hallo,
ich schätze ich habe das gleiche Problem wie die Britta in diesem Thread hier: http://www.trojaner-board.de/70181-r...en-werden.html

Ich habe schon CCleaner und ComboFix ausgeführt. Hier poste ich die ComboFix-LogDatei und hoffe, dass mir noch zu helfen ist...



[------------------------- LOGFILE BEGINNT -------------------------]
ComboFix 09-03-06.02 - *** 2009-03-10 11:48:34.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.3327.2938 [GMT 1:00]
ausgeführt von:: z:\progz\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated)
* Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Autorun.inf
c:\recycler\S-4-9-65-100015735-100026591-100005360-1120.com
c:\recycler\S-7-9-76-100026485-100002199-100020324-4511.com
E:\Autorun.inf
e:\recycler\S-4-9-65-100015735-100026591-100005360-1120.com
e:\recycler\S-7-9-76-100026485-100002199-100020324-4511.com
F:\autorun.inf
G:\Autorun.inf
g:\recycler\S-4-9-65-100015735-100026591-100005360-1120.com
g:\recycler\S-7-9-76-100026485-100002199-100020324-4511.com
H:\Autorun.inf
h:\recycler\S-4-9-65-100015735-100026591-100005360-1120.com
h:\recycler\S-7-9-76-100026485-100002199-100020324-4511.com
Z:\Autorun.inf
z:\recycler\S-4-9-65-100015735-100026591-100005360-1120.com
z:\recycler\S-7-9-76-100026485-100002199-100020324-4511.com

.
((((((((((((((((((((((( Dateien erstellt von 2009-02-10 bis 2009-03-10 ))))))))))))))))))))))))))))))
.

2009-03-10 11:41 . 2009-03-10 11:41 <DIR> d-------- f:\programme\CCleaner
2009-03-10 08:02 . 2009-03-10 08:02 <DIR> d-------- f:\windows\LastGood
2009-03-10 01:29 . 2009-03-10 08:13 <DIR> d--h----- f:\windows\$hf_mig$
2009-03-10 01:29 . 2005-02-25 04:34 22,752 --a------ f:\windows\system32\spupdsvc.exe
2009-03-10 01:00 . 2009-03-10 01:01 <DIR> d-------- f:\programme\Opera
2009-03-10 00:59 . 2009-03-10 00:59 0 --a------ f:\windows\nsreg.dat
2009-03-09 15:27 . 2009-03-09 15:27 <DIR> d-------- f:\windows\Sun
2009-03-09 15:26 . 2009-03-09 15:26 <DIR> d-------- f:\programme\Java
2009-03-09 15:26 . 2009-03-09 15:26 410,984 --a------ f:\windows\system32\deploytk.dll
2009-03-09 15:26 . 2009-03-09 15:26 73,728 --a------ f:\windows\system32\javacpl.cpl
2009-03-09 13:43 . 2009-03-09 13:43 <DIR> d-------- f:\programme\TA-101
2009-03-09 13:43 . 2009-03-09 13:43 <DIR> d-------- f:\programme\Avira
2009-03-09 13:43 . 2009-03-09 13:43 <DIR> d-------- f:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2009-03-09 13:43 . 2006-06-09 08:13 1,207,808 --a------ f:\windows\system32\drivers\cmvoip.sys
2009-03-09 13:43 . 2006-06-09 08:13 917,504 --a------ f:\windows\system\cmds3do.dll
2009-03-09 13:43 . 2006-06-09 08:13 315,392 --a------ f:\windows\system\cmifltr.dll
2009-03-09 13:43 . 2006-06-09 08:13 241,664 --a------ f:\windows\system32\cmdrvrmo.exe
2009-03-09 13:43 . 2006-06-09 08:13 98,304 --a------ f:\windows\system32\cmvoip.dll
2009-03-09 13:43 . 2006-06-09 08:13 45,056 --a------ f:\windows\system32\cmdrvrmo.dll
2009-03-09 13:43 . 2006-06-09 08:13 32,768 --a------ f:\windows\system32\cmpropo.dll
2009-03-09 13:43 . 2006-06-09 08:13 359 --a------ f:\windows\CmVoip.ini
2009-03-09 13:42 . 2009-03-10 08:01 <DIR> d-------- f:\dokumente und einstellungen\***\Anwendungsdaten\skypePM
2009-03-09 13:42 . 2009-03-09 13:42 56 --ah----- f:\windows\system32\ezsidmv.dat
2009-03-09 13:40 . 2009-03-09 13:40 <DIR> dr------- f:\programme\Skype
2009-03-09 13:40 . 2009-03-09 13:40 <DIR> d-------- f:\programme\Gemeinsame Dateien\Skype
2009-03-09 13:40 . 2009-03-10 11:34 <DIR> d-------- f:\dokumente und einstellungen\***\Anwendungsdaten\Skype
2009-03-09 13:40 . 2009-03-09 13:40 <DIR> d-------- f:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype
2009-03-09 01:22 . 2009-03-09 01:22 0 --a------ f:\windows\msicpl.ini
2009-03-09 00:57 . 2009-03-09 00:57 <DIR> d-------- f:\programme\M-Audio
2009-03-09 00:57 . 2007-01-24 17:15 2,502,633 --a------ f:\windows\system32\pcifmdio.dll
2009-03-09 00:57 . 2007-01-25 11:11 1,122,304 --a------ f:\windows\system32\deltapnl.exe
2009-03-09 00:57 . 2007-01-25 11:12 302,336 --a------ f:\windows\system32\drivers\delta.sys
2009-03-09 00:57 . 2007-01-25 10:54 154,112 --a------ f:\windows\system32\M-AudioTaskBarIcon.exe
2009-03-09 00:57 . 2007-01-25 11:11 46,592 --a------ f:\windows\system32\deltapnl.dll
2009-03-09 00:57 . 2007-01-25 11:12 22,528 --a------ f:\windows\system32\deltasio.dll
2009-03-09 00:57 . 2007-01-25 11:12 19,456 --a------ f:\windows\system32\DeltaCPL.cpl
2009-03-07 16:03 . 2009-03-07 16:03 <DIR> d-------- f:\programme\avmwlanstick
2009-03-07 16:03 . 2007-12-19 01:00 77,824 --a------ f:\windows\system32\fwusbnci.org
2009-03-07 16:03 . 2007-12-20 01:04 12,150 -ra------ f:\windows\instwcli.inf
2009-03-07 15:47 . 2009-03-07 15:47 <DIR> d-------- f:\programme\Gemeinsame Dateien\Macrovision Shared
2009-03-07 15:43 . 2009-03-07 16:04 <DIR> d-------- f:\programme\Gemeinsame Dateien\Adobe
2009-03-07 15:38 . 2009-03-07 15:38 <DIR> d-------- f:\programme\QuickTime
2009-03-07 15:38 . 2009-03-07 15:38 <DIR> d-------- f:\programme\Gemeinsame Dateien\CineForm
2009-03-07 15:38 . 2009-03-07 15:38 <DIR> d-------- f:\programme\CineForm

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-09 12:43 --------- d--h--w f:\programme\InstallShield Installation Information
2009-03-07 13:40 --------- d-----w f:\dokumente und einstellungen\All Users\Anwendungsdaten\nView_Profiles
2009-03-07 13:31 315,392 ----a-w f:\windows\HideWin.exe
2009-03-07 13:31 --------- d-----w f:\programme\Realtek
2009-03-07 13:31 --------- d-----w f:\programme\Gemeinsame Dateien\InstallShield
2009-03-07 13:29 --------- d-----w f:\programme\Intel
2009-03-07 13:03 --------- d-----w f:\programme\microsoft frontpage
2009-03-07 13:01 --------- d-----w f:\programme\Online-Dienste
2009-03-07 13:01 --------- d-----w f:\programme\Gemeinsame Dateien\Dienste
2009-01-27 03:11 1,073,152 ----a-w f:\windows\system32\CFHD.DLL
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="f:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"Skype"="f:\programme\Skype\Phone\Skype.exe" [2009-02-04 23975720]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="f:\windows\system32\NvCpl.dll" [2007-06-28 8466432]
"WinSys2"="f:\windows\system32\winsys2.exe" [2006-04-29 208896]
"NvMediaCenter"="f:\windows\system32\NvMcTray.dll" [2007-06-28 81920]
"AVMWlanClient"="f:\programme\avmwlanstick\wlangui.exe" [2007-12-20 1748992]
"M-Audio Taskbar Icon"="f:\windows\System32\M-AudioTaskBarIcon.exe" [2007-01-25 154112]
"CmSkype346814"="f:\programme\TA-101\TA-101.exe" [2006-03-24 475136]
"avgnt"="f:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"SunJavaUpdateSched"="f:\programme\Java\jre6\bin\jusched.exe" [2009-03-09 148888]
"RTHDCPL"="RTHDCPL.EXE" [2007-09-27 f:\windows\RTHDCPL.exe]
"nwiz"="nwiz.exe" [2007-06-28 f:\windows\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="f:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck xmnt2002 /bat=f:\windows\TEMP\PQ_BATCH.PQB /win=f:\windows /dbg=f:\WINDOWS\TEMP\PQ_DEBUG.TXT /ver=262144 /prd=PartitionMagic\0autocheck autochk *

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"f:\\Programme\\Skype\\Phone\\Skype.exe"=

R3 cmvoip;C-Media USB VOIP Sound Interface;f:\windows\system32\drivers\cmvoip.sys [2009-03-09 1207808]
R3 fwlanusbn;FRITZ!WLAN N;f:\windows\system32\drivers\fwlanusbn.sys [2009-03-07 401920]
S3 avmeject;AVM Eject;f:\windows\system32\drivers\avmeject.sys [2009-03-07 4352]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\Z]
\Shell\AutoRun\command - f:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RECYCLER\S-6-6-22-100017170-100030069-100008457-2878.com d:\
\Shell\Open\command - RECYCLER\S-6-6-22-100017170-100030069-100008457-2878.com d:\
.
.
------- Zusätzlicher Suchlauf -------
.
FF - ProfilePath - f:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\wfd4nvlg.default\
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h***p://www.gmer.net
Rootkit scan 2009-03-10 11:49:21
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2009-03-10 11:50:10
ComboFix-quarantined-files.txt 2009-03-10 10:50:01

Vor Suchlauf: 8 Verzeichnis(se), 74.811.731.968 Bytes frei
Nach Suchlauf: 8 Verzeichnis(se), 74,806,509,568 Bytes frei

145 --- E O F --- 2009-03-10 00:30:00


[------------------------- END OF LOG -------------------------]

Ich hoffe, dass du gelesen hast, das du Combofix nur von was für "kompetente"-Leuten ist.

Auch für dich:
Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?

Zitat:

Zitat von 4RobSen8

Ich hoffe, dass du gelesen hast, das du Combofix nur von was für "kompetente"-Leuten ist.

Auch für dich:
Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?

entschuldige, wenn es für dich etwas frech klingt - aber ich habe in den Forenregeln auch gelesen, dass man in verständlichem Deutsch schreiben muss.

ich habe die Lösungsansätze für mein Problem verglichen und festgestellt, dass man in jedem Fall die Operationen aus dem Thread 70181 durchführen muss und dass über die daraus enstandene Logdatei ein Sachkundiger drübergucken muss um festzustellen, ob noch weitere Schritte unternommen werden sollen.

generell finde ich deine Antwort super unfreundlich. Zumal ich immer noch nicht verstehe, was ich "falsches" geschrieben haben soll....

Gegen dein Deutscht sagt kein Mensch etwas.
Gegen deinen Lösungsansatz auch nicht.
Ich erwähnte nur, dass Combofix nichts zum selber rumprobieren ist.
Ich bemängelte, dass du anscheinend nicht die Seite runtergescrollt hast und die damit verbunden Punkte unter 2 durchgeführt hast.

Hallo und ,

was sind deine Laufwerke D und Z?

Scripten mit Combofix

• Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code: Alles auswählenAufklappen

ATTFilter

KILLALL::

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\Z]

FileLook::
f:\windows\HideWin.exe
f:\windows\system32\CFHD.DLL
f:\windows\TEMP\PQ_BATCH.PQB
         

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

• Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

• Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

Da haste wen, der damit umgehen kann...

Zitat:

Zitat von john.doe

Hallo und ,

was sind deine Laufwerke D und Z?

ciao, andreas

hi, bei mir sind während der Windows-Neuinstallation die Laufwerkzuordungen durcheinander geraten. D habe ich gar nicht - taucht bei mir nur auf, wenn ich den Card-Reader reinstecke. Und Z ist eine 250GB-Ablage für allmöglichen Krams. Windows ist auf F.



Habe die nötigen Schritte ausgeführt und hier ist die Logdatei:


ComboFix 09-03-10.01 - *** 2009-03-11 10:06:31.4 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.3327.2948 [GMT 1:00]
ausgeführt von:: f:\dokumente und einstellungen\***\Desktop\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated)

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((( Dateien erstellt von 2009-02-11 bis 2009-03-11 ))))))))))))))))))))))))))))))
.

2009-03-11 09:37 . 2009-03-11 09:39 1,374 --a------ f:\windows\imsins.BAK
2009-03-10 23:25 . 2009-03-10 23:25 <DIR> d-------- f:\programme\CineForm
2009-03-10 13:42 . 2009-03-10 13:42 <DIR> d-------- f:\programme\Malwarebytes' Anti-Malware
2009-03-10 13:42 . 2009-03-10 13:42 <DIR> d-------- f:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-03-10 12:41 . 2009-03-10 23:25 <DIR> d-a------ f:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2009-03-10 11:41 . 2009-03-10 11:41 <DIR> d-------- f:\programme\CCleaner
2009-03-10 08:13 . 2008-06-14 18:32 273,024 --------- f:\windows\system32\drivers\bthport.sys
2009-03-10 08:13 . 2008-06-14 18:32 273,024 -----c--- f:\windows\system32\dllcache\bthport.sys
2009-03-10 08:08 . 2008-08-14 14:19 2,191,488 -----c--- f:\windows\system32\dllcache\ntoskrnl.exe
2009-03-10 08:08 . 2008-08-14 14:19 2,147,840 -----c--- f:\windows\system32\dllcache\ntkrnlmp.exe
2009-03-10 08:08 . 2008-08-14 14:19 2,068,352 -----c--- f:\windows\system32\dllcache\ntkrnlpa.exe
2009-03-10 08:08 . 2008-08-14 14:19 2,026,496 -----c--- f:\windows\system32\dllcache\ntkrpamp.exe
2009-03-10 08:07 . 2008-10-24 12:21 455,296 -----c--- f:\windows\system32\dllcache\mrxsmb.sys
2009-03-10 01:29 . 2009-03-11 09:39 <DIR> d--h----- f:\windows\$hf_mig$
2009-03-10 01:29 . 2005-02-25 04:34 22,752 --a------ f:\windows\system32\spupdsvc.exe
2009-03-10 01:00 . 2009-03-10 01:01 <DIR> d-------- f:\programme\Opera
2009-03-10 00:59 . 2009-03-10 00:59 0 --a------ f:\windows\nsreg.dat
2009-03-09 15:27 . 2009-03-09 15:27 <DIR> d-------- f:\windows\Sun
2009-03-09 15:26 . 2009-03-09 15:26 <DIR> d-------- f:\programme\Java
2009-03-09 15:26 . 2009-03-09 15:26 410,984 --a------ f:\windows\system32\deploytk.dll
2009-03-09 15:26 . 2009-03-09 15:26 73,728 --a------ f:\windows\system32\javacpl.cpl
2009-03-09 13:43 . 2009-03-09 13:43 <DIR> d-------- f:\programme\TA-101
2009-03-09 13:43 . 2009-03-09 13:43 <DIR> d-------- f:\programme\Avira
2009-03-09 13:43 . 2009-03-09 13:43 <DIR> d-------- f:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2009-03-09 13:43 . 2006-06-09 08:13 1,207,808 --a------ f:\windows\system32\drivers\cmvoip.sys
2009-03-09 13:43 . 2006-06-09 08:13 917,504 --a------ f:\windows\system\cmds3do.dll
2009-03-09 13:43 . 2006-06-09 08:13 315,392 --a------ f:\windows\system\cmifltr.dll
2009-03-09 13:43 . 2006-06-09 08:13 241,664 --a------ f:\windows\system32\cmdrvrmo.exe
2009-03-09 13:43 . 2006-06-09 08:13 98,304 --a------ f:\windows\system32\cmvoip.dll
2009-03-09 13:43 . 2006-06-09 08:13 45,056 --a------ f:\windows\system32\cmdrvrmo.dll
2009-03-09 13:43 . 2006-06-09 08:13 32,768 --a------ f:\windows\system32\cmpropo.dll
2009-03-09 13:43 . 2006-06-09 08:13 359 --a------ f:\windows\CmVoip.ini
2009-03-09 13:42 . 2009-03-11 09:36 <DIR> d-------- f:\dokumente und einstellungen\***\Anwendungsdaten\skypePM
2009-03-09 13:42 . 2009-03-09 13:42 56 --ah----- f:\windows\system32\ezsidmv.dat
2009-03-09 13:40 . 2009-03-09 13:40 <DIR> dr------- f:\programme\Skype
2009-03-09 13:40 . 2009-03-09 13:40 <DIR> d-------- f:\programme\Gemeinsame Dateien\Skype
2009-03-09 13:40 . 2009-03-11 10:06 <DIR> d-------- f:\dokumente und einstellungen\***\Anwendungsdaten\Skype
2009-03-09 13:40 . 2009-03-09 13:40 <DIR> d-------- f:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype
2009-03-09 01:22 . 2009-03-09 01:22 0 --a------ f:\windows\msicpl.ini
2009-03-09 00:57 . 2009-03-09 00:57 <DIR> d-------- f:\programme\M-Audio
2009-03-09 00:57 . 2007-01-24 17:15 2,502,633 --a------ f:\windows\system32\pcifmdio.dll
2009-03-09 00:57 . 2007-01-25 11:11 1,122,304 --a------ f:\windows\system32\deltapnl.exe
2009-03-09 00:57 . 2007-01-25 11:12 302,336 --a------ f:\windows\system32\drivers\delta.sys
2009-03-09 00:57 . 2007-01-25 10:54 154,112 --a------ f:\windows\system32\M-AudioTaskBarIcon.exe
2009-03-09 00:57 . 2007-01-25 11:11 46,592 --a------ f:\windows\system32\deltapnl.dll
2009-03-09 00:57 . 2007-01-25 11:12 22,528 --a------ f:\windows\system32\deltasio.dll
2009-03-09 00:57 . 2007-01-25 11:12 19,456 --a------ f:\windows\system32\DeltaCPL.cpl
2009-03-07 16:03 . 2009-03-07 16:03 <DIR> d-------- f:\programme\avmwlanstick
2009-03-07 16:03 . 2007-12-19 01:00 77,824 --a------ f:\windows\system32\fwusbnci.org
2009-03-07 16:03 . 2007-12-20 01:04 12,150 -ra------ f:\windows\instwcli.inf
2009-03-07 15:47 . 2009-03-07 15:47 <DIR> d-------- f:\programme\Gemeinsame Dateien\Macrovision Shared
2009-03-07 15:43 . 2009-03-07 16:04 <DIR> d-------- f:\programme\Gemeinsame Dateien\Adobe
2009-03-07 15:38 . 2009-03-07 15:38 <DIR> d-------- f:\programme\QuickTime
2009-03-07 15:38 . 2009-03-11 09:36 <DIR> d-------- f:\programme\Gemeinsame Dateien\CineForm

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-09 12:43 --------- d--h--w f:\programme\InstallShield Installation Information
2009-03-07 13:40 --------- d-----w f:\dokumente und einstellungen\All Users\Anwendungsdaten\nView_Profiles
2009-03-07 13:31 315,392 ----a-w f:\windows\HideWin.exe
2009-03-07 13:31 --------- d-----w f:\programme\Realtek
2009-03-07 13:31 --------- d-----w f:\programme\Gemeinsame Dateien\InstallShield
2009-03-07 13:29 --------- d-----w f:\programme\Intel
2009-03-07 13:03 --------- d-----w f:\programme\microsoft frontpage
2009-03-07 13:01 --------- d-----w f:\programme\Online-Dienste
2009-03-07 13:01 --------- d-----w f:\programme\Gemeinsame Dateien\Dienste
2009-02-09 14:04 1,846,912 ----a-w f:\windows\system32\win32k.sys
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="f:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"Skype"="f:\programme\Skype\Phone\Skype.exe" [2009-02-04 23975720]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="f:\windows\system32\NvCpl.dll" [2007-06-28 8466432]
"WinSys2"="f:\windows\system32\winsys2.exe" [2006-04-29 208896]
"NvMediaCenter"="f:\windows\system32\NvMcTray.dll" [2007-06-28 81920]
"AVMWlanClient"="f:\programme\avmwlanstick\wlangui.exe" [2007-12-20 1748992]
"M-Audio Taskbar Icon"="f:\windows\System32\M-AudioTaskBarIcon.exe" [2007-01-25 154112]
"CmSkype346814"="f:\programme\TA-101\TA-101.exe" [2006-03-24 475136]
"avgnt"="f:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"SunJavaUpdateSched"="f:\programme\Java\jre6\bin\jusched.exe" [2009-03-09 148888]
"RTHDCPL"="RTHDCPL.EXE" [2007-09-27 f:\windows\RTHDCPL.exe]
"nwiz"="nwiz.exe" [2007-06-28 f:\windows\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="f:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck xmnt2002 /bat=f:\windows\TEMP\PQ_BATCH.PQB /win=f:\windows /dbg=f:\WINDOWS\TEMP\PQ_DEBUG.TXT /ver=262144 /prd=PartitionMagic\0autocheck autochk *

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"f:\\Programme\\Skype\\Phone\\Skype.exe"=

R3 cmvoip;C-Media USB VOIP Sound Interface;f:\windows\system32\drivers\cmvoip.sys [2009-03-09 1207808]
R3 fwlanusbn;FRITZ!WLAN N;f:\windows\system32\drivers\fwlanusbn.sys [2009-03-07 401920]
S3 avmeject;AVM Eject;f:\windows\system32\drivers\avmeject.sys [2009-03-07 4352]
.
.
------- Zusätzlicher Suchlauf -------
.
FF - ProfilePath - f:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\wfd4nvlg.default\
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, ***://www.gmer.net
Rootkit scan 2009-03-11 10:07:17
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2009-03-11 10:08:08
ComboFix-quarantined-files.txt 2009-03-11 09:07:53
ComboFix2.txt 2009-03-11 09:05:42
ComboFix3.txt 2009-03-11 08:55:21
ComboFix4.txt 2009-03-10 10:50:11

Vor Suchlauf: 8 Verzeichnis(se), 74.344.570.880 Bytes frei
Nach Suchlauf: 8 Verzeichnis(se), 74,334,044,160 Bytes frei

135 --- E O F --- 2009-03-11 08:40:02

Zitat:

Zitat von 4RobSen8

Gegen dein Deutscht sagt kein Mensch etwas.

es ging um DEINE Ausdrucksweise

Zitat:

Zitat von Xeroin

es ging um DEINE Ausdrucksweise

Ich bin nicht blind...

Zitat:

D habe ich gar nicht - taucht bei mir nur auf, wenn ich den Card-Reader reinstecke.

Hattest du die Memorycard eingelegt/angesteckt als ComboFix lief? Falls nicht, dann besteht die Gefahr, dass du dich selbst wieder infizierst.

Start => Ausführen => combofix /u => OK

Und jetzt brav die Liste abarbeiten: http://www.trojaner-board.de/69886-a...-beachten.html

ciao, andreas

Zitat:

Zitat von john.doe

Und jetzt brav die Liste abarbeiten

ciao, andreas

Habe CCleaner ausgeführt.

Während des Scans von Malwarebytes gab mein Antivir immer mal Virenmeldungen von sich.
Das hier ist der Report von Malwarebytes:


Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1848
Windows 5.1.2600 Service Pack 3

14.03.2009 15:19:45
mbam-log-2009-03-14 (15-19-45).txt

Scan-Methode: Vollständiger Scan (C:\|E:\|F:\|G:\|H:\|Z:\|)
Durchsuchte Objekte: 472395
Laufzeit: 2 hour(s), 20 minute(s), 9 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
Z:\RECYCLER\S-1-5-21-606747145-117609710-682003330-1003\Df399.exe (Trojan.DNSChanger) -> Quarantined and deleted successfully.
Z:\System Volume Information\_restore{126AA6BE-C0B1-4867-B344-026F42B28AD0}\RP19\A0003709.exe (Trojan.DNSChanger) -> Quarantined and deleted successfully.


[----------------END OF LOG-------------------]



das ist die Liste der installierten Software:


Adobe After Effects CS4
Adobe After Effects CS4 Presets
Adobe After Effects CS4 Third Party Content
Adobe AIR
Adobe AIR
Adobe Anchor Service CS4
Adobe Bridge CS4
Adobe CMaps CS4
Adobe Color - Photoshop Specific CS4
Adobe Color EU Recommended Settings CS4
Adobe Color JA Extra Settings CS4
Adobe Color NA Extra Settings CS4
Adobe Color Video Profiles AE CS4
Adobe Color Video Profiles CS CS4
Adobe Creative Suite 4 Production Premium
Adobe Creative Suite 4 Production Premium
Adobe CSI CS4
Adobe Default Language CS4
Adobe Device Central CS4
Adobe Drive CS4
Adobe Dynamiclink Support
Adobe Encore CS4 Codecs
Adobe ExtendScript Toolkit CS4
Adobe Extension Manager CS4
Adobe Flash Player 10 Plugin
Adobe Fonts All
Adobe Linguistics CS4
Adobe Media Encoder CS4
Adobe Media Encoder CS4 Additional Exporter
Adobe Media Encoder CS4 Dolby
Adobe Media Encoder CS4 Exporter
Adobe Media Encoder CS4 Importer
Adobe Media Player
Adobe Media Player
Adobe MotionPicture Color Files CS4
Adobe Output Module
Adobe PDF Library Files CS4
Adobe Photoshop CS4
Adobe Photoshop CS4 Support
Adobe Premiere Pro CS4
Adobe Premiere Pro CS4 Functional Content
Adobe Premiere Pro CS4 Third Party Content
Adobe Search for Help
Adobe Service Manager Extension
Adobe Setup
Adobe Soundbooth CS4 Codecs
Adobe Type Support CS4
Adobe Update Manager CS4
Adobe WinSoft Linguistics Plugin
Adobe XMP Panels CS4
AdobeColorCommonSetCMYK
AdobeColorCommonSetRGB
Age of Empires II. The Age of Kings
Age of Empires II. The Conquerors
Apple Software Update
ArcSoft PhotoStudio 5.5
Avira AntiVir Personal - Free Antivirus
AVM FRITZ!WLAN
Canon iP4200
Canon MP Navigator EX 1.0
Canon Utilities Solution Menu
CanoScan LiDE 90
CCleaner (remove only)
CineForm AspectHD 4.1
C-Media USB VOIP Driver
Connect
Delta
ffdshow [rev 2527] [2008-12-19]
HijackThis 2.0.2
Hotfix für Windows XP (KB952287)
Java(TM) 6 Update 12
kuler
Malwarebytes' Anti-Malware
Mozilla Firefox (3.0.7)
MSXML 4.0 SP2 (KB954430)
NVIDIA Drivers
Opera 9.02
PDF Settings CS4
Photoshop Camera Raw
Pixel Bender Toolkit
Presto! PageManager 7.15.16
QuickTime
Realtek High Definition Audio Driver
ScanSoft OmniPage SE 4
Sicherheitsupdate für Windows Media Player (KB952069)
Sicherheitsupdate für Windows XP (KB923789)
Sicherheitsupdate für Windows XP (KB938464-v2)
Sicherheitsupdate für Windows XP (KB946648)
Sicherheitsupdate für Windows XP (KB950760)
Sicherheitsupdate für Windows XP (KB950762)
Sicherheitsupdate für Windows XP (KB950974)
Sicherheitsupdate für Windows XP (KB951066)
Sicherheitsupdate für Windows XP (KB951376-v2)
Sicherheitsupdate für Windows XP (KB951698)
Sicherheitsupdate für Windows XP (KB951748)
Sicherheitsupdate für Windows XP (KB952954)
Sicherheitsupdate für Windows XP (KB954459)
Sicherheitsupdate für Windows XP (KB954600)
Sicherheitsupdate für Windows XP (KB955069)
Sicherheitsupdate für Windows XP (KB956802)
Sicherheitsupdate für Windows XP (KB956803)
Sicherheitsupdate für Windows XP (KB956841)
Sicherheitsupdate für Windows XP (KB957097)
Sicherheitsupdate für Windows XP (KB958215)
Sicherheitsupdate für Windows XP (KB958644)
Sicherheitsupdate für Windows XP (KB958687)
Sicherheitsupdate für Windows XP (KB958690)
Sicherheitsupdate für Windows XP (KB960225)
Sicherheitsupdate für Windows XP (KB960714)
Sicherheitsupdate für Windows XP (KB960715)
Skype™ 4.0
Suite Shared Configuration CS4
TA-101
Update für Windows XP (KB898461)
Update für Windows XP (KB951978)
Update für Windows XP (KB955839)
Update für Windows XP (KB967715)
WinRAR archiver

[-----------END OF LIST---------------]

Nutzt du Opera? Deinstalliere Opera. Die aktuelle Version ist 9.64. Lade sie, falls du Opera nutzt.

Das HJT-Log fehlt noch.

ciao, andreas

Zitat:

Zitat von john.doe

Nutzt du Opera? Deinstalliere Opera. Die aktuelle Version ist 9.64. Lade sie, falls du Opera nutzt.

Das HJT-Log fehlt noch.

ciao, andreas

Habe Opera deinstalliert, benutze es aber auch nicht.

Habe HJT ausgeführt, aber nichts gefixt. Hier die Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:31:23, on 16.03.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\spoolsv.exe
F:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
F:\WINDOWS\Explorer.EXE
F:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
F:\Programme\avmwlanstick\WlanNetService.exe
F:\Programme\Java\jre6\bin\jqs.exe
F:\WINDOWS\system32\nvsvc32.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\RTHDCPL.EXE
F:\WINDOWS\system32\RUNDLL32.EXE
F:\Programme\avmwlanstick\wlangui.exe
F:\WINDOWS\System32\M-AudioTaskBarIcon.exe
F:\Programme\TA-101\TA-101.exe
F:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
F:\Programme\Java\jre6\bin\jusched.exe
F:\Programme\ScanSoft\OmniPageSE4\OpwareSE4.exe
F:\WINDOWS\system32\ctfmon.exe
F:\Programme\Skype\Phone\Skype.exe
F:\Programme\Skype\Plugin Manager\skypePM.exe
F:\WINDOWS\system32\wuauclt.exe
F:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\HijackThis 2.0.2\HijackThis.exe
F:\WINDOWS\system32\rundll32.exe
F:\WINDOWS\system32\wuauclt.exe
F:\WINDOWS\system32\msiexec.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - F:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - F:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - F:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE F:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WinSys2] F:\WINDOWS\system32\winsys2.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE F:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVMWlanClient] F:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [M-Audio Taskbar Icon] F:\WINDOWS\System32\M-AudioTaskBarIcon.exe
O4 - HKLM\..\Run: [CmSkype346814] F:\Programme\TA-101\TA-101.exe RUNSTART
O4 - HKLM\..\Run: [avgnt] "F:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "F:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [CanonSolutionMenu] F:\Programme\Canon\SolutionMenu\CNSLMAIN.exe /logon
O4 - HKLM\..\Run: [SSBkgdUpdate] "F:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [OpwareSE4] "F:\Programme\ScanSoft\OmniPageSE4\OpwareSE4.exe"
O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "F:\Programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin
O4 - HKLM\..\Run: [QuickTime Task] "F:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] F:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "F:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] F:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] F:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - F:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - F:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - F:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Programme\Messenger\msmsgs.exe
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://javadl.sun.com/webapps/download/AutoDL?BundleId=27986
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - F:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - F:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - F:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - F:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - F:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - F:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - F:\WINDOWS\system32\nvsvc32.exe

--
End of file - 5468 bytes

Das HJT-Log ist sauber. Wie geht es dem Rechner?

1.) Start => Ausführen => combofix /u => OK

2.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.
Nach Neustart kann sie wieder aktiviert werden.

3.) Laufen lassen und Log posten: http://www.trojaner-board.de/51871-a...tispyware.html

ciao, andreas

Zitat:

Zitat von john.doe

Das HJT-Log ist sauber. Wie geht es dem Rechner?

1.) Start => Ausführen => combofix /u => OK

ciao, andreas

Dem Rechner geht es eigentlich gut. Anfangs kamen ab und zu Virenwarnungen (Antivir), aber jetzt ist es vorbei. Sobald ich mit diesem Thema durch bin, werde ich das System neu aufsetzen.

Aber jetzt zum Problem mit dem ersten Punkt: Wenn ich auf start gehe und dort unter ausführen "combofix /u" eingebe, bekomme ich eine fehlermeldung, dass cobofix nicht gefunden werden konnte. muss ich combofix in einen bestimmten ordner verschieben?