Antivirus 2009 Alert

The eA · 20.10.2008, 14:39

so hab mir gestern irgenwo diesen virus oder was das auch ist eingefangen
es sieht aus wie die windows firewall nur halt auf englisch, es sind auch unten die 2 wappen von windows zu sehen einmal das rote was auftaucht wenn die firewall ausgeschaltet ist und einmal das bunte ding

für ich ist das absulutes neuland deswegen poste ich einfach mal mein prob und meine log datei

also das prob ist das kein antivrus program das ding erkennt
-es kommen ständig neue pop up fenster die aussehen als wäre sie von windows

würde mich sehr über eine schnelle hilfe freuen da ich das prob auf dem leptop hab und ich denn für die schule brauche

schon mal im voraus danke

mfg eA

hier ist einmal die log

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:13:34, on 20.10.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
C:\WINDOWS\system32\svchost.exe
c:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\LAUNCH~1\LManager.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Antivirus 2009\av2009.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.aceradvantage.com/stdreg
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://global.acer.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://global.acer.com/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\ievkbd.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [AzMixerSel] C:\Programme\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [C:\WINDOWS\system32\kdqjd.exe] C:\WINDOWS\system32\kdqjd.exe
O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [13087153638757842884758800665475] C:\Programme\Antivirus 2009\av2009.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - c:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\SCIEPlgn.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - c:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - c:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - h**p://wwwimages.adobe.com/www.adobe.com/products/acrobat/nos/gp.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0D1ADA25-4DE7-4AA6-A8BC-452EB244BEE9}: NameServer = 85.255.112.60;85.255.112.237
O17 - HKLM\System\CCS\Services\Tcpip\..\{BFE8E8AA-9FE4-4CD9-9B6B-A198276DB3B5}: NameServer = 85.255.112.60;85.255.112.237
O17 - HKLM\System\CS1\Services\Tcpip\..\{0D1ADA25-4DE7-4AA6-A8BC-452EB244BEE9}: NameServer = 85.255.112.60;85.255.112.237
O17 - HKLM\System\CS2\Services\Tcpip\..\{0D1ADA25-4DE7-4AA6-A8BC-452EB244BEE9}: NameServer = 85.255.112.60;85.255.112.237
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll
O23 - Service: Memory Check Service (AcerMemUsageCheckService) - Acer Inc. - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - c:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Programme\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: MySQL - Unknown owner - C:\Programme\MySQL\MySQL.exe (file missing)
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe (file missing)

--
End of file - 9120 bytes

cosinus · 20.10.2008, 18:42

Hallo und

Acker diese Punkte für weitere Analysen ab:

1.) Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:

Code:

ATTFilter

C:\WINDOWS\system32\kdqjd.exe

2.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.

3.) Führe dieses MBR-Tool aus und poste die Ausgabe

4.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten

5.) Führe Silentrunners nach dieser Anleitung aus und poste das Logfile (mit Codetags umschlossen), falls es zu groß sein sollte kannst Du es (gezippt) bei file-upload.net hochladen und hier verlinken.

6.) ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:

[code] Hier das Logfile rein! [/code]

7.) Mach auch ein Filelisting mit diesem script:

Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
Doppelklick auf listing8.cmd auf dem Desktop
nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

8.) Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe - editiere die Links und privaten Infos!!

The eA · 21.10.2008, 21:26

also ich hoffe mal das ich alles richtig gemacht habe, also so wie es gewünscht war

1. ich war mir nicht sicher wie das gemeint war, also hab ich einfach das gefundene abgespeichert und durch das VirusTotal tool laufen lassen

Code:

ATTFilter

Antivirus 	Version 	letzte aktualisierung 	Ergebnis
AhnLab-V3 	2008.10.18.0 	2008.10.21 	-
AntiVir 	7.9.0.5 	2008.10.21 	-
Authentium 	5.1.0.4 	2008.10.21 	-
Avast 	4.8.1248.0 	2008.10.21 	-
AVG 	8.0.0.161 	2008.10.21 	-
BitDefender 	7.2 	2008.10.21 	-
CAT-QuickHeal 	9.50 	2008.10.21 	-
ClamAV 	0.93.1 	2008.10.21 	-
DrWeb 	4.44.0.09170 	2008.10.21 	-
eSafe 	7.0.17.0 	2008.10.19 	-
eTrust-Vet 	31.6.6161 	2008.10.21 	-
Ewido 	4.0 	2008.10.21 	-
F-Prot 	4.4.4.56 	2008.10.21 	-
F-Secure 	8.0.14332.0 	2008.10.21 	-
Fortinet 	3.113.0.0 	2008.10.21 	-
GData 	19 	2008.10.21 	-
Ikarus 	T3.1.1.44.0 	2008.10.21 	-
K7AntiVirus 	7.10.501 	2008.10.21 	-
Kaspersky 	7.0.0.125 	2008.10.21 	-
McAfee 	5409 	2008.10.21 	-
Microsoft 	1.4005 	2008.10.21 	-
NOD32 	3543 	2008.10.21 	-
Norman 	5.80.02 	2008.10.21 	-
Panda 	9.0.0.4 	2008.10.21 	-
PCTools 	4.4.2.0 	2008.10.21 	-
Prevx1 	V2 	2008.10.21 	-
Rising 	20.67.12.00 	2008.10.21 	-
SecureWeb-Gateway 	6.7.6 	2008.10.21 	-
Sophos 	4.34.0 	2008.10.21 	-
Sunbelt 	3.1.1741.1 	2008.10.21 	-
Symantec 	10 	2008.10.21 	-
TheHacker 	6.3.1.0.121 	2008.10.21 	-
TrendMicro 	8.700.0.1004 	2008.10.21 	-
VBA32 	3.12.8.8 	2008.10.21 	-
ViRobot 	2008.10.21.1430 	2008.10.21 	-
VirusBuster 	4.5.11.0 	2008.10.21 	-

weitere Informationen
File size: 98 bytes
MD5...: c4f5386fdfa5e5db25873296e8d144d8
SHA1..: 67000c85a6b2cf9f69dfbaab5db15fc2b8900a44
SHA256: 059254d78e11fa85453d47dcd0c1f2af24feaeb29ffa007722213b02db3af7af
SHA512: 89661d536c1cbccd917ef1a86f72b7ced3301abced8e9950307e5cbae08839f1
f923a774a372f20a2da5f7b609a4d46499438c6875bb0d5e1e255c35b5c007d6
PEiD..: -
TrID..: File type identification
Windows Explorer saved search (100.0%)
PEInfo: -

2. die systemwiederherstellung hab ich ausgeschaltet

3. ich hab das MBR-tool angemacht aber es taucht einmal die konsole auf und war auch sofort wieder weg

4. Blacklight hat nichts gefunden dafür aber Malwarebytes Antimalware

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.29
Datenbank Version: 1304
Windows 5.1.2600 Service Pack 3

21.10.2008 21:50:27
mbam-log-2008-10-21 (21-50-27).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 118044
Laufzeit: 1 hour(s), 3 minute(s), 6 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 9
Infizierte Registrierungswerte: 3
Infizierte Dateiobjekte der Registrierung: 10
Infizierte Verzeichnisse: 1
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\toolband.xttbpos00 (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\TypeLib\{77d6ddfa-7834-4541-b2b3-a8b0fb0e3924} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{4bd2d6c3-31dc-b947-23d0-dc52ec4f0c4c} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{855f3b16-6d32-4fe6-8a56-bbb695989046} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\toolband.xttbpos00.1 (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\MSFox (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Pornovid (Trojan.DNSChanger) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{855f3b16-6d32-4fe6-8a56-bbb695989046} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\{855f3b16-6d32-4fe6-8a56-bbb695989046} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{855f3b16-6d32-4fe6-8a56-bbb695989046} (Adware.BHO) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\System (Rootkit.DNSChanger.H) -> Data: kdqjd.exe -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyComputer (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{0d1ada25-4de7-4aa6-a8bc-452eb244bee9}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.60;85.255.112.237 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{bfe8e8aa-9fe4-4cd9-9b6b-a198276db3b5}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.60;85.255.112.237 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{0d1ada25-4de7-4aa6-a8bc-452eb244bee9}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.60;85.255.112.237 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{bfe8e8aa-9fe4-4cd9-9b6b-a198276db3b5}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.60;85.255.112.237 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{0d1ada25-4de7-4aa6-a8bc-452eb244bee9}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.60;85.255.112.237 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{bfe8e8aa-9fe4-4cd9-9b6b-a198276db3b5}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.60;85.255.112.237 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{bfe8e8aa-9fe4-4cd9-9b6b-a198276db3b5}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.60;85.255.112.237 -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
C:\resycled (Trojan.DNSChanger) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\Programme\ICQToolbar\toolbaru.dll (Adware.BHO) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ieupdates.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Antivirus 2009.lnk (Rogue.Antivirus2008) -> Quarantined and deleted successfully.

5. so ich hab jetzt den silentruner durchlaufen lassen

Silentrunner log file

also ich glaube das porb ist weg
ich stell noch mal ne hijack log in file rein
bevor ich zu 6. schritt gehe

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:27:41, on 21.10.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
c:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\LAUNCH~1\LManager.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\WINDOWS\system32\NOTEPAD.EXE
D:\download\qlketzd.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.aceradvantage.com/stdreg
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://global.acer.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://global.acer.com/
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\ievkbd.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe"
O4 - HKLM\..\Run: [C:\WINDOWS\system32\kdqjd.exe] C:\WINDOWS\system32\kdqjd.exe
O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - c:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\SCIEPlgn.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - c:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - c:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - h**p://wwwimages.adobe.com/www.adobe.com/products/acrobat/nos/gp.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll
O23 - Service: Memory Check Service (AcerMemUsageCheckService) - Acer Inc. - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - c:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Programme\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: MySQL - Unknown owner - C:\Programme\MySQL\MySQL.exe (file missing)
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe (file missing)

--
End of file - 8542 bytes

mfg eA

cosinus · 22.10.2008, 11:43

Okay, mach noch bitte Combofix.

The eA · 22.10.2008, 13:00

hab jetzt comboFix durchgeführt

Code:

ATTFilter

ComboFix 08-10-21.03 - *** 2008-10-22 13:23:10.1 - FAT32x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.1663 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\***\Desktop\ComboFix.exe
 * Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\Options\CABS\_desktop.ini

.
(((((((((((((((((((((((   Dateien erstellt von 2008-09-22 bis 2008-10-22  ))))))))))))))))))))))))))))))
.

2008-10-21 20:42 . 2008-10-21 20:42	<DIR>	d--------	C:\Programme\Malwarebytes' Anti-Malware
2008-10-21 20:42 . 2008-10-21 20:43	<DIR>	d--------	C:\Dokumente und Einstellungen\***\Anwendungsdaten\Malwarebytes
2008-10-21 20:42 . 2008-10-21 20:42	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-10-21 20:42 . 2008-10-16 20:25	38,496	--a------	C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-10-21 20:42 . 2008-10-16 20:25	15,504	--a------	C:\WINDOWS\system32\drivers\mbam.sys
2008-10-20 23:25 . 2008-10-20 23:25	88	--a------	C:\WINDOWS\wininit.ini
2008-10-20 22:19 . 2008-10-20 22:19	<DIR>	d--hs----	C:\FOUND.001
2008-10-20 19:56 . 2008-10-20 19:56	<DIR>	d--------	C:\Programme\TeaTimer (Spybot - Search & Destroy)
2008-10-20 19:56 . 2008-10-20 19:56	<DIR>	d--------	C:\Programme\SDHelper (Spybot - Search & Destroy)
2008-10-20 19:34 . 2008-10-20 19:34	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-10-20 19:33 . 2008-10-20 19:33	<DIR>	d--------	C:\Programme\Spybot - Search & Destroy
2008-10-20 15:12 . 2008-10-20 15:12	<DIR>	d--------	C:\Programme\Trend Micro
2008-10-20 10:14 . 2008-10-20 10:14	<DIR>	d--------	C:\Dokumente und Einstellungen\***\Anwendungsdaten\MySQL
2008-10-20 10:07 . 2008-10-20 10:07	<DIR>	d--------	C:\Programme\MySQL
2008-10-19 21:10 . 2008-10-19 21:10	<DIR>	d--hs----	C:\FOUND.000
2008-10-19 18:34 . 2008-10-19 18:44	96,976	--a------	C:\WINDOWS\system32\drivers\klin.dat
2008-10-19 18:34 . 2008-10-19 18:34	87,855	--a------	C:\WINDOWS\system32\drivers\klick.dat
2008-10-19 18:33 . 2008-10-19 18:33	<DIR>	d--------	C:\Programme\Kaspersky Lab
2008-10-19 18:33 . 2008-10-19 18:33	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-10-19 18:33 . 2008-10-22 13:27	32	--ahs----	C:\WINDOWS\system32\drivers\fidbox2.idx
2008-10-19 18:33 . 2008-10-22 13:27	32	--ahs----	C:\WINDOWS\system32\drivers\fidbox2.dat
2008-10-19 18:33 . 2008-10-22 13:27	32	--ahs----	C:\WINDOWS\system32\drivers\fidbox.idx
2008-10-19 18:33 . 2008-10-22 13:27	32	--ahs----	C:\WINDOWS\system32\drivers\fidbox.dat
2008-10-19 18:06 . 2008-10-19 18:06	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files
2008-10-15 17:22 . 2008-09-15 17:24	1,846,528	---------	C:\WINDOWS\system32\dllcache\win32k.sys
2008-10-15 17:22 . 2008-09-08 12:41	333,824	---------	C:\WINDOWS\system32\dllcache\srv.sys
2008-10-15 17:21 . 2008-08-14 15:19	2,191,488	---------	C:\WINDOWS\system32\dllcache\ntoskrnl.exe
2008-10-15 17:21 . 2008-08-14 15:19	2,147,840	---------	C:\WINDOWS\system32\dllcache\ntkrnlmp.exe
2008-10-15 17:21 . 2008-08-14 15:19	2,068,352	---------	C:\WINDOWS\system32\dllcache\ntkrnlpa.exe
2008-10-15 17:21 . 2008-08-14 15:19	2,026,496	---------	C:\WINDOWS\system32\dllcache\ntkrpamp.exe
2008-10-14 20:05 . 2008-10-14 20:05	<DIR>	d--------	C:\Dokumente und Einstellungen\***\Anwendungsdaten\Hewlett-Packard
2008-10-14 20:04 . 2008-10-20 20:20	522	--a------	C:\hpfr3420.xml
2008-10-14 19:59 . 2008-10-14 19:59	<DIR>	d--------	C:\Programme\Gemeinsame Dateien\Hewlett-Packard
2008-10-14 19:56 . 2008-10-14 19:56	<DIR>	d--------	C:\Programme\Hewlett-Packard
2008-10-14 19:55 . 2008-10-14 19:55	<DIR>	d--------	C:\temp\HP All-in-One Series Web Release
2008-10-14 19:55 . 2008-10-14 19:55	<DIR>	d--------	C:\temp
2008-10-14 19:55 . 2008-10-14 20:01	19,554	--a------	C:\WINDOWS\hpoins01.dat
2008-10-14 19:55 . 2003-04-22 15:10	16,606	---------	C:\WINDOWS\hpomdl01.dat
2008-10-14 19:19 . 2008-04-14 00:17	25,856	--a------	C:\WINDOWS\system32\drivers\usbprint.sys
2008-10-14 19:19 . 2008-04-14 00:17	25,856	--a------	C:\WINDOWS\system32\dllcache\usbprint.sys
2008-10-14 19:18 . 2004-08-04 05:00	31,616	--a------	C:\WINDOWS\system32\drivers\usbccgp.sys
2008-10-14 19:18 . 2004-08-04 05:00	31,616	--a------	C:\WINDOWS\system32\dllcache\usbccgp.sys
2008-10-14 19:01 . 2006-10-26 19:56	32,592	--a------	C:\WINDOWS\system32\msonpmon.dll
2008-10-14 18:58 . 2008-10-14 18:58	<DIR>	d--------	C:\Programme\MSBuild
2008-10-14 18:58 . 2008-10-14 18:58	<DIR>	d--------	C:\Programme\Microsoft Works
2008-10-14 18:55 . 2008-10-14 18:55	<DIR>	d--------	C:\Programme\Microsoft.NET
2008-10-14 18:51 . 2008-10-14 18:51	<DIR>	d--------	C:\Programme\Microsoft Visual Studio 8
2008-10-14 18:50 . 2008-10-14 18:50	<DIR>	d--------	C:\WINDOWS\SHELLNEW
2008-10-14 18:49 . 2008-10-14 18:49	<DIR>	dr-h-----	C:\MSOCache
2008-10-14 18:49 . 2008-10-14 18:49	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-10-14 18:47 . 2008-10-14 18:47	<DIR>	d--------	C:\Programme\DAEMON Tools
2008-10-14 18:47 . 2008-10-14 18:47	223,128	--a------	C:\WINDOWS\system32\drivers\dtscsi.sys
2008-10-13 03:53 . 2008-10-22 13:27	12	--a------	C:\WINDOWS\bthservsdp.dat
2008-10-11 14:32 . 2008-10-11 14:32	<DIR>	d--------	C:\Programme\Paint.NET
2008-10-11 14:14 . 2008-10-11 14:14	<DIR>	d--------	C:\Programme\Gemeinsame Dateien\Apple
2008-10-11 14:14 . 2008-10-11 14:14	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2008-10-11 14:13 . 2008-10-11 14:13	<DIR>	d--------	C:\Programme\Apple Software Update
2008-10-11 14:13 . 2008-10-11 14:13	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
2008-10-10 23:29 . 2008-10-10 23:29	<DIR>	d--------	C:\Programme\Gemeinsame Dateien\Adobe
2008-10-10 23:26 . 2008-10-10 23:26	<DIR>	d--------	C:\Programme\NOS
2008-10-10 23:26 . 2008-10-10 23:26	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NOS
2008-10-09 17:25 . 2008-10-09 17:25	<DIR>	d--------	C:\Dokumente und Einstellungen\***\Anwendungsdaten\Thinking Minds Budiling Bytes
2008-10-09 17:23 . 2008-10-09 17:23	268	--ah-----	C:\sqmdata00.sqm
2008-10-09 17:23 . 2008-10-09 17:23	244	--ah-----	C:\sqmnoopt00.sqm
2008-10-09 13:37 . 2008-10-09 13:37	<DIR>	d---s----	C:\Dokumente und Einstellungen\***\UserData
2008-10-09 13:36 . 2008-10-09 13:36	<DIR>	d--------	C:\Dokumente und Einstellungen\***\Contacts
2008-10-08 23:13 . 2008-10-20 19:25	69	--a------	C:\WINDOWS\NeroDigital.ini
2008-10-08 22:09 . 2008-10-08 22:09	<DIR>	d--------	C:\Programme\Windows Live
2008-10-08 21:59 . 2008-10-08 21:59	<DIR>	d--------	C:\Dokumente und Einstellungen\***\Anwendungsdaten\skypePM
2008-10-08 21:59 . 2008-10-08 21:59	56	--ah-----	C:\WINDOWS\system32\ezsidmv.dat
2008-10-08 21:58 . 2008-10-08 21:58	<DIR>	d--------	C:\Dokumente und Einstellungen\***\Anwendungsdaten\Skype
2008-10-08 21:56 . 2008-10-08 21:56	<DIR>	d--------	C:\Programme\Skype
2008-10-08 21:56 . 2008-10-08 21:56	<DIR>	d--------	C:\Programme\Gemeinsame Dateien\Skype
2008-10-08 18:04 . 2008-10-08 18:04	<DIR>	d--------	C:\Programme\MSXML 4.0
2008-10-08 12:02 . 2008-04-11 21:04	691,712	---------	C:\WINDOWS\system32\dllcache\inetcomm.dll
2008-10-08 12:02 . 2008-05-01 16:34	331,776	---------	C:\WINDOWS\system32\dllcache\msadce.dll
2008-10-08 12:02 . 2008-05-08 16:02	203,136	---------	C:\WINDOWS\system32\dllcache\rmcast.sys
2008-10-08 00:35 . 2008-10-08 00:35	<DIR>	d--------	C:\Dokumente und Einstellungen\***\Anwendungsdaten\ICQ Toolbar
2008-10-08 00:22 . 2008-10-08 00:22	<DIR>	d--------	C:\Programme\Alwil Software
2008-10-07 23:58 . 2008-10-07 23:58	<DIR>	d--------	C:\Programme\SFT Loader
2008-10-07 22:57 . 2008-10-07 22:58	<DIR>	d--------	C:\Programme\PowerQuest
2008-10-07 21:47 . 2005-05-26 15:34	2,297,552	--a------	C:\WINDOWS\system32\d3dx9_26.dll
2008-10-07 21:47 . 2008-10-07 21:47	22,328	--a------	C:\WINDOWS\system32\drivers\PnkBstrK.sys
2008-10-07 21:47 . 2008-10-07 21:47	22,328	--a------	C:\Dokumente und Einstellungen\***\Anwendungsdaten\PnkBstrK.sys
2008-10-07 21:46 . 2008-10-07 21:46	<DIR>	d--------	C:\WINDOWS\system32\LogFiles
2008-10-07 21:46 . 2008-10-07 21:46	103,736	--a------	C:\WINDOWS\system32\PnkBstrB.exe
2008-10-07 21:46 . 2008-10-07 21:46	66,872	--a------	C:\WINDOWS\system32\PnkBstrA.exe
2008-10-07 20:56 . 2008-10-07 20:56	<DIR>	d--------	C:\Programme\ICQToolbar
2008-10-07 20:56 . 2008-10-07 20:56	<DIR>	d--------	C:\Dokumente und Einstellungen\***\Anwendungsdaten\ICQ
2008-10-07 20:55 . 2008-10-07 20:55	<DIR>	d--------	C:\Programme\ICQ6
2008-10-07 20:55 . 2008-10-07 20:55	<DIR>	d--------	C:\Dokumente und Einstellungen\***\Anwendungsdaten\InstallShield
2008-10-07 20:38 . 2008-10-07 20:38	<DIR>	d--------	C:\Dokumente und Einstellungen\***\Anwendungsdaten\teamspeak2
2008-10-07 18:21 . 2008-10-07 21:46	311	--a------	C:\WINDOWS\game.ini
2008-10-07 17:52 . 2008-10-07 17:52	<DIR>	d--------	C:\Programme\Nero
2008-10-07 17:52 . 2008-10-07 17:52	<DIR>	d--------	C:\Programme\Gemeinsame Dateien\Nero
2008-10-07 17:52 . 2008-10-07 17:52	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nero
2008-10-07 17:39 . 2008-10-07 17:39	<DIR>	d--------	C:\Programme\Avira
2008-10-07 17:39 . 2008-10-07 17:39	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-10-07 16:12 . 2008-10-07 16:12	<DIR>	d--------	C:\Dokumente und Einstellungen\***\Anwendungsdaten\vlc
2008-10-07 14:38 . 2008-10-07 14:38	<DIR>	d--------	C:\Programme\CCleaner
2008-10-07 14:37 . 2008-10-07 14:37	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype
2008-10-07 14:37 . 2008-10-07 14:37	34,064	--a------	C:\WINDOWS\system32\lhacm.acm
2008-10-07 14:36 . 2008-10-07 14:36	<DIR>	d--------	C:\Programme\VideoLAN
2008-10-07 14:36 . 2008-10-07 14:36	<DIR>	d--------	C:\Programme\Teamspeak2_RC2
2008-10-07 14:35 . 2008-10-07 14:35	<DIR>	d--------	C:\Programme\Winamp
2008-10-07 14:35 . 2008-10-07 14:35	<DIR>	d--------	C:\Dokumente und Einstellungen\***\Anwendungsdaten\Winamp
2008-10-07 14:24 . 2008-10-07 14:24	8,840	--a------	C:\WINDOWS\SEC1315.PNF
2008-10-07 14:21 . 2008-10-07 14:21	<DIR>	d--------	C:\WINDOWS\ServicePackFiles
2008-10-07 14:20 . 2008-04-14 07:52	294,912	---------	C:\WINDOWS\system32\dllcache\dlimport.exe
2008-10-07 14:18 . 2006-12-29 00:31	19,569	--a------	C:\WINDOWS\002616_.tmp
2008-10-07 14:18 . 2008-10-07 14:18	2,948	--a------	C:\WINDOWS\SEC59.PNF
2008-10-07 14:16 . 2008-10-07 14:16	<DIR>	d--------	C:\WINDOWS\EHome
2008-10-07 14:08 . 2008-10-07 14:08	<DIR>	d--------	C:\Programme\Broadcom
2008-10-07 14:08 . 2006-10-12 15:28	754,688	--a------	C:\WINDOWS\system32\drivers\bcmwl564.sys
2008-10-07 14:08 . 2007-02-08 01:05	549,158	--a------	C:\WINDOWS\system32\drivers\bcmwl5.inf
2008-10-07 14:08 . 2005-06-21 13:32	28,544	--a------	C:\WINDOWS\system32\drivers\callistx.sys
2008-10-07 14:08 . 2007-02-09 05:47	11,986	--a------	C:\WINDOWS\system32\drivers\bcm43xx64.cat
2008-10-07 14:08 . 2007-02-09 05:47	11,986	--a------	C:\WINDOWS\system32\drivers\bcm43xx.cat
2008-10-07 14:07 . 2008-10-07 14:07	88	--a------	C:\WINDOWS\GridV.UNI
2008-10-07 14:02 . 2006-06-13 14:42	602,112	--a------	C:\WINDOWS\system32\Acer.Empowering.Windows.Forms_v820.dll
2008-10-07 14:01 . 2006-06-01 20:47	1,168,896	--a------	C:\WINDOWS\system32\ERUpdateHidden.EXE
2008-10-07 14:01 . 2006-03-23 12:02	258,048	--a------	C:\WINDOWS\system32\Uninstall_eRecovery.exe
2008-10-07 14:01 . 2006-03-30 13:06	258,048	--a------	C:\WINDOWS\system32\CheckD2DSystem.exe
2008-10-07 14:01 . 2004-11-03 09:06	159,744	--a------	C:\WINDOWS\system32\CloseProcessWindow.dll
2008-10-07 14:01 . 2005-12-09 09:12	16,384	--a------	C:\WINDOWS\system32\ClearEvent.exe

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-07 12:35	96,384	----a-w	C:\WINDOWS\system32\drivers\sptd5581.sys
2008-10-07 12:35	664,064	----a-w	C:\WINDOWS\system32\drivers\sptd.sys
2008-09-15 15:24	1,846,528	----a-w	C:\WINDOWS\system32\win32k.sys
2008-09-08 10:41	333,824	----a-w	C:\WINDOWS\system32\drivers\srv.sys
2008-08-20 05:08	671,744	----a-w	C:\WINDOWS\system32\wininet.dll
2008-08-20 05:08	671,744	------w	C:\WINDOWS\system32\dllcache\wininet.dll
2008-08-20 05:08	620,544	------w	C:\WINDOWS\system32\dllcache\urlmon.dll
2008-08-20 05:08	3,088,896	------w	C:\WINDOWS\system32\dllcache\mshtml.dll
2008-08-20 05:08	1,499,136	------w	C:\WINDOWS\system32\dllcache\shdocvw.dll
2008-08-14 13:19	2,147,840	----a-w	C:\WINDOWS\system32\ntoskrnl.exe
2008-08-14 13:19	2,026,496	----a-w	C:\WINDOWS\system32\ntkrnlpa.exe
2008-08-14 10:04	138,496	------w	C:\WINDOWS\system32\dllcache\afd.sys
2008-07-29 18:21	218,376	----a-w	C:\WINDOWS\system32\klogon.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-08-18 1832272]
"msnmsgr"="C:\Programme\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 5724184]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSPY2002"="C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-04 59392]
"PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 455168]
"PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 455168]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2006-03-03 761946]
"LManager"="C:\PROGRA~1\LAUNCH~1\LManager.exe" [2006-06-23 602112]
"ePower_DMC"="C:\Acer\Empowering Technology\ePower\ePower_DMC.exe" [2006-05-30 421888]
"AVP"="C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe" [2008-07-29 206088]
"RTHDCPL"="RTHDCPL.EXE" [2006-05-18 C:\WINDOWS\RTHDCPL.exe]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-04 C:\WINDOWS\system32\bthprops.cpl]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 15360]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^BTTray.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\BTTray.lnk
backup=C:\WINDOWS\pss\BTTray.lnkCommon Startup
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\C:
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\C:\WINDOWS
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\C:\WINDOWS\system32

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-06-12 02:38 34672 C:\Programme\Adobe\Reader 9.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AzMixerSel]
--------- 2006-04-15 13:35 53248 C:\Programme\Realtek\InstallShield\AzMixerSel.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ePower_DMC]
--a------ 2006-05-30 12:11 421888 C:\Acer\Empowering Technology\ePower\ePower_DMC.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]
--a------ 2006-10-27 00:47 31016 C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ]
--a------ 2008-10-07 20:56 173304 C:\Programme\ICQ6\ICQ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IMJPMIG8.1]
--a------ 2004-08-04 05:00 208952 C:\WINDOWS\ime\imjp8_1\imjpmig.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
--a------ 2007-10-18 11:34 5724184 C:\Programme\Windows Live\Messenger\msnmsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2008-09-06 15:09 413696 C:\Programme\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\WINDOWS\\System32\\PnkBstrA.exe"=
"C:\\WINDOWS\\System32\\PnkBstrB.exe"=
"C:\\Programme\\Windows Live\\Messenger\\MsnMsgr.Exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Programme\\SFT Loader\\leecher.exe"=
"C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"C:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"C:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"C:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Kaspersky Lab Setup Files\\Kaspersky Anti-Virus 2009\\german\\setup.exe"=
"C:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Kaspersky Lab Setup Files\\Kaspersky Anti-Virus 2009\\English\\setup.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3306:TCP"= 3306:TCP:MySQL

R0 klbg;Kaspersky Lab Boot Guard Driver;C:\WINDOWS\system32\drivers\klbg.sys [2008-01-29 32784]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2008-04-30 24592]
S2 eLock2BurnerLockDriver;eLock2BurnerLockDriver;C:\WINDOWS\system32\eLock2BurnerLockDriver.sys [ ]
S2 eLock2FSCTLDriver;eLock2FSCTLDriver;C:\WINDOWS\system32\eLock2FSCTLDriver.sys [ ]
S3 getPlus(R) Helper;getPlus(R) Helper;C:\Programme\NOS\bin\getPlus_HelperSvc.exe [2008-08-29 33752]
.
Inhalt des "geplante Tasks" Ordners

2008-10-17 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- C:\Programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]

2008-10-14 C:\WINDOWS\Tasks\FRU Task #Hewlett-Packard#hp psc 1200 series#1224007480.job
- C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe [2003-04-09 17:56]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKCU-Run-CubeDesktop - (no file)
HKLM-Run-C:\WINDOWS\system32\kdqjd.exe - C:\WINDOWS\system32\kdqjd.exe
HKLM-Run-LaunchApp - (no file)
MSConfigStartUp-MSFox - C:\DOKUME~1\ENESAR~1\LOKALE~1\Temp\xxx9217.exe


.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\23c906fw.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.google.com/intl/de/
FF -: plugin - C:\Programme\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, ht*p://www.gmer.net
Rootkit scan 2008-10-22 13:29:28
Windows 5.1.2600 Service Pack 3 FAT NTAPI

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MySQL]
"ImagePath"="\"C:\Programme\MySQL\MySQL Server 5.1\bin\mysqld\" --defaults-file=\"C:\Programme\MySQL\MySQL Server 5.1\my.ini\" MySQL"
.
------------------------ Weitere laufende Prozesse ------------------------
.
C:\WINDOWS\SYSTEM32\ATI2EVXX.EXE
C:\WINDOWS\SYSTEM32\ATI2EVXX.EXE
C:\ACER\EMPOWERING TECHNOLOGY\EPERFORMANCE\MEMCHECK.EXE
C:\PROGRAMME\WIDCOMM\BLUETOOTH SOFTWARE\BIN\BTWDINS.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\LIGHTSCRIBE\LSSRVC.EXE
C:\PROGRAMME\NERO\NERO8\NERO BACKITUP\NBSERVICE.EXE
C:\WINDOWS\SYSTEM32\PNKBSTRA.EXE
C:\WINDOWS\SYSTEM32\PNKBSTRB.EXE
C:\WINDOWS\SYSTEM32\WDFMGR.EXE
C:\WINDOWS\SYSTEM32\WBEM\WMIAPSRV.EXE
C:\PROGRAMME\LAUNCH MANAGER\LMANAGER.EXE
C:\WINDOWS\SYSTEM32\RUNDLL32.EXE
C:\WINDOWS\SYSTEM32\WBEM\UNSECAPP.EXE
C:\WINDOWS\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-10-22 13:32:17 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2008-10-22 11:31:56

Vor Suchlauf: 20 Verzeichnis(se), 39.051.984.896 Bytes frei
Nach Suchlauf: 20 Verzeichnis(se), 38,957,776,896 Bytes frei

276	--- E O F ---	2008-10-15 20:09:53

das mit dem script verstehe ich nicht wie das gemeint ist, sry

mfg eA

The eA · 22.10.2008, 13:01

upps hab die HijackThis log vergessen

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:58:34, on 22.10.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
c:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\LAUNCH~1\LManager.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
D:\download\qlketzd(2).com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aceradvantage.com/stdreg
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\ievkbd.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - c:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\SCIEPlgn.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - c:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - c:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://wwwimages.adobe.com/www.adobe.com/products/acrobat/nos/gp.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Memory Check Service (AcerMemUsageCheckService) - Acer Inc. - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - c:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Programme\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: MySQL - Unknown owner - C:\Programme\MySQL\MySQL.exe (file missing)
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe (file missing)

--
End of file - 8148 bytes

cosinus · 23.10.2008, 20:44

Die Logs sehen soweit sauber aus. WAS GENAU verstehst Du an der ANleitung zum Fileisting denn nicht?

The eA · 23.10.2008, 22:14

ich hab vergessen das zu speichern
weil ich voll aggro war, dass nichts so wollte wie ich es haben wollte

aber hier hast du es

Hier

und ncoh mal tausend dank, hast mich vor ner formatierunge gerettet

cosinus · 24.10.2008, 06:32

Auch das Filelisting sieht okay aus.

22.10.2008, 11:43	#4
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Antivirus 2009 Alert Okay, mach noch bitte Combofix. __________________ Logfiles bitte immer in CODE-Tags posten

23.10.2008, 20:44	#7
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Antivirus 2009 Alert Die Logs sehen soweit sauber aus. WAS GENAU verstehst Du an der ANleitung zum Fileisting denn nicht? __________________ Logfiles bitte immer in CODE-Tags posten

24.10.2008, 06:32	#9
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Antivirus 2009 Alert Auch das Filelisting sieht okay aus. __________________ Logfiles bitte immer in CODE-Tags posten

Antivirus 2009 Alert

Plagegeister aller Art und deren Bekämpfung: Antivirus 2009 Alert