unerklärliche warnmeldung - trojaner verdacht

Lutz123 · 10.10.2008, 02:13

hallo zusammen,

zu meinem problem das ich seit ein paar stunden habe, bin ich auf eurer board gestoßen.

seit heute habe ich auf einmal beim surfen eine art windows firewall-meldung bekommen, auf englisch, wo ich ein programm "enable" konnte, lange rede kurzer sinn, meine windows firewall musste ich aktivieren sie war plötzich deaktiviert und danach hatte ich folgendes bzw. habe es immer noch.

beim anklicken von diesem fenster öffnet sich dann das, ich schließe es einfach, lasse es nicht zuende durchlaufen.

hier meine HijackThis log-file, ich hoffe diese infos sagen euch etwas?

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 03:05:08, on 10.10.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Nokia\Nokia PC Suite 7\PCSuite.exe
C:\Programme\Nokia\Nokia PC Suite 7\PCSync2.exe
C:\WINDOWS\system32\telcpijg.exe
C:\WINDOWS\system32\brastk.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\RichiStudios\Shutdown\service.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\PC Connectivity Solution\ServiceLayer.exe
C:\Programme\PC Connectivity Solution\Transports\NclMSBTSrv.exe
C:\Programme\Gemeinsame Dateien\Nokia\MPAPI\MPAPI3s.exe
C:\Programme\PC Connectivity Solution\Transports\NclUSBSrv.exe
C:\Programme\PC Connectivity Solution\Transports\NclRSSrv.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box;*.local
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [HGTXPEI] C:\WINDOWS\system32\FirstReboot.exe
O4 - HKLM\..\Run: [SoundFusion] RunDll32 hercplgs.cpl,BootEntryPoint
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [brastk] C:\WINDOWS\system32\brastk.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Programme\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
O4 - HKCU\..\Run: [Nokia.PCSync] "C:\Programme\Nokia\Nokia PC Suite 7\PCSync2.exe" /NoDialog
O4 - HKCU\..\Run: [SVCHOST.EXE] C:\WINDOWS\system32\drivers\svchost.exe
O4 - HKCU\..\Run: [AplSys] C:\WINDOWS\system32\telcpijg.exe
O4 - HKCU\..\Run: [brastk] C:\WINDOWS\system32\brastk.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: DSL-Manager.lnk = C:\Programme\DSL-Manager\DslMgr.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: DSL-Manager.lnk = C:\Programme\DSL-Manager\DslMgr.exe (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

vielen dank im voraus, für die hoffentlich erfolgreiche hilfe

mfg
lutz

Lutz123 · 10.10.2008, 11:33

das war die naricht, wo ich dachte es sei von windows selbst

(ich habe keinen edit button gefunden, bitte um entschuldigung!)

myrtille · 10.10.2008, 11:36

Hi,

arbeite bitte folgendes ab:

ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser. Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat! Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

lg myrtille

Lutz123 · 12.10.2008, 02:28

hallo myrtille,

ich habe deine anweisungen befolgt.

hier der log.

Code:

ATTFilter

ComboFix 08-10-11.02 - frohni 2008-10-12  3:12:40.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1252.1.1031.18.1530 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\frohni\Desktop\ComboFix.exe
 * Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Programme\XP_AntiSpyware
C:\Programme\XP_AntiSpyware\Uninstall.exe
C:\WINDOWS\system32\brastk.exe
C:\WINDOWS\system32\drivers\svchost.exe

.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_NPF


(((((((((((((((((((((((   Dateien erstellt von 2008-09-12 bis 2008-10-12  ))))))))))))))))))))))))))))))
.

2008-10-11 03:35 . 2008-10-11 03:35	<DIR>	d--------	C:\Programme\kvldqtb
2008-10-11 03:35 . 2008-10-11 03:35	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\lkvkxqxk
2008-10-11 03:35 . 2008-10-11 03:35	81,920	--a------	C:\WINDOWS\system32\ipuxudgl.exe
2008-10-10 13:36 . 2008-10-10 13:36	<DIR>	d--------	C:\WINDOWS\Content.IE5
2008-10-10 13:07 . 2008-10-10 13:07	<DIR>	d--------	C:\Programme\Yahoo!
2008-10-10 13:07 . 2008-10-10 13:07	<DIR>	d--------	C:\Programme\CCleaner
2008-10-10 03:04 . 2008-10-10 03:04	<DIR>	d--------	C:\Programme\Trend Micro
2008-10-10 02:40 . 2007-09-29 11:56	<DIR>	d--h-----	C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-10-10 02:40 . 2007-09-29 12:48	<DIR>	dr-------	C:\Dokumente und Einstellungen\Administrator\Startmenü
2008-10-10 02:40 . 2007-09-29 12:48	<DIR>	d--h-----	C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-10-10 02:40 . 2007-09-29 12:48	<DIR>	d--h-----	C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-10-10 02:40 . 2007-09-29 12:48	<DIR>	d--------	C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-10-10 02:40 . 2007-09-29 12:48	<DIR>	d--h-----	C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-10-10 02:40 . 2007-09-29 12:48	<DIR>	dr-h-----	C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-10-10 02:40 . 2008-10-10 02:40	<DIR>	d--------	C:\Dokumente und Einstellungen\Administrator
2008-10-10 02:35 . 2008-10-11 03:38	2,828	--a------	C:\WINDOWS\system32\tmp.reg
2008-10-10 00:52 . 2008-10-12 03:03	65,428	--a------	C:\WINDOWS\system32\wini104552502.exe
2008-10-10 00:50 . 2008-10-10 00:50	<DIR>	d--------	C:\Programme\cjxgsve
2008-10-10 00:50 . 2008-10-10 00:50	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\nslejahi
2008-09-24 00:25 . 2008-09-24 00:25	<DIR>	d--------	C:\Programme\uTorrent
2008-09-13 17:09 . 2008-09-13 17:09	<DIR>	d--------	C:\Programme\Gemeinsame Dateien\PCSuite
2008-09-13 17:08 . 2008-09-13 17:08	<DIR>	d--------	C:\Programme\PC Connectivity Solution
2008-09-13 17:07 . 2008-05-07 07:39	1,419,232	--a------	C:\WINDOWS\system32\wdfcoinstaller01005.dll
2008-09-13 17:07 . 2008-05-07 07:38	659,968	--a------	C:\WINDOWS\system32\nmwcdcocls.dll
2008-09-13 17:07 . 2008-05-07 07:38	20,864	--a------	C:\WINDOWS\system32\drivers\ccdcmbo.sys
2008-09-13 17:07 . 2008-05-07 07:38	17,536	--a------	C:\WINDOWS\system32\drivers\ccdcmb.sys
2008-09-13 17:07 . 2008-05-07 07:38	8,064	--a------	C:\WINDOWS\system32\drivers\usbser_lowerfltj.sys
2008-09-13 17:07 . 2008-06-06 09:24	8,064	--a------	C:\WINDOWS\system32\drivers\usbser_lowerflt.sys

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-12 01:08	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-10-10 11:27	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-10-10 10:30	---------	d-----w	C:\Programme\Spybot - Search & Destroy
2008-10-10 06:58	82,944	----a-w	C:\WINDOWS\system32\o4Patch.exe
2008-10-10 06:58	82,944	----a-w	C:\WINDOWS\system32\IEDFix.C.exe
2008-10-09 22:50	---------	d-----w	C:\Programme\Opera
2008-10-05 09:40	---------	d-----w	C:\Programme\Trillian
2008-10-02 13:00	---------	d-----w	C:\Dokumente und Einstellungen\lutz123\Anwendungsdaten\uTorrent
2008-10-01 13:51	87,552	----a-w	C:\WINDOWS\system32\VACFix.exe
2008-09-28 16:26	---------	d-----w	C:\Dokumente und Einstellungen\lutz123\Anwendungsdaten\OpenOffice.org2
2008-09-13 15:51	---------	d-----w	C:\Programme\DAEMON Tools Pro
2008-09-13 15:09	---------	d-----w	C:\Programme\Nokia
2008-09-13 15:09	---------	d-----w	C:\Programme\Gemeinsame Dateien\Nokia
2008-09-13 15:09	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Installations
2008-09-13 15:08	---------	d-----w	C:\Dokumente und Einstellungen\lutz123\Anwendungsdaten\Nokia
2008-09-08 21:38	88,576	----a-w	C:\WINDOWS\system32\AntiXPVSTFix.exe
2008-09-07 11:00	---------	d-----w	C:\Programme\Xvid
2008-09-07 10:59	---------	d-----w	C:\Programme\DivX
2008-09-07 10:57	---------	d-----w	C:\Dokumente und Einstellungen\lutz123\Anwendungsdaten\Apple Computer
2008-09-07 10:54	---------	d-----w	C:\Programme\QuickTime
2008-09-07 10:53	---------	d-----w	C:\Programme\Apple Software Update
2008-09-07 10:53	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2008-09-07 10:53	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
2008-08-25 07:07	3,532	----a-w	C:\drmHeader.bin
2008-08-18 10:19	82,432	----a-w	C:\WINDOWS\system32\404Fix.exe
2008-08-15 12:33	---------	d--h--w	C:\Programme\InstallShield Installation Information
2008-08-05 22:02	524,288	----a-w	C:\WINDOWS\system32\DivXsm.exe
2008-08-05 22:02	3,596,288	-c--a-w	C:\WINDOWS\system32\qt-dx331.dll
2008-08-05 22:00	200,704	----a-w	C:\WINDOWS\system32\ssldivx.dll
2008-08-05 22:00	1,044,480	----a-w	C:\WINDOWS\system32\libdivx.dll
2008-08-05 21:59	81,920	----a-w	C:\WINDOWS\system32\dpl100.dll
2008-08-05 21:59	593,920	----a-w	C:\WINDOWS\system32\dpuGUI11.dll
2008-08-05 21:59	57,344	----a-w	C:\WINDOWS\system32\dpv11.dll
2008-08-05 21:59	53,248	----a-w	C:\WINDOWS\system32\dpuGUI10.dll
2008-08-05 21:59	344,064	----a-w	C:\WINDOWS\system32\dpus11.dll
2008-08-05 21:59	294,912	----a-w	C:\WINDOWS\system32\dpu11.dll
2008-08-05 21:59	294,912	----a-w	C:\WINDOWS\system32\dpu10.dll
2008-08-05 21:59	196,608	----a-w	C:\WINDOWS\system32\dtu100.dll
2008-08-05 21:58	823,296	----a-w	C:\WINDOWS\system32\divx_xx0c.dll
2008-08-05 21:58	823,296	----a-w	C:\WINDOWS\system32\divx_xx07.dll
2008-08-05 21:58	815,104	----a-w	C:\WINDOWS\system32\divx_xx0a.dll
2008-08-05 21:58	802,816	----a-w	C:\WINDOWS\system32\divx_xx11.dll
2008-08-05 21:58	683,520	----a-w	C:\WINDOWS\system32\DivX.dll
2008-08-05 21:58	161,096	-c--a-w	C:\WINDOWS\system32\DivXCodecVersionChecker.exe
2008-08-05 21:58	12,288	----a-w	C:\WINDOWS\system32\DivXWMPExtType.dll
2008-07-18 20:10	94,920	----a-w	C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10	53,448	----a-w	C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10	45,768	----a-w	C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10	36,552	----a-w	C:\WINDOWS\system32\wups.dll
2008-07-18 20:09	563,912	----a-w	C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09	325,832	----a-w	C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09	205,000	----a-w	C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:09	1,811,656	----a-w	C:\WINDOWS\system32\wuaueng.dll
2008-07-18 20:07	270,880	----a-w	C:\WINDOWS\system32\mucltui.dll
2008-07-18 20:07	210,976	----a-w	C:\WINDOWS\system32\muweb.dll
2008-02-26 22:07	28,460,240	----a-w	C:\Dokumente und Einstellungen\lutz123\DesktopEXP_mio_tc.zip
2008-01-20 00:38	191,761,053	----a-w	C:\Dokumente und Einstellungen\lutz123\ede6.zip
2007-11-18 20:37	32	-c--a-w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
2006-06-23 06:48	32,768	-c--a-r	C:\WINDOWS\inf\UpdateUSB.exe
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"STYLEXP"="C:\Programme\TGTSoft\StyleXP\StyleXP.exe" [2006-05-24 1372160]
"PC Suite Tray"="C:\Programme\Nokia\Nokia PC Suite 7\PCSuite.exe" [2008-08-11 1124352]
"Nokia.PCSync"="C:\Programme\Nokia\Nokia PC Suite 7\PCSync2.exe" [2008-06-17 1249280]
"WinSrv"="C:\WINDOWS\system32\ipuxudgl.exe" [2008-10-11 81920]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-19 266497]
"HGTXPEI"="C:\WINDOWS\system32\FirstReboot.exe" [2002-06-11 24576]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"HP Component Manager"="C:\Programme\HP\hpcoretech\hpcmpmgr.exe" [2003-12-22 241664]
"HPDJ Taskbar Utility"="C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe" [2004-05-13 172032]
"HP Software Update"="C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe" [2004-05-13 49152]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-12-04 185896]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2008-05-27 413696]
"SoundFusion"="hercplgs.cpl" [2002-07-25 C:\WINDOWS\system32\hercplgs.cpl]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-04 C:\WINDOWS\system32\bthprops.cpl]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"dbmnt"= {53699353-0C4C-57EE-A7D0-099BF33A1E62} - C:\Programme\kvldqtb\dbmnt.dll [2008-10-11 106496]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="C:\\Programme\\TGTSoft\\StyleXP\\Logon\\CurrentLogon.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.ACDV"= ACDV.dll
"msacm.avis"= ff_acm.acm

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" /background
"SpybotSD TeaTimer"=C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe
"AlcoholAutomount"="C:\Programme\Alcohol Soft\Alcohol 120\axcmd.exe" /automount

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
"RSShutdown"="C:\Programme\RichiStudios\Shutdown\Autostart.exe"
"StartCCC"="C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
"NeroFilterCheck"=C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"D:\\eMule.de 0.48a v18\\emule.exe"=
"C:\\Programme\\Opera\\Opera.exe"=
"C:\\Programme\\Nokia\\Nokia Software Updater\\nsu_ui_client.exe"=
"C:\\Programme\\Gemeinsame Dateien\\Nokia\\Service Layer\\A\\nsl_host_process.exe"=
"C:\\Programme\\Mozilla Firefox\\firefox.exe"=
"C:\\Programme\\VideoLAN\\VLC\\vlc.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Trillian\\trillian.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
"C:\\Dokumente und Einstellungen\\lutz123\\Desktop\\Redvex 3.2 2-25-08\\RedVex 3.exe"=
"C:\\Programme\\RSD0.521\\RSD.exe"=
"C:\\Programme\\uTorrent\\utorrent.exe"=
"C:\\Games\\Robin Hood - Die Legende von Sherwood\\Robin Hood.exe"=
"C:\\WINDOWS\\system32\\dplaysvr.exe"=
"C:\\Games\\Quake III Arena\\quake3.exe"=

R2 RSShutdown;RichiStudios Shutdown;C:\Programme\RichiStudios\Shutdown\service.exe [2004-06-24 45056]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 14336]
R3 FWLANUSB;AVM FRITZ!WLAN;C:\WINDOWS\system32\DRIVERS\fwlanusb.sys [2006-04-06 264704]
R3 hercspud;Hercules (R) WDM Audio Driver;C:\WINDOWS\system32\drivers\hercspud.sys [2002-07-25 130176]
R3 hercwdm;Hercules (R) WDM Interface Driver;C:\WINDOWS\system32\drivers\hercwdm.sys [2002-07-25 463104]
S2 PDSched;PDScheduler;C:\Programme\Raxco\PerfectDisk\PDSched.exe [ ]
S3 dsltestSp5;dsltestSp5 NDIS Protocol Driver;C:\WINDOWS\system32\Drivers\dsltestSp5.sys [ ]
S3 hcw95bda;Hauppauge MOD7700 Tuner Driver;C:\WINDOWS\system32\Drivers\hcw95bda.sys [2007-10-25 487424]
S3 hcw95rc;Hauppauge MOD7700 IR Driver;C:\WINDOWS\system32\DRIVERS\hcw95rc.sys [2007-10-25 15488]
S3 TSMPacket;DSL-Manager Service;C:\WINDOWS\system32\DRIVERS\tsmpkt.sys [ ]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e2a9163c-41ba-11dd-af3f-000ea131835d}]
\Shell\AutoRun\command - K:\pushinst.exe
.
Inhalt des "geplante Tasks" Ordners

2008-08-15 C:\WINDOWS\Tasks\1-Klick-Wartung.job
- C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe [2007-04-26 20:08]

2008-09-27 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- C:\Programme\Apple Software Update\SoftwareUpdate.exe [2008-04-11 17:57]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKCU-Run-brastk - C:\WINDOWS\system32\brastk.exe
Notify-WgaLogon - (no file)


.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\lutz123\Anwendungsdaten\Mozilla\Firefox\Profiles\lm693snn.default\
FF -: plugin - C:\Programme\DivX\DivX Content Uploader\npUpload.dll
FF -: plugin - C:\Programme\Yahoo!\Common\npyaxmpb.dll
FF -: plugin - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-12 03:16:30
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere laufende Prozesse ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\Programme\PC Connectivity Solution\ServiceLayer.exe
C:\Programme\Gemeinsame Dateien\Nokia\MPAPI\MPAPI3s.exe
C:\Programme\PC Connectivity Solution\Transports\NclMSBTSrv.exe
C:\Programme\PC Connectivity Solution\Transports\NclUSBSrv.exe
C:\Programme\PC Connectivity Solution\Transports\NclRSSrv.exe
C:\WINDOWS\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-10-12  3:21:20 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2008-10-12 01:21:16

Vor Suchlauf: 8.979.554.304 Bytes frei
Nach Suchlauf: 8,883,105,792 Bytes frei

240	--- E O F ---	2008-09-10 07:16:42

nachdem ich dachte, alles sei wieder okay und ich diesen beitrag schreiben wollte in meinem mozilla, kam diese naricht wieder:

http://666kb.com/i/b2u329snr1l2n97wv.jpg

hat das was zu sagen bzw. wie muss ich weiterverfahren?

danke im voraus für die hilfe

grüße
lutz123

myrtille · 13.10.2008, 17:47

Hi,

Scripten mit Combofix

Öffne den Editor ( Start -> Zubehör -> Editor ) kopiere nun folgenden Text in das weiße Feld:

Code:

ATTFilter

file::
C:\WINDOWS\system32\ipuxudgl.exe
C:\WINDOWS\system32\wini104552502.exe
folder::
C:\Programme\cjxgsve
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\nslejahi
C:\Programme\kvldqtb
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\lkvkxqxk

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann

lg myrtille

Lutz123 · 29.10.2008, 01:52

Hallo myrtille,

ich habe deine anweisungen befolgt, hier das gewünschte log.

Code:

ATTFilter

ComboFix 08-10-28.01 - frohni 2008-10-29  1:42:43.2 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1252.1.1031.18.1541 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\frohni\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: C:\Dokumente und Einstellungen\frohni\Desktop\cfscript.txt
 * Neuer Wiederherstellungspunkt wurde erstellt

FILE ::
C:\WINDOWS\system32\ipuxudgl.exe
C:\WINDOWS\system32\wini104552502.exe
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\lkvkxqxk
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\lkvkxqxk\dspqreny.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\nslejahi
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\nslejahi\pwnkjgdq.exe
C:\Programme\cjxgsve
C:\Programme\cjxgsve\monapismart.dll
C:\Programme\kvldqtb
C:\WINDOWS\system32\drivers\svchost.exe
C:\WINDOWS\system32\wini104552502.exe

.
(((((((((((((((((((((((   Dateien erstellt von 2008-09-28 bis 2008-10-29  ))))))))))))))))))))))))))))))
.

2008-10-29 00:41 . 2008-10-29 00:41	98,304	--a------	C:\Dokumente und Einstellungen\frohnimupd1_2_1165664.exe
2008-10-29 00:41 . 2008-10-29 00:41	43,008	--a------	C:\Dokumente und Einstellungen\fwldpl.dll
2008-10-15 00:34 . 2008-10-15 00:34	1,393	--a------	C:\WINDOWS\imsins.BAK
2008-10-10 12:36 . 2008-10-10 12:36	<DIR>	d--------	C:\WINDOWS\Content.IE5
2008-10-10 12:07 . 2008-10-10 12:07	<DIR>	d--------	C:\Programme\Yahoo!
2008-10-10 12:07 . 2008-10-10 12:07	<DIR>	d--------	C:\Programme\CCleaner
2008-10-10 02:04 . 2008-10-10 02:04	<DIR>	d--------	C:\Programme\Trend Micro
2008-10-10 01:40 . 2007-09-29 10:56	<DIR>	d--h-----	C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-10-10 01:40 . 2007-09-29 11:48	<DIR>	dr-------	C:\Dokumente und Einstellungen\Administrator\Startmenü
2008-10-10 01:40 . 2007-09-29 11:48	<DIR>	d--h-----	C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-10-10 01:40 . 2008-10-29 01:43	<DIR>	d--h-----	C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-10-10 01:40 . 2007-09-29 11:48	<DIR>	d--------	C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-10-10 01:40 . 2007-09-29 11:48	<DIR>	d--h-----	C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-10-10 01:40 . 2007-09-29 11:48	<DIR>	dr-h-----	C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-10-10 01:40 . 2008-10-10 01:40	<DIR>	d--------	C:\Dokumente und Einstellungen\Administrator
2008-10-10 01:35 . 2008-10-12 13:04	2,736	--a------	C:\WINDOWS\system32\tmp.reg

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-28 23:42	---------	d-----w	C:\Dokumente und Einstellungen\frohni\Anwendungsdaten\Azureus
2008-10-28 23:42	---------	d-----w	C:\Dokumente und Einstellungen\frohni\Anwendungsdaten\Apple Computer
2008-10-28 23:42	---------	d-----w	C:\Dokumente und Einstellungen\frohni\Anwendungsdaten\Ahead
2008-10-28 23:42	---------	d-----w	C:\Dokumente und Einstellungen\frohni\Anwendungsdaten\ACD Systems
2008-10-28 23:05	---------	d-----w	C:\Programme\Trillian
2008-10-23 08:04	---------	d-----w	C:\Dokumente und Einstellungen\frohni\Anwendungsdaten\OpenOffice.org2
2008-10-12 11:37	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-10-10 11:27	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-10-10 10:30	---------	d-----w	C:\Programme\Spybot - Search & Destroy
2008-10-09 22:50	---------	d-----w	C:\Programme\Opera
2008-10-02 13:00	---------	d-----w	C:\Dokumente und Einstellungen\frohni\Anwendungsdaten\uTorrent
2008-09-23 22:25	---------	d-----w	C:\Programme\uTorrent
2008-09-15 15:37	1,846,144	----a-w	C:\WINDOWS\system32\win32k.sys
2008-09-13 15:51	---------	d-----w	C:\Programme\DAEMON Tools Pro
2008-09-13 15:09	---------	d-----w	C:\Programme\Nokia
2008-09-13 15:09	---------	d-----w	C:\Programme\Gemeinsame Dateien\PCSuite
2008-09-13 15:09	---------	d-----w	C:\Programme\Gemeinsame Dateien\Nokia
2008-09-13 15:09	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Installations
2008-09-13 15:08	---------	d-----w	C:\Programme\PC Connectivity Solution
2008-09-13 15:08	---------	d-----w	C:\Dokumente und Einstellungen\frohni\Anwendungsdaten\Nokia
2008-09-07 11:00	---------	d-----w	C:\Programme\Xvid
2008-09-07 10:59	---------	d-----w	C:\Programme\DivX
2008-09-07 10:54	---------	d-----w	C:\Programme\QuickTime
2008-09-07 10:53	---------	d-----w	C:\Programme\Apple Software Update
2008-09-07 10:53	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2008-09-07 10:53	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
2008-08-28 10:04	333,056	----a-w	C:\WINDOWS\system32\drivers\srv.sys
2008-08-25 07:07	3,532	----a-w	C:\drmHeader.bin
2008-08-14 13:42	2,138,624	----a-w	C:\WINDOWS\system32\ntoskrnl.exe
2008-08-14 13:42	2,018,304	----a-w	C:\WINDOWS\system32\ntkrnlpa.exe
2008-08-05 22:02	524,288	----a-w	C:\WINDOWS\system32\DivXsm.exe
2008-08-05 22:02	3,596,288	-c--a-w	C:\WINDOWS\system32\qt-dx331.dll
2008-08-05 22:00	200,704	----a-w	C:\WINDOWS\system32\ssldivx.dll
2008-08-05 22:00	1,044,480	----a-w	C:\WINDOWS\system32\libdivx.dll
2008-08-05 21:59	81,920	----a-w	C:\WINDOWS\system32\dpl100.dll
2008-08-05 21:59	593,920	----a-w	C:\WINDOWS\system32\dpuGUI11.dll
2008-08-05 21:59	57,344	----a-w	C:\WINDOWS\system32\dpv11.dll
2008-08-05 21:59	53,248	----a-w	C:\WINDOWS\system32\dpuGUI10.dll
2008-08-05 21:59	344,064	----a-w	C:\WINDOWS\system32\dpus11.dll
2008-08-05 21:59	294,912	----a-w	C:\WINDOWS\system32\dpu11.dll
2008-08-05 21:59	294,912	----a-w	C:\WINDOWS\system32\dpu10.dll
2008-08-05 21:59	196,608	----a-w	C:\WINDOWS\system32\dtu100.dll
2008-08-05 21:58	823,296	----a-w	C:\WINDOWS\system32\divx_xx0c.dll
2008-08-05 21:58	823,296	----a-w	C:\WINDOWS\system32\divx_xx07.dll
2008-08-05 21:58	815,104	----a-w	C:\WINDOWS\system32\divx_xx0a.dll
2008-08-05 21:58	802,816	----a-w	C:\WINDOWS\system32\divx_xx11.dll
2008-08-05 21:58	683,520	----a-w	C:\WINDOWS\system32\DivX.dll
2008-08-05 21:58	161,096	-c--a-w	C:\WINDOWS\system32\DivXCodecVersionChecker.exe
2008-08-05 21:58	12,288	----a-w	C:\WINDOWS\system32\DivXWMPExtType.dll
2008-02-26 22:07	28,460,240	----a-w	C:\Dokumente und Einstellungen\frohni\DesktopEXP_mio_tc.zip
2008-01-20 00:38	191,761,053	----a-w	C:\Dokumente und Einstellungen\frohni\ede6.zip
2007-11-18 20:37	32	-c--a-w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
2006-06-23 06:48	32,768	-c--a-r	C:\WINDOWS\inf\UpdateUSB.exe
.

(((((((((((((((((((((((((((((   snapshot@2008-10-12_ 3.20.50.28   )))))))))))))))))))))))))))))))))))))))))
.
- 2007-02-28 16:02:08	2,138,624	-c----w	C:\WINDOWS\Driver Cache\i386\ntkrnlmp.exe
+ 2008-08-14 13:42:27	2,138,624	------w	C:\WINDOWS\Driver Cache\i386\ntkrnlmp.exe
- 2007-02-28 16:02:21	2,059,904	-c----w	C:\WINDOWS\Driver Cache\i386\ntkrnlpa.exe
+ 2008-08-14 13:42:30	2,060,032	------w	C:\WINDOWS\Driver Cache\i386\ntkrnlpa.exe
- 2007-02-28 16:02:05	2,018,304	-c----w	C:\WINDOWS\Driver Cache\i386\ntkrpamp.exe
+ 2008-08-14 13:42:26	2,018,304	------w	C:\WINDOWS\Driver Cache\i386\ntkrpamp.exe
- 2007-02-28 16:02:21	2,182,656	-c----w	C:\WINDOWS\Driver Cache\i386\ntoskrnl.exe
+ 2008-08-14 13:42:30	2,182,656	------w	C:\WINDOWS\Driver Cache\i386\ntoskrnl.exe
- 2005-10-20 18:02:28	163,328	----a-w	C:\WINDOWS\ERDNT\Hiv-backup\ERDNT.EXE
+ 2005-10-20 19:02:28	163,328	----a-w	C:\WINDOWS\ERDNT\Hiv-backup\ERDNT.EXE
- 2000-08-31 06:00:00	28,672	----a-w	C:\WINDOWS\NIRCMD.exe
+ 2000-08-31 07:00:00	28,672	----a-w	C:\WINDOWS\NIRCMD.exe
- 2000-08-31 06:00:00	161,792	----a-w	C:\WINDOWS\SWREG.exe
+ 2000-08-31 07:00:00	161,792	----a-w	C:\WINDOWS\SWREG.exe
- 2008-06-20 10:44:38	138,368	-c--a-w	C:\WINDOWS\system32\dllcache\afd.sys
+ 2008-08-14 09:51:43	138,368	-c--a-w	C:\WINDOWS\system32\dllcache\afd.sys
- 2006-08-17 12:28:44	332,288	-c--a-w	C:\WINDOWS\system32\dllcache\netapi32.dll
+ 2008-10-15 16:57:39	332,800	-c--a-w	C:\WINDOWS\system32\dllcache\netapi32.dll
- 2007-02-28 16:02:08	2,138,624	-c----w	C:\WINDOWS\system32\dllcache\ntkrnlmp.exe
+ 2008-08-14 13:42:27	2,138,624	-c----w	C:\WINDOWS\system32\dllcache\ntkrnlmp.exe
- 2007-02-28 16:02:21	2,059,904	-c----w	C:\WINDOWS\system32\dllcache\ntkrnlpa.exe
+ 2008-08-14 13:42:30	2,060,032	-c----w	C:\WINDOWS\system32\dllcache\ntkrnlpa.exe
- 2007-02-28 16:02:05	2,018,304	-c----w	C:\WINDOWS\system32\dllcache\ntkrpamp.exe
+ 2008-08-14 13:42:26	2,018,304	-c----w	C:\WINDOWS\system32\dllcache\ntkrpamp.exe
- 2007-02-28 16:02:21	2,182,656	-c----w	C:\WINDOWS\system32\dllcache\ntoskrnl.exe
+ 2008-08-14 13:42:30	2,182,656	-c----w	C:\WINDOWS\system32\dllcache\ntoskrnl.exe
- 2006-08-14 10:34:41	332,928	-c--a-w	C:\WINDOWS\system32\dllcache\srv.sys
+ 2008-08-28 10:04:17	333,056	-c--a-w	C:\WINDOWS\system32\dllcache\srv.sys
- 2008-03-20 08:03:19	1,845,376	-c--a-w	C:\WINDOWS\system32\dllcache\win32k.sys
+ 2008-09-15 15:37:15	1,846,144	-c--a-w	C:\WINDOWS\system32\dllcache\win32k.sys
- 2008-06-20 10:44:38	138,368	----a-w	C:\WINDOWS\system32\drivers\afd.sys
+ 2008-08-14 09:51:43	138,368	----a-w	C:\WINDOWS\system32\drivers\afd.sys
- 2008-08-02 09:52:26	1,525,072	----a-w	C:\WINDOWS\system32\FNTCACHE.DAT
+ 2008-10-15 10:52:13	1,525,072	----a-w	C:\WINDOWS\system32\FNTCACHE.DAT
- 2008-08-26 20:28:12	16,208,504	----a-w	C:\WINDOWS\system32\MRT.exe
+ 2008-10-07 19:19:40	16,721,856	----a-w	C:\WINDOWS\system32\MRT.exe
- 2006-08-17 12:28:44	332,288	----a-w	C:\WINDOWS\system32\netapi32.dll
+ 2008-10-15 16:57:39	332,800	----a-w	C:\WINDOWS\system32\netapi32.dll
- 2008-06-24 07:04:14	84,678	----a-w	C:\WINDOWS\system32\perfc007.dat
+ 2008-10-28 23:02:55	84,678	----a-w	C:\WINDOWS\system32\perfc007.dat
- 2008-06-24 07:04:14	71,250	----a-w	C:\WINDOWS\system32\perfc009.dat
+ 2008-10-28 23:02:55	71,250	----a-w	C:\WINDOWS\system32\perfc009.dat
- 2008-06-24 07:04:14	458,924	----a-w	C:\WINDOWS\system32\perfh007.dat
+ 2008-10-28 23:02:55	458,924	----a-w	C:\WINDOWS\system32\perfh007.dat
- 2008-06-24 07:04:14	441,184	----a-w	C:\WINDOWS\system32\perfh009.dat
+ 2008-10-28 23:02:55	441,184	----a-w	C:\WINDOWS\system32\perfh009.dat
- 2007-11-30 12:39:14	18,808	------w	C:\WINDOWS\system32\spmsg.dll
+ 2007-11-30 11:18:34	18,808	------w	C:\WINDOWS\system32\spmsg.dll
.
-- Snapshot auf jetziges Datum zurückgesetzt --
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"STYLEXP"="C:\Programme\TGTSoft\StyleXP\StyleXP.exe" [2006-05-24 1372160]
"PC Suite Tray"="C:\Programme\Nokia\Nokia PC Suite 7\PCSuite.exe" [2008-08-11 1124352]
"Nokia.PCSync"="C:\Programme\Nokia\Nokia PC Suite 7\PCSync2.exe" [2008-06-17 1249280]
"asus32"="C:\Dokumente und Einstellungen\frohnimupd1_2_1165664.exe" [2008-10-29 98304]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-19 266497]
"HGTXPEI"="C:\WINDOWS\system32\FirstReboot.exe" [2002-06-11 24576]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"HP Component Manager"="C:\Programme\HP\hpcoretech\hpcmpmgr.exe" [2003-12-22 241664]
"HPDJ Taskbar Utility"="C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe" [2004-05-13 172032]
"HP Software Update"="C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe" [2004-05-13 49152]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-12-04 185896]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2008-05-27 413696]
"SoundFusion"="hercplgs.cpl" [2002-07-25 C:\WINDOWS\system32\hercplgs.cpl]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-03 C:\WINDOWS\system32\bthprops.cpl]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-03 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="C:\\Programme\\TGTSoft\\StyleXP\\Logon\\CurrentLogon.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.ACDV"= ACDV.dll
"msacm.avis"= ff_acm.acm

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" /background
"SpybotSD TeaTimer"=C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe
"AlcoholAutomount"="C:\Programme\Alcohol Soft\Alcohol 120\axcmd.exe" /automount

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
"RSShutdown"="C:\Programme\RichiStudios\Shutdown\Autostart.exe"
"StartCCC"="C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
"NeroFilterCheck"=C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"D:\\eMule.de 0.48a v18\\emule.exe"=
"C:\\Programme\\Opera\\Opera.exe"=
"C:\\Programme\\Nokia\\Nokia Software Updater\\nsu_ui_client.exe"=
"C:\\Programme\\Gemeinsame Dateien\\Nokia\\Service Layer\\A\\nsl_host_process.exe"=
"C:\\Programme\\Mozilla Firefox\\firefox.exe"=
"C:\\Programme\\VideoLAN\\VLC\\vlc.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Trillian\\trillian.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
"C:\\Dokumente und Einstellungen\\frohni\\Desktop\\Redvex 3.2 2-25-08\\RedVex 3.exe"=
"C:\\Programme\\RSD0.521\\RSD.exe"=
"C:\\Programme\\uTorrent\\utorrent.exe"=
"C:\\Games\\Robin Hood - Die Legende von Sherwood\\Robin Hood.exe"=
"C:\\WINDOWS\\system32\\dplaysvr.exe"=
"C:\\Games\\Quake III Arena\\quake3.exe"=

R2 RSShutdown;RichiStudios Shutdown;C:\Programme\RichiStudios\Shutdown\service.exe [2004-06-24 45056]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-03 14336]
R3 FWLANUSB;AVM FRITZ!WLAN;C:\WINDOWS\system32\DRIVERS\fwlanusb.sys [2006-04-06 264704]
R3 hercspud;Hercules (R) WDM Audio Driver;C:\WINDOWS\system32\drivers\hercspud.sys [2002-07-25 130176]
R3 hercwdm;Hercules (R) WDM Interface Driver;C:\WINDOWS\system32\drivers\hercwdm.sys [2002-07-25 463104]
S2 PDSched;PDScheduler;C:\Programme\Raxco\PerfectDisk\PDSched.exe [ ]
S3 dsltestSp5;dsltestSp5 NDIS Protocol Driver;C:\WINDOWS\system32\Drivers\dsltestSp5.sys [ ]
S3 hcw95bda;Hauppauge MOD7700 Tuner Driver;C:\WINDOWS\system32\Drivers\hcw95bda.sys [2007-10-25 487424]
S3 hcw95rc;Hauppauge MOD7700 IR Driver;C:\WINDOWS\system32\DRIVERS\hcw95rc.sys [2007-10-25 15488]
S3 TSMPacket;DSL-Manager Service;C:\WINDOWS\system32\DRIVERS\tsmpkt.sys [ ]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e2a9163c-41ba-11dd-af3f-000ea131835d}]
\Shell\AutoRun\command - K:\pushinst.exe
.
Inhalt des "geplante Tasks" Ordners

2008-08-15 C:\WINDOWS\Tasks\1-Klick-Wartung.job
- C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe [2007-04-26 19:08]

2008-10-18 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- C:\Programme\Apple Software Update\SoftwareUpdate.exe [2008-04-11 16:57]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKCU-Run-WinSrv - C:\WINDOWS\system32\ipuxudgl.exe
SSODL-dbmnt-{53699353-0C4C-57EE-A7D0-099BF33A1E62} - C:\Programme\kvldqtb\dbmnt.dll



**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-29 01:44:02
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-10-29  1:46:04
ComboFix-quarantined-files.txt  2008-10-29 00:45:50
ComboFix2.txt  2008-10-12 01:21:21

Vor Suchlauf: 8.550.006.784 Bytes frei
Nach Suchlauf: 8,540,995,584 Bytes frei

248	--- E O F ---	2008-10-25 01:01:08

achja, diese meldung bekomme ich noch, falls das von interesse ist:

danke im voraus ;-) ... und sorry für die verspätete meldung!

unerklärliche warnmeldung - trojaner verdacht

Plagegeister aller Art und deren Bekämpfung: unerklärliche warnmeldung - trojaner verdacht