iexplore, please help

smyle · 15.09.2008, 14:05

hallo!

ich habe mein rechner schon seit bestimmt 1 1/2 jahren nicht mehr formatiert, weil er eigentlich immer super läuft. jetzt plagt mich aber dieser blöder iexplore virus schon die ganze zeit und heut is echt genug mit diesem dreck.
ich wollte eigentlich schon längst mal die platte formatieren aber meine tolle schwester hat meine winxp cd verschlampt und nun hoffe ich auf eure hilfe bei diesem problem.

mein rechner is etwas älter und ich hab schon einiges an programme installiert und deinstalliert etc. wenn ihr mir irgendwie helfen könntet wäre das spitze

hier meine logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:58:10, on 15.09.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\Ati2evxx.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\svchost.exe
F:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
F:\WINDOWS\system32\spoolsv.exe
F:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
F:\Programme\Bonjour\mDNSResponder.exe
F:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\system32\CAP3RSK.EXE
F:\WINDOWS\system32\Ati2evxx.exe
F:\WINDOWS\Explorer.EXE
F:\WINDOWS\system32\sstray.exe
F:\WINDOWS\system32\TCAUDIAG.exe
F:\Programme\Java\jre1.6.0_07\bin\jusched.exe
F:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
F:\Programme\TRIXX\TRIXX.exe
F:\WINDOWS\vsnpstd2.exe
F:\Programme\ATI Technologies\ATI.ACE\cli.exe
I:\iTunes\iTunesHelper.exe
F:\WINDOWS\system32\ctfmon.exe
F:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
F:\WINDOWS\System32\svchost.exe
F:\Programme\Octoshape Streaming Services\Chris\OctoshapeClient.exe
F:\PROGRA~1\ICQ6\ICQ.exe
F:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
F:\Programme\Internet Explorer\IEXPLORE.EXE
F:\Programme\ATI Technologies\ATI.ACE\CLI.exe
F:\Programme\iPod\bin\iPodService.exe
F:\WINDOWS\system32\spool\drivers\w32x86\3\CAP3LAK.EXE
F:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\CAP3SWK.EXE
F:\Programme\Mozilla Firefox\firefox.exe
F:\Programme\Internet Explorer\IEXPLORE.EXE
F:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
F:\Programme\Internet Explorer\IEXPLORE.EXE
F:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost;*.local
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {179924D6-5EE7-B76C-6566-CB186532F3AB} - F:\WINDOWS\system32\yeunjqjq.dll (file missing)
O2 - BHO: Download Manager Browser Helper Object - {19C8E43B-07B3-49CB-BFFC-6777B593E6F8} - F:\PROGRA~1\GEMEIN~1\fluxDVD\DOWNLO~1\XEBDLH~1.DLL
O2 - BHO: (no name) - {62FEDEBB-07A3-4091-8F04-E416DF4E1C46} - F:\WINDOWS\system32\awtsr.dll (file missing)
O2 - BHO: (no name) - {6C31823F-C64D-453D-A272-008A3B97A781} - F:\WINDOWS\system32\eauvexdv.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - F:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - F:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - F:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: (no name) - {F1325532-32EE-3785-88DC-0AFFE55BC052} - F:\WINDOWS\system32\pxwrlchf.dll (file missing)
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - F:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [CAP3ON] F:\WINDOWS\system32\spool\drivers\w32x86\3\CAP3ONN.EXE
O4 - HKLM\..\Run: [zBrowser Launcher] F:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [TCASUTIEXE] TCAUDIAG.exe -on
O4 - HKLM\..\Run: [bgqtbkuccb] F:\WINDOWS\system32\mfdnfjcf.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE F:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SunJavaUpdateSched] "F:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "F:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [wnddrv] F:\WINDOWS\svchost.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE F:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] F:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TRIXX] "F:\Programme\TRIXX\TRIXX.exe" -s
O4 - HKLM\..\Run: [SNPSTD2] F:\WINDOWS\vsnpstd2.exe
O4 - HKLM\..\Run: [j3271138] rundll32 F:\WINDOWS\system32\j3271138.dll sook
O4 - HKLM\..\Run: [WinampAgent] F:\Programme\Winamp\wianmpa.exe
O4 - HKLM\..\Run: [ATICCC] "F:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Stupid Data Dart Wave] F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\flag ace stupid data\Lite Dart.exe
O4 - HKLM\..\Run: [QuickTime Task] "F:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [AppleSyncNotifier] F:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [iTunesHelper] "I:\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] F:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "F:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [MessDefault] F:\DOKUME~1\Chris\ANWEND~1\GRIMAB~1\DaleDraw.exe
O4 - HKCU\..\Run: [Octoshape Streaming Services] "F:\Programme\Octoshape Streaming Services\Chris\OctoshapeClient.exe" -inv:bootrun
O4 - HKCU\..\Run: [ares] "F:\Programme\Ares\Ares.exe" -h
O4 - HKCU\..\Run: [Timezone] "F:\Programme\Microsoft Time Zone\TimeZone.exe"
O4 - HKCU\..\Run: [ICQ] "F:\PROGRA~1\ICQ6\ICQ.exe" silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] F:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] F:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] F:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] F:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Acrobat Assistant.lnk = F:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = F:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = F:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: ATI CATALYST-Infobereich.lnk = F:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: Logitech SetPoint.lnk = F:\Programme\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Statusfenster für Canon LASER SHOT LBP-1120.LNK = F:\WINDOWS\system32\spool\drivers\w32x86\3\CAP3LAK.EXE
O8 - Extra context menu item: &Search - http://kp.bar.need2find.com/KP/menusearch.html?p=KP
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - F:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - F:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - F:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - F:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - F:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - F:\Programme\ICQ6\ICQ.exe
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - F:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - F:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Programme\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) - http://pdl.stream.aol.com/downloads/aol/unagi/ampx_en_dl.cab
O18 - Filter hijack: text/html - (no CLSID) - (no file)
O20 - Winlogon Notify: awtsr - F:\WINDOWS\system32\awtsr.dll (file missing)
O20 - Winlogon Notify: awtutuu - awtutuu.dll (file missing)
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - F:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Apple Mobile Device - Apple Inc. - F:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - F:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - F:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - F:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: DomainService - Unknown owner - F:\WINDOWS\system32\kagjkgxb.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - F:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - F:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - F:\WINDOWS\system32\nvsvc32.exe
O23 - Service: jqbucqaymfsg (qcmzowmr5) - Unknown owner - F:\WINDOWS\system32\lxtlaflo5.exe (file missing)
O23 - Service: StyleXPService - Unknown owner - F:\Programme\TGTSoft\StyleXP\StyleXPService.exe (file missing)

--
End of file - 10901 bytes

Mellosun · 15.09.2008, 15:26

Hallo und

,

meine Meinug zu dem System:

Nach 1/1,5 Jahren wird es Zeit das du das XP neu machst....da sind mir zuviele unbekannte Dateien im Logfile, die wir nicht mehr prüfen können (file missing)! Ich sehe da keine Chance einer sicheren Bereinigung!

Kannst mal nen Scan mit Malwarebytes machen und das Log nmach dem Scan Posten aber ich werde wohl bei meiner Meinung bleiben!

Gruß

smyle · 15.09.2008, 16:08

hey!

danke für die zügige antwort. ich kümmere mich mal um das programm und mach einen durchlauf den ich dann poste. wenn alles nicht mehr hilft muss ich dann wohl meine schwester zur kasse bitten :P

+

gruß

smyle · 15.09.2008, 17:28

so, ich hab den scan gemacht.dies ist das ergebnis

Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1155
Windows 5.1.2600 Service Pack 3

15.09.2008 18:27:37
mbam-log-2008-09-15 (18-27-37).txt

Scan-Methode: Vollständiger Scan (F:\|)
Durchsuchte Objekte: 137216
Laufzeit: 44 minute(s), 2 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 7
Infizierte Registrierungswerte: 4
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 5

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Juan (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Multimedia\WMPlayer\Schemes\f3pss (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DomainService (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DomainService (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\CAC (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\pandsf.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\New Windows\Allow\host-domain-lookup.com (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\New Windows\Allow\netsearchsoft.com (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\New Windows\Allow\www.host-domain-lookup.com (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\New Windows\Allow\www.netsearchsoft.com (Malware.Trace) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
F:\Dokumente und Einstellungen\Chris\Lokale Einstellungen\Temp\G2A4-tmp_.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
F:\WINDOWS\system32\mcrh.tmp (Malware.Trace) -> Quarantined and deleted successfully.
F:\WINDOWS\Fonts\acrsecB.fon (Trojan.Agent) -> Quarantined and deleted successfully.
F:\WINDOWS\Fonts\acrsecI.fon (Trojan.Agent) -> Quarantined and deleted successfully.
F:\WINDOWS\system32\nvs2.inf (Adware.EGDAccess) -> Quarantined and deleted successfully.

ich hoffe ihr könnt damit was anfangen.
gruß

Mellosun · 15.09.2008, 18:23

Mmmhh, das kann ich fast nicht glauben!

Lass uns mal bitte etwas tiefer graben!

1.) ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste die Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:

[code] Hier das Logfile rein! [/code]

2.) Führe dieses MBR-Tool aus und poste die Ausgabe

3.) Blacklight

Gruß

smyle · 15.09.2008, 19:40

hi!

so, auch das hab ich wie befohlen gemacht

Code:

ATTFilter

ComboFix 08-09-14.06 - Chris 2008-09-15 20:16:11.1 - NTFSx86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.1.1031.18.236 [GMT 2:00]
ausgeführt von:: F:\Dokumente und Einstellungen\Chris\Desktop\ComboFix.exe
 * Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((((((((((((((((   Weitere L”schungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

F:\Programme\download plugin
F:\Programme\download plugin\DlPlugin-Moz\buddy.dat
F:\Programme\download plugin\DlPlugin-Moz\vendor.txt
F:\Programme\Need2Find
F:\Programme\Need2Find\bar\History\search
F:\WINDOWS\smdat32a.sys
F:\WINDOWS\smdat32m.sys
F:\WINDOWS\system32\akcukupy.ini
F:\WINDOWS\system32\aprkrwhk.ini
F:\WINDOWS\system32\bcjgnwlr.ini
F:\WINDOWS\system32\bfqqxufo.ini
F:\WINDOWS\system32\cinuevij.ini
F:\WINDOWS\system32\cnwnfbhn.ini
F:\WINDOWS\system32\cqiyvqgo.ini
F:\WINDOWS\system32\cxjkkmir.ini
F:\WINDOWS\system32\dcwgudcn.ini
F:\WINDOWS\system32\ebmkegrp.ini
F:\WINDOWS\system32\edaahjpp.ini
F:\WINDOWS\system32\emljkfnw.ini
F:\WINDOWS\system32\essuukex.ini
F:\WINDOWS\system32\fjnphamv.ini
F:\WINDOWS\system32\gjbnjryp.ini
F:\WINDOWS\system32\gywhfcqo.ini
F:\WINDOWS\system32\hewhsdfy.ini
F:\WINDOWS\system32\hgaxyyvt.ini
F:\WINDOWS\system32\hmxuketr.ini
F:\WINDOWS\system32\hvoovbqo.ini
F:\WINDOWS\system32\iludptnt.ini
F:\WINDOWS\system32\jemmqvuu.ini
F:\WINDOWS\system32\jgsqdurv.ini
F:\WINDOWS\system32\jhaylpgi.ini
F:\WINDOWS\system32\jmwrgpii.ini
F:\WINDOWS\system32\jpyrbotb.ini
F:\WINDOWS\system32\jqvbbiya.ini
F:\WINDOWS\system32\jrnnidqn.ini
F:\WINDOWS\system32\jyrxvbyn.ini
F:\WINDOWS\system32\klbjoxmr.ini
F:\WINDOWS\system32\krlpaikd.ini
F:\WINDOWS\system32\meitcovt.ini
F:\WINDOWS\system32\nbfuuedx.ini
F:\WINDOWS\system32\nfvfmndg.ini
F:\WINDOWS\system32\nlenttwu.ini
F:\WINDOWS\system32\oamuopjk.ini
F:\WINDOWS\system32\okaycton.ini
F:\WINDOWS\system32\oktxhjck.ini
F:\WINDOWS\system32\olgiffyu.ini
F:\WINDOWS\system32\pbkyjbgy.ini
F:\WINDOWS\system32\phqllgdi.ini
F:\WINDOWS\system32\poeivfhl.ini
F:\WINDOWS\system32\prmerdsg.ini
F:\WINDOWS\system32\pulesubw.ini
F:\WINDOWS\system32\qbdkbluh.ini
F:\WINDOWS\system32\qgyybmsv.ini
F:\WINDOWS\system32\qodwdwmy.ini
F:\WINDOWS\system32\rfyejisf.ini
F:\WINDOWS\system32\rlaielhl.ini
F:\WINDOWS\system32\roxiojyk.ini
F:\WINDOWS\system32\rstwa.bak1
F:\WINDOWS\system32\rstwa.bak2
F:\WINDOWS\system32\rstwa.ini
F:\WINDOWS\system32\rstwa.ini2
F:\WINDOWS\system32\rstwa.tmp
F:\WINDOWS\system32\skstjtvy.ini
F:\WINDOWS\system32\tekcfvtx.ini
F:\WINDOWS\system32\tvjtipla.ini
F:\WINDOWS\system32\ubxwmwgh.ini
F:\WINDOWS\system32\ujjbrytp.ini
F:\WINDOWS\system32\uwkgm.dat
F:\WINDOWS\system32\uwkgm.exe
F:\WINDOWS\system32\uwkgm_nav.dat
F:\WINDOWS\system32\uwkgm_navps.dat
F:\WINDOWS\system32\vcehcffb.ini
F:\WINDOWS\system32\vjvyqbxa.ini
F:\WINDOWS\system32\vkrsmqwa.ini
F:\WINDOWS\system32\vllobwuu.ini
F:\WINDOWS\system32\voqcbtqr.ini
F:\WINDOWS\system32\vpjkovkv.ini
F:\WINDOWS\system32\vroyxeuj.ini
F:\WINDOWS\system32\wautqqqv.ini
F:\WINDOWS\system32\wjxabmuy.ini
F:\WINDOWS\system32\wkcwbmqg.ini
F:\WINDOWS\system32\wkxpjknk.ini
F:\WINDOWS\system32\wqnthfro.ini
F:\WINDOWS\system32\wttywqru.ini
F:\WINDOWS\system32\xgdqkwdg.ini
F:\WINDOWS\system32\xkqgavep.ini
F:\WINDOWS\system32\xwblchbj.ini
F:\WINDOWS\system32\xyftheve.ini
F:\WINDOWS\system32\ywgssgwr.ini

.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_DOMAINSERVICE


(((((((((((((((((((((((   Dateien erstellt von 2008-08-15 bis 2008-09-15  ))))))))))))))))))))))))))))))
.

2008-09-15 20:06 . 2008-09-15 20:06	<DIR>	d--------	F:\Programme\CCleaner
2008-09-15 17:04 . 2008-09-15 17:04	<DIR>	d--------	F:\Programme\Malwarebytes' Anti-Malware
2008-09-15 17:04 . 2008-09-15 17:04	<DIR>	d--------	F:\Dokumente und Einstellungen\Chris\Anwendungsdaten\Malwarebytes
2008-09-15 17:04 . 2008-09-15 17:04	<DIR>	d--------	F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-09-15 17:04 . 2008-09-10 00:04	38,528	--a------	F:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-09-15 17:04 . 2008-09-10 00:03	17,200	--a------	F:\WINDOWS\system32\drivers\mbam.sys
2008-09-15 14:57 . 2008-09-15 14:57	<DIR>	d--------	F:\Programme\Trend Micro
2008-09-15 13:08 . 2008-09-15 13:10	<DIR>	d--------	F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
2008-09-15 13:07 . 2008-09-15 13:07	<DIR>	d--------	F:\Programme\Bonjour
2008-09-15 09:38 . 2008-09-15 09:38	<DIR>	d--------	F:\Programme\grimaboutbolt
2008-09-06 15:09 . 2008-09-06 15:09	90,112	--a------	F:\WINDOWS\system32\QuickTimeVR.qtx
2008-09-06 15:09 . 2008-09-06 15:09	57,344	--a------	F:\WINDOWS\system32\QuickTime.qts
2008-08-29 10:18 . 2008-08-29 10:18	87,336	--a------	F:\WINDOWS\system32\dns-sd.exe
2008-08-29 09:53 . 2008-08-29 09:53	61,440	--a------	F:\WINDOWS\system32\dnssd.dll
2008-08-16 17:49 . 2008-08-16 17:49	<DIR>	d--------	F:\Programme\Apple Software Update

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-15 11:09	---------	d-----w	F:\Programme\iPod
2008-09-15 11:07	---------	d-----w	F:\Programme\QuickTime
2008-09-15 11:06	---------	d-----w	F:\Programme\Gemeinsame Dateien\Apple
2008-09-15 07:40	---------	d-----w	F:\Dokumente und Einstellungen\Chris\Anwendungsdaten\grimaboutbolt
2008-09-15 07:40	---------	d-----w	F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\flag ace stupid data
2008-09-03 20:10	---------	d-----w	F:\Programme\Mozilla Thunderbird
2008-08-28 08:07	---------	d-----w	F:\Programme\ICQ6
2008-08-20 22:43	---------	d-----w	F:\Programme\7-Zip
2008-07-29 10:18	---------	d-----w	F:\Programme\Gemeinsame Dateien\DVDVideoSoft
2008-07-26 08:28	---------	d-----w	F:\Programme\Sun
2008-07-26 08:28	---------	d-----w	F:\Programme\Java
2008-07-17 19:28	---------	d-----w	F:\Programme\DivX
2007-09-28 20:03	11,776	----a-w	F:\Dokumente und Einstellungen\Chris\setx.exe
2005-08-13 00:14	456	----a-w	F:\Programme\INSTALL.LOG
2005-05-27 18:21	56	--sh--r	F:\WINDOWS\system32\B28E9635EC.sys
2005-05-27 18:21	2,098	--sha-w	F:\WINDOWS\system32\KGyGaAvL.sys
2008-05-30 16:03	32,768	--sha-w	F:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008053020080531\index.dat
.

((((((((((((((((((((((((((((   Autostart Punkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="F:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="F:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe" [2005-09-03 94208]
"MessDefault"="F:\DOKUME~1\Chris\ANWEND~1\GRIMAB~1\DaleDraw.exe" [2008-09-15 518656]
"Octoshape Streaming Services"="F:\Programme\Octoshape Streaming Services\Chris\OctoshapeClient.exe" [2006-02-13 214648]
"ICQ"="F:\PROGRA~1\ICQ6\ICQ.exe" [2008-08-24 173304]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CAP3ON"="F:\WINDOWS\system32\spool\drivers\w32x86\3\CAP3ONN.EXE" [2002-07-29 22528]
"zBrowser Launcher"="F:\Programme\Logitech\iTouch\iTouch.exe" [2002-11-23 631362]
"NvCplDaemon"="F:\WINDOWS\system32\NvCpl.dll" [2005-08-25 7110656]
"SunJavaUpdateSched"="F:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"TkBellExe"="F:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2005-05-26 180269]
"NvMediaCenter"="F:\WINDOWS\system32\NvMcTray.dll" [2005-08-25 86016]
"NeroFilterCheck"="F:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 155648]
"TRIXX"="F:\Programme\TRIXX\TRIXX.exe" [2005-08-16 9576448]
"SNPSTD2"="F:\WINDOWS\vsnpstd2.exe" [2004-08-30 286720]
"ATICCC"="F:\Programme\ATI Technologies\ATI.ACE\cli.exe" [2005-08-06 61440]
"Stupid Data Dart Wave"="F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\flag ace stupid data\Lite Dart.exe" [2008-09-15 1763328]
"QuickTime Task"="F:\Programme\QuickTime\QTTask.exe" [2008-09-06 413696]
"AppleSyncNotifier"="F:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2008-09-03 111936]
"nForce Tray Options"="sstray.exe" [2002-11-13 F:\WINDOWS\system32\sstray.exe]
"TCASUTIEXE"="TCAUDIAG.exe" [2002-07-03 F:\WINDOWS\system32\TCAUDIAG.EXE]
"nwiz"="nwiz.exe" [2005-08-25 F:\WINDOWS\system32\nwiz.exe]
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-04-11 F:\WINDOWS\KHALMNPR.Exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="F:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.DIVF"= DivX412.dll
"vidc.XVID"= xvid.dll
"vidc.lsgc"= lsgc.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"F:\\Programme\\Messenger\\msmsgs.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"F:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"F:\\Programme\\MSN Messenger\\livecall.exe"=
"F:\\Programme\\ICQ6\\ICQ.exe"=
"F:\\Programme\\Bonjour\\mDNSResponder.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"6112:TCP"= 6112:TCP:WC3

R0 si3112r;Silicon Image SiI 3112 SATARaid Controller;F:\WINDOWS\system32\drivers\si3112r.sys [2002-10-16 84529]
R1 TRIXX;TRIXX;F:\Programme\TRIXX\TRIXXDriver.sys [2005-08-16 15360]
R2 tcaicchg;tcaicchg;F:\WINDOWS\system32\tcaicchg.sys [2000-06-06 21233]
R2 TCAITDI;TCAITDI Protocol;F:\WINDOWS\system32\DRIVERS\TCAITDI.sys [2001-09-03 19534]
S0 ElbyVCD;ElbyVCD;F:\WINDOWS\system32\DRIVERS\ElbyVCD.sys [ ]
S0 IFP300;iRiver Internet Audio Player IFP-300;F:\WINDOWS\system32\DRIVERS\ifp300.sys [ ]
S2 qcmzowmr5;jqbucqaymfsg;F:\WINDOWS\system32\lxtlaflo5.exe [ ]
S2 SVKP;SVKP;F:\WINDOWS\system32\SVKP.sys [ ]
S3 iatmunin;iatmunin;F:\DOKUME~1\Chris\LOKALE~1\Temp\iatmunin.sys [ ]
S3 kxtonwmk;kxtonwmk;F:\WINDOWS\system32\drivers\kxtonwmk.sys [ ]
S3 snpstd2;Trek 310;F:\WINDOWS\system32\DRIVERS\snpstd2.sys [2005-05-23 392448]
.
Inhalt des "geplante Tasks" Ordners
.
- - - - Entfernte verwaiste Registrierungseintr„ge - - - -

BHO-{179924D6-5EE7-B76C-6566-CB186532F3AB} - (no file)
BHO-{6C31823F-C64D-453D-A272-008A3B97A781} - (no file)
BHO-{F1325532-32EE-3785-88DC-0AFFE55BC052} - (no file)
HKLM-Run-uwkgm - f:\windows\system32\uwkgm.exe
HKLM-Run-iTunesHelper - I:\iTunes\iTunesHelper.exe
HKLM-Run-NWEReboot - (no file)
Notify-awtutuu - awtutuu.dll
MSConfigStartUp-ICQ Lite - F:\Programme\ICQLite\ICQLite.exe
MSConfigStartUp-iTunesHelper - F:\Programme\iTunes\iTunesHelper.exe
MSConfigStartUp-Steam - D:\Steam\Steam.exe


.
------- Zus„tzlicher Scan -------
.
FireFox -: Profile - F:\Dokumente und Einstellungen\Chris\Anwendungsdaten\Mozilla\Firefox\Profiles\ebblbmic.default\
FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF -: plugin - D:\NetPumper\ALNN\npalnn.dll
FF -: plugin - F:\Dokumente und Einstellungen\Chris\Anwendungsdaten\Mozilla\plugins\npoctoshape.dll
FF -: plugin - F:\Programme\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll
FF -: plugin - F:\Programme\Gemeinsame Dateien\fluxDVD\APIX\NPAPIX.dll
FF -: plugin - F:\Programme\Gemeinsame Dateien\fluxDVD\BrowserIntegration\NPFluxBrowserHelper.dll
FF -: plugin - F:\Programme\Gemeinsame Dateien\mpDRM\NPMPDRM.dll
FF -: plugin - F:\Programme\Mozilla Firefox\plugins\npalnn.dll
FF -: plugin - F:\Programme\Mozilla Firefox\plugins\NPAPIX.dll
FF -: plugin - F:\Programme\Mozilla Firefox\plugins\NPFluxBrowserHelper.dll
FF -: plugin - F:\Programme\Mozilla Firefox\plugins\npmozax.dll
FF -: plugin - F:\Programme\Mozilla Firefox\plugins\NPMPDRM.dll
FF -: plugin - F:\Programme\Mozilla Firefox\plugins\npwinamp.dll
FF -: plugin - F:\Programme\Octoshape Streaming Services\Chris\octoprogram-L03-NMS0806110_SUA_000\npoctoshape.dll
FF -: plugin - F:\Programme\Octoshape Streaming Services\Chris\octoprogram-L03-NMS0806260_SUA_000\npoctoshape.dll
FF -: plugin - F:\Programme\Real\RealOne Player\Netscape6\nppl3260.dll
FF -: plugin - F:\Programme\Real\RealOne Player\Netscape6\nprjplug.dll
FF -: plugin - F:\Programme\Real\RealOne Player\Netscape6\nprpjplug.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-15 20:21:42
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

Prozess: F:\WINDOWS\explorer.exe
-> F:\Programme\TRIXX\TRIXXHOOKS.dll
.
------------------------ Weitere, laufende Prozesse ------------------------
.
F:\WINDOWS\system32\ati2evxx.exe
F:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
F:\WINDOWS\system32\ati2evxx.exe
F:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
F:\Programme\Bonjour\mDNSResponder.exe
F:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
F:\WINDOWS\system32\CAP3RSK.EXE
F:\WINDOWS\system32\spool\drivers\w32x86\3\CAP3SWK.EXE
F:\Programme\Internet Explorer\iexplore.exe
F:\Programme\ICQ6\ICQ.exe
F:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
F:\Programme\Internet Explorer\iexplore.exe
F:\WINDOWS\system32\spool\drivers\w32x86\3\CAP3LAK.EXE
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-09-15 20:30:19 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2008-09-15 18:30:13

Pre-Run: 9 Verzeichnis(se), 13,612,466,176 Bytes frei
Post-Run: 14 Verzeichnis(se), 13,870,428,160 Bytes frei

277	--- E O F ---	2008-09-10 16:56:30

hier MBR tool

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

blacklight kam zu keinem ergebnis, nix gefunden?

hilft dir das weiter?kannst du daraus was erkennen?
hoffe alles richtig gemacht zu haben.

Gruß

iexplore, please help

Log-Analyse und Auswertung: iexplore, please help