TR Monder 97792.1 / 91136.10 und Vundo.Gen hartnäckig! Bitte Hilfe!

Killvir · 23.06.2008, 19:25

hallo zusammen,

mein pc hat sich in den letzten wochen selsam verhalten. internet war langsam, bei einfachen anwendungen war war die systemleistung schon bei 100%. dann kam der kollaps: viele internetseiten (google, amazon, microsoft usw) waren nicht mehr erreichbar, wlan verbindungen sind abgebrochen, antivir hat ständig virenfunde gemeldet und die lüfter vom pc sind fast heiß gelaufen und dieser hat nur noch gepiepst und geblinkt. auch die automatischen updates für windows konnten nicht aktiviert werden.

antivir fand dann nach einer systemprüfung dann 59 unerwünschte datein. die bereinigung mit antivir brachte nicht den erwünschten erfolg. mein schwager nannte mir dieses forum, aber ich konnte dieses board nicht anzeigen (googeln ging auch nicht). beim schwager habe ich dann einiges gelesen und auch probiert. malwarebytes und CCleaner installiert, spyboot hatte ich schon. als infizierte datein wurde auch "online casino" genannt, dass normalerweise gelöscht werden sollte, aber einträge immer noch vorhanden sind.

trotzdem bekomme ich die trojaner
* monder 97792.1
* monder 91136.10
* vundo.gen
einfach nicht weg. kommischer meldet Malwarebytes jetzt keine fehler mehr.

erbitte eure hilfe.
gerne hätte ich den scanbericht von antivir und Malwarebytes und den logfile von hijack mitgeschickt, kann aber aus unbekannten gründen nicht als dateianhang hochladen und wegen zu langen text (mehr wie 25000 zeichen) nicht einstellen. das logfile von hijack hat alleine mehr als 25000 zeichen.
bitte auch um mitteilung, warum spyboot nach jedem systemtstart immer 3-5 meldungen über unerwünschte änderung in der registry bringt.

freue mich auf eure hilfe / anweisungen.

danke und freundliche grüße

blow-in · 24.06.2008, 07:32

Hallo Killvir
Poste noch einmal ein HJT-Log nach dieser Anleitung. Das Log von Malwarebytes kannst du ja auf zwei postings verteilen.

Killvir · 24.06.2008, 16:03

hallo blow-in,
vielen dank für deine antwort. hier mein logfile. die berichte von Malwarebytes und antivir folgen.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:46, on 2008-06-23
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sony\vaio media music server\SSSvr.exe
C:\Programme\sony\photo server 20\appsrv\PicAppSrv.exe
C:\Programme\Gemeinsame Dateien\sony shared\vaio media platform\SV_Httpd.exe
C:\Programme\Gemeinsame Dateien\sony shared\vaio media platform\UPnPFramework.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\ezSP_Px.exe
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\avmwlanstick\wlangui.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\TuneUp Utilities 2008\MemOptimizer.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.ebay.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {188C905E-00EF-4BB6-BEA0-28B1A89677F7} - (no file)
O2 - BHO: (no name) - {2165BC93-189B-41B7-8CE6-AEB3609C8106} - (no file)
O2 - BHO: (no name) - {21EA21EB-7FB4-4A9F-8875-B34D83A9CEEB} - (no file)
O2 - BHO: (no name) - {279864AC-D88C-42DB-918F-598D81B3A294} - C:\WINDOWS\system32\dpv1032.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {95a37129-a1ac-4da2-8df6-9d18e8214d43} - (no file)
O2 - BHO: {3ad83725-5ccd-d649-6794-d893d8a1bfa9} - {9afb1a8d-398d-4976-946d-dcc552738da3} - (no file)
O2 - BHO: (no name) - {a2b48ec1-f559-4f43-8b22-6d0be3f33b29} - (no file)
O2 - BHO: (no name) - {B89B8384-8A62-48A5-91FD-045EFFDC6514} - (no file)
O2 - BHO: (no name) - {BD966EBB-B605-47A0-94E6-76FC4BCEB8A0} - (no file)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb03.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\VERITAS Software\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2008\MemOptimizer.exe" autostart
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: Europa Casino - {4C826F10-D34B-4ba8-B609-1FB8C6482A05} - C:\Casino\Europa Casino\casino.exe (file missing)
O9 - Extra 'Tools' menuitem: Europa Casino - {4C826F10-D34B-4ba8-B609-1FB8C6482A05} - C:\Casino\Europa Casino\casino.exe (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com/
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com
O16 - DPF: {00000000-0000-0000-0000-000020030000} - h**p://www.advnt01.com/dialer/ger.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2048B51E-8D74-4762-82CE-B48CF545EEEA} - h**p://62.4.83.182/rapidspark.cab
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - h**p://download.ebay.com/turbo_lister/DE/install.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - h**p://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-48.cab
O16 - DPF: {A27AD582-5BE5-4C2D-82F0-48B24FE02040} - h**p://www.adshooter.com/pop_shooter/install/win2000/SYSsfitb.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - h**p://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O16 - DPF: {F49DA492-7B88-463F-B389-CA9A02F6DA76} - h**p://www.seagate.com/support/disc/asp/tools/de/bin/npseatools.cab
O18 - Protocol: bw+0 - {AAF18510-1796-4111-AAF4-55A372A87905} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw+0s - {AAF18510-1796-4111-AAF4-55A372A87905} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw-0 - {AAF18510-1796-4111-AAF4-55A372A87905} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw-0s - {AAF18510-1796-4111-AAF4-55A372A87905} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw00 - {AAF18510-1796-4111-AAF4-55A372A87905} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw00s - {AAF18510-1796-4111-AAF4-55A372A87905} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw10 - {AAF18510-1796-4111-AAF4-55A372A87905} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw10s - {AAF18510-1796-4111-AAF4-55A372A87905} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw20 - {AAF18510-1796-4111-AAF4-55A372A87905} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw20s - {AAF18510-1796-4111-AAF4-55A372A87905} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw30 - {AAF18510-1796-4111-AAF4-55A372A87905} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw30s - {AAF18510-1796-4111-AAF4-55A372A87905} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw40 - {AAF18510-1796-4111-AAF4-55A372A87905} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw40s - {AAF18510-1796-4111-AAF4-55A372A87905} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw50 - {AAF18510-1796-4111-AAF4-55A372A87905} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw50s - {AAF18510-1796-4111-AAF4-55A372A87905} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw60 - {AAF18510-1796-4111-AAF4-55A372A87905} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw60s - {AAF18510-1796-4111-AAF4-55A372A87905} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw70 - {AAF18510-1796-4111-AAF4-55A372A87905} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw70s - {AAF18510-1796-4111-AAF4-55A372A87905} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw80 - {AAF18510-1796-4111-AAF4-55A372A87905} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw80s - {AAF18510-1796-4111-AAF4-55A372A87905} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw90 - {AAF18510-1796-4111-AAF4-55A372A87905} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw90s - {AAF18510-1796-4111-AAF4-55A372A87905} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwa0 - {AAF18510-1796-4111-AAF4-55A372A87905} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwa0s - {AAF18510-1796-4111-AAF4-55A372A87905} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwb0 - {AAF18510-1796-4111-AAF4-55A372A87905} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwb0s - {AAF18510-1796-4111-AAF4-55A372A87905} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwc0 - {AAF18510-1796-4111-AAF4-55A372A87905} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwc0s - {AAF18510-1796-4111-AAF4-55A372A87905} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwd0 - {AAF18510-1796-4111-AAF4-55A372A87905} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwd0s - {AAF18510-1796-4111-AAF4-55A372A87905} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwe0 - {AAF18510-1796-4111-AAF4-55A372A87905} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwe0s - {AAF18510-1796-4111-AAF4-55A372A87905} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwf0 - {AAF18510-1796-4111-AAF4-55A372A87905} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwf0s - {AAF18510-1796-4111-AAF4-55A372A87905} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Protocol: bwg0 - {AAF18510-1796-4111-AAF4-55A372A87905} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwg0s - {AAF18510-1796-4111-AAF4-55A372A87905} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwh0 - {AAF18510-1796-4111-AAF4-55A372A87905} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwh0s - {AAF18510-1796-4111-AAF4-55A372A87905} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwi0 - {AAF18510-1796-4111-AAF4-55A372A87905} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwi0s - {AAF18510-1796-4111-AAF4-55A372A87905} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwj0 - {AAF18510-1796-4111-AAF4-55A372A87905} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwj0s - {AAF18510-1796-4111-AAF4-55A372A87905} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwk0 - {AAF18510-1796-4111-AAF4-55A372A87905} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwk0s - {AAF18510-1796-4111-AAF4-55A372A87905} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwl0 - {AAF18510-1796-4111-AAF4-55A372A87905} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwl0s - {AAF18510-1796-4111-AAF4-55A372A87905} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwm0 - {AAF18510-1796-4111-AAF4-55A372A87905} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwm0s - {AAF18510-1796-4111-AAF4-55A372A87905} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwn0 - {AAF18510-1796-4111-AAF4-55A372A87905} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwn0s - {AAF18510-1796-4111-AAF4-55A372A87905} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwo0 - {AAF18510-1796-4111-AAF4-55A372A87905} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwo0s - {AAF18510-1796-4111-AAF4-55A372A87905} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwp0 - {AAF18510-1796-4111-AAF4-55A372A87905} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwp0s - {AAF18510-1796-4111-AAF4-55A372A87905} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwq0 - {AAF18510-1796-4111-AAF4-55A372A87905} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwq0s - {AAF18510-1796-4111-AAF4-55A372A87905} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwr0 - {AAF18510-1796-4111-AAF4-55A372A87905} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwr0s - {AAF18510-1796-4111-AAF4-55A372A87905} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bws0 - {AAF18510-1796-4111-AAF4-55A372A87905} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bws0s - {AAF18510-1796-4111-AAF4-55A372A87905} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwt0 - {AAF18510-1796-4111-AAF4-55A372A87905} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwt0s - {AAF18510-1796-4111-AAF4-55A372A87905} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwu0 - {AAF18510-1796-4111-AAF4-55A372A87905} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwu0s - {AAF18510-1796-4111-AAF4-55A372A87905} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwv0 - {AAF18510-1796-4111-AAF4-55A372A87905} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwv0s - {AAF18510-1796-4111-AAF4-55A372A87905} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bww0 - {AAF18510-1796-4111-AAF4-55A372A87905} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bww0s - {AAF18510-1796-4111-AAF4-55A372A87905} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwx0 - {AAF18510-1796-4111-AAF4-55A372A87905} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwx0s - {AAF18510-1796-4111-AAF4-55A372A87905} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwy0 - {AAF18510-1796-4111-AAF4-55A372A87905} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwy0s - {AAF18510-1796-4111-AAF4-55A372A87905} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwz0 - {AAF18510-1796-4111-AAF4-55A372A87905} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwz0s - {AAF18510-1796-4111-AAF4-55A372A87905} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: offline-8876480 - {AAF18510-1796-4111-AAF4-55A372A87905} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O20 - Winlogon Notify: qoMdEULD - C:\WINDOWS\
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing)
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\GEMEIN~1\SONYSH~1\AVLib\Sptisrv.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - Unknown owner - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe (file missing)
O23 - Service: UPnPService - Magix AG - C:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe
O23 - Service: VAIO Media Music Server (Application) (VAIOMediaPlatform-MusicServer-AppServer) - Sony Corporation - C:\Programme\Sony\vaio media music server\SSSvr.exe
O23 - Service: VAIO Media Music Server (HTTP) (VAIOMediaPlatform-MusicServer-HTTP) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\vaio media platform\sv_httpd.exe
O23 - Service: VAIO Media Music Server (UPnP) (VAIOMediaPlatform-MusicServer-UPnP) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\vaio media platform\UPnPFramework.exe
O23 - Service: VAIO Media Photo Server (Application) (VAIOMediaPlatform-PhotoServer-AppServer) - Unknown owner - C:\Programme\sony\photo server 20\appsrv\PicAppSrv.exe
O23 - Service: VAIO Media Photo Server (HTTP) (VAIOMediaPlatform-PhotoServer-HTTP) - Sony Corporation - C:\Programme\Gemeinsame Dateien\sony shared\vaio media platform\SV_Httpd.exe
O23 - Service: VAIO Media Photo Server (UPnP) (VAIOMediaPlatform-PhotoServer-UPnP) - Sony Corporation - C:\Programme\Gemeinsame Dateien\sony shared\vaio media platform\UPnPFramework.exe

End of file - 23340 bytes

Killvir · 24.06.2008, 16:06

hier dazu den scanbericht von Malwarebytes und antivir.

freue mich auf antworten.

danke und Gruß

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: 2008-06-23 17:49

Es wird nach 1355845 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 3) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: xxx
Computername: xxx

Versionsinformationen:
BUILD.DAT : 8.1.0.308 16478 Bytes 2008-05-28 17:02:00
AVSCAN.EXE : 8.1.2.12 311553 Bytes 2008-04-18 15:03:28
AVSCAN.DLL : 8.1.1.0 57601 Bytes 2008-04-18 15:03:28
LUKE.DLL : 8.1.2.9 151809 Bytes 2008-04-18 15:03:28
LUKERES.DLL : 8.1.2.0 12545 Bytes 2008-04-18 15:03:28
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 2007-07-18 16:52:08
ANTIVIR1.VDF : 7.0.3.2 5447168 Bytes 2008-03-07 08:23:04
ANTIVIR2.VDF : 7.0.4.195 2546176 Bytes 2008-06-14 14:44:44
ANTIVIR3.VDF : 7.0.4.241 331264 Bytes 2008-06-23 15:36:30
Engineversion : 8.1.0.59
AEVDF.DLL : 8.1.0.5 102772 Bytes 2008-04-18 15:03:29
AESCRIPT.DLL : 8.1.0.44 278907 Bytes 2008-06-22 15:36:47
AESCN.DLL : 8.1.0.22 119157 Bytes 2008-06-22 15:36:46
AERDL.DLL : 8.1.0.20 418165 Bytes 2008-04-26 11:03:03
AEPACK.DLL : 8.1.1.6 364918 Bytes 2008-06-22 15:36:45
AEOFFICE.DLL : 8.1.0.20 192891 Bytes 2008-06-22 15:36:44
AEHEUR.DLL : 8.1.0.32 1274231 Bytes 2008-06-22 15:36:44
AEHELP.DLL : 8.1.0.15 115063 Bytes 2008-06-03 17:44:20
AEGEN.DLL : 8.1.0.29 307573 Bytes 2008-06-22 15:36:42
AEEMU.DLL : 8.1.0.6 430451 Bytes 2008-05-08 14:50:35
AECORE.DLL : 8.1.0.31 168310 Bytes 2008-06-07 17:10:46
AVWINLL.DLL : 1.0.0.7 14593 Bytes 2008-04-18 15:03:28
AVPREF.DLL : 8.0.0.1 25857 Bytes 2008-04-18 15:03:28
AVREP.DLL : 7.0.0.1 155688 Bytes 2007-04-19 18:16:58
AVREG.DLL : 8.0.0.0 30977 Bytes 2008-04-18 15:03:28
AVARKT.DLL : 1.0.0.23 307457 Bytes 2008-04-18 15:03:28
AVEVTLOG.DLL : 8.0.0.11 114945 Bytes 2008-04-18 15:03:28
SQLITE3.DLL : 3.3.17.1 339968 Bytes 2008-04-18 15:03:29
SMTPLIB.DLL : 1.2.0.19 28929 Bytes 2008-04-18 15:03:29
NETNT.DLL : 8.0.0.1 7937 Bytes 2008-04-18 15:03:28
RCIMAGE.DLL : 8.0.0.35 2371841 Bytes 2008-04-18 15:03:25
RCTEXT.DLL : 8.0.32.0 86273 Bytes 2008-04-18 15:03:25

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Manuelle Auswahl
Konfigurationsdatei..............: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\PROFILES\folder.avp
Protokollierung..................: niedrig
Primäre Aktion...................: umbenennen
Sekundäre Aktion.................: löschen
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: ein
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: aus
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: 2008-06-23 17:49

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '110743' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msmsgs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMIndexStoreSvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMIndexingService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMBgMonitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MemOptimizer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLanGUI.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ICQLite.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NvMixerTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ezSP_Px.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'UPnPFramework.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sv_httpd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PicAppSrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SSSvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mdm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLanNetService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '42' Prozesse mit '42' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '37' Dateien ).

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <Festplatte 1>
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\QooBox\Quarantine\C\WINDOWS\system32\gocrwhdb.dll.vir
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 48c2d3c6.qua erstellt ( QUARANTÄNE )
C:\QooBox\Quarantine\C\WINDOWS\system32\qqwmjklx.dll.vir
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 48d6d3c9.qua erstellt ( QUARANTÄNE )
C:\QooBox\Quarantine\C\WINDOWS\system32\wodpilbw.dll.vir
[FUND] Ist das Trojanische Pferd TR/Monder.91136.11
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 48c3d3c8.qua erstellt ( QUARANTÄNE )

Ende des Suchlaufs: 2008-06-23 19:08
Benötigte Zeit: 1:18:44 min

Der Suchlauf wurde vollständig durchgeführt.

10223 Verzeichnisse wurden überprüft
335244 Dateien wurden geprüft
3 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
3 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
335241 Dateien ohne Befall
7714 Archive wurden durchsucht
2 Warnungen
3 Hinweise
110743 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

---------------------------------------------------------------------------

Malwarebytes' Anti-Malware 1.18
Datenbank Version: 882

17:46:34 2008-06-23
mbam-log-6-23-2008 (17-46-34).txt

Scan Art: Schnell Scan
Objekte gescannt: 42062
Scan Dauer: 4 minute(s), 7 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine Malware Objekte gefunden)

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
(Keine Malware Objekte gefunden)

Killvir · 26.06.2008, 19:17

hallo zusammen.

leider habe ich bisher keine antworten bekommen. kann mir den keiner helfen?

fehlt noch irgendetwas für die problemlösung?

freue mich auf antworten.

danke und gruß

**Sunny** · 26.06.2008, 19:26

Du scheinst irgendwie untergegangen zu sein.

Da eine Vundo-Infektion vorliegt, schlage ich dir folgendes Programm vor:

ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)

Killvir · 28.06.2008, 10:30

danke für die antwort. habe combofix ausgeführt. anbei die logdatei. wie gehts weiter? freue mich auf antworten.

danke und gruß

ComboFix 08-06-20.4 - rob 2008-06-28 11:04:49.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.613 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\rob\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\BM8f730367.xml
C:\WINDOWS\pskt.ini
C:\WINDOWS\regedit.com
C:\WINDOWS\system32\malwafxd.ini
C:\WINDOWS\system32\taskmgr.com
C:\WINDOWS\system32\xobmoqjp.ini
.
---- Previous Run -------
.
C:\WINDOWS\BM8f730367.xml
C:\WINDOWS\Downloaded Program Files\setup.inf
C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\dpfsqaxo.ini
C:\WINDOWS\system32\drivers\npf.sys
C:\WINDOWS\system32\gocrwhdb.dll
C:\WINDOWS\system32\hbrjhklw.dll
C:\WINDOWS\system32\isjjsths.ini
C:\WINDOWS\system32\iwcyiqkf.ini
C:\WINDOWS\system32\lyvtawcp.dll
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\nypxqosi.dll
C:\WINDOWS\system32\packet.dll
C:\WINDOWS\system32\pcwatvyl.ini
C:\WINDOWS\system32\pemdwywu.dll
C:\WINDOWS\system32\pthreadVC.dll
C:\WINDOWS\system32\qoMdEULD.dll
C:\WINDOWS\system32\qqwmjklx.dll
C:\WINDOWS\system32\uwywdmep.ini
C:\WINDOWS\system32\VDdMonmp.ini
C:\WINDOWS\system32\VDdMonmp.ini2
C:\WINDOWS\system32\wodpilbw.dll
C:\WINDOWS\system32\wpcap.dll

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_NPF
-------\Service_NPF

((((((((((((((((((((((( Dateien erstellt von 2008-05-28 bis 2008-06-28 ))))))))))))))))))))))))))))))
.

2008-06-22 17:51 . 2008-04-14 00:15 26,112 --a------ C:\WINDOWS\system32\drivers\usbser.sys
2008-06-22 17:51 . 2008-04-14 00:15 26,112 --a--c--- C:\WINDOWS\system32\dllcache\usbser.sys
2008-06-22 17:51 . 2008-06-22 17:51 0 --ah----- C:\WINDOWS\system32\drivers\MsftWdf_Kernel_01005_Coinstaller_Critical.Wdf
2008-06-22 17:51 . 2008-06-22 17:51 0 --ah----- C:\WINDOWS\system32\drivers\Msft_Kernel_ccdcmb_01005.Wdf
2008-06-19 19:41 . 2007-03-14 19:20 149,040 --a------ C:\WINDOWS\system32\ImageDrive.cpl
2008-06-15 11:58 . 2008-04-13 22:06 144,384 --------- C:\WINDOWS\system32\drivers\hdaudbus.sys
2008-06-15 11:58 . 2008-04-14 00:10 10,240 --------- C:\WINDOWS\system32\drivers\sffp_mmc.sys
2008-06-15 11:56 . 2006-12-29 00:31 19,569 --a------ C:\WINDOWS\005560_.tmp
2008-06-14 21:08 . 2008-06-14 21:08 <DIR> d-------- C:\WINDOWS\Logs
2008-06-14 20:55 . 2008-06-23 17:41 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-06-14 20:55 . 2008-06-14 20:55 <DIR> d-------- C:\Dokumente und Einstellungen\rob\Anwendungsdaten\Malwarebytes
2008-06-14 20:55 . 2008-06-14 20:55 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-06-14 20:55 . 2008-06-19 17:48 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-06-14 20:55 . 2008-06-19 17:47 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-06-14 20:44 . 2008-06-14 20:44 <DIR> d-------- C:\Programme\Trend Micro
2008-06-14 20:09 . 2008-06-14 20:09 26 --a------ C:\WINDOWS\Lic.xxx
2008-06-14 20:08 . 2004-08-04 09:58 153,600 --a------ C:\WINDOWS\R.COM
2008-06-14 20:08 . 2004-08-04 09:58 140,800 --a------ C:\WINDOWS\system32\T.COM
2008-06-12 18:10 . 2008-05-08 16:02 203,136 -----c--- C:\WINDOWS\system32\dllcache\rmcast.sys
2008-06-12 18:06 . 2008-06-14 19:32 273,024 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys
2008-06-12 17:07 . 2008-06-12 17:07 <DIR> d-------- C:\Programme\CCleaner
2008-06-09 19:22 . 2008-06-09 19:21 691,545 --a------ C:\WINDOWS\unins000.exe
2008-06-09 19:22 . 2008-06-09 19:22 2,544 --a------ C:\WINDOWS\unins000.dat
2008-06-07 11:49 . 2008-06-07 11:49 355,584 --a------ C:\WINDOWS\system32\TuneUpDefragService.exe
2008-06-07 11:49 . 2008-05-17 14:56 28,416 --a------ C:\WINDOWS\system32\uxtuneup.dll
2008-06-07 11:48 . 2008-06-07 11:50 <DIR> d-------- C:\Programme\TuneUp Utilities 2008
2008-05-31 14:12 . 2008-05-31 14:12 <DIR> d-------- C:\Programme\AVM_update
2008-05-31 01:23 . 2008-05-31 01:23 8,523 --a------ C:\WINDOWS\system32\dpude.qm

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-18 17:27 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-06-14 17:32 273,024 ------w C:\WINDOWS\system32\drivers\bthport.sys
2008-06-14 17:18 --------- d-----w C:\Programme\Spybot - Search & Destroy
2008-06-14 14:49 --------- d-----w C:\Programme\DivX
2008-06-07 10:08 --------- d-----w C:\Programme\Clarke Tech Editor Studio
2008-06-07 10:07 --------- d-----w C:\Programme\Premiere TV Guide 1.0
2008-06-07 10:07 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-06-07 09:49 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software
2008-06-06 18:12 --------- d-----w C:\Programme\Nvu
2008-06-06 18:12 --------- d-----w C:\Programme\KompoZer
2008-05-31 12:13 --------- d-----w C:\Programme\avmwlanstick
2008-05-24 12:38 --------- d-----w C:\Programme\Gemeinsame Dateien\MAGIX Shared
2008-05-24 10:43 --------- d-----w C:\Programme\MAGIX
2008-05-24 10:43 --------- d-----w C:\Dokumente und Einstellungen\rob\Anwendungsdaten\MAGIX
2008-05-24 10:43 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MAGIX
2008-05-10 06:24 --------- d-----w C:\Programme\Easy CD-DA Extractor 7
2008-05-08 16:46 --------- d-----w C:\Programme\iTunes
2008-05-08 16:39 --------- d-----w C:\Programme\Apple Software Update
2008-05-08 16:37 --------- d-----w C:\Programme\iPod
2008-05-08 16:35 --------- d-----w C:\Programme\QuickTime
2008-05-08 14:02 203,136 ----a-w C:\WINDOWS\system32\drivers\rmcast.sys
2008-04-14 05:53 32,866 ------w C:\WINDOWS\slrundll.exe
2008-04-14 05:53 288,768 ----a-w C:\WINDOWS\winhlp32.exe
2008-04-14 05:53 153,600 ----a-w C:\WINDOWS\regedit.exe
2008-04-14 05:52 70,144 ----a-w C:\WINDOWS\notepad.exe
2008-04-14 05:52 50,688 ------w C:\WINDOWS\twain_32.dll
2008-04-14 05:52 10,752 ----a-w C:\WINDOWS\hh.exe
2008-04-14 05:52 1,036,800 ----a-w C:\WINDOWS\explorer.exe
2007-11-18 10:17 185,888 ----a-w C:\Dokumente und Einstellungen\rob\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2005-07-09 01:44 777 ----a-w C:\Programme\trial_setup.ini
2005-07-09 01:44 5,137,920 ----a-w C:\Programme\trial_setup.msi
2005-07-09 01:44 40,448 ----a-w C:\Programme\trial_setup.exe
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{188C905E-00EF-4BB6-BEA0-28B1A89677F7}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{2165BC93-189B-41B7-8CE6-AEB3609C8106}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{21EA21EB-7FB4-4A9F-8875-B34D83A9CEEB}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{279864AC-D88C-42DB-918F-598D81B3A294}]
2007-03-25 11:47 19113 --a------ C:\WINDOWS\system32\dpv1032.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{95a37129-a1ac-4da2-8df6-9d18e8214d43}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{9afb1a8d-398d-4976-946d-dcc552738da3}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{a2b48ec1-f559-4f43-8b22-6d0be3f33b29}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{B89B8384-8A62-48A5-91FD-045EFFDC6514}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{BD966EBB-B605-47A0-94E6-76FC4BCEB8A0}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 07:52 15360]
"TuneUp MemOptimizer"="C:\Programme\TuneUp Utilities 2008\MemOptimizer.exe" [2008-05-17 15:03 154880]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2007-03-12 13:49 153136]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43 2097488]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ezShieldProtector for Px"="C:\WINDOWS\System32\ezSP_Px.exe" [2002-08-20 10:29 40960]
"HPDJ Taskbar Utility"="C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb03.exe" [2001-06-19 14:13 200704]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-10-10 22:49 7286784]
"nwiz"="nwiz.exe" [2005-10-10 22:49 1519616 C:\WINDOWS\system32\nwiz.exe]
"NVMixerTray"="C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe" [2004-06-03 21:51 131072]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2005-10-10 22:49 86016]
"ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" [2006-07-11 12:15 3144800]
"AVMWlanClient"="C:\Programme\avmwlanstick\wlangui.exe" [2007-12-20 01:04 1748992]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2007-03-09 18:53 153136]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-03-30 10:36 267048]
"StorageGuard"="C:\Programme\VERITAS Software\Update Manager\sgtray.exe" [2002-06-18 00:01 155648]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-18 17:03 262401]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2008-04-14 07:52 15360]
"Nokia.PCSync"="C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe" [2008-03-26 18:41 1232896]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\qoMdEULD]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^eBay Toolbar.LNK]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\eBay Toolbar.LNK
backup=C:\WINDOWS\pss\eBay Toolbar.LNKCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PhoneWatch]
C:\Programme\PhoneWatch\fw.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"Skype"="C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
"PC Suite Tray"="C:\Programme\Nokia\Nokia PC Suite 6\PCSuite.exe" -onlytray
"SpybotSD TeaTimer"=C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"ICQ Lite"=C:\Programme\ICQLite\ICQLite.exe -minimize
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" -atboottime
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe"
"Kernel and Hardware Abstraction Layer"=KHALMNPR.EXE
"StorageGuard"="C:\Programme\VERITAS Software\Update Manager\sgtray.exe" /r
"Logitech Hardware Abstraction Layer"="C:\Programme\Gemeinsame Dateien\Logitech\KhalShared\KHALMNPR.EXE"
"EM_EXEC"=C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
"Openwares LiveUpdate"=C:\Program Files\LiveUpdate\LiveUpdate.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\ICQLite\\ICQLite.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\Programme\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"=
"C:\\Programme\\Microsoft Games\\Age of Empires III\\age3.exe"=
"C:\\Programme\\Valve\\Steam\\SteamApps\\robtronic10\\day of defeat source\\hl2.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"C:\\Programme\\MSN Messenger\\livecall.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
"C:\\Programme\\Nero\\Nero 7\\Nero MediaHome\\NeroMediaHome.exe"=
"C:\\Programme\\Nero\\Nero 7\\Nero MediaHome\\NMMediaServer.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\eMule\\eMule.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2008-04-18 17:03]
R1 Asapi;Asapi;C:\WINDOWS\system32\drivers\Asapi.sys [2002-04-17 21:27]
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2008-04-18 17:03]
R1 ui11rdr;ui11rdr;C:\WINDOWS\system32\DRIVERS\ui11rdr.sys [2006-06-30 10:39]
R2 LBeepKE;LBeepKE;C:\WINDOWS\system32\Drivers\LBeepKE.sys [2006-09-01 12:32]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2008-04-14 07:53]
R3 FWLANUSB;AVM FRITZ!WLAN;C:\WINDOWS\system32\DRIVERS\fwlanusb.sys [2007-12-20 01:04]
S2 ACDZone;ArchiCrypt SecureDZone Driver;C:\WINDOWS\system32\drivers\ACDZone.sys []
S2 HidCom;USB-HID -> COM Driver Service;C:\WINDOWS\system32\DRIVERS\HidCom.sys [2001-08-24 04:06]
S3 avmeject;AVM Eject;C:\WINDOWS\system32\drivers\avmeject.sys [2007-12-20 01:04]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;C:\MAGIX\Common\Database\bin\fbserver.exe [2005-11-17 14:18]
S3 IOPort;IOPort;C:\WINDOWS\System32\DRIVERS\IOPORT.SYS [2001-01-30 05:06]
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-06-07 11:49]
S3 UPnPService;UPnPService;C:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe [2006-12-14 16:00]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

.
Inhalt des "geplante Tasks" Ordners
"2008-06-28 09:10:30 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2008\OneClickStarter.exe
"2008-06-18 18:26:01 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-28 11:11:41
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\PSSdk21]
"ImagePath"="\??\C:\WINDOWS\system32\Drivers\HNPsSdk.drv"
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\avmwlanstick\WLanNetService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Sony\vaio media music server\SSSvr.exe
C:\Programme\Sony\photo server 20\appsrv\PicAppSrv.exe
C:\Programme\Gemeinsame Dateien\Sony Shared\vaio media platform\sv_httpd.exe
C:\Programme\Gemeinsame Dateien\Sony Shared\vaio media platform\UPnPFramework.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programme\iPod\bin\iPodService.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-06-28 11:21:51 - machine was rebooted [rob]
ComboFix-quarantined-files.txt 2008-06-28 09:20:58

15 Verzeichnis(se), 30,929,649,664 Bytes frei
18 Verzeichnis(se), 30,902,857,728 Bytes frei

241 --- E O F --- 2008-06-21 10:23:01

**Sunny** · 28.06.2008, 10:37

Dateien Online überprüfen lassen:

Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

lass auch die versteckten Dateien anzeigen!

Zitat:

C:\WINDOWS\system32\dpv1032.dll

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

Scripten mit Combofix

Öffne den Editor ( Start -> Zubehör -> Editor ) kopiere nun folgenden Text in das weiße Feld:

Code:

ATTFilter

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{188C905E-00EF-4BB6-BEA0-28B1A89677F7}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{2165BC93-189B-41B7-8CE6-AEB3609C8106}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{21EA21EB-7FB4-4A9F-8875-B34D83A9CEEB}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{95a37129-a1ac-4da2-8df6-9d18e8214d43}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{9afb1a8d-398d-4976-946d-dcc552738da3}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{a2b48ec1-f559-4f43-8b22-6d0be3f33b29}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{B89B8384-8A62-48A5-91FD-045EFFDC6514}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{BD966EBB-B605-47A0-94E6-76FC4BCEB8A0}]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\qoMdEULD]

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Malwarebytes' Anti-Malware

Lies dir die Entfernungsanleitung durch und lass alles entfernen was gefunden wurde:

Download von Malwarebytes' Anti-Malware

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann

Killvir · 28.06.2008, 12:21

hallo sunny, vielen dank für deine antwort.

unter 1.) die online überprüfung von virustotal
unter 2.) habe ich den markierten text in combofix eingefügt und einen erneuten scan durchgeführt
unter 3.) habe ich mit Malwarebytes nocheinmal gescant, ohne fehler.

ist mein system jetzt clean?

freue mich auf antworten. danke und gruß

1.)
Datei dpv1032.dll empfangen 2008.06.28 12:32:13 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 27/33 (81.82%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 1.
Geschätzte Startzeit is zwischen 37 und 53 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.6.27.1 2008.06.27 Win-AppCare/Stud.9728
AntiVir 7.8.0.59 2008.06.27 ADSPY/Stud.D
Authentium 5.1.0.4 2008.06.27 W32/Adware.IJT
Avast 4.8.1195.0 2008.06.27 Win32:Trojano-3384
AVG 7.5.0.516 2008.06.28 Adware Generic.WNV
BitDefender 7.2 2008.06.28 Adware.Stud.I
CAT-QuickHeal 9.50 2008.06.28 AdWare.Stud.d (Not a Virus)
ClamAV 0.93.1 2008.06.28 Adware.BHO-15
DrWeb 4.44.0.09170 2008.06.28 Adware.Stud
eSafe 7.0.17.0 2008.06.26 Suspicious File
eTrust-Vet 31.6.5911 2008.06.27 -
Ewido 4.0 2008.06.27 Adware.Stud
F-Prot 4.4.4.56 2008.06.27 W32/Adware.IJT
F-Secure 7.60.13501.0 2008.06.26 AdWare.Win32.Stud.d
Fortinet 3.14.0.0 2008.06.28 -
GData 2.0.7306.1023 2008.06.28 Win32:Trojano-3384
Ikarus T3.1.1.26.0 2008.06.28 not-a-virus:AdWare.Win32.Stud.d
Kaspersky 7.0.0.125 2008.06.28 not-a-virus:AdWare.Win32.Stud.d
McAfee 5327 2008.06.27 -
Microsoft 1.3704 2008.06.28 Trojan:Win32/Webprefix
NOD32v2 3224 2008.06.27 Win32/Adware.BHO.AA
Norman 5.80.02 2008.06.27 W32/Stud.Y
Panda 9.0.0.4 2008.06.28 -
Prevx1 V2 2008.06.28 -
Rising 20.50.52.00 2008.06.28 Adware.Win32.Stud.d
Sophos 4.30.0 2008.06.28 MapKon
Sunbelt 3.0.1176.1 2008.06.26 -
Symantec 10 2008.06.28 Adware.Webprefix
TheHacker 6.2.96.362 2008.06.27 Adware/Stud.d
TrendMicro 8.700.0.1004 2008.06.27 PAK_Generic.001
VBA32 3.12.6.8 2008.06.28 AdWare.Win32.Stud.d
VirusBuster 4.5.11.0 2008.06.23 Adware.BHO.EC
Webwasher-Gateway 6.6.2 2008.06.28 Ad-Spyware.Stud.D
weitere Informationen
File size: 19113 bytes
MD5...: c9e20e4d743440f1b0bd9ef466fcc361
SHA1..: dff6b5aff57f101aad72a8a1c20f867152000d4e
SHA256: 80369d15e30f1d1f2e8639042fd04df28986019759da2faff154c1b60130b9c6
SHA512: 9b39943c24e06517c495425ae9ff8387507702a62528402398a0ef46f4e4d3f5
7888a6645b7031b6aeed988d1e5e2f10aaae3f7e94463abb6d3195409239cfb9
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10008a80
timedatestamp.....: 0x45faaabe (Fri Mar 16 14:33:34 2007)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x6000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0x7000 0x2000 0x1e00 7.60 7602b116571ee02784dfe371f9e8bff4
UPX2 0x9000 0x1000 0x400 2.55 0983b93dac030887b8f1b665af2331eb

( 6 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress
> ADVAPI32.dll: RegCloseKey
> ole32.dll: CoCreateGuid
> urlmon.dll: ObtainUserAgentString
> USER32.dll: CharNextA
> WININET.dll: InternetOpenA

( 4 exports )
DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer
packers (Kaspersky): UPX
packers (Authentium): UPX
packers (F-Prot): UPX
packers (Avast): UPX
-------------------------------------------------------------------------
2.)
ComboFix 08-06-20.4 - rob 2008-06-28 12:41:34.3 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.607 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\rob\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\rob\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((( Dateien erstellt von 2008-05-28 bis 2008-06-28 ))))))))))))))))))))))))))))))
.

2008-06-22 17:51 . 2008-04-14 00:15 26,112 --a------ C:\WINDOWS\system32\drivers\usbser.sys
2008-06-22 17:51 . 2008-04-14 00:15 26,112 --a--c--- C:\WINDOWS\system32\dllcache\usbser.sys
2008-06-22 17:51 . 2008-06-22 17:51 0 --ah----- C:\WINDOWS\system32\drivers\MsftWdf_Kernel_01005_Coinstaller_Critical.Wdf
2008-06-22 17:51 . 2008-06-22 17:51 0 --ah----- C:\WINDOWS\system32\drivers\Msft_Kernel_ccdcmb_01005.Wdf
2008-06-19 19:41 . 2007-03-14 19:20 149,040 --a------ C:\WINDOWS\system32\ImageDrive.cpl
2008-06-15 11:58 . 2008-04-13 22:06 144,384 --------- C:\WINDOWS\system32\drivers\hdaudbus.sys
2008-06-15 11:58 . 2008-04-14 00:10 10,240 --------- C:\WINDOWS\system32\drivers\sffp_mmc.sys
2008-06-15 11:56 . 2006-12-29 00:31 19,569 --a------ C:\WINDOWS\005560_.tmp
2008-06-14 21:08 . 2008-06-14 21:08 <DIR> d-------- C:\WINDOWS\Logs
2008-06-14 20:55 . 2008-06-23 17:41 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-06-14 20:55 . 2008-06-14 20:55 <DIR> d-------- C:\Dokumente und Einstellungen\rob\Anwendungsdaten\Malwarebytes
2008-06-14 20:55 . 2008-06-14 20:55 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-06-14 20:55 . 2008-06-19 17:48 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-06-14 20:55 . 2008-06-19 17:47 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-06-14 20:44 . 2008-06-14 20:44 <DIR> d-------- C:\Programme\Trend Micro
2008-06-14 20:09 . 2008-06-14 20:09 26 --a------ C:\WINDOWS\Lic.xxx
2008-06-14 20:08 . 2004-08-04 09:58 153,600 --a------ C:\WINDOWS\R.COM
2008-06-14 20:08 . 2004-08-04 09:58 140,800 --a------ C:\WINDOWS\system32\T.COM
2008-06-12 18:10 . 2008-05-08 16:02 203,136 -----c--- C:\WINDOWS\system32\dllcache\rmcast.sys
2008-06-12 18:06 . 2008-06-14 19:32 273,024 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys
2008-06-12 17:07 . 2008-06-12 17:07 <DIR> d-------- C:\Programme\CCleaner
2008-06-09 19:22 . 2008-06-09 19:21 691,545 --a------ C:\WINDOWS\unins000.exe
2008-06-09 19:22 . 2008-06-09 19:22 2,544 --a------ C:\WINDOWS\unins000.dat
2008-06-07 11:49 . 2008-06-07 11:49 355,584 --a------ C:\WINDOWS\system32\TuneUpDefragService.exe
2008-06-07 11:49 . 2008-05-17 14:56 28,416 --a------ C:\WINDOWS\system32\uxtuneup.dll
2008-06-07 11:48 . 2008-06-07 11:50 <DIR> d-------- C:\Programme\TuneUp Utilities 2008
2008-05-31 14:12 . 2008-05-31 14:12 <DIR> d-------- C:\Programme\AVM_update
2008-05-31 01:23 . 2008-05-31 01:23 8,523 --a------ C:\WINDOWS\system32\dpude.qm

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-18 17:27 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-06-14 17:32 273,024 ------w C:\WINDOWS\system32\drivers\bthport.sys
2008-06-14 17:18 --------- d-----w C:\Programme\Spybot - Search & Destroy
2008-06-14 14:49 --------- d-----w C:\Programme\DivX
2008-06-07 10:08 --------- d-----w C:\Programme\Clarke Tech Editor Studio
2008-06-07 10:07 --------- d-----w C:\Programme\Premiere TV Guide 1.0
2008-06-07 10:07 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-06-07 09:49 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software
2008-06-06 18:12 --------- d-----w C:\Programme\Nvu
2008-06-06 18:12 --------- d-----w C:\Programme\KompoZer
2008-05-31 12:13 --------- d-----w C:\Programme\avmwlanstick
2008-05-30 23:22 823,296 ----a-w C:\WINDOWS\system32\divx_xx0c.dll
2008-05-30 23:22 823,296 ----a-w C:\WINDOWS\system32\divx_xx07.dll
2008-05-30 23:22 815,104 ----a-w C:\WINDOWS\system32\divx_xx0a.dll
2008-05-30 23:22 802,816 ----a-w C:\WINDOWS\system32\divx_xx11.dll
2008-05-30 23:22 683,520 ----a-w C:\WINDOWS\system32\DivX.dll
2008-05-30 23:22 593,920 ----a-w C:\WINDOWS\system32\dpuGUI11.dll
2008-05-30 23:22 57,344 ----a-w C:\WINDOWS\system32\dpv11.dll
2008-05-30 23:22 53,248 ----a-w C:\WINDOWS\system32\dpuGUI10.dll
2008-05-30 23:22 344,064 ----a-w C:\WINDOWS\system32\dpus11.dll
2008-05-30 23:22 294,912 ----a-w C:\WINDOWS\system32\dpu11.dll
2008-05-30 23:22 294,912 ----a-w C:\WINDOWS\system32\dpu10.dll
2008-05-30 12:19 507,400 ----a-w C:\WINDOWS\system32\XAudio2_1.dll
2008-05-30 12:18 238,088 ----a-w C:\WINDOWS\system32\xactengine3_1.dll
2008-05-30 12:17 65,032 ----a-w C:\WINDOWS\system32\XAPOFX1_0.dll
2008-05-30 12:17 25,608 ----a-w C:\WINDOWS\system32\X3DAudio1_4.dll
2008-05-30 12:11 467,984 ----a-w C:\WINDOWS\system32\d3dx10_38.dll
2008-05-30 12:11 3,850,760 ----a-w C:\WINDOWS\system32\D3DX9_38.dll
2008-05-30 12:11 1,491,992 ----a-w C:\WINDOWS\system32\D3DCompiler_38.dll
2008-05-24 12:38 --------- d-----w C:\Programme\Gemeinsame Dateien\MAGIX Shared
2008-05-24 10:43 --------- d-----w C:\Programme\MAGIX
2008-05-24 10:43 --------- d-----w C:\Dokumente und Einstellungen\rob\Anwendungsdaten\MAGIX
2008-05-24 10:43 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MAGIX
2008-05-22 22:22 524,288 ----a-w C:\WINDOWS\system32\DivXsm.exe
2008-05-22 22:22 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll
2008-05-22 22:20 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
2008-05-22 22:20 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
2008-05-22 22:19 81,920 ----a-w C:\WINDOWS\system32\dpl100.dll
2008-05-22 22:19 196,608 ----a-w C:\WINDOWS\system32\dtu100.dll
2008-05-22 22:19 161,096 ----a-w C:\WINDOWS\system32\DivXCodecVersionChecker.exe
2008-05-22 22:18 12,288 ----a-w C:\WINDOWS\system32\DivXWMPExtType.dll
2008-05-10 06:24 --------- d-----w C:\Programme\Easy CD-DA Extractor 7
2008-05-08 16:46 --------- d-----w C:\Programme\iTunes
2008-05-08 16:39 --------- d-----w C:\Programme\Apple Software Update
2008-05-08 16:37 --------- d-----w C:\Programme\iPod
2008-05-08 16:35 --------- d-----w C:\Programme\QuickTime
2008-05-08 14:02 203,136 ----a-w C:\WINDOWS\system32\drivers\rmcast.sys
2008-05-07 05:10 1,293,824 ----a-w C:\WINDOWS\system32\quartz.dll
2008-04-21 06:42 671,744 ----a-w C:\WINDOWS\system32\wininet.dll
2008-04-14 06:06 1,804 ----a-w C:\WINDOWS\system32\dcache.bin
2008-04-14 05:55 333,312 ----a-w C:\WINDOWS\system32\netsetup.exe
2008-04-14 05:52 99,840 ----a-w C:\WINDOWS\system32\loadperf.dll
2008-04-14 05:51 762,368 ----a-w C:\WINDOWS\system32\winntbbu.dll
2008-04-14 05:51 731,648 ----a-w C:\WINDOWS\system32\ntdll.dll
2008-04-14 05:51 57,375 ----a-w C:\WINDOWS\system32\odbcji32.dll
2008-04-14 05:51 5,632 ----a-w C:\WINDOWS\system32\wmi.dll
2008-04-14 05:51 4,126 ----a-w C:\WINDOWS\system32\msdxmlc.dll
2008-04-14 05:30 2,191,360 ----a-w C:\WINDOWS\system32\ntoskrnl.exe
2008-04-14 05:30 2,068,224 ----a-w C:\WINDOWS\system32\ntkrnlpa.exe
2008-04-14 05:29 4,096 ----a-w C:\WINDOWS\system32\dsprpres.dll
2008-04-14 05:27 93,184 ------w C:\WINDOWS\system32\msxml6r.dll
2008-04-14 05:26 81,408 ------w C:\WINDOWS\system32\msshavmsg.dll
2008-04-14 05:26 51,712 ----a-w C:\WINDOWS\system32\inetres.dll
2008-04-14 05:25 572,928 ----a-w C:\WINDOWS\system32\shdoclc.dll
2008-04-14 05:24 10,752 ----a-w C:\WINDOWS\system32\gpkrsrc.dll
2008-04-14 05:23 1,845,760 ----a-w C:\WINDOWS\system32\win32k.sys
2008-04-14 05:22 68,096 ----a-w C:\WINDOWS\system32\browselc.dll
2008-04-14 05:22 57,344 ----a-w C:\WINDOWS\system32\mshtmler.dll
2008-04-14 05:20 103,424 ----a-w C:\WINDOWS\system32\dpcdll.dll
2008-04-13 22:15 17,664 ----a-w C:\WINDOWS\system32\watchdog.sys
2008-04-13 22:10 438,784 ----a-w C:\WINDOWS\system32\xpob2res.dll
2008-04-13 22:06 2,981,888 ----a-w C:\WINDOWS\system32\xpsp2res.dll
2008-04-13 22:05 24,064 ----a-w C:\WINDOWS\system32\pidgen.dll
2008-04-13 22:05 199,680 ----a-w C:\WINDOWS\system32\xpsp1res.dll
2008-04-13 22:01 7,424 ----a-w C:\WINDOWS\system32\kd1394.dll
2008-04-13 22:00 61,440 ----a-w C:\WINDOWS\system32\msvcrt40.dll
2008-04-13 21:07 208,384 ----a-w C:\WINDOWS\system32\rsaenh.dll
2008-04-13 21:07 138,752 ----a-w C:\WINDOWS\system32\dssenh.dll
2008-04-13 20:56 12,288 ----a-w C:\WINDOWS\system32\odbcp32r.dll
2008-04-13 20:56 12,288 ----a-w C:\WINDOWS\system32\mscpx32r.dll
2008-04-13 20:51 733,696 ----a-w C:\WINDOWS\system32\qedwipes.dll
2008-04-13 20:18 1,647,616 ----a-w C:\WINDOWS\system32\winbrand.dll
2008-04-13 20:15 216,064 ----a-w C:\WINDOWS\system32\moricons.dll
2008-04-13 19:53 48,128 ----a-w C:\WINDOWS\system32\msprivs.dll
2008-04-13 19:09 884,736 ----a-w C:\WINDOWS\system32\msimsg.dll
2007-11-18 10:17 185,888 ----a-w C:\Dokumente und Einstellungen\rob\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2005-07-09 01:44 777 ----a-w C:\Programme\trial_setup.ini
2005-07-09 01:44 5,137,920 ----a-w C:\Programme\trial_setup.msi
2005-07-09 01:44 40,448 ----a-w C:\Programme\trial_setup.exe
.

((((((((((((((((((((((((((((( snapshot@2008-06-28_11.20.46.14 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-06-28 09:10:06 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-06-28 10:29:21 2,048 --s-a-w C:\WINDOWS\bootstat.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{279864AC-D88C-42DB-918F-598D81B3A294}]
2007-03-25 11:47 19113 --a------ C:\WINDOWS\system32\dpv1032.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 07:52 15360]
"TuneUp MemOptimizer"="C:\Programme\TuneUp Utilities 2008\MemOptimizer.exe" [2008-05-17 15:03 154880]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2007-03-12 13:49 153136]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43 2097488]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ezShieldProtector for Px"="C:\WINDOWS\System32\ezSP_Px.exe" [2002-08-20 10:29 40960]
"HPDJ Taskbar Utility"="C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb03.exe" [2001-06-19 14:13 200704]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-10-10 22:49 7286784]
"nwiz"="nwiz.exe" [2005-10-10 22:49 1519616 C:\WINDOWS\system32\nwiz.exe]
"NVMixerTray"="C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe" [2004-06-03 21:51 131072]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2005-10-10 22:49 86016]
"ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" [2006-07-11 12:15 3144800]
"AVMWlanClient"="C:\Programme\avmwlanstick\wlangui.exe" [2007-12-20 01:04 1748992]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2007-03-09 18:53 153136]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-03-30 10:36 267048]
"StorageGuard"="C:\Programme\VERITAS Software\Update Manager\sgtray.exe" [2002-06-18 00:01 155648]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-18 17:03 262401]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2008-04-14 07:52 15360]
"Nokia.PCSync"="C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe" [2008-03-26 18:41 1232896]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 01:01:04 83360]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^eBay Toolbar.LNK]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\eBay Toolbar.LNK
backup=C:\WINDOWS\pss\eBay Toolbar.LNKCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PhoneWatch]
C:\Programme\PhoneWatch\fw.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"Skype"="C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
"PC Suite Tray"="C:\Programme\Nokia\Nokia PC Suite 6\PCSuite.exe" -onlytray
"SpybotSD TeaTimer"=C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"ICQ Lite"=C:\Programme\ICQLite\ICQLite.exe -minimize
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" -atboottime
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe"
"Kernel and Hardware Abstraction Layer"=KHALMNPR.EXE
"StorageGuard"="C:\Programme\VERITAS Software\Update Manager\sgtray.exe" /r
"Logitech Hardware Abstraction Layer"="C:\Programme\Gemeinsame Dateien\Logitech\KhalShared\KHALMNPR.EXE"
"EM_EXEC"=C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
"Openwares LiveUpdate"=C:\Program Files\LiveUpdate\LiveUpdate.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\ICQLite\\ICQLite.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\Programme\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"=
"C:\\Programme\\Microsoft Games\\Age of Empires III\\age3.exe"=
"C:\\Programme\\Valve\\Steam\\SteamApps\\robtronic10\\day of defeat source\\hl2.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"C:\\Programme\\MSN Messenger\\livecall.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
"C:\\Programme\\Nero\\Nero 7\\Nero MediaHome\\NeroMediaHome.exe"=
"C:\\Programme\\Nero\\Nero 7\\Nero MediaHome\\NMMediaServer.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\eMule\\eMule.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2008-04-18 17:03]
R1 Asapi;Asapi;C:\WINDOWS\system32\drivers\Asapi.sys [2002-04-17 21:27]
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2008-04-18 17:03]
R1 ui11rdr;ui11rdr;C:\WINDOWS\system32\DRIVERS\ui11rdr.sys [2006-06-30 10:39]
R2 LBeepKE;LBeepKE;C:\WINDOWS\system32\Drivers\LBeepKE.sys [2006-09-01 12:32]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2008-04-14 07:53]
R3 FWLANUSB;AVM FRITZ!WLAN;C:\WINDOWS\system32\DRIVERS\fwlanusb.sys [2007-12-20 01:04]
S2 ACDZone;ArchiCrypt SecureDZone Driver;C:\WINDOWS\system32\drivers\ACDZone.sys []
S2 HidCom;USB-HID -> COM Driver Service;C:\WINDOWS\system32\DRIVERS\HidCom.sys [2001-08-24 04:06]
S3 avmeject;AVM Eject;C:\WINDOWS\system32\drivers\avmeject.sys [2007-12-20 01:04]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;C:\MAGIX\Common\Database\bin\fbserver.exe [2005-11-17 14:18]
S3 IOPort;IOPort;C:\WINDOWS\System32\DRIVERS\IOPORT.SYS [2001-01-30 05:06]
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-06-07 11:49]
S3 UPnPService;UPnPService;C:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe [2006-12-14 16:00]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

*Newly Created Service* - CATCHME
.
Inhalt des "geplante Tasks" Ordners
"2008-06-28 10:29:35 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2008\OneClickStarter.exe
"2008-06-18 18:26:01 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-28 12:44:40
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\PSSdk21]
"ImagePath"="\??\C:\WINDOWS\system32\Drivers\HNPsSdk.drv"
.
Zeit der Fertigstellung: 2008-06-28 12:51:01
ComboFix-quarantined-files.txt 2008-06-28 10:50:45
ComboFix2.txt 2008-06-28 09:21:54

15 Verzeichnis(se), 30,868,996,096 Bytes frei
18 Verzeichnis(se), 30,856,323,072 Bytes frei

241 --- E O F --- 2008-06-21 10:23:01
--------------------------------------------------------------------------
3.)
Malwarebytes' Anti-Malware 1.18
Datenbank Version: 882

13:11:50 28.06.2008
mbam-log-6-28-2008 (13-11-50).txt

Scan Art: Schnell Scan
Objekte gescannt: 39811
Scan Dauer: 4 minute(s), 52 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine Malware Objekte gefunden)

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
(Keine Malware Objekte gefunden)

**Sunny** · 28.06.2008, 12:32

Scripten mit Combofix

Öffne den Editor ( Start -> Zubehör -> Editor ) kopiere nun folgenden Text in das weiße Feld:

Code:

ATTFilter

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{279864AC-D88C-42DB-918F-598D81B3A294}]


FILE::
C:\WINDOWS\system32\dpv1032.dll

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann

Combofix Deinstallieren

Klick auf Start -> Ausführen -> eintippen combofix /U

Damit ist Combofix und alle weiteren Programme entfernt wurden.

Bestehen im Anschluss keine Probleme mehr mit dem System sollte wohl alles wieder clean sein.

Killvir · 28.06.2008, 13:42

hallo sunny. vielen dank für die schnelle antwort. ich habe wie beschrieben die combofix nocheinmal drüberlaufen lassen. anbei der logbericht:

ComboFix 08-06-20.4 - rob 2008-06-28 13:41:47.4 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.613 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\rob\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\rob\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

FILE ::
C:\WINDOWS\system32\dpv1032.dll
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\dpv1032.dll

.
((((((((((((((((((((((( Dateien erstellt von 2008-05-28 bis 2008-06-28 ))))))))))))))))))))))))))))))
.

2008-06-22 17:51 . 2008-04-14 00:15 26,112 --a------ C:\WINDOWS\system32\drivers\usbser.sys
2008-06-22 17:51 . 2008-04-14 00:15 26,112 --a--c--- C:\WINDOWS\system32\dllcache\usbser.sys
2008-06-22 17:51 . 2008-06-22 17:51 0 --ah----- C:\WINDOWS\system32\drivers\MsftWdf_Kernel_01005_Coinstaller_Critical.Wdf
2008-06-22 17:51 . 2008-06-22 17:51 0 --ah----- C:\WINDOWS\system32\drivers\Msft_Kernel_ccdcmb_01005.Wdf
2008-06-19 19:41 . 2007-03-14 19:20 149,040 --a------ C:\WINDOWS\system32\ImageDrive.cpl
2008-06-15 11:58 . 2008-04-13 22:06 144,384 --------- C:\WINDOWS\system32\drivers\hdaudbus.sys
2008-06-15 11:58 . 2008-04-14 00:10 10,240 --------- C:\WINDOWS\system32\drivers\sffp_mmc.sys
2008-06-15 11:56 . 2006-12-29 00:31 19,569 --a------ C:\WINDOWS\005560_.tmp
2008-06-14 21:08 . 2008-06-14 21:08 <DIR> d-------- C:\WINDOWS\Logs
2008-06-14 20:55 . 2008-06-23 17:41 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-06-14 20:55 . 2008-06-14 20:55 <DIR> d-------- C:\Dokumente und Einstellungen\rob\Anwendungsdaten\Malwarebytes
2008-06-14 20:55 . 2008-06-14 20:55 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-06-14 20:55 . 2008-06-19 17:48 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-06-14 20:55 . 2008-06-19 17:47 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-06-14 20:44 . 2008-06-14 20:44 <DIR> d-------- C:\Programme\Trend Micro
2008-06-14 20:09 . 2008-06-14 20:09 26 --a------ C:\WINDOWS\Lic.xxx
2008-06-14 20:08 . 2004-08-04 09:58 153,600 --a------ C:\WINDOWS\R.COM
2008-06-14 20:08 . 2004-08-04 09:58 140,800 --a------ C:\WINDOWS\system32\T.COM
2008-06-12 18:10 . 2008-05-08 16:02 203,136 -----c--- C:\WINDOWS\system32\dllcache\rmcast.sys
2008-06-12 18:06 . 2008-06-14 19:32 273,024 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys
2008-06-12 17:07 . 2008-06-12 17:07 <DIR> d-------- C:\Programme\CCleaner
2008-06-09 19:22 . 2008-06-09 19:21 691,545 --a------ C:\WINDOWS\unins000.exe
2008-06-09 19:22 . 2008-06-09 19:22 2,544 --a------ C:\WINDOWS\unins000.dat
2008-06-07 11:49 . 2008-06-07 11:49 355,584 --a------ C:\WINDOWS\system32\TuneUpDefragService.exe
2008-06-07 11:49 . 2008-05-17 14:56 28,416 --a------ C:\WINDOWS\system32\uxtuneup.dll
2008-06-07 11:48 . 2008-06-07 11:50 <DIR> d-------- C:\Programme\TuneUp Utilities 2008
2008-05-31 14:12 . 2008-05-31 14:12 <DIR> d-------- C:\Programme\AVM_update
2008-05-31 01:23 . 2008-05-31 01:23 8,523 --a------ C:\WINDOWS\system32\dpude.qm

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-18 17:27 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-06-14 17:32 273,024 ------w C:\WINDOWS\system32\drivers\bthport.sys
2008-06-14 17:18 --------- d-----w C:\Programme\Spybot - Search & Destroy
2008-06-14 14:49 --------- d-----w C:\Programme\DivX
2008-06-07 10:08 --------- d-----w C:\Programme\Clarke Tech Editor Studio
2008-06-07 10:07 --------- d-----w C:\Programme\Premiere TV Guide 1.0
2008-06-07 10:07 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-06-07 09:49 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software
2008-06-06 18:12 --------- d-----w C:\Programme\Nvu
2008-06-06 18:12 --------- d-----w C:\Programme\KompoZer
2008-05-31 12:13 --------- d-----w C:\Programme\avmwlanstick
2008-05-30 23:22 823,296 ----a-w C:\WINDOWS\system32\divx_xx0c.dll
2008-05-30 23:22 823,296 ----a-w C:\WINDOWS\system32\divx_xx07.dll
2008-05-30 23:22 815,104 ----a-w C:\WINDOWS\system32\divx_xx0a.dll
2008-05-30 23:22 802,816 ----a-w C:\WINDOWS\system32\divx_xx11.dll
2008-05-30 23:22 683,520 ----a-w C:\WINDOWS\system32\DivX.dll
2008-05-30 23:22 593,920 ----a-w C:\WINDOWS\system32\dpuGUI11.dll
2008-05-30 23:22 57,344 ----a-w C:\WINDOWS\system32\dpv11.dll
2008-05-30 23:22 53,248 ----a-w C:\WINDOWS\system32\dpuGUI10.dll
2008-05-30 23:22 344,064 ----a-w C:\WINDOWS\system32\dpus11.dll
2008-05-30 23:22 294,912 ----a-w C:\WINDOWS\system32\dpu11.dll
2008-05-30 23:22 294,912 ----a-w C:\WINDOWS\system32\dpu10.dll
2008-05-30 12:19 507,400 ----a-w C:\WINDOWS\system32\XAudio2_1.dll
2008-05-30 12:18 238,088 ----a-w C:\WINDOWS\system32\xactengine3_1.dll
2008-05-30 12:17 65,032 ----a-w C:\WINDOWS\system32\XAPOFX1_0.dll
2008-05-30 12:17 25,608 ----a-w C:\WINDOWS\system32\X3DAudio1_4.dll
2008-05-30 12:11 467,984 ----a-w C:\WINDOWS\system32\d3dx10_38.dll
2008-05-30 12:11 3,850,760 ----a-w C:\WINDOWS\system32\D3DX9_38.dll
2008-05-30 12:11 1,491,992 ----a-w C:\WINDOWS\system32\D3DCompiler_38.dll
2008-05-24 12:38 --------- d-----w C:\Programme\Gemeinsame Dateien\MAGIX Shared
2008-05-24 10:43 --------- d-----w C:\Programme\MAGIX
2008-05-24 10:43 --------- d-----w C:\Dokumente und Einstellungen\rob\Anwendungsdaten\MAGIX
2008-05-24 10:43 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MAGIX
2008-05-22 22:22 524,288 ----a-w C:\WINDOWS\system32\DivXsm.exe
2008-05-22 22:22 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll
2008-05-22 22:20 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
2008-05-22 22:20 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
2008-05-22 22:19 81,920 ----a-w C:\WINDOWS\system32\dpl100.dll
2008-05-22 22:19 196,608 ----a-w C:\WINDOWS\system32\dtu100.dll
2008-05-22 22:19 161,096 ----a-w C:\WINDOWS\system32\DivXCodecVersionChecker.exe
2008-05-22 22:18 12,288 ----a-w C:\WINDOWS\system32\DivXWMPExtType.dll
2008-05-10 06:24 --------- d-----w C:\Programme\Easy CD-DA Extractor 7
2008-05-08 16:46 --------- d-----w C:\Programme\iTunes
2008-05-08 16:39 --------- d-----w C:\Programme\Apple Software Update
2008-05-08 16:37 --------- d-----w C:\Programme\iPod
2008-05-08 16:35 --------- d-----w C:\Programme\QuickTime
2008-05-08 14:02 203,136 ----a-w C:\WINDOWS\system32\drivers\rmcast.sys
2008-05-07 05:10 1,293,824 ----a-w C:\WINDOWS\system32\quartz.dll
2008-04-21 06:42 671,744 ----a-w C:\WINDOWS\system32\wininet.dll
2008-04-14 06:06 1,804 ----a-w C:\WINDOWS\system32\dcache.bin
2008-04-14 05:55 333,312 ----a-w C:\WINDOWS\system32\netsetup.exe
2008-04-14 05:52 99,840 ----a-w C:\WINDOWS\system32\loadperf.dll
2008-04-14 05:51 762,368 ----a-w C:\WINDOWS\system32\winntbbu.dll
2008-04-14 05:51 731,648 ----a-w C:\WINDOWS\system32\ntdll.dll
2008-04-14 05:51 57,375 ----a-w C:\WINDOWS\system32\odbcji32.dll
2008-04-14 05:51 5,632 ----a-w C:\WINDOWS\system32\wmi.dll
2008-04-14 05:51 4,126 ----a-w C:\WINDOWS\system32\msdxmlc.dll
2008-04-14 05:30 2,191,360 ----a-w C:\WINDOWS\system32\ntoskrnl.exe
2008-04-14 05:30 2,068,224 ----a-w C:\WINDOWS\system32\ntkrnlpa.exe
2008-04-14 05:29 4,096 ----a-w C:\WINDOWS\system32\dsprpres.dll
2008-04-14 05:27 93,184 ------w C:\WINDOWS\system32\msxml6r.dll
2008-04-14 05:26 81,408 ------w C:\WINDOWS\system32\msshavmsg.dll
2008-04-14 05:26 51,712 ----a-w C:\WINDOWS\system32\inetres.dll
2008-04-14 05:25 572,928 ----a-w C:\WINDOWS\system32\shdoclc.dll
2008-04-14 05:24 10,752 ----a-w C:\WINDOWS\system32\gpkrsrc.dll
2008-04-14 05:23 1,845,760 ----a-w C:\WINDOWS\system32\win32k.sys
2008-04-14 05:22 68,096 ----a-w C:\WINDOWS\system32\browselc.dll
2008-04-14 05:22 57,344 ----a-w C:\WINDOWS\system32\mshtmler.dll
2008-04-14 05:20 103,424 ----a-w C:\WINDOWS\system32\dpcdll.dll
2008-04-13 22:15 17,664 ----a-w C:\WINDOWS\system32\watchdog.sys
2008-04-13 22:10 438,784 ----a-w C:\WINDOWS\system32\xpob2res.dll
2008-04-13 22:06 2,981,888 ----a-w C:\WINDOWS\system32\xpsp2res.dll
2008-04-13 22:05 24,064 ----a-w C:\WINDOWS\system32\pidgen.dll
2008-04-13 22:05 199,680 ----a-w C:\WINDOWS\system32\xpsp1res.dll
2008-04-13 22:01 7,424 ----a-w C:\WINDOWS\system32\kd1394.dll
2008-04-13 22:00 61,440 ----a-w C:\WINDOWS\system32\msvcrt40.dll
2008-04-13 21:07 208,384 ----a-w C:\WINDOWS\system32\rsaenh.dll
2008-04-13 21:07 138,752 ----a-w C:\WINDOWS\system32\dssenh.dll
2008-04-13 20:56 12,288 ----a-w C:\WINDOWS\system32\odbcp32r.dll
2008-04-13 20:56 12,288 ----a-w C:\WINDOWS\system32\mscpx32r.dll
2008-04-13 20:51 733,696 ----a-w C:\WINDOWS\system32\qedwipes.dll
2008-04-13 20:18 1,647,616 ----a-w C:\WINDOWS\system32\winbrand.dll
2008-04-13 20:15 216,064 ----a-w C:\WINDOWS\system32\moricons.dll
2008-04-13 19:53 48,128 ----a-w C:\WINDOWS\system32\msprivs.dll
2008-04-13 19:09 884,736 ----a-w C:\WINDOWS\system32\msimsg.dll
2007-11-18 10:17 185,888 ----a-w C:\Dokumente und Einstellungen\rob\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2005-07-09 01:44 777 ----a-w C:\Programme\trial_setup.ini
2005-07-09 01:44 5,137,920 ----a-w C:\Programme\trial_setup.msi
2005-07-09 01:44 40,448 ----a-w C:\Programme\trial_setup.exe
.

((((((((((((((((((((((((((((( snapshot@2008-06-28_11.20.46.14 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-06-28 09:10:06 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-06-28 11:00:55 2,048 --s-a-w C:\WINDOWS\bootstat.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 07:52 15360]
"TuneUp MemOptimizer"="C:\Programme\TuneUp Utilities 2008\MemOptimizer.exe" [2008-05-17 15:03 154880]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2007-03-12 13:49 153136]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43 2097488]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ezShieldProtector for Px"="C:\WINDOWS\System32\ezSP_Px.exe" [2002-08-20 10:29 40960]
"HPDJ Taskbar Utility"="C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb03.exe" [2001-06-19 14:13 200704]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-10-10 22:49 7286784]
"nwiz"="nwiz.exe" [2005-10-10 22:49 1519616 C:\WINDOWS\system32\nwiz.exe]
"NVMixerTray"="C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe" [2004-06-03 21:51 131072]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2005-10-10 22:49 86016]
"ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" [2006-07-11 12:15 3144800]
"AVMWlanClient"="C:\Programme\avmwlanstick\wlangui.exe" [2007-12-20 01:04 1748992]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2007-03-09 18:53 153136]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-03-30 10:36 267048]
"StorageGuard"="C:\Programme\VERITAS Software\Update Manager\sgtray.exe" [2002-06-18 00:01 155648]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-18 17:03 262401]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2008-04-14 07:52 15360]
"Nokia.PCSync"="C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe" [2008-03-26 18:41 1232896]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 01:01:04 83360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\qoMdEULD]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^eBay Toolbar.LNK]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\eBay Toolbar.LNK
backup=C:\WINDOWS\pss\eBay Toolbar.LNKCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PhoneWatch]
C:\Programme\PhoneWatch\fw.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"Skype"="C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
"PC Suite Tray"="C:\Programme\Nokia\Nokia PC Suite 6\PCSuite.exe" -onlytray
"SpybotSD TeaTimer"=C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"ICQ Lite"=C:\Programme\ICQLite\ICQLite.exe -minimize
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" -atboottime
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe"
"Kernel and Hardware Abstraction Layer"=KHALMNPR.EXE
"StorageGuard"="C:\Programme\VERITAS Software\Update Manager\sgtray.exe" /r
"Logitech Hardware Abstraction Layer"="C:\Programme\Gemeinsame Dateien\Logitech\KhalShared\KHALMNPR.EXE"
"EM_EXEC"=C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
"Openwares LiveUpdate"=C:\Program Files\LiveUpdate\LiveUpdate.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\ICQLite\\ICQLite.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\Programme\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"=
"C:\\Programme\\Microsoft Games\\Age of Empires III\\age3.exe"=
"C:\\Programme\\Valve\\Steam\\SteamApps\\robtronic10\\day of defeat source\\hl2.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"C:\\Programme\\MSN Messenger\\livecall.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
"C:\\Programme\\Nero\\Nero 7\\Nero MediaHome\\NeroMediaHome.exe"=
"C:\\Programme\\Nero\\Nero 7\\Nero MediaHome\\NMMediaServer.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\eMule\\eMule.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2008-04-18 17:03]
R1 Asapi;Asapi;C:\WINDOWS\system32\drivers\Asapi.sys [2002-04-17 21:27]
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2008-04-18 17:03]
R1 ui11rdr;ui11rdr;C:\WINDOWS\system32\DRIVERS\ui11rdr.sys [2006-06-30 10:39]
R2 LBeepKE;LBeepKE;C:\WINDOWS\system32\Drivers\LBeepKE.sys [2006-09-01 12:32]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2008-04-14 07:53]
R3 FWLANUSB;AVM FRITZ!WLAN;C:\WINDOWS\system32\DRIVERS\fwlanusb.sys [2007-12-20 01:04]
S2 ACDZone;ArchiCrypt SecureDZone Driver;C:\WINDOWS\system32\drivers\ACDZone.sys []
S2 HidCom;USB-HID -> COM Driver Service;C:\WINDOWS\system32\DRIVERS\HidCom.sys [2001-08-24 04:06]
S3 avmeject;AVM Eject;C:\WINDOWS\system32\drivers\avmeject.sys [2007-12-20 01:04]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;C:\MAGIX\Common\Database\bin\fbserver.exe [2005-11-17 14:18]
S3 IOPort;IOPort;C:\WINDOWS\System32\DRIVERS\IOPORT.SYS [2001-01-30 05:06]
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-06-07 11:49]
S3 UPnPService;UPnPService;C:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe [2006-12-14 16:00]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

.
Inhalt des "geplante Tasks" Ordners
"2008-06-28 11:02:32 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2008\OneClickStarter.exe
"2008-06-18 18:26:01 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://***.gmer.net
Rootkit scan 2008-06-28 13:44:42
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\PSSdk21]
"ImagePath"="\??\C:\WINDOWS\system32\Drivers\HNPsSdk.drv"
.
Zeit der Fertigstellung: 2008-06-28 13:51:06
ComboFix-quarantined-files.txt 2008-06-28 11:50:40
ComboFix2.txt 2008-06-28 10:51:04
ComboFix3.txt 2008-06-28 09:21:54

15 Verzeichnis(se), 30,829,240,320 Bytes frei
18 Verzeichnis(se), 30,814,748,672 Bytes frei

246 --- E O F --- 2008-06-21 10:23:01

-------------------------------------------------------------------------

bei dem von mir rot markierten text, bitte um auskunft warum hier noch ein eintrag vorhanden ist, obwohl das programm seit ewigen zeiten nicht mehr installiert ist.
sbyboot meldet bei jedem programmstart:

* autocheck autochk/p\??\J:autocheck auto... als Änderung "Wert gelöscht"
* ExecuteFromKnownDlls als Wert gelöscht
* C:\Programme\ICQLite\ICQLite.exe-trayboot
da ich nicht weiß um was es sich hier handelt habe ich immer auf "verweigern" gelickt. kann mir bitte jemand sagen, was es damit auf sich hat und was ich gegen diese nervigen meldungen tun kann.

vielen, vielen dank und ein schönes wochenende.

TR Monder 97792.1 / 91136.10 und Vundo.Gen hartnäckig! Bitte Hilfe!

Log-Analyse und Auswertung: TR Monder 97792.1 / 91136.10 und Vundo.Gen hartnäckig! Bitte Hilfe!