"
"C:\\Programme\\devolo\\informer\\devinf.exe"="C:\\Programme\\devolo\\informer\\devinf.exe:*:Enabled:MicroLink Informer"
"C:\\Programme\\devolo\\easyshare\\easyshare.exe"="C:\\Programme\\devolo\\easyshare\\easyshare.exe:*:Enabled:MicroLink EasyShare"
"C:\\Programme\\ICQLite\\ICQLite.exe"="C:\\Programme\\ICQLite\\ICQLite.exe:*:Enabled:ICQ Lite"
"C:\\Programme\\Anti-Leech\\ALIE_1.0.2.2\\alhlp.exe"="C:\\Programme\\Anti-Leech\\ALIE_1.0.2.2\\alhlp.exe:*:Enabled:Anti-Leech plugin helper program"
"C:\\Programme\\Steam\\SteamApps\\disturbed_df\\half-life 2 deathmatch\\hl2.exe"="C:\\Programme\\Steam\\SteamApps\\disturbed_df\\half-life 2 deathmatch\\hl2.exe:*:Enabled:hl2"
"C:\\Programme\\Steam\\SteamApps\\disturbed_df\\counter-strike source\\hl2.exe"="C:\\Programme\\Steam\\SteamApps\\disturbed_df\\counter-strike source\\hl2.exe:*:Enabled:hl2"
"C:\\Dokumente und Einstellungen\\*******\\Desktop\\****\\utorrent15.exe"="C:\\Dokumente und Einstellungen\\*****\\Desktop\\****\\utorrent15.exe:*:Enabled:æTorrent"
"C:\\Programme\\FlashFXP\\flashfxp.exe"="C:\\Programme\\FlashFXP\\flashfxp.exe:*:Enabled:FlashFXP v3"
"C:\\Programme\\America's Army\\System\\ArmyOps.exe"="C:\\Programme\\America's Army\\System\\ArmyOps.exe:*:Enabled:ArmyOps"
"C:\\Programme\\Steam\\SteamApps\\disturbed_df\\day of defeat source\\hl2.exe"="C:\\Programme\\Steam\\SteamApps\\disturbed_df\\day of defeat source\\hl2.exe:*:Enabled:hl2"
"C:\\Programme\\Anti-Leech\\ALIE_1.0.2.3\\alhlp.exe"="C:\\Programme\\Anti-Leech\\ALIE_1.0.2.3\\alhlp.exe:*:Enabled:Anti-Leech plugin helper program"
"C:\\Programme\\Steam\\SteamApps\\renaulpower\\counter-strike\\hl.exe"="C:\\Programme\\Steam\\SteamApps\\renaulpower\\counter-strike\\hl.exe:*:Enabled:Half-Life Launcher"
"D:\\Programme\\Azureus\\Azureus.exe"="D:\\Programme\\Azureus\\Azureus.exe:*:Enabled:Azureus"
"C:\\Programme\\Mozilla Firefox\\plugins\\alhlp.exe"="C:\\Programme\\Mozilla Firefox\\plugins\\alhlp.exe:*:Enabled:Anti-Leech plugin helper program"
"C:\\Programme\\Real\\RealPlayer\\realplay.exe"="C:\\Programme\\Real\\RealPlayer\\realplay.exe:*:Enabled:RealPlayer"
"D:\\Programme\\LimeWire\\LimeWire.exe"="D:\\Programme\\LimeWire\\LimeWire.exe:*:Enabled:LimeWire"
"D:\\Programme\\uTorrent\\utorrent.exe"="D:\\Programme\\uTorrent\\utorrent.exe:*:Enabled:æTorrent"
"C:\\Programme\\Mozilla Firefox\\firefox.exe"="C:\\Programme\\Mozilla Firefox\\firefox.exe:*:Enabled:Firefox"
"D:\\Programme\\leecher.exe"="D:\\Programme\\leecher.exe:*:Enabled:leecher"
"D:\\Programme\\Microsoft Games\\Dungeon Siege 2\\DungeonSiege2.exe"="D:\\Programme\\Microsoft Games\\Dungeon Siege 2\\DungeonSiege2.exe:*:Enabled

ungeon Siege 2 Game Executable"
"D:\\Programme\\SFT Loader\\leecher.exe"="D:\\Programme\\SFT Loader\\leecher.exe:*:Enabled:leecher"
"D:\\Programme\\BitTorrent\\bittorrent.exe"="D:\\Programme\\BitTorrent\\bittorrent.exe:*:Enabled:BitTorrent"
"D:\\Programme\\BitTornado\\btdownloadgui.exe"="D:\\Programme\\BitTornado\\btdownloadgui.exe:*:Enabled:btdownloadgui"
"C:\\Programme\\Skype\\Phone\\Skype.exe"="C:\\Programme\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"
"C:\\Programme\\Gemeinsame Dateien\\aol\\1177276215\\ee\\aolsoftware.exe"="C:\\Programme\\Gemeinsame Dateien\\aol\\1177276215\\ee\\aolsoftware.exe:*:Enabled:AOL Shared Components"
"D:\\Programme\\TmNationsForever\\TmForever.exe"="D:\\Programme\\TmNationsForever\\TmForever.exe:*:Enabled:TmForever"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\Gemeinsame Dateien\\aol\\ACS\\AOLDial.exe"="C:\\Programme\\Gemeinsame Dateien\\aol\\ACS\\AOLDial.exe:*:Enabled:AOL"
"C:\\Programme\\Gemeinsame Dateien\\aol\\ACS\\AOLacsd.exe"="C:\\Programme\\Gemeinsame Dateien\\aol\\ACS\\AOLacsd.exe:*:Enabled:AOL"
"C:\\Programme\\AOL 9.0\\waol.exe"="C:\\Programme\\AOL 9.0\\waol.exe:*:Enabled:AOL 9.0"
"C:\\Programme\\FlashFXP\\flashfxp.exe"="C:\\Programme\\FlashFXP\\flashfxp.exe:*:Enabled:FlashFXP v3"

Remaining Files :

File Backups: - C:\DOKUME~1\GNTERP~1\Desktop\SDFix\backups\backups.zip

Files with Hidden Attributes :

Mon 10 May 2004 54,384 A..H. --- "C:\Programme\AOL 9.0\aolphx.exe"
Mon 10 May 2004 156,784 A..H. --- "C:\Programme\AOL 9.0\aoltray.exe"
Mon 10 May 2004 31,344 A..H. --- "C:\Programme\AOL 9.0\RBM.exe"
Mon 19 Jan 2004 428,544 A..H. --- "C:\Programme\AOL 9.0\StartSM.exe"
Sun 18 Feb 2007 4,348 ..SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\DRMv1.bak"
Mon 10 Mar 2008 0 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\Cache\Indiv01.tmp"

Finished!

Jonny_Phobia · 16.05.2008, 12:55

Hallo nochmal,

habe es doch noch geschafft Combofix zum laufen zu bringen und wie es scheint bin ich nun virenfrei, keine meldungen bisher mehr

noch einmal recht herzlichen dank für die schnelle hilfe und hier noch die combofix und HijackThis logfiles :

ComboFix 08-05-12.1 - ****** 2008-05-16 13:32:00.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.652 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\******\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

C:\Programme\FunWebProducts
C:\Programme\FunWebProducts\ScreenSaver\Images\005B017C.urr
C:\Programme\FunWebProducts\Shared\Cache\AvatarSmallBtn.html
C:\Programme\FunWebProducts\Shared\Cache\CursorManiaBtn.html
C:\Programme\FunWebProducts\Shared\Cache\MailStampBtn.html
C:\Programme\FunWebProducts\Shared\Cache\MyFunCardsIMBtn.html
C:\Programme\FunWebProducts\Shared\Cache\MyStationeryBtn.html
C:\Programme\FunWebProducts\Shared\Cache\SmileyCentralBtn.html
C:\Programme\internet explorer\msimg32.dll
C:\Programme\MyWebSearch
C:\Programme\MyWebSearch\bar\1.bin\F3BKGERR.JPG
C:\Programme\MyWebSearch\bar\1.bin\F3BROVLY.DLL
C:\Programme\MyWebSearch\bar\1.bin\F3CJPEG.DLL
C:\Programme\MyWebSearch\bar\1.bin\F3DTACTL.DLL
C:\Programme\MyWebSearch\bar\1.bin\F3HISTSW.DLL
C:\Programme\MyWebSearch\bar\1.bin\F3HTMLMU.DLL
C:\Programme\MyWebSearch\bar\1.bin\F3HTTPCT.DLL
C:\Programme\MyWebSearch\bar\1.bin\F3IMSTUB.DLL
C:\Programme\MyWebSearch\bar\1.bin\F3POPSWT.DLL
C:\Programme\MyWebSearch\bar\1.bin\F3PSSAVR.SCR
C:\Programme\MyWebSearch\bar\1.bin\F3REPROX.DLL
C:\Programme\MyWebSearch\bar\1.bin\F3RESTUB.DLL
C:\Programme\MyWebSearch\bar\1.bin\F3SCHMON.EXE
C:\Programme\MyWebSearch\bar\1.bin\F3SCRCTR.DLL
C:\Programme\MyWebSearch\bar\1.bin\F3SHLLVW.DLL
C:\Programme\MyWebSearch\bar\1.bin\F3SPACER.WMV
C:\Programme\MyWebSearch\bar\1.bin\F3WALLPP.DAT
C:\Programme\MyWebSearch\bar\1.bin\F3WPHOOK.DLL
C:\Programme\MyWebSearch\bar\1.bin\M3FFXTBR.JAR
C:\Programme\MyWebSearch\bar\1.bin\M3FFXTBR.MANIFEST
C:\Programme\MyWebSearch\bar\1.bin\M3HTML.DLL
C:\Programme\MyWebSearch\bar\1.bin\M3IDLE.DLL
C:\Programme\MyWebSearch\bar\1.bin\M3IMPIPE.EXE
C:\Programme\MyWebSearch\bar\1.bin\M3MSG.DLL
C:\Programme\MyWebSearch\bar\1.bin\M3NTSTBR.JAR
C:\Programme\MyWebSearch\bar\1.bin\M3NTSTBR.MANIFEST
C:\Programme\MyWebSearch\bar\1.bin\M3OUTLCN.DLL
C:\Programme\MyWebSearch\bar\1.bin\M3PLUGIN.DLL
C:\Programme\MyWebSearch\bar\1.bin\M3SKIN.DLL
C:\Programme\MyWebSearch\bar\1.bin\M3SKPLAY.EXE
C:\Programme\MyWebSearch\bar\1.bin\M3SLSRCH.EXE
C:\Programme\MyWebSearch\bar\1.bin\M3SRCHMN.EXE
C:\Programme\MyWebSearch\bar\1.bin\MWSOEMON.EXE
C:\Programme\MyWebSearch\bar\1.bin\MWSOEPLG.DLL
C:\Programme\MyWebSearch\bar\1.bin\MWSOESTB.DLL
C:\Programme\MyWebSearch\bar\1.bin\NPMYWEBS.DLL
C:\Programme\MyWebSearch\bar\Avatar\COMMON.F3S
C:\Programme\MyWebSearch\bar\Cache\0002BCBE
C:\Programme\MyWebSearch\bar\Cache\0005BB68.bin
C:\Programme\MyWebSearch\bar\Cache\0005BE08.bin
C:\Programme\MyWebSearch\bar\Cache\0005C0A8.bin
C:\Programme\MyWebSearch\bar\Cache\0005C28C.bin
C:\Programme\MyWebSearch\bar\Cache\0005C451.bin
C:\Programme\MyWebSearch\bar\Cache\00273AD8
C:\Programme\MyWebSearch\bar\Cache\005DC03E
C:\Programme\MyWebSearch\bar\Cache\005DCEB5.bin
C:\Programme\MyWebSearch\bar\Cache\005DDC32.bin
C:\Programme\MyWebSearch\bar\Cache\005DDF6E.bin
C:\Programme\MyWebSearch\bar\Cache\005DE162.bin
C:\Programme\MyWebSearch\bar\Cache\005DE347
C:\Programme\MyWebSearch\bar\Cache\005DE55A.bin
C:\Programme\MyWebSearch\bar\Cache\005DE77D.bin
C:\Programme\MyWebSearch\bar\Cache\005DEA5B.bin
C:\Programme\MyWebSearch\bar\Cache\005DECCC.bin
C:\Programme\MyWebSearch\bar\Cache\006C4623.bin
C:\Programme\MyWebSearch\bar\Cache\006C4DB5.bin
C:\Programme\MyWebSearch\bar\Cache\006C4F8A.bin
C:\Programme\MyWebSearch\bar\Cache\006C514F
C:\Programme\MyWebSearch\bar\Cache\files.ini
C:\Programme\MyWebSearch\bar\Game\CHECKERS.F3S
C:\Programme\MyWebSearch\bar\Game\CHESS.F3S
C:\Programme\MyWebSearch\bar\Game\REVERSI.F3S
C:\Programme\MyWebSearch\bar\History\search2
C:\Programme\MyWebSearch\bar\Message\COMMON.F3S
C:\Programme\MyWebSearch\bar\Notifier\COMMON.F3S
C:\Programme\MyWebSearch\bar\Notifier\DOG.F3S
C:\Programme\MyWebSearch\bar\Notifier\FISH.F3S
C:\Programme\MyWebSearch\bar\Notifier\KUNGFU.F3S
C:\Programme\MyWebSearch\bar\Notifier\LIFEGARD.F3S
C:\Programme\MyWebSearch\bar\Notifier\MAID.F3S
C:\Programme\MyWebSearch\bar\Notifier\MAILBOX.F3S
C:\Programme\MyWebSearch\bar\Notifier\OPERA.F3S
C:\Programme\MyWebSearch\bar\Notifier\ROBOT.F3S
C:\Programme\MyWebSearch\bar\Notifier\SEDUCT.F3S
C:\Programme\MyWebSearch\bar\Notifier\SURFER.F3S
C:\Programme\MyWebSearch\bar\Settings\prevcfg2.htm
C:\Programme\MyWebSearch\bar\Settings\s_pid.dat
C:\Programme\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL
C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\aaeydlgm.ini
C:\WINDOWS\system32\abdpwsik.dll
C:\WINDOWS\system32\axrilskp.dll
C:\WINDOWS\system32\bdmofuwg.dll
C:\WINDOWS\system32\bqrprmbq.dll
C:\WINDOWS\system32\cbeeg.ini
C:\WINDOWS\system32\cbeeg.ini2
C:\WINDOWS\system32\f3PSSavr.scr
C:\WINDOWS\system32\geebc.dll
C:\WINDOWS\system32\gorhrbtj.ini
C:\WINDOWS\system32\isrnhgsc.ini
C:\WINDOWS\system32\jxcqwlir.ini
C:\WINDOWS\system32\lrvesanh.ini
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\qomlige.dll
C:\WINDOWS\system32\rjsxekfp.ini
C:\WINDOWS\system32\rlnmgmix.dll
C:\WINDOWS\system32\seoqjiwn.dll
C:\WINDOWS\system32\ukkuucbw.ini
C:\WINDOWS\system32\vgvlnovm.ini
C:\WINDOWS\system32\vivixhem.ini
C:\WINDOWS\system32\wbcuukku.dll
C:\WINDOWS\system32\ximgmnlr.ini
C:\WINDOWS\system32\yrigvirc.ini

.
((((((((((((((((((((((( Dateien erstellt von 2008-04-16 bis 2008-05-16 ))))))))))))))))))))))))))))))
.

2008-05-15 21:54 . 2008-05-15 21:54 <DIR> d-------- C:\WINDOWS\ERUNT
2008-05-15 21:31 . 2008-05-15 21:31 <DIR> d-------- C:\SDFix
2008-05-15 19:58 . 2008-05-15 19:58 <DIR> d-------- C:\Hijackthis
2008-05-15 15:23 . 2006-02-21 17:43 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-05-15 15:23 . 2006-02-21 17:36 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmen
2008-05-15 15:23 . 2006-02-21 17:36 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-05-15 15:23 . 2006-02-21 17:36 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-05-15 15:23 . 2006-02-21 17:36 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-05-15 15:23 . 2006-02-21 17:36 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-05-15 15:23 . 2006-02-21 17:36 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-05-15 15:23 . 2008-05-15 15:23 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator
2008-05-15 15:23 . 2008-05-16 13:31 1,024 --ah----- C:\Dokumente und Einstellungen\Administrator\ntuser.dat.LOG
2008-05-15 14:19 . 2008-05-15 14:19 2,112 --a------ C:\WINDOWS\system32\jwnpxnmo.exe
2008-05-14 14:07 . 2008-05-14 14:07 2,112 --a------ C:\WINDOWS\system32\mcrploem.exe
2008-05-13 13:11 . 2008-05-13 13:11 2,112 --a------ C:\WINDOWS\system32\ktpyldek.exe
2008-05-11 15:38 . 2008-05-11 15:38 9,216 --a------ C:\Programme\~tmp1174.exe
2008-05-08 19:24 . 2008-05-08 19:24 2,112 --a------ C:\WINDOWS\system32\nhvayrwl.exe
2008-05-06 20:14 . 2008-05-06 20:14 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-05-06 20:14 . 2008-05-06 20:14 1,409 --a------ C:\WINDOWS\QTFont.for
2008-05-05 21:39 . 2008-05-05 21:39 110,304 --a------ C:\WINDOWS\system32\drivers\ACEDRV09.sys
2008-05-05 21:37 . 2003-04-18 15:29 44,544 --a------ C:\WINDOWS\system32\msxml4a.dll
2008-05-05 21:33 . 2001-05-11 13:18 420,240 --a------ C:\WINDOWS\system32\mpg4c32.dll
2008-05-05 21:33 . 2001-05-16 17:54 309,616 --a------ C:\WINDOWS\system32\wmv8dmod.dll
2008-05-05 21:33 . 2001-03-26 04:41 245,760 --a------ C:\WINDOWS\system32\mp4sds32.ax
2008-05-05 21:31 . 2008-05-05 21:38 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MAGIX
2008-05-05 21:26 . 2008-05-05 21:38 <DIR> d-------- C:\Programme\Gemeinsame Dateien\MAGIX Shared
2008-05-05 21:22 . 1998-10-15 16:28 85,504 --a------ C:\WINDOWS\system32\HtmlWH.dll
2008-05-05 21:21 . 2008-05-05 21:40 <DIR> d-------- C:\WINDOWS\system32\MAGIX
2008-05-05 21:21 . 2007-02-07 10:53 663,552 --a------ C:\WINDOWS\system32\mgxoschk.dll
2008-05-05 21:21 . 2008-05-05 21:40 5,817 --a------ C:\WINDOWS\mgxoschk.ini
2008-05-03 18:20 . 2008-05-03 18:23 1,725 --a------ C:\WINDOWS\LE
2008-05-03 18:19 . 2005-11-22 07:16 103,424 --a------ C:\WINDOWS\system32\Phonic_Coinst.dll
2008-05-03 18:18 . 2006-10-05 06:20 114,688 --a------ C:\WINDOWS\system32\drivers\Phonic_1394.sys
2008-05-03 18:18 . 2006-10-05 06:21 28,672 --a------ C:\WINDOWS\system32\drivers\Phonic_avs.sys
2008-05-03 17:11 . 2004-08-03 23:10 48,128 --a------ C:\WINDOWS\system32\drivers\61883.sys
2008-05-03 17:11 . 2004-08-03 23:10 48,128 --a--c--- C:\WINDOWS\system32\dllcache\61883.sys
2008-05-03 17:11 . 2004-08-03 23:10 38,912 --a------ C:\WINDOWS\system32\drivers\avc.sys
2008-05-03 17:11 . 2004-08-03 23:10 38,912 --a--c--- C:\WINDOWS\system32\dllcache\avc.sys
2008-04-25 20:06 . 2008-05-15 22:15 109,787 --a------ C:\WINDOWS\BMff9e6156.xml
2008-04-17 19:11 . 2008-05-11 14:14 <DIR> d-------- C:\Programme\Steam
2008-04-17 17:49 . 2008-04-20 19:56 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TrackMania
3 Datei(en) . 787,646 C:\ComboFix\Bytes
3 Datei(en) . 55,855 C:\ComboFix\Bytes
1 Datei(en) . 62 C:\ComboFix\Bytes

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-16 11:35 --------- d-----w C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\VMware
2008-05-16 11:35 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\VMware
2008-05-15 12:19 --------- d-----w C:\Programme\ICQToolbar
2008-05-05 19:09 639,224 ----a-w C:\WINDOWS\system32\drivers\sptd.sys
2008-04-19 18:17 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-04-08 18:40 --------- d-----w C:\Programme\PopCap Games
2008-04-08 18:19 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PopCap
2008-04-02 20:59 --------- d-----w C:\Programme\DivX
2008-03-22 16:57 --------- d-----w C:\Programme\OpenOffice.org 2.3
2008-03-21 12:19 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-03-21 12:19 --------- d-----w C:\Programme\Samsung
2008-02-21 02:05 524,288 ----a-w C:\WINDOWS\system32\DivXsm.exe
2008-02-21 02:05 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll
2008-02-21 02:05 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
2008-02-21 02:05 129,784 ------w C:\WINDOWS\system32\pxafs.dll
2008-02-21 02:05 120,056 ------w C:\WINDOWS\system32\pxcpyi64.exe
2008-02-21 02:05 118,520 ------w C:\WINDOWS\system32\pxinsi64.exe
2008-02-21 02:05 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
2008-02-21 02:04 823,296 ----a-w C:\WINDOWS\system32\divx_xx0c.dll
2008-02-21 02:04 823,296 ----a-w C:\WINDOWS\system32\divx_xx07.dll
2008-02-21 02:04 81,920 ----a-w C:\WINDOWS\system32\dpl100.dll
2008-02-21 02:04 802,816 ----a-w C:\WINDOWS\system32\divx_xx11.dll
2008-02-21 02:04 682,496 ----a-w C:\WINDOWS\system32\DivX.dll
2008-02-21 02:04 593,920 ----a-w C:\WINDOWS\system32\dpuGUI11.dll
2008-02-21 02:04 57,344 ----a-w C:\WINDOWS\system32\dpv11.dll
2008-02-21 02:04 53,248 ----a-w C:\WINDOWS\system32\dpuGUI10.dll
2008-02-21 02:04 344,064 ----a-w C:\WINDOWS\system32\dpus11.dll
2008-02-21 02:04 294,912 ----a-w C:\WINDOWS\system32\dpu11.dll
2008-02-21 02:04 294,912 ----a-w C:\WINDOWS\system32\dpu10.dll
2008-02-21 02:04 196,608 ----a-w C:\WINDOWS\system32\dtu100.dll
2008-02-21 02:03 156,992 ----a-w C:\WINDOWS\system32\DivXCodecVersionChecker.exe
2008-02-21 02:03 12,288 ----a-w C:\WINDOWS\system32\DivXWMPExtType.dll
2007-03-12 12:56 5,679 ----a-w C:\Programme\VMplayer_Multibuntu.zip
2004-10-01 14:00 40,960 ----a-w C:\Programme\Uninstall_CDS.exe
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-11-11 14:47 7311360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"ZipMagic"="D:\\zm32nt.exe" [2007-11-02 00:00 90112]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"SENTINEL"= snti386.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 nwprovau

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BitTorrent]
D:\Programme\BitTorrent\bittorrent.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Free Download Manager]
D:\Programme\Free Download Manager\fdm.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\NVIDIA Corporation\\NetworkAccessManager\\Apache Group\\Apache2\\bin\\Apache.exe"=
"C:\\Programme\\Gemeinsame Dateien\\aol\\ACS\\AOLDial.exe"=
"C:\\Programme\\Gemeinsame Dateien\\aol\\ACS\\AOLacsd.exe"=
"C:\\Programme\\AOL 9.0\\waol.exe"=
"C:\\Programme\\devolo\\informer\\devinf.exe"=
"C:\\Programme\\devolo\\easyshare\\easyshare.exe"=
"C:\\Programme\\ICQLite\\ICQLite.exe"=
"D:\\Programme\\Azureus\\Azureus.exe"=
"C:\\Programme\\Mozilla Firefox\\plugins\\alhlp.exe"=
"C:\\Programme\\Real\\RealPlayer\\realplay.exe"=
"D:\\Programme\\LimeWire\\LimeWire.exe"=
"D:\\Programme\\uTorrent\\utorrent.exe"=
"C:\\Programme\\Mozilla Firefox\\firefox.exe"=
"D:\\Programme\\leecher.exe"=
"D:\\Programme\\SFT Loader\\leecher.exe"=
"D:\\Programme\\BitTornado\\btdownloadgui.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
"C:\\Programme\\Gemeinsame Dateien\\aol\\1177276215\\ee\\aolsoftware.exe"=
"D:\\Programme\\TmNationsForever\\TmForever.exe"=

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2008-04-19 20:03]
R0 zmNTMon;zmNTMon;C:\WINDOWS\system32\drivers\zmNTMon.sys [2007-11-02 00:00]
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2008-04-19 20:03]
R1 SSHDRV65;SSHDRV65;C:\WINDOWS\system32\drivers\SSHDRV65.sys [2006-02-26 15:54]
R2 ACEDRV09;ACEDRV09;C:\WINDOWS\system32\drivers\ACEDRV09.sys [2008-05-05 21:39]
R2 PLCNDIS5;PLCNDIS5 NDIS Protocol Driver;C:\WINDOWS\system32\plcndis5.sys [2004-05-17 11:21]
S3 Dot4Usb HPH09;Dot4Usb HPH09;C:\WINDOWS\system32\drivers\hphius09.sys [2003-01-30 19:55]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;D:\Common\Database\bin\fbserver.exe [2005-11-17 14:18]
S3 k510bus;Sony Ericsson K510 Driver driver (WDM);C:\WINDOWS\system32\DRIVERS\k510bus.sys [2006-12-31 17:43]
S3 k510mdfl;Sony Ericsson K510 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\k510mdfl.sys [2006-12-31 17:43]
S3 k510mdm;Sony Ericsson K510 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\k510mdm.sys [2006-12-31 17:43]
S3 k510mgmt;Sony Ericsson K510 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\k510mgmt.sys [2006-12-31 17:43]
S3 k510obex;Sony Ericsson K510 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\k510obex.sys [2006-12-31 17:43]
S3 Phonic_1394;Phonic_1394;C:\WINDOWS\system32\Drivers\Phonic_1394.sys [2006-10-05 06:20]
S3 Phonic_avs;Phonic_avs;C:\WINDOWS\system32\Drivers\Phonic_avs.sys [2006-10-05 06:21]
S3 PLCMPR5;PLCMPR5 NDIS Protocol Driver;C:\WINDOWS\system32\PLCMPR5.SYS []
S3 ss_bus;SAMSUNG Mobile USB Device 1.0 driver (WDM);C:\WINDOWS\system32\DRIVERS\ss_bus.sys [2005-08-30 18:57]
S3 ss_mdfl;SAMSUNG Mobile USB Modem 1.0 Filter;C:\WINDOWS\system32\DRIVERS\ss_mdfl.sys [2005-08-30 18:58]
S3 ss_mdm;SAMSUNG Mobile USB Modem 1.0 Drivers;C:\WINDOWS\system32\DRIVERS\ss_mdm.sys [2005-08-30 18:59]
S3 UPnPService;UPnPService;C:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe [2006-12-14 16:00]
S3 zmNTZip;zmNTZip;D:\zmNTZip.sys [2007-11-02 00:00]

.
Inhalt des "geplante Tasks" Ordners
"2008-02-10 10:45:00 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-16 13:35:43
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
D:\Programme\Phonic\HB_FW_MKII_Series\Phonic_cpl.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\Apache.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\Programme\OpenOffice.org 2.3\program\soffice.exe
C:\Programme\OpenOffice.org 2.3\program\soffice.bin
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\VMware\VMware Player\vmware-authd.exe
C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
C:\WINDOWS\system32\vmnat.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\Apache.exe
C:\WINDOWS\system32\vmnetdhcp.exe
C:\WINDOWS\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-05-16 13:39:49 - machine was rebooted
ComboFix-quarantined-files.txt 2008-05-16 11:38:51

15 Verzeichnis(se), 13,862,637,568 Bytes frei
17 Verzeichnis(se), 14,328,930,304 Bytes frei

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:52:12, on 16.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
D:\Programme\Phonic\HB_FW_MKII_Series\Phonic_cpl.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\Programme\OpenOffice.org 2.3\program\soffice.exe
C:\Programme\OpenOffice.org 2.3\program\soffice.BIN
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\VMware\VMware Player\vmware-authd.exe
C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
C:\WINDOWS\system32\vmnat.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\WINDOWS\system32\vmnetdhcp.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\explorer.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Hijackthis\This.com

PS: die HijackThis logfile passt leider nicht mehr komplett in den post

TR/Vundo.Gen, Vundo.AG, Crypt.XPACK.Gen usw.

Plagegeister aller Art und deren Bekämpfung: TR/Vundo.Gen, Vundo.AG, Crypt.XPACK.Gen usw.