Hier das Ergebnis

ComboFix 09-03-13.02 - Cervantes 2009-03-14 19:21:59.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.3071.2630 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Cervantes\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Cervantes\Desktop\cfscript.txt
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated)
* Neuer Wiederherstellungspunkt wurde erstellt

FILE ::
c:\windows\system32\drivers\aaa08d2.sys
c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\ :#:
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\drivers\aaa08d2.sys

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_KDQ2876
-------\Service_kdq2876


((((((((((((((((((((((( Dateien erstellt von 2009-02-14 bis 2009-03-14 ))))))))))))))))))))))))))))))
.

2009-03-14 19:22 . 2009-03-14 19:22 22,784 --a------ c:\windows\system32\drivers\lll4f4e.sys
2009-03-14 19:22 . 2009-03-14 19:22 22,784 --a------ c:\windows\system32\drivers\jjj94e8.sys
2009-03-14 19:22 . 2009-03-14 19:22 22,784 --a------ c:\windows\system32\drivers\gtt640b.sys
2009-03-14 13:29 . 2009-03-14 13:29 22,784 --a------ c:\windows\system32\drivers\kdq2876.sys
2009-03-08 18:19 . 2009-02-18 14:44 453,152 --a------ c:\windows\system32\nvudisp.exe
2009-03-08 18:19 . 2009-03-14 19:24 212,881 --a------ c:\windows\system32\nvapps.xml
2009-03-08 18:19 . 2009-02-18 14:44 19,021 --a------ c:\windows\system32\nvdisp.nvu
2009-03-08 18:18 . 2009-03-08 18:18 <DIR> d-------- C:\NVIDIA
2009-03-08 18:18 . 2009-02-16 23:17 453,152 --a------ c:\windows\system32\NVUNINST.EXE
2009-03-08 18:03 . 2009-03-12 18:36 189,072 --a------ c:\windows\system32\PnkBstrB.xtr
2009-03-02 19:23 . 2009-03-02 19:23 0 --a------ c:\windows\mngui.INI
2009-02-26 16:18 . 2008-04-13 20:45 32,128 --a------ c:\windows\system32\drivers\usbccgp.sys
2009-02-26 16:18 . 2008-04-13 20:45 32,128 --a--c--- c:\windows\system32\dllcache\usbccgp.sys
2009-02-26 16:18 . 2008-04-14 04:22 21,504 --a------ c:\windows\system32\hidserv.dll
2009-02-26 16:18 . 2008-04-14 04:22 21,504 --a--c--- c:\windows\system32\dllcache\hidserv.dll
2009-02-26 16:18 . 2008-04-14 03:58 14,720 --a------ c:\windows\system32\drivers\kbdhid.sys
2009-02-26 16:18 . 2008-04-14 03:58 14,720 --a--c--- c:\windows\system32\dllcache\kbdhid.sys
2009-02-15 09:44 . 2009-02-15 09:44 <DIR> d-------- c:\programme\HP
2009-02-15 09:44 . 2009-02-15 09:44 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\HPSSUPPLY
2009-02-15 09:43 . 2009-02-15 09:43 <DIR> d-------- c:\windows\system32\URTTEMP
2009-02-15 09:41 . 2009-02-15 09:43 <DIR> d--h----- c:\programme\Avago-HP
2009-02-15 09:41 . 2008-04-28 06:14 284,160 --a------ c:\windows\system32\HP1006LM.DLL
2009-02-15 09:41 . 2008-02-20 23:44 65,536 --a------ c:\windows\system32\HPPLVS.dll
2009-02-15 09:39 . 2008-04-13 20:47 25,856 --a------ c:\windows\system32\drivers\usbprint.sys
2009-02-15 09:39 . 2008-04-13 20:47 25,856 --a--c--- c:\windows\system32\dllcache\usbprint.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-14 13:32 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan
2009-03-13 05:45 --------- d-----w c:\dokumente und einstellungen\Cervantes\Anwendungsdaten\OpenOffice.org2
2009-03-12 17:20 138,920 ----a-w c:\windows\system32\drivers\PnkBstrK.sys
2009-02-18 13:44 6,308,224 ----a-w c:\windows\system32\drivers\nv4_mini.sys
2009-02-08 10:43 --------- d-----w c:\dokumente und einstellungen\Cervantes\Anwendungsdaten\AdobeUM
2009-02-05 04:59 --------- d-----w c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2007-11-10 08:39 22,328 ----a-w c:\dokumente und einstellungen\Cervantes\Anwendungsdaten\PnkBstrK.sys
2007-09-27 18:14 14 ----a-w c:\dokumente und einstellungen\Cervantes\getfile.dat
2008-08-28 17:58 32,768 --sha-w c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008082820080829\index.dat
.

((((((((((((((((((((((((((((( SnapShot@2009-03-14_18.31.38.60 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-03-14 18:24:21 16,384 ----atw c:\windows\temp\Perflib_Perfdata_f0.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sony Ericsson PC Suite"="c:\programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2005-10-26 159744]
"AVMWlanClient"="c:\programme\avmwlanstick\FRITZWLANMini.exe" [2006-06-23 343552]
"FreePDF Assistant"="c:\programme\FreePDF_XP\fpassist.exe" [2007-06-26 312320]
"avgnt"="d:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-18 266497]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2008-11-10 136600]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-02-18 13680640]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-02-18 86016]
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2006-01-20 c:\windows\KHALMNPR.Exe]
"RTHDCPL"="RTHDCPL.EXE" [2008-02-13 c:\windows\RTHDCPL.exe]
"nwiz"="nwiz.exe" [2009-02-18 c:\windows\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
Adobe Reader Speed Launch.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696]
Logitech SetPoint.lnk - d:\programme\Logitech\SetPoint\SetPoint.exe [2006-11-15 532480]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.XFR1"= xfcodec.dll

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"CTFMON.EXE"=c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"NeroFilterCheck"=c:\windows\system32\NeroCheck.exe
"NvMediaCenter"=RUNDLL32.EXE c:\windows\system32\NvMcTray.dll,NvTaskbarInit

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"e:\\Valve\\Steam\\SteamApps\\cervantes10@gmx.at\\counter-strike source\\hl2.exe"=
"e:\\Programme\\Xfire\\ua_lsp_inst.exe"=
"e:\\Programme\\Xfire\\Xfire.exe"=
"d:\\Programme\\Sony Ericsson\\Update Service\\ma3platform.exe"=
"e:\\Valve\\Steam\\SteamApps\\cervantes10@gmx.at\\counter-strike source beta\\hl2.exe"=
"d:\\Programme\\Winamp\\winamp.exe"=
"e:\\Valve\\Steam\\SteamApps\\cervantes10@gmx.at\\half-life 2 deathmatch\\hl2.exe"=
"d:\\Programme\\Firefox\\firefox.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\NetMeeting\\conf.exe"=
"d:\\Programme\\StreamRipper32\\StreamRipper32.exe"=
"e:\\Valve\\Steam\\Steam.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"e:\\Demos\\fear_mpdemo_en\\FEARMPDemo.exe"=
"e:\\New Folder\\Bin32\\Crysis.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"c:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"c:\\Programme\\MSN Messenger\\livecall.exe"=
"c:\\WINDOWS\\system32\\java.exe"=
"c:\\Programme\\Java\\jre6\\launch4j-tmp\\JDownloader.exe"=
"e:\\Programme\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:*isabled:@xpsp2res.dll,-22009
"19020:TCP"= 19020:TCP:*isabled:BitComet 19020 TCP
"19020:UDP"= 19020:UDP:*isabled:BitComet 19020 UDP
"41444:TCP"= 41444:TCP:*isabled:Azureus
"41444:UDP"= 41444:UDP:*isabled:Azureus

R3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\drivers\fwlanusb.sys [2007-06-08 264704]
S2 FILESpy;FILESpy;\??\c:\programme\Softwin\BitDefender8\filespy.sys --> c:\programme\Softwin\BitDefender8\filespy.sys [?]
S3 AVMUNET;AVM FRITZ!Box;c:\windows\system32\drivers\avmunet.sys [2006-10-13 16384]
S3 NETFWDSL;AVM FRITZ!web DSL PPP;c:\windows\system32\DRIVERS\NETFWDSL.SYS --> c:\windows\system32\DRIVERS\NETFWDSL.SYS [?]

--- Andere Dienste/Treiber im Speicher ---

*NewlyCreated* - IIDA9E7
*Deregistered* - iida9e7

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners

2009-01-23 c:\windows\Tasks\1-Klick-Wartung.job
- d:\programme\TuneUp Utilities 2008\OneClick.exe [2007-12-14 12:17]
.
.
------- Zusätzlicher Suchlauf -------
.
uInternet Connection Wizard,ShellNext = iexplore
uInternet Settings,ProxyOverride = fritz.box;192.168.178.1
IE: {{FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - e:\programme\PokerStars.NET\PokerStarsUpdate.exe
LSP: xfire_lsp_9996.dll
Trusted Zone: 1und1.de\www.maxdome
Trusted Zone: ahnlab.com\global
Trusted Zone: maxxdome.de\www
FF - ProfilePath -
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-14 19:24:55
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet002\Services\orqabbd]
"ImagePath"="\SystemRoot\System32\drivers\jjj94e8.sys"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'lsass.exe'(716)
c:\windows\system32\xfire_lsp_9996.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
d:\programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
d:\programme\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\PnkBstrA.exe
c:\windows\system32\PnkBstrB.exe
c:\windows\system32\spool\drivers\w32x86\3\HP1006MC.EXE
c:\programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe
c:\windows\system32\rundll32.exe
c:\programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
c:\windows\system32\wscntfy.exe
c:\programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
c:\programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-03-14 19:26:14 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-03-14 18:26:11
ComboFix2.txt 2009-03-14 17:32:09

Vor Suchlauf: 10 Verzeichnis(se), 20.761.100.288 Bytes frei
Nach Suchlauf: 10 Verzeichnis(se), 20,745,273,344 Bytes frei

189 --- E O F --- 2009-03-11 08:44:14

Ist nun alles gekillt oder gehts noch weiter

Ja, der Verursacher lebt noch. Das ü im Dateinamen hat ComboFix nicht gefallen.

Scripten mit Combofix

• Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code: Alles auswählenAufklappen

ATTFilter

KILLALL::

Registry::
[-HKEY_LOCAL_MACHINE\System\ControlSet002\Services\orqabbd]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"19020:TCP"=-
"19020:UDP"=-
"41444:TCP"=-
"41444:UDP"=-

File::
c:\windows\system32\drivers\kdq2876.sys
c:\windows\system32\drivers\gtt640b.sys
c:\windows\system32\drivers\jjj94e8.sys
c:\windows\system32\drivers\lll4f4e.sys
C:\WINDOWS\system32\drivers\llg4269.sys 
c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008082820080829\index.dat
         

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

• Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

• Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

so hier das Ergebnis

ComboFix 09-03-13.02 - Cervantes 2009-03-14 21:05:02.3 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.3071.2625 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Cervantes\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Cervantes\Desktop\cfscript.txt
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated)
* Neuer Wiederherstellungspunkt wurde erstellt

FILE ::
c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008082820080829\index.dat
c:\windows\system32\drivers\gtt640b.sys
c:\windows\system32\drivers\jjj94e8.sys
c:\windows\system32\drivers\kdq2876.sys
c:\windows\system32\drivers\llg4269.sys
c:\windows\system32\drivers\lll4f4e.sys
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008082820080829\index.dat
c:\windows\system32\drivers\gtt640b.sys
c:\windows\system32\drivers\jjj94e8.sys
c:\windows\system32\drivers\kdq2876.sys
c:\windows\system32\drivers\lll4f4e.sys

.
((((((((((((((((((((((( Dateien erstellt von 2009-02-14 bis 2009-03-14 ))))))))))))))))))))))))))))))
.

2009-03-14 21:05 . 2009-03-14 21:05 22,784 --a------ c:\windows\system32\drivers\sbfce5d.sys
2009-03-14 21:05 . 2009-03-14 21:05 22,784 --a------ c:\windows\system32\drivers\mpobd70.sys
2009-03-14 21:05 . 2009-03-14 21:05 22,784 --a------ c:\windows\system32\drivers\bfi0ad2.sys
2009-03-08 18:19 . 2009-02-18 14:44 453,152 --a------ c:\windows\system32\nvudisp.exe
2009-03-08 18:19 . 2009-03-14 21:07 212,881 --a------ c:\windows\system32\nvapps.xml
2009-03-08 18:19 . 2009-02-18 14:44 19,021 --a------ c:\windows\system32\nvdisp.nvu
2009-03-08 18:18 . 2009-03-08 18:18 <DIR> d-------- C:\NVIDIA
2009-03-08 18:18 . 2009-02-16 23:17 453,152 --a------ c:\windows\system32\NVUNINST.EXE
2009-03-08 18:03 . 2009-03-12 18:36 189,072 --a------ c:\windows\system32\PnkBstrB.xtr
2009-03-02 19:23 . 2009-03-02 19:23 0 --a------ c:\windows\mngui.INI
2009-02-26 16:18 . 2008-04-13 20:45 32,128 --a------ c:\windows\system32\drivers\usbccgp.sys
2009-02-26 16:18 . 2008-04-13 20:45 32,128 --a--c--- c:\windows\system32\dllcache\usbccgp.sys
2009-02-26 16:18 . 2008-04-14 04:22 21,504 --a------ c:\windows\system32\hidserv.dll
2009-02-26 16:18 . 2008-04-14 04:22 21,504 --a--c--- c:\windows\system32\dllcache\hidserv.dll
2009-02-26 16:18 . 2008-04-14 03:58 14,720 --a------ c:\windows\system32\drivers\kbdhid.sys
2009-02-26 16:18 . 2008-04-14 03:58 14,720 --a--c--- c:\windows\system32\dllcache\kbdhid.sys
2009-02-15 09:44 . 2009-02-15 09:44 <DIR> d-------- c:\programme\HP
2009-02-15 09:44 . 2009-02-15 09:44 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\HPSSUPPLY
2009-02-15 09:43 . 2009-02-15 09:43 <DIR> d-------- c:\windows\system32\URTTEMP
2009-02-15 09:41 . 2009-02-15 09:43 <DIR> d--h----- c:\programme\Avago-HP
2009-02-15 09:41 . 2008-04-28 06:14 284,160 --a------ c:\windows\system32\HP1006LM.DLL
2009-02-15 09:41 . 2008-02-20 23:44 65,536 --a------ c:\windows\system32\HPPLVS.dll
2009-02-15 09:39 . 2008-04-13 20:47 25,856 --a------ c:\windows\system32\drivers\usbprint.sys
2009-02-15 09:39 . 2008-04-13 20:47 25,856 --a--c--- c:\windows\system32\dllcache\usbprint.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-14 13:32 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan
2009-03-13 05:45 --------- d-----w c:\dokumente und einstellungen\Cervantes\Anwendungsdaten\OpenOffice.org2
2009-03-12 17:20 138,920 ----a-w c:\windows\system32\drivers\PnkBstrK.sys
2009-02-18 13:44 6,308,224 ----a-w c:\windows\system32\drivers\nv4_mini.sys
2009-02-08 10:43 --------- d-----w c:\dokumente und einstellungen\Cervantes\Anwendungsdaten\AdobeUM
2009-02-05 04:59 --------- d-----w c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2007-11-10 08:39 22,328 ----a-w c:\dokumente und einstellungen\Cervantes\Anwendungsdaten\PnkBstrK.sys
2007-09-27 18:14 14 ----a-w c:\dokumente und einstellungen\Cervantes\getfile.dat
.

((((((((((((((((((((((((((((( SnapShot@2009-03-14_18.31.38.60 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-03-14 20:07:23 16,384 ----atw c:\windows\temp\Perflib_Perfdata_1b4.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sony Ericsson PC Suite"="c:\programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2005-10-26 159744]
"AVMWlanClient"="c:\programme\avmwlanstick\FRITZWLANMini.exe" [2006-06-23 343552]
"FreePDF Assistant"="c:\programme\FreePDF_XP\fpassist.exe" [2007-06-26 312320]
"avgnt"="d:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-18 266497]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2008-11-10 136600]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-02-18 13680640]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-02-18 86016]
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2006-01-20 c:\windows\KHALMNPR.Exe]
"RTHDCPL"="RTHDCPL.EXE" [2008-02-13 c:\windows\RTHDCPL.exe]
"nwiz"="nwiz.exe" [2009-02-18 c:\windows\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
Adobe Reader Speed Launch.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696]
Logitech SetPoint.lnk - d:\programme\Logitech\SetPoint\SetPoint.exe [2006-11-15 532480]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.XFR1"= xfcodec.dll

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"CTFMON.EXE"=c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"NeroFilterCheck"=c:\windows\system32\NeroCheck.exe
"NvMediaCenter"=RUNDLL32.EXE c:\windows\system32\NvMcTray.dll,NvTaskbarInit

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"e:\\Valve\\Steam\\SteamApps\\cervantes10@gmx.at\\counter-strike source\\hl2.exe"=
"e:\\Programme\\Xfire\\ua_lsp_inst.exe"=
"e:\\Programme\\Xfire\\Xfire.exe"=
"d:\\Programme\\Sony Ericsson\\Update Service\\ma3platform.exe"=
"e:\\Valve\\Steam\\SteamApps\\cervantes10@gmx.at\\counter-strike source beta\\hl2.exe"=
"d:\\Programme\\Winamp\\winamp.exe"=
"e:\\Valve\\Steam\\SteamApps\\cervantes10@gmx.at\\half-life 2 deathmatch\\hl2.exe"=
"d:\\Programme\\Firefox\\firefox.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\NetMeeting\\conf.exe"=
"d:\\Programme\\StreamRipper32\\StreamRipper32.exe"=
"e:\\Valve\\Steam\\Steam.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"e:\\Demos\\fear_mpdemo_en\\FEARMPDemo.exe"=
"e:\\New Folder\\Bin32\\Crysis.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"c:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"c:\\Programme\\MSN Messenger\\livecall.exe"=
"c:\\WINDOWS\\system32\\java.exe"=
"c:\\Programme\\Java\\jre6\\launch4j-tmp\\JDownloader.exe"=
"e:\\Programme\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:*isabled:@xpsp2res.dll,-22009

R3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\drivers\fwlanusb.sys [2007-06-08 264704]
S2 FILESpy;FILESpy;\??\c:\programme\Softwin\BitDefender8\filespy.sys --> c:\programme\Softwin\BitDefender8\filespy.sys [?]
S3 AVMUNET;AVM FRITZ!Box;c:\windows\system32\drivers\avmunet.sys [2006-10-13 16384]
S3 NETFWDSL;AVM FRITZ!web DSL PPP;c:\windows\system32\DRIVERS\NETFWDSL.SYS --> c:\windows\system32\DRIVERS\NETFWDSL.SYS [?]

--- Andere Dienste/Treiber im Speicher ---

*NewlyCreated* - PSC034C
*Deregistered* - psc034c

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners

2009-01-23 c:\windows\Tasks\1-Klick-Wartung.job
- d:\programme\TuneUp Utilities 2008\OneClick.exe [2007-12-14 12:17]
.
.
------- Zusätzlicher Suchlauf -------
.
uInternet Connection Wizard,ShellNext = iexplore
uInternet Settings,ProxyOverride = fritz.box;192.168.178.1
IE: {{FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - e:\programme\PokerStars.NET\PokerStarsUpdate.exe
LSP: xfire_lsp_9996.dll
Trusted Zone: 1und1.de\www.maxdome
Trusted Zone: ahnlab.com\global
Trusted Zone: maxxdome.de\www
FF - ProfilePath -
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-14 21:07:54
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet002\Services\ssb55f7]
"ImagePath"="\SystemRoot\System32\drivers\bfi0ad2.sys"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'lsass.exe'(712)
c:\windows\system32\xfire_lsp_9996.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
d:\programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
d:\programme\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\PnkBstrA.exe
c:\windows\system32\PnkBstrB.exe
c:\programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe
c:\windows\system32\rundll32.exe
c:\programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
c:\windows\system32\spool\drivers\w32x86\3\HP1006MC.EXE
c:\windows\system32\wscntfy.exe
c:\programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
c:\programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-03-14 21:09:13 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-03-14 20:09:09
ComboFix2.txt 2009-03-14 18:26:15
ComboFix3.txt 2009-03-14 17:32:09

Vor Suchlauf: 10 Verzeichnis(se), 20.721.430.528 Bytes frei
Nach Suchlauf: 10 Verzeichnis(se), 20,704,436,224 Bytes frei

188 --- E O F --- 2009-03-11 08:44:14


Andreas

Systemdetails mit RSIT prüfen

• Lade Random's System Information Tool (RSIT) von random/random herunter,
• speichere es auf Deinem Desktop.
• Starte mit Doppelklick die RSIT.exe.
• Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
• Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
• Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
• Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread.

Gleich im Anschluss: http://www.trojaner-board.de/51187-a...i-malware.html

ciao, andreas

log file

http://www.materialordner.de/A92I0UhBwf2M6ZSabXvvcEWIqR5JbC9.html

info text

http://www.materialordner.de/gS1lJS3v2CjIS5Y0t2xYFIdYO8KJbS8h.html


und hier das Ergebnis von Malware:

Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1849
Windows 5.1.2600 Service Pack 3

14.03.2009 22:10:45
mbam-log-2009-03-14 (22-10-45).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|)
Durchsuchte Objekte: 131239
Laufzeit: 26 minute(s), 5 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

und während dem scan hatte antivir öfters angschlagen und folgendes gemeldet:

In der Datei 'D:\Download\TuneUp Utilities 2008 German Final\Patch.exe'
wurde ein Virus oder unerwünschtes Programm 'BDS/Generic.28536' [backdoor] gefunden.
Ausgeführte Aktion: Zugriff erlauben

In der Datei 'C:\System Volume Information\_restore{D75A938A-FF58-4A60-83E6-43D40B1ADBE9}\RP448\A0095172.EXE'
wurde ein Virus oder unerwünschtes Programm 'APPL/PsExec.E' [program] gefunden.
Ausgeführte Aktion: Zugriff erlauben

In der Datei 'C:\System Volume Information\_restore{D75A938A-FF58-4A60-83E6-43D40B1ADBE9}\RP447\A0095081.EXE'
wurde ein Virus oder unerwünschtes Programm 'APPL/PsExec.E' [program] gefunden.
Ausgeführte Aktion: Zugriff erlauben

In der Datei 'C:\System Volume Information\_restore{D75A938A-FF58-4A60-83E6-43D40B1ADBE9}\RP446\A0094991.EXE'
wurde ein Virus oder unerwünschtes Programm 'APPL/PsExec.E' [program] gefunden.
Ausgeführte Aktion: Zugriff erlauben

In der Datei 'C:\System Volume Information\_restore{D75A938A-FF58-4A60-83E6-43D40B1ADBE9}\RP446\A0094957.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Agent.277064.A' [trojan] gefunden.
Ausgeführte Aktion: Zugriff erlauben

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Zwei Sachen hätte ich gerne noch erklärt:

Zitat:

D:\Download\TuneUp Utilities 2008 German Final\Patch.exe

a) Ich habe auch schon mit TuneUp Utilities gearbeitet, aber mir ist dort noch nie eine Patch.exe begegnet. Woher kommt die und was macht die genau?

Zitat:

'BDS/Generic.28536' [backdoor] gefunden.
Ausgeführte Aktion: Zugriff erlauben

b) Wenn man schon die Meldung vom Antivirenprogramm bekommt, dass da ein Backdoor ist, wieso kann man dann so (entschuldige bitte) bescheuert sein, den Zugriff zu erlauben?

ciao, andreas

weiß auch nicht so genau was mit der exe datei ist, aber ich hatte dieses Meldung des Backdoors während dem scan von malware erhalten und hatte sie einfach ignoriert.

Soll ich die Datei löschen oder in Quaratäne verschieben?

Hab hier nochmal mit Antivir gescannt und siehe da es gab auch eine Meldung zum Combofix.exe .


Beginne mit der Suche in 'D:\' <Privat>
D:\Backup DO 12.10\Kaspersky\Alcohol.120%.v1.9.5.3105.rar
[0] Archivtyp: RAR
--> Patch.exe
[FUND] Ist das Trojanische Pferd TR/Agent.69632.O
--> Alcohol.120%.v1.9.5.3105.\Patch.exe
[FUND] Ist das Trojanische Pferd TR/Agent.69632.O
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a1f2bdf.qua' verschoben!
D:\Download\CDVD2903.rar
[0] Archivtyp: RAR
--> CDVD2903-clonedvd2-patch.exe
[FUND] Enthält Erkennungsmuster des SPR/Hacktool.155648.B-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a122c46.qua' verschoben!
D:\Download\ComboFix.exe
[0] Archivtyp: RAR SFX (self extracting)
--> 32788R22FWJFW\psexec.cfexe
[1] Archivtyp: RSRC
--> Object
[FUND] Enthält Erkennungsmuster der Anwendung APPL/PsExec.E
[WARNUNG] Die Datei wurde ignoriert.
D:\Download\TuneUp Utilities 2008 German Final\Patch.exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Generic.28536
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a302d2d.qua' verschoben!

Zitat:

aber ich hatte dieses Meldung des Backdoors während dem scan von malware erhalten und hatte sie einfach ignoriert.

Ja, genauso macht man das auch. Irgendwelche Warnungen einfach wegklicken, die nerven ja nur. Vielleicht solltest du meine Anleitung mal lesen (vorher aber bitte die Batterien vom Ironiedetektor überprüfen):
Anleitung zum "Einfangen" von möglichst vielen Schädlingen in möglichst kurzer Zeit.

Vielleicht sollten wir uns erstmal schlau machen, was ein Backdoor überhaupt ist:
Backdoor Techniklexikon bei Virenschutz.info
http://www.trojaner-board.de/394394-post12.html

Wie reagiere ich denn normalerweise, wenn ich so etwas sehe?
http://www.trojaner-board.de/412831-post10.html

Dann würde ich dochmal sagen, es ist mal wieder Zeit für eine Neuinstallation.
http://www.trojaner-board.de/51262-a...sicherung.html

Ich bin raus,
Andreas