Habe mir vor kurzem einen Virus/Trojaner eingefangen. Dachte das ich das Problen mit dem neusten Virenprogramm beheben kann, lag damit aber leide falsch, da der IE immer wieder automatisch Spywareseiten öffnet.
Wer kan mir helfen mein System wieder sauber zu bekommen?

Logfile of HijackThis v1.99.1
Scan saved at 20:12:51, on 27.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\avmwlanstick\WlanNetService.exe
D:\Programme\Dassault Systemes\B14\intel_a\code\bin\CATSysDemon.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\WFXSVC.EXE
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\system32\wfxsnt40.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\Programme\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
C:\Programme\avmwlanstick\FRITZWLANMini.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Trend Micro\Internet Security 2007\pccguide.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\PcScnSrv.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Martin\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [WinFaxAppPortStarter] wfxsnt40.exe
O4 - HKLM\..\Run: [AtiPanel] C:\WINDOWS\atip.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "D:\Programme\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\FRITZWLANMini.exe
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [pccguide.exe] "C:\Programme\Trend Micro\Internet Security 2007\pccguide.exe"
O4 - HKLM\..\Run: [54ab26b6] rundll32.exe "C:\WINDOWS\system32\kfaborej.dll",b
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Download by Orbit - res://D:\Programme\Orbitdownloader\orbitmxt.dll/201
O8 - Extra context menu item: &Grab video by Orbit - res://D:\Programme\Orbitdownloader\orbitmxt.dll/204
O8 - Extra context menu item: Alles mit FDM herunterladen - file://D:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://D:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://D:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://D:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Datei mit FDM herunterladen - file://D:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: Do&wnload selected by Orbit - res://D:\Programme\Orbitdownloader\orbitmxt.dll/203
O8 - Extra context menu item: Down&load all by Orbit - res://D:\Programme\Orbitdownloader\orbitmxt.dll/202
O8 - Extra context menu item: In Adobe PDF konvertieren - res://D:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://D:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Videos mit FDM herunterladen - file://D:\Programme\Free Download Manager\dlfvideo.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O18 - Protocol: haufereader - (no CLSID) - (no file)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: Backbone Service (BBDemon) - Dassault Systemes - D:\Programme\Dassault Systemes\B14\intel_a\code\bin\CATSysDemon.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope (HRService) - Unknown owner - C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: LiveUpdate Notice Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PifEng.dll (file missing)
O23 - Service: Trend Micro Central Control Component (PcCtlCom) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe
O23 - Service: Trend Micro Spyware-Schutz (PcScnSrv) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\PcScnSrv.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Trend Micro Real-time Service (Tmntsrv) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe
O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe
O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe
O23 - Service: WinFax PRO (wfxsvc) - Symantec Corporation - C:\WINDOWS\system32\WFXSVC.EXE

Hallo furdi und






Dateien Online überprüfen lassen:

• Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

• lass auch die versteckten Dateien anzeigen!

Code: Alles auswählenAufklappen

ATTFilter

C:\WINDOWS\atip.exe
         

• Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

• Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

• (Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

kann die Datei (C:\WINDOWS\atip.exe) trotz allem Bemühen nicht finden

Zitat:

Zitat von furdi

kann die Datei trotz allem Bemühen nicht finden

Dann fahre mit dem nächsten Schritt fort..

Hier die Reports

ComboFix 08-05-26.2 - Martin 2008-05-27 21:33:30.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.527 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Martin\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Martin\Desktop\WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\cookies.ini
C:\WINDOWS\rs.txt
c:\windows\system32\Drivers\Uae61.sys
C:\WINDOWS\system32\jerobafk.ini
C:\WINDOWS\system32\LVyJkUvw.ini
C:\WINDOWS\system32\LVyJkUvw.ini2
C:\WINDOWS\system32\mbwiaugl.ini
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\vxmevjps.ini
C:\WINDOWS\system32\WLCtrl32.dl_
C:\WINDOWS\system32\WLCtrl32.dll
C:\WINDOWS\system32\wvUkJyVL.dll

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_NPF
-------\Legacy_UAE61
-------\Service_NPF
-------\Service_Uae61


((((((((((((((((((((((( Dateien erstellt von 2008-04-27 bis 2008-05-27 ))))))))))))))))))))))))))))))
.

2008-05-27 19:55 . 2008-05-27 19:55 <DIR> d-------- C:\Dokumente und Einstellungen\SmitfraudFix\backups
2008-05-27 19:50 . 2008-05-27 19:55 <DIR> d-------- C:\Dokumente und Einstellungen\SmitfraudFix
2008-05-27 19:50 . 2008-05-06 22:37 1,767,284 --a------ C:\Dokumente und Einstellungen\SmitfraudFix\SmitfraudFix.cmd
2008-05-27 19:50 . 2007-09-06 00:22 289,144 --a------ C:\Dokumente und Einstellungen\SmitfraudFix\VCCLSID.exe
2008-05-27 19:50 . 2006-04-27 17:49 288,417 --a------ C:\Dokumente und Einstellungen\SmitfraudFix\SrchSTS.exe
2008-05-27 19:50 . 2006-09-15 00:34 167,936 --a------ C:\Dokumente und Einstellungen\SmitfraudFix\unzip.exe
2008-05-27 19:50 . 2006-08-29 19:43 135,168 --a------ C:\Dokumente und Einstellungen\SmitfraudFix\swreg.exe
2008-05-27 19:50 . 2008-05-15 23:22 86,528 --a------ C:\Dokumente und Einstellungen\SmitfraudFix\VACFix.exe
2008-05-27 19:50 . 2008-04-28 08:03 82,944 --a------ C:\Dokumente und Einstellungen\SmitfraudFix\IEDFix.exe
2008-05-27 19:50 . 2007-06-09 21:04 82,432 --a------ C:\Dokumente und Einstellungen\SmitfraudFix\GenericRenosFix.exe
2008-05-27 19:50 . 2008-04-22 20:39 81,920 --a------ C:\Dokumente und Einstellungen\SmitfraudFix\404Fix.exe
2008-05-27 19:50 . 2006-12-01 06:20 79,360 --a------ C:\Dokumente und Einstellungen\SmitfraudFix\swxcacls.exe
2008-05-27 19:50 . 2007-03-28 18:38 77,824 --a------ C:\Dokumente und Einstellungen\SmitfraudFix\HostsChk.exe
2008-05-27 19:50 . 2008-03-02 23:38 77,312 --a------ C:\Dokumente und Einstellungen\SmitfraudFix\UIFix.exe
2008-05-27 19:50 . 2003-06-05 21:13 53,248 --a------ C:\Dokumente und Einstellungen\SmitfraudFix\Process.exe
2008-05-27 19:50 . 2004-07-31 18:50 51,200 --a------ C:\Dokumente und Einstellungen\SmitfraudFix\dumphive.exe
2008-05-27 19:50 . 2006-01-09 10:36 40,960 --a------ C:\Dokumente und Einstellungen\SmitfraudFix\swsc.exe
2008-05-27 19:50 . 2007-10-04 00:36 25,600 --a------ C:\Dokumente und Einstellungen\SmitfraudFix\WS2Fix.exe
2008-05-27 19:50 . 2005-01-13 21:41 24,576 --a------ C:\Dokumente und Einstellungen\SmitfraudFix\Reboot.exe
2008-05-27 19:50 . 2006-09-19 22:13 20,480 --a------ C:\Dokumente und Einstellungen\SmitfraudFix\SmiUpdate.exe
2008-05-27 19:50 . 2006-03-07 22:45 16,384 --a------ C:\Dokumente und Einstellungen\SmitfraudFix\restart.exe
2008-05-27 19:50 . 2007-08-21 08:00 1,536 --a------ C:\Dokumente und Einstellungen\SmitfraudFix\exit.exe
2008-05-27 19:47 . 2008-05-15 23:32 1,390,340 --a------ C:\Dokumente und Einstellungen\SmitfraudFix.exe
2008-05-26 21:52 . 2008-05-26 21:52 90,112 --a------ C:\WINDOWS\system32\kfaborej.dll
2008-05-16 17:29 . 2008-05-27 19:53 2,920 --a------ C:\WINDOWS\system32\tmp.reg
2008-05-16 07:24 . 2008-05-16 07:26 10,752 --a------ C:\WINDOWS\DCEBoot.exe
2008-05-16 07:23 . 2008-05-16 07:23 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Startmen�
2008-05-16 07:13 . 2008-05-16 07:13 <DIR> d-------- C:\WINDOWS\AVM_Driver
2008-05-16 07:13 . 2008-05-16 07:13 <DIR> d-------- C:\Dokumente und Einstellungen\Martin\AVM_Driver
2008-05-16 07:03 . 2008-05-02 16:22 205,328 --a------ C:\WINDOWS\system32\drivers\tmxpflt.sys
2008-05-16 07:03 . 2008-05-02 16:21 36,368 --a------ C:\WINDOWS\system32\drivers\tmpreflt.sys
2008-05-16 07:02 . 2008-05-16 07:02 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Trend Micro
2008-05-16 07:02 . 2008-05-02 16:17 1,169,240 --a------ C:\WINDOWS\system32\drivers\vsapint.sys
2008-05-16 07:02 . 2007-03-07 23:17 288,848 --a------ C:\WINDOWS\system32\drivers\TM_CFW.sys
2008-05-16 07:02 . 2007-03-07 23:17 111,888 --a------ C:\WINDOWS\system32\drivers\tm_mbd_c.sys
2008-05-16 07:02 . 2007-03-07 23:17 75,088 --a------ C:\WINDOWS\system32\drivers\tmtdi.sys
2008-05-16 07:00 . 2008-05-16 07:00 <DIR> d-------- C:\Programme\Trend Micro
2008-05-16 06:40 . 2008-05-16 06:40 <DIR> d-------- C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\TmpRecentIcons
2008-05-15 20:45 . 2008-05-15 17:41 94,208 --a------ C:\WINDOWS\exqb.exe
2008-05-15 20:45 . 2008-05-15 17:41 81,920 --a------ C:\WINDOWS\oadkxrts.exe
2008-05-15 20:44 . 2008-05-15 20:44 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adsl Software Limited
2008-05-14 13:07 . 2008-02-22 02:33 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-27 19:26 --------- d-----w C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\Orbit
2008-05-16 05:13 --------- d-----w C:\Programme\avmwlanstick
2008-05-16 04:53 --------- d-----w C:\Programme\Symantec
2008-05-16 04:53 --------- d-----w C:\Programme\Gemeinsame Dateien\Symantec Shared
2008-05-16 04:53 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec
2008-05-14 11:08 --------- d-----w C:\Dokumente und Einstellungen\Katja\Anwendungsdaten\Orbit
2008-05-14 11:07 --------- d-----w C:\Programme\Java
2008-04-09 18:06 77,728 ----a-w C:\WINDOWS\system32\drivers\snapman.sys
2008-04-09 18:06 --------- d-----w C:\Programme\Gemeinsame Dateien\Acronis
2008-04-08 21:40 --------- d-----w C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\Free Download Manager
2008-04-08 19:44 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FreeDownloadManager.ORG
2008-04-08 16:44 --------- d-----w C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\vlc
2008-03-30 09:27 --------- d-----w C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\AdobeUM
2008-03-29 18:14 --------- d-----w C:\Programme\Gemeinsame Dateien\Buhl Data Service
2008-03-09 16:42 50,264 ----a-w C:\Dokumente und Einstellungen\Katja\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2008-03-07 14:01 50,264 ----a-w C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\GDIPFONTCACHEV1.DAT
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
"WinFaxAppPortStarter"="wfxsnt40.exe" [2000-02-17 16:11 43008 C:\WINDOWS\system32\WFXSNT40.EXE]
"Corel Reminder"="" []
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2006-11-28 21:34 180269]
"Acrobat Assistant 7.0"="D:\Programme\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe" [2006-01-12 21:52 483328]
"Symantec PIF AlertEng"="C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" [2007-03-12 10:22 517768]
"AVMWlanClient"="C:\Programme\avmwlanstick\FRITZWLANMini.exe" [2007-02-02 17:26 283136]
"FreePDF Assistant"="C:\Programme\FreePDF_XP\fpassist.exe" [2007-04-25 22:05 311296]
"pccguide.exe"="C:\Programme\Trend Micro\Internet Security 2007\pccguide.exe" [2007-03-07 23:17 3434000]
"54ab26b6"="C:\WINDOWS\system32\kfaborej.dll" [2008-05-26 21:52 90112]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{A213B520-C6C2-11d0-AF9D-008029E1027E}"= D:\Programme\Symantec\WinFax\WfxSeh32.Dll [1998-07-27 05:54 38400]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\wvUnNhGW]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\TrendAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\TrendFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"H:\\utorrent.exe"=
"D:\\Programme\\Orbitdownloader\\orbitdm.exe"=
"D:\\Programme\\Orbitdownloader\\orbitnet.exe"=

R1 LUMDriver;LUMDriver;C:\WINDOWS\system32\drivers\LUMDriver.sys [2003-07-11 14:22]
R2 Automatisches LiveUpdate - Scheduler;Automatisches LiveUpdate - Scheduler;"C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe" [2006-09-08 15:47]
R2 BBDemon;Backbone Service;D:\Programme\Dassault Systemes\B14\intel_a\code\bin\CATSysDemon.exe [2004-05-08 09:56]
R2 wfxsvc;WinFax PRO;C:\WINDOWS\system32\WFXSVC.EXE [2000-03-07 16:38]
R3 ati2mtaa;ati2mtaa;C:\WINDOWS\system32\DRIVERS\ati2mtaa.sys [2004-08-04 00:38]
R3 FWLANUSB;AVM FRITZ!WLAN;C:\WINDOWS\system32\DRIVERS\fwlanusb.sys [2006-12-28 01:02]
S3 ati2mpaa;ati2mpaa;C:\WINDOWS\system32\DRIVERS\ati2mpaa.sys [2001-08-18 05:19]
S3 HRService;Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope;"C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe" [2006-10-23 04:39]
S3 nenum13E;nenum13E;C:\DOKUME~1\Martin\LOKALE~1\Temp\nenum13E.sys []

.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-27 21:39:33
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\avmwlanstick\WLanNetService.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-05-27 21:42:59 - machine was rebooted
ComboFix-quarantined-files.txt 2008-05-27 19:42:55

6 Verzeichnis(se), 2,057,478,144 Bytes frei
10 Verzeichnis(se), 2,366,115,840 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn
C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

173 --- E O F --- 2008-05-14 21:01:09


SmitFraudFix v2.320

Scan done at 19:53:03,47, 27.05.2008
Run from C:\Dokumente und Einstellungen\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1 localhost

127.0.0.1 Sophos - anti-virus and anti-spam software for businesses

127.0.0.1 McAfee - Antivirus Software and Intrusion Prevention Solutions
127.0.0.1 mcafee.com
127.0.0.1 Viruslist.com - Information About Viruses, Hackers and Spam
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 Antivirus and intrusion prevention solutions for home users and businesses
127.0.0.1 kaspersky.com
127.0.0.1 127.0.0.1
127.0.0.1 McAfee - Antivirus Software and Intrusion Prevention Solutions
127.0.0.1 networkassociates.com
127.0.0.1 IT management software and solutions from CA
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 Home and Home Office Store
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 Antivirus Software and Intrusion Prevention Solutions
127.0.0.1 us.mcafee.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 Antivirus und Content-Security Software für Unternehmen und Privatanwender - Trend Micro Deutschland


»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{6B9B708F-D038-4078-ABCF-ACD4EDF0E5EF}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{6B9B708F-D038-4078-ABCF-ACD4EDF0E5EF}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{6B9B708F-D038-4078-ABCF-ACD4EDF0E5EF}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End

hatte nach der Aktion gestern Abend keine weiteren unerwünschten Seitenaufrufe, wäre trotzdem dankbar, wenn mir jemand sagen könnte ob mein System nun clean ist.

Dateien Online überprüfen lassen:

• Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

• lass auch die versteckten Dateien anzeigen!

Zitat:

C:\WINDOWS\DCEBoot.exe

• Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

• Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

• (Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

Scripten mit Combofix

• Öffne den Editor ( Start -> Zubehör -> Editor ) kopiere nun folgenden Text in das weiße Feld:

Code: Alles auswählenAufklappen

ATTFilter

Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\wvUnNhGW]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"54ab26b6"=-


FILE::
C:\WINDOWS\system32\kfaborej.dll
C:\WINDOWS\system32\tmp.reg
         

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

• Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

• Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann



Malwarebytes' Anti-Malware

• Lies dir die Entfernungsanleitung durch und lass alles entfernen was gefunden wurde:

• Download von Malwarebytes' Anti-Malware

So, habe nun alle Arbeiten erledigt. Hoffentlich war's die Mühe wert
Hier die Ergebnisse:

Datei DCEBoot.exe empfangen 2008.05.28 18:39:58 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt


Ergebnis: 0/32 (0%)


File size: 10752 bytes
MD5...: 418b55d63e00d953a1532a831308574e
SHA1..: 39bc1fe133076312f9c636b16ebc3be960208f45
SHA256: cc6e7f0ea5d161b61df80de8061b75dc892d6ca15208c5b8639b3ad1ba9e26a0
SHA512: ce9f74569e7a649132ff3c21bf5863a911cda429dce74985680d9d9f985648a9
db5b32d72643235538bae1bf66fdb6912320efd1ac087b40f3579473c64a7009
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x100284e
timedatestamp.....: 0x47383997 (Mon Nov 12 11:31:35 2007)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x1cfa 0x1e00 6.17 0dff19229a2d4de5cd2fb4651c3abd4b
.data 0x3000 0x519 0x600 7.11 d09c70e16152458497a14fa274af6478
.reloc 0x4000 0xfe 0x200 3.21 78039044715f3386a92b8a6584a9cd4c

( 1 imports )
> ntdll.dll: NtWriteFile, NtReadFile, NtCreateFile, NtQueryInformationFile, NtSetInformationFile, NtClose, ZwSetInformationFile, NtDeleteFile, NtOpenKey, NtQueryValueKey, NtSetValueKey, RtlFreeUnicodeString, RtlAnsiStringToUnicodeString, RtlInitAnsiString, RtlInitUnicodeString, RtlCreateHeap, strncpy, memset, RtlDestroyHeap, RtlFreeHeap, RtlDosPathNameToNtPathName_U, RtlAllocateHeap, NtDisplayString, _snprintf, RtlTimeToTimeFields, RtlSystemTimeToLocalTime, NtQuerySystemTime, _vsnprintf, RtlAdjustPrivilege, memmove, NtTerminateProcess

( 0 exports )

ComboFix 08-05-26.2 - Martin 2008-05-28 18:42:06.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.644 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Martin\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Martin\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

FILE ::
C:\WINDOWS\system32\kfaborej.dll
C:\WINDOWS\system32\tmp.reg
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\jerobafk.ini
C:\WINDOWS\system32\kfaborej.dll
C:\WINDOWS\system32\tmp.reg

.
((((((((((((((((((((((( Dateien erstellt von 2008-04-28 bis 2008-05-28 ))))))))))))))))))))))))))))))
.

2008-05-27 19:55 . 2008-05-27 19:55 <DIR> d-------- C:\Dokumente und Einstellungen\SmitfraudFix\backups
2008-05-27 19:50 . 2008-05-27 19:55 <DIR> d-------- C:\Dokumente und Einstellungen\SmitfraudFix
2008-05-27 19:50 . 2008-05-06 22:37 1,767,284 --a------ C:\Dokumente und Einstellungen\SmitfraudFix\SmitfraudFix.cmd
2008-05-27 19:50 . 2007-09-06 00:22 289,144 --a------ C:\Dokumente und Einstellungen\SmitfraudFix\VCCLSID.exe
2008-05-27 19:50 . 2006-04-27 17:49 288,417 --a------ C:\Dokumente und Einstellungen\SmitfraudFix\SrchSTS.exe
2008-05-27 19:50 . 2006-09-15 00:34 167,936 --a------ C:\Dokumente und Einstellungen\SmitfraudFix\unzip.exe
2008-05-27 19:50 . 2006-08-29 19:43 135,168 --a------ C:\Dokumente und Einstellungen\SmitfraudFix\swreg.exe
2008-05-27 19:50 . 2008-05-15 23:22 86,528 --a------ C:\Dokumente und Einstellungen\SmitfraudFix\VACFix.exe
2008-05-27 19:50 . 2008-04-28 08:03 82,944 --a------ C:\Dokumente und Einstellungen\SmitfraudFix\IEDFix.exe
2008-05-27 19:50 . 2007-06-09 21:04 82,432 --a------ C:\Dokumente und Einstellungen\SmitfraudFix\GenericRenosFix.exe
2008-05-27 19:50 . 2008-04-22 20:39 81,920 --a------ C:\Dokumente und Einstellungen\SmitfraudFix\404Fix.exe
2008-05-27 19:50 . 2006-12-01 06:20 79,360 --a------ C:\Dokumente und Einstellungen\SmitfraudFix\swxcacls.exe
2008-05-27 19:50 . 2007-03-28 18:38 77,824 --a------ C:\Dokumente und Einstellungen\SmitfraudFix\HostsChk.exe
2008-05-27 19:50 . 2008-03-02 23:38 77,312 --a------ C:\Dokumente und Einstellungen\SmitfraudFix\UIFix.exe
2008-05-27 19:50 . 2003-06-05 21:13 53,248 --a------ C:\Dokumente und Einstellungen\SmitfraudFix\Process.exe
2008-05-27 19:50 . 2004-07-31 18:50 51,200 --a------ C:\Dokumente und Einstellungen\SmitfraudFix\dumphive.exe
2008-05-27 19:50 . 2006-01-09 10:36 40,960 --a------ C:\Dokumente und Einstellungen\SmitfraudFix\swsc.exe
2008-05-27 19:50 . 2007-10-04 00:36 25,600 --a------ C:\Dokumente und Einstellungen\SmitfraudFix\WS2Fix.exe
2008-05-27 19:50 . 2005-01-13 21:41 24,576 --a------ C:\Dokumente und Einstellungen\SmitfraudFix\Reboot.exe
2008-05-27 19:50 . 2006-09-19 22:13 20,480 --a------ C:\Dokumente und Einstellungen\SmitfraudFix\SmiUpdate.exe
2008-05-27 19:50 . 2006-03-07 22:45 16,384 --a------ C:\Dokumente und Einstellungen\SmitfraudFix\restart.exe
2008-05-27 19:50 . 2007-08-21 08:00 1,536 --a------ C:\Dokumente und Einstellungen\SmitfraudFix\exit.exe
2008-05-27 19:47 . 2008-05-15 23:32 1,390,340 --a------ C:\Dokumente und Einstellungen\SmitfraudFix.exe
2008-05-16 07:24 . 2008-05-16 07:26 10,752 --a------ C:\WINDOWS\DCEBoot.exe
2008-05-16 07:23 . 2008-05-16 07:23 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Startmen�
2008-05-16 07:13 . 2008-05-16 07:13 <DIR> d-------- C:\WINDOWS\AVM_Driver
2008-05-16 07:13 . 2008-05-16 07:13 <DIR> d-------- C:\Dokumente und Einstellungen\Martin\AVM_Driver
2008-05-16 07:03 . 2008-05-02 16:22 205,328 --a------ C:\WINDOWS\system32\drivers\tmxpflt.sys
2008-05-16 07:03 . 2008-05-02 16:21 36,368 --a------ C:\WINDOWS\system32\drivers\tmpreflt.sys
2008-05-16 07:02 . 2008-05-16 07:02 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Trend Micro
2008-05-16 07:02 . 2008-05-02 16:17 1,169,240 --a------ C:\WINDOWS\system32\drivers\vsapint.sys
2008-05-16 07:02 . 2007-03-07 23:17 288,848 --a------ C:\WINDOWS\system32\drivers\TM_CFW.sys
2008-05-16 07:02 . 2007-03-07 23:17 111,888 --a------ C:\WINDOWS\system32\drivers\tm_mbd_c.sys
2008-05-16 07:02 . 2007-03-07 23:17 75,088 --a------ C:\WINDOWS\system32\drivers\tmtdi.sys
2008-05-16 07:00 . 2008-05-16 07:00 <DIR> d-------- C:\Programme\Trend Micro
2008-05-16 06:40 . 2008-05-16 06:40 <DIR> d-------- C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\TmpRecentIcons
2008-05-15 20:45 . 2008-05-15 17:41 94,208 --a------ C:\WINDOWS\exqb.exe
2008-05-15 20:45 . 2008-05-15 17:41 81,920 --a------ C:\WINDOWS\oadkxrts.exe
2008-05-15 20:44 . 2008-05-15 20:44 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adsl Software Limited
2008-05-14 13:07 . 2008-02-22 02:33 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-28 16:38 --------- d-----w C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\Orbit
2008-05-16 05:13 --------- d-----w C:\Programme\avmwlanstick
2008-05-16 04:53 --------- d-----w C:\Programme\Symantec
2008-05-16 04:53 --------- d-----w C:\Programme\Gemeinsame Dateien\Symantec Shared
2008-05-16 04:53 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec
2008-05-14 11:08 --------- d-----w C:\Dokumente und Einstellungen\Katja\Anwendungsdaten\Orbit
2008-05-14 11:07 --------- d-----w C:\Programme\Java
2008-04-09 18:06 77,728 ----a-w C:\WINDOWS\system32\drivers\snapman.sys
2008-04-09 18:06 --------- d-----w C:\Programme\Gemeinsame Dateien\Acronis
2008-04-08 21:40 --------- d-----w C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\Free Download Manager
2008-04-08 19:44 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FreeDownloadManager.ORG
2008-04-08 16:44 --------- d-----w C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\vlc
2008-03-30 09:27 --------- d-----w C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\AdobeUM
2008-03-29 18:14 --------- d-----w C:\Programme\Gemeinsame Dateien\Buhl Data Service
2008-03-09 16:42 50,264 ----a-w C:\Dokumente und Einstellungen\Katja\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2008-03-07 14:01 50,264 ----a-w C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\GDIPFONTCACHEV1.DAT
.

((((((((((((((((((((((((((((( snapshot@2008-05-27_21.42.38.86 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-05-27 19:38:05 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-05-28 16:44:46 2,048 --s-a-w C:\WINDOWS\bootstat.dat
- 2008-05-27 18:02:18 72,490 ----a-w C:\WINDOWS\system32\perfc007.dat
+ 2008-05-28 16:33:47 72,490 ----a-w C:\WINDOWS\system32\perfc007.dat
- 2008-05-27 18:02:18 59,780 ----a-w C:\WINDOWS\system32\perfc009.dat
+ 2008-05-28 16:33:47 59,780 ----a-w C:\WINDOWS\system32\perfc009.dat
- 2008-05-27 18:02:18 411,266 ----a-w C:\WINDOWS\system32\perfh007.dat
+ 2008-05-28 16:33:47 411,266 ----a-w C:\WINDOWS\system32\perfh007.dat
- 2008-05-27 18:02:18 397,560 ----a-w C:\WINDOWS\system32\perfh009.dat
+ 2008-05-28 16:33:47 397,560 ----a-w C:\WINDOWS\system32\perfh009.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
"WinFaxAppPortStarter"="wfxsnt40.exe" [2000-02-17 16:11 43008 C:\WINDOWS\system32\WFXSNT40.EXE]
"Corel Reminder"="" []
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2006-11-28 21:34 180269]
"Acrobat Assistant 7.0"="D:\Programme\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe" [2006-01-12 21:52 483328]
"Symantec PIF AlertEng"="C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" [2007-03-12 10:22 517768]
"AVMWlanClient"="C:\Programme\avmwlanstick\FRITZWLANMini.exe" [2007-02-02 17:26 283136]
"FreePDF Assistant"="C:\Programme\FreePDF_XP\fpassist.exe" [2007-04-25 22:05 311296]
"pccguide.exe"="C:\Programme\Trend Micro\Internet Security 2007\pccguide.exe" [2007-03-07 23:17 3434000]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{A213B520-C6C2-11d0-AF9D-008029E1027E}"= D:\Programme\Symantec\WinFax\WfxSeh32.Dll [1998-07-27 05:54 38400]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\TrendAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\TrendFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"H:\\utorrent.exe"=
"D:\\Programme\\Orbitdownloader\\orbitdm.exe"=
"D:\\Programme\\Orbitdownloader\\orbitnet.exe"=

R1 LUMDriver;LUMDriver;C:\WINDOWS\system32\drivers\LUMDriver.sys [2003-07-11 14:22]
R3 ati2mtaa;ati2mtaa;C:\WINDOWS\system32\DRIVERS\ati2mtaa.sys [2004-08-04 00:38]
R3 FWLANUSB;AVM FRITZ!WLAN;C:\WINDOWS\system32\DRIVERS\fwlanusb.sys [2006-12-28 01:02]
S3 ati2mpaa;ati2mpaa;C:\WINDOWS\system32\DRIVERS\ati2mpaa.sys [2001-08-18 05:19]
S3 nenum13E;nenum13E;C:\DOKUME~1\Martin\LOKALE~1\Temp\nenum13E.sys []

.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-28 18:46:29
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe
C:\Programme\avmwlanstick\WLanNetService.exe
D:\Programme\Dassault Systemes\B14\intel_a\code\bin\CATSysDemon.exe
C:\WINDOWS\system32\WFXSVC.EXE
C:\WINDOWS\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-05-28 18:49:32 - machine was rebooted
ComboFix-quarantined-files.txt 2008-05-28 16:49:28
ComboFix2.txt 2008-05-27 19:43:00

7 Verzeichnis(se), 2,258,358,272 Bytes frei
9 Verzeichnis(se), 2,336,874,496 Bytes frei

162 --- E O F --- 2008-05-14 21:01:09

Malwarebytes' Anti-Malware 1.12
Datenbank Version: 794

Scan Art: Komplett Scan (C:\|D:\|E:\|F:\|G:\|H:\|)
Objekte gescannt: 232017
Scan Dauer: 1 hour(s), 10 minute(s), 8 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 6
Infizierte Dateien: 9

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\Software\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Adsl Software Limited (Rogue.MalWarrior) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adsl Software Limited (Rogue.MalWarrior) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adsl Software Limited\MalWarrior 2008 (Rogue.MalWarrior) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adsl Software Limited\MalWarrior 2008\BASE (Rogue.MalWarrior) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adsl Software Limited\MalWarrior 2008\DELETED (Rogue.MalWarrior) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adsl Software Limited\MalWarrior 2008\LOG (Rogue.MalWarrior) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adsl Software Limited\MalWarrior 2008\SAVED (Rogue.MalWarrior) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\System Volume Information\_restore{E9D16859-E8EC-4009-9142-4CA18BF8DB72}\RP228\A0059699.sys (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{E9D16859-E8EC-4009-9142-4CA18BF8DB72}\RP229\A0060218.sys (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{E9D16859-E8EC-4009-9142-4CA18BF8DB72}\RP229\A0060512.sys (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\exqb.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adsl Software Limited\MalWarrior 2008\LOG\20080516064054245.log (Rogue.MalWarrior) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adsl Software Limited\MalWarrior 2008\LOG\20080516065646556.log (Rogue.MalWarrior) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adsl Software Limited\MalWarrior 2008\LOG\20080516071154809.log (Rogue.MalWarrior) -> Quarantined and deleted successfully.
C:\WINDOWS\oadkxrts.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\Explorer.EXE.Z-missing.txt (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.

Dein System sollte, sofern du keine Probleme mehr zu verzeichnen hast, wieder sauber sein.

Nur noch folgendes:
Start -> Ausführen -> folgendes eintippen -> combofix /u (danach ENTER-TASTE!)

vielen Dank für Deine Hilfe Sunny.