Hallo,

von gestern auf heute habe ich gewisse Probleme mit meinem PC und ich vermute ein Trojaner o.ä. dahinter.

Folgendes trat auf:

=> Internetexplorer startet selten (bisher 2 mal) von alleine und zeigt Werbung an
=> Internetzugang mit Firefox nur noch begrenzt möglich (Das was im Cache ist geht, der Rest nicht)

Ich dachte schon es läge an meiner Internetverbindung, allerdings hat meine Schwester an ihrem PC keine Probleme.

Sobald ich per Taskmanager die explorer.exe kille, geht der Firefox auch wieder.

//edit: Das HijackThis Log habe ich hiernach erstellt: http://www.trojaner-board.de/51130-a...ijackthis.html

Hier mein HijackThis LogFile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:30:34, on 09.07.2008
Platform: Windows XP SP3, v.3264 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.3264)
Boot mode: Normal

Running processes:
I:\WINDOWS\System32\smss.exe
I:\WINDOWS\system32\winlogon.exe
I:\WINDOWS\system32\services.exe
I:\WINDOWS\system32\lsass.exe
I:\WINDOWS\system32\Ati2evxx.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\system32\Ati2evxx.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\system32\spoolsv.exe
I:\WINDOWS\System32\svchost.exe
I:\WINDOWS\system32\lkcitdl.exe
I:\WINDOWS\system32\lkads.exe
I:\WINDOWS\system32\lktsrv.exe
I:\WINDOWS\system32\lvhidsvc.exe
I:\Programme\National Instruments\Shared\Security\nidmsrv.exe
I:\WINDOWS\system32\nisvcloc.exe
I:\Programme\Eset\nod32krn.exe
I:\WINDOWS\system32\oodag.exe
I:\WINDOWS\system32\svchost.exe
I:\Programme\TortoiseSVN\bin\TSVNCache.exe
I:\Programme\Creative\Sound Blaster X-Fi\DVDAudio\CTDVDDET.EXE
I:\Programme\Creative\Shared Files\Module Loader\DLLML.exe
I:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanel.exe
I:\WINDOWS\CTHELPER.EXE
I:\WINDOWS\system32\CTXFIHLP.EXE
I:\Programme\Eset\nod32kui.exe
I:\WINDOWS\system32\rundll32.exe
I:\WINDOWS\SYSTEM32\CTXFISPI.EXE
I:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
I:\WINDOWS\system32\rundll32.exe
I:\WINDOWS\system32\Rundll32.exe
I:\WINDOWS\system32\ctfmon.exe
I:\Programme\DAEMON Tools\daemon.exe
I:\Programme\Microsoft ActiveSync\wcescomm.exe
I:\Programme\SlySoft\AnyDVD\AnyDVD.exe
I:\Programme\Windows Live\Messenger\MsnMsgr.Exe
I:\Programme\AceBIT\WISE-FTP 5\wf_tp.exe
I:\PROGRA~1\MICROS~4\rapimgr.exe
I:\Programme\Creative\ShareDLL\CADI\NotiMan.exe
I:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
I:\Dokumente und Einstellungen\XXX\Desktop\putty.exe
I:\WINDOWS\explorer.exe
I:\Programme\Mozilla Firefox 3 Beta 2\firefox.exe
I:\WINDOWS\explorer.exe
I:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://suche.klicktel.de
O2 - BHO: (no name) - {427B37EF-B6C5-4823-A97C-10B88977E398} - I:\WINDOWS\system32\wvUlLfeE.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - I:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: amazon - {84B94901-3645-4D80-A6B7-4D0050B19455} - I:\Programme\teXXas\IEButtonAmazonInterface.dll
O2 - BHO: {54594de1-60c0-738b-5f54-11dffd14d019} - {910d41df-fd11-45f5-b837-0c061ed49545} - I:\WINDOWS\system32\thssqb.dll
O2 - BHO: (no name) - {923A4124-9B59-4343-8E7B-85392AE89C61} - I:\WINDOWS\system32\urqOGXrO.dll
O2 - BHO: eBay - {CD9B7762-DFBC-42B1-BB30-02A78287B456} - I:\Programme\teXXas\IEButtonEbayInterface.dll
O4 - HKLM\..\Run: [CTDVDDET] "I:\Programme\Creative\Sound Blaster X-Fi\DVDAudio\CTDVDDET.EXE"
O4 - HKLM\..\Run: [RCSystem] "I:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" RCSystem * -Startup
O4 - HKLM\..\Run: [AudioDrvEmulator] "I:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" -1 AudioDrvEmulator "I:\Programme\Creative\Shared Files\Module Loader\Audio Emulator\AudDrvEm.dll"
O4 - HKLM\..\Run: [VolPanel] "I:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanel.exe" /r
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [nod32kui] "I:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [StartCCC] "I:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [NI Background Service] I:\Programme\National Instruments\Shared\Update Service\BackgroundService.exe
O4 - HKLM\..\Run: [BMbb6e79e6] Rundll32.exe "I:\WINDOWS\system32\qkmleful.dll",s
O4 - HKLM\..\Run: [38fb8835] rundll32.exe "I:\WINDOWS\system32\qhpjfihf.dll",b
O4 - HKCU\..\Run: [CTFMON.EXE] I:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools] "I:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [H/PC Connection Agent] "I:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [AnyDVD] I:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKCU\..\Run: [MsnMsgr] "I:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [WISE-FTP Task Planner] "I:\Programme\AceBIT\WISE-FTP 5\wf_tp.exe" /bg
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] I:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] I:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] I:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] I:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'Default user')
O4 - Startup: hamachi.lnk = C:\Tools\Hamachi\hamachi.exe
O8 - Extra context menu item: amazon Suche - I:\Programme\teXXas\Searchamazon.htm
O8 - Extra context menu item: amazon Suche starten - I:\Programme\teXXas\Searchamazon.htm
O8 - Extra context menu item: eBay - Mein eBay - I:\Programme\teXXas\SearchEbaymein.htm
O8 - Extra context menu item: eBay - Powersuche - I:\Programme\teXXas\SearchEbaypower.htm
O8 - Extra context menu item: eBay - Startseite - I:\Programme\teXXas\SearchEbay.htm
O8 - Extra context menu item: eBay Suche starten - I:\Programme\teXXas\SearchEbay.htm
O8 - Extra context menu item: Google Suche - I:\Programme\teXXas\SearchGoogle.htm
O8 - Extra context menu item: Google Suche starten - I:\Programme\teXXas\SearchGoogle.htm
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\Tools\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - I:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - I:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - I:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - I:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - I:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Tools\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - I:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - I:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - I:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - I:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: i:\windows\system32\nwprovau.dll
O20 - Winlogon Notify: wvUlLfeE - I:\WINDOWS\SYSTEM32\wvUlLfeE.dll
O23 - Service: Adobe LM Service - Adobe Systems - I:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - I:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - I:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - I:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Lookout Citadel Server (LkCitadelServer) - National Instruments, Inc. - I:\WINDOWS\system32\lkcitdl.exe
O23 - Service: National Instruments PSP Server Locator (lkClassAds) - National Instruments Corporation - I:\WINDOWS\system32\lkads.exe
O23 - Service: National Instruments Time Synchronization (lkTimeSync) - National Instruments Corporation - I:\WINDOWS\system32\lktsrv.exe
O23 - Service: Remote HID Service (LvHidSvc) - Animation Technologies Inc. - I:\WINDOWS\system32\lvhidsvc.exe
O23 - Service: National Instruments Domain Service (NIDomainService) - National Instruments Corporation - I:\Programme\National Instruments\Shared\Security\nidmsrv.exe
O23 - Service: NILM License Manager - Macrovision Corporation - I:\Programme\National Instruments\Shared\License Manager\Bin\lmgrd.exe
O23 - Service: NI Service Locator (niSvcLoc) - National Instruments Corp. - I:\WINDOWS\system32\nisvcloc.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - I:\Programme\Eset\nod32krn.exe
O23 - Service: O&O Defrag - O&O Software GmbH - I:\WINDOWS\system32\oodag.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - I:\Programme\WinPcap\rpcapd.exe

--
End of file - 9487 bytes

Ich hoffe ihr könnt mir helfen. Danke schonmal im vorraus.

Hi,

das mit dem Werbepopups ist schon ein recht eindeutiger Hinweis auf Malware

Lade dir bitte mal Malwarebytes herunter, lasse es durchlaufen und alles was es findet entfernen.
Poste das Log danach hier.Dann hätte ich gern ein Log mit Deckard's System Scanner:

• Lade dir DSS
• Schließe alle Anwendungen und führe DSS.exe dann mit einem Doppelklick aus
• Führe während DSS arbeitet bitte keine anderen Aktionen durch
• Am Ende öffnen sich 2 Datein main.txt und extra.txt
• Poste den Inhalt beider Dateien hier

Danach sehen wir dann weiter

lg myrtille

Danke für die schnelle Hilfe.

Malwarebytes hat 28 infizierte Objekte gefunden, hier das Log:

Zitat:

Malwarebytes' Anti-Malware 1.20
Datenbank Version: 933
Windows 5.1.2600 Service Pack 3, v.3264

11:08:13 09.07.2008
mbam-log-7-9-2008 (11-08-13).txt

Scan Art: Komplett Scan (C:\|I:\|O:\|)
Objekte gescannt: 178527
Scan Dauer: 27 minute(s), 49 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 3
Infizierte Registrierungsschlüssel: 10
Infizierte Registrierungswerte: 3
Infizierte Datei Objekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 16

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
I:\WINDOWS\system32\qhpjfihf.dll (Trojan.Vundo) -> Unloaded module successfully.
I:\WINDOWS\system32\urqOGXrO.dll (Trojan.Vundo) -> Unloaded module successfully.
I:\WINDOWS\system32\wvUlLfeE.dll (Trojan.Vundo) -> Unloaded module successfully.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{923a4124-9b59-4343-8e7b-85392ae89c61} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{923a4124-9b59-4343-8e7b-85392ae89c61} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{427b37ef-b6c5-4823-a97c-10b88977e398} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{427b37ef-b6c5-4823-a97c-10b88977e398} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wvullfee (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{fd6f1de8-e2b0-41bd-9867-c9b447fed594} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\38fb8835 (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{427b37ef-b6c5-4823-a97c-10b88977e398} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\bmbb6e79e6 (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Datei Objekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo) -> Data: i:\windows\system32\urqogxro -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: i:\windows\system32\urqogxro -> Delete on reboot.

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
I:\WINDOWS\system32\urqOGXrO.dll (Trojan.Vundo) -> Delete on reboot.
I:\WINDOWS\system32\OrXGOqru.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
I:\WINDOWS\system32\OrXGOqru.ini2 (Trojan.Vundo) -> Quarantined and deleted successfully.
I:\WINDOWS\system32\edfebqrg.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
I:\WINDOWS\system32\grqbefde.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
I:\WINDOWS\system32\iqvaideu.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
I:\WINDOWS\system32\uediavqi.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
I:\WINDOWS\system32\uediavqi.ini2 (Trojan.Vundo) -> Quarantined and deleted successfully.
I:\WINDOWS\system32\itvntuqp.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
I:\WINDOWS\system32\pqutnvti.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
I:\WINDOWS\system32\qhpjfihf.dll (Trojan.Vundo) -> Delete on reboot.
I:\WINDOWS\system32\fhifjphq.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
I:\WINDOWS\system32\wwjyshvj.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
I:\WINDOWS\system32\jvhsyjww.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
I:\WINDOWS\system32\wvUlLfeE.dll (Trojan.Vundo) -> Delete on reboot.
I:\WINDOWS\system32\qkmleful.dll (Trojan.Agent) -> Delete on reboot.

Leider ist die Logs zu lang für den Beitrag (>25000 Zeichen)

Die Logs passen weder in den Beitrag, noch als Anhang, dafür sind die *.txt-Dateien zu groß.

ich lade sie extern hoch.

//edit: hier:

main.txt
extra.txt

Woho Da ist aber noch einiges am Start.

Lad dir bitte combofix herunter und führe es aus.
Unternimm während Combofix läuft nichts, poste im Anschluss den Bericht hier.

lg myrtille

Hört sich nicht gut an

Hier das Log:

ComboFix 08-07-08.5 - Daniel 2008-07-09 13:41:00.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.581 [GMT 2:00]
ausgeführt von:: I:\Dokumente und Einstellungen\Daniel\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
* Resident AV is active


WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

I:\WINDOWS\BMbb6e79e6.txt
I:\WINDOWS\pskt.ini
I:\WINDOWS\system32\acytyfag.dll
I:\WINDOWS\system32\anjfxdvr.dll
I:\WINDOWS\system32\aoynqj.dll
I:\WINDOWS\system32\blmflitj.dll
I:\WINDOWS\system32\boyrbv.dll
I:\WINDOWS\system32\cegtrmel.ini
I:\WINDOWS\system32\Cfx32.lic
I:\WINDOWS\system32\cfx32.ocx
I:\WINDOWS\system32\fpouyxtf.dll
I:\WINDOWS\system32\incaykqa.dll
I:\WINDOWS\system32\jxmccfyc.dll
I:\WINDOWS\system32\mcrh.tmp
I:\WINDOWS\system32\pzybgu.dll
I:\WINDOWS\system32\qhpjfihf.dll
I:\WINDOWS\system32\qkmleful.dll
I:\WINDOWS\system32\riwjcgwm.dll
I:\WINDOWS\system32\sxioji.dll
I:\WINDOWS\system32\thssqb.dll
I:\WINDOWS\system32\urqOGXrO.dll
I:\WINDOWS\system32\uxgiljue.dll
I:\WINDOWS\system32\wlxrawrs.ini
I:\WINDOWS\system32\wvUlLfeE.dll
I:\WINDOWS\system32\ybovqkjy.dll

.
((((((((((((((((((((((( Dateien erstellt von 2008-06-09 bis 2008-07-09 ))))))))))))))))))))))))))))))
.

2008-07-09 11:11 . 2008-07-09 11:11 <DIR> d-------- I:\Deckard
2008-07-09 10:39 . 2008-07-09 10:39 <DIR> d-------- I:\Programme\Malwarebytes' Anti-Malware
2008-07-09 10:39 . 2008-07-09 10:39 <DIR> d-------- I:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\Malwarebytes
2008-07-09 10:39 . 2008-07-09 10:39 <DIR> d-------- I:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-07-09 10:39 . 2008-07-07 17:35 34,296 --a------ I:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-07-09 10:39 . 2008-07-07 17:35 17,144 --a------ I:\WINDOWS\system32\drivers\mbam.sys
2008-07-09 10:26 . 2008-07-09 10:29 <DIR> d-------- I:\Programme\mIRC
2008-07-08 17:33 . 2008-07-08 17:33 230 --a------ I:\WINDOWS\system32\spupdsvc.inf
2008-07-08 17:32 . 2007-09-26 18:06 66,048 --a------ I:\WINDOWS\ieResetIcons.exe
2008-07-08 17:31 . 2008-07-08 17:31 4,507 --a------ I:\WINDOWS\imsins.BAK
2008-07-08 17:25 . 2008-07-08 17:25 <DIR> d-------- I:\Programme\Trend Micro
2008-07-08 15:14 . 2008-07-08 15:14 1,827,375 ---hs---- I:\WINDOWS\system32\uediavqi.tmp
2008-07-08 11:13 . 2008-07-09 09:59 110,456 --a------ I:\WINDOWS\BMbb6e79e6.xml
2008-07-06 14:05 . 2008-07-06 14:05 1,756,122 --a------ I:\WINDOWS\3.71_CE_SE.exe
2008-07-06 14:05 . 2008-07-06 14:05 33,792 --------- I:\WINDOWS\is157573.exe
2008-07-05 11:31 . 2008-07-05 11:31 21,840 --a------ I:\WINDOWS\system32\SIntfNT.dll
2008-07-05 11:31 . 2008-07-05 11:31 17,212 --a------ I:\WINDOWS\system32\SIntf32.dll
2008-07-05 11:31 . 2008-07-05 11:31 12,067 --a------ I:\WINDOWS\system32\SIntf16.dll
2008-07-05 08:07 . 2008-07-05 08:07 102,400 --a------ I:\WINDOWS\DIIUnin.exe
2008-07-05 08:07 . 2008-07-05 08:13 30,197 --a------ I:\WINDOWS\DIIUnin.dat
2008-07-05 08:07 . 2008-07-05 08:07 2,829 --a------ I:\WINDOWS\DIIUnin.pif
2008-07-04 20:53 . 2000-10-30 18:14 146,976 --------- I:\WINDOWS\system32\Mfcoleui.dll
2008-07-01 14:34 . 2008-07-01 14:34 13,012 --a------ I:\Dokumente und Einstellungen\Daniel\Bubblets.dat
2008-06-29 20:16 . 2008-06-17 10:54 1,366,528 --a------ I:\WINDOWS\system32\we5.dll
2008-06-29 20:16 . 2008-01-30 11:05 629,584 --a------ I:\WINDOWS\system32\acebitaw.dll
2008-06-29 20:16 . 2007-08-24 01:10 503,280 --a------ I:\WINDOWS\system32\wodSFTP.dll
2008-06-29 20:16 . 2007-08-24 01:10 449,984 --a------ I:\WINDOWS\system32\wodKeys.dll
2008-06-28 18:40 . 2008-06-28 18:40 <DIR> d-------- I:\Dokumente und Einstellungen\Daniel\temp
2008-06-28 18:40 . 2008-06-28 20:00 <DIR> d-------- I:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\TeamViewer
2008-06-27 20:19 . 2003-04-18 16:29 44,544 --a------ I:\WINDOWS\system32\msxml4a.dll
2008-06-27 20:18 . 2001-03-26 04:41 245,760 --a------ I:\WINDOWS\system32\mp4sds32.ax
2008-06-27 20:06 . 2008-07-06 13:24 <DIR> d-------- I:\WINDOWS\system32\MAGIX
2008-06-27 20:06 . 2008-06-27 20:16 <DIR> d-------- I:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MAGIX
2008-06-27 20:06 . 2007-07-11 11:53 697,560 --a------ I:\WINDOWS\system32\mgxoschk.dll
2008-06-27 20:06 . 2007-04-27 10:43 120,200 --a------ I:\WINDOWS\system32\DLLDEV32i.dll
2008-06-27 20:06 . 2008-06-27 20:19 6,768 --a------ I:\WINDOWS\mgxoschk.ini
2008-06-22 19:26 . 2007-11-30 17:32 48,128 --a------ I:\WINDOWS\system32\drivers\61883.sys
2008-06-22 19:26 . 2007-11-30 17:32 48,128 --a--c--- I:\WINDOWS\system32\dllcache\61883.sys
2008-06-22 19:26 . 2007-11-30 17:32 38,912 --a------ I:\WINDOWS\system32\drivers\avc.sys
2008-06-22 19:26 . 2007-11-30 17:32 38,912 --a--c--- I:\WINDOWS\system32\dllcache\avc.sys
2008-06-19 13:06 . 2008-06-20 11:08 <DIR> d-------- I:\Dokumente und Einstellungen\Daniel\Contacts
2008-06-12 22:56 . 2008-06-12 22:56 <DIR> d-------- I:\Programme\Windows Live

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-09 14:30 --------- d-----w I:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\Hamachi
2008-07-09 09:53 --------- d-----w I:\Programme\Mozilla Firefox 3 Beta 2
2008-07-09 08:39 --------- d-----w I:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\mIRC
2008-07-08 09:50 --------- d-----w I:\Programme\Royal Doppelkopf
2008-07-07 19:48 --------- d-----w I:\Programme\teXXas
2008-07-06 11:24 --------- d-----w I:\Programme\Gemeinsame Dateien\buhl data service
2008-07-05 01:48 --------- d-----w I:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TrackMania
2008-07-04 18:58 --------- d--h--w I:\Programme\InstallShield Installation Information
2008-06-27 21:19 --------- d-----w I:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-06-26 20:04 --------- d-----w I:\Programme\ICQ6
2008-06-22 20:29 --------- d-----w I:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\gtk-2.0
2008-06-07 15:52 --------- d-----w I:\Programme\AceBIT
2008-06-07 08:39 --------- d-----w I:\Programme\VirtualDJ
2008-06-07 08:38 --------- d-----w I:\Programme\TheLucentCalculator
2008-06-07 08:38 --------- d-----w I:\Programme\InterVideo
2008-06-07 08:37 --------- d-----w I:\Programme\Hard Disk Sentinel
2008-06-07 08:36 --------- d-----w I:\Programme\Lexware
2008-06-05 07:42 --------- d-----w I:\Programme\Microsoft ActiveSync
2008-06-02 08:52 --------- d-----w I:\Programme\Xvid
2008-05-27 21:21 --------- d-----w I:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\Buhl Data Service
2008-05-27 21:21 --------- d-----w I:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Buhl Data Service GmbH
2008-05-27 21:09 --------- d-----w I:\Programme\EAGLE-4.11
2008-05-27 21:07 --------- d-----w I:\Programme\Gemeinsame Dateien\Lexware
2008-05-25 00:06 --------- d-----w I:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\Xilisoft Corporation
2008-05-25 00:05 --------- d-----w I:\Programme\Xilisoft
2008-05-25 00:01 --------- d-----w I:\Programme\Nsasoft
2008-05-24 01:09 --------- d-----w I:\Dokumente und Einstellungen\All Users\Anwendungsdaten\0loqLkE0pHh
2008-05-22 22:48 --------- d-----w I:\Programme\National Instruments
2008-05-18 19:24 --------- d-----w I:\Programme\HI-TECH Software
2008-05-18 19:24 --------- d-----w I:\Programme\Gemeinsame Dateien\Merge Modules
2008-05-18 19:23 --------- d-----w I:\Dokumente und Einstellungen\All Users\Anwendungsdaten\National Instruments
2008-05-16 15:21 --------- d-----w I:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\Lexware
2008-05-16 15:20 --------- d-----w I:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lexware
2008-05-16 14:44 --------- d-----w I:\Programme\Gemeinsame Dateien\DAO
2008-05-16 14:43 --------- d-----w I:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BTrieve
2008-05-12 22:15 --------- d-----w I:\Programme\Avidemux 2.4
2007-10-23 18:34 92,064 ----a-w I:\Dokumente und Einstellungen\Daniel\mqdmmdm.sys
2007-10-23 18:34 9,232 ----a-w I:\Dokumente und Einstellungen\Daniel\mqdmmdfl.sys
2007-10-23 18:34 79,328 ----a-w I:\Dokumente und Einstellungen\Daniel\mqdmserd.sys
2007-10-23 18:34 66,656 ----a-w I:\Dokumente und Einstellungen\Daniel\mqdmbus.sys
2007-10-23 18:34 6,208 ----a-w I:\Dokumente und Einstellungen\Daniel\mqdmcmnt.sys
2007-10-23 18:34 5,936 ----a-w I:\Dokumente und Einstellungen\Daniel\mqdmwhnt.sys
2007-10-23 18:34 4,048 ----a-w I:\Dokumente und Einstellungen\Daniel\mqdmcr.sys
2007-10-23 18:34 25,600 ----a-w I:\Dokumente und Einstellungen\Daniel\usbsermptxp.sys
2007-10-23 18:34 22,768 ----a-w I:\Dokumente und Einstellungen\Daniel\usbsermpt.sys
2002-04-24 13:33 590,044 ----a-w I:\Dokumente und Einstellungen\Daniel\EL985N51.SYS
2000-11-06 09:16 102,400 ----a-w I:\Dokumente und Einstellungen\Daniel\setup.exe
2000-08-17 12:40 164,711 ----a-w I:\Dokumente und Einstellungen\Daniel\3LINK-ID.EXE
2006-01-23 08:32 131,072 ----a-w I:\Programme\internet explorer\plugins\LV80ActiveXControl.dll
2007-02-08 08:48 133,920 ----a-w I:\Programme\internet explorer\plugins\LV82ActiveXControl.dll
2007-07-24 16:03 118,784 ----a-w I:\Programme\internet explorer\plugins\LV85ActiveXControl.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\1TortoiseSVN]
@="{30351346-7B7D-4FCC-81B4-1E394CA267EB}"
[HKEY_CLASSES_ROOT\CLSID\{30351346-7B7D-4FCC-81B4-1E394CA267EB}]
2007-08-26 11:40 536576 --a------ I:\Programme\TortoiseSVN\bin\tortoisesvn.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\2TortoiseSVN]
@="{30351347-7B7D-4FCC-81B4-1E394CA267EB}"
[HKEY_CLASSES_ROOT\CLSID\{30351347-7B7D-4FCC-81B4-1E394CA267EB}]
2007-08-26 11:40 536576 --a------ I:\Programme\TortoiseSVN\bin\tortoisesvn.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\3TortoiseSVN]
@="{30351348-7B7D-4FCC-81B4-1E394CA267EB}"
[HKEY_CLASSES_ROOT\CLSID\{30351348-7B7D-4FCC-81B4-1E394CA267EB}]
2007-08-26 11:40 536576 --a------ I:\Programme\TortoiseSVN\bin\tortoisesvn.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\4TortoiseSVN]
@="{3035134B-7B7D-4FCC-81B4-1E394CA267EB}"
[HKEY_CLASSES_ROOT\CLSID\{3035134B-7B7D-4FCC-81B4-1E394CA267EB}]
2007-08-26 11:40 536576 --a------ I:\Programme\TortoiseSVN\bin\tortoisesvn.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\5TortoiseSVN]
@="{3035134C-7B7D-4FCC-81B4-1E394CA267EB}"
[HKEY_CLASSES_ROOT\CLSID\{3035134C-7B7D-4FCC-81B4-1E394CA267EB}]
2007-08-26 11:40 536576 --a------ I:\Programme\TortoiseSVN\bin\tortoisesvn.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\6TortoiseSVN]
@="{3035134D-7B7D-4FCC-81B4-1E394CA267EB}"
[HKEY_CLASSES_ROOT\CLSID\{3035134D-7B7D-4FCC-81B4-1E394CA267EB}]
2007-08-26 11:40 536576 --a------ I:\Programme\TortoiseSVN\bin\tortoisesvn.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\7TortoiseSVN]
@="{3035134E-7B7D-4FCC-81B4-1E394CA267EB}"
[HKEY_CLASSES_ROOT\CLSID\{3035134E-7B7D-4FCC-81B4-1E394CA267EB}]
2007-08-26 11:40 536576 --a------ I:\Programme\TortoiseSVN\bin\tortoisesvn.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="I:\WINDOWS\system32\ctfmon.exe" [2007-12-01 03:48 15360]
"DAEMON Tools"="I:\Programme\DAEMON Tools\daemon.exe" [2007-04-04 00:29 165784]
"H/PC Connection Agent"="I:\Programme\Microsoft ActiveSync\wcescomm.exe" [2006-11-13 14:50 1289000]
"AnyDVD"="I:\Programme\SlySoft\AnyDVD\AnyDVD.exe" [2007-11-30 08:28 1637312]
"MsnMsgr"="I:\Programme\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 11:34 5724184]
"WISE-FTP Task Planner"="I:\Programme\AceBIT\WISE-FTP 5\wf_tp.exe" [2008-06-17 10:54 1204224]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTDVDDET"="I:\Programme\Creative\Sound Blaster X-Fi\DVDAudio\CTDVDDET.EXE" [2003-06-18 01:00 45056]
"RCSystem"="I:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" [2005-06-16 18:25 49152]
"AudioDrvEmulator"="I:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" [2005-06-16 18:25 49152]
"VolPanel"="I:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanel.exe" [2005-07-11 11:34 122880]
"nod32kui"="I:\Programme\Eset\nod32kui.exe" [2007-10-10 14:54 949376]
"StartCCC"="I:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 12:17 61440]
"NI Background Service"="I:\Programme\National Instruments\Shared\Update Service\BackgroundService.exe" [2008-04-03 10:38 77824]
"CTHelper"="CTHELPER.EXE" [2006-08-17 11:32 17920 I:\WINDOWS\CTHELPER.EXE]
"CTxfiHlp"="CTXFIHLP.EXE" [2006-08-17 11:32 18944 I:\WINDOWS\system32\CTXFIHLP.EXE]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2007-12-01 03:48 110592 I:\WINDOWS\system32\bthprops.cpl]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="I:\WINDOWS\system32\CTFMON.EXE" [2007-12-01 03:48 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"TSClientMSIUninstaller"="I:\WINDOWS\Installer\TSClientMsiTrans\tscuinst.vbs" [2007-10-30 16:36 13801]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.PIM1"= PCLEPIM1.dll
"vidc.ffds"= ffdshow.ax
"wave1"= AvmSnd.dll
"MSACM.CEGSM"= mobilev.acm

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\StartCCC]
--a------ 2008-01-21 12:17 61440 I:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Tools\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"I:\\Programme\\ICQ6\\ICQ.exe"=
"I:\Programme\Microsoft ActiveSync\rapimgr.exe"= I:\Programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"I:\Programme\Microsoft ActiveSync\wcescomm.exe"= I:\Programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"I:\Programme\Microsoft ActiveSync\WCESMgr.exe"= I:\Programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"C:\\games\\CoD4\\iw3mp.exe"=
"C:\\games\\Unreal Tournament 3\\Binaries\\UT3.exe"=
"C:\\games\\Battlefield 2\\BF2.exe"=
"I:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

R1 hwinterface;hwinterface;I:\WINDOWS\system32\Drivers\hwinterface.sys [2008-04-26 18:53]
R2 AVMPORT;AVMPORT;I:\WINDOWS\system32\drivers\avmport.sys [2001-10-23 01:00]
R2 cvintdrv;cvintdrv;I:\WINDOWS\system32\drivers\cvintdrv.sys [2007-10-23 10:00]
R3 AVMWAN;AVM NDIS WAN CAPI-Treiber;I:\WINDOWS\system32\DRIVERS\avmwan.sys [2001-08-17 13:13]
R3 fpcibase;AVM ISDN-Controller FRITZ!Card PCI v2.0;I:\WINDOWS\system32\DRIVERS\fpcibase.sys [2001-08-17 13:14]
R3 GETND5BV;VIA Networking Velocity-Family Giga-bit Ethernet Adapter Driver;I:\WINDOWS\system32\DRIVERS\getnd5bv.sys [2005-02-14 18:30]
R3 ha20x2k;Creative 20X HAL Driver;I:\WINDOWS\system32\drivers\ha20x2k.sys [2006-08-17 11:16]
S2 ousbehci;%OWC_USBEHCD.DeviceDesc%;I:\WINDOWS\system32\Drivers\ousbehci.sys [2005-01-12 05:33]
S3 el985nd5;3Com-Gigabit-Ethernetserver-NIC (SX/TX);I:\WINDOWS\system32\DRIVERS\el985n51.sys [2001-08-18 04:30]
S3 lg3gbus;LGE KU580 driver (WDM);I:\WINDOWS\system32\DRIVERS\lg3gbus.sys []
S3 lg3gmdfl;LGE KU580 USB WMC Modem Filter;I:\WINDOWS\system32\DRIVERS\lg3gmdfl.sys []
S3 lg3gmdm;LGE KU580 USB WMC Modem Driver;I:\WINDOWS\system32\DRIVERS\lg3gmdm.sys []
S3 lg3gmgmt;LGE KU580 USB WMC Device Management Drivers (WDM);I:\WINDOWS\system32\DRIVERS\lg3gmgmt.sys []
S3 lg3gnd5;LGE KU580 USB Ethernet Emulation (NDIS);I:\WINDOWS\system32\DRIVERS\lg3gnd5.sys []
S3 lg3gobex;LGE KU580 USB WMC OBEX Interface;I:\WINDOWS\system32\DRIVERS\lg3gobex.sys []
S3 lg3gunic;LGE KU580 USB Ethernet Emulation (WDM);I:\WINDOWS\system32\DRIVERS\lg3gunic.sys []
S3 NETFRITZ;AVM FRITZ!web PPP over ISDN;I:\WINDOWS\system32\DRIVERS\NETFRITZ.SYS []
S3 NPF;NetGroup Packet Filter Driver;I:\WINDOWS\system32\drivers\npf.sys [2005-08-02 23:10]
S3 pctvvbi;PCTVVBI;I:\WINDOWS\system32\DRIVERS\pctvvbi.sys [2002-11-11 19:52]
S3 ulisa;Telekom ISDN-Adapter (USB);I:\WINDOWS\system32\Drivers\ulisa.sys []

.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-09 16:28:26
Windows 5.1.2600 Service Pack 3, v.3264 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: I:\WINDOWS\system32\winlogon.exe
-> I:\WINDOWS\system32\AvmSnd.dll

PROCESS: I:\WINDOWS\system32\lsass.exe
-> I:\WINDOWS\system32\AvmSnd.dll
.
------------------------ Other Running Processes ------------------------
.
I:\WINDOWS\system32\ati2evxx.exe
I:\WINDOWS\system32\ati2evxx.exe
I:\WINDOWS\system32\lkcitdl.exe
I:\WINDOWS\system32\lkads.exe
I:\WINDOWS\system32\lktsrv.exe
I:\WINDOWS\system32\lvhidsvc.exe
I:\Programme\National Instruments\Shared\Security\nidmsrv.exe
I:\WINDOWS\system32\nisvcloc.exe
I:\Programme\ESET\nod32krn.exe
I:\WINDOWS\system32\oodag.exe
I:\WINDOWS\system32\wscntfy.exe
I:\Programme\TortoiseSVN\bin\TSVNCache.exe
I:\WINDOWS\system32\rundll32.exe
I:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Tools\Hamachi\hamachi.exe
I:\WINDOWS\system32\CTXFISPI.EXE
I:\Programme\Creative\ShareDLL\CADI\NotiMan.exe
I:\PROGRA~1\MICROS~4\rapimgr.exe
I:\Programme\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-07-09 16:35:11 - machine was rebooted
ComboFix-quarantined-files.txt 2008-07-09 14:35:08

7 Verzeichnis(se), 17,803,481,088 Bytes frei
9 Verzeichnis(se), 17,706,049,536 Bytes frei

279

Hi,
das sieht schon sehr viel besser aus.

Bitte alle Dateien sichtbar machen und folgende Dateien noch löschen:

Zitat:

I:\WINDOWS\system32\uediavqi.tmp
I:\WINDOWS\BMbb6e79e6.xml
I:\WINDOWS\is157573.exe

Poste außerdem bitte noch ein frisches Hijackthislog

lg myrtille

Besser - wunderbar

Diese Datei "I:\WINDOWS\system32\uediavqi.tmp" existiert nicht.

Auch nicht versteckt.

Hijackthislog:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:01:07, on 09.07.2008
Platform: Windows XP SP3, v.3264 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.3264)
Boot mode: Normal

Running processes:
I:\WINDOWS\System32\smss.exe
I:\WINDOWS\system32\winlogon.exe
I:\WINDOWS\system32\services.exe
I:\WINDOWS\system32\lsass.exe
I:\WINDOWS\system32\Ati2evxx.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\system32\Ati2evxx.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\system32\spoolsv.exe
I:\WINDOWS\System32\svchost.exe
I:\WINDOWS\system32\lkcitdl.exe
I:\WINDOWS\system32\lkads.exe
I:\WINDOWS\system32\lktsrv.exe
I:\WINDOWS\system32\lvhidsvc.exe
I:\Programme\National Instruments\Shared\Security\nidmsrv.exe
I:\WINDOWS\system32\nisvcloc.exe
I:\Programme\Eset\nod32krn.exe
I:\WINDOWS\system32\oodag.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\system32\wscntfy.exe
I:\WINDOWS\Explorer.EXE
I:\Programme\TortoiseSVN\bin\TSVNCache.exe
I:\Programme\Creative\Sound Blaster X-Fi\DVDAudio\CTDVDDET.EXE
I:\Programme\Creative\Shared Files\Module Loader\DLLML.exe
I:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanel.exe
I:\WINDOWS\CTHELPER.EXE
I:\WINDOWS\system32\CTXFIHLP.EXE
I:\Programme\Eset\nod32kui.exe
I:\WINDOWS\SYSTEM32\CTXFISPI.EXE
I:\Programme\Creative\ShareDLL\CADI\NotiMan.exe
I:\WINDOWS\system32\rundll32.exe
I:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
I:\WINDOWS\system32\ctfmon.exe
I:\Programme\DAEMON Tools\daemon.exe
I:\Programme\Microsoft ActiveSync\wcescomm.exe
I:\Programme\SlySoft\AnyDVD\AnyDVD.exe
I:\Programme\AceBIT\WISE-FTP 5\wf_tp.exe
I:\PROGRA~1\MICROS~4\rapimgr.exe
I:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
I:\Programme\Internet Explorer\IEXPLORE.EXE
I:\WINDOWS\Explorer.EXE
I:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://suche.klicktel.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - I:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: amazon - {84B94901-3645-4D80-A6B7-4D0050B19455} - I:\Programme\teXXas\IEButtonAmazonInterface.dll
O2 - BHO: eBay - {CD9B7762-DFBC-42B1-BB30-02A78287B456} - I:\Programme\teXXas\IEButtonEbayInterface.dll
O4 - HKLM\..\Run: [CTDVDDET] "I:\Programme\Creative\Sound Blaster X-Fi\DVDAudio\CTDVDDET.EXE"
O4 - HKLM\..\Run: [RCSystem] "I:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" RCSystem * -Startup
O4 - HKLM\..\Run: [AudioDrvEmulator] "I:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" -1 AudioDrvEmulator "I:\Programme\Creative\Shared Files\Module Loader\Audio Emulator\AudDrvEm.dll"
O4 - HKLM\..\Run: [VolPanel] "I:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanel.exe" /r
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [nod32kui] "I:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [StartCCC] "I:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [NI Background Service] I:\Programme\National Instruments\Shared\Update Service\BackgroundService.exe
O4 - HKCU\..\Run: [CTFMON.EXE] I:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools] "I:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [H/PC Connection Agent] "I:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [AnyDVD] I:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKCU\..\Run: [MsnMsgr] "I:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [WISE-FTP Task Planner] "I:\Programme\AceBIT\WISE-FTP 5\wf_tp.exe" /bg
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] I:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] I:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] I:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] I:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'Default user')
O4 - Startup: hamachi.lnk = C:\Tools\Hamachi\hamachi.exe
O8 - Extra context menu item: amazon Suche - I:\Programme\teXXas\Searchamazon.htm
O8 - Extra context menu item: amazon Suche starten - I:\Programme\teXXas\Searchamazon.htm
O8 - Extra context menu item: eBay - Mein eBay - I:\Programme\teXXas\SearchEbaymein.htm
O8 - Extra context menu item: eBay - Powersuche - I:\Programme\teXXas\SearchEbaypower.htm
O8 - Extra context menu item: eBay - Startseite - I:\Programme\teXXas\SearchEbay.htm
O8 - Extra context menu item: eBay Suche starten - I:\Programme\teXXas\SearchEbay.htm
O8 - Extra context menu item: Google Suche - I:\Programme\teXXas\SearchGoogle.htm
O8 - Extra context menu item: Google Suche starten - I:\Programme\teXXas\SearchGoogle.htm
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\Tools\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - I:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - I:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - I:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - I:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - I:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Tools\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - I:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - I:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - I:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - I:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: i:\windows\system32\nwprovau.dll
O23 - Service: Adobe LM Service - Adobe Systems - I:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - I:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - I:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - I:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Lookout Citadel Server (LkCitadelServer) - National Instruments, Inc. - I:\WINDOWS\system32\lkcitdl.exe
O23 - Service: National Instruments PSP Server Locator (lkClassAds) - National Instruments Corporation - I:\WINDOWS\system32\lkads.exe
O23 - Service: National Instruments Time Synchronization (lkTimeSync) - National Instruments Corporation - I:\WINDOWS\system32\lktsrv.exe
O23 - Service: Remote HID Service (LvHidSvc) - Animation Technologies Inc. - I:\WINDOWS\system32\lvhidsvc.exe
O23 - Service: National Instruments Domain Service (NIDomainService) - National Instruments Corporation - I:\Programme\National Instruments\Shared\Security\nidmsrv.exe
O23 - Service: NILM License Manager - Macrovision Corporation - I:\Programme\National Instruments\Shared\License Manager\Bin\lmgrd.exe
O23 - Service: NI Service Locator (niSvcLoc) - National Instruments Corp. - I:\WINDOWS\system32\nisvcloc.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - I:\Programme\Eset\nod32krn.exe
O23 - Service: O&O Defrag - O&O Software GmbH - I:\WINDOWS\system32\oodag.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - I:\Programme\WinPcap\rpcapd.exe

--
End of file - 9140 bytes

Zitat:

Diese Datei "I:\WINDOWS\system32\uediavqi.tmp" existiert nicht.

Dem Braten trau ich noch nichtb so ganz


Erstell bitte noch ein Log mit DSS (es wird nur die main.txt neuerstellt) und poste/verlinke es hier.

lg myrtille