Hi zusammen,

hoffe mir kann jemand weiterhelfen, daich nun schon einiges probiert habe. ich habe immer dieses PopUp vom Windows Security Alert, jedesmal wenn ich das zumache oder sonst was geht der Explorer auf und ich kann den Virusremover2008 kaufen, ebenso hatte ich vorher XP Antispy2009 beim aufpoppen. Da ich den Rechner aktuell nicht neu aufsetzen kann, da ich einige der Sftware erst wieder besirgen muß wollte ich versuchen diesen zu bekämpfen.

Ich habe spyhunter gekauft, der diesen erkennt, aber nicht komplett entfernen kann. Der rechner läuft zwar jetzt stabiler, aber auf dem Desktop habe ich immernoch den HIntergund mit der Meldung und nicht meinen normalen... Und eben das PopUp ständig - das Ding ist ja also noch aktiv.

Als prozess ist im taskmanager patkpcjk.exe dafür verantwortlich...

Hier mal das Hijack und combofix, was ich nach der Anleitung durchgeführt habe.

Hijack:

Zitat:

Logfile of HijackThis v1.99.1
Scan saved at 08:45, on 2008-10-15
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
d:\Programme\NETGEAR\NETGEAR ProSafe VPN Client\IreIKE.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
D:\Webserver_lokal\Apache Software Foundation\Apache2.2\bin\httpd.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\svchost.exe
D:\Tobit ClipInc\Server\ClipInc-Server.exe
d:\Programme\NETGEAR\NETGEAR ProSafe VPN Client\IPSecMon.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe
D:\Webserver_lokal\Apache Software Foundation\Apache2.2\bin\httpd.exe
C:\mysql\bin\mysqld-nt.exe
C:\Programme\Trend Micro\OfficeScan Client\ntrtscan.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Samsung Network Printer Utilities\SyncThru Web Admin Service\SWAS.exe
C:\Programme\Trend Micro\OfficeScan Client\tmlisten.exe
C:\Programme\UltraVNC\WinVNC.exe
C:\Programme\Trend Micro\OfficeScan Client\ofcdog.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Keyboard Manager\Manager Utility\KeyboardManager.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Trend Micro\OfficeScan Client\pccntmon.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
D:\Programme\Winamp\winampa.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\Samsung\PanelMgr\ssmmgr.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Programme\Unlocker\UnlockerAssistant.exe
C:\WINDOWS\system32\LXSUPMON.EXE
C:\WINDOWS\system32\igfxext.exe
D:\Programme\Nero\BackItUp\Nero BackItUp\NBKeyScan.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\msnmsgr.exe
D:\Programme\Microsoft ActiveSync\Wcescomm.exe
D:\PROGRA~1\MICROS~2\rapimgr.exe
D:\Tobit ClipInc\Player\ClipIncTray.exe
C:\WINDOWS\system32\patkpcjk.exe
C:\Programme\DNA\btdna.exe
C:\Programme\Tobit InfoCenter\DVWIN32.EXE
C:\Programme\MSN Messenger\usnsvc.exe
C:\PROGRA~1\TOBITI~1\DVREMIND.EXE
D:\Programme\Mozilla Firefox\firefox.exe
D:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programme\Outlook Express\msimn.exe
D:\Programme\Adobe\Reader 8.0\Reader\AcroRd32.exe
S:\exe\mnu2.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\Programme\Notepad++\notepad++.exe
C:\WINDOWS\system32\patkpcjk.exe
C:\WINDOWS\system32\taskmgr.exe
V:\Software\Adware\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 172.30.96.123:8081
O4 - HKLM\..\Run: [Keyboard Manager Utility] "C:\Programme\Keyboard Manager\Manager Utility\KeyboardManager.exe" /lang DE /H
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] CHDAudPropShortcut.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [WinVNC] "C:\Programme\UltraVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Programme\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [WinampAgent] d:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Samsung PanelMgr] C:\WINDOWS\Samsung\PanelMgr\ssmmgr.exe /autorun
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\system32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [NBKeyScan] "D:\Programme\Nero\BackItUp\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [ISTray] "d:\Programme\Spyware Doctor\pctsTray.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "D:\Programme\Microsoft ActiveSync\Wcescomm.exe"
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [scheduler_monitor] d:\Programme\ReaConverter 5.5 Pro\init_scheduler.exe
O4 - HKCU\..\Run: [ClipIncSrvTray] "D:\Tobit ClipInc\Player\ClipIncTray.exe"
O4 - HKCU\..\Run: [SrvUtilHlp] C:\WINDOWS\system32\patkpcjk.exe
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Programme\DNA\btdna.exe"
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Tobit InfoCenter.LNK = C:\Programme\Tobit InfoCenter\DVWIN32.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - D:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - D:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - D:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: iFinger - {936E5D60-596C-11D3-BB96-00600816DF55} - C:\WINDOWS\system32\SHDOCVW.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=58813
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1211784038037
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain =
O17 - HKLM\Software\..\Telephony: DomainName =
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain =
O18 - Protocol: haufereader - (no CLSID) - (no file)
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs: lzrdsy.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O21 - SSODL: ngwstxfd - {5431C127-2B0D-477C-B6D6-FF6BCBD3F3DA} - C:\WINDOWS\ngwstxfd.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apache2 - Unknown owner - D:\Webserver_lokal\Apache Software Foundation\Apache2.2\bin\httpd.exe" -k runservice (file missing)
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: ClipInc 001 (ClipInc001) - Unknown owner - D:\Tobit ClipInc\Server\ClipInc-Server.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: SafeNet Monitor Service (IPSECMON) - SafeNet - d:\Programme\NETGEAR\NETGEAR ProSafe VPN Client\IPSecMon.exe
O23 - Service: SafeNet IKE Service (IREIKE) - SafeNet - d:\Programme\NETGEAR\NETGEAR ProSafe VPN Client\IreIKE.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: MySQL - Unknown owner - C:\mysql\bin\mysqld-nt".exe (file missing)
O23 - Service: NBService - Nero AG - D:\Programme\Nero\BackItUp\Nero BackItUp\NBService.exe
O23 - Service: OfficeScanNT Echtzeitsuche (ntrtscan) - Trend Micro Inc. - C:\Programme\Trend Micro\OfficeScan Client\ntrtscan.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe
O23 - Service: ReaConverter scheduler service (rcp_service) - ReaSoft - d:\Programme\ReaConverter 5.5 Pro\rcp_scheduler.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - d:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - d:\Programme\Spyware Doctor\pctsSvc.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: SyncThru Web Admin Service (SWAS_Core) - Unknown owner - C:\Programme\Samsung Network Printer Utilities\SyncThru Web Admin Service\SWAS.exe
O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - C:\Programme\Trend Micro\OfficeScan Client\tmlisten.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Programme\UltraVNC\WinVNC.exe" -service (file missing)

vielen, vielen dank für die Hilfe vorab.

Ich kann doch für das combofix ein "script" erstellen, mit dem dann diese einträge gefixt werden, oder?

Viele grüße

mode

hi,

und hier der combofix eintrag:

ComboFix

Zitat:

ComboFix 08-10-12.01 - 2008-10-14 17:12:31.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1337 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\xxx.yyy\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
* Resident AV is active


Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.
Die folgenden Dateien wurden während des Laufs deaktiviert:
C:\Programme\Enigma Software Group\SpyHunter\SpyHunterMonitor.dll


(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\user.domain\Cookies\icyh.scr
C:\Dokumente und Einstellungen\xxx.yyy\Cookies\paqux.dll
C:\Programme\Inet Delivery
C:\Programme\Inet Delivery\inetdl.exe
C:\Programme\Inet Delivery\intdel.exe
C:\WINDOWS\a.bat
C:\WINDOWS\base64.tmp
C:\WINDOWS\bdn.com
C:\WINDOWS\brastk.exe
C:\WINDOWS\emfl.exe
C:\WINDOWS\FVProtect.exe
C:\WINDOWS\iTunesMusic.exe
C:\WINDOWS\mslagent
C:\WINDOWS\mssecu.exe
C:\WINDOWS\system32\akttzn.exe
C:\WINDOWS\system32\anticipator.dll
C:\WINDOWS\system32\awtoolb.dll
C:\WINDOWS\system32\bdn.com
C:\WINDOWS\system32\byXQGXOG.dll
C:\WINDOWS\system32\dllcache\beep.sys
C:\WINDOWS\system32\dpcproxy.exe
C:\WINDOWS\system32\fdmilyqx.dll
C:\WINDOWS\system32\h@tkeysh@@k.dll
C:\WINDOWS\system32\hbwtbjue.dll
C:\WINDOWS\system32\hoproxy.dll
C:\WINDOWS\system32\hxiwlgpm.dat
C:\WINDOWS\system32\hxiwlgpm.exe
C:\WINDOWS\system32\jomaamrl.ini
C:\WINDOWS\system32\lrmaamoj.dll
C:\WINDOWS\system32\lzrdsy.dll
C:\WINDOWS\system32\magpdc.dll
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\monwcolu.dll
C:\WINDOWS\system32\msgp.exe
C:\WINDOWS\system32\msnbho.dll
C:\WINDOWS\system32\mssecu.exe
C:\WINDOWS\system32\mtr2.exe
C:\WINDOWS\system32\mwin32.exe
C:\WINDOWS\system32\netode.exe
C:\WINDOWS\system32\newsd32.exe
C:\WINDOWS\system32\ps1.exe
C:\WINDOWS\system32\psoft1.exe
C:\WINDOWS\system32\qoMfefge.dll
C:\WINDOWS\system32\regm64.dll
C:\WINDOWS\system32\Rundl1.exe
C:\WINDOWS\system32\smp
C:\WINDOWS\system32\smp\msrc.exe
C:\WINDOWS\system32\ssvchost.exe
C:\WINDOWS\system32\sysreq.exe
C:\WINDOWS\system32\taack.dat
C:\WINDOWS\system32\taack.exe
C:\WINDOWS\system32\temp#01.exe
C:\WINDOWS\system32\tuvWmJaY.dll
C:\WINDOWS\system32\VBIEWER.OCX
C:\WINDOWS\system32\winlogonpc.exe
C:\WINDOWS\system32\winsystem.exe
C:\WINDOWS\system32\WINWGPX.EXE
C:\WINDOWS\system32\xqylimdf.ini
C:\WINDOWS\system32\YaJmWvut.ini
C:\WINDOWS\system32\YaJmWvut.ini2
C:\WINDOWS\userconfig9x.dll
C:\WINDOWS\zip1.tmp
C:\WINDOWS\zip2.tmp
C:\WINDOWS\zip3.tmp
C:\WINDOWS\zipped.tmp

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_NPF
-------\Service_NPF


((((((((((((((((((((((( Dateien erstellt von 2008-09-14 bis 2008-10-14 ))))))))))))))))))))))))))))))
.

2008-10-14 17:26 . 2008-10-14 17:26 <DIR> d-------- C:\WINDOWS\privacy_danger
2008-10-14 15:14 . 2008-10-13 00:16 211,855 --a------ C:\WINDOWS\system32\_scui.cpl
2008-10-14 14:50 . 2008-10-14 14:50 <DIR> d-------- C:\Programme\DNA
2008-10-14 14:50 . 2008-10-14 17:21 <DIR> d-------- C:\Dokumente und Einstellungen\xxx.yyy\Anwendungsdaten\DNA
2008-10-14 14:28 . 2008-10-14 14:28 <DIR> d-------- C:\Programme\Enigma Software Group
2008-10-14 14:04 . 2008-10-14 14:18 <DIR> d-------- C:\SmitfraudFix
2008-10-14 14:03 . 2008-10-14 13:36 1,660,790 --a------ C:\SmitfraudFix.exe
2008-10-14 13:37 . 2008-10-14 14:14 4,792 --a------ C:\WINDOWS\system32\tmp.reg
2008-10-14 11:54 . 2008-10-14 11:54 <DIR> d--h----- C:\WINDOWS\system32\GroupPolicy
2008-10-14 11:37 . 2008-10-14 11:37 <DIR> d-------- C:\Dokumente und Einstellungen\administrator.yyy\Anwendungsdaten\Ahead
2008-10-14 11:35 . 2008-10-14 11:35 <DIR> d-------- C:\Dokumente und Einstellungen\administrator.yyy\Anwendungsdaten\TmpRecentIcons
2008-10-14 11:25 . 2008-10-14 11:25 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\RCP 5
2008-10-14 10:42 . 2008-10-14 10:42 <DIR> d-------- C:\Dokumente und Einstellungen\xxx.yyy\Anwendungsdaten\PC Tools
2008-10-14 10:42 . 2008-10-14 17:05 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-10-14 10:42 . 2008-06-10 21:22 81,288 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys
2008-10-14 10:42 . 2008-06-02 15:19 66,952 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys
2008-10-14 10:42 . 2008-06-02 15:19 42,376 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys
2008-10-14 10:42 . 2008-06-02 15:19 29,576 --a------ C:\WINDOWS\system32\drivers\kcom.sys
2008-10-14 10:23 . 2008-10-14 10:23 19,927 --a------ C:\WINDOWS\modimatep.dll
2008-10-14 10:23 . 2008-10-14 10:23 17,804 --a------ C:\WINDOWS\aferode.bat
2008-10-14 10:23 . 2008-10-14 10:23 17,700 --a------ C:\Dokumente und Einstellungen\xxx.yyy\Anwendungsdaten\lile.exe
2008-10-14 10:23 . 2008-10-14 10:23 17,335 --a------ C:\WINDOWS\system32\kygiruwa.db
2008-10-14 10:23 . 2008-10-14 10:23 17,092 --a------ C:\WINDOWS\foped.dl
2008-10-14 10:23 . 2008-10-14 10:23 14,183 --a------ C:\WINDOWS\meritabymo.reg
2008-10-14 10:23 . 2008-10-14 10:23 13,431 --a------ C:\Programme\Gemeinsame Dateien\bapasubery.reg
2008-10-14 10:23 . 2008-10-14 10:23 13,067 --a------ C:\WINDOWS\system32\dirakege.bin
2008-10-14 10:23 . 2008-10-14 10:23 12,654 --a------ C:\WINDOWS\ofaz.com
2008-10-14 10:23 . 2008-10-14 10:23 12,191 --a------ C:\WINDOWS\ynaceguw.db
2008-10-14 10:23 . 2008-10-14 10:23 11,953 --a------ C:\WINDOWS\ipakyryto._sy
2008-10-14 10:23 . 2008-10-14 10:23 11,761 --a------ C:\Programme\Gemeinsame Dateien\orizunuwoh.reg
2008-10-14 10:23 . 2008-10-14 10:23 11,209 --a------ C:\WINDOWS\qehax.db
2008-10-14 10:23 . 2008-10-14 10:23 11,134 --a------ C:\Dokumente und Einstellungen\xxx.yyy\Anwendungsdaten\ypifix.exe
2008-10-14 10:21 . 2008-10-14 15:07 65,428 --a------ C:\WINDOWS\system32\wini104552664.exe
2008-10-14 10:15 . 2007-08-21 08:00 1,536 --a------ C:\WINDOWS\system32\Delete_Me_Dummy_karna.dat
2008-10-14 10:13 . 2008-10-14 10:13 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\zyjulcle
2008-10-14 10:13 . 2008-10-14 10:13 77,824 --a------ C:\WINDOWS\system32\patkpcjk.exe
2008-10-14 10:12 . 2008-10-14 07:31 225,280 --a------ C:\WINDOWS\ngwstxfd.dll
2008-10-14 10:12 . 2008-10-14 07:31 86,016 --a------ C:\WINDOWS\lomxeqsn.exe
2008-10-10 08:07 . 2008-06-11 09:29 <DIR> d-------- C:\Dokumente und Einstellungen\xxx.yyy\Anwendungsdaten\Nokia Multimedia Player
2008-10-08 14:39 . 2008-10-08 14:39 <DIR> d-------- C:\Programme\MIKSOFT
2008-10-07 16:12 . 2008-10-07 16:12 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Tobit
2008-10-07 16:12 . 2008-10-07 16:12 <DIR> d-------- C:\Dokumente und Einstellungen\xxx.yyy\Anwendungsdaten\Tobit
2008-10-07 16:12 . 2008-10-09 14:09 1,565,448 --a------ C:\WINDOWS\CISUnins.exe
2008-10-07 16:12 . 2008-10-09 14:09 1,565,448 --a------ C:\WINDOWS\CICUnins.exe
2008-10-07 16:12 . 2008-01-10 12:49 554,496 --a------ C:\WINDOWS\system32\dvmsg.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-14 14:18 --------- d-----w C:\Dokumente und Einstellungen\xxx.yyy\Anwendungsdaten\BitTorrent
2008-10-14 08:27 --------- d-----w C:\Programme\Gemeinsame Dateien\Research In Motion
2008-10-10 11:36 --------- d-----w C:\Programme\eNewsletter Manager v2
2008-10-10 09:48 --------- d-----w C:\Dokumente und Einstellungen\xxx.yyy\Anwendungsdaten\OpenOffice.org2
2008-10-09 06:16 --------- d-----w C:\Programme\Nokia
2008-10-06 09:14 --------- d-----w C:\Programme\FreePDF_XP
2008-09-23 20:36 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-09-15 11:14 --------- d-----w C:\Dokumente und Einstellungen\xxx.yyy\Anwendungsdaten\Canon
2008-09-15 09:45 70,584 ----a-w C:\Dokumente und Einstellungen\xxx.yyy\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2008-09-14 19:02 --------- d-----w C:\Programme\Java
2008-08-04 09:33 73,216 ----a-w C:\WINDOWS\cadkasdeinst01.exe
2007-05-25 10:52 0 ----a-w C:\Dokumente und Einstellungen\xxx.yyy\support.zip
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360]
"msnmsgr"="C:\Programme\MSN Messenger\msnmsgr.exe" [2007-01-19 5674352]
"H/PC Connection Agent"="D:\Programme\Microsoft ActiveSync\Wcescomm.exe" [2006-11-13 1289000]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2007-05-29 149040]
"scheduler_monitor"="d:\Programme\ReaConverter 5.5 Pro\init_scheduler.exe" [2007-06-15 27136]
"ClipIncSrvTray"="D:\Tobit ClipInc\Player\ClipIncTray.exe" [2008-09-11 591624]
"SrvUtilHlp"="C:\WINDOWS\system32\patkpcjk.exe" [2008-10-14 77824]
"BitTorrent DNA"="C:\Programme\DNA\btdna.exe" [2008-10-14 289088]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Keyboard Manager Utility"="C:\Programme\Keyboard Manager\Manager Utility\KeyboardManager.exe" [2006-03-08 1118208]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2006-01-13 761946]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"FreePDF Assistant"="C:\Programme\FreePDF_XP\fpassist.exe" [2005-05-27 310272]
"Synchronization Manager"="C:\WINDOWS\system32\mobsync.exe" [2004-08-04 144384]
"WinVNC"="C:\Programme\UltraVNC\WinVNC.exe" [2006-06-18 712704]
"OfficeScanNT Monitor"="C:\Programme\Trend Micro\OfficeScan Client\pccntmon.exe" [2004-04-08 311296]
"IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2007-04-16 135168]
"HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2007-04-16 155648]
"Persistence"="C:\WINDOWS\system32\igfxpers.exe" [2007-04-16 131072]
"WinampAgent"="d:\Programme\Winamp\winampa.exe" [2007-05-15 35328]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-07-03 185784]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-06-29 286720]
"Samsung PanelMgr"="C:\WINDOWS\Samsung\PanelMgr\ssmmgr.exe" [2006-06-07 507904]
"NeroCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2003-07-13 155648]
"UnlockerAssistant"="C:\Programme\Unlocker\UnlockerAssistant.exe" [2008-03-01 15872]
"Adobe Reader Speed Launcher"="D:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"LXSUPMON"="C:\WINDOWS\system32\LXSUPMON.EXE" [2002-05-14 886272]
"NBKeyScan"="D:\Programme\Nero\BackItUp\Nero BackItUp\NBKeyScan.exe" [2007-05-24 1226288]
"High Definition Audio Property Page Shortcut"="CHDAudPropShortcut.exe" [2006-01-09 C:\WINDOWS\system32\CHDAudPropShortcut.exe]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-04 C:\WINDOWS\system32\bthprops.cpl]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 15360]

C:\Dokumente und Einstellungen\xxx.yyy\Startmen�\Programme\Autostart\
Adobe Gamma.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2007-05-29 110592]

C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\
Adobe Gamma Loader.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2007-05-29 110592]
Microsoft Office.lnk - D:\Programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 83360]
Tobit InfoCenter.LNK - C:\Programme\Tobit InfoCenter\DVWIN32.EXE [2007-04-26 3452928]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
Source= file:///C:\WINDOWS\privacy_danger\index.htm
FriendlyName= Privacy Protection

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"ngwstxfd"= {5431C127-2B0D-477C-B6D6-FF6BCBD3F3DA} - C:\WINDOWS\ngwstxfd.dll [2008-10-14 225280]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=lzrdsy.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.l3acm"= C:\WINDOWS\system32\l3codecp.acm
"vidc.ffds"= ffdshow.ax
"msacm.l3codec"= C:\WINDOWS\system32\l3codecp.acm

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^iFinger.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\iFinger.lnk
backup=C:\WINDOWS\pss\iFinger.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^WinZip Quick Pick.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\WinZip Quick Pick.lnk
backup=C:\WINDOWS\pss\WinZip Quick Pick.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^xxx.yyy^Startmenü^Programme^Autostart^OpenOffice.org 2.0.lnk]
path=C:\Dokumente und Einstellungen\xxx.yyy\Startmenü\Programme\Autostart\OpenOffice.org 2.0.lnk
backup=C:\WINDOWS\pss\OpenOffice.org 2.0.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
--a------ 2007-09-26 15:42 267064 C:\Programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
---hs---- 2004-10-13 18:24 1694208 C:\Programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"D:\\Webserver_lokal\\Apache Software Foundation\\Apache2.2\\bin\\httpd.exe"=
"D:\\Programme\\NETGEAR\\NETGEAR ProSafe VPN Client\\Vpn.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"C:\\Programme\\MSN Messenger\\livecall.exe"=
"D:\Programme\Microsoft ActiveSync\rapimgr.exe"= D:\Programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"D:\Programme\Microsoft ActiveSync\wcescomm.exe"= D:\Programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"D:\Programme\Microsoft ActiveSync\WCESMgr.exe"= D:\Programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"D:\\Tobit ClipInc\\Server\\ClipInc-Server.exe"=
"D:\\Tobit ClipInc\\Player\\ClipInc-Player.exe"=
"d:\\Programme\\BitTorrent\\bittorrent.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

R2 ClipInc001;ClipInc 001;D:\Tobit ClipInc\Server\ClipInc-Server.exe 001 [ ]
R2 Crypto;Crypto;C:\WINDOWS\system32\drivers\Crypto.sys [2003-07-16 467002]
R2 IPSECDRV;SafeNet IPSec Plugin;C:\WINDOWS\system32\Drivers\IPSECDRV.sys [2003-08-20 118840]
R2 SWAS_Core;SyncThru Web Admin Service;C:\Programme\Samsung Network Printer Utilities\SyncThru Web Admin Service\SWAS.exe [2006-10-17 1306624]
R2 vnccom;vnccom;C:\WINDOWS\system32\Drivers\vnccom.SYS [2004-06-26 6016]
R3 DniVap;SafeNet WAN Miniport (VA);C:\WINDOWS\system32\DRIVERS\vap.sys [2001-12-14 36188]
R3 qkbfiltr;Quanta HotKey Keyboard Filter Driver;C:\WINDOWS\system32\drivers\qkbfiltr.sys [2006-01-12 31872]
R3 qmofiltr;Quanta HotKey Mouse Filter Driver;C:\WINDOWS\system32\drivers\qmofiltr.sys [2005-05-05 7936]
S3 NSNDIS5;NSNDIS5 NDIS Protocol Driver;C:\WINDOWS\system32\NSNDIS5.SYS [2004-03-24 17280]
S3 rcp_service;ReaConverter scheduler service;d:\Programme\ReaConverter 5.5 Pro\rcp_scheduler.exe [2007-11-30 558592]
S3 RimSerPort;RIM Virtual Serial Port;C:\WINDOWS\system32\DRIVERS\RimSerial.sys [2005-08-16 18432]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0c911d06-3a71-11dc-9dd6-001636e6101f}]
\Shell\AutoRun\command - explorer.exe http://"www.usb-premiums.com"
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

BHO-{7947C26D-7D05-407D-BE51-D87688CE6F53} - C:\WINDOWS\system32\tuvWmJaY.dll
BHO-{ad8ad4d5-5ce9-4773-b85b-60489b9612c9} - C:\WINDOWS\system32\lzrdsy.dll
BHO-{EC22E79C-7702-4C38-9691-C139D6C359C9} - C:\WINDOWS\system32\byXQGXOG.dll
HKLM-Run-48f8b9a3 - C:\WINDOWS\system32\fdmilyqx.dll
ShellExecuteHooks-{EC22E79C-7702-4C38-9691-C139D6C359C9} - C:\WINDOWS\system32\byXQGXOG.dll
Notify-WgaLogon - (no file)
MSConfigStartUp-winlogon - C:\WINDOWS\csrss.exe


.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\xxx.yyy\Anwendungsdaten\Mozilla\Firefox\Profiles\qsmhr618.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.yyy.de
FF -: plugin - C:\Dokumente und Einstellungen\xxx.yyy\Anwendungsdaten\Mozilla\Firefox\Profiles\qsmhr618.default\extensions\LogMeInClient@logmein.com\plugins\npRACtrl.dll
FF -: plugin - C:\Programme\DivX\DivX Content Uploader\npUpload.dll
FF -: plugin - C:\Programme\DNA\plugins\npbtdna.dll
FF -: plugin - C:\Programme\iTunes\Mozilla Plugins\npitunes.dll
FF -: plugin - D:\Programme\Adobe\Reader 8.0\Reader\browser\nppdf32.dll
FF -: plugin - D:\Programme\Mozilla Firefox\plugins\npbittorrent.dll
FF -: plugin - D:\Programme\Mozilla Firefox\plugins\npdivx32.dll
FF -: plugin - D:\Programme\Mozilla Firefox\plugins\npDivxPlayerPlugin.dll
FF -: plugin - D:\Programme\Mozilla Firefox\plugins\npnul32.dll
FF -: plugin - D:\Programme\Mozilla Firefox\plugins\NPOFFICE.DLL
FF -: plugin - D:\Programme\Mozilla Firefox\plugins\nppdf32.dll
FF -: plugin - D:\Programme\Mozilla Firefox\plugins\nppl3260.dll
FF -: plugin - D:\Programme\Mozilla Firefox\plugins\npqtplugin.dll
FF -: plugin - D:\Programme\Mozilla Firefox\plugins\npqtplugin2.dll
FF -: plugin - D:\Programme\Mozilla Firefox\plugins\npqtplugin3.dll
FF -: plugin - D:\Programme\Mozilla Firefox\plugins\npqtplugin4.dll
FF -: plugin - D:\Programme\Mozilla Firefox\plugins\npqtplugin5.dll
FF -: plugin - D:\Programme\Mozilla Firefox\plugins\npqtplugin6.dll
FF -: plugin - D:\Programme\Mozilla Firefox\plugins\npqtplugin7.dll
FF -: plugin - D:\Programme\Mozilla Firefox\plugins\npRACtrl.dll
FF -: plugin - D:\Programme\Mozilla Firefox\plugins\nprjplug.dll
FF -: plugin - D:\Programme\Mozilla Firefox\plugins\nprpjplug.dll
FF -: plugin - D:\Programme\Mozilla Firefox\plugins\NPSWF32.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-14 17:26:11
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MySQL]
"ImagePath"="\"C:\mysql\bin\mysqld-nt\" --defaults-file=\"C:\mysql\my.ini\" MySQL"
.
------------------------ Weitere laufende Prozesse ------------------------
.
D:\Programme\NETGEAR\NETGEAR ProSafe VPN Client\IreIKE.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
D:\Webserver_lokal\Apache Software Foundation\Apache2.2\bin\httpd.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
D:\Tobit ClipInc\Server\ClipInc-Server.exe
D:\Programme\NETGEAR\NETGEAR ProSafe VPN Client\IPSecMon.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
D:\Webserver_lokal\Apache Software Foundation\Apache2.2\bin\httpd.exe
C:\Programme\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe
C:\mysql\bin\mysqld-nt.exe
C:\Programme\Trend Micro\OfficeScan Client\NTRtScan.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\Programme\Trend Micro\OfficeScan Client\TmListen.exe
C:\Programme\Trend Micro\OfficeScan Client\OfcDog.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\system32\igfxext.exe
C:\WINDOWS\system32\rundll32.exe
D:\PROGRA~1\MICROS~2\rapimgr.exe
C:\Programme\MSN Messenger\usnsvc.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-10-14 17:31:32 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-10-14 15:31:29

Vor Suchlauf: 3.536.846.848 Bytes frei
Nach Suchlauf: 3,550,154,752 Bytes frei

325