Liebe TrojanerJäger,

ich hab seit gestern auch diese widerliche Biest Antirus 2009;
eventuell noch andere Plagegeister auf meinem PC.
Fing an mit ständigen Pop UPs im IE, PC wurde langsamer usw.
Nachdem ich mir die neueste Version von Antivir draufgezogen habe,
bleibt noch dieses Antivirus 2009 Micro. Kann mir jemand weiterhelfen.
vg

Hallo und
Mit diesen Angaben wird dir keiner Helfen können....
Bitte beachte die Trojaner-Board - Impressum
wenn du willst das dir geholfen wird ansonsten wird dein Beitrag ganz schnell gelöscht
Ausserdem solltest du einen Hijack Log posten da dir sonst auch keiner Helfen kann ;-)
Mfg
zZz

bitte schön: mein HiJack file;
hoffe so funktioniert es.

vg

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:25:20, on 16.09.2008
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Sogou PXP\p2psvr.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\faceback.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\MicroAV\MicroAV.exe
C:\Windows\system32\YUR6.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Twain\Twain.exe
C:\Programme\Antivirus 2009\av2009.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\explorer.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R3 - URLSearchHook: SrchspHook Class - {22F86F33-9CBB-49a8-BB12-CDBE51B4C294} - C:\PROGRA~2\OCINS\srchsp.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SYSTEMS] C:\Program Files\Common Files\rundll32.exe
O4 - HKLM\..\Run: [prunnet] "C:\DOKUME~1\ADMINI~1.HEL\LOKALE~1\Temp\prun.exe"
O4 - HKLM\..\Run: [runner1] C:\WINDOWS\faceback.exe 61A847B5BBF728173599284503996897C881250221C8670836AC4FA7C8833201749139
O4 - HKLM\..\Run: [f0c38a27] rundll32.exe "C:\WINDOWS\System32\irensmdn.dll",b
O4 - HKLM\..\Run: [\YUR17.exe] C:\Windows\system32\YUR17.exe
O4 - HKLM\..\Run: [\YUR18.exe] C:\Windows\system32\YUR18.exe
O4 - HKLM\..\Run: [\YUR19.exe] C:\Windows\system32\YUR19.exe
O4 - HKLM\..\Run: [\YUR1A.exe] C:\Windows\system32\YUR1A.exe
O4 - HKLM\..\Run: [ANTIVIRUS] C:\Programme\MicroAV\MicroAV.exe
O4 - HKLM\..\Run: [Windows] C:\DOKUME~1\ADMINI~1.HEL\LOKALE~1\Temp\Setup_ver1.1400.0.exe
O4 - HKLM\..\Run: [\YUR1F.exe] C:\Windows\system32\YUR1F.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [\YUR6.exe] C:\Windows\system32\YUR6.exe
O4 - HKLM\..\Run: [BMf3f0b9bb] Rundll32.exe "C:\WINDOWS\System32\bjcnnrjn.dll",s
O4 - HKLM\..\Run: [\YUR1.exe] C:\Windows\system32\YUR1.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [RealPlayer] "C:\Programme\Real\RealPlayer\realplay.exe" /RunUPGToolCommandReBoot
O4 - HKCU\..\Run: [WM Ticket Alert] "C:\Programme\MedienTeam66\WM Ticket Finder\WM_Ticket_Finder.exe"
O4 - HKCU\..\Run: [prunnet] "C:\DOKUME~1\ADMINI~1.HEL\LOKALE~1\Temp\prun.exe"
O4 - HKCU\..\Run: [Twain] C:\Programme\Twain\Twain.exe
O4 - HKCU\..\Run: [72797369141520216513780341511085] C:\Programme\Antivirus 2009\av2009.exe
O4 - HKCU\..\Run: [\YUR17.exe] C:\Windows\system32\YUR17.exe
O4 - HKCU\..\Run: [\YUR18.exe] C:\Windows\system32\YUR18.exe
O4 - HKCU\..\Run: [\YUR19.exe] C:\Windows\system32\YUR19.exe
O4 - HKCU\..\Run: [\YUR1A.exe] C:\Windows\system32\YUR1A.exe
O4 - HKCU\..\Run: [ANTIVIRUS] C:\Programme\MicroAV\MicroAV.exe
O4 - HKCU\..\Run: [\YUR1F.exe] C:\Windows\system32\YUR1F.exe
O4 - HKCU\..\Run: [\YUR1.exe] C:\Windows\system32\YUR1.exe
O4 - HKCU\..\Run: [\YUR2.exe] C:\Windows\system32\YUR2.exe
O4 - HKCU\..\Run: [\YUR4.exe] C:\Windows\system32\YUR4.exe
O4 - HKCU\..\Run: [\YUR3.exe] C:\Windows\system32\YUR3.exe
O4 - HKCU\..\Run: [\YUR6.exe] C:\Windows\system32\YUR6.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {05C1004E-2596-48E5-8E26-39362985EEB9} (MMCPlayer Class) - http://p3p.sogou.com/MMCShell.cab
O16 - DPF: {A922B6AB-3B87-11D3-B3C2-0008C7DA6CB9} (InetDownload Class) - http://www.arcor.de/vod/dmd/WMDownload.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8590C7D7-D462-4987-BBE8-213670E212A4}: NameServer = 212.19.48.14
O20 - AppInit_DLLs: dzdlxc.dll
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: P4P Service - Sohu.com Inc. - C:\Programme\Gemeinsame Dateien\Sogou PXP\p2psvr.exe
O23 - Service: Steganos VPN Starter Service (SVPNStarter) - Unknown owner - C:\Programme\Steganos Internet Anonym VPN\SVPNStarter.exe

--
End of file - 6685 bytes

Hi,
Dein Rechner ist ordentlich zugemüllt. Am besten wäre es wenn du neuaufsetzt. Auf jednefall solltest du von einem sauberen Rechner aus deine Passswörter ändern.


EDIT: What zZz said
lg myrtille

Was sogar ich dir als leie sagen kann ist das dein Internet Explorer 6 anfällig für viren ist du solltest dir immer die aktuellste version herunterladen
und 2 hast du nicht GENAU angegeben was gefunden wurde wie die Viren heißen und den Pfad sondern nur den Hijack ist zwar schon mal ein anfang....
wenn du noch den namen der viren postet und wo sie waren kann dir besser geholfen werden

danke bis hierhin;
werde die Combifix Lösung probieren.
Heisst ich muss mir die schritte alle merken, da firefos und sonstiges geschlossen sein muss?
wie schliesse ich antivir ; rechts unten neben der Uhr?

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Dienstag, 16. September 2008 11:31

Es wird nach 1369550 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (plain) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: HELMUT

Versionsinformationen:
BUILD.DAT : 8.1.0.331 16934 Bytes 12.08.2008 11:44:00
AVSCAN.EXE : 8.1.4.7 315649 Bytes 26.06.2008 08:57:49
AVSCAN.DLL : 8.1.4.0 48897 Bytes 09.05.2008 11:27:06
LUKE.DLL : 8.1.4.5 164097 Bytes 12.06.2008 12:44:16
LUKERES.DLL : 8.1.4.0 12545 Bytes 09.05.2008 11:40:42
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 10:33:34
ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24.06.2008 13:54:15
ANTIVIR2.VDF : 7.0.5.20 142336 Bytes 30.06.2008 05:20:53
ANTIVIR3.VDF : 7.0.5.23 17408 Bytes 30.06.2008 09:24:47
Engineversion : 8.1.1.19
AEVDF.DLL : 8.1.0.5 102772 Bytes 25.02.2008 09:58:21
AESCRIPT.DLL : 8.1.0.63 311673 Bytes 06.08.2008 13:13:47
AESCN.DLL : 8.1.0.23 119156 Bytes 10.07.2008 12:44:49
AERDL.DLL : 8.1.0.20 418165 Bytes 24.04.2008 12:37:48
AEPACK.DLL : 8.1.2.1 364917 Bytes 15.07.2008 12:58:35
AEOFFICE.DLL : 8.1.0.21 192891 Bytes 18.07.2008 06:35:21
AEHEUR.DLL : 8.1.0.47 1368437 Bytes 06.08.2008 13:13:47
AEHELP.DLL : 8.1.0.15 115063 Bytes 10.07.2008 12:44:48
AEGEN.DLL : 8.1.0.35 315764 Bytes 06.08.2008 14:38:47
AEEMU.DLL : 8.1.0.7 430452 Bytes 31.07.2008 08:33:21
AECORE.DLL : 8.1.1.8 172406 Bytes 31.07.2008 08:33:21
AEBB.DLL : 8.1.0.1 53617 Bytes 10.07.2008 12:44:48
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09.07.2008 08:40:02
AVPREF.DLL : 8.0.2.0 38657 Bytes 16.05.2008 09:27:58
AVREP.DLL : 7.0.0.1 155688 Bytes 30.06.2008 14:29:36
AVREG.DLL : 8.0.0.1 33537 Bytes 09.05.2008 11:26:37
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12.06.2008 12:27:46
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12.06.2008 12:49:36
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 12.06.2008 13:45:01
RCTEXT.DLL : 8.0.52.0 86273 Bytes 27.06.2008 13:32:05

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Dienstag, 16. September 2008 11:31

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'acrotray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'av2009.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Twain.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'prun.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msmsgs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'YUR1F.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'YUR1A.exe' - '1' Modul(e) wurden durchsucht
Modul ist infiziert -> 'C:\Windows\system32\YUR1A.exe'
Durchsuche Prozess 'YUR19.exe' - '1' Modul(e) wurden durchsucht
Modul ist infiziert -> 'C:\Windows\system32\YUR19.exe'
Durchsuche Prozess 'YUR18.exe' - '1' Modul(e) wurden durchsucht
Modul ist infiziert -> 'C:\Windows\system32\YUR18.exe'
Durchsuche Prozess 'YUR17.exe' - '1' Modul(e) wurden durchsucht
Modul ist infiziert -> 'C:\Windows\system32\YUR17.exe'
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'faceback.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'qttask.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'daemon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'fpassist.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winampa.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVPNStarter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'p2psvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Prozess 'YUR1A.exe' wird beendet
Prozess 'YUR19.exe' wird beendet
Prozess 'YUR18.exe' wird beendet
Prozess 'YUR17.exe' wird beendet
C:\Windows\system32\YUR1A.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Die Datei wurde gelöscht.
C:\Windows\system32\YUR19.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Die Datei wurde gelöscht.
C:\Windows\system32\YUR18.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Die Datei wurde gelöscht.
C:\Windows\system32\YUR17.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Die Datei wurde gelöscht.

Es wurden '45' Prozesse mit '41' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
C:\WINDOWS\system32\YUR1.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Die Datei wurde gelöscht.
C:\WINDOWS\system32\YUR2.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Die Datei wurde gelöscht.
C:\WINDOWS\system32\YUR4.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Die Datei wurde gelöscht.
C:\WINDOWS\system32\YUR3.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Die Datei wurde gelöscht.

Die Registry wurde durchsucht ( '60' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <Erste Liga>
C:\empa.exe
[0] Archivtyp: RAR SFX (self extracting)
--> 0.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
--> 1.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
--> 2.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
--> 3.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
--> 4.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Die Datei wurde gelöscht.
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\x
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Administrator.HELMUT\Lokale Einstellungen\Temp\clobs.dll
[FUND] Enthält Erkennungsmuster eines vermutlich beschädigten Samples CC/Unk.Damaged.C
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Administrator.HELMUT\Lokale Einstellungen\Temp\lwpwer.exe
[0] Archivtyp: RAR SFX (self extracting)
--> 0.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
--> 1.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
--> 2.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
--> 3.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
--> 4.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Administrator.HELMUT\Lokale Einstellungen\Temporary Internet Files\Content.IE5\E5MRY5A9\Uninstaller[1].exe
[0] Archivtyp: RAR SFX (self extracting)
--> 0.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
--> 1.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
--> 2.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
--> 3.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
--> 4.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Administrator.HELMUT\Lokale Einstellungen\Temporary Internet Files\Content.IE5\E5MRY5A9\Uninstaller[2].exe
[0] Archivtyp: RAR SFX (self extracting)
--> 0.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
--> 1.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
--> 2.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
--> 3.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
--> 4.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Helmut\Lokale Einstellungen\Temp\ADMCache\adm7B.tmp
[0] Archivtyp: CAB (Microsoft)
--> asm.exe
[FUND] Enthält verdächtigen Code: HEUR/Crypted
[HINWEIS] Die Datei wurde gelöscht.
C:\Programme\PCHealthCenter\0.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Die Datei wurde gelöscht.
C:\Programme\PCHealthCenter\1.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Die Datei wurde gelöscht.
C:\Programme\PCHealthCenter\2.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Die Datei wurde gelöscht.
C:\Programme\PCHealthCenter\3.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Die Datei wurde gelöscht.
C:\Programme\PCHealthCenter\4.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{125DC3BD-DBAD-4721-BCCE-208EBA546920}\RP545\A0350248.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{125DC3BD-DBAD-4721-BCCE-208EBA546920}\RP549\A0351477.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{125DC3BD-DBAD-4721-BCCE-208EBA546920}\RP549\A0351478.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{125DC3BD-DBAD-4721-BCCE-208EBA546920}\RP549\A0351479.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{125DC3BD-DBAD-4721-BCCE-208EBA546920}\RP549\A0351480.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{125DC3BD-DBAD-4721-BCCE-208EBA546920}\RP549\A0351481.exe
[0] Archivtyp: RAR SFX (self extracting)
--> 0.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
--> 1.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
--> 2.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
--> 3.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
--> 4.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{125DC3BD-DBAD-4721-BCCE-208EBA546920}\RP549\A0351482.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{125DC3BD-DBAD-4721-BCCE-208EBA546920}\RP549\A0351483.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{125DC3BD-DBAD-4721-BCCE-208EBA546920}\RP549\A0351484.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{125DC3BD-DBAD-4721-BCCE-208EBA546920}\RP549\A0351485.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{125DC3BD-DBAD-4721-BCCE-208EBA546920}\RP549\A0351486.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Die Datei wurde gelöscht.
Beginne mit der Suche in 'D:\' <Zweite Liga>


Ende des Suchlaufs: Dienstag, 16. September 2008 12:49
Benötigte Zeit: 1:17:57 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

6010 Verzeichnisse wurden überprüft
299215 Dateien wurden geprüft
54 Viren bzw. unerwünschte Programme wurden gefunden
1 Dateien wurden als verdächtig eingestuft
31 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
299158 Dateien ohne Befall
4304 Archive wurden durchsucht
2 Warnungen
31 Hinweise

Hi,

Firefox muss nur geschlossen sein, während Combofix selbst läuft. In der Zeit selbst solltest du auch gar nichts an dem Rechner tun. Wenn das Programm fertig gelaufen ist, kommt das Textfenster und dann kannst du auch wieder Firefox öffnen.

Antivir sollte von Anfang deaktiviert sein. Neben der Uhr, ja.
ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser. Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung(hier alle Programme wie zb Firefox beenden)

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt,(ab hier kannst du wieder programme ausführen) diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat! Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.


lg myrtille

nachdem ich CCleaner laufen lasse fragt das tool,
ob Änderungen in der registry gesichert werden sollen?
Wenn speichern, wohin?
vg

hi !

mein combofix log:

ComboFix 08-09-15.02 - Administrator 2008-09-16 14:34:15.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.0.1252.1.1031.18.14 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Administrator.HELMUT\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Administrator.HELMUT\Lokale Einstellungen\Anwendungsdaten\baidu
C:\Dokumente und Einstellungen\Administrator.HELMUT\Lokale Einstellungen\Temporary Internet Files\bestwiner.stt
C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\2556~1
C:\Dokumente und Einstellungen\Helmut\Cookies\helmut@ad.yieldmanager[2].txt
C:\m.exe
C:\ntldr.exe
C:\p.exe
C:\Programme\Antivirus 2009
C:\Programme\Antivirus 2009\av2009.exe
C:\Programme\baidu
C:\Programme\Gemeinsame Dateien\sogou pxp
C:\Programme\Gemeinsame Dateien\sogou pxp\p2psvr.exe
C:\Programme\inetget2
C:\Programme\MyWay
C:\Programme\MyWay\myBar\1.bin\MYWAYPLUGINPROXY.CLASS
C:\Programme\MyWay\myBar\1.bin\PARTNER.BMP
C:\Programme\MyWay\myBar\1.bin\PARTNER.DAT
C:\Programme\MyWay\myBar\1.bin\PARTNER2.DAT
C:\Programme\MyWay\myBar\1.bin\PARTNER3.DAT
C:\Programme\MyWay\myBar\1.bin\PARTNER4.DAT
C:\Programme\MyWay\myBar\1.bin\PARTNER5.DAT
C:\Programme\MyWay\myBar\1.bin\PARTNER6.DAT
C:\Programme\MyWay\myBar\Cache\02366855
C:\Programme\MyWay\myBar\Cache\023670F1.bin
C:\Programme\MyWay\myBar\Cache\023672DB.bin
C:\Programme\MyWay\myBar\Cache\02367494.bin
C:\Programme\MyWay\myBar\Cache\files.ini
C:\Programme\MyWay\myBar\History\search
C:\Programme\MyWay\myBar\Settings\prevcfg.htm
C:\Programme\PCHealthCenter\0.exe
C:\Programme\PCHealthCenter\0.gif
C:\Programme\PCHealthCenter\1.exe
C:\Programme\PCHealthCenter\1.gif
C:\Programme\PCHealthCenter\1.ico
C:\Programme\PCHealthCenter\2.exe
C:\Programme\PCHealthCenter\2.gif
C:\Programme\PCHealthCenter\2.ico
C:\Programme\PCHealthCenter\3.exe
C:\Programme\PCHealthCenter\3.gif
C:\Programme\PCHealthCenter\4.exe
C:\Programme\PCHealthCenter\5.exe
C:\Programme\PCHealthCenter\7.exe
C:\Programme\PCHealthCenter\sc.html
C:\Programme\Twain\Twain.exe
C:\q.exe
C:\Temp\1cb
C:\Temp\1cb\syscheck.log
C:\WINDOWS\b148.exe
C:\WINDOWS\b157.exe
C:\WINDOWS\BMf3f0b9bb.txt
C:\WINDOWS\BMf3f0b9bb.xml
C:\WINDOWS\cookies.ini
C:\WINDOWS\faceback.exe
C:\WINDOWS\ocinfo.dat
C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\aghofu.dll
C:\WINDOWS\system32\awttusTM.dll
C:\WINDOWS\system32\bjcnnrjn.dll
C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\CPV.stt
C:\WINDOWS\system32\czskwg.dll
C:\WINDOWS\system32\dzdlxc.dll
C:\WINDOWS\system32\gdutahen.ini
C:\WINDOWS\system32\gfiomnqf.dll
C:\WINDOWS\system32\grfccxgk.ini
C:\WINDOWS\system32\hhmhjvbf.dll
C:\WINDOWS\system32\iexp_log.txt
C:\WINDOWS\system32\ijjRqBeg.ini
C:\WINDOWS\system32\ijjRqBeg.ini2
C:\WINDOWS\system32\infhhroa.dll
C:\WINDOWS\system32\irensmdn.dll
C:\WINDOWS\system32\khfGvtRL.dll
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\mlJBTjkj.dll
C:\WINDOWS\system32\MSINET.oca
C:\WINDOWS\system32\ndmsneri.ini
C:\WINDOWS\system32\ndmsneri.ini2
C:\WINDOWS\system32\ndmsneri.tmp
C:\WINDOWS\system32\opnmNExV.dll
C:\WINDOWS\system32\pac.txt
C:\WINDOWS\system32\pnugppvg.dll
C:\WINDOWS\system32\rqRJBUkl.dll
C:\WINDOWS\system32\urqOExyX.dll
C:\WINDOWS\system32\yeerfkky.ini
C:\WINDOWS\system32\YUR1.exe
C:\WINDOWS\Temp\tmp3.tmp
C:\x.exe
C:\y.exe

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_BDGUARD
-------\Legacy_CNPROV
-------\Legacy_P4P_SERVICE
-------\Service_P4P Service


((((((((((((((((((((((( Dateien erstellt von 2008-08-16 bis 2008-09-16 ))))))))))))))))))))))))))))))
.

2008-09-16 14:02 . 2008-09-16 14:02 <DIR> d-------- C:\Programme\CCleaner
2008-09-16 13:24 . 2008-09-16 13:24 <DIR> d-------- C:\Programme\Trend Micro
2008-09-16 11:34 . 2008-09-16 14:32 1,206,005 --a------ C:\empa.exe
2008-09-16 11:33 . 2008-09-15 01:50 78,848 --a------ C:\x
2008-09-16 11:11 . 2008-09-16 11:11 <DIR> d-------- C:\Programme\Avira
2008-09-16 11:11 . 2008-09-16 11:11 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Avira
2008-09-16 09:22 . 2008-09-16 09:22 <DIR> d-------- C:\Programme\MS Antivirus
2008-09-16 09:17 . 2008-09-16 09:17 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Kaspersky Lab Setup Files
2008-09-16 09:17 . 2008-09-15 01:50 3,262 --a------ C:\WINDOWS\system32\2.ico
2008-09-16 09:14 . 2008-09-15 01:50 166,912 --a------ C:\WINDOWS\system32\MicroAV.cpl
2008-09-16 09:13 . 2008-09-16 14:45 <DIR> d-------- C:\Programme\PCHealthCenter
2008-09-16 09:13 . 2008-09-16 09:13 <DIR> d-------- C:\Programme\MicroAV
2008-09-16 09:13 . 2008-09-15 01:50 3,262 --a------ C:\WINDOWS\system32\1.ico
2008-09-15 22:42 . 2008-06-22 21:15 32,645,632 --a------ C:\Programme\kis8.0.0.357en.EXE
2008-09-15 20:04 . 2008-09-15 20:04 <DIR> d-------- C:\Programme\Alwil Software
2008-09-15 20:04 . 2003-03-18 22:20 1,060,864 --a------ C:\WINDOWS\system32\MFC71.dll
2008-09-15 20:04 . 2003-03-18 21:14 499,712 --a------ C:\WINDOWS\system32\MSVCP71.dll
2008-09-15 18:49 . 2008-09-15 18:49 81,920 --ahs---- C:\WINDOWS\system32\yayaXQkL.dll
2008-09-14 13:53 . 2008-09-15 22:09 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\TEMP
2008-09-13 18:44 . 2008-09-16 14:35 <DIR> d-------- C:\Programme\Twain
2008-09-13 18:39 . 2008-09-13 18:39 <DIR> d-------- C:\Programme\Webtools
2008-09-13 18:34 . 2008-09-13 18:34 <DIR> d-------- C:\Programme\Mjcore
2008-09-12 18:59 . 2008-09-12 18:59 <DIR> d-------- C:\WINDOWS\system32\hui
2008-09-12 18:59 . 2008-09-12 18:59 <DIR> d-------- C:\WINDOWS\system32\esx
2008-09-12 18:59 . 2008-09-12 18:59 99,328 --a------ C:\WINDOWS\stfMeane1000106.exe
2008-09-12 18:27 . 2008-09-12 18:59 <DIR> d-------- C:\WINDOWS\system32\101
2008-09-12 18:27 . 2008-09-12 18:27 690,396 --a------ C:\Temp\aemu57.exe
2008-09-12 18:26 . 2008-09-12 18:26 <DIR> d-------- C:\WINDOWS\system32\mC19
2008-09-12 18:26 . 2008-09-12 18:28 <DIR> d-------- C:\Temp\mtc2
2008-09-12 18:26 . 2008-09-16 14:37 <DIR> d-------- C:\Temp
2008-09-12 18:25 . 2008-09-12 18:25 311,808 --a------ C:\WINDOWS\system32\geBqRjji.dll
2008-09-12 18:20 . 2008-09-12 18:20 81,920 --ahs---- C:\WINDOWS\system32\tuvSmmmM.dll
2008-09-12 18:20 . 2008-09-12 18:20 59,392 --a------ C:\WINDOWS\system32\qoMfgHYS.dll
2008-09-06 16:27 . 2001-08-17 14:03 24,192 --a------ C:\WINDOWS\system32\drivers\usbser.sys
2008-09-06 16:27 . 2001-08-17 14:03 24,192 --a--c--- C:\WINDOWS\system32\dllcache\usbser.sys
2008-08-24 02:16 . 2008-08-06 00:02 129,784 --------- C:\WINDOWS\system32\pxafs.dll
2008-08-24 02:16 . 2008-08-06 00:02 120,056 --------- C:\WINDOWS\system32\pxcpyi64.exe
2008-08-24 02:16 . 2008-08-06 00:02 118,520 --------- C:\WINDOWS\system32\pxinsi64.exe
2008-08-24 02:16 . 2008-08-06 00:02 9,464 --------- C:\WINDOWS\system32\drivers\cdralw2k.sys
2008-08-24 02:16 . 2008-08-06 00:02 9,336 --------- C:\WINDOWS\system32\drivers\cdr4_xp.sys
2008-08-24 02:13 . 2008-08-24 02:14 20,360,464 --a------ C:\Programme\DivXInstaller.exe
2008-08-19 19:38 . 2008-08-19 19:38 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator.HELMUT\Anwendungsdaten\eMule
2008-08-19 19:38 . 2008-08-19 19:38 3,231,826 --a------ C:\Programme\eMule0.49b-Installer1.exe
2008-08-17 19:03 . 2008-09-06 16:52 <DIR> d-------- C:\Programme\Veetle
2008-08-17 19:03 . 2008-08-17 19:03 48,396 --a------ C:\WINDOWS\UninstVeetleTVPlayer.exe
2008-08-17 19:02 . 2008-08-17 19:03 4,108,716 --a------ C:\Programme\veetle-0.9.5.exe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-24 00:17 --------- d-----w C:\Programme\divx
2008-08-19 17:38 --------- d-----w C:\Programme\eMule
2008-08-05 22:02 524,288 ----a-w C:\WINDOWS\system32\DivXsm.exe
2008-08-05 22:02 43,528 ------w C:\WINDOWS\system32\drivers\pxhelp20.sys
2008-08-05 22:02 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll
2008-08-05 22:00 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
2008-08-05 22:00 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
2008-08-05 21:59 81,920 ----a-w C:\WINDOWS\system32\dpl100.dll
2008-08-05 21:59 593,920 ----a-w C:\WINDOWS\system32\dpuGUI11.dll
2008-08-05 21:59 57,344 ----a-w C:\WINDOWS\system32\dpv11.dll
2008-08-05 21:59 53,248 ----a-w C:\WINDOWS\system32\dpuGUI10.dll
2008-08-05 21:59 344,064 ----a-w C:\WINDOWS\system32\dpus11.dll
2008-08-05 21:59 294,912 ----a-w C:\WINDOWS\system32\dpu11.dll
2008-08-05 21:59 294,912 ----a-w C:\WINDOWS\system32\dpu10.dll
2008-08-05 21:59 196,608 ----a-w C:\WINDOWS\system32\dtu100.dll
2008-08-05 21:58 823,296 ----a-w C:\WINDOWS\system32\divx_xx0c.dll
2008-08-05 21:58 823,296 ----a-w C:\WINDOWS\system32\divx_xx07.dll
2008-08-05 21:58 815,104 ----a-w C:\WINDOWS\system32\divx_xx0a.dll
2008-08-05 21:58 802,816 ----a-w C:\WINDOWS\system32\divx_xx11.dll
2008-08-05 21:58 683,520 ----a-w C:\WINDOWS\system32\DivX.dll
2008-08-05 21:58 161,096 ----a-w C:\WINDOWS\system32\DivXCodecVersionChecker.exe
2008-08-05 21:58 12,288 ----a-w C:\WINDOWS\system32\DivXWMPExtType.dll
2008-07-20 19:32 --------- d-----w C:\Programme\Golf
2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll
2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll
2008-04-20 18:50 15,253,839 ----a-w C:\Programme\siavpnint.exe
2007-04-20 13:12 574 ----a-w C:\Programme\changeLog.txt
2007-04-20 12:31 2,274,815 ----a-w C:\Programme\Setup-SopCast-1.1.2-2007-04-20.exe
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{3B09E66A-4D3C-4E54-B991-74BDD315BFA1}]
2008-09-12 18:25 311808 --a------ C:\WINDOWS\System32\geBqRjji.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{727B4230-721D-42E6-854F-D3ABC3EAB743}]
2008-09-12 18:20 59392 --a------ C:\WINDOWS\System32\qoMfgHYS.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C9D4D398-B967-48AA-B6CB-40B8A7F8AEBB}]
2008-09-16 14:55 312320 --a------ C:\WINDOWS\System32\jkkHBRjK.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2001-08-18 14:00 13312]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2001-08-02 07:14 1077277]
"RealPlayer"="C:\Programme\Real\RealPlayer\realplay.exe" [2006-05-27 22:27 1003520]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WinampAgent"="C:\Programme\Winamp\winampa.exe" [2003-12-13 02:50 33792]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2004-03-24 10:04 3309568]
"FreePDF Assistant"="C:\Programme\FreePDF_XP\fpassist.exe" [2005-05-27 11:24 146944]
"DAEMON Tools-1033"="C:\Programme\D-Tools\daemon.exe" [2003-04-27 11:54 77824]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2005-08-31 14:36 180269]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-10-25 19:58 282624]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50 155648]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2006-10-30 10:36 256576]
"f0c38a27"="C:\WINDOWS\System32\xjsgbvvq.dll" [2008-09-16 14:59 82944]
"ANTIVIRUS"="C:\Programme\MicroAV\MicroAV.exe" [2008-09-15 01:50 397312]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 14:28 266497]
"BMf3f0b9bb"="C:\WINDOWS\System32\cxwqiqns.dll" [2008-09-16 14:58 90112]
"nwiz"="nwiz.exe" [2004-03-24 10:04 782336 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="NvMCTray.dll" [2004-03-24 10:04 46080 C:\WINDOWS\system32\nvmctray.dll]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2001-08-18 14:00 13312]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{727B4230-721D-42E6-854F-D3ABC3EAB743}"= "C:\WINDOWS\System32\qoMfgHYS.dll" [2008-09-12 18:20 59392]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\qoMfgHYS]
2008-09-12 18:20 59392 C:\WINDOWS\system32\qoMfgHYS.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=dzdlxc.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.l3acm"= l3codecp.acm
"vidc.hfyu"= huffyuv.dll
"vidc.rt21"= IR21_R.DLL
"vidc.ir21"= IR21_R.DLL
"msacm.wrpr"= aviwrap.dll
"vidc.wrpr"= aviwrap.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 C:\WINDOWS\System32\jkkHBRjK


*Newly Created Service* - ALG
*Newly Created Service* - IPNAT
.
Inhalt des "geplante Tasks" Ordners
.
- - - - Entfernte verwaiste Registrierungseintr„ge - - - -

BHO-{562f1547-cf33-41f2-98a9-17b9ffb44cd6} - C:\WINDOWS\System32\dzdlxc.dll
WebBrowser-{89FDCC4B-8D91-49B0-81A6-18BCFF582735} - (no file)
HKCU-Run-\YUR1.exe - C:\Windows\system32\YUR1.exe
HKCU-Run-\YUR6.exe - C:\Windows\system32\YUR6.exe
HKLM-Run-\YUR6.exe - C:\Windows\system32\YUR6.exe
HKLM-Run-\YUR1.exe - C:\Windows\system32\YUR1.exe


.
------- Zus„tzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Administrator.HELMUT\Anwendungsdaten\Mozilla\Firefox\Profiles\90qhx2yo.default\
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-16 14:50:51
Windows 5.1.2600 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Heya,

arbeite bitte das ab:

Scripten mit Combofix

• Öffne den Editor ( Start -> Zubehör -> Editor ) kopiere nun folgenden Text in das weiße Feld:

Code: Alles auswählenAufklappen

ATTFilter

file::
C:\WINDOWS\System32\geBqRjji.dll 
C:\WINDOWS\System32\qoMfgHYS.dll
C:\WINDOWS\System32\jkkHBRjK.dll
C:\WINDOWS\System32\xjsgbvvq.dll
C:\WINDOWS\System32\cxwqiqns.dll
C:\empa.exe
C:\x
C:\WINDOWS\system32\2.ico
C:\WINDOWS\system32\MicroAV.cpl
C:\WINDOWS\system32\1.ico
C:\WINDOWS\system32\yayaXQkL.dll
C:\WINDOWS\stfMeane1000106.exe
C:\Temp\aemu57.exe
C:\WINDOWS\system32\tuvSmmmM.dll
C:\WINDOWS\system32\qoMfgHYS.dll

folder::
C:\Programme\MicroAV
C:\Programme\MS Antivirus
C:\Programme\PCHealthCenter
C:\Programme\Webtools
C:\Programme\Mjcore
C:\WINDOWS\system32\hui
C:\WINDOWS\system32\esx
C:\WINDOWS\system32\101
C:\WINDOWS\system32\mC19
C:\Temp





registry::

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{3B09E66A-4D3C-4E54-B991-74BDD315BFA1}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{727B4230-721D-42E6-854F-D3ABC3EAB743}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C9D4D398-B967-48AA-B6CB-40B8A7F8AEBB}]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\qoMfgHYS]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"f0c38a27"=-
"ANTIVIRUS"=-
"BMf3f0b9bb"=-

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{727B4230-721D-42E6-854F-D3ABC3EAB743}"=-
         

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

• Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

• Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann

lg myrtille

ComboFix 08-09-15.02 - Administrator 2008-09-16 20:36:25.2 - NTFSx86
ausgeführt von:: C:\Dokumente und Einstellungen\Administrator.HELMUT\Desktop\ComboFix.exe

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Programme\PCHealthCenter
C:\WINDOWS\BMf3f0b9bb.txt
C:\WINDOWS\BMf3f0b9bb.xml
C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\cxwqiqns.dll
C:\WINDOWS\system32\ijjRqBeg.ini
C:\WINDOWS\system32\ijjRqBeg.ini2
C:\WINDOWS\system32\juootnxk.dll
C:\WINDOWS\system32\kxntoouj.ini
C:\WINDOWS\system32\qvvbgsjx.ini
C:\WINDOWS\system32\wbhopega.dll
C:\WINDOWS\system32\xekeycfa.dll
C:\WINDOWS\system32\xggfkk.dll
C:\WINDOWS\system32\xjsgbvvq.dll
C:\WINDOWS\system32\yixbpwnr.dll
C:\WINDOWS\system32\ymddid.dll
.
---- Previous Run -------
.
C:\Dokumente und Einstellungen\Administrator.HELMUT\Lokale Einstellungen\Anwendungsdaten\baidu
C:\Dokumente und Einstellungen\Administrator.HELMUT\Lokale Einstellungen\Temporary Internet Files\bestwiner.stt
C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\2556~1
C:\Dokumente und Einstellungen\Helmut\Cookies\helmut@ad.yieldmanager[2].txt
C:\m.exe
C:\ntldr.exe
C:\p.exe
C:\Programme\Antivirus 2009
C:\Programme\Antivirus 2009\av2009.exe
C:\Programme\baidu
C:\Programme\Gemeinsame Dateien\sogou pxp
C:\Programme\Gemeinsame Dateien\sogou pxp\p2psvr.exe
C:\Programme\inetget2
C:\Programme\MyWay
C:\Programme\MyWay\myBar\1.bin\MYWAYPLUGINPROXY.CLASS
C:\Programme\MyWay\myBar\1.bin\PARTNER.BMP
C:\Programme\MyWay\myBar\1.bin\PARTNER.DAT
C:\Programme\MyWay\myBar\1.bin\PARTNER2.DAT
C:\Programme\MyWay\myBar\1.bin\PARTNER3.DAT
C:\Programme\MyWay\myBar\1.bin\PARTNER4.DAT
C:\Programme\MyWay\myBar\1.bin\PARTNER5.DAT
C:\Programme\MyWay\myBar\1.bin\PARTNER6.DAT
C:\Programme\MyWay\myBar\Cache\02366855
C:\Programme\MyWay\myBar\Cache\023670F1.bin
C:\Programme\MyWay\myBar\Cache\023672DB.bin
C:\Programme\MyWay\myBar\Cache\02367494.bin
C:\Programme\MyWay\myBar\Cache\files.ini
C:\Programme\MyWay\myBar\History\search
C:\Programme\MyWay\myBar\Settings\prevcfg.htm
C:\Programme\PCHealthCenter\0.exe
C:\Programme\PCHealthCenter\0.gif
C:\Programme\PCHealthCenter\1.exe
C:\Programme\PCHealthCenter\1.gif
C:\Programme\PCHealthCenter\1.ico
C:\Programme\PCHealthCenter\2.exe
C:\Programme\PCHealthCenter\2.gif
C:\Programme\PCHealthCenter\2.ico
C:\Programme\PCHealthCenter\3.exe
C:\Programme\PCHealthCenter\3.gif
C:\Programme\PCHealthCenter\4.exe
C:\Programme\PCHealthCenter\5.exe
C:\Programme\PCHealthCenter\7.exe
C:\Programme\PCHealthCenter\sc.html
C:\Programme\Twain\Twain.exe
C:\q.exe
C:\Temp\1cb
C:\Temp\1cb\syscheck.log
C:\WINDOWS\b148.exe
C:\WINDOWS\b157.exe
C:\WINDOWS\BMf3f0b9bb.txt
C:\WINDOWS\BMf3f0b9bb.xml
C:\WINDOWS\cookies.ini
C:\WINDOWS\faceback.exe
C:\WINDOWS\ocinfo.dat
C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\aghofu.dll
C:\WINDOWS\system32\awttusTM.dll
C:\WINDOWS\system32\bjcnnrjn.dll
C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\CPV.stt
C:\WINDOWS\system32\czskwg.dll
C:\WINDOWS\system32\dzdlxc.dll
C:\WINDOWS\system32\gdutahen.ini
C:\WINDOWS\system32\gfiomnqf.dll
C:\WINDOWS\system32\grfccxgk.ini
C:\WINDOWS\system32\hhmhjvbf.dll
C:\WINDOWS\system32\iexp_log.txt
C:\WINDOWS\system32\ijjRqBeg.ini
C:\WINDOWS\system32\ijjRqBeg.ini2
C:\WINDOWS\system32\infhhroa.dll
C:\WINDOWS\system32\irensmdn.dll
C:\WINDOWS\system32\khfGvtRL.dll
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\mlJBTjkj.dll
C:\WINDOWS\system32\MSINET.oca
C:\WINDOWS\system32\ndmsneri.ini
C:\WINDOWS\system32\ndmsneri.ini2
C:\WINDOWS\system32\ndmsneri.tmp
C:\WINDOWS\system32\opnmNExV.dll
C:\WINDOWS\system32\pac.txt
C:\WINDOWS\system32\pnugppvg.dll
C:\WINDOWS\system32\rqRJBUkl.dll
C:\WINDOWS\system32\urqOExyX.dll
C:\WINDOWS\system32\yeerfkky.ini
C:\WINDOWS\system32\YUR1.exe
C:\WINDOWS\Temp\tmp3.tmp
C:\x.exe
C:\y.exe

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_BDGUARD
-------\Legacy_CNPROV
-------\Legacy_P4P_SERVICE
-------\Service_P4P Service


((((((((((((((((((((((( Dateien erstellt von 2008-08-16 bis 2008-09-16 ))))))))))))))))))))))))))))))
.

2008-09-16 14:02 . 2008-09-16 14:02 <DIR> d-------- C:\Programme\CCleaner
2008-09-16 13:24 . 2008-09-16 13:24 <DIR> d-------- C:\Programme\Trend Micro
2008-09-16 11:34 . 2008-09-16 14:32 1,206,005 --a------ C:\empa.exe
2008-09-16 11:33 . 2008-09-15 01:50 78,848 --a------ C:\x
2008-09-16 11:11 . 2008-09-16 11:11 <DIR> d-------- C:\Programme\Avira
2008-09-16 11:11 . 2008-09-16 11:11 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Avira
2008-09-16 09:22 . 2008-09-16 09:22 <DIR> d-------- C:\Programme\MS Antivirus
2008-09-16 09:17 . 2008-09-16 09:17 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Kaspersky Lab Setup Files
2008-09-16 09:17 . 2008-09-15 01:50 3,262 --a------ C:\WINDOWS\system32\2.ico
2008-09-16 09:14 . 2008-09-15 01:50 166,912 --a------ C:\WINDOWS\system32\MicroAV.cpl
2008-09-16 09:13 . 2008-09-16 09:13 <DIR> d-------- C:\Programme\MicroAV
2008-09-16 09:13 . 2008-09-15 01:50 3,262 --a------ C:\WINDOWS\system32\1.ico
2008-09-15 22:42 . 2008-06-22 21:15 32,645,632 --a------ C:\Programme\kis8.0.0.357en.EXE
2008-09-15 20:04 . 2008-09-15 20:04 <DIR> d-------- C:\Programme\Alwil Software
2008-09-15 20:04 . 2003-03-18 22:20 1,060,864 --a------ C:\WINDOWS\system32\MFC71.dll
2008-09-15 20:04 . 2003-03-18 21:14 499,712 --a------ C:\WINDOWS\system32\MSVCP71.dll
2008-09-15 18:49 . 2008-09-15 18:49 81,920 --ahs---- C:\WINDOWS\system32\yayaXQkL.dll
2008-09-14 13:53 . 2008-09-15 22:09 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\TEMP
2008-09-13 18:44 . 2008-09-16 14:35 <DIR> d-------- C:\Programme\Twain
2008-09-13 18:39 . 2008-09-13 18:39 <DIR> d-------- C:\Programme\Webtools
2008-09-13 18:34 . 2008-09-13 18:34 <DIR> d-------- C:\Programme\Mjcore
2008-09-12 18:59 . 2008-09-12 18:59 <DIR> d-------- C:\WINDOWS\system32\hui
2008-09-12 18:59 . 2008-09-12 18:59 <DIR> d-------- C:\WINDOWS\system32\esx
2008-09-12 18:59 . 2008-09-12 18:59 99,328 --a------ C:\WINDOWS\stfMeane1000106.exe
2008-09-12 18:27 . 2008-09-12 18:59 <DIR> d-------- C:\WINDOWS\system32\101
2008-09-12 18:27 . 2008-09-12 18:27 690,396 --a------ C:\Temp\aemu57.exe
2008-09-12 18:26 . 2008-09-12 18:26 <DIR> d-------- C:\WINDOWS\system32\mC19
2008-09-12 18:26 . 2008-09-12 18:28 <DIR> d-------- C:\Temp\mtc2
2008-09-12 18:26 . 2008-09-16 14:37 <DIR> d-------- C:\Temp
2008-09-12 18:25 . 2008-09-12 18:25 311,808 --a------ C:\WINDOWS\system32\geBqRjji.dll
2008-09-12 18:20 . 2008-09-12 18:20 81,920 --ahs---- C:\WINDOWS\system32\tuvSmmmM.dll
2008-09-12 18:20 . 2008-09-12 18:20 59,392 --a------ C:\WINDOWS\system32\qoMfgHYS.dll
2008-09-06 16:27 . 2001-08-17 14:03 24,192 --a------ C:\WINDOWS\system32\drivers\usbser.sys
2008-09-06 16:27 . 2001-08-17 14:03 24,192 --a--c--- C:\WINDOWS\system32\dllcache\usbser.sys
2008-08-24 02:16 . 2008-08-06 00:02 129,784 --------- C:\WINDOWS\system32\pxafs.dll
2008-08-24 02:16 . 2008-08-06 00:02 120,056 --------- C:\WINDOWS\system32\pxcpyi64.exe
2008-08-24 02:16 . 2008-08-06 00:02 118,520 --------- C:\WINDOWS\system32\pxinsi64.exe
2008-08-24 02:16 . 2008-08-06 00:02 9,464 --------- C:\WINDOWS\system32\drivers\cdralw2k.sys
2008-08-24 02:16 . 2008-08-06 00:02 9,336 --------- C:\WINDOWS\system32\drivers\cdr4_xp.sys
2008-08-24 02:13 . 2008-08-24 02:14 20,360,464 --a------ C:\Programme\DivXInstaller.exe
2008-08-19 19:38 . 2008-08-19 19:38 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator.HELMUT\Anwendungsdaten\eMule
2008-08-19 19:38 . 2008-08-19 19:38 3,231,826 --a------ C:\Programme\eMule0.49b-Installer1.exe
2008-08-17 19:03 . 2008-09-06 16:52 <DIR> d-------- C:\Programme\Veetle
2008-08-17 19:03 . 2008-08-17 19:03 48,396 --a------ C:\WINDOWS\UninstVeetleTVPlayer.exe
2008-08-17 19:02 . 2008-08-17 19:03 4,108,716 --a------ C:\Programme\veetle-0.9.5.exe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-24 00:17 --------- d-----w C:\Programme\divx
2008-08-19 17:38 --------- d-----w C:\Programme\eMule
2008-08-05 22:02 524,288 ----a-w C:\WINDOWS\system32\DivXsm.exe
2008-08-05 22:02 43,528 ------w C:\WINDOWS\system32\drivers\pxhelp20.sys
2008-08-05 22:02 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll
2008-08-05 22:00 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
2008-08-05 22:00 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
2008-08-05 21:59 81,920 ----a-w C:\WINDOWS\system32\dpl100.dll
2008-08-05 21:59 593,920 ----a-w C:\WINDOWS\system32\dpuGUI11.dll
2008-08-05 21:59 57,344 ----a-w C:\WINDOWS\system32\dpv11.dll
2008-08-05 21:59 53,248 ----a-w C:\WINDOWS\system32\dpuGUI10.dll
2008-08-05 21:59 344,064 ----a-w C:\WINDOWS\system32\dpus11.dll
2008-08-05 21:59 294,912 ----a-w C:\WINDOWS\system32\dpu11.dll
2008-08-05 21:59 294,912 ----a-w C:\WINDOWS\system32\dpu10.dll
2008-08-05 21:59 196,608 ----a-w C:\WINDOWS\system32\dtu100.dll
2008-08-05 21:58 823,296 ----a-w C:\WINDOWS\system32\divx_xx0c.dll
2008-08-05 21:58 823,296 ----a-w C:\WINDOWS\system32\divx_xx07.dll
2008-08-05 21:58 815,104 ----a-w C:\WINDOWS\system32\divx_xx0a.dll
2008-08-05 21:58 802,816 ----a-w C:\WINDOWS\system32\divx_xx11.dll
2008-08-05 21:58 683,520 ----a-w C:\WINDOWS\system32\DivX.dll
2008-08-05 21:58 161,096 ----a-w C:\WINDOWS\system32\DivXCodecVersionChecker.exe
2008-08-05 21:58 12,288 ----a-w C:\WINDOWS\system32\DivXWMPExtType.dll
2008-07-20 19:32 --------- d-----w C:\Programme\Golf
2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll
2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll
2008-04-20 18:50 15,253,839 ----a-w C:\Programme\siavpnint.exe
2007-04-20 13:12 574 ----a-w C:\Programme\changeLog.txt
2007-04-20 12:31 2,274,815 ----a-w C:\Programme\Setup-SopCast-1.1.2-2007-04-20.exe
.

((((((((((((((((((((((((((((( snapshot@2008-09-16_14.59.32.57 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-09-16 12:45:55 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
+ 2008-09-16 18:00:19 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
- 2008-09-16 12:45:55 81,920 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
+ 2008-09-16 18:00:19 81,920 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
- 2008-09-16 12:45:55 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
+ 2008-09-16 18:00:19 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
- 2008-09-16 12:00:27 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008091620080917\index.dat
+ 2008-09-16 18:00:22 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008091620080917\index.dat
- 2008-09-16 12:48:46 49,174 ----a-w C:\WINDOWS\system32\perfc007.dat
+ 2008-09-16 12:55:24 49,174 ----a-w C:\WINDOWS\system32\perfc007.dat
- 2008-09-16 12:48:46 40,836 ----a-w C:\WINDOWS\system32\perfc009.dat
+ 2008-09-16 12:55:24 40,836 ----a-w C:\WINDOWS\system32\perfc009.dat
- 2008-09-16 12:48:46 320,094 ----a-w C:\WINDOWS\system32\perfh007.dat
+ 2008-09-16 12:55:24 320,094 ----a-w C:\WINDOWS\system32\perfh007.dat
- 2008-09-16 12:48:46 314,508 ----a-w C:\WINDOWS\system32\perfh009.dat
+ 2008-09-16 12:55:24 314,508 ----a-w C:\WINDOWS\system32\perfh009.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{727B4230-721D-42E6-854F-D3ABC3EAB743}]
2008-09-12 18:20 59392 --a------ C:\WINDOWS\System32\qoMfgHYS.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{8BD9A675-D2F5-43A5-BFBD-BEAB9B66437C}]
2008-09-12 18:25 311808 --a------ C:\WINDOWS\System32\geBqRjji.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C3E46C1C-7633-4C77-BF2E-1EFADC03F510}]
2008-09-16 20:49 312320 --a------ C:\WINDOWS\System32\qoMdBQIb.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{d9121814-74a7-4c2f-92a5-19df6dcdf31c}]
2008-09-16 20:52 119808 --a------ C:\WINDOWS\System32\txcawf.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2001-08-18 13312]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2001-08-02 1077277]
"RealPlayer"="C:\Programme\Real\RealPlayer\realplay.exe" [2006-05-27 1003520]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WinampAgent"="C:\Programme\Winamp\winampa.exe" [2003-12-13 33792]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2004-03-24 3309568]
"FreePDF Assistant"="C:\Programme\FreePDF_XP\fpassist.exe" [2005-05-27 146944]
"DAEMON Tools-1033"="C:\Programme\D-Tools\daemon.exe" [2003-04-27 77824]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2005-08-31 180269]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-10-25 282624]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 155648]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2006-10-30 256576]
"ANTIVIRUS"="C:\Programme\MicroAV\MicroAV.exe" [2008-09-15 397312]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"BMf3f0b9bb"="C:\WINDOWS\System32\iqlongma.dll" [2008-09-16 90112]
"nwiz"="nwiz.exe" [2004-03-24 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="NvMCTray.dll" [2004-03-24 C:\WINDOWS\system32\nvmctray.dll]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2001-08-18 13312]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{727B4230-721D-42E6-854F-D3ABC3EAB743}"= "C:\WINDOWS\System32\qoMfgHYS.dll" [2008-09-12 59392]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\qoMfgHYS]
2008-09-12 18:20 59392 C:\WINDOWS\system32\qoMfgHYS.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=dzdlxc.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.l3acm"= l3codecp.acm
"vidc.hfyu"= huffyuv.dll
"vidc.rt21"= IR21_R.DLL
"vidc.ir21"= IR21_R.DLL
"msacm.wrpr"= aviwrap.dll
"vidc.wrpr"= aviwrap.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 C:\WINDOWS\System32\qoMdBQIb

.
Inhalt des "geplante Tasks" Ordners
.
- - - - Entfernte verwaiste Registrierungseintr„ge - - - -

WebBrowser-{89FDCC4B-8D91-49B0-81A6-18BCFF582735} - (no file)
HKCU-Run-\YUR1.exe - C:\Windows\system32\YUR1.exe
HKCU-Run-\YUR6.exe - C:\Windows\system32\YUR6.exe
HKLM-Run-\YUR6.exe - C:\Windows\system32\YUR6.exe
HKLM-Run-\YUR1.exe - C:\Windows\system32\YUR1.exe
HKLM-Run-f0c38a27 - C:\WINDOWS\System32\juootnxk.dll


.
------- Zus„tzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Administrator.HELMUT\Anwendungsdaten\Mozilla\Firefox\Profiles\90qhx2yo.default\
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-16 20:44:08
Windows 5.1.2600 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

Prozess: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\qoMfgHYS.dll

Prozess: C:\WINDOWS\explorer.exe
-> C:\WINDOWS\System32\iqlongma.dll
.
------------------------ Weitere, laufende Prozesse ------------------------
.
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-09-16 20:54:30 - PC wurde neu gestartet [Administrator]
ComboFix-quarantined-files.txt 2008-09-16 18:54:14

Pre-Run: 8,136,495,104 Bytes frei
Post-Run: 8,322,097,152 Bytes frei

319

Hi,

du musst den Text als CFScript.txt abspeichern und anschließend, wie in dem Bild vorgeführt auf Combofix.exe ziehen.
Sonst funktioniert das nicht.

Mache das bitte nochmal.

lg myrtille

das habe ich genauso gemacht;
es sei denn es kommt auf Groß und Kleinschreibung an?

rechte maustaste könnte es sein ....