Hallo,

bin total verzweifelt, kämpfe wie viele andere auch seit circa einer Woche mit Virtumonde und wer weiß, was sonst noch so drauf ist auf dem Rechner.
Lösche virtumonde immer wieder mit spybot, aber der ist echt hartnäckig.
GData hat ihn einmal erkannt und dann nie wieder. VundoFix findet übrigens auch nix. Aber er ist immer noch da. Vielleicht kann ich ihn ja manuell löschen.
Meine CPU-Auslastung ist übrigens konstant auf 100 %, seitdem ich virtumonde drauf habe. Anbei schicke ich mein logfile und würde mich ganz doll freuen, wenn mit jemand hilft das zu analysieren!!!
Vielen, vielen Dank schon mal im Voraus.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:59:02, on 12.09.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\G DATA AntiVirus\AVK\AVKService.exe
C:\Programme\G DATA AntiVirus\AVK\AVKWCtl.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\E_S00RP1.EXE
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Launch Manager\OSD.exe
C:\Programme\Launch Manager\Wbutton.exe
C:\Programme\Launch Manager\LaunchAp.exe
C:\Programme\Launch Manager\HotkeyApp.exe
C:\Programme\G DATA AntiVirus\AVKTray\AVKTray.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Adobe\Reader 8.0\Reader\AcroRd32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aol.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
O2 - BHO: (no name) - {0076C234-2AE1-43E0-BE7F-12C145C36700} - (no file)
O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA AntiVirus\Webfilter\AVKWebIE.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {0B9620A2-D419-4CB5-84A4-E1F62D79FFAA} - (no file)
O2 - BHO: {df83fb18-39b4-c25b-8cb4-83fb4828de64} - {46ed8284-bf38-4bc8-b52c-4b9381bf38fd} - (no file)
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: G DATA WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA AntiVirus\Webfilter\AVKWebIE.dll
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [CtrlVol] "C:\Programme\Launch Manager\CtrlVol.exe"
O4 - HKLM\..\Run: [LMgrOSD] "C:\Programme\Launch Manager\OSD.exe"
O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [LaunchAp] "C:\Programme\Launch Manager\LaunchAp.exe"
O4 - HKLM\..\Run: [HotkeyApp] "C:\Programme\Launch Manager\HotkeyApp.exe"
O4 - HKLM\..\Run: [AVKTray] "C:\Programme\G DATA AntiVirus\AVKTray\AVKTray.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {DAA3903C-AC88-4D16-B050-F21EB1F79BE6} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1126091180221
O20 - Winlogon Notify: rqRJApQK - rqRJApQK.dll (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: G DATA AntiVirus Proxy (AVKProxy) - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: G DATA Scheduler (AVKService) - G DATA Software AG - C:\Programme\G DATA AntiVirus\AVK\AVKService.exe
O23 - Service: AntiVirus Wächter (AVKWCtl) - G DATA Software AG - C:\Programme\G DATA AntiVirus\AVK\AVKWCtl.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: EPSON V3 Service2(03) (EPSON_PM_RPCV2_01) - SEIKO EPSON CORPORATION - C:\WINDOWS\system32\E_S00RP1.EXE
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
O24 - Desktop Component 0: (no name) - h**p://w*w.kochmix.de/images/bg.gif

--
End of file - 6564 bytes

hi kiraagnes und

lasse Malwarebytes Antimalware scannen, funde löschen, log hier posten.

=====

Lade Combofix von einem der folgenden Download-Spiegel herunter:

BleepingComputer.com - ForoSpyware.com - GeeksTogo.com

und speichere das Programm auf den Desktop, nicht woanders hin, das ist wichtig!
Wenn Du ComboFix bereits vorher auf dem Rechner hattest, lösche die alte Version, da ComboFix laufend aktualisiert wird.

Vorbereitung und wichtige Hinweise

• Bitte während des Scans mit Combofix Antiviren- sowie Antispy-Programme,
  die Firewall und evtl. vorhandenes Skript-Blocking deaktivieren.
• Liste der zu deaktivierenden Programme. Bei Unklarheiten bitte vorher fragen.
• Bitte die Wiederherstellungskonsole nach dieser ausführlichen Anleitung installieren.
  .
  
  .
• Bitte während des Laufs von Combofix nicht in das Combofix-Fenster klicken.
• Das könnte Dein System einfrieren oder hängen bleiben lassen.
• Es kann circa eine Viertelstunde dauern, bis der Scan fertig ist.
• ComboFix wird Deine Einstellungen in Bezug auf den Bildschirmschoner zurücksetzen.
• Diese Einstellungen kannst Du nach Beendigung unserer Bereinigung wieder erneuern.
• Mache nichts anderes, wenn es Dir nicht gelungen ist, Combofix laufen zu lassen.
• Teile uns das mit und warte auf unsere Anweisungen.

Anwendung

• Schließe alle Anwendungen, wenn Du Combofix laufen lässt.
• Mache einen Doppelklick auf die ComboFix.exe und folge den Anweisungen.
• Wird eine Infektion gefunden, startet Combofix den Rechner automatisch neu, um die Entfernung zu vervollständigen.
• Schließe das Fenster von Combofix nicht, sonst wirst Du einen leeren Desktop zurück behalten.
• Wenn der Scan beendet ist, wird ein Logfile erstellt, zu finden unter C:\ComboFix.txt
• Nicht vergessen, die deaktivierten Programme wieder zu aktivieren!
• Poste den Inhalt des Combofix-Logfiles hier in den Thread.

Hinweis für Mitleser

Bitte Combofix nicht auf eigene Faust einsetzen. Wenn keine entsprechende Infektion vorliegt, kann das den Rechner lahmlegen und/oder nachhaltig schädigen!





gruß

schrauber

Hi Schrauber,

vielen Dank schon mal für deine Antwort! Bin gerade dabei deinen Anweisungen step by step zu folgen, allerdings tauchte da gerade noch eine Frage auf: Beim Installieren der Wiederherstellungskonsole bin ich dem Microsoft Link gefolgt (habe die XP CD nur als Medion Application und Support Disc vorhanden und damit funktionierts nicht), aber war mir
Nr.1 nicht sicher welchen Download du meinst, etwa "Herunterladen der Programmdatei für die Startdisketten" und wenn ja, für XP Home mit Service Pack 3 gibt es da gar keine Option, nur SP 2. Was soll ich denn jetzt tun!
Vielen Dank für deine Unterstützung von der "Ich checke-nix-Frau"

jepp, die startdisketten, nimm SP2, mach aber zuerst malwarebytes, und ganz wichtig die funde löschen lassen .



gruß

schrauber

Merci! Malwarebytes hat schon 10 Funde gehabt, log Datei ist auch gespeichert. Hab allerdings schon wieder ne Zwischenfrage:
Wollte die Microsoft -Datei, wie beschrieben, auf das Combo-Fix Piktogramm ziehen, die sich dann angeblich von selbst installiert, wenn ich aber versuche sie mit der Maus draufzuziehen, öffnet sich ein Fenster, das Combo-Fix ausführen will. Bin natürlich erstmal auf abbrechen, soweit bin ich ja noch nicht. Habe die Microsoft-Datei auf dem Desktop gespeichert aber nicht ausgeführt, muss ich das vorher noch machen? (Also bevor ich sie auf das Piktogramm ziehe?) Ich hoffe, das war irgendwie verständlich...

zieh die ms-datei auf combofix, damit startet sich combofix von selbst, das ist so gewollt! ab dann finger weg von maus und tastatur bis combofix fertig ist.

vorher alle av-progs beenden.


gruß

schrauber

Wird gemacht!
PS:Nett, dass mich ein Saarländer unterstützt!
Melde mich dann sobald alles soweit ist.

das seh ich jetzt erst dass du aus dem saarland kommst

dann können wir ja ab jetzt auf platt schreiben, dann bekommt auch keiner der mitleser mehr was mit

Ei jooo, han mich gleisch solidarisiert, als ich gesiehn han, dass du aus em "schenschte Bundesland der Welt kommscht".

- Das war Saarländisch, oder so, saarländische Rechtschreibung beherrsche ich leider nicht!

Ich glaube, spannend spannend, die Logdatei liegt bald vor...

Grüßle, die Babsi

Anbei der Roman...
Ich hoffe, du kannst was mit anfangen, ich nämlich nicht! Aber bin dir auf jeden Fall schon mal super dankbar für deine Mühe!!!

1.)Log-Datei von Combo-Fix:
2.) Malwarbytes log-Datei

ComboFix 08-09-10.04 - *** 2008-09-12 17:32:13.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.501 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\***\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\***\Desktop\WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\lUEOnUvw.ini
C:\WINDOWS\system32\lUEOnUvw.ini2
C:\WINDOWS\system32\MSINET.oca

.
((((((((((((((((((((((( Dateien erstellt von 2008-08-12 bis 2008-09-12 ))))))))))))))))))))))))))))))
.

2008-09-12 14:39 . 2008-09-12 14:40 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-09-12 14:39 . 2008-09-12 14:39 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Malwarebytes
2008-09-12 14:39 . 2008-09-12 14:39 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-09-12 14:39 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-09-12 14:39 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-09-12 12:13 . 2008-09-12 12:13 <DIR> d-------- C:\VundoFix Backups
2008-09-10 11:22 . 2006-02-28 13:00 73,728 --a------ C:\WINDOWS\system32\tasklist.exe
2008-09-10 11:02 . 2008-09-10 11:02 <DIR> d-------- C:\Programme\CCleaner
2008-09-08 20:49 . 2008-09-08 20:49 <DIR> d-------- C:\Programme\Trend Micro
2008-09-05 11:52 . 2008-09-05 11:52 <DIR> d-------- C:\WINDOWS\system32\de-de
2008-09-05 11:52 . 2008-09-05 11:52 <DIR> d-------- C:\WINDOWS\system32\de
2008-09-05 11:52 . 2008-09-05 11:52 <DIR> d-------- C:\WINDOWS\system32\bits
2008-09-05 11:52 . 2008-09-05 11:52 <DIR> d-------- C:\WINDOWS\l2schemas
2008-09-05 11:42 . 2008-09-05 11:53 <DIR> d-------- C:\WINDOWS\ServicePackFiles
2008-09-05 10:26 . 2008-09-05 10:26 <DIR> d-------- C:\WINDOWS\EHome
2008-09-05 08:51 . 2004-08-03 22:29 25,471 --------- C:\WINDOWS\system32\drivers\watv10nt.sys
2008-09-05 08:51 . 2004-08-03 22:29 22,271 --------- C:\WINDOWS\system32\drivers\watv06nt.sys
2008-09-05 08:51 . 2004-08-03 22:29 11,935 --------- C:\WINDOWS\system32\drivers\wadv11nt.sys
2008-09-05 08:51 . 2004-08-03 22:29 11,871 --------- C:\WINDOWS\system32\drivers\wadv09nt.sys
2008-09-05 08:51 . 2004-08-03 22:29 11,807 --------- C:\WINDOWS\system32\drivers\wadv07nt.sys
2008-09-05 08:51 . 2004-08-03 22:29 11,295 --------- C:\WINDOWS\system32\drivers\wadv08nt.sys
2008-09-05 08:45 . 2004-08-04 00:38 327,168 --------- C:\WINDOWS\system32\drivers\ati2mtaa.sys
2008-09-02 09:28 . 2008-09-08 17:00 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\G DATA
2008-09-02 09:28 . 2008-09-02 09:28 46,536 --a------ C:\WINDOWS\system32\drivers\MiniIcpt.sys
2008-09-02 09:28 . 2008-09-02 09:28 41,928 --a------ C:\WINDOWS\system32\drivers\GDTdiIcpt.sys
2008-09-02 09:28 . 2008-09-02 09:28 32,200 --a------ C:\WINDOWS\system32\drivers\HookCentre.sys
2008-09-02 09:26 . 2008-09-02 09:26 <DIR> d-------- C:\Programme\Gemeinsame Dateien\G DATA
2008-09-02 09:26 . 2008-09-02 09:26 <DIR> d-------- C:\Programme\G DATA AntiVirus
2008-09-02 09:26 . 2008-09-02 09:26 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\InstallShield
2008-08-30 13:02 . 2008-08-30 13:02 3,266 --a------ C:\WINDOWS\system32\tmp.reg
2008-08-30 13:00 . 2007-09-06 00:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2008-08-30 13:00 . 2006-04-27 17:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2008-08-30 13:00 . 2008-08-26 20:19 88,576 --a------ C:\WINDOWS\system32\AntiXPVSTFix.exe
2008-08-30 13:00 . 2008-08-27 15:17 87,040 --a------ C:\WINDOWS\system32\VACFix.exe
2008-08-30 13:00 . 2008-05-18 21:40 82,944 --a------ C:\WINDOWS\system32\IEDFix.exe
2008-08-30 13:00 . 2008-08-28 22:36 82,432 --a------ C:\WINDOWS\system32\IEDFix.C.exe
2008-08-30 13:00 . 2008-08-18 12:19 82,432 --a------ C:\WINDOWS\system32\404Fix.exe
2008-08-30 13:00 . 2003-06-05 21:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
2008-08-30 13:00 . 2004-07-31 18:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2008-08-30 13:00 . 2007-10-04 00:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2008-08-29 10:34 . 2008-08-29 10:34 <DIR> d-------- C:\Temp\dax41
2008-08-29 10:34 . 2008-08-29 13:08 <DIR> d-------- C:\Temp
2008-08-15 17:56 . 2008-04-11 21:04 691,712 -----c--- C:\WINDOWS\system32\dllcache\inetcomm.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-12 09:24 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-09-12 09:22 --------- d-----w C:\Programme\Spybot - Search & Destroy
2008-09-10 12:09 31,662 ----a-w C:\Dokumente und Einstellungen\***\Anwendungsdaten\wklnhst.dat
2008-09-10 10:26 --------- d-----w C:\Programme\Google
2008-09-02 07:26 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-07-22 17:03 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\Cabos
2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll
2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll
2008-07-07 20:26 253,952 ----a-w C:\WINDOWS\system32\es.dll
2008-06-24 16:42 74,240 ----a-w C:\WINDOWS\system32\mscms.dll
2008-06-24 16:12 295,936 ------w C:\WINDOWS\system32\wmpeffects.dll
2008-06-23 15:10 671,744 ----a-w C:\WINDOWS\system32\wininet.dll
2008-06-20 17:46 247,296 ----a-w C:\WINDOWS\system32\mswsock.dll
2008-06-20 11:56 107,888 ----a-w C:\WINDOWS\system32\CmdLineExt.dll
2007-07-13 10:21 96,608 ----a-w C:\Dokumente und Einstellungen\***\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2005-09-07 15:59 8 -csh--r C:\WINDOWS\system32\31961103D8.sys
2006-10-26 20:30 56 --sh--r C:\WINDOWS\system32\E80E40A99B.sys
2006-10-26 20:30 5,642 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2005-08-25 737369]
"PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 455168]
"ATICCC"="C:\Programme\ATI Technologies\ATI.ACE\cli.exe" [2005-08-31 57344]
"CtrlVol"="C:\Programme\Launch Manager\CtrlVol.exe" [2003-09-16 20480]
"LMgrOSD"="C:\Programme\Launch Manager\OSD.exe" [2005-03-16 204800]
"Wbutton"="C:\Programme\Launch Manager\Wbutton.exe" [2005-09-02 81920]
"LaunchAp"="C:\Programme\Launch Manager\LaunchAp.exe" [2005-07-25 32768]
"HotkeyApp"="C:\Programme\Launch Manager\HotkeyApp.exe" [2005-08-17 61440]
"AVKTray"="C:\Programme\G DATA AntiVirus\AVKTray\AVKTray.exe" [2008-05-20 686152]
"PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 455168]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATSwpNav]
C:\Programme\Fingerprint Sensor\ATSwpNav -run [X]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ALDI_NORD_FotoSuite]
--a------ 2005-06-20 11:38 290816 C:\Programme\ALDI Foto Service Nord\ALDI_Foto_Service\FotoSuite.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AzMixerSel]
--a------ 2005-06-11 19:51 53248 C:\Programme\Realtek\InstallShield\AzMixerSel.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--------- 2008-04-14 04:22 1695232 C:\Programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 11:50 155648 C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2005-09-07 15:58 98304 C:\Programme\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WMPNSCFG]
--------- 2006-11-03 10:56 204288 C:\Programme\Windows Media Player\wmpnscfg.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AGRSMMSG]
--a------ 2005-05-11 13:12 88204 C:\WINDOWS\AGRSMMSG.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\High Definition Audio Property Page Shortcut]
--a------ 2005-01-07 17:07 61952 C:\WINDOWS\system32\HdAShCut.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
--a------ 2005-08-18 07:20 14820864 C:\WINDOWS\RTHDCPL.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"InoTask"=2 (0x2)
"InoRT"=2 (0x2)
"InoRPC"=2 (0x2)
"WMPNetworkSvc"=2 (0x2)
"RichVideo"=2 (0x2)
"Diskeeper"=2 (0x2)
"CyberLink Media Library Service"=2 (0x2)
"CLSched"=2 (0x2)
"CLCapSvc"=2 (0x2)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" /background
"WMPNSCFG"=C:\Programme\Windows Media Player\WMPNSCFG.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" -atboottime
"FreePDF Assistant"=C:\Programme\FreePDF_XP\fpassist.exe
"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
"Microsoft Works Update Detection"=C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
"MSPY2002"=C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
"RemoteControl"="C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe"
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
"EPSON Stylus DX4200 Series"=C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE /P26 "EPSON Stylus DX4200 Series" /O6 "USB001" /M "Stylus DX4200"
"PCMService"="C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
"HotkeyApp"="C:\Programme\Launch Manager\HotkeyApp.exe"
"LaunchAp"="C:\Programme\Launch Manager\LaunchAp.exe"
"ATSwpNav"="C:\Programme\Fingerprint Sensor\ATSwpNav" -run

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%ProgramFiles%\\Messenger\\msmsgs.exe"=
"%ProgramFiles%\\MSN Messenger\\msnmsgr.exe"=
"%ProgramFiles%\\Microsoft Games\\Flight Simulator 9\\fs9.exe"=
"%ProgramFiles%\\AOL 9.0\\AOL.exe"=
"%ProgramFiles%\\AOL 9.0\\WAOL.exe"=
"%CommonProgramFiles%\\AOL\\ACS\\AOLACSD.exe"=
"%CommonProgramFiles%\\AOL\\ACS\\AOLDIAL.exe"=
"%WinDir%\\system32\\fxsclnt.exe"=
"%ProgramFiles%\\CA\\eTrust Antivirus\\InocIT.exe"=
"%ProgramFiles%\\CA\\eTrust Antivirus\\Realmon.exe"=
"%ProgramFiles%\\CA\\eTrust Antivirus\\InoRpc.exe"=
"%ProgramFiles%\\WIDCOMM\\Bluetooth Software\\BTTray.exe"=
"C:\\Programme\\Home Cinema\\PowerCinema\\PowerCinema.exe"=
"C:\\Programme\\Home Cinema\\PowerCinema\\PCMService.exe"=
"C:\\Programme\\Real\\RealPlayer\\realplay.exe"=
"C:\\Programme\\Anno 1701\\Anno1701.exe"=
"C:\\Programme\\FreePDF_XP\\freepdf.exe"=
"C:\\Programme\\ALDI Foto Service Nord\\ALDI_Foto_Manager\\FotoManager.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
"C:\\WINDOWS\\system32\\java.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26982:TCP"= 26982:TCP:Azureus
"1723:TCP"= 1723:TCP:@xpsp2res.dll,-22015
"1701:UDP"= 1701:UDP:@xpsp2res.dll,-22016
"500:UDP"= 500:UDP:@xpsp2res.dll,-22017

R1 Hotkey;Hotkey;C:\WINDOWS\system32\drivers\Hotkey.sys [2003-04-28 9867]
R2 AVKProxy;G DATA AntiVirus Proxy;C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe [2008-02-19 718408]
R2 AVKService;G DATA Scheduler;C:\Programme\G DATA AntiVirus\AVK\AVKService.exe [2008-02-07 427592]
R2 AVKWCtl;AntiVirus Wächter;C:\Programme\G DATA AntiVirus\AVK\AVKWCtl.exe [2008-02-05 1127816]
R2 GDTdiInterceptor;GDTdiInterceptor;C:\WINDOWS\system32\drivers\GDTdiIcpt.sys [2008-09-02 41928]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2008-04-14 14336]
R3 GDMnIcpt;GDMnIcpt;C:\WINDOWS\system32\drivers\MiniIcpt.sys [2008-09-02 46536]
R3 HookCentre;HookCentre;C:\WINDOWS\system32\drivers\HookCentre.sys [2008-09-02 32200]
S1 M9207;ULi M9207 USB DVB-T / TV BOX;C:\WINDOWS\system32\DRIVERS\M9207BDA.sys [ ]
S1 Wbutton;Wbutton;C:\WINDOWS\system32\drivers\Wbutton.sys [ ]
S3 3xHybrid;3xHybrid service;C:\WINDOWS\system32\DRIVERS\3xHybrid.sys [2005-06-08 799744]
S3 ULiM9205;TVBOX service;C:\WINDOWS\system32\Drivers\M9205.sys [ ]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{71ed4c93-1fad-11da-870b-00038a000015}]
\Shell\AutoRun\command - appsetup.exe
.
Inhalt des "geplante Tasks" Ordners
.
- - - - Entfernte verwaiste Registrierungseintr„ge - - - -

BHO-{0076C234-2AE1-43E0-BE7F-12C145C36700} - (no file)
BHO-{0B9620A2-D419-4CB5-84A4-E1F62D79FFAA} - (no file)
BHO-{46ed8284-bf38-4bc8-b52c-4b9381bf38fd} - (no file)
ShellExecuteHooks-{0076C234-2AE1-43E0-BE7F-12C145C36700} - (no file)
Notify-rqRJApQK - rqRJApQK.dll
MSConfigStartUp-AOLDialer - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
MSConfigStartUp-AOLMIcon - C:\Programme\Gemeinsame Dateien\AOLSHARE\AOLMIcon.exe
MSConfigStartUp-BM2f7eab4f - C:\WINDOWS\system32\gwpiupqa.dll


.
------- Zus„tzlicher Scan -------
.
R0 -: HKCU-Main,Start Page = hxxp://www.aol.de/
R1 -: HKCU-SearchURL,(Default) = hxxp://www.google.com/search?q=%s
O8 -: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-12 17:38:35
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere, laufende Prozesse ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\E_S00RP1.EXE
C:\PROGRA~1\COMMON~1\X10\Common\X10nets.exe
C:\WINDOWS\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-09-12 17:46:06 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-09-12 15:45:45

Pre-Run: 29 Verzeichnis(se), 13,942,706,176 Bytes frei
Post-Run: 33 Verzeichnis(se), 13,873,856,512 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

248 --- E O F --- 2008-09-10 09:12:34

2.) Log-Datei Malewarebytes

Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1141
Windows 5.1.2600 Service Pack 3

12.09.2008 16:03:17
mbam-log-2008-09-12 (16-03-10).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 43434
Laufzeit: 7 minute(s), 13 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 6
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Trymedia Systems (Adware.Trymedia) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\IProxyProvider (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\WINDOWS\system32\wTR02 (Trojan.Agent) -> No action taken.

Infizierte Dateien:
C:\WINDOWS\system32\mcrh.tmp (Malware.Trace) -> No action taken.
C:\WINDOWS\BM2f7eab4f.xml (Trojan.Vundo) -> No action taken.
C:\WINDOWS\BM2f7eab4f.txt (Trojan.Vundo) -> No action taken.

Zitat:

No action taken.

ich muss was an meiner schreibweise ändern, das ist jetzt in den letzten beiden tagen das zwanzigste mal dass ich schreibe

"mbam laufen lassen,funde löschen lassen...."

und zum zwanzigsten mal muss ich nachhaken, weil die funde nicht gelöscht wurden

also mbam updaten, nochmal laufen lassen, funde löschen lassen.

====

Kaspersky Online Scan
Überprüfe Dein komplettes System mit dem Kaspersky Online-Scanner. Bitte während des Scans alle evtl. vorhandenen externen Festplatten einschalten/anschließen. Außerdem während des Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliche) abstellen und nicht vergessen, sie hinterher wieder einzuschalten. Java muss aktiv sein. Bei Nutzung des Internet Explorer musst Du die ActiveX Steuerelemente (Controls) zulassen. Wenn es nicht funktioniert, die jeweilige Seite zu den Sicheren hinzufügen bzw. die Sicherheitseinstellungen (Extras => Internetoptionen) für die Internetzone herabsetzen (danach aber sofort wieder hochsetzen). Der Scan kann auch mit dem Firefox ausgeführt werden. Dafür muss Java installiert und aktiv/erlaubt sein. Bebilderte Anleitung von sundavis.

Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick.
Wir werden Dir helfen, die Funde manuell vom System zu entfernen.

• Browser öffnen und
• Kaspersky Online Scanner ansurfen.
• Die Datenschutzerklärung akzeptieren.
• Die nötigen ActiveX-Steuerelemente installieren lassen.
• Update der Signaturen installieren lassen => Weiter
• Scan-Einstellungen => Standard wählen => OK
• Link "Arbeitsplatz" anklicken
• Scan beginnt automatisch
• Untersuchung wurde abgeschlossen => Protokoll speichern als...
• Dateityp auf .txt umstellen => und auf dem Desktop als Kaspersky.txt speichern
• Logdatei hier posten.

• Deinstallation
• nicht nötig, alle Dateien werden in temporären Ordnern gespeichert
  => C:\Dokumente und Einstellungen\<Benutzername>\Lokale Einstellungen\Temp\jkos-<Benutzername>

Zitat:

Online-Scanner sind alle reine On-Demand-Scanner. Sie durchsuchen einzelne Dateien oder Verzeichnisse, wahlweise die gesamte Festplatte, haben keinen Hintergrundwächter oder andere residente Prozesse. Dardurch verbrauchen sie außer Festplattenspeicher keine Resourcen und man kann beliebig viele gleichzeitig installieren. Die Online-Scanner sind gut geeignet, um sich eine zweite Meinung einzuholen.

gruß

schrauber


P.S. woher aus dem saarland ?

Alles klar, werde ich tun!
Dauert allerdings nen Weilchen...
werde solange mal mit dem Hund Gassi gehen, kann ich nach dem Computer-Gedöns auch mal gut gebrauchen.

PS: Aus Sankt Ingbert (Stingbert oder Deengmart)

..möchte hier! keinen Miesepeter abgeben, aber das sieht nicht Gut! aus.
Ich würde formatieren.

@DJINNI

Zitat:

möchte hier! keinen Miesepeter abgeben

machst du aber

Zitat:

aber das sieht nicht Gut! aus.
Ich würde formatieren.

dann gib mir bitte eine fachliche erklärung zu der aussage.........

..och nö! Wirklich!?
Lasse jetzt gerade den Kaspersky-Scanner drüber laufen. Vielleicht gibt es ja noch Hoffnung...
GData hat, vor dem Scannen, virtumonde übrigens gebklockt! Zum ersten Mal!
Malwarebytes hat erstmal nix gefunden.
Wenn Kaspersky fertig ist, sage ich Bescheid!
Sollte ich vielleicht ganz zu Kaspersky wechseln, bin zur Zeit etwas unzufrieden mit Gdata!

PS: Bin gegen Neuaufsetzen, weil ich mir nicht sicher bin, ob ich noch die XP-CD von Medion habe - word etc. konnte ich auf der Application und Support Disc nämlich nicht finden. Und wenn man den PC kauft, is ja immer alles schon vorinstalliert!

LG. Barbara