Hallo Leute, ich hoffe, mir kann hier jemadhelfen. Ich abe mir vor einigen Tagen scheinbar 2 Tojanr ingefangen, bekam auch von AntiVir ne Warnug, worauhin ich "löschen" anklickte. Brachte aber nichts. Dann ließ ich AdAware und Spybot laufen, kein Erfolg. Fixen mit Hijack bringt auch nix, selbst im abgesicherten Modus nicht. Wie werde ich die Dinger denn los und hab ich evtl noch mehr aks die zwei Dinger drauf?
Ich vermute, dass die Dinger dafür veatworlich sind, dass mein Windows Explorer und Firefox alle 2 Minuten abstürzen.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:39:49, on 15.06.2008
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16681)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\rundll32.exe
C:\Windows\explorer.exe
C:\Program Files\ICQLite\ICQLite.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.msi.com.tw
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: (no name) - {FAAF4503-E52D-4B3B-9B12-D408F13AD817} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [MSServer] rundll32.exe C:\Windows\system32\geBSmLby.dll,#1
O4 - HKLM\..\Run: [UVS11 Preload] C:\Program Files\Ulead Systems\Ulead VideoStudio 11\uvPL.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSSMSGS] rundll32.exe winfcm32.rom,zQDRun
O4 - HKCU\..\Run: [cmds] rundll32.exe C:\Users\***\AppData\Local\Temp\khFxUNeF.dll,c
O4 - HKCU\..\Run: [BM79eb8eed] Rundll32.exe "C:\Users\***\AppData\Local\Temp\gkcpihsm.dll",s
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe -trayboot
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O13 - Gopher Prefix:
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - h**p://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Capture Device Service - Unknown owner - C:\Program Files\Common Files\InterVideo\DeviceService\DevSvc.exe (file missing)
O23 - Service: dlbt_device - - C:\Windows\system32\dlbtcoms.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Program Files\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: SCM Driver Daemon (NishService) - Unknown owner - C:\Program Files\System Control Manager\edd.exe
O23 - Service: O2Micro Flash Memory (O2Flash) - O2Micro International - C:\Windows\system32\o2flash.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software GmbH - C:\Windows\System32\TuneUpDefragService.exe

--
End of file - 6571 bytes

Hi,

bin kein Vista-Spezialist, daher erst scannen und nur wenn erkannt im Script stehen lassen!

Bitte folgende Files prüfen (Pfade anpassen!):

Zitat:

C:\Windows\system32\geBSmLby.dll
C:\Users\***\AppData\Local\Temp\khFxUNeF.dll
C:\Users\***\AppData\Local\Temp\gkcpihsm.dll
C:\Windows\system32\winfcm32.rom

VirusTotal - Free Online Virus and Malware Scan
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen

Also:
Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:



2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")

Achtung: Pfade anpassen!

Code: Alles auswählenAufklappen

ATTFilter

Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|BM79eb8eed
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|cmds
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|MSServer
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|MSSMSGS
 
Files to delete:
C:\Windows\system32\geBSmLby.dll
C:\Users\***\AppData\Local\Temp\khFxUNeF.dll
C:\Users\***\AppData\Local\Temp\gkcpihsm.dll
C:\Windows\system32\winfcm32.rom <-prüfen
         

3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet.

4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
Beim fixen müssen alle Programme geschlossen sein!

Code: Alles auswählenAufklappen

ATTFilter

O4 - HKLM\..\Run: [MSServer] rundll32.exe C:\Windows\system32\geBSmLby.dll,#1
O4 - HKCU\..\Run: [MSSMSGS] rundll32.exe winfcm32.rom,zQDRun
O4 - HKCU\..\Run: [cmds] rundll32.exe C:\Users\***\AppData\Local\Temp\khFxUNeF.dll,c
O4 - HKCU\..\Run: [BM79eb8eed] Rundll32.exe "C:\Users\***\AppData\Local\Temp\gkcpihsm.dll" ,s
         

Neues HJ-Log und Scanne/Beseitige mit Antimalewarebyte, poste auch dieses Log!
http://www.trojaner-board.de/51187-a...i-malware.html



Chris

Gehe wiefolgt vor


Bitte öffne Deine HijackThis nochmal und scanne. Check die klickboxen neben den Einträgen die untenstehend gelistet sind.

O2 - BHO: (no name) - {FAAF4503-E52D-4B3B-9B12-D408F13AD817} - (no file)
O4 - HKLM\..\Run: [MSServer] rundll32.exe C:\Windows\system32\geBSmLby.dll,#1
O4 - HKCU\..\Run: [MSSMSGS] rundll32.exe winfcm32.rom,zQDRun
O4 - HKCU\..\Run: [cmds] rundll32.exe C:\Users\***\AppData\Local\Temp\khFxUNeF.dll,c
O4 - HKCU\..\Run: [BM79eb8eed] Rundll32.exe "C:\Users\***\AppData\Local\Temp\gkcpihsm.dll",s


(file missing)dann Klicke Fix Checked. Schließe HiJackThis. Reboot im abgesicherten Modus.


Benutze den Windows Explorer (um dahin zu kommen, mache einen Rechtsklick auf dem Start Button und klicke auf "Explorer"), bitte lösche diese Dateien (wenn vorhanden):

C:\Windows\system32\geBSmLby.dll
C:\Users\***\AppData\Local\Temp\gkcpihsm.dll
C:\Users\***\AppData\Local\Temp\khFxUNeF.dll

Dann starte den Rechner im normalen Modus neu.

Vistafindbat

- download von VistaFindbat. zip auf Deinen desktop
- öffne mit einem doppelklick die zip datein
- starte mit einem rechtsklick auf die datei vistafind.bat (als administrator starten) das stapelverarbeitungsprogramm
- Dein bevorzugtes textverarbeitungsprogramm wird sich öffnen
- markiere den inhalt und füge in hier im forum in deinem beitrag ein.
wichtig: logfile bitte im tag (das Raute Symbol) posten
- formatiere nun Deinen beitrag vor dem speichern, in dem du alle texte, die ein älteres datum besitzen, als die letzten 30 tage, aus der liste löscht.

das sind alle verzeichnisse, die mit dieserVistaFind.bat ausgelesen werden. Verzeichnis von C:\
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\system
Verzeichnis von C:\WINDOWS\system32 --> von hier bitte alles posten
Verzeichnis von C:\USER\Name\Temp
Verzeichnis von C:\WINDOWS\Prefetch
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\USER\Name\Temp
Verzeichnis von C:\Program Files\ --> hier alles posten
lösche die datei vistafind.txt

Danke@BataAlexander!!!!!!! Hat super geklappt. Allerdings bekomme ich, wenn ich jetzt normal starte die Fehlermeldung:

Fehler beim Laden von C:\Windows\system32\geBSmLby.dll
Das angegebene Modul wurde nicht gefunde.

Ist nicht weiter schlimm, aber kann ich diese Fehlermeldung irgendwie entfernen?

Ok, ich hab mal Vistafindbat laufen lassen. Das kam dabei raus.
Sorry, aber ich habe quasi null Ahnung von PC, was meinst du mit Logfile im Tag posten?


Verzeichnis von C:\Windows\system32

16.06.2008 16:03 3.072 7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0
16.06.2008 16:03 3.072 7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0
15.06.2008 23:23 610.142 perfh009.dat
15.06.2008 23:23 103.924 perfc009.dat
15.06.2008 23:23 641.344 perfh007.dat
15.06.2008 23:23 116.706 perfc007.dat
15.06.2008 23:23 1.461.736 PerfStringBackup.INI
14.06.2008 09:22 394.504 FNTCACHE.DAT
13.06.2008 11:51 32.768 winfcm32.rom
12.06.2008 15:04 355.584 TuneUpDefragService.exe
30.05.2008 00:35 17.486.968 mrt.exe
17.05.2008 14:56 28.416 uxtuneup.dll
17.05.2008 14:56 16.640 authuitu.dll
16.05.2008 10:58 12.632 lsdelete.exe

Verzeichnis von C:\Program Files

15.06.2008 19:38 <DIR> .
15.06.2008 19:38 <DIR> ..
13.06.2008 12:26 <DIR> SmartSound Software
15.06.2008 19:38 <DIR> Trend Micro
12.06.2008 15:05 <DIR> TuneUp Utilities 2008
13.06.2008 12:07 <DIR> Ulead Systems
13.06.2008 12:13 <DIR> Windows Media Components

1 Datei(en), 43 Bytes
73 Verzeichnis(se), 2.767.302.656 Bytes frei

Sorry Chris, hab nicht gesehen, das Du hier auch am posten warst.

Lasse wie von Chris vorgschlagen nun bitte Malwarebytes durchlaufen und poste den Bericht hier. Dann sollte die Fehlermeldung auch nicht mehr erscheinen.

@BataAlexander
Macht nichts...
Falls der Run-Key von Antimalewarebyte nicht gelöscht wird, machen wir das per Hand oder Bobbi (Fleckmanns Registry-search)...
chris

Hier ist die Auswertung von Avenger:

Logfile of The Avenger Version 2.0, (c) by Swandog46
Swandog46's Public Anti-Malware Tools

Platform: Windows Vista

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: file "C:\Windows\system32\geBSmLby.dll" not found!
Deletion of file "C:\Windows\system32\geBSmLby.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\Users\***\AppData\Local\Temp\khFxUNeF.dll" not found!
Deletion of file "C:\Users\***\AppData\Local\Temp\khFxUNeF.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\Users\***\AppData\Local\Temp\gkcpihsm.dll" not found!
Deletion of file "C:\Users\***AppData\Local\Temp\gkcpihsm.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: could not open file "C:\Windows\system32\winfcm32.rom <-prüfen"
Deletion of file "C:\Windows\system32\winfcm32.rom <-prüfen" failed!
Status: 0xc0000033 (STATUS_OBJECT_NAME_INVALID)
--> an object cannot have this name


Error: could not delete registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|BM79eb8eed"
Deletion of registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|BM79eb8eed" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: could not delete registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|cmds"
Deletion of registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|cmds" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: could not delete registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|MSServer"
Deletion of registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|MSServer" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: could not delete registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|MSSMSGS"
Deletion of registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|MSSMSGS" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Completed script processing.

*******************

Finished! Terminate.

Lasse bitte einmal Malwarebytes wie beschrieben laufen und poste dessen Logfile hier.

Hier ist der Logfile von Malwarebytes. Ich poste jetzt mal beide. Der eine ist von vor und der ander von nach dem Entfernen der Funde.

Vorher:

Malwarebytes' Anti-Malware 1.17
Datenbank Version: 863

12:31:13 17.06.2008
mbam-log-6-17-2008 (12-30-47).txt

Scan Art: Komplett Scan (C:\|D:\|)
Objekte gescannt: 137951
Scan Dauer: 1 hour(s), 22 minute(s), 29 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\Software\Microsoft\rdfa (Trojan.Vundo) -> No action taken.

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\Users\***\AppData\Local\Temp\iqcrwokb.dll (Trojan.Vundo) -> No action taken.
C:\Users\***\AppData\Local\Temp\plluihjo.dll (Trojan.Vundo) -> No action taken.
C:\Users\***\AppData\Local\Temp\uocbqkmn.dll (Trojan.Vundo) -> No action taken.




Nachher:

Malwarebytes' Anti-Malware 1.17
Datenbank Version: 863

12:31:32 17.06.2008
mbam-log-6-17-2008 (12-31-32).txt

Scan Art: Komplett Scan (C:\|D:\|)
Objekte gescannt: 137951
Scan Dauer: 1 hour(s), 22 minute(s), 29 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\Software\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\Users\***\AppData\Local\Temp\iqcrwokb.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Users\***\AppData\Local\Temp\plluihjo.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Users\***\AppData\Local\Temp\uocbqkmn.dll (Trojan.Vundo) -> Quarantined and deleted successfully.



Die ursprünglich gefundenen Trojaner scheine ich los zu sein, aber irgendwie habe ich mir scheinbar gleich ein paar neue eingefangen.

Zumindest funktioniert der Explorer und Firefox wieder problemlos.

Erstelle bitte nun ein neues HijackThis Logfile und poste es hier.

Jetzt tauchen die beiden Trojaner plötzlich wider auf. Ich werd noch wahnsinnig....

Edit: Wenn ich jedoch dem Angegebenen Pfad nachgehe ist die Datei nicht da...

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:39:49, on 15.06.2008
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16681)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\rundll32.exe
C:\Windows\explorer.exe
C:\Program Files\ICQLite\ICQLite.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.msi.com.tw
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: (no name) - {FAAF4503-E52D-4B3B-9B12-D408F13AD817} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [MSServer] rundll32.exe C:\Windows\system32\geBSmLby.dll,#1
O4 - HKLM\..\Run: [UVS11 Preload] C:\Program Files\Ulead Systems\Ulead VideoStudio 11\uvPL.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSSMSGS] rundll32.exe winfcm32.rom,zQDRun
O4 - HKCU\..\Run: [cmds] rundll32.exe C:\Users\***\AppData\Local\Temp\khFxUNeF.dll,c
O4 - HKCU\..\Run: [BM79eb8eed] Rundll32.exe "C:\Users\***\AppData\Local\Temp\gkcpihsm.dll",s
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe -trayboot
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O13 - Gopher Prefix:
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - h**p://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Capture Device Service - Unknown owner - C:\Program Files\Common Files\InterVideo\DeviceService\DevSvc.exe (file missing)
O23 - Service: dlbt_device - - C:\Windows\system32\dlbtcoms.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Program Files\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: SCM Driver Daemon (NishService) - Unknown owner - C:\Program Files\System Control Manager\edd.exe
O23 - Service: O2Micro Flash Memory (O2Flash) - O2Micro International - C:\Windows\system32\o2flash.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software GmbH - C:\Windows\System32\TuneUpDefragService.exe

--
End of file - 6571 bytes

Ich sehs, lass uns folgendes versuchen.

ComboFix

• Download ComboFix von hier oder hier auf Deinen Desktop.
• Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
  (Auch Guards von Ad-, Spyware Programmen!)
  
• Doppelklicke die combofix.exe.
• Wenn Combofix fertig ist, legt es ein Logfile an. Poste dieses Logfile und ein neues HJT Logfile als nächste Antwort

Wichtige Hinweise:

• Combofix darf ausschließlich ausgeführt werden wenn ein erfahrener Helfer dies ausdrücklich empfohlen hat!
  Es sollte nie auf eigene Initiative hin ausgeführt werden. Eine falsche Benutzung kann ernsthalfte Computerprobleme nach sich ziehen.
• Während Combofix läuft klicke nichts an, und benutze den Rechner nicht.
• Alle Guards der Antivirenprogramme sollten wie beschrieben deaktiviert sein.
• Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.
• Combofix leert die Liste der für das Internet autorisierten Anwendungen. Die meisten Fragen im Folgenden nach einer Erneuten Aufnahme, einige nicht. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.
• Combofix ändert den Standardbrowser auf den Internet Explorer. Diese Änderung nach der Anwendung ggf. manuel wieder ändern.
• Der Desktop wird während Combofix blau werden, die Icons verschinden. Dies Verhalten ist gewollt und bedeutet keine Gefahr.

Ergänzend lies Dir diese Anleitung durch, drucke sie ggf. aus.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

ComboFix:

ComboFix 08-06-16.2 - *** 2008-06-17 14:03:33.1 - NTFSx86
Microsoft® Windows Vista™ Home Basic 6.0.6000.0.1252.1.1031.18.58 [GMT 1:00]
ausgeführt von:: C:\Users\***\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((( Dateien erstellt von 2008-05-17 bis 2008-06-17 ))))))))))))))))))))))))))))))
.

Keine neuen Dateien erstellt in diesem Zeitraum

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-17 10:07 --------- d-----w C:\Users\***\AppData\Roaming\BitTorrent
2008-06-17 10:06 --------- d-----w C:\Users\***\AppData\Roaming\Malwarebytes
2008-06-17 10:06 --------- d-----w C:\ProgramData\Malwarebytes
2008-06-17 10:06 --------- d-----w C:\Program Files\Malwarebytes' Anti-Malware
2008-06-15 18:38 --------- d-----w C:\Program Files\Trend Micro
2008-06-13 12:22 --------- d-----w C:\Users\***\AppData\Roaming\Ulead Systems
2008-06-13 12:22 --------- d-----w C:\ProgramData\Ulead Systems
2008-06-13 11:30 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-06-13 11:26 --------- d-----w C:\ProgramData\SmartSound Software Inc
2008-06-13 11:26 --------- d-----w C:\Program Files\SmartSound Software
2008-06-13 11:25 --------- d-----w C:\ProgramData\Apple Computer
2008-06-13 11:25 --------- d-----w C:\Program Files\Common Files\InstallShield
2008-06-13 11:18 --------- d-----w C:\ProgramData\InterVideo
2008-06-13 11:13 --------- d-----w C:\Program Files\Windows Media Components
2008-06-13 11:12 --------- d-----w C:\Program Files\Common Files\Ulead Systems
2008-06-13 11:07 --------- d-----w C:\Program Files\Ulead Systems
2008-06-12 14:05 --------- d-----w C:\Program Files\TuneUp Utilities 2008
2008-06-10 18:02 34,296 ----a-w C:\Windows\system32\drivers\mbamcatchme.sys
2008-06-10 18:02 15,864 ----a-w C:\Windows\system32\drivers\mbam.sys
2008-06-04 13:40 --------- d-----w C:\ProgramData\Adobe Systems
2008-05-30 14:55 --------- d-----w C:\Program Files\Common Files\Adobe
2008-05-30 14:54 --------- d-----w C:\Program Files\Common Files\Adobe Systems Shared
2008-05-30 11:45 --------- d-----w C:\ProgramData\Lavasoft
2008-05-30 11:40 --------- d-----w C:\Program Files\Lavasoft
2008-05-30 11:40 --------- d-----w C:\Program Files\Common Files\Wise Installation Wizard
2008-05-25 13:20 --------- d-----w C:\Program Files\DivX
2008-05-23 09:39 --------- d-----w C:\Users\***\AppData\Roaming\Skype
2008-05-10 01:21 113,664 ----a-w C:\Windows\system32\drivers\rmcast.sys
2008-05-09 20:11 --------- d-----w C:\ProgramData\DVD Shrink
2008-04-30 19:14 --------- d-----w C:\Users\***\AppData\Roaming\gtk-2.0
2008-04-30 07:38 --------- d-----w C:\Program Files\Microsoft Silverlight
2008-04-29 09:20 15,648 ----a-w C:\Windows\system32\drivers\NSDriver.sys
2008-04-29 09:19 15,648 ----a-w C:\Windows\system32\drivers\Awrtrd.sys
2008-04-29 09:19 12,960 ----a-w C:\Windows\system32\drivers\Awrtpd.sys
2008-04-28 23:03 --------- d-----w C:\Users\***\AppData\Roaming\IrfanView
2008-04-25 04:23 52,736 ----a-w C:\Windows\AppPatch\iebrshim.dll
2008-04-24 08:18 --------- d-----w C:\Program Files\Lame
2008-04-23 14:13 --------- d-----w C:\Program Files\FlexiMusic Wave Editor
2008-04-23 11:51 --------- d-----w C:\Users\***\AppData\Roaming\CyberLink
2008-04-17 10:11 43 ----a-w C:\Program Files\RUNME.bat
2007-08-18 12:47 24,192 ----a-w C:\Users\***\usbsermptxp.sys
2007-08-18 12:47 22,768 ----a-w C:\Users\***\usbsermpt.sys
2007-08-03 22:40 13,025 ----a-w C:\Users\***\AppData\Roaming\nvModes.dat
2006-11-02 12:48 174 --sha-w C:\Program Files\desktop.ini
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 12:34 5724184]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-20 12:56 262401]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.clmp3enc"= C:\PROGRA~1\CYBERL~1\Power2Go\CLMP3Enc.ACM
"msacm.dvacm"= C:\PROGRA~1\COMMON~1\ULEADS~1\Vio\Dvacm.acm
"msacm.MPEGacm"= C:\PROGRA~1\COMMON~1\ULEADS~1\MPEG\MPEGacm.acm
"msacm.ulmp3acm"= C:\PROGRA~1\COMMON~1\ULEADS~1\MPEG\ulmp3acm.acm

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"WMPNSCFG"=C:\Program Files\Windows Media Player\WMPNSCFG.exe
"BitTorrent DNA"="C:\Users\***\Program Files\DNA\btdna.exe"
"AnyDVD"=C:\Program Files\SlySoft\AnyDVD\AnyDVD.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"RemoteControl"="C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
"LanguageShortcut"="C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
"NvCplDaemon"=RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
"NvMediaCenter"=RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
"NvSvc"=RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
"TkBellExe"="C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
"MGSysCtrl"=C:\Program Files\System Control Manager\MGSysCtrl.exe
"RtHDVCpl"=RtHDVCpl.exe
"tsnp2std"=C:\Windows\tsnp2std.exe
"snp2std"=C:\Windows\vsnp2std.exe
"QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" -atboottime
"UVS11 Preload"=C:\Program Files\Ulead Systems\Ulead VideoStudio 11\uvPL.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"TCP Query User{D60A7DF2-2AB5-4349-82FD-07CD8F2A2781}C:\\program files\\skype\\phone\\skype.exe"= UDP:C:\program files\skype\phone\skype.exe:Skype. Take a deep breath
"UDP Query User{6915A447-6EEA-48A3-B1AB-60A43FEB39D2}C:\\program files\\skype\\phone\\skype.exe"= TCP:C:\program files\skype\phone\skype.exe:Skype. Take a deep breath
"TCP Query User{283F549B-EF42-43DC-B2B5-E95B7A4BE641}C:\\program files\\real\\realplayer\\realplay.exe"= UDP:C:\program files\real\realplayer\realplay.exe:RealPlayer
"UDP Query User{D5E7F421-F9D8-4EEA-B740-09E39958EA12}C:\\program files\\real\\realplayer\\realplay.exe"= TCP:C:\program files\real\realplayer\realplay.exe:RealPlayer
"TCP Query User{5973B3FA-3BC9-4FBB-9673-95CF9A711737}C:\\program files\\trillian\\trillian.exe"= UDP:C:\program files\trillian\trillian.exe:Trillian
"UDP Query User{2FBFA455-6756-4C0B-B921-C78C2258BED4}C:\\program files\\trillian\\trillian.exe"= TCP:C:\program files\trillian\trillian.exe:Trillian
"TCP Query User{3916A147-50D7-499C-B810-415EEFB7A080}C:\\program files\\skype\\phone\\skype.exe"= UDP:C:\program files\skype\phone\skype.exe:Skype. Take a deep breath
"UDP Query User{F24A852B-D42E-49AD-89D6-289129206681}C:\\program files\\skype\\phone\\skype.exe"= TCP:C:\program files\skype\phone\skype.exe:Skype. Take a deep breath
"{83F106DF-DC5D-4053-B979-35BCF6B144C6}"= TCP:8000:Express Talk RTP Incoming Audio (UDP)
"{8702A775-37C4-4D83-BAF7-B7E6E2C573E4}"= TCP:8001:Express Talk RTP Incoming Audio (UDP)
"{88115829-FBB3-4D3B-A442-CD5D3EE56C0E}"= TCP:8002:Express Talk RTP Incoming Audio (UDP)
"{26B32CCC-4917-4929-96B6-659E624F77C3}"= TCP:8003:Express Talk RTP Incoming Audio (UDP)
"{4A80A90C-E115-4EB6-9978-43C67B95DCA1}"= TCP:8004:Express Talk RTP Incoming Audio (UDP)
"{D39F1DDA-CDBE-46AC-A513-134F7969FA35}"= TCP:8005:Express Talk RTP Incoming Audio (UDP)
"{F59C950B-3552-46E7-B8BA-C1FB103F503F}"= TCP:8006:Express Talk RTP Incoming Audio (UDP)
"TCP Query User{B28C0628-EC87-4551-A188-0E4CDDAED2D3}C:\\program files\\nch swift sound\\talk\\talk.exe"= UDP:C:\program files\nch swift sound\talk\talk.exe:talk
"UDP Query User{1EAD4392-01A0-4133-8F0D-9CE20B7FD0E1}C:\\program files\\nch swift sound\\talk\\talk.exe"= TCP:C:\program files\nch swift sound\talk\talk.exe:talk
"TCP Query User{2F228B5D-F893-4CCF-A17F-E24FC1466D02}C:\\program files\\icqlite\\icqlite.exe"= UDP:C:\program files\icqlite\icqlite.exe:ICQLite
"UDP Query User{E95BA5C6-253C-4324-A0D4-0A5B438DEF2B}C:\\program files\\icqlite\\icqlite.exe"= TCP:C:\program files\icqlite\icqlite.exe:ICQLite
"{CD5759AB-3E6B-4E7F-BE0A-30BD83F3883F}"= UDP:C:\Windows\System32\dlbtcoms.exe:Photo AIO Printer 922 Server
"{77B4A438-6B58-4A29-94BA-C16CF95CBC8F}"= TCP:C:\Windows\System32\dlbtcoms.exe:Photo AIO Printer 922 Server
"{A60E5B43-A09D-4184-8DC7-6F0BE6DE2CF9}"= UDP:C:\Program Files\BitTorrent_DNA\dna.exe:BitTorrent DNA
"{E4C76883-BB6F-4392-B0E8-89DE44A03A52}"= TCP:C:\Program Files\BitTorrent_DNA\dna.exe:BitTorrent DNA
"{83CA00F9-87FC-46CE-A641-6E65E2CB0FA0}"= UDP:C:\Program Files\BitTorrent\bittorrent.exe:BitTorrent
"{6E8ACC15-8081-4D58-A25F-1A41D49FB53B}"= TCP:C:\Program Files\BitTorrent\bittorrent.exe:BitTorrent
"TCP Query User{5AE720D5-DE9E-4B0C-B661-D81FD64D4604}C:\\program files\\mozilla firefox\\firefox.exe"= UDP:C:\program files\mozilla firefox\firefox.exe:Firefox
"UDP Query User{877D44EC-CCFC-4E8D-B776-38CE5AA57516}C:\\program files\\mozilla firefox\\firefox.exe"= TCP:C:\program files\mozilla firefox\firefox.exe:Firefox
"TCP Query User{CF0A38FC-9325-4F0D-B556-7D3CEDB40478}C:\\program files\\limewire\\limewire.exe"= UDP:C:\program files\limewire\limewire.exe:LimeWire
"UDP Query User{8666B2EF-BEC7-4E58-8533-A908CF471938}C:\\program files\\limewire\\limewire.exe"= TCP:C:\program files\limewire\limewire.exe:LimeWire
"{A22327A4-6CB6-482F-8622-9400802DD6A2}"= UDP:C:\Program Files\DNA\btdna.exeNA
"{C85A6ED2-7A44-4420-951B-3D79DB03BFD3}"= TCP:C:\Program Files\DNA\btdna.exeNA
"{049D6B03-AAB1-4A9D-A7F6-BECA2BF965DA}"= UDP:C:\Program Files\BitTorrent\bittorrent.exe:BitTorrent
"{13DE5A41-1DB7-4573-A964-FA9A462898AA}"= TCP:C:\Program Files\BitTorrent\bittorrent.exe:BitTorrent
"TCP Query User{11FCCADC-3492-4FB4-A81A-C4D4E8317A31}C:\\users\\***\\program files\\dna\\btdna.exe"= UDP:C:\users\***\program files\dna\btdna.exe:btdna.exe
"UDP Query User{246BCE79-4366-4058-A8E5-62F659957DA8}C:\\users\\***\\program files\\dna\\btdna.exe"= TCP:C:\users\***\program files\dna\btdna.exe:btdna.exe
"TCP Query User{A333DD1C-BC55-48A9-90B5-E7E916F11132}C:\\users\\***\\program files\\bittorrent\\bittorrent.exe"= UDP:C:\users\***\program files\bittorrent\bittorrent.exe:bittorrent.exe
"UDP Query User{1CA44E3C-C3D0-435F-9213-4FD6059E5572}C:\\users\\***\\program files\\bittorrent\\bittorrent.exe"= TCP:C:\users\***\program files\bittorrent\bittorrent.exe:bittorrent.exe
"TCP Query User{D5424971-9EAD-40C9-8F82-1F07BB9D22C3}C:\\program files\\xchat\\xchat.exe"= UDP:C:\program files\xchat\xchat.exe:XChat IRC Client
"UDP Query User{4904D48D-448B-4BEE-81F3-2B4670A61C9D}C:\\program files\\xchat\\xchat.exe"= TCP:C:\program files\xchat\xchat.exe:XChat IRC Client
"{6C58EF0C-4FD3-42E7-A2AE-23E8286BAE4A}"= UDP:C:\Program Files\Kontiki\KService.exeelivery Manager Service
"{48603EB7-92A9-4ECD-A7A2-5D44C9DA61D0}"= TCP:C:\Program Files\Kontiki\KService.exeelivery Manager Service
"{EF01ED08-3439-46B7-A319-3400E344133A}"= C:\Program Files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\RestrictedServices\Static\System]
"DFSR-1"= RPort=5722|UDP:%SystemRoot%\system32\svchost.exe|Svc=DFSR:Allow inbound TCP traffic|

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile\AuthorizedApplications\List]
"C:\\Program Files\\BitTorrent\\bittorrent.exe"= C:\Program Files\BitTorrent\bittorrent.exe:*:Enabled:BitTorrent
"C:\\Program Files\\xchat\\xchat.exe"= C:\Program Files\xchat\xchat.exe:*:Enabled:XChat IRC Client

R0 O2MDRDR;O2MDRDR;C:\Windows\system32\DRIVERS\o2media.sys [2006-11-20 08:14]
R0 O2SDRDR;O2SDRDR;C:\Windows\system32\DRIVERS\o2sd.sys [2006-11-17 06:58]
R2 NishService;SCM Driver Daemon;C:\Program Files\System Control Manager\edd.exe [2006-03-22 11:07]
R2 UxTuneUp;TuneUp Designerweiterung;C:\Windows\System32\svchost.exe [2006-11-02 10:45]
R3 MGHwCtrl;MGHwCtrl;C:\Windows\system32\drivers\MGHwCtrl.sys [2006-12-22 05:21]
R3 rt61x86;Ralink RT61 Wireless Driver for Windows Vista;C:\Windows\system32\DRIVERS\netr61.sys [2007-05-11 17:28]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;C:\Program Files\MAGIX\Common\Database\bin\fbserver.exe [2005-11-17 13:18]
S3 SNP2STD;USB2.0 PC Camera (SNP2STD);C:\Windows\system32\DRIVERS\snp2sxp.sys [2006-06-07 09:34]
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\Windows\System32\TuneUpDefragService.exe [2008-06-12 15:04]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceNoNetwork REG_MULTI_SZ PLA DPS BFE mpssvc

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a7d49cbe-be8d-11dc-9f20-0019db3c65fd}]
\shell\AutoRun\command - cbkhqby.exe
\shell\explore\Command - cbkhqby.exe
\shell\open\Command - cbkhqby.exe

*Newly Created Service* - CATCHME
.
Inhalt des "geplante Tasks" Ordners
"2008-06-17 13:00:01 C:\Windows\Tasks\1-Klick-Wartung.job"
- C:\Program Files\TuneUp Utilities 2008\OneClickStarter.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-17 14:10:06
Windows 6.0.6000 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-06-17 14:15:01
ComboFix-quarantined-files.txt 2008-06-17 13:14:52

Das System hat keinen Meldungstext für die Meldungsnummer 0x2379 in der Meldungsdatei Application gefunden.
Das System hat keinen Meldungstext für die Meldungsnummer 0x2379 in der Meldungsdatei Application gefunden.

175 --- E O F --- 2008-06-15 10:09:43







HiJackThis:

Logfile of Trend Micro HijackThis v2.0.2

[edit]
Bitte editiere zukünftig deine Links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

Danke.
Sunny
[/edit]

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

(bitte die *** durch den Benutzernamen ersetzen!)

Code: Alles auswählenAufklappen

ATTFilter

Collect::
C:\Windows\system32\geBSmLby.dll
C:\Users\***\AppData\Local\Temp\khFxUNeF.dll (bitte die *** vorher durch den Benutzernamen ersetzen!)
C:\Users\***\AppData\Local\Temp\gkcpihsm.dll (bitte die *** durch den Benutzernamen ersetzen!)
C:\Windows\system32\winfcm32.rom
C:\Windows\system32\cbkhqby.exe

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a7d49cbe-be8d-11dc-9f20-0019db3c65fd}]
         

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer!)

5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.





6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

7. Nachdem das Log im Notepad aufgegenagen ist, erscheint ein Popup

Dies mit Ok wegklicken und es öffnet sich Dein Browser. In diesem Browser Fenster "Durchsuchen" auswählen und dann auf Deinem Desktop die neue .Zip Datei ([4]-Submit_Jahr-Monat-Tag_Uhrzeit.71.zip) auswählen. Dann mit Klick auf "Send" senden. So kann der Author die Erkennungsroutine des Programms verbessern.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann

Bitte öffne Deine HijackThis nochmal und scanne. Check die klickboxen neben den Einträgen die untenstehend gelistet sind.

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: (no name) - {FAAF4503-E52D-4B3B-9B12-D408F13AD817} - (no file)
O4 - HKLM\..\Run: [MSServer] rundll32.exe C:\Windows\system32\geBSmLby.dll,#1
O4 - HKCU\..\Run: [MSSMSGS] rundll32.exe winfcm32.rom,zQDRun
O4 - HKCU\..\Run: [cmds] rundll32.exe C:\Users\***\AppData\Local\Temp\khFxUNeF.dll,c
O4 - HKCU\..\Run: [BM79eb8eed] Rundll32.exe "C:\Users\***\AppData\Local\Temp\gkcpihsm.dll",s

(file missing)dann Klicke Fix Checked.

Flashdisinfector
[*]Lade Flash_Disinfector.exe und speichere es auf Deinen Desktop.
[*]Doppleklicke Flash_Disinfector.exe um es zu starten und folge den Anweisungen.
[*]Das Programm bittet Dich Flash Drives (USB Sticks/Festplatten) und alle entfernbaren Medien (auch Dein Handy) anzuschließen. Bitte mach dies und erlaube dem Programm diese Laufwerke auch zu reinigen.[*]Warte bis das Programm den Scan abgeschlossen hat und schließe das Programm dann.[*]Reboote Deinen Rechner wenn Du die obigen Punkte ausgeführt hast.[/list]

GMER - Rootkit Detection

* Lade GMER von hier
* entpacke es auf den Dektop
* Dopperlklicke die gmer.exe
* Der Reiter Rootkit oben ist schon angewählt



* Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
* nach Beendigung des Scan, drücke "Copy"
* nun kannst Du das Ergebnis hier posten
* Sollte GMER sagen "Gmer hasen´t found any System Modifikation", so hat GMER keine Einträge gefunden.
* Wenn das Log zu lang fürs Forum ist, lade es hier hoch und poste den Link.

Habe ComboFix laufen lassen, allerdings hat er nicht nach einem Neustart gefragt. Ka ob ds relevant ist. Hab auch die geforderte Datei hochgeladen

Dann hab ich GMER RootDetection laufen lassen. Allerdings kam nach etwa 1 Minute der Bluescreen von wegen "Windows has been shut down to prevent from physical damage" oder so. Ich hab mich jetzt nicht getraut das ganze noch mal zu starten, weil ich nicht weiß, woran es lag.

HJT zeigt mir keine der unten genannten Einträge mehr an, aber so ganz traue ich dem Frieden noch nicht. Vorhin waren sie auch schon mal komplett verschwunden und beim nächsten scannen plötzlich wieder da.


Ich wollt mich schon mal ganz doll bedanken bei dir!! Echt lieb, dass du mir hier einfach so hilfst. Vielen Dank!!!!!!


ComboFix:


ComboFix 08-06-16.2 - *** 2008-06-17 15:17:38.2 - NTFSx86
Microsoft® Windows Vista™ Home Basic 6.0.6000.0.1252.1.1031.18.56 [GMT 1:00]
ausgeführt von:: C:\Users\***\Desktop\ComboFix.exe
Command switches used :: C:\Users\***\Desktop\CFScript.txt
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Windows\system32\winfcm32.rom

.
((((((((((((((((((((((( Dateien erstellt von 2008-05-17 bis 2008-06-17 ))))))))))))))))))))))))))))))
.

Keine neuen Dateien erstellt in diesem Zeitraum

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-17 10:07 --------- d-----w C:\Users\***\AppData\Roaming\BitTorrent
2008-06-17 10:06 --------- d-----w C:\Users\***\AppData\Roaming\Malwarebytes
2008-06-17 10:06 --------- d-----w C:\ProgramData\Malwarebytes
2008-06-17 10:06 --------- d-----w C:\Program Files\Malwarebytes' Anti-Malware
2008-06-15 18:38 --------- d-----w C:\Program Files\Trend Micro
2008-06-13 12:22 --------- d-----w C:\Users\***\AppData\Roaming\Ulead Systems
2008-06-13 12:22 --------- d-----w C:\ProgramData\Ulead Systems
2008-06-13 11:30 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-06-13 11:26 --------- d-----w C:\ProgramData\SmartSound Software Inc
2008-06-13 11:26 --------- d-----w C:\Program Files\SmartSound Software
2008-06-13 11:25 --------- d-----w C:\ProgramData\Apple Computer
2008-06-13 11:25 --------- d-----w C:\Program Files\Common Files\InstallShield
2008-06-13 11:18 --------- d-----w C:\ProgramData\InterVideo
2008-06-13 11:13 --------- d-----w C:\Program Files\Windows Media Components
2008-06-13 11:12 --------- d-----w C:\Program Files\Common Files\Ulead Systems
2008-06-13 11:07 --------- d-----w C:\Program Files\Ulead Systems
2008-06-12 14:05 --------- d-----w C:\Program Files\TuneUp Utilities 2008
2008-06-10 18:02 34,296 ----a-w C:\Windows\system32\drivers\mbamcatchme.sys
2008-06-10 18:02 15,864 ----a-w C:\Windows\system32\drivers\mbam.sys
2008-06-04 13:40 --------- d-----w C:\ProgramData\Adobe Systems
2008-05-30 14:55 --------- d-----w C:\Program Files\Common Files\Adobe
2008-05-30 14:54 --------- d-----w C:\Program Files\Common Files\Adobe Systems Shared
2008-05-30 11:45 --------- d-----w C:\ProgramData\Lavasoft
2008-05-30 11:40 --------- d-----w C:\Program Files\Lavasoft
2008-05-30 11:40 --------- d-----w C:\Program Files\Common Files\Wise Installation Wizard
2008-05-25 13:20 --------- d-----w C:\Program Files\DivX
2008-05-23 09:39 --------- d-----w C:\Users\***\AppData\Roaming\Skype
2008-05-10 01:21 113,664 ----a-w C:\Windows\system32\drivers\rmcast.sys
2008-05-09 20:11 --------- d-----w C:\ProgramData\DVD Shrink
2008-04-30 19:14 --------- d-----w C:\Users\***\AppData\Roaming\gtk-2.0
2008-04-30 07:38 --------- d-----w C:\Program Files\Microsoft Silverlight
2008-04-29 09:20 15,648 ----a-w C:\Windows\system32\drivers\NSDriver.sys
2008-04-29 09:19 15,648 ----a-w C:\Windows\system32\drivers\Awrtrd.sys
2008-04-29 09:19 12,960 ----a-w C:\Windows\system32\drivers\Awrtpd.sys
2008-04-28 23:03 --------- d-----w C:\Users\***\AppData\Roaming\IrfanView
2008-04-25 04:23 52,736 ----a-w C:\Windows\AppPatch\iebrshim.dll
2008-04-24 08:18 --------- d-----w C:\Program Files\Lame
2008-04-23 14:13 --------- d-----w C:\Program Files\FlexiMusic Wave Editor
2008-04-23 11:51 --------- d-----w C:\Users\***\AppData\Roaming\CyberLink
2008-04-17 10:11 43 ----a-w C:\Program Files\RUNME.bat
2007-08-18 12:47 24,192 ----a-w C:\Users\***\usbsermptxp.sys
2007-08-18 12:47 22,768 ----a-w C:\Users\***\usbsermpt.sys
2007-08-03 22:40 13,025 ----a-w C:\Users\***\AppData\Roaming\nvModes.dat
2006-11-02 12:48 174 --sha-w C:\Program Files\desktop.ini
.

((((((((((((((((((((((((((((( snapshot@2008-06-17_14.14.31,33 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-06-17 14:16:50 5,713,920 ----a-w C:\Windows\erdnt\Hiv-backup\SCHEMA.DAT
+ 2008-06-17 13:46:37 8,302 ----a-w C:\Windows\SoftwareDistribution\EventCache\{C1B35B4B-06FF-421A-A48A-5222D6919E09}.bin
- 2008-06-15 19:53:33 5,767,168 ----a-w C:\Windows\System32\SMI\Store\Machine\SCHEMA.DAT
+ 2008-06-17 13:31:43 5,767,168 ----a-w C:\Windows\System32\SMI\Store\Machine\SCHEMA.DAT
- 2008-06-15 10:24:53 113,721,155 ----a-w C:\Windows\winsxs\ManifestCache\6.0.6001.18000_001c50b5_blobs.bin
+ 2008-06-17 13:45:18 115,640,723 ----a-w C:\Windows\winsxs\ManifestCache\6.0.6001.18000_001c50b5_blobs.bin
+ 2006-11-02 12:33:45 14,827 ----a-w C:\Windows\winsxs\x86_microsoft-windows-wlansvc_31bf3856ad364e35_6.0.6000.16551_none_9a28f27507e7382c\gatherWirelessInfo.vbs
+ 2006-11-02 12:33:45 14,827 ----a-w C:\Windows\winsxs\x86_microsoft-windows-wlansvc_31bf3856ad364e35_6.0.6000.20670_none_9a9bef1e2115f681\gatherWirelessInfo.vbs
+ 2006-11-02 12:33:48 2,565,432 ----a-w C:\Windows\winsxs\x86_security-malware-windows-defender_31bf3856ad364e35_6.0.6000.16420_none_55c0ce805b18c568\MpEngine.dll
+ 2006-11-02 12:33:48 2,565,432 ----a-w C:\Windows\winsxs\x86_security-malware-windows-defender_31bf3856ad364e35_6.0.6000.20516_none_565b3cf37428e14b\MpEngine.dll
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 12:34 5724184]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"ICQ Lite"="C:\Program Files\ICQLite\ICQLite.exe" [2006-07-11 11:15 3144800]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-20 12:56 262401]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.clmp3enc"= C:\PROGRA~1\CYBERL~1\Power2Go\CLMP3Enc.ACM
"msacm.dvacm"= C:\PROGRA~1\COMMON~1\ULEADS~1\Vio\Dvacm.acm
"msacm.MPEGacm"= C:\PROGRA~1\COMMON~1\ULEADS~1\MPEG\MPEGacm.acm
"msacm.ulmp3acm"= C:\PROGRA~1\COMMON~1\ULEADS~1\MPEG\ulmp3acm.acm

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"WMPNSCFG"=C:\Program Files\Windows Media Player\WMPNSCFG.exe
"BitTorrent DNA"="C:\Users\***\Program Files\DNA\btdna.exe"
"AnyDVD"=C:\Program Files\SlySoft\AnyDVD\AnyDVD.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"RemoteControl"="C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
"LanguageShortcut"="C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
"NvCplDaemon"=RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
"NvMediaCenter"=RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
"NvSvc"=RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
"TkBellExe"="C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
"MGSysCtrl"=C:\Program Files\System Control Manager\MGSysCtrl.exe
"RtHDVCpl"=RtHDVCpl.exe
"tsnp2std"=C:\Windows\tsnp2std.exe
"snp2std"=C:\Windows\vsnp2std.exe
"QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" -atboottime
"UVS11 Preload"=C:\Program Files\Ulead Systems\Ulead VideoStudio 11\uvPL.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"TCP Query User{D60A7DF2-2AB5-4349-82FD-07CD8F2A2781}C:\\program files\\skype\\phone\\skype.exe"= UDP:C:\program files\skype\phone\skype.exe:Skype. Take a deep breath
"UDP Query User{6915A447-6EEA-48A3-B1AB-60A43FEB39D2}C:\\program files\\skype\\phone\\skype.exe"= TCP:C:\program files\skype\phone\skype.exe:Skype. Take a deep breath
"TCP Query User{283F549B-EF42-43DC-B2B5-E95B7A4BE641}C:\\program files\\real\\realplayer\\realplay.exe"= UDP:C:\program files\real\realplayer\realplay.exe:RealPlayer
"UDP Query User{D5E7F421-F9D8-4EEA-B740-09E39958EA12}C:\\program files\\real\\realplayer\\realplay.exe"= TCP:C:\program files\real\realplayer\realplay.exe:RealPlayer
"TCP Query User{5973B3FA-3BC9-4FBB-9673-95CF9A711737}C:\\program files\\trillian\\trillian.exe"= UDP:C:\program files\trillian\trillian.exe:Trillian
"UDP Query User{2FBFA455-6756-4C0B-B921-C78C2258BED4}C:\\program files\\trillian\\trillian.exe"= TCP:C:\program files\trillian\trillian.exe:Trillian
"TCP Query User{3916A147-50D7-499C-B810-415EEFB7A080}C:\\program files\\skype\\phone\\skype.exe"= UDP:C:\program files\skype\phone\skype.exe:Skype. Take a deep breath
"UDP Query User{F24A852B-D42E-49AD-89D6-289129206681}C:\\program files\\skype\\phone\\skype.exe"= TCP:C:\program files\skype\phone\skype.exe:Skype. Take a deep breath
"{83F106DF-DC5D-4053-B979-35BCF6B144C6}"= TCP:8000:Express Talk RTP Incoming Audio (UDP)
"{8702A775-37C4-4D83-BAF7-B7E6E2C573E4}"= TCP:8001:Express Talk RTP Incoming Audio (UDP)
"{88115829-FBB3-4D3B-A442-CD5D3EE56C0E}"= TCP:8002:Express Talk RTP Incoming Audio (UDP)
"{26B32CCC-4917-4929-96B6-659E624F77C3}"= TCP:8003:Express Talk RTP Incoming Audio (UDP)
"{4A80A90C-E115-4EB6-9978-43C67B95DCA1}"= TCP:8004:Express Talk RTP Incoming Audio (UDP)
"{D39F1DDA-CDBE-46AC-A513-134F7969FA35}"= TCP:8005:Express Talk RTP Incoming Audio (UDP)
"{F59C950B-3552-46E7-B8BA-C1FB103F503F}"= TCP:8006:Express Talk RTP Incoming Audio (UDP)
"TCP Query User{B28C0628-EC87-4551-A188-0E4CDDAED2D3}C:\\program files\\nch swift sound\\talk\\talk.exe"= UDP:C:\program files\nch swift sound\talk\talk.exe:talk
"UDP Query User{1EAD4392-01A0-4133-8F0D-9CE20B7FD0E1}C:\\program files\\nch swift sound\\talk\\talk.exe"= TCP:C:\program files\nch swift sound\talk\talk.exe:talk
"TCP Query User{2F228B5D-F893-4CCF-A17F-E24FC1466D02}C:\\program files\\icqlite\\icqlite.exe"= UDP:C:\program files\icqlite\icqlite.exe:ICQLite
"UDP Query User{E95BA5C6-253C-4324-A0D4-0A5B438DEF2B}C:\\program files\\icqlite\\icqlite.exe"= TCP:C:\program files\icqlite\icqlite.exe:ICQLite
"{CD5759AB-3E6B-4E7F-BE0A-30BD83F3883F}"= UDP:C:\Windows\System32\dlbtcoms.exe:Photo AIO Printer 922 Server
"{77B4A438-6B58-4A29-94BA-C16CF95CBC8F}"= TCP:C:\Windows\System32\dlbtcoms.exe:Photo AIO Printer 922 Server
"{A60E5B43-A09D-4184-8DC7-6F0BE6DE2CF9}"= UDP:C:\Program Files\BitTorrent_DNA\dna.exe:BitTorrent DNA
"{E4C76883-BB6F-4392-B0E8-89DE44A03A52}"= TCP:C:\Program Files\BitTorrent_DNA\dna.exe:BitTorrent DNA
"{83CA00F9-87FC-46CE-A641-6E65E2CB0FA0}"= UDP:C:\Program Files\BitTorrent\bittorrent.exe:BitTorrent
"{6E8ACC15-8081-4D58-A25F-1A41D49FB53B}"= TCP:C:\Program Files\BitTorrent\bittorrent.exe:BitTorrent
"TCP Query User{5AE720D5-DE9E-4B0C-B661-D81FD64D4604}C:\\program files\\mozilla firefox\\firefox.exe"= UDP:C:\program files\mozilla firefox\firefox.exe:Firefox
"UDP Query User{877D44EC-CCFC-4E8D-B776-38CE5AA57516}C:\\program files\\mozilla firefox\\firefox.exe"= TCP:C:\program files\mozilla firefox\firefox.exe:Firefox
"TCP Query User{CF0A38FC-9325-4F0D-B556-7D3CEDB40478}C:\\program files\\limewire\\limewire.exe"= UDP:C:\program files\limewire\limewire.exe:LimeWire
"UDP Query User{8666B2EF-BEC7-4E58-8533-A908CF471938}C:\\program files\\limewire\\limewire.exe"= TCP:C:\program files\limewire\limewire.exe:LimeWire
"{A22327A4-6CB6-482F-8622-9400802DD6A2}"= UDP:C:\Program Files\DNA\btdna.exeNA
"{C85A6ED2-7A44-4420-951B-3D79DB03BFD3}"= TCP:C:\Program Files\DNA\btdna.exeNA
"{049D6B03-AAB1-4A9D-A7F6-BECA2BF965DA}"= UDP:C:\Program Files\BitTorrent\bittorrent.exe:BitTorrent
"{13DE5A41-1DB7-4573-A964-FA9A462898AA}"= TCP:C:\Program Files\BitTorrent\bittorrent.exe:BitTorrent
"TCP Query User{11FCCADC-3492-4FB4-A81A-C4D4E8317A31}C:\\users\\***\\program files\\dna\\btdna.exe"= UDP:C:\users\***\program files\dna\btdna.exe:btdna.exe
"UDP Query User{246BCE79-4366-4058-A8E5-62F659957DA8}C:\\users\\***\\program files\\dna\\btdna.exe"= TCP:C:\users\***\program files\dna\btdna.exe:btdna.exe
"TCP Query User{A333DD1C-BC55-48A9-90B5-E7E916F11132}C:\\users\\***\\program files\\bittorrent\\bittorrent.exe"= UDP:C:\users\***\program files\bittorrent\bittorrent.exe:bittorrent.exe
"UDP Query User{1CA44E3C-C3D0-435F-9213-4FD6059E5572}C:\\users\\***\\program files\\bittorrent\\bittorrent.exe"= TCP:C:\users\***\program files\bittorrent\bittorrent.exe:bittorrent.exe
"TCP Query User{D5424971-9EAD-40C9-8F82-1F07BB9D22C3}C:\\program files\\xchat\\xchat.exe"= UDP:C:\program files\xchat\xchat.exe:XChat IRC Client
"UDP Query User{4904D48D-448B-4BEE-81F3-2B4670A61C9D}C:\\program files\\xchat\\xchat.exe"= TCP:C:\program files\xchat\xchat.exe:XChat IRC Client
"{6C58EF0C-4FD3-42E7-A2AE-23E8286BAE4A}"= UDP:C:\Program Files\Kontiki\KService.exeelivery Manager Service
"{48603EB7-92A9-4ECD-A7A2-5D44C9DA61D0}"= TCP:C:\Program Files\Kontiki\KService.exeelivery Manager Service
"{EF01ED08-3439-46B7-A319-3400E344133A}"= C:\Program Files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\RestrictedServices\Static\System]
"DFSR-1"= RPort=5722|UDP:%SystemRoot%\system32\svchost.exe|Svc=DFSR:Allow inbound TCP traffic|

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile\AuthorizedApplications\List]
"C:\\Program Files\\BitTorrent\\bittorrent.exe"= C:\Program Files\BitTorrent\bittorrent.exe:*:Enabled:BitTorrent
"C:\\Program Files\\xchat\\xchat.exe"= C:\Program Files\xchat\xchat.exe:*:Enabled:XChat IRC Client

R0 O2MDRDR;O2MDRDR;C:\Windows\system32\DRIVERS\o2media.sys [2006-11-20 08:14]
R0 O2SDRDR;O2SDRDR;C:\Windows\system32\DRIVERS\o2sd.sys [2006-11-17 06:58]
R2 NishService;SCM Driver Daemon;C:\Program Files\System Control Manager\edd.exe [2006-03-22 11:07]
R2 UxTuneUp;TuneUp Designerweiterung;C:\Windows\System32\svchost.exe [2006-11-02 10:45]
R3 MGHwCtrl;MGHwCtrl;C:\Windows\system32\drivers\MGHwCtrl.sys [2006-12-22 05:21]
R3 rt61x86;Ralink RT61 Wireless Driver for Windows Vista;C:\Windows\system32\DRIVERS\netr61.sys [2007-05-11 17:28]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;C:\Program Files\MAGIX\Common\Database\bin\fbserver.exe [2005-11-17 13:18]
S3 SNP2STD;USB2.0 PC Camera (SNP2STD);C:\Windows\system32\DRIVERS\snp2sxp.sys [2006-06-07 09:34]
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\Windows\System32\TuneUpDefragService.exe [2008-06-12 15:04]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceNoNetwork REG_MULTI_SZ PLA DPS BFE mpssvc

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

*Newly Created Service* - CATCHME
.
Inhalt des "geplante Tasks" Ordners
"2008-06-17 14:00:10 C:\Windows\Tasks\1-Klick-Wartung.job"
- C:\Program Files\TuneUp Utilities 2008\OneClickStarter.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net
Rootkit scan 2008-06-17 15:22:29
Windows 6.0.6000 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-06-17 15:26:26
ComboFix-quarantined-files.txt 2008-06-17 14:26:22
ComboFix2.txt 2008-06-17 13:15:03

Das System hat keinen Meldungstext für die Meldungsnummer 0x2379 in der Meldungsdatei Application gefunden.
Das System hat keinen Meldungstext für die Meldungsnummer 0x2379 in der Meldungsdatei Application gefunden.

192 --- E O F --- 2008-06-15 10:09:43