Hallo und guten Tag zusammen -
könnte mir evtl. jemand bei meinem Problem helfen.
Eins vorneweg. Ich bin nicht so der Experte am PC.

Also von vorne.Ich nutze mit meinem junior zusammen einen PC zuhause.Und seit vorgestern spinnt der ständig herum(der PC)
Hatte als standart Virenschutz Antivir.
Zuerst bemerkte ich das alle Prozesse extrem langsam liefen und auch das öffnen von Programmen dauerte ne Ewigkeit oder liefen erst gar nicht.

Als erstes hab ich dann mal Tune up 2008 Startup Manager gestartet um zu schauen was alles für Proggis starten....waren eigentlich nur die Proggis die ich auch starten wollte,bis auf diese 4 hier ----->

CPM1b47905b Unbek. Hersteller
sumovena Unbek. Hersteller
Support RAS Connections Unbek. Hersteller
Support RAS Connections Unbek. Hersteller
Wenn ich hier mit Tune up 2008 Startup Manager die 4 Einträge deaktiviere und lösche, werden die beiden ersten nach dem aktualisieren wieder angezeigt(aktiv).

Naja,nun hatte ich mir mal ne Menge Virenscanner,Spywarefinder usw. runtergeladen und durchlaufen lassen.

hier mal der neuste prüfbericht vom Proggi Spyware Terminator:

Logfile of Spyware Terminator v2.5.0.567 (db:2.011.027.000)
Scan Time: 29.11.2008 09:47:45 length: 183 s
Platform: WXP (5.1.0.2600)
User: Admin
Boot Mode: Safe
Scan type: Fast_Spyware_Scan
Scanned Objects: 40148 (Critical:2)
Filter: No System items, No Safe items, No Invalid items

Running Processes
aawservice.exe [Lavasoft] : C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
Integrator.exe [TuneUp Software GmbH] : D:\Programme\Tune Up 2008\Integrator.exe
StartUpManager.exe [TuneUp Software GmbH] : D:\Programme\Tune Up 2008\StartUpManager.exe
wordpad.exe [Microsoft Corporation] : C:\Programme\Windows NT\Zubehör\wordpad.exe

Internet Settings
R - HKLM\Software\Microsoft\Internet Explorer\Main, Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R - HKLM\Software\Microsoft\Internet Explorer\Search, SearchAssistant = http://www.google.com/ie
R - HKLM\Software\Microsoft\Internet Explorer\Search, CustomizeSearch = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm
R - HKLM\System\CurrentControlSet\Services\Tcpip\Parameters, Domain =
R - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Telephony, DomainName =

StartUps
04 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, avast! : [ALWIL Software] : D:\Programme\Virenscanner\ashDisp.exe
04 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, avgnt : [Avira GmbH] : C:\Programme\AVIRA\ANTIVIR PERSONALEDITION CLASSIC\AVGNT.EXE
04 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, CPM1b47905d : : C:\WINDOWS\system32\gowajiwe.dll
04 - HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows, AppInit_DLLs : : C:\WINDOWS\system32\fakahale.dll
04 - HKLM\System\CurrentControlSet\Control\Session Manager, BootExecute : : C:\WINDOWS\system32\lsdelete.exe

Shell Extensions
Desktop Explorer - {1CDB2949-8F65-4355-8456-263E7C208A5D} - [NVIDIA Corporation] : C:\WINDOWS\system32\nvshell.dll
- {1E9B04FB-F9E5-4718-997B-B8DA88302A47} - [NVIDIA Corporation] : C:\WINDOWS\system32\nvshell.dll
nView Desktop Context Menu - {1E9B04FB-F9E5-4718-997B-B8DA88302A48} - [NVIDIA Corporation] : C:\WINDOWS\system32\nvshell.dll
WinRAR - {B41DB860-8EE4-11D2-9906-E49FADC173CA} - : D:\WinRAR\rarext.dll
Shell Extension for Malware scanning - {45AC2688-0253-4ED8-97DE-B5370FA7D48A} - [Avira GmbH] : C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll
TuneUp Theme Extension - {44440D00-FF19-4AFC-B765-9A0970567D97} - [TuneUp Software GmbH] : C:\WINDOWS\system32\uxtuneup.dll
avast - {472083B0-C522-11CF-8763-00608CC02F24} - [ALWIL Software] : D:\Programme\Virenscanner\ashShell.dll

Shell Extecute Hooks
- {{EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4}} - : C:\WINDOWS\system32\gowajiwe.dll

Shell Service Objects
- {SSODL} - : C:\WINDOWS\system32\gowajiwe.dll

Services
23 - [Lavasoft] : C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
23 - : C:\WINDOWS\system32\Drivers\sptd.sys

Threat Files
<Trojan.W32.Sohana> : C:\WINDOWS\system32\svhost.exe

Advanced Files Report
%PROGRAMFILES%\Lavasoft\Ad-Aware\aawservice.exe [Lavasoft] [Ad-Aware Service] MD5=17067069B9A7865028C1F2E6971D0CCC SIZE=611664
%PROGRAMFILES%\Lavasoft\Ad-Aware\CEAPI.dll [Lavasoft] [CEAPI Dynamic Link Library] MD5=4E0BC5EA2FAF42E7702F80BC69EF7EAB SIZE=804200
%PROGRAMFILES%\Lavasoft\Ad-Aware\PKArchive85u.dll [PKWARE, Inc.] [PKWARE Archive API] MD5=46374252AFA0A37F4F7AF528F6F16B96 SIZE=907096
%PROGRAMFILES%\Avira\AntiVir PersonalEdition Classic\shlext.dll [Avira GmbH] [AntiVir Workstation] MD5=09B3D3F6AD9744417574676E5A2836EE SIZE=65793
D:\Programme\Malwarebytes' Anti-Malware\mbamext.dll [Malwarebytes Corporation] [Malwarebytes' Anti-Malware] MD5=1FF8F749C2A2E3BBB259B91DB7BD8B08 SIZE=73360
D:\Programme\Virenscanner\ashShell.dll [ALWIL Software] [avast! Antivirus] MD5=5E52AC706763ED35423311D34B2309E7 SIZE=76880
D:\WinRAR\rarext.dll MD5=023707D932BA31314210E6844D33D500 SIZE=129024
%SYSDIR%\CmdLineExt.dll [Sony DADC Austria AG.] MD5=EA3E6A1B51CA1574C934E27157ED6099 SIZE=98304
D:\Programme\Tune Up 2008\Integrator.exe [TuneUp Software GmbH] [TuneUp Utilities] MD5=90FD941CDE69BD48C488242516153E39 SIZE=459520
D:\Programme\Tune Up 2008\rtl100.bpl [CodeGear] [Borland Package Library] MD5=801E0F678FCEA83F9AE0BDD48D291FA7 SIZE=852992
D:\Programme\Tune Up 2008\vcl100.bpl [CodeGear] [Borland Package Library] MD5=023DB95DE4E80D78AABC745BACDD4F60 SIZE=1868800
D:\Programme\Tune Up 2008\TUBase.bpl [TuneUp Software GmbH] [TuneUp Utilities] MD5=75B3693319FFA3424DD44B90971740E2 SIZE=33280
D:\Programme\Tune Up 2008\SmallUnits.bpl [TuneUp Software GmbH] [TuneUp Utilities] MD5=ADE93BD7A6D0EFDD7BCCA3732C77270A SIZE=100352
D:\Programme\Tune Up 2008\vcljpg100.bpl [CodeGear] [Borland Package Library] MD5=02E7DB0B1F4580D815AB0F98179F5356 SIZE=97792
D:\Programme\Tune Up 2008\GR32_D6.bpl [TuneUp Software GmbH] [TuneUp Utilities] MD5=EBF8D8449484B177A904EDD8B7B02B7D SIZE=563200
D:\Programme\Tune Up 2008\RegExp.bpl [TuneUp Software GmbH] [TuneUp Utilities] MD5=9DCAA96E13978FA612B9BFB446AD1DAF SIZE=42496
D:\Programme\Tune Up 2008\XMLComponents.bpl [TuneUp Software GmbH] [TuneUp Utilities] MD5=608D2AE78D98389C607126A86BC2F355 SIZE=46592
D:\Programme\Tune Up 2008\TUCompression.bpl [TuneUp Software GmbH] [TuneUp Utilities] MD5=EDAF9E9AEDFCC90F2C56295AE44C2B92 SIZE=291328
D:\Programme\Tune Up 2008\vclx100.bpl [CodeGear] [Borland Package Library] MD5=3C5C45805B7CEE27EC33750CDA98B116 SIZE=198656
D:\Programme\Tune Up 2008\MainControls.bpl [TuneUp Software GmbH] [TuneUp Utilities] MD5=DDCEA0D5BE7EEAB944BA8BED9E7DE596 SIZE=644608
D:\Programme\Tune Up 2008\DEC.bpl [TuneUp Software GmbH] [TuneUp Utilities] MD5=44284B2E5F7135AF842237D27A14F364 SIZE=259072
D:\Programme\Tune Up 2008\Html.bpl [TuneUp Software GmbH] [TuneUp Utilities] MD5=46C403B9D7B91BA320ADBFFD0310D690 SIZE=450560
D:\Programme\Tune Up 2008\ntrtl60.bpl [TuneUp Software GmbH] [TuneUp Utilities] MD5=5CEF64C2E9F4A82811158FAFA973B352 SIZE=390144
D:\Programme\Tune Up 2008\SysInfo.bpl [TuneUp Software GmbH] [TuneUp Utilities] MD5=8D43AD670CD40666705950D016A1EAC7 SIZE=279040
D:\Programme\Tune Up 2008\TUKernel.bpl [TuneUp Software GmbH] [TuneUp Utilities] MD5=66A2B000E38AFB1F1C32581C13C05C75 SIZE=283136
D:\Programme\Tune Up 2008\TUBasic.bpl [TuneUp Software GmbH] [TuneUp Utilities] MD5=84BE209FFA0471B1DE590471A302EE09 SIZE=117760
D:\Programme\Tune Up 2008\MSI_D6.bpl [TuneUp Software GmbH] [TuneUp Utilities] MD5=0C3060766B5260444D5A7B8787289903 SIZE=646656
D:\Programme\Tune Up 2008\TUIcoEngineerDirTree.bpl [TuneUp Software GmbH] [TuneUp Utilities] MD5=23266AB80219E83DD827F5C485186B33 SIZE=127488
D:\Programme\Tune Up 2008\TUShell.bpl [TuneUp Software GmbH] [TuneUp Utilities] MD5=B2CC0F8E12BB84731F74A96ED997F5CE SIZE=68096
D:\Programme\Tune Up 2008\SysControls.bpl [TuneUp Software GmbH] [TuneUp Utilities] MD5=3415B7054B51A91132C166FAB4E86EEA SIZE=59392
D:\Programme\Tune Up 2008\AppInitialization.bpl [TuneUp Software GmbH] [TuneUp Utilities] MD5=BBC17DCE43EBE7416BB71F9908E53410 SIZE=131072
D:\Programme\Tune Up 2008\VisControls.bpl [TuneUp Software GmbH] [TuneUp Utilities] MD5=134396CC6DEBF565DCAFC80D762BA6A5 SIZE=282112
D:\Programme\Tune Up 2008\TUTMSComponents.bpl [TuneUp Software GmbH] [TuneUp Utilities] MD5=74903809BDA19CB33E3F753BDD0F92AA SIZE=633856
D:\Programme\Tune Up 2008\dbrtl100.bpl [CodeGear] [Borland Package Library] MD5=49D00906C9AB7D88CCB34E92F2DEE453 SIZE=293888
D:\Programme\Tune Up 2008\vcldb100.bpl [CodeGear] [Borland Package Library] MD5=296CDE13DE76A3159C6E4BE558C01DF3 SIZE=274432
D:\Programme\Tune Up 2008\VirtualTreesR.bpl [TuneUp Software GmbH] [TuneUp Utilities] MD5=1E8F3CEBDCCD3E82D004CEA13D5CAACA SIZE=566784
D:\Programme\Tune Up 2008\dxBarD11.bpl [TuneUp Software GmbH] [TuneUp Utilities] MD5=F7AF87B93146EF9F42E28BA810988642 SIZE=1076736
D:\Programme\Tune Up 2008\dxComnD11.bpl [TuneUp Software GmbH] [TuneUp Utilities] MD5=FC100CF75D0D8A83B3CD026A9BDD9708 SIZE=44544
D:\Programme\Tune Up 2008\dxThemeD11.bpl [TuneUp Software GmbH] [TuneUp Utilities] MD5=542B64CE275312E14F590B3F4B1D3840 SIZE=53248
D:\Programme\Tune Up 2008\cxLibraryD11.bpl [TuneUp Software GmbH] [TuneUp Utilities] MD5=58D117E21B52431B4E6E56E10612CD4B SIZE=710656
D:\Programme\Tune Up 2008\dxGDIPlusD11.bpl [TuneUp Software GmbH] [TuneUp Utilities] MD5=5F2F189686995AB0E0DE98833E767C81 SIZE=52736
D:\Programme\Tune Up 2008\IEControl.bpl [TuneUp Software GmbH] [TuneUp Utilities] MD5=6256D33B480C66F46275932A5D3276B2 SIZE=18432
D:\Programme\Tune Up 2008\Traces.bpl [TuneUp Software GmbH] [TuneUp Utilities] MD5=C8B6483D86038BC9B3A810A1E982E845 SIZE=337920
D:\Programme\Tune Up 2008\TUShredder.bpl [TuneUp Software GmbH] [TuneUp Utilities] MD5=9AF2DF6A40860580C0EDF997D28E1B13 SIZE=91136
D:\Programme\Tune Up 2008\TUVolScan.bpl [TuneUp Software GmbH] [TuneUp Utilities] MD5=234114305159733EB8B0642A222027C1 SIZE=127488
D:\Programme\Tune Up 2008\NtfsLib.dll [TuneUp Software GmbH] [TuneUp Utilities] MD5=51EFE8817E7D8266243F13ADC9790B7D SIZE=111872
D:\Programme\Tune Up 2008\EmbeddedWebBrowser_D2006.bpl [TuneUp Software GmbH] [TuneUp Utilities] MD5=E9CC402E0822BBCCDC6DBF9297F429FD SIZE=900096
D:\Programme\Tune Up 2008\ehs_d6.bpl [TuneUp Software GmbH] [TuneUp Utilities] MD5=D37F7544029B528AA7506E200C4C7D20 SIZE=54784
D:\Programme\Tune Up 2008\CommonForms.bpl [TuneUp Software GmbH] [TuneUp Utilities] MD5=C9A3E8513DD5309613302ECA529A449C SIZE=133120
D:\Programme\Tune Up 2008\StartUpManager.exe [TuneUp Software GmbH] [TuneUp Utilities] MD5=CF492C62511B46BCED42FA776B725DCC SIZE=278784
D:\Programme\Tune Up 2008\dxBarExtItemsD11.bpl [TuneUp Software GmbH] [TuneUp Utilities] MD5=7268FCAE1478A6C1CE8A3A3594977A59 SIZE=207360
D:\Programme\Tune Up 2008\dxSkinsCoreD11.bpl [TuneUp Software GmbH] [TuneUp Utilities] MD5=2ACFF31565735646EA56F51A8A756570 SIZE=381440
D:\Programme\Tune Up 2008\UNZDLL.DLL [BCB/Delphi UnZip] MD5=E31DFC422FEC5A0936811D9BBCEC8EB2 SIZE=117760
D:\Programme\Tune Up 2008\ZIPDLL.DLL [BCB/Delphi Zip] MD5=D0DAD5C6DB1DAF1785E3CAA76B2E332D SIZE=132096
%PROGRAMFILES%\Windows NT\Zubehör\wordpad.exe [Microsoft Corporation] [Betriebssystem Microsoft® Windows®] MD5=463644CA304103CFF7E9D0F9DC36FFEE SIZE=216576
%SYSDIR%\sumovena.dll
%SYSDIR%\miveyeja.dll
deskpan.dll
%SYSDIR%\nvshell.dll [NVIDIA Corporation] [NVIDIA Desktop Explorer, Version 111.75] MD5=70BDDEE1D46FC4E98AD76A4B4EBE63FF SIZE=466944
%SYSDIR%\uxtuneup.dll [TuneUp Software GmbH] [TuneUp Utilities] MD5=838C97B3D28BFEBDD11D12ADFE957004 SIZE=28416
%WINDIR%\msagent\chars\lzfast.dll
%SYSDIR%\svchost.exe -k netsvcs
%SYSDIR%\svchost -k DcomLaunch
%SYSDIR%\svchost -k rpcss
%SYSDIR%\Drivers\sptd.sys SIZE=639224
%WINDIR%\WinSxS\x86_Microsoft.VC80.MFC_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_3bf8fa05\mfc80.dll [Microsoft Corporation] [Microsoft® Visual Studio® 2005] MD5=1B7524806D0270B81360C63A2FA047CB SIZE=1101824

End of Report


Entfernungsprozess:

Strukturen vorbereiten
Systemwiederherstellungspunkt erstellen
Festdateienentferner deaktiviert
Entfernen Trojan.W32.Sohana
Gelöschte Datei: C:\WINDOWS\system32\svhost.exe
Entfernen Invalid Startup Items
Gelöschter Registriereintrag : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run zebuyawuse
Systemwiederherstellungspunkt schließen
Fertig
-------------------------------------------------------

Hier der Prüfbericht von dem Prog. Malwarebytes Anti-Maleware ---->

Malwarebytes' Anti-Malware 1.30
Database version: 1428
Windows 5.1.2600 Service Pack 2

29.11.2008 12:52:34
mbam-log-2008-11-29 (12-52-34).txt

Scan type: Quick Scan
Objects scanned: 49746
Time elapsed: 4 minute(s), 41 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 1
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 0

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\zebuyawuse (Trojan.Agent) -> Quarantined and deleted successfully.

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
(No malicious items detected)
-------------------------------------------
mit Spybot SD hab ich auch einige Trojaner gefunden und gelöscht....aber ständig findet er neue

z.B C/windows/system32/fakahale.dll
TR/Vundo.My

vieleicht weis ja jemand rat.

Besten Dank und viele Grüße
Karsi

Hallöle Karsi. Bitte beachte die Nubs und poste das Betriebssystem des Rechers..

Hallo und danke für die schnelle Antwort
welchen punkt hab ich nicht beachtet?

Betriebssystem:

Wind XP Prof. SP2 IE 6.0 + Firefox
PC Athlon 3000+ 2100 mhz
L2 Cache 512 kb
speicher 1024 mb
Mainboard K7S41
Grafik GForce 7600GT

Gruß
Karsi

hier noch der Log von HiJack

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:24:29, on 29.11.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\Programme\Tune Up 2008\Integrator.exe
D:\Programme\Tune Up 2008\SystemInformation.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {1ad543c1-aedd-47c6-aa00-4a6c5cb3695a} - C:\WINDOWS\system32\miveyeja.dll (file missing)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avast!] D:\PROGRA~1\VIRENS~1\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [zebuyawuse] Rundll32.exe "C:\WINDOWS\system32\sumovena.dll",s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [zebuyawuse] Rundll32.exe "C:\WINDOWS\system32\sumovena.dll",s (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_03\bin\npjpi150_03.dll
O20 - AppInit_DLLs: C:\WINDOWS\system32\fakahale.dll yoyter.dll
O20 - Winlogon Notify: lzfast - C:\WINDOWS\msagent\chars\lzfast.dll (file missing)
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\Programme\Virenscanner\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - D:\Programme\Virenscanner\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - D:\Programme\Virenscanner\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - D:\Programme\Virenscanner\ashWebSv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programme\Spyware Terminator\sp_rsser.exe

--
End of file - 3849 bytes

Dankeschön! So können wir arbeiten..

Um alle weiteren Hilfeleistungen zu erleichtern und deine Systemsicherheit zu erhöhen arbeite bitte folgendes gründlich ab:

• Deinstalliere bitte Spybot, AdAware, Spyware Doctor und sonstige Anti-Spy/Malware Programme sowie personal-Firewalls wie ZoneAlarm!
  Installiert bleiben dürfen nur Anti-Malware oder SUPERAntiSpyware ohne Wächter.
  .
• Software Updates aller installierten Programme auf die neueste Version (Secunia PSI kann hier wertvolle Hilfe leisten).
  .
• Update der Viren-Signaturen deines Anti-Viren Programmes.
  .
• Treiberupdate der Hardware (Grafikkarte, Soundkarte).
  .
• Windows Update -> Der Frischmacher.
  .
• Installation des aktuellen ServicePacks:
  • XP_ ServicePack3
  • Vista_ ServicePack1
  .
• Vernünftige Ordneransicht -> Einstellungen.
  .
• Abschalten unnötiger Dienste:
  • Vista_ TechNET
  .
• Firewall aktivieren: (Wenn beim installiertem AV-Prog eine Firewall dabei ist so kann diese verwendet werden!)
  • XP_ Firewall
  • Vista_ Firewall
  .
• Internetoptionen sicher gestallten: Start->Systemsteuerung->Internetoptionen->Sicherheit
  • Sicherheit: -> höchste Stufe
    Wähle danach: Stufe anpassen. Ändere die Einstellung: Anwendungen und uns. Dateien starten -> "Bestätigen" und Installation von Desktopobj. -> "Bestätigen".
  • Datenschutz: -> alle Cookies blockieren
  Nutze nicht den MS-InternetExplorer sondern einen alternativen Browser wie FireFox, Opera o.ä..
  .
• Räume mit cCleaner auf; Punkte 1&2.
  .
  Oben genannte Konfigurationen sind grundlegend wichtig! Führe sie also gewissenhaft durch und poste wenn es zu Problemen gekommen ist die du nicht selbstständig mit Hilfe der Boardsuche, Google oder Freunden lösen konntest.
  
  Häufig gestellte Fragen: XP | Vista

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Überprüfe das System danach mit SUPERAntiSpyware und Anti-Malware und poste die logs.
Poste danach auch ein frisches HJT log.

So,bin nun mit allem durch - allerdings gabs ein kleines problem beim CCleaner:
diese beiden hab ich etwa 25 mal nach wiederholung vom Programm angezeigt bekommen...die waren nicht wegzubekommen--->
ActiveX/COM Fehler
InProcServer32\C:\WINDOWS\system32\miveyeja.dll
HKCR\CLSID\{1ad543c1-aedd-47c6-aa00-4a6c5cb3695a}
Fehlende Autostart Software
Rundll32.exe "C:\WINDOWS\system32\sumovena.dll",s
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

und hier der log vom Combo.Fix --->
ComboFix 08-11-29.02 - Karsi 2008-11-29 21:28:32.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.686 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Karsten\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\Karsten\Anwendungsdaten\inst.exe
c:\windows\system32\nusuzefa.dll
c:\windows\system32\obizasis.ini
c:\windows\system32\piyuniha.dll
c:\windows\system32\sisazibo.dll
c:\windows\system32\yiriyidi.dll

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_TDSSSERV
-------\Service_TDSSserv
-------\Service_TDSSserv.sys


((((((((((((((((((((((( Dateien erstellt von 2008-10-28 bis 2008-11-29 ))))))))))))))))))))))))))))))
.

2008-11-29 20:42 . 2008-11-29 20:42 <DIR> d-------- c:\programme\CCleaner
2008-11-29 20:28 . 2008-11-29 20:27 410,976 --a------ c:\windows\system32\deploytk.dll
2008-11-29 20:10 . 2008-04-14 07:52 221,184 --a------ c:\windows\system32\wmpns.dll
2008-11-29 19:51 . 2008-11-29 19:51 <DIR> d-------- c:\windows\system32\de-de
2008-11-29 19:47 . 2008-11-29 19:52 <DIR> d-------- c:\windows\ServicePackFiles
2008-11-29 19:46 . 2008-04-14 07:52 294,912 -----c--- c:\windows\system32\dllcache\dlimport.exe
2008-11-29 19:45 . 2008-11-29 19:45 213,218 --a------ c:\programme\ComboFix.exe
2008-11-29 19:38 . 2006-12-29 00:31 19,569 --a------ c:\windows\002671_.tmp
2008-11-29 18:59 . 2008-11-29 20:27 73,728 --a------ c:\windows\system32\javacpl.cpl
2008-11-29 18:55 . 2008-11-29 18:55 <DIR> d--h----- c:\windows\$hf_mig$
2008-11-29 18:55 . 2007-08-10 20:44 26,488 --a------ c:\windows\system32\spupdsvc.exe
2008-11-29 18:49 . 2008-10-16 14:09 43,544 --a------ c:\windows\system32\wups2.dll
2008-11-29 18:49 . 2008-10-16 14:08 31,768 --a------ c:\windows\system32\wucltui.dll.mui
2008-11-29 18:49 . 2008-10-16 14:08 27,672 --a------ c:\windows\system32\wuaucpl.cpl.mui
2008-11-29 18:49 . 2008-10-16 14:08 27,672 --a------ c:\windows\system32\wuapi.dll.mui
2008-11-29 18:49 . 2008-10-16 14:07 18,968 --a------ c:\windows\system32\wuaueng.dll.mui
2008-11-29 18:35 . 2008-11-29 18:35 <DIR> d-------- c:\programme\Secunia
2008-11-29 16:24 . 2008-11-29 16:24 <DIR> d-------- c:\programme\Trend Micro
2008-11-29 10:36 . 2008-11-29 10:36 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2008-11-29 10:34 . 2008-11-29 13:18 17,573 --a------ C:\Dokument.rtf
2008-11-29 09:47 . 2008-11-29 09:47 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Spyware Terminator
2008-11-29 09:27 . 2008-11-29 09:27 <DIR> dr------- c:\dokumente und einstellungen\Administrator\Eigene Dateien
2008-11-29 09:25 . 2008-11-29 09:25 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\TuneUp Software
2008-11-29 09:24 . 2008-09-10 10:45 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Vorlagen
2008-11-29 09:24 . 2008-09-09 23:17 <DIR> dr------- c:\dokumente und einstellungen\Administrator\Startmenü
2008-11-29 09:24 . 2008-09-09 23:17 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Netzwerkumgebung
2008-11-29 09:24 . 2008-09-09 23:17 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen
2008-11-29 09:24 . 2008-11-29 17:28 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Favoriten
2008-11-29 09:24 . 2008-09-09 23:17 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Druckumgebung
2008-11-29 09:24 . 2008-11-29 12:03 <DIR> dr-h----- c:\dokumente und einstellungen\Administrator\Anwendungsdaten
2008-11-29 09:24 . 2008-11-29 10:21 <DIR> d-------- c:\dokumente und einstellungen\Administrator
2008-11-29 06:34 . 2008-11-29 06:34 2,154 ---hs---- c:\windows\system32\finobefe.exe
2008-11-28 03:10 . 2008-11-28 03:10 2,154 ---hs---- c:\windows\system32\feyavezi.exe
2008-11-27 16:30 . 2008-11-27 16:28 102,664 --a------ c:\windows\system32\drivers\tmcomm.sys
2008-11-27 16:28 . 2008-11-27 16:28 <DIR> d-------- c:\windows\Sun
2008-11-27 16:28 . 2008-11-27 16:30 <DIR> d-------- c:\dokumente und einstellungen\Karsten\.housecall6.6
2008-11-27 16:22 . 2008-11-29 20:27 <DIR> d-------- c:\programme\Java
2008-11-27 16:21 . 2008-11-27 16:21 <DIR> d-------- c:\programme\Gemeinsame Dateien\Java
2008-11-27 08:55 . 2008-11-27 08:55 <DIR> d-------- c:\dokumente und einstellungen\Karsi\Anwendungsdaten\Malwarebytes
2008-11-27 08:55 . 2008-11-27 08:55 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-11-27 08:55 . 2008-10-22 16:10 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2008-11-27 08:55 . 2008-10-22 16:10 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2008-11-27 07:14 . 2008-11-27 07:14 552 --a------ c:\windows\system32\d3d8caps.dat
2008-11-26 07:33 . 2008-11-29 18:30 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-11-23 15:50 . 2008-11-23 15:50 <DIR> d-------- c:\dokumente und einstellungen\Karsi\.Alphaload
2008-11-23 15:50 . 2008-11-23 16:24 <DIR> d-------- C:\Alphaload
2008-11-18 14:36 . 2008-11-18 14:36 7,808 --a------ c:\windows\system32\drivers\psi_mf.sys
2008-11-17 02:00 . 2008-11-17 02:00 0 --a------ c:\windows\nsreg.dat
2008-11-05 21:08 . 2008-11-05 21:08 <DIR> d-------- c:\programme\NickOnline
2008-11-04 16:51 . 2008-11-04 17:01 <DIR> d-------- C:\Spiele
2008-11-02 05:23 . 2008-11-02 05:32 <DIR> d-------- c:\windows\uninstall\PC-Spielautomaten
2008-11-02 05:23 . 2008-11-02 05:23 <DIR> d-------- c:\windows\uninstall

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-29 17:56 361,728 ----a-w c:\windows\system32\TuneUpDefragService.exe
2008-11-29 17:32 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-11-29 17:30 --------- d-----w c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2008-11-27 02:10 --------- d-----w c:\dokumente und einstellungen\Karsi\Anwendungsdaten\uTorrent
2008-11-24 14:03 98,304 ----a-w c:\windows\system32\CmdLineExt.dll
2008-11-23 18:24 94,208 ----a-w c:\dokumente und einstellungen\Karsi\Anwendungsdaten\ezplay.sys
2008-11-23 18:24 --------- d-----w c:\dokumente und einstellungen\Karsi\Anwendungsdaten\Vso
2008-11-09 21:02 --------- d--h--w c:\programme\InstallShield Installation Information
2008-11-04 15:36 --------- d-----w c:\programme\RatDvd
2008-11-01 10:22 --------- d-----w c:\programme\VideoLAN
2008-10-16 21:40 --------- d-----w c:\dokumente und einstellungen\Marco\Anwendungsdaten\Media Player Classic
2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll
2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll
2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll
2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll
2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe
2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll
2008-10-10 20:54 --------- d--h--r c:\dokumente und einstellungen\Karsi\Anwendungsdaten\SecuROM
2008-09-20 11:45 47,360 ----a-w c:\dokumente und einstellungen\Karsi\Anwendungsdaten\pcouffin.sys
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-05-16 13529088]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-05-16 86016]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2008-11-29 136600]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"nwiz"="nwiz.exe" [2008-05-16 c:\windows\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\Karsi\Startmen�\Programme\Autostart\
Secunia PSI.lnk - c:\programme\Secunia\PSI\psi.exe [2008-11-25 728408]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\windows\system32\fakahale.dll yoyter.dll c:\windows\system32\nusuzefa.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"TuneUp.Defrag"=3 (0x3)
"StarWindService"=2 (0x2)
"IDriverT"=3 (0x3)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"d:\\Torrent\\uTorrent.exe"=
"f:\\Spiele\\Doom 3\\DOOM3DED.exe"=
"f:\\Spiele\\ironman\\IronMan.exe"=
"f:\\Spiele\\Scarface\\Scarface.exe"=
"c:\\Programme\\Call of Duty 2\\Call of Duty 2\\CoD2MP_s.exe"=
"f:\\Spiele\\Pes 6\\pes6.exe"=
"f:\\Spiele\\Medal of Honor P.Assault\\mohpa.exe"=
"d:\\Emule Flux\\eMule Flux v0.47c CHD 0706.rar\\emule.exe"=
"f:\\Spiele\\CStrike\\SteamApps\\common\\left 4 dead demo\\left4dead.exe"=
"d:\\Torrent\\Neuer Ordner\\utorrent.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

R3 PSI;PSI;c:\windows\system32\DRIVERS\psi_mf.sys [2008-11-18 7808]
S3 FXDRV;FXDRV;\??\E:\Fxdrv.sys []

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners

2008-11-29 c:\windows\Tasks\1-Klick-Wartung.job
- d:\programme\Tune Up 2008\OneClickStarter.exe [2008-08-21 18:47]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

BHO-{1ad543c1-aedd-47c6-aa00-4a6c5cb3695a} - c:\windows\system32\miveyeja.dll
HKCU-Run-Supports RAS Connections - svhost.exe
HKCU-RunServices-Supports RAS Connections - svhost.exe
HKLM-Run-zebuyawuse - c:\windows\system32\sumovena.dll
ShellExecuteHooks-{0DB0263F-A555-4853-AEF3-4D78331512B3} - (no file)
Notify-lzfast - c:\windows\msagent\chars\lzfast.dll
SafeBoot-TDSSpaxt.sys


.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - c:\dokumente und einstellungen\Karsten\Anwendungsdaten\Mozilla\Firefox\Profiles\c2vt4je3.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.google.de/
FF -: plugin - c:\programme\Java\jre6\bin\new_plugin\npdeploytk.dll
FF -: plugin - c:\programme\Java\jre6\bin\new_plugin\npjp2.dll
FF -: plugin - c:\programme\Mozilla Firefox\plugins\npdeploytk.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-29 21:50:56
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\system32\nvsvc32.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-11-29 21:55:16 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-11-29 20:54:58

Vor Suchlauf: 3.964.502.016 Bytes frei
Nach Suchlauf: 4,290,486,272 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

190
####################################################################################

so,hier noch der Log vom SuperAntiSpy --->

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 11/30/2008 at 01:13 AM

Application Version : 4.22.1014

Core Rules Database Version : 3656
Trace Rules Database Version: 1637

Scan type : Complete Scan
Total Scan Time : 02:49:43

Memory items scanned : 373
Memory threats detected : 0
Registry items scanned : 4082
Registry threats detected : 6
File items scanned : 138588
File threats detected : 2

Rogue.Component/Trace
HKLM\Software\Microsoft\1874B14F
HKLM\Software\Microsoft\1874B14F#1874b14f
HKLM\Software\Microsoft\1874B14F#Version
HKLM\Software\Microsoft\1874B14F#18741ccf
HKLM\Software\Microsoft\1874B14F#1874752a

Trojan.Fake-Alert/Trace
HKU\S-1-5-21-1123561945-1715567821-1801674531-1005\SOFTWARE\Microsoft\fias4013

Trojan.VXGame-Variant/D
D:\SPIELE\MONKEY.ISLAND.1.&.2.-.GERMAN.[BY_EGAMES.COM]\MI1\MONKEY.EXE
D:\SPIELE\MONKEY.ISLAND.1.&.2.-.GERMAN.[BY_EGAMES.COM]\MONKEY1\MONKEY.EXE

################################################################################
Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1436
Windows 5.1.2600 Service Pack 3

30.11.2008 04:44:06
mbam-log-2008-11-30 (04-44-06).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|F:\|G:\|)
Durchsuchte Objekte: 187382
Laufzeit: 2 hour(s), 52 minute(s), 15 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
########################################################################
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 04:46:50, on 30.11.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Secunia PSI.lnk = C:\Programme\Secunia\PSI\psi.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1228006336281
O20 - AppInit_DLLs: C:\WINDOWS\system32\fakahale.dll yoyter.dll c:\windows\system32\nusuzefa.dll
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 4108 bytes
####################################
soooo...das waren mal alle logs - übrigens musste ich heute die meiste zeit im abgesicherten modus am pc "arbeiten", da im normalen modus kaum was möglich.
antivie hat auch eben noch nen verdacht gemeldet - C:\WINDOWS\system32\fakahale.dll
ich hab antivir jetzt mal deaktiviert da mir das gepiepse auf die nüsse geht.

noch n paar Fragen am Rande:
kann ich die cookies wieder aktivieren?
sicherheitseinstellungen wieder verändern?
welche programme evtl. deinstall?
sonstige veränderungen?
...wehe das mist ding läuft heute nicht wieder wie er soll...

ich schau mal heute wieder rein

bis dann und gutes rest-nächtle und nochmals für die ganze zeit die ihr hier kostenlos Hilfe anbietet

Karsi

Du hast dir einen bösen Rootkit zugezogen! Damit ist nicht zu spaßen!

Ich würde überlegen den Rechner neuaufzusetzen. Das wäre die einzig sichere Variante!

http://www.trojaner-board.de/51262-a...sicherung.html



Wenn du aus irgendwelchen Gründen doch lieber eine Bereinigung versuchen möchtest dann geht es so weiter:

Blacklight bitte laufen lassen und das log posten.. evtl. Funde bitte umbennen/beheben lassen!

GMER - Rootkit Detection

• Lade GMER von hier
• entpacke es auf den Dektop
• Dopperlklicke die gmer.exe
• Der Reiter Rootkit oben ist schon angewählt

• Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
• nach Beendigung des Scan, drücke "Copy"
• nun kannst Du das Ergebnis hier posten
• Sollte GMER sagen "Gmer hasen´t found any System Modifikation", so hat GMER keine Einträge gefunden.

CureIT Dr.Web

• Downloade Dr.Web CureIt!
• Speichere es auf deinem Desktop.
• Entpacke es in einen eigenen Ordner.
• Lies nun zuerst die deutsche Anleitung und drucke sie dir aus.

• Lass alle Malware in den Quarantaene Ordner verschieben.
• Ignoriere eventuelle Warnungen seitens deines AV Programms, du kannst auch offline gehen und -> dann dein AV Programm während des Scannens mit Dr. Web CureIt! abstellen.
• Vergiss bitte nicht, dein AV Programm nach dem Scan wieder anzustellen.

• Speichere das Logfile - siehe Anleitung - und poste es.

Danach lasse bitte nochmal Combofix laufen und poste das frische log!!!


Dann räume mit CCleaner auf. Wieder Punkte 1&2. Tauchen die Probleme dann immernoch auf?


Systemanalyse

• Deaktiviere die Systemwiederherstellung auf allen Laufwerken. Nachdem die Bereinigung KOMPLETT beendet ist kann sie wieder aktiviert werden.
  
• Räume mit cCleaner auf. (Punkt 1 & 2)
  
• Deaktiviere den Wächter/On-Access-Modul (Echtzeit-Scanner) deines AntiViren Programmes und schließe alle AntiViren Programme komplett!
  
• Downloade AVZ und speichere es in einen eigenen Ordner auf dem Desktop.
  
• Entpacke es in diesem Ordner und starte die Anwendung durch einen Doppelklick auf die AVZ.exe.
  
• Unter AVZPM -> Install extended monitoring driver wählen. Der Treiber wird installiert.
  
• Starte den Rechner neu. öffne abermals die AVZ.exe und gehe sicher, dass der AVZPM Driver installiert ist.
  
• Unter AVZGuard -> Enable AVZGuard wählen. => Der Wächter verhindert die Ausführung aller anderen Anwendungen und muss nach der Analyse unbedingt wieder deaktviert werden!!
  
• Unter File -> Database Update Start drücken.
  
• Während des Scans sollte der Rechner weiterhin Verbindung mit dem Internet haben.
  
• Im Hauptfenster den Start Button drücken.
  
• Danach unter File -> System Analys, die Option Attach System Analysis log to ZIP anhaken und Start drücken. Wähle als Speicherort den von dir erstellten AVZ-Ordner.
  
• Deaktiviere den AVZGuard!
  
• Nachdem der Scan beendet ist lade die avz_sysinfo.zip bei Rapidshare hoch und poste den Download-Link.

Moin@undoreal:aplaus:
...sag ma, wohnst du hier im Board.
Man das ist ja alles superschnell und ausführlich selbst für "noobs"wie mich.

ich werde mich heute nachmittag mit deinem Post beschäftigen,da ich weg muss.
aber wovon kann diese art virus kommen und warum hat mein virenproggi das nicht verhindert?
ich lade mir auch viel aus dem usenet herunter die letzte zeit(!natürlich nur erlaubte sachen wie tv-simpsons,shows usw!!!)

grüßle und schönen sonntag
Karsi

Morgen Karsi.

Zitat:

...sag ma, wohnst du hier im Board.

ab und an mal zur Untermiete, ja. ^^

Zitat:

Man das ist ja alles superschnell und ausführlich selbst für "noobs"wie mich.

Schön, dass es dir gefällt.

Zitat:

aber wovon kann diese art virus kommen

=>

Zitat:

ich lade mir auch viel aus dem usenet herunter

Um sich sowas einzufangen muss man eine schädliche Datei auf dem Compi ausführen. Ob die nun aus 'nem eMail Anhang stammte oder du sie aus dem usenet oder sonst wo her hast kann ich natürlich nicht sagen...

Zitat:

warum hat mein virenproggi das nicht verhindert?

Viresncanner fnden vllt. 50% aller Schädlinge. Wenn überhaupt.
Jegliche Anti-Viren Scanner (auch in Kombination) finden nur einen Bruchteil aller Schädlinge!

Guten Abend zusammen.
Hier sende ich noch den hoffentlich richtigen log.hab auch sonst nix gefunden.
würde eigentlich gerne den rechner nicht neu aufsetzen wenns geht

11/30/08 18:46:35 [Info]: BlackLight Engine 2.2.1092 initialized
11/30/08 18:46:35 [Info]: OS: 5.1 build 2600 (Service Pack 3)
11/30/08 18:46:36 [Note]: 7019 4
11/30/08 18:46:36 [Note]: 7005 0
11/30/08 18:46:39 [Note]: 7006 0
11/30/08 18:46:39 [Note]: 7011 308
11/30/08 18:46:39 [Note]: 7035 0
11/30/08 18:46:39 [Note]: 7026 0
11/30/08 18:46:39 [Note]: 7026 0
11/30/08 18:46:42 [Note]: FSRAW library version 1.7.1024
11/30/08 18:50:41 [Note]: 2000 1012
11/30/08 18:54:06 [Note]: 7007 0



GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2008-11-30 19:51:12
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.14 ----

SSDT sptd.sys ZwCreateKey [0xF77380B0]
SSDT F7DFBD8C ZwCreateThread
SSDT sptd.sys ZwEnumerateKey [0xF773D84C]
SSDT sptd.sys ZwEnumerateValueKey [0xF773DBEC]
SSDT sptd.sys ZwOpenKey [0xF7738090]
SSDT F7DFBD78 ZwOpenProcess
SSDT F7DFBD7D ZwOpenThread
SSDT sptd.sys ZwQueryKey [0xF773DCC4]
SSDT sptd.sys ZwQueryValueKey [0xF773DB44]
SSDT sptd.sys ZwSetValueKey [0xF773DD56]
SSDT \??\C:\Programme\SUPERAntiSpyware\SASKUTIL.sys (SASKUTIL.SYS/SUPERAdBlocker.com and SUPERAntiSpyware.com) ZwTerminateProcess [0xF4989F20]
SSDT F7DFBD82 ZwWriteVirtualMemory

---- Kernel code sections - GMER 1.0.14 ----

? C:\WINDOWS\system32\drivers\sptd.sys Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
.text USBPORT.SYS!DllUnload F6D948AC 5 Bytes JMP 8642D6A8
? System32\Drivers\a2r5n93a.SYS Das System kann die angegebene Datei nicht finden. !

---- Kernel IAT/EAT - GMER 1.0.14 ----

IAT \WINDOWS\System32\Drivers\SCSIPORT.SYS[ntoskrnl.exe!IoConnectInterrupt] [F774C580] sptd.sys
IAT pci.sys[ntoskrnl.exe!IoDetachDevice] [F774C52C] sptd.sys
IAT pci.sys[ntoskrnl.exe!IoAttachDeviceToDeviceStack] [F7766AB8] sptd.sys
IAT atapi.sys[ntoskrnl.exe!IoConnectInterrupt] [F774C580] sptd.sys
IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [F7738ABA] sptd.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [F7738C00] sptd.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [F7738B82] sptd.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [F773972E] sptd.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [F7739604] sptd.sys
IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [F774BB9A] sptd.sys

---- Devices - GMER 1.0.14 ----

Device \FileSystem\Ntfs \Ntfs 867D31D8
Device \FileSystem\Fastfat \FatCdrom 86499980
Device \Driver\NetBT \Device\NetBT_Tcpip_{7B57BC60-94A0-46CC-B044-44AB80A9A85E} 864961D8
Device \Driver\00000040 \Device\00000042 sptd.sys
Device \Driver\usbohci \Device\USBPDO-0 864E7980
Device \Driver\usbohci \Device\USBPDO-1 864E7980
Device \Driver\dmio \Device\DmControl\DmIoDaemon 867661D8
Device \Driver\dmio \Device\DmControl\DmConfig 867661D8
Device \Driver\dmio \Device\DmControl\DmPnP 867661D8
Device \Driver\dmio \Device\DmControl\DmInfo 867661D8
Device \Driver\usbehci \Device\USBPDO-2 864261D8
Device \Driver\USBSTOR \Device\00000063 862AA1D8
Device \Driver\Ftdisk \Device\HarddiskVolume1 867D51D8
Device \Driver\USBSTOR \Device\00000064 862AA1D8
Device \Driver\Ftdisk \Device\HarddiskVolume2 867D51D8
Device \Driver\Cdrom \Device\CdRom0 864E27C0
Device \Driver\USBSTOR \Device\00000065 862AA1D8
Device \Driver\Ftdisk \Device\HarddiskVolume3 867D51D8
Device \Driver\USBSTOR \Device\00000066 862AA1D8
Device \Driver\Ftdisk \Device\HarddiskVolume4 867D51D8
Device \Driver\USBSTOR \Device\00000067 862AA1D8
Device \Driver\USBSTOR \Device\00000068 862AA1D8
Device \Driver\USBSTOR \Device\00000069 862AA1D8
Device \Driver\NetBT \Device\NetBt_Wins_Export 864961D8
Device \Driver\NetBT \Device\NetbiosSmb 864961D8
Device \Driver\usbohci \Device\USBFDO-0 864E7980
Device \Driver\USBSTOR \Device\0000006d 862AA1D8
Device \Driver\usbohci \Device\USBFDO-1 864E7980
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 862C11D8
Device \Driver\USBSTOR \Device\0000006e 862AA1D8
Device \Driver\usbehci \Device\USBFDO-2 864261D8
Device \FileSystem\MRxSmb \Device\LanmanRedirector 862C11D8
Device \Driver\Ftdisk \Device\FtControl 867D51D8
Device \Driver\a2r5n93a \Device\Scsi\a2r5n93a1 865D5980
Device \FileSystem\Fastfat \Fat 86499980

AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

Device \FileSystem\Cdfs \Cdfs 86435980

---- Registry - GMER 1.0.14 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 1235248916
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 549195751
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0 D:\Programme\Alkohol 120%\Neuer Ordner\Alcohol 120\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x69 0xD2 0xCC 0xB3 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0 D:\Programme\Alkohol 120%\Neuer Ordner\Alcohol 120\
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x69 0xD2 0xCC 0xB3 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv@start 1
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv@type 1
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv@imagepath \systemroot\system32\drivers\TDSSpaxt.sys
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv\modules
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv\modules@TDSSserv \systemroot\system32\drivers\TDSSpaxt.sys
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv\modules@TDSSl \systemroot\system32\TDSSoeqh.dll
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv\modules@tdssservers \systemroot\system32\TDSSosvn.dat
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv\modules@tdssmain \systemroot\system32\TDSSnrsr.dll
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv\modules@tdsslog \systemroot\system32\TDSSriqp.dll
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv\modules@tdssadw \systemroot\system32\TDSScfub.dll
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv\modules@tdssinit \systemroot\system32\TDSSfpmp.dll
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv\modules@tdssurls \systemroot\system32\TDSSnmxh.log
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv\modules@tdsspanels \systemroot\system32\TDSSsbhc.dll
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv\modules@tdsserrors \systemroot\system32\TDSSrdym.log
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv\modules@tdssproc \systemroot\system32\TDSStkdv.log
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys@start 1
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys@type 1
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys@group file system
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys@imagepath \systemroot\system32\drivers\TDSSpqxt.sys
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys\modules
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys\modules@TDSSserv \systemroot\system32\drivers\TDSSpqxt.sys
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys\modules@TDSSl \systemroot\system32\TDSSoiqh.dll
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0 D:\Programme\Alkohol 120%\Neuer Ordner\Alcohol 120\
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 0
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x69 0xD2 0xCC 0xB3 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@a0 0x20 0x01 0x00 0x00 ...

---- Files - GMER 1.0.14 ----

File C:\Dokumente und Einstellungen\Karsten\Lokale Einstellungen\temp\plugtmp-1\plugin-00-teaserliste,templateId=renderXml.xml 1187 bytes
File C:\Dokumente und Einstellungen\Karsten\Lokale Einstellungen\temp\plugtmp-1\plugin-mogadischu-doku-teil2,templateId=renderXml,layout=5.xml 1670 bytes
File C:\Dokumente und Einstellungen\Karsten\Lokale Einstellungen\temp\plugtmp-1\plugin-teaser-vermischtes,templateId=renderVideoChannel.xml 37750 bytes

---- EOF - GMER 1.0.14 ----

Zitat:

würde eigentlich gerne den rechner nicht neu aufsetzen wenns geht

Dann weiter im Text mit gmer...

Morgääähn
Gmer hab ich im vorherigen Post eingefügt.
hier mal der log von von DrWeb--->

ComboFix.exe\32788R22FWJFW\C.bat;C:\Dokumente und Einstellungen\Karsten\Desktop\ComboFix.exe;Wahrscheinlich BATCH.Virus;;
ComboFix.exe\32788R22FWJFW\psexec.cfexe;C:\Dokumente und Einstellungen\Karsten\Desktop\ComboFix.exe;Program.PsExec.171;;
ComboFix.exe;C:\Dokumente und Einstellungen\Karsten\Desktop;Archiv enthält infizierte Objekte;Verschoben.;
nusuzefa.dll.vir;C:\Qoobox\Quarantine\C\WINDOWS\system32;Trojan.Virtumod.1459;Gelöscht.;
piyuniha.dll.vir;C:\Qoobox\Quarantine\C\WINDOWS\system32;Trojan.Siggen.568;Gelöscht.;
sisazibo.dll.vir;C:\Qoobox\Quarantine\C\WINDOWS\system32;Trojan.Siggen.568;Gelöscht.;
yiriyidi.dll.vir;C:\Qoobox\Quarantine\C\WINDOWS\system32;Trojan.Virtumod.1459;Gelöscht.;
A0052650.dll;C:\System Volume Information\_restore{A9F0DBE3-6292-40CD-8E95-77EEDFEB48DD}\RP105;Trojan.Virtumod.1459;Gelöscht.;
A0052652.dll;C:\System Volume Information\_restore{A9F0DBE3-6292-40CD-8E95-77EEDFEB48DD}\RP105;Trojan.Siggen.568;Gelöscht.;
A0052653.dll;C:\System Volume Information\_restore{A9F0DBE3-6292-40CD-8E95-77EEDFEB48DD}\RP105;Trojan.Siggen.568;Gelöscht.;
A0052654.dll;C:\System Volume Information\_restore{A9F0DBE3-6292-40CD-8E95-77EEDFEB48DD}\RP105;Trojan.Virtumod.1459;Gelöscht.;
A0052667.bat;C:\System Volume Information\_restore{A9F0DBE3-6292-40CD-8E95-77EEDFEB48DD}\RP105;Wahrscheinlich BATCH.Virus;;
A0052676.EXE;C:\System Volume Information\_restore{A9F0DBE3-6292-40CD-8E95-77EEDFEB48DD}\RP105;Program.PsExec.170;;
A0052771.exe\32788R22FWJFW\C.bat;C:\System Volume Information\_restore{A9F0DBE3-6292-40CD-8E95-77EEDFEB48DD}\RP106\A0052771.exe;Wahrscheinlich BATCH.Virus;;
A0052771.exe\32788R22FWJFW\psexec.cfexe;C:\System Volume Information\_restore{A9F0DBE3-6292-40CD-8E95-77EEDFEB48DD}\RP106\A0052771.exe;Program.PsExec.171;;
A0052771.exe;C:\System Volume Information\_restore{A9F0DBE3-6292-40CD-8E95-77EEDFEB48DD}\RP106;Archiv enthält infizierte Objekte;Verschoben.;
A0046211.exe;C:\System Volume Information\_restore{A9F0DBE3-6292-40CD-8E95-77EEDFEB48DD}\RP99;BackDoor.Pigeon.12660;Gelöscht.;
A0046215.dll;C:\System Volume Information\_restore{A9F0DBE3-6292-40CD-8E95-77EEDFEB48DD}\RP99;Trojan.Siggen.568;Gelöscht.;
A0046226.dll;C:\System Volume Information\_restore{A9F0DBE3-6292-40CD-8E95-77EEDFEB48DD}\RP99;Trojan.Virtumod.1459;Gelöscht.;
Setup_Audio_Konverter.exe\SETUP_~2.EXE;D:\Programme\Alkohol 120%\Setup_Audio_Konverter.exe;Trojan.Packed.650;;
Setup_Audio_Konverter.exe;D:\Programme\Alkohol 120%;Archiv enthält infizierte Objekte;Verschoben.;
A0052772.exe\SETUP_~2.EXE;D:\System Volume Information\_restore{A9F0DBE3-6292-40CD-8E95-77EEDFEB48DD}\RP106\A0052772.exe;Trojan.Packed.650;;
A0052772.exe;D:\System Volume Information\_restore{A9F0DBE3-6292-40CD-8E95-77EEDFEB48DD}\RP106;Archiv enthält infizierte Objekte;Verschoben.;
A0045210.exe;D:\System Volume Information\_restore{A9F0DBE3-6292-40CD-8E95-77EEDFEB48DD}\RP98;Trojan.Virtumod.853;Gelöscht.;
A0045212.exe;D:\System Volume Information\_restore{A9F0DBE3-6292-40CD-8E95-77EEDFEB48DD}\RP98;BackDoor.Pigeon.12660;Gelöscht.;
A0045213.exe;D:\System Volume Information\_restore{A9F0DBE3-6292-40CD-8E95-77EEDFEB48DD}\RP98;BackDoor.Pigeon.12660;Gelöscht.;
keygen.exe;F:\PSP Emu;BackDoor.Pigeon.12660;Gelöscht.;
setup.exe;F:\PSP Emu;BackDoor.Pigeon.12660;Gelöscht.;
A0052773.exe;F:\System Volume Information\_restore{A9F0DBE3-6292-40CD-8E95-77EEDFEB48DD}\RP106;BackDoor.Pigeon.12660;Gelöscht.;
A0052774.exe;F:\System Volume Information\_restore{A9F0DBE3-6292-40CD-8E95-77EEDFEB48DD}\RP106;BackDoor.Pigeon.12660;Gelöscht.;


Jetzt sollte ich wieder mit Combofix prüfen....aber Dr. Web hat diese exe in quarantäne verschoben.soll ich jetzt Combofix neu downloaden?


Gruß
Karsi

ComboFix 08-11-30.01 - Karsten 2008-12-01 6:59:33.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.656 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Karsten\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((( Dateien erstellt von 2008-11-01 bis 2008-12-01 ))))))))))))))))))))))))))))))
.

2008-11-30 20:40 . 2008-11-30 20:41 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Media Player Classic
2008-11-30 20:20 . 2008-11-30 21:05 <DIR> d-------- c:\dokumente und einstellungen\Administrator\DoctorWeb
2008-11-30 20:08 . 2008-11-30 20:08 <DIR> d-------- c:\programme\DrWeb
2008-11-30 18:58 . 2008-11-30 18:58 250 --a------ c:\windows\gmer.ini
2008-11-29 22:16 . 2008-11-29 22:16 <DIR> d-------- c:\programme\SUPERAntiSpyware
2008-11-29 22:16 . 2008-11-29 22:16 <DIR> d-------- c:\dokumente und einstellungen\Karsten\Anwendungsdaten\SUPERAntiSpyware.com
2008-11-29 22:16 . 2008-11-29 22:16 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2008-11-29 20:42 . 2008-11-29 20:42 <DIR> d-------- c:\programme\CCleaner
2008-11-29 20:28 . 2008-11-29 20:27 410,976 --a------ c:\windows\system32\deploytk.dll
2008-11-29 20:10 . 2008-04-14 07:52 221,184 --a------ c:\windows\system32\wmpns.dll
2008-11-29 19:51 . 2008-11-29 19:51 <DIR> d-------- c:\windows\system32\de-de
2008-11-29 19:47 . 2008-11-29 19:52 <DIR> d-------- c:\windows\ServicePackFiles
2008-11-29 19:46 . 2008-04-14 07:52 294,912 -----c--- c:\windows\system32\dllcache\dlimport.exe
2008-11-29 19:45 . 2008-11-29 19:45 213,218 --a------ c:\programme\ComboFix.exe
2008-11-29 19:38 . 2006-12-29 00:31 19,569 --a------ c:\windows\002671_.tmp
2008-11-29 18:59 . 2008-11-29 20:27 73,728 --a------ c:\windows\system32\javacpl.cpl
2008-11-29 18:55 . 2008-11-29 18:55 <DIR> d--h----- c:\windows\$hf_mig$
2008-11-29 18:55 . 2007-08-10 20:44 26,488 --a------ c:\windows\system32\spupdsvc.exe
2008-11-29 18:49 . 2008-10-16 14:09 43,544 --a------ c:\windows\system32\wups2.dll
2008-11-29 18:49 . 2008-10-16 14:08 31,768 --a------ c:\windows\system32\wucltui.dll.mui
2008-11-29 18:49 . 2008-10-16 14:08 27,672 --a------ c:\windows\system32\wuaucpl.cpl.mui
2008-11-29 18:49 . 2008-10-16 14:08 27,672 --a------ c:\windows\system32\wuapi.dll.mui
2008-11-29 18:49 . 2008-10-16 14:07 18,968 --a------ c:\windows\system32\wuaueng.dll.mui
2008-11-29 18:35 . 2008-11-29 18:35 <DIR> d-------- c:\programme\Secunia
2008-11-29 16:24 . 2008-11-29 16:24 <DIR> d-------- c:\programme\Trend Micro
2008-11-29 10:36 . 2008-11-29 10:36 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2008-11-29 10:34 . 2008-11-29 13:18 17,573 --a------ C:\Dokument.rtf
2008-11-29 09:47 . 2008-11-29 09:47 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Spyware Terminator
2008-11-29 09:27 . 2008-11-29 09:27 <DIR> dr------- c:\dokumente und einstellungen\Administrator\Eigene Dateien
2008-11-29 09:25 . 2008-11-29 09:25 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\TuneUp Software
2008-11-29 09:24 . 2008-09-10 10:45 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Vorlagen
2008-11-29 09:24 . 2008-09-09 23:17 <DIR> dr------- c:\dokumente und einstellungen\Administrator\Startmenü
2008-11-29 09:24 . 2008-09-09 23:17 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Netzwerkumgebung
2008-11-29 09:24 . 2008-11-29 21:55 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen
2008-11-29 09:24 . 2008-11-29 17:28 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Favoriten
2008-11-29 09:24 . 2008-09-09 23:17 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Druckumgebung
2008-11-29 09:24 . 2008-11-30 20:40 <DIR> dr-h----- c:\dokumente und einstellungen\Administrator\Anwendungsdaten
2008-11-29 09:24 . 2008-11-30 20:20 <DIR> d-------- c:\dokumente und einstellungen\Administrator
2008-11-29 06:34 . 2008-11-29 06:34 2,154 ---hs---- c:\windows\system32\finobefe.exe
2008-11-28 03:10 . 2008-11-28 03:10 2,154 ---hs---- c:\windows\system32\feyavezi.exe
2008-11-27 16:30 . 2008-11-27 16:28 102,664 --a------ c:\windows\system32\drivers\tmcomm.sys
2008-11-27 16:28 . 2008-11-27 16:28 <DIR> d-------- c:\windows\Sun
2008-11-27 16:28 . 2008-11-27 16:30 <DIR> d-------- c:\dokumente und einstellungen\Karsten\.housecall6.6
2008-11-27 16:22 . 2008-11-29 20:27 <DIR> d-------- c:\programme\Java
2008-11-27 16:21 . 2008-11-27 16:21 <DIR> d-------- c:\programme\Gemeinsame Dateien\Java
2008-11-27 08:55 . 2008-11-27 08:55 <DIR> d-------- c:\dokumente und einstellungen\Karsten\Anwendungsdaten\Malwarebytes
2008-11-27 08:55 . 2008-11-27 08:55 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-11-27 08:55 . 2008-10-22 16:10 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2008-11-27 08:55 . 2008-10-22 16:10 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2008-11-27 07:14 . 2008-11-27 07:14 552 --a------ c:\windows\system32\d3d8caps.dat
2008-11-26 07:33 . 2008-11-29 18:30 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-11-23 15:50 . 2008-11-23 15:50 <DIR> d-------- c:\dokumente und einstellungen\Karsten\.Alphaload
2008-11-23 15:50 . 2008-11-23 16:24 <DIR> d-------- C:\Alphaload
2008-11-18 14:36 . 2008-11-18 14:36 7,808 --a------ c:\windows\system32\drivers\psi_mf.sys
2008-11-17 02:00 . 2008-11-17 02:00 0 --a------ c:\windows\nsreg.dat
2008-11-05 21:08 . 2008-11-05 21:08 <DIR> d-------- c:\programme\NickOnline
2008-11-04 16:51 . 2008-11-04 17:01 <DIR> d-------- C:\Spiele
2008-11-02 05:23 . 2008-11-02 05:32 <DIR> d-------- c:\windows\uninstall\PC-Spielautomaten
2008-11-02 05:23 . 2008-11-02 05:23 <DIR> d-------- c:\windows\uninstall

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-29 21:16 --------- d-----w c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2008-11-29 17:32 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-11-27 02:10 --------- d-----w c:\dokumente und einstellungen\Karsten\Anwendungsdaten\uTorrent
2008-11-23 18:24 94,208 ----a-w c:\dokumente und einstellungen\Karsten\Anwendungsdaten\ezplay.sys
2008-11-23 18:24 --------- d-----w c:\dokumente und einstellungen\Karsten\Anwendungsdaten\Vso
2008-11-09 21:02 --------- d--h--w c:\programme\InstallShield Installation Information
2008-11-04 15:36 --------- d-----w c:\programme\RatDvd
2008-11-01 10:22 --------- d-----w c:\programme\VideoLAN
2008-10-16 21:40 --------- d-----w c:\dokumente und einstellungen\Marco\Anwendungsdaten\Media Player Classic
2008-10-10 20:54 --------- d--h--r c:\dokumente und einstellungen\Karsten\Anwendungsdaten\SecuROM
2008-09-20 11:45 47,360 ----a-w c:\dokumente und einstellungen\Karsten\Anwendungsdaten\pcouffin.sys
.

((((((((((((((((((((((((((((( snapshot@2008-11-29_21.53.46.71 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-11-30 17:58:40 884,736 ----a-w c:\windows\gmer.dll
+ 2008-04-17 20:13:02 811,008 ----a-w c:\windows\gmer.exe
+ 2008-11-29 21:16:43 34,304 ----a-r c:\windows\Installer\{CDDCBBF1-2703-46BC-938B-BCC81A1EEAAA}\IconCDDCBBF1.exe
- 2007-07-30 18:19:46 203,096 -c--a-w c:\windows\system32\dllcache\wuweb.dll
+ 2008-07-18 21:08:04 205,000 -c--a-w c:\windows\system32\dllcache\wuweb.dll
+ 2008-11-30 17:58:40 85,969 ----a-w c:\windows\system32\drivers\gmer.sys
- 2007-07-30 18:19:46 203,096 ----a-w c:\windows\system32\wuweb.dll
+ 2008-07-18 21:08:04 205,000 ----a-w c:\windows\system32\wuweb.dll
+ 2008-12-01 06:02:58 16,384 ----atw c:\windows\Temp\Perflib_Perfdata_5a4.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SUPERAntiSpyware"="c:\programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2008-11-17 1805552]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-05-16 13529088]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-05-16 86016]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2008-11-29 136600]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"nwiz"="nwiz.exe" [2008-05-16 c:\windows\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\Karsten\Startmen�\Programme\Autostart\
Secunia PSI.lnk - c:\programme\Secunia\PSI\psi.exe [2008-11-25 728408]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2008-07-23 15:28 352256 c:\programme\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"TuneUp.Defrag"=3 (0x3)
"StarWindService"=2 (0x2)
"IDriverT"=3 (0x3)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"d:\\Torrent\\uTorrent.exe"=
"f:\\Spiele\\Doom 3\\DOOM3DED.exe"=
"f:\\Spiele\\ironman\\IronMan.exe"=
"f:\\Spiele\\Scarface\\Scarface.exe"=
"c:\\Programme\\Call of Duty 2\\Call of Duty 2\\CoD2MP_s.exe"=
"f:\\Spiele\\Pes 6\\pes6.exe"=
"f:\\Spiele\\Medal of Honor P.Assault\\mohpa.exe"=
"d:\\Emule Flux\\eMule Flux v0.47c CHD 0706.rar\\emule.exe"=
"f:\\Spiele\\CStrike\\SteamApps\\common\\left 4 dead demo\\left4dead.exe"=
"d:\\Torrent\\Neuer Ordner\\utorrent.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

R3 PSI;PSI;c:\windows\system32\DRIVERS\psi_mf.sys [2008-11-18 7808]
S3 FXDRV;FXDRV;\??\E:\Fxdrv.sys []

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners

2008-12-01 c:\windows\Tasks\1-Klick-Wartung.job
- d:\programme\Tune Up 2008\OneClickStarter.exe [2008-08-21 18:47]
.
.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - c:\dokumente und einstellungen\Karsten\Anwendungsdaten\Mozilla\Firefox\Profiles\c2vt4je3.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.google.de/
FF -: plugin - c:\programme\Java\jre6\bin\new_plugin\npdeploytk.dll
FF -: plugin - c:\programme\Java\jre6\bin\new_plugin\npjp2.dll
FF -: plugin - c:\programme\Mozilla Firefox\plugins\npdeploytk.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-01 07:44:46
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(568)
c:\programme\SUPERAntiSpyware\SASWINLO.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\rundll32.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-12-01 7:49:17 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-12-01 06:48:59
ComboFix2.txt 2008-11-29 20:55:17

Vor Suchlauf: 4.265.066.496 Bytes frei
Nach Suchlauf: 4,293,742,592 Bytes frei

182

Da sitzt ein Rootkit im System. Ich bracuhe das AVZ log...

nabend undoreal,
ich hatte leider heute kaum zeit und bin noch bei dem punkt AVZ
dies werde ich morgen tun....nicht das du denkst ich hab kein interesse an der lösung des problemes und an deiner hilfe

gruß und schöne nacht wünscht

Karsi