Guten Abend

Habe seit der letzten Lan die folgenden Probleme

Kann nicht mehr über den Arbeitsplatz auf C: zugreifen
Da kommt nur die Meldung "Recycler\S-6-6-45-*viele Zahlen*.com konnte nicht gefunden werden.

Kann Spybot S&D nicht öffnen (startet zwar als Tray-Icon, aber wenn ich das Hauptprogramm öffnen will passiert rein garnichts.)
Das Updaten funktioniert auch nicht (Update-Info-Datei konnte nicht gefunden werden.")
Neuinstallation von S&D hat auch nicht geholfen und war auch nur möglich ohne beim Installieren zu updaten.
Auch die Internetseite w*w.safer-networking.org kann ich nicht aufrufen
("Adresse nicht gefunden" obwohl auf einem anderen Pc die Seite perfekt funktioniert)
Bei der Firefoxstartseite mit Google kommt nur die Meldung ("Die aufgerufene Website leitet die Anfrage so um, dass sie nie beendet werden kann.")
Google.com geht aber nur wenn man auf ein Suchergebnis klickt kommt erst eine weiße Seite bevor er die eigentliche Seite anklickt.

Also ich denke mal mein System ist ganz schön verseucht.
Im Internet hab ich gelesen, dass es wohl bei dem Problem mit dem Recycler das Beste wäre zu formatieren.
Würde ich auch machen, allerdings würde ich gerne meine Dateien gerne vorher auf eine Externe überspielen, jedoch weiß ich nicht ob ich dann nicht gleich wieder das Problem habe.

Als Antivirenprogramm benutze ich ESET NOD32, der hat allerdings beim Durchsuchen nichts gefunden.
Und eigentlich auch S&D nur kann ich den ja grad nicht starten.

CC Cleaner ist durchgelaufen.
Malwarebyte startet genau wie S&D nicht
(beim anklicken der exe kommt gaaanz kurz eine Sanduhr, ansonsten passiert garnichts)
HJT Log:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:26:35, on 22.03.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Creative\Shared Files\CTAudSvc.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Razer\Habu\razerhid.exe
C:\WINDOWS\CTHELPER.EXE
C:\Programme\Creative\Volume Panel\VolPanlu.exe
C:\WINDOWS\system32\CTXFIHLP.EXE
C:\Programme\ESET\ESET NOD32 Antivirus\egui.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\WINDOWS\SYSTEM32\CTXFISPI.EXE
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Razer\Habu\razertra.exe
C:\Programme\Razer\Habu\razerofa.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\DAEMON Tools Pro\DTProAgent.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\WINDOWS\system32\msiexec.exe
C:\Downloads\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://de.europe.creative.com/support/downloads/su.asp
O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Programme\Orbitdownloader\orbitcth.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Grab Pro - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - C:\Programme\Orbitdownloader\GrabPro.dll
O4 - HKLM\..\Run: [Habu] C:\Programme\Razer\Habu\razerhid.exe
O4 - HKLM\..\Run: [RCSystem] "C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" RCSystem * -Startup
O4 - HKLM\..\Run: [AudioDrvEmulator] "C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" -1 AudioDrvEmulator "C:\Programme\Creative\Shared Files\Module Loader\Audio Emulator\AudDrvEm.dll"
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [VolPanel] "C:\Programme\Creative\Volume Panel\VolPanlu.exe" /r
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [egui] "C:\Programme\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [H2O] C:\Programme\SyncroSoft\Pos\H2O\cledx.exe
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools Pro Agent] "C:\Programme\DAEMON Tools Pro\DTProAgent.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-18\..\RunOnce: [CtxfiReg] CTXFIREG.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [CtxfiReg] CTXFIREG.EXE (User 'Default user')
O8 - Extra context menu item: &Download by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/201
O8 - Extra context menu item: &Grab video by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/204
O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/203
O8 - Extra context menu item: Down&load all by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/202
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - h**p://w*w.creative.com/su/ocx/15031/CTSUEng.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://w*w.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1201797572484
O16 - DPF: {6C269571-C6D7-4818-BCA4-32A035E8C884} (Creative Software AutoUpdate) - h**p://w*w.creative.com/softwareupdate/su/ocx/15101/CTSUEng.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1228514076640
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - h**p://w*w.creative.com/softwareupdate/su/ocx/15106/CTPID.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{09A9424F-6572-48CE-8C4E-97DBEFB7E531}: NameServer = 85.255.112.126,85.255.112.150
O17 - HKLM\System\CCS\Services\Tcpip\..\{1F06CF73-CF4D-48FC-A019-24D987B5A81D}: NameServer = 85.255.112.126,85.255.112.150
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.126,85.255.112.150
O17 - HKLM\System\CS1\Services\Tcpip\..\{09A9424F-6572-48CE-8C4E-97DBEFB7E531}: NameServer = 85.255.112.126,85.255.112.150
O17 - HKLM\System\CS7\Services\Tcpip\Parameters: NameServer = 85.255.112.122,85.255.112.154
O17 - HKLM\System\CS7\Services\Tcpip\..\{09A9424F-6572-48CE-8C4E-97DBEFB7E531}: NameServer = 85.255.112.122,85.255.112.154
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.126,85.255.112.150
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Creative Audio Engine Licensing Service - Creative Labs - C:\Programme\Gemeinsame Dateien\Creative Labs Shared\Service\CTAELicensing.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: Creative Audio Service (CTAudSvcService) - Creative Technology Ltd - C:\Programme\Creative\Shared Files\CTAudSvc.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Programme\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Pml Driver HPH11 - HP - C:\WINDOWS\system32\HPHipm11.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 9069 bytes
         

Uninstall List:

Code: Alles auswählenAufklappen

ATTFilter

 Sansa Media Converter
Adobe Flash Player 10 Plugin
Adobe Reader 9.1 - Deutsch
Age of Empires II - The Conquerors - 1.0e Patch FINAL
Age of Empires III
Age of Empires III - The Asian Dynasties
Age of Mythology
Anno 1701
AnyDVD
ATI - Software Uninstall Utility
ATI Catalyst Control Center
ATI Display Driver
Audacity 1.3.6 (Unicode)
AVS Video Converter 6
Call of Duty(R) - World at War(TM)
Call of Duty(R) - World at War(TM) 1.1 Patch
Call of Duty(R) - World at War(TM) 1.2 Patch
Call of Duty(R) - World at War(TM) 1.3 Patch
Call of Duty(R) 4 - Modern Warfare(TM)
Call of Duty(R) 4 - Modern Warfare(TM) 1.2 Patch
Call of Duty(R) 4 - Modern Warfare(TM) 1.3 Patch
Call of Duty(R) 4 - Modern Warfare(TM) 1.4 Patch
Call of Duty(R) 4 - Modern Warfare(TM) 1.5 Multiplayer Patch
Call of Duty(R) 4 - Modern Warfare(TM) 1.6 Patch
Call of Duty(R) 4 - Modern Warfare(TM) 1.7 Patch
Catalyst Control Center - Branding
CCleaner (remove only)
Command & Conquer 3
Command & Conquer Generals
Command & Conquer™ 3: Kanes Rache
Command & Conquer™ Alarmstufe Rot 3
Command and ConquerTM Generals Zero Hour
Company of Heroes
Company of Heroes - FAKEMSI
Company of Heroes - FAKEMSI
Company of Heroes - FAKEMSI
Company of Heroes - FAKEMSI
Company of Heroes - FAKEMSI
Company of Heroes - FAKEMSI
Company of Heroes - FAKEMSI
Company of Heroes - FAKEMSI
Company of Heroes - FAKEMSI
Company of Heroes - FAKEMSI
Company of Heroes - FAKEMSI
Company of Heroes - FAKEMSI
Company of Heroes - FAKEMSI
Company of Heroes - FAKEMSI
Compatibility Pack for the 2007 Office system
Counter-Strike: Source
Counter-Strike: Source
Creative Audio Control Panel
Creative Konsole Starter
Creative Media Toolbox
Creative MediaSource
Creative MediaSource 5
Creative MediaSource DVD-Audio Player
Creative Vienna SoundFont Studio
Creative-Manager für Wechseldatenträger
Creative-Systeminformationen
Die Siedler II - Die nächste Generation
DivX Codec
DivX Player
DivX Web Player
Empire Earth
ESET NOD32 Antivirus
Fallout 3 v1.0
Fallout 3: Operation Anchorage™
Fallout Mod Manager 0.9.9
Far Cry 2
FL Studio 8
FLV Player 2.0 (build 25)
GIMP 2.6.5
Grand Theft Auto IV
Guitar Pro 5.2
Hamachi 1.0.3.0
HijackThis 2.0.2
HLSW v1.3.0.6
Hotfix for Microsoft .NET Framework 3.0 (KB932471)
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)
Hotfix for Windows XP (KB915800-v4)
Hotfix für Windows XP (KB938759)
Hotfix für Windows XP (KB952287)
IL Download Manager
IrfanView (remove only)
Java DB 10.4.1.3
Java(TM) 6 Update 12
Java(TM) SE Development Kit 6 Update 12
JOE (Java oriented editing) 2.3.25
Lautstärkefenster
Little Fighter 2 1.9c
Malwarebytes' Anti-Malware
Messenger Plus! 3
Messenger Plus! Live
Microsoft .NET Framework 2.0 Service Pack 2
Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU
Microsoft .NET Framework 3.0 German Language Pack
Microsoft .NET Framework 3.0 German Language Pack
Microsoft .NET Framework 3.0 Service Pack 2
Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU
Microsoft .NET Framework 3.5 Language Pack SP1 - deu
Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
Microsoft .NET Framework 3.5 SP1
Microsoft .NET Framework 3.5 SP1
Microsoft Age of Empires II
Microsoft Age of Empires II: The Conquerors Expansion
Microsoft AppLocale
Microsoft Compression Client Pack 1.0 for Windows XP
Microsoft Games for Windows - LIVE 
Microsoft Games for Windows - LIVE Redistributable
Microsoft Internationalized Domain Names Mitigation APIs
Microsoft National Language Support Downlevel APIs
Microsoft Office Standard Edition 2003
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
Microsoft Windows Application Compatibility Database
Mozilla Firefox (3.0.7)
MSXML 4.0 SP2 (KB936181)
MSXML 4.0 SP2 (KB954430)
MSXML 6.0 Parser (KB933579)
MSXML4 Parser
Native Instruments Guitar Rig 3
Native.Instruments Battery v3.0.1.005 VSTi DXi RTAS
Need For Speed II SE
Neverwinter Nights 2
NVIDIA PhysX v8.04.25
OpenAL
Orbit Downloader
Photosmart 130,230,7150,7345,7350,7550 (nur entfernen)
PoiZone
PunkBuster Services
Razer Habu Config
Rockstar Games Social Club
Sicherheitsupdate für Windows Media Player (KB952069)
Sicherheitsupdate für Windows Media Player 11 (KB954154)
Sicherheitsupdate für Windows XP (KB923689)
Sicherheitsupdate für Windows XP (KB923789)
Sicherheitsupdate für Windows XP (KB938464)
Sicherheitsupdate für Windows XP (KB941569)
Sicherheitsupdate für Windows XP (KB946648)
Sicherheitsupdate für Windows XP (KB950762)
Sicherheitsupdate für Windows XP (KB950974)
Sicherheitsupdate für Windows XP (KB951066)
Sicherheitsupdate für Windows XP (KB951376-v2)
Sicherheitsupdate für Windows XP (KB951698)
Sicherheitsupdate für Windows XP (KB951748)
Sicherheitsupdate für Windows XP (KB952954)
Sicherheitsupdate für Windows XP (KB953838)
Sicherheitsupdate für Windows XP (KB953839)
Sicherheitsupdate für Windows XP (KB954211)
Sicherheitsupdate für Windows XP (KB954459)
Sicherheitsupdate für Windows XP (KB954600)
Sicherheitsupdate für Windows XP (KB955069)
Sicherheitsupdate für Windows XP (KB956390)
Sicherheitsupdate für Windows XP (KB956391)
Sicherheitsupdate für Windows XP (KB956802)
Sicherheitsupdate für Windows XP (KB956803)
Sicherheitsupdate für Windows XP (KB956841)
Sicherheitsupdate für Windows XP (KB957095)
Sicherheitsupdate für Windows XP (KB957097)
Sicherheitsupdate für Windows XP (KB958215)
Sicherheitsupdate für Windows XP (KB958644)
Sicherheitsupdate für Windows XP (KB960714)
Skype™ 3.8
Smarty Uninstaller 2008 Pro 2.1.0
Sound Blaster X-Fi
Spybot - Search & Destroy
Steam(TM)
Steinberg Cubase SX v3.1.1.944
Steinberg Virtual Guitarist
SyncroSoft Emu (Remove only)
Syncrosofts Lizenz Kontrolle
System Requirements Lab
TeamSpeak 2 RC2
TmUnitedForever
Trackmania United pack track
TuneUp Utilities 2008
Unlocker 1.8.7
Unreal Tournament 1999
Update für Windows XP (KB951072-v2)
Update für Windows XP (KB951978)
Update für Windows XP (KB955839)
VC80CRTRedist - 8.0.50727.762
VLC media player 0.9.4
Wakeboarding Unleashed
Windows Live Messenger
Windows Media Format 11 runtime
Windows Media Format 11 runtime
Windows Media Player 11
Windows Media Player 11
Windows Presentation Foundation
Windows Presentation Foundation Language Pack (DEU)
Windows XP Service Pack 3
WinHugs
WinRAR
XML Paper Specification Shared Components Language Pack 1.0
XviD MPEG-4 Codec
         

Ich hoffe es ist noch nicht alles zu spät

Hi,

Deine gesamte Internetverbindung wird über die Ukraine geroutet, daher nichts
mehr mit Passwörtern etc. Alle Passwörter von einem sauberen Rechner aus sofort
ändern, ggf. eBanking sperren lassen (eBay etc.).

Folgende Umleitungen müssen sofort rausgenommen werden:

Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
Beim fixen müssen alle Programme geschlossen sein!

Code: Alles auswählenAufklappen

ATTFilter

O17 - HKLM\System\CCS\Services\Tcpip\..\{09A9424F-6572-48CE-8C4E-97DBEFB7E531}: NameServer = 85.255.112.126,85.255.112.150
O17 - HKLM\System\CCS\Services\Tcpip\..\{1F06CF73-CF4D-48FC-A019-24D987B5A81D}: NameServer = 85.255.112.126,85.255.112.150
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.126,85.255.112.150
O17 - HKLM\System\CS1\Services\Tcpip\..\{09A9424F-6572-48CE-8C4E-97DBEFB7E531}: NameServer = 85.255.112.126,85.255.112.150
O17 - HKLM\System\CS7\Services\Tcpip\Parameters: NameServer = 85.255.112.122,85.255.112.154
O17 - HKLM\System\CS7\Services\Tcpip\..\{09A9424F-6572-48CE-8C4E-97DBEFB7E531}: NameServer = 85.255.112.122,85.255.112.154
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.126,85.255.112.150
         

Combofix:
Lade ComboFix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Wenn das nicht geht, bereits im Downloaddialog umbenennen z. B. auf Test.exe.

Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.
Weitere Anleitung unter:http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird
Hinweis: unter : C:\WINDOWS\erdnt
wird ein Backup angelegt.
Alternative downloads: http://subs.geekstogo.com/ComboFix.exe

Danach bitte MAM (Malwarebytes Antimalware (MAM))
Anleitung&Download hier: http://www.trojaner-board.de/51187-malwarebytes-anti-malware.html
Fullscan und alles bereinigen lassen! Log posten.
Alternativer Download: http://filepony.de/download-malwarebytes_anti_malware/, http://www.gt500.org/malwarebytes/mbam.jsp

RSIT:
Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile.
Lade Random's System Information Tool (RSIT) herunter http://filepony.de/download-rsit/
speichere es auf Deinem Desktop.
Starte mit Doppelklick die RSIT.exe.
Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren.
In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept".
Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen.
Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread.

Chris

okay bin dabei
kann ich wenn ich die schritte alle gemacht hab und gepostet hab und dann wieder alles gemacht hab etc... wenigstens alle dateien auf externen Festplatten speichern ? Würde dann sowieso mein Windoof mal neu machen wollen aber wär dumm wenn ich dann gleich wieder ukrainische Mitleser habe

*reinspring

Chris ist grad nicht da, wenn du die Logfiles gepostest hast und er immer noch nicht da sein sollte, schau ich mal drüber...

*rausspring

Hier also die Logs:

Ich musste 2 Post machen...

Combofix:

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 09-03-22.01 - Zockerkind 2009-03-23 22:49:38.1 - NTFSx86
ausgeführt von:: c:\downloads\combofix\ComboFix.exe
 * Resident AV is active


Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.
 ADS - WINDOWS: deleted 24 bytes in 1 streams. 

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Autorun.inf
c:\windows\AppPatch\Custom\{deb7008b-681e-4a4a-8aae-cc833e8216ce}.sdb
c:\windows\system32\drivers\gaopdxbbgvmqsipjptyapnodhlakxvnrjixmyq.sys
c:\windows\system32\drivers\gaopdxtaoykrxtlgiddtpawqjklydddwynbtiv.sys
c:\windows\system32\drivers\gaopdxxbkdkntakohbauolmxmpyuoiggcpyxki.sys
c:\windows\system32\drivers\gaopdxynmqfvkilmsriwwkyhhbvmpxjovtomht.sys
c:\windows\system32\gaopdxcounter
c:\windows\system32\gaopdxnaeconkytllqroysetmtcfjwjwglfdwj.dll
c:\windows\system32\pncrt.dll

.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_gaopdxserv.sys
-------\Legacy_XPROTECTOR


(((((((((((((((((((((((   Dateien erstellt von 2009-02-23 bis 2009-03-23  ))))))))))))))))))))))))))))))
.

2009-03-23 21:47 . 2009-03-23 21:47	<DIR>	d--------	c:\dokumente und einstellungen\Zockerkind\Anwendungsdaten\Malwarebytes
2009-03-22 22:18 . 2009-03-23 21:47	<DIR>	d--------	c:\programme\Malwarebytes' Anti-Malware
2009-03-22 22:18 . 2009-03-22 22:18	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-03-22 22:18 . 2009-02-11 10:19	38,496	--a------	c:\windows\system32\drivers\mbamswissarmy.sys
2009-03-22 22:18 . 2009-02-11 10:19	15,504	--a------	c:\windows\system32\drivers\mbam.sys
2009-03-22 21:01 . 2009-03-22 21:01	<DIR>	d--------	c:\programme\CCleaner
2009-03-22 19:40 . 2009-03-22 19:40	<DIR>	d--------	c:\programme\Spybot - Search & Destroy
2009-03-22 11:47 . 2009-03-22 11:47	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\DAEMON Tools Pro
2009-03-18 20:04 . 2009-03-22 03:01	189,496	--a------	c:\windows\system32\PnkBstrB.xtr
2009-03-11 22:01 . 2002-07-07 23:14	1,294,336	--a------	c:\windows\system32\vorbis.acm
2009-03-11 22:01 . 2006-06-20 09:56	225,280	--a------	c:\windows\system32\rewire.dll
2009-03-11 22:00 . 2009-03-11 22:00	<DIR>	d--------	c:\programme\Outsim
2009-03-11 21:51 . 2009-03-21 16:03	<DIR>	d--------	c:\programme\Image-Line
2009-03-10 17:56 . 2009-03-10 17:56	<DIR>	d--------	c:\dokumente und einstellungen\Zockerkind\Anwendungsdaten\Steinberg
2009-03-10 17:51 . 2005-06-04 09:08	487,936	--a------	c:\windows\system32\rmbe3260.dll
2009-03-10 17:51 . 2005-06-04 09:09	352,768	--a------	c:\windows\system32\pngu3263.dll
2009-03-10 17:51 . 2005-06-04 09:09	131,072	--a------	c:\windows\system32\pneng50.dll
2009-03-10 17:51 . 2005-06-04 09:09	130,560	--a------	c:\windows\system32\pnc3250.dll
2009-03-10 17:51 . 2005-06-04 09:08	87,040	--a------	c:\windows\system32\ra32sipr.dll
2009-03-10 17:51 . 2005-06-04 09:11	85,504	--a------	c:\windows\system32\encdnet.dll
2009-03-10 17:51 . 2005-06-04 09:09	81,920	--a------	c:\windows\system32\ra3214_4.dll
2009-03-10 17:51 . 2005-06-04 09:09	72,704	--a------	c:\windows\system32\ra3228_8.dll
2009-03-10 17:51 . 2005-06-04 09:09	61,952	--a------	c:\windows\system32\decdnet.dll
2009-03-10 17:51 . 2005-06-04 09:09	21,504	--a------	c:\windows\system32\ra32dnet.dll
2009-03-10 17:49 . 2009-03-10 17:49	<DIR>	d--------	c:\programme\Syncrosoft
2009-03-10 17:49 . 2005-10-17 09:35	704,512	--a------	c:\windows\system32\SYNSOACC.dll
2009-03-10 17:49 . 2004-05-10 15:58	147,456	--a------	c:\windows\system32\SynsoLChk.dll
2009-03-10 17:49 . 2003-07-31 20:28	147,425	--a------	c:\windows\system32\SYNSOACC-Aide.chm
2009-03-10 17:49 . 2003-05-26 15:29	120,468	--a------	c:\windows\system32\SYNSOACC-Hilfe.chm
2009-03-10 17:49 . 2003-05-26 15:29	114,279	--a------	c:\windows\system32\SYNSOACC-Help.chm
2009-03-10 17:49 . 2002-11-25 08:36	45,056	--a------	c:\windows\system32\Synsopos.exe
2009-03-10 17:49 . 2005-05-09 20:08	33,792	--a------	c:\windows\system32\drivers\cledx.sys
2009-03-10 17:49 . 2002-11-25 05:46	16,896	--a------	c:\windows\system32\drivers\synasUSB.sys
2009-03-10 17:22 . 2009-03-10 18:47	<DIR>	d--------	c:\programme\Steinberg
2009-03-10 16:52 . 2009-03-10 17:08	<DIR>	d--------	C:\CnC
2009-03-05 15:53 . 2006-10-04 14:13	393,216	--a------	c:\windows\system32\NI_IRC_1_2.dll
2009-03-05 15:52 . 2006-10-04 14:13	1,870,336	--a------	c:\windows\system32\bconvert.dll
2009-03-05 15:52 . 2006-10-04 14:13	61,440	--a------	c:\windows\system32\NI_DFD_1_5.dll
2009-03-05 15:12 . 2009-03-08 22:35	<DIR>	d--------	C:\JDownloader
2009-03-01 21:45 . 2009-03-01 21:57	<DIR>	d--------	c:\dokumente und einstellungen\Zockerkind\Anwendungsdaten\gtk-2.0
2009-03-01 21:45 . 2009-03-01 21:45	<DIR>	d--------	c:\dokumente und einstellungen\Zockerkind\.thumbnails
2009-03-01 21:44 . 2009-03-01 22:03	<DIR>	d--------	c:\dokumente und einstellungen\Zockerkind\.gimp-2.6
2009-03-01 21:44 . 2009-03-01 21:44	<DIR>	d--------	c:\dokumente und einstellungen\Zockerkind\.gegl-0.0
2009-03-01 21:43 . 2009-03-01 21:43	<DIR>	d--------	c:\programme\GIMP-2.0

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-23 21:55	---------	d-----w	c:\dokumente und einstellungen\Zockerkind\Anwendungsdaten\Skype
2009-03-23 21:38	---------	d-----w	c:\dokumente und einstellungen\Zockerkind\Anwendungsdaten\Hamachi
2009-03-23 20:45	---------	d-----w	c:\dokumente und einstellungen\Zockerkind\Anwendungsdaten\skypePM
2009-03-22 20:05	---------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-03-22 10:47	---------	d-----w	c:\programme\DAEMON Tools Pro
2009-03-22 10:47	---------	d-----w	c:\dokumente und einstellungen\Zockerkind\Anwendungsdaten\DAEMON Tools Pro
2009-03-22 02:01	---------	d-----w	c:\dokumente und einstellungen\Zockerkind\Anwendungsdaten\HLSW
2009-03-22 00:52	139,984	----a-w	c:\windows\system32\drivers\PnkBstrK.sys
2009-03-21 16:55	---------	d--h--w	c:\programme\InstallShield Installation Information
2009-03-21 15:04	---------	d---a-w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2009-03-20 19:00	---------	d-----w	c:\dokumente und einstellungen\Zockerkind\Anwendungsdaten\Audacity
2009-03-18 21:25	---------	d-----w	c:\programme\Gemeinsame Dateien\Adobe
2009-03-16 20:09	---------	d-----w	c:\dokumente und einstellungen\Zockerkind\Anwendungsdaten\Orbit
2009-03-11 21:55	---------	d-----w	c:\programme\Native Instruments
2009-03-05 14:52	---------	d-----w	c:\programme\Gemeinsame Dateien\Native Instruments
2009-02-19 20:25	---------	d-----w	c:\dokumente und einstellungen\Zockerkind\Anwendungsdaten\AVS4YOU
2009-02-18 20:04	---------	d-----w	c:\programme\Fantastic-Bits
2009-02-16 20:56	---------	d-----w	c:\programme\Sun
2009-02-16 20:55	---------	d-----w	c:\programme\Java
2009-02-16 17:33	---------	d-----w	c:\dokumente und einstellungen\Zockerkind\Anwendungsdaten\dvdcss
2009-02-15 18:15	---------	d-----w	c:\programme\XviD
2009-02-13 14:16	---------	d-----w	c:\programme\ESET
2009-02-13 14:16	---------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\ESET
2009-02-13 13:46	---------	d-----w	c:\programme\DivX
2009-02-13 13:34	---------	d-----w	c:\programme\AVS4YOU
2009-02-08 21:00	1,409	----a-w	c:\windows\Fonts\RPRSSCRP.FOT
2009-02-08 21:00	---------	d-----w	c:\dokumente und einstellungen\Zockerkind\Anwendungsdaten\Sibelius Software
2009-02-07 17:20	---------	d-----w	c:\programme\Messenger Plus! Live
2009-01-31 16:04	---------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\AVS4YOU
2009-01-31 16:03	---------	d-----w	c:\programme\Gemeinsame Dateien\AVSMedia
2009-01-31 15:20	18,816	----a-w	c:\windows\system32\drivers\dvd43llh.sys
2009-01-30 23:10	---------	d-----w	c:\programme\FLV Player
2008-11-16 19:48	22,328	----a-w	c:\dokumente und einstellungen\Zockerkind\Anwendungsdaten\PnkBstrK.sys
2008-02-01 13:17	32	----a-w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\ezsid.dat
.

------- Sigcheck -------

2007-10-30 17:53  360832  64798ecfa43d78c7178375fcdd16d8c8	c:\windows\$hf_mig$\KB941644\SP2QFE\tcpip.sys
2008-06-20 12:59  361600  ad978a1b783b5719720cff204b666c8e	c:\windows\$hf_mig$\KB951748\SP3QFE\tcpip.sys
2006-02-28 13:00  359040  9f4b36614a0fc234525ba224957de55c	c:\windows\$NtServicePackUninstall$\tcpip.sys
2008-04-13 23:50  361344  93ea8d04ec73a85db02eb8805988f733	c:\windows\$NtUninstallKB951748$\tcpip.sys
2008-12-22 02:39  361344  22a389083780c053b52519af28201a96	c:\windows\ServicePackFiles\i386\tcpip.sys
2008-12-22 02:39  361600  cd00787894008369f56153b91fc28847	c:\windows\system32\dllcache\tcpip.sys
2008-12-22 02:39  361600  cd00787894008369f56153b91fc28847	c:\windows\system32\drivers\tcpip.sys
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Skype"="c:\programme\Skype\Phone\Skype.exe" [2008-09-23 21755688]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"DAEMON Tools Pro Agent"="c:\programme\DAEMON Tools Pro\DTProAgent.exe" [2007-09-06 136136]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-01-26 2144088]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Habu"="c:\programme\Razer\Habu\razerhid.exe" [2007-05-11 176128]
"RCSystem"="c:\programme\Creative\Shared Files\Module Loader\DLLML.exe" [2005-06-16 49152]
"AudioDrvEmulator"="c:\programme\Creative\Shared Files\Module Loader\DLLML.exe" [2005-06-16 49152]
"VolPanel"="c:\programme\Creative\Volume Panel\VolPanlu.exe" [2008-08-06 233576]
"StartCCC"="c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-08-29 61440]
"egui"="c:\programme\ESET\ESET NOD32 Antivirus\egui.exe" [2008-07-01 1447168]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-02-16 148888]
"H2O"="c:\programme\SyncroSoft\Pos\H2O\cledx.exe" [2005-10-23 385024]
"CTHelper"="CTHELPER.EXE" [2005-08-07 c:\windows\CTHELPER.EXE]
"CTxfiHlp"="CTXFIHLP.EXE" [2008-08-27 c:\windows\system32\Ctxfihlp.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"tscuninstall"="c:\windows\system32\tscupgrd.exe" [2006-02-28 44544]
"CtxfiReg"="CTXFIREG.EXE" [2008-08-27 c:\windows\system32\CTxfiReg.exe]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.X264"= x264vfw.dll

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"Creative Detector"=c:\programme\Creative\MediaSource\Detector\CTDetect.exe /R
"Steam"="c:\spiele\Steam\Steam.exe" -silent
"MtdAcqu"="c:\programme\Creative\MediaSource5\MtdAcqu.exe" /s
"SpybotSD TeaTimer"=c:\programme\Spybot - Search & Destroy\TeaTimer.exe
"msnmsgr"="c:\programme\Windows Live\Messenger\msnmsgr.exe" /background

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"CTDVDDET"="c:\programme\Creative\Sound Blaster X-Fi\DVDAudio\CTDVDDET.EXE"
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
"HPDJ Taskbar Utility"=c:\windows\system32\spool\drivers\w32x86\3\hpztsb07.exe
"HPHmon04"=c:\windows\system32\hphmon04.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Programme\\Orbitdownloader\\orbitdm.exe"=
"c:\\Programme\\Orbitdownloader\\orbitnet.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Spiele\\Company of Heroes\\RelicCOH.exe"=
"c:\\Spiele\\Rockstar Games\\Rockstar Games Social Club\\RGSCLauncher.exe"=
"c:\\Spiele\\Rockstar Games\\Grand Theft Auto IV\\LaunchGTAIV.exe"=
"c:\\Spiele\\Rockstar Games\\Grand Theft Auto IV\\GTAIV.exe"=
"c:\\Programme\\HLSW\\hlsw.exe"=
"c:\\Spiele\\CSS\\Counter-Strike Source\\hl2.exe"=
"c:\\WINDOWS\\system32\\dplaysvr.exe"=
"c:\\Spiele\\Age of Empires II\\age2_x1\\age2_x1.exe"=
"c:\\Spiele\\TEEworld\\teeworlds_srv.exe"=
"c:\\Spiele\\TmUnitedForever\\TmForever.exe"=
"c:\\Spiele\\TM Nations\\TmNationsESWC.exe"=
"c:\\Spiele\\Empire Earth\\Empire Earth.exe"=
"c:\\Programme\\Java\\jre6\\launch4j-tmp\\JDownloader.exe"=
"c:\\Spiele\\Stronghold Crusader an Suchti-pc\\Stronghold Crusader.exe"=
"c:\\Spiele\\Die Siedler II - Die nächste Generation\\bin\\s2dng_addon.exe"=
"c:\\Spiele\\Anno 1701\\Anno1701.exe"=
"c:\\WINDOWS\\system32\\java.exe"=
"c:\\Programme\\Hamachi\\hamachi.exe"=
"c:\\Spiele\\Call of Duty - World at War\\CoDWaW.exe"=
"c:\\Spiele\\Call of Duty - World at War\\CoDWaWmp.exe"=
"c:\\Spiele\\Call of Duty - World at War\\CoDWaW_LANFixed.exe"=
"c:\\Spiele\\Command & Conquer 3 Kanes Rache\\RetailExe\\1.2\\cnc3ep1.dat"=
"c:\\Spiele\\Unreal Tournament 1999\\UnrealTournament 1999\\System\\UnrealTournament.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"8088:TCP"= 8088:TCP:kr
"8088:UDP"= 8088:UDP:ENABLE
"28088:TCP"= 28088:TCP:kr3
"28088:UDP"= 28088:UDP:ENABLE
"3587:TCP"= 3587:TCP:Windows Peer-zu-Peer-Gruppierung
"3540:UDP"= 3540:UDP:Peer Name Resolution-Protokoll (PNRP)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)
"AllowInboundTimestampRequest"= 1 (0x1)
"AllowInboundMaskRequest"= 1 (0x1)
"AllowInboundRouterRequest"= 1 (0x1)
"AllowOutboundDestinationUnreachable"= 1 (0x1)
"AllowOutboundSourceQuench"= 1 (0x1)
"AllowOutboundParameterProblem"= 1 (0x1)
"AllowOutboundTimeExceeded"= 1 (0x1)
"AllowRedirect"= 1 (0x1)
"AllowOutboundPacketTooBig"= 1 (0x1)

R1 epfwtdir;epfwtdir;c:\windows\system32\drivers\epfwtdir.sys [2008-07-01 34312]
R2 ekrn;Eset Service;c:\programme\ESET\ESET NOD32 Antivirus\ekrn.exe [2008-07-01 468224]
R3 CLEDX;Team H2O CLEDX service;c:\windows\system32\drivers\cledx.sys [2009-03-10 33792]
R3 CT20XUT.SYS;CT20XUT.SYS;c:\windows\system32\drivers\CT20XUT.sys [2008-08-27 171032]
R3 CTEXFIFX.SYS;CTEXFIFX.SYS;c:\windows\system32\drivers\CTEXFIFX.sys [2008-08-27 1324056]
R3 CTHWIUT.SYS;CTHWIUT.SYS;c:\windows\system32\drivers\CTHWIUT.sys [2008-08-27 72728]
R3 HabuFltr;Habu Mouse;c:\windows\system32\drivers\habu.sys [2008-01-31 27776]
S3 ALSysIO;ALSysIO;\??\c:\dokume~1\ZOCKER~1\LOKALE~1\Temp\ALSysIO.sys --> c:\dokume~1\ZOCKER~1\LOKALE~1\Temp\ALSysIO.sys [?]
S3 AtiHdmiService;ATI Function Driver for HDMI Service;c:\windows\system32\drivers\AtiHdmi.sys --> c:\windows\system32\drivers\AtiHdmi.sys [?]
S3 cpuz129;cpuz129;\??\c:\dokume~1\ZOCKER~1\LOKALE~1\Temp\cpuz_x32.sys --> c:\dokume~1\ZOCKER~1\LOKALE~1\Temp\cpuz_x32.sys [?]
S3 cpuz130;cpuz130;\??\c:\dokume~1\ZOCKER~1\LOKALE~1\Temp\cpuz130\cpuz_x32.sys --> c:\dokume~1\ZOCKER~1\LOKALE~1\Temp\cpuz130\cpuz_x32.sys [?]
S3 Creative Audio Engine Licensing Service;Creative Audio Engine Licensing Service;c:\programme\Gemeinsame Dateien\Creative Labs Shared\Service\CTAELicensing.exe [2008-09-15 79360]
S3 CT20XUT;CT20XUT;c:\windows\system32\drivers\CT20XUT.sys [2008-08-27 171032]
S3 CTEXFIFX;CTEXFIFX;c:\windows\system32\drivers\CTEXFIFX.sys [2008-08-27 1324056]
S3 CTHWIUT;CTHWIUT;c:\windows\system32\drivers\CTHWIUT.sys [2008-08-27 72728]
S3 EverestDriver;Lavalys EVEREST Kernel Driver;\??\c:\übertakten\Lavalys\EVEREST Home Edition\kerneld.wnt --> c:\übertakten\Lavalys\EVEREST Home Edition\kerneld.wnt [?]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
p2psvc	REG_MULTI_SZ   	p2psvc p2pimsvc p2pgasvc PNRPSvc

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a624808d-0e62-11de-af0e-0017318d2544}]
\shell\verb1\command - desktop.exe

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{Y479C6D0-OTRW-U5GH-S1EE-E0AC10B4E555}]
c:\downloads\AnyDVD HD v.6.4.6.9 FiNAL\Anydvd_Leftover_Killer15.exe -M
.
Inhalt des "geplante Tasks" Ordners

2009-03-20 c:\windows\Tasks\1-Click Maintenance.job
- c:\programme\TuneUp Utilities 2008\OneClick.exe [2008-01-08 13:31]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://de.europe.creative.com/support/downloads/su.asp
uInternet Connection Wizard,ShellNext = iexplore
IE: &Download by Orbit - c:\programme\Orbitdownloader\orbitmxt.dll/201
IE: &Grab video by Orbit - c:\programme\Orbitdownloader\orbitmxt.dll/204
IE: Do&wnload selected by Orbit - c:\programme\Orbitdownloader\orbitmxt.dll/203
IE: Down&load all by Orbit - c:\programme\Orbitdownloader\orbitmxt.dll/202
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\Zockerkind\Anwendungsdaten\Mozilla\Firefox\Profiles\2eu4l32a.default\
FF - prefs.js: browser.startup.homepage - hxxp://de.start2.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:de:official

---- FIREFOX Richtlinien ----
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: content.max.tokenizing.time - 200000
FF - user.js: content.notify.interval - 100000
FF - user.js: content.switch.threshold - 650000
FF - user.js: nglayout.initialpaint.delay - 300
FF - user.js: network.http.pipelining - true
FF - user.js: network.http.proxy.pipelining - true
FF - user.js: network.http.pipelining.maxrequests - 8
FF - user.js: browser.tabs.tabMinWidth - 100
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-23 22:55:15
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
  CTxfiHlp = CTXFIHLP.EXE? 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\EverestDriver]
"ImagePath"="\??\c:\übertakten\Lavalys\EVEREST Home Edition\kerneld.wnt"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1801674531-115176313-682003330-1004\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:75,38,3f,e5,fa,56,53,6d,f9,29,b8,c2,86,62,42,4e,0b,1a,6a,6c,f5,3d,87,
   a7,0a,f9,f6,ba,83,a1,e5,f4,c8,e5,e8,e9,29,a3,3f,52,47,83,44,77,f5,fe,ee,86,\
"??"=hex:df,2a,a6,89,91,54,a7,4c,32,f3,84,c6,d2,26,f3,a1

[HKEY_USERS\S-1-5-21-1801674531-115176313-682003330-1004\Software\SecuROM\License information*]
"datasecu"=hex:8e,f8,16,84,75,54,6e,be,99,a0,2a,20,e8,14,a6,84,ed,a2,28,21,a2,
   42,3a,9b,c1,37,fd,ae,bf,9e,60,e5,64,fb,17,b2,07,cc,72,78,15,57,c6,4e,40,fe,\
"rkeysecu"=hex:56,c6,0d,e0,20,27,f2,5f,5e,7a,0c,15,6c,01,a7,f3

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•6~*]
"7040211900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(888)
c:\windows\system32\Ati2evxx.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\windows\system32\ati2evxx.exe
c:\programme\Creative\Shared Files\CTAudSvc.exe
c:\programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
c:\programme\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
c:\programme\Razer\Habu\razertra.exe
c:\programme\Razer\Habu\razerofa.exe
c:\windows\system32\CTSVCCDA.EXE
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\windows\system32\PnkBstrA.exe
c:\windows\system32\PnkBstrB.exe
c:\programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-03-23 22:58:40 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2009-03-23 21:58:38

Vor Suchlauf: 21 Verzeichnis(se), 14,697,414,656 Bytes frei
Nach Suchlauf: 20 Verzeichnis(se), 14,683,189,248 Bytes frei

Current=1 Default=1 Failed=0 LastKnownGood=7 Sets=1,2,3,4,5,6,7
306	--- E O F ---	2008-12-18 15:36:33
         

2 Post folgt...

2 Post:

MBAM:

erstes Mal: (hab ich wegen Zeitmangel abgebrochen gehabt lief also nicht ganz durch...)

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1749
Windows 5.1.2600 Service Pack 3

23.03.2009 22:05:46
mbam-log-2009-03-23 (22-05-46).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 102555
Laufzeit: 17 minute(s), 59 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 7
Infizierte Registrierungswerte: 4
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{09c02180-3b46-4cd8-83ff-34daf442bdef} (Rogue.Foxie) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{432cae3b-690f-4c3b-bd97-070ebda210d5} (Rogue.Foxie) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{c65185b1-d52b-44a9-861f-8201b50d1f37} (Rogue.Foxie) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{306bbb66-d9e4-4481-833e-c1d5fca06774} (Rogue.Foxie) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{546e08aa-809f-4f1a-be1a-6b122ebfcd5a} (Rogue.Foxie) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{61039b22-563d-4922-b844-b076c318a66a} (Rogue.Foxie) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{e4143585-2688-4ebc-b264-27c774f600d5} (Rogue.Foxie) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Extensions\CmdMapping\{306bbb66-d9e4-4481-833e-c1d5fca06774} (Rogue.Foxie) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Extensions\CmdMapping\{546e08aa-809f-4f1a-be1a-6b122ebfcd5a} (Rogue.Foxie) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Extensions\CmdMapping\{61039b22-563d-4922-b844-b076c318a66a} (Rogue.Foxie) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Extensions\CmdMapping\{e4143585-2688-4ebc-b264-27c774f600d5} (Rogue.Foxie) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_CLASSES_ROOT\regfile\shell\open\command\ (Broken.OpenCommand) -> Bad: ("regedit.exe" "%1") Good: (regedit.exe "%1") -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Programme\Mozilla Firefox\plugins\alhlp.exe (Trojan.AntiLeechPlugin) -> Quarantined and deleted successfully.
C:\Programme\Mozilla Firefox\plugins\npalnn.dll (Trojan.AntiLeechPlugin) -> Quarantined and deleted successfully.
         

MBAM zweites Mal ganz durch:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1891
Windows 5.1.2600 Service Pack 3

24.03.2009 21:21:59
mbam-log-2009-03-24 (21-21-59).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 525787
Laufzeit: 1 hour(s), 46 minute(s), 32 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins\@anti-leech.com/anti-leech plugin,version=1.0.2.3 (Trojan.AntiLeechPlugin) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Downloads\MC.Honky.-.I.Am.the.Messiah.(2002).exe (Trojan.DNSChanger) -> Quarantined and deleted successfully.
         

Ich denke mal die infizierte Datei am Ende war der Auslöser , also war doch mal wieder der User das Problem


RSIT:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of random's system information tool 1.06 (written by random/random)
Run by Zockerkind at 2009-03-24 21:27:55
Microsoft Windows XP Home Edition Service Pack 3
System drive C: has 14 GB (7%) free of 194 GB
Total RAM: 1534 MB (70% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:28:03, on 24.03.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Creative\Shared Files\CTAudSvc.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Razer\Habu\razerhid.exe
C:\WINDOWS\CTHELPER.EXE
C:\WINDOWS\system32\CTXFIHLP.EXE
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Programme\ESET\ESET NOD32 Antivirus\egui.exe
C:\WINDOWS\SYSTEM32\CTXFISPI.EXE
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Razer\Habu\razerofa.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Dokumente und Einstellungen\Zockerkind\Desktop\RSIT.exe
C:\Programme\HijackThis\Zockerkind.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.europe.creative.com/support/downloads/su.asp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Programme\Orbitdownloader\orbitcth.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Grab Pro - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - C:\Programme\Orbitdownloader\GrabPro.dll
O4 - HKLM\..\Run: [Habu] C:\Programme\Razer\Habu\razerhid.exe
O4 - HKLM\..\Run: [RCSystem] "C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" RCSystem * -Startup
O4 - HKLM\..\Run: [AudioDrvEmulator] "C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" -1 AudioDrvEmulator "C:\Programme\Creative\Shared Files\Module Loader\Audio Emulator\AudDrvEm.dll"
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [VolPanel] "C:\Programme\Creative\Volume Panel\VolPanlu.exe" /r
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [egui] "C:\Programme\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [H2O] C:\Programme\SyncroSoft\Pos\H2O\cledx.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools Pro Agent] "C:\Programme\DAEMON Tools Pro\DTProAgent.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-18\..\RunOnce: [CtxfiReg] CTXFIREG.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [CtxfiReg] CTXFIREG.EXE (User 'Default user')
O8 - Extra context menu item: &Download by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/201
O8 - Extra context menu item: &Grab video by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/204
O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/203
O8 - Extra context menu item: Down&load all by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/202
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/su/ocx/15031/CTSUEng.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1201797572484
O16 - DPF: {6C269571-C6D7-4818-BCA4-32A035E8C884} (Creative Software AutoUpdate) - http://www.creative.com/softwareupdate/su/ocx/15101/CTSUEng.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1228514076640
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/softwareupdate/su/ocx/15106/CTPID.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Creative Audio Engine Licensing Service - Creative Labs - C:\Programme\Gemeinsame Dateien\Creative Labs Shared\Service\CTAELicensing.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: Creative Audio Service (CTAudSvcService) - Creative Technology Ltd - C:\Programme\Creative\Shared Files\CTAudSvc.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Programme\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Pml Driver HPH11 - HP - C:\WINDOWS\system32\HPHipm11.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
         

Okay es werden wohl doch 3 Posts...
Ich unterbreche mal das Log hier nach dem HJT Log-Teil.

Okay dann hier der 3 Teil

Code: Alles auswählenAufklappen

ATTFilter

======Scheduled tasks folder======

C:\WINDOWS\tasks\1-Click Maintenance.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{000123B4-9B42-4900-B3F7-F4B073EFC214}]
Octh Class - C:\Programme\Orbitdownloader\orbitcth.dll [2008-11-24 134344]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
Adobe PDF Link Helper - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2009-02-27 75128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F}]
Spybot-S&D IE Protection - C:\Programme\Spybot - Search & Destroy\SDHelper.dll [2009-01-26 1879896]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper - C:\Programme\Java\jre6\bin\jp2ssv.dll [2009-02-16 35840]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]
JQSIEStartDetectorImpl Class - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [2009-02-16 73728]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{C55BBCD6-41AD-48AD-9953-3609C48EACC7} - Grab Pro - C:\Programme\Orbitdownloader\GrabPro.dll [2008-11-24 445560]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Habu"=C:\Programme\Razer\Habu\razerhid.exe [2007-05-11 176128]
"RCSystem"=C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe [2005-06-16 49152]
"AudioDrvEmulator"=C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe [2005-06-16 49152]
"CTHelper"=C:\WINDOWS\CTHELPER.EXE [2005-08-07 16384]
"VolPanel"=C:\Programme\Creative\Volume Panel\VolPanlu.exe [2008-08-06 233576]
"CTxfiHlp"=C:\WINDOWS\system32\CTXFIHLP.EXE [2008-08-27 23552]
"StartCCC"=C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe [2008-08-29 61440]
"egui"=C:\Programme\ESET\ESET NOD32 Antivirus\egui.exe [2008-07-01 1447168]
"SunJavaUpdateSched"=C:\Programme\Java\jre6\bin\jusched.exe [2009-02-16 148888]
"H2O"=C:\Programme\SyncroSoft\Pos\H2O\cledx.exe [2005-10-23 385024]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Skype"=C:\Programme\Skype\Phone\Skype.exe [2008-09-23 21755688]
"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360]
"DAEMON Tools Pro Agent"=C:\Programme\DAEMON Tools Pro\DTProAgent.exe [2007-09-06 136136]
"SpybotSD TeaTimer"=C:\Programme\Spybot - Search & Destroy\TeaTimer.exe [2009-01-26 2144088]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent]
C:\WINDOWS\system32\Ati2evxx.dll [2008-12-01 143360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632]
UPnPMonitor - {e57ce738-33e8-4c51-8354-bb4de9d215d1} - C:\WINDOWS\system32\upnpui.dll [2008-04-14 239616]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"=msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, credssp.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PSEXESVC]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\nm]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\nm.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\PSEXESVC]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=1
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=323
"NoDriveAutoRun"=67108863
"NoDrives"=0

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveAutoRun"=
"NoDriveTypeAutoRun"=
"NoDrives"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\Programme\Orbitdownloader\orbitdm.exe"="C:\Programme\Orbitdownloader\orbitdm.exe:*:Enabled:Orbit"
"C:\Programme\Orbitdownloader\orbitnet.exe"="C:\Programme\Orbitdownloader\orbitnet.exe:*:Enabled:Orbit"
"C:\Programme\Windows Live\Messenger\msnmsgr.exe"="C:\Programme\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\Spiele\Company of Heroes\RelicCOH.exe"="C:\Spiele\Company of Heroes\RelicCOH.exe:*:Enabled:RelicCOH"
"C:\Spiele\Rockstar Games\Rockstar Games Social Club\RGSCLauncher.exe"="C:\Spiele\Rockstar Games\Rockstar Games Social Club\RGSCLauncher.exe:*:Enabled:Rockstar Games Social Club"
"C:\Spiele\Rockstar Games\Grand Theft Auto IV\LaunchGTAIV.exe"="C:\Spiele\Rockstar Games\Grand Theft Auto IV\LaunchGTAIV.exe:*:Enabled:Grand Theft Auto IV"
"C:\Spiele\Rockstar Games\Grand Theft Auto IV\GTAIV.exe"="C:\Spiele\Rockstar Games\Grand Theft Auto IV\GTAIV.exe:*:Enabled:Grand Theft Auto IV"
"C:\Programme\HLSW\hlsw.exe"="C:\Programme\HLSW\hlsw.exe:*:Enabled:HLSW Application"
"C:\Spiele\CSS\Counter-Strike Source\hl2.exe"="C:\Spiele\CSS\Counter-Strike Source\hl2.exe:*:Enabled:hl2"
"C:\WINDOWS\system32\dplaysvr.exe"="C:\WINDOWS\system32\dplaysvr.exe:*:Enabled:Microsoft DirectPlay Helper"
"C:\Spiele\Age of Empires II\age2_x1\age2_x1.exe"="C:\Spiele\Age of Empires II\age2_x1\age2_x1.exe:*:Enabled:Age of Empires II Expansion"
"C:\Spiele\TEEworld\teeworlds_srv.exe"="C:\Spiele\TEEworld\teeworlds_srv.exe:*:Enabled:teeworlds_srv"
"C:\Spiele\TmUnitedForever\TmForever.exe"="C:\Spiele\TmUnitedForever\TmForever.exe:*:Enabled:TmForever"
"C:\Spiele\TM Nations\TmNationsESWC.exe"="C:\Spiele\TM Nations\TmNationsESWC.exe:*:Enabled:TmNationsESWC"
"C:\Spiele\Empire Earth\Empire Earth.exe"="C:\Spiele\Empire Earth\Empire Earth.exe:*:Enabled:Empire Earth"
"C:\Programme\Java\jre6\launch4j-tmp\JDownloader.exe"="C:\Programme\Java\jre6\launch4j-tmp\JDownloader.exe:*:Enabled:Java(TM) Platform SE binary"
"C:\Spiele\Stronghold Crusader an Suchti-pc\Stronghold Crusader.exe"="C:\Spiele\Stronghold Crusader an Suchti-pc\Stronghold Crusader.exe:*:Enabled:Stronghold Crusader"
"C:\Spiele\Die Siedler II - Die nächste Generation\bin\s2dng_addon.exe"="C:\Spiele\Die Siedler II - Die nächste Generation\bin\s2dng_addon.exe:*:Enabled:s2dng_addon"
"C:\Spiele\Anno 1701\Anno1701.exe"="C:\Spiele\Anno 1701\Anno1701.exe:*:Enabled:Anno 1701"
"C:\WINDOWS\system32\java.exe"="C:\WINDOWS\system32\java.exe:*:Enabled:Java(TM) Platform SE binary"
"C:\Programme\Hamachi\hamachi.exe"="C:\Programme\Hamachi\hamachi.exe:*:Enabled:Hamachi Client"
"C:\Spiele\Call of Duty - World at War\CoDWaW.exe"="C:\Spiele\Call of Duty - World at War\CoDWaW.exe:*:Enabled:Call of Duty(R) - World at War(TM) "
"C:\Spiele\Call of Duty - World at War\CoDWaWmp.exe"="C:\Spiele\Call of Duty - World at War\CoDWaWmp.exe:*:Enabled:Call of Duty(R) - World at War(TM) "
"C:\Spiele\Call of Duty - World at War\CoDWaW_LANFixed.exe"="C:\Spiele\Call of Duty - World at War\CoDWaW_LANFixed.exe:*:Enabled:Call of Duty(R): World at War Campaign/Coop"
"C:\Spiele\Command & Conquer 3 Kanes Rache\RetailExe\1.2\cnc3ep1.dat"="C:\Spiele\Command & Conquer 3 Kanes Rache\RetailExe\1.2\cnc3ep1.dat:*:Enabled:Command & Conquer(tm) 3: Kanes Rache"
"C:\Spiele\Unreal Tournament 1999\UnrealTournament 1999\System\UnrealTournament.exe"="C:\Spiele\Unreal Tournament 1999\UnrealTournament 1999\System\UnrealTournament.exe:*:Enabled:UnrealTournament"
"C:\Programme\Skype\Phone\Skype.exe"="C:\Programme\Skype\Phone\Skype.exe:*:Enabled:Skype"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Programme\Windows Live\Messenger\msnmsgr.exe"="C:\Programme\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\Programme\Windows Live\Messenger\livecall.exe"="C:\Programme\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a624808d-0e62-11de-af0e-0017318d2544}]
shell\verb1\command - desktop.exe
         

Sind zwar leider nur 700 Zeichen zu viel aber da lässt sich bei Logs wohl wenig machen also dann nochmal hier ne Unterbrechung

Code: Alles auswählenAufklappen

ATTFilter

======List of files/folders created in the last 1 months======

2009-03-24 21:27:55 ----D---- C:\rsit
2009-03-24 16:12:49 ----D---- C:\Avenger
2009-03-23 22:58:41 ----A---- C:\ComboFix.txt
2009-03-23 22:42:15 ----A---- C:\WINDOWS\zip.exe
2009-03-23 22:42:15 ----A---- C:\WINDOWS\VFIND.exe
2009-03-23 22:42:15 ----A---- C:\WINDOWS\SWXCACLS.exe
2009-03-23 22:42:15 ----A---- C:\WINDOWS\SWSC.exe
2009-03-23 22:42:15 ----A---- C:\WINDOWS\SWREG.exe
2009-03-23 22:42:15 ----A---- C:\WINDOWS\sed.exe
2009-03-23 22:42:15 ----A---- C:\WINDOWS\NIRCMD.exe
2009-03-23 22:42:15 ----A---- C:\WINDOWS\grep.exe
2009-03-23 22:42:15 ----A---- C:\WINDOWS\fdsv.exe
2009-03-23 22:39:33 ----D---- C:\WINDOWS\ERDNT
2009-03-23 22:39:31 ----D---- C:\Qoobox
2009-03-23 21:47:16 ----D---- C:\Dokumente und Einstellungen\Zockerkind\Anwendungsdaten\Malwarebytes
2009-03-22 22:37:25 ----D---- C:\Programme\HijackThis
2009-03-22 22:18:51 ----D---- C:\Programme\Malwarebytes' Anti-Malware
2009-03-22 22:18:51 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-03-22 21:45:51 ----A---- C:\avenger.txt
2009-03-22 21:01:16 ----D---- C:\Programme\CCleaner
2009-03-22 19:40:47 ----D---- C:\Programme\Spybot - Search & Destroy
2009-03-22 11:47:07 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DAEMON Tools Pro
2009-03-18 22:24:58 ----D---- C:\Programme\Adobe
2009-03-11 22:01:34 ----A---- C:\WINDOWS\system32\rewire.dll
2009-03-11 22:00:26 ----D---- C:\Programme\Outsim
2009-03-11 21:51:53 ----D---- C:\Programme\Image-Line
2009-03-10 17:56:49 ----D---- C:\Dokumente und Einstellungen\Zockerkind\Anwendungsdaten\Steinberg
2009-03-10 17:51:47 ----A---- C:\WINDOWS\system32\rmbe3260.dll
2009-03-10 17:51:47 ----A---- C:\WINDOWS\system32\ra32sipr.dll
2009-03-10 17:51:47 ----A---- C:\WINDOWS\system32\ra32dnet.dll
2009-03-10 17:51:47 ----A---- C:\WINDOWS\system32\ra3228_8.dll
2009-03-10 17:51:46 ----A---- C:\WINDOWS\system32\ra3214_4.dll
2009-03-10 17:51:45 ----A---- C:\WINDOWS\system32\pngu3263.dll
2009-03-10 17:51:45 ----A---- C:\WINDOWS\system32\pneng50.dll
2009-03-10 17:51:45 ----A---- C:\WINDOWS\system32\pnc3250.dll
2009-03-10 17:51:45 ----A---- C:\WINDOWS\system32\encdnet.dll
2009-03-10 17:51:45 ----A---- C:\WINDOWS\system32\decdnet.dll
2009-03-10 17:49:36 ----A---- C:\WINDOWS\system32\Synsopos.exe
2009-03-10 17:49:35 ----D---- C:\Programme\Syncrosoft
2009-03-10 17:49:35 ----A---- C:\WINDOWS\system32\SynsoLChk.dll
2009-03-10 17:49:35 ----A---- C:\WINDOWS\system32\SYNSOACC.dll
2009-03-10 17:22:03 ----D---- C:\Programme\Steinberg
2009-03-10 16:52:13 ----D---- C:\CnC
2009-03-05 15:53:08 ----A---- C:\WINDOWS\system32\NI_IRC_1_2.dll
2009-03-05 15:52:29 ----A---- C:\WINDOWS\system32\NI_DFD_1_5.dll
2009-03-05 15:52:29 ----A---- C:\WINDOWS\system32\bconvert.dll
2009-03-05 15:12:52 ----D---- C:\JDownloader
2009-03-01 21:45:42 ----D---- C:\Dokumente und Einstellungen\Zockerkind\Anwendungsdaten\gtk-2.0
2009-03-01 21:43:54 ----D---- C:\Programme\GIMP-2.0

======List of files/folders modified in the last 1 months======

2009-03-24 21:27:05 ----D---- C:\Downloads
2009-03-24 21:26:10 ----D---- C:\Programme\Mozilla Firefox
2009-03-24 21:25:24 ----D---- C:\WINDOWS\Prefetch
2009-03-24 21:25:23 ----D---- C:\Dokumente und Einstellungen\Zockerkind\Anwendungsdaten\Skype
2009-03-24 21:25:21 ----D---- C:\Dokumente und Einstellungen\Zockerkind\Anwendungsdaten\skypePM
2009-03-24 21:24:02 ----AD---- C:\WINDOWS
2009-03-24 21:22:57 ----RD---- C:\Programme
2009-03-24 21:22:57 ----D---- C:\WINDOWS\system32\drivers
2009-03-24 21:22:17 ----A---- C:\WINDOWS\SchedLgU.Txt
2009-03-24 21:14:01 ----D---- C:\WINDOWS\Temp
2009-03-24 16:22:21 ----HD---- C:\WINDOWS\inf
2009-03-24 16:18:27 ----HD---- C:\WINDOWS\$hf_mig$
2009-03-24 16:18:07 ----D---- C:\WINDOWS\system32\CatRoot2
2009-03-23 22:58:46 ----D---- C:\WINDOWS\system32
2009-03-23 22:55:21 ----A---- C:\WINDOWS\system.ini
2009-03-23 22:52:21 ----D---- C:\WINDOWS\system32\config
2009-03-23 22:50:59 ----D---- C:\WINDOWS\AppPatch
2009-03-23 22:50:53 ----D---- C:\Programme\Gemeinsame Dateien
2009-03-23 22:38:39 ----D---- C:\Dokumente und Einstellungen\Zockerkind\Anwendungsdaten\Hamachi
2009-03-22 21:05:20 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-03-22 21:05:15 ----D---- C:\WINDOWS\Debug
2009-03-22 11:47:40 ----D---- C:\Programme\DAEMON Tools Pro
2009-03-22 11:47:06 ----D---- C:\Dokumente und Einstellungen\Zockerkind\Anwendungsdaten\DAEMON Tools Pro
2009-03-22 03:01:49 ----D---- C:\Dokumente und Einstellungen\Zockerkind\Anwendungsdaten\HLSW
2009-03-22 03:01:39 ----A---- C:\WINDOWS\system32\PnkBstrB.exe
2009-03-21 18:04:44 ----D---- C:\Spiele
2009-03-21 17:55:18 ----HD---- C:\Programme\InstallShield Installation Information
2009-03-21 17:53:39 ----SHD---- C:\WINDOWS\Installer
2009-03-21 17:53:39 ----SHD---- C:\Config.Msi
2009-03-21 16:04:03 ----AD---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2009-03-21 15:34:24 ----D---- C:\Schule und sonstiges
2009-03-21 15:31:34 ----D---- C:\Filme
2009-03-20 20:00:28 ----D---- C:\Dokumente und Einstellungen\Zockerkind\Anwendungsdaten\Audacity
2009-03-18 22:25:06 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adobe
2009-03-18 22:25:03 ----D---- C:\Programme\Gemeinsame Dateien\Adobe
2009-03-18 19:45:15 ----A---- C:\WINDOWS\system32\PnkBstrA.exe
2009-03-16 21:09:02 ----D---- C:\Dokumente und Einstellungen\Zockerkind\Anwendungsdaten\Orbit
2009-03-11 22:55:24 ----D---- C:\Programme\Native Instruments
2009-03-10 21:11:47 ----D---- C:\Tabs
2009-03-10 17:51:45 ----RSD---- C:\WINDOWS\Fonts
2009-03-10 17:49:16 ----A---- C:\DTSHDSpOut.txt
2009-03-10 17:09:01 ----D---- C:\WINDOWS\system32\Restore
2009-03-05 15:52:59 ----D---- C:\Program Files
2009-03-05 15:52:28 ----D---- C:\Programme\Gemeinsame Dateien\Native Instruments

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 easdrv;easdrv; C:\WINDOWS\system32\DRIVERS\easdrv.sys [2008-07-01 53256]
R1 ElbyCDIO;ElbyCDIO Driver; C:\WINDOWS\System32\Drivers\ElbyCDIO.sys [2008-07-21 24392]
R1 epfwtdir;epfwtdir; C:\WINDOWS\system32\DRIVERS\epfwtdir.sys [2008-07-01 34312]
R1 intelppm;Intel-Prozessortreiber; C:\WINDOWS\system32\DRIVERS\intelppm.sys [2008-04-14 40448]
R1 kbdhid;Tastatur-HID-Treiber; C:\WINDOWS\system32\DRIVERS\kbdhid.sys [2008-04-14 14720]
R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2008-04-17 21248]
R1 Tcpip6;Microsoft IPv6-Protokolltreiber; C:\WINDOWS\system32\DRIVERS\tcpip6.sys [2008-06-20 225856]
R2 atksgt;atksgt; C:\WINDOWS\system32\DRIVERS\atksgt.sys [2008-10-16 271360]
R2 eamon;EAMON; C:\WINDOWS\system32\DRIVERS\eamon.sys [2008-07-01 39944]
R2 lirsgt;lirsgt; C:\WINDOWS\system32\DRIVERS\lirsgt.sys [2008-10-16 18048]
R2 NwlnkIpx;NWLink IPX/SPX/NetBIOS-kompatibles Transportprotokoll; C:\WINDOWS\system32\DRIVERS\nwlnkipx.sys [2008-04-13 88320]
R2 NwlnkNb;NWLink-NetBIOS; C:\WINDOWS\system32\DRIVERS\nwlnknb.sys [2006-02-28 63232]
R2 NwlnkSpx;NWLink SPX/SPXII-Protokoll; C:\WINDOWS\system32\DRIVERS\nwlnkspx.sys [2006-02-28 55936]
R3 ati2mtag;ati2mtag; C:\WINDOWS\system32\DRIVERS\ati2mtag.sys [2008-12-01 3452928]
R3 CLEDX;Team H2O CLEDX service; C:\WINDOWS\system32\DRIVERS\cledx.sys [2005-05-09 33792]
R3 CT20XUT.SYS;CT20XUT.SYS; C:\WINDOWS\System32\drivers\CT20XUT.SYS [2008-08-27 171032]
R3 ctac32k;Creative AC3 Software Decoder; C:\WINDOWS\system32\drivers\ctac32k.sys [2008-08-27 511000]
R3 ctaud2k;Creative Audio Driver (WDM); C:\WINDOWS\system32\drivers\ctaud2k.sys [2008-08-27 525848]
R3 CTEXFIFX.SYS;CTEXFIFX.SYS; C:\WINDOWS\System32\drivers\CTEXFIFX.SYS [2008-08-27 1324056]
R3 CTHWIUT.SYS;CTHWIUT.SYS; C:\WINDOWS\System32\drivers\CTHWIUT.SYS [2008-08-27 72728]
R3 ctprxy2k;Creative Proxy Driver; C:\WINDOWS\system32\drivers\ctprxy2k.sys [2008-08-27 14360]
R3 ctsfm2k;Creative SoundFont Management Device Driver; C:\WINDOWS\system32\drivers\ctsfm2k.sys [2008-08-27 158744]
R3 dvd43llh;dvd43llh; C:\WINDOWS\System32\DRIVERS\dvd43llh.sys [2009-01-31 18816]
R3 emupia;E-mu Plug-in Architecture Driver; C:\WINDOWS\system32\drivers\emupia2k.sys [2008-08-27 95768]
R3 FETNDISB;VIA Rhine Family Fast Ethernet Adapter Driver Service; C:\WINDOWS\system32\DRIVERS\fetnd5b.sys [2003-11-11 41984]
R3 ha20x2k;Creative 20X HAL Driver; C:\WINDOWS\system32\drivers\ha20x2k.sys [2008-08-27 1177624]
R3 HabuFltr;Habu Mouse; C:\WINDOWS\system32\drivers\habu.sys [2006-10-23 27776]
R3 hamachi;Hamachi Network Interface; C:\WINDOWS\system32\DRIVERS\hamachi.sys [2008-10-15 25280]
R3 HDAudBus;Microsoft UAA-Bustreiber für High Definition Audio; C:\WINDOWS\system32\DRIVERS\HDAudBus.sys [2008-04-13 144384]
R3 hidusb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\drivers\hidusb.sys [2008-04-13 10368]
R3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2006-02-28 12288]
R3 ossrv;Creative OS Services Driver; C:\WINDOWS\system32\drivers\ctoss2k.sys [2008-08-27 130072]
R3 tunmp;Microsoft Tun-Miniportadaptertreiber; C:\WINDOWS\system32\DRIVERS\tunmp.sys [2008-04-13 12288]
R3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2008-04-13 32128]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2008-04-13 30208]
R3 usbhub;Microsoft USB-Standardhubtreiber; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2008-04-13 59520]
R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2008-04-13 20608]
S1 ATITool;ATITool Overclocking Utility; C:\WINDOWS\system32\DRIVERS\ATITool.sys []
S3 ALSysIO;ALSysIO; \??\C:\DOKUME~1\ZOCKER~1\LOKALE~1\Temp\ALSysIO.sys []
S3 an1y2ryg;an1y2ryg; C:\WINDOWS\system32\drivers\an1y2ryg.sys []
S3 AnyDVD;AnyDVD; C:\WINDOWS\System32\Drivers\AnyDVD.sys [2008-09-20 99648]
S3 aowpuxa2;aowpuxa2; C:\WINDOWS\system32\drivers\aowpuxa2.sys []
S3 AtiHdmiService;ATI Function Driver for HDMI Service; C:\WINDOWS\system32\drivers\AtiHdmi.sys []
S3 COMMONFX.DLL;COMMONFX.DLL; C:\WINDOWS\system32\COMMONFX.DLL []
S3 cpuz129;cpuz129; \??\C:\DOKUME~1\ZOCKER~1\LOKALE~1\Temp\cpuz_x32.sys []
S3 cpuz130;cpuz130; \??\C:\DOKUME~1\ZOCKER~1\LOKALE~1\Temp\cpuz130\cpuz_x32.sys []
S3 CT20XUT.DLL;CT20XUT.DLL; C:\WINDOWS\system32\CT20XUT.DLL []
S3 CT20XUT;CT20XUT; C:\WINDOWS\system32\drivers\CT20XUT.SYS [2008-08-27 171032]
S3 CTAUDFX.DLL;CTAUDFX.DLL; C:\WINDOWS\system32\CTAUDFX.DLL []
S3 ctdvda2k;Creative DVD-Audio Device Driver; C:\WINDOWS\system32\drivers\ctdvda2k.sys [2008-08-27 347080]
S3 CTEAPSFX.DLL;CTEAPSFX.DLL; C:\WINDOWS\system32\CTEAPSFX.DLL []
S3 CTEDSPFX.DLL;CTEDSPFX.DLL; C:\WINDOWS\system32\CTEDSPFX.DLL []
S3 CTEDSPIO.DLL;CTEDSPIO.DLL; C:\WINDOWS\system32\CTEDSPIO.DLL []
S3 CTEDSPSY.DLL;CTEDSPSY.DLL; C:\WINDOWS\system32\CTEDSPSY.DLL []
S3 CTERFXFX.DLL;CTERFXFX.DLL; C:\WINDOWS\system32\CTERFXFX.DLL []
S3 CTEXFIFX.DLL;CTEXFIFX.DLL; C:\WINDOWS\system32\CTEXFIFX.DLL []
S3 CTEXFIFX;CTEXFIFX; C:\WINDOWS\system32\drivers\CTEXFIFX.SYS [2008-08-27 1324056]
S3 CTHWIUT.DLL;CTHWIUT.DLL; C:\WINDOWS\system32\CTHWIUT.DLL []
S3 CTHWIUT;CTHWIUT; C:\WINDOWS\system32\drivers\CTHWIUT.SYS [2008-08-27 72728]
S3 CTSBLFX.DLL;CTSBLFX.DLL; C:\WINDOWS\system32\CTSBLFX.DLL []
S3 Dot4 HPH11;Dot4 HPH11; C:\WINDOWS\system32\DRIVERS\hphid411.sys [2002-11-22 50896]
S3 dot4;MS IEEE-1284.4-Treiber; C:\WINDOWS\system32\DRIVERS\Dot4.sys [2008-04-13 206976]
S3 Dot4Print HPH11;Print Class Driver for IEEE-1284.4 HPH11; C:\WINDOWS\system32\DRIVERS\hphipr11.sys [2002-11-22 16112]
S3 Dot4Print;Druckerklassentreiber für IEEE-1284.4; C:\WINDOWS\system32\DRIVERS\Dot4Prt.sys [2001-08-17 12928]
S3 Dot4Storage HPH11;Storage Class Driver for IEEE-1284.4 (HPH11); C:\WINDOWS\System32\Drivers\hphs2k11.sys [2002-11-22 50276]
S3 Dot4Usb HPH11;Dot4Usb HPH11; C:\WINDOWS\System32\drivers\hphius11.sys [2002-11-22 18928]
S3 dot4usb;Dot4USB-Filter Dot4USB Filter; C:\WINDOWS\system32\DRIVERS\dot4usb.sys [2001-08-18 23936]
S3 ENTECH;ENTECH; \??\C:\WINDOWS\system32\DRIVERS\ENTECH.sys []
S3 EverestDriver;Lavalys EVEREST Kernel Driver; \??\C:\Übertakten\Lavalys\EVEREST Home Edition\kerneld.wnt []
S3 FETNDIS;VIA PCI 10/100-MBit/s-Fast Ethernetadapter-NT-Treiber; C:\WINDOWS\system32\DRIVERS\fetnd5.sys []
S3 nm;Netzwerkmonitortreiber; C:\WINDOWS\system32\DRIVERS\NMnt.sys [2008-04-13 40320]
S3 NTSIM;NTSIM; \??\C:\WINDOWS\system32\ntsim.sys []
S3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368]
S3 WpdUsb;WpdUsb; C:\WINDOWS\System32\Drivers\wpdusb.sys [2006-10-18 38528]
S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-28 82944]
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 6to4;IPv6-Hilfsdienst; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]
R2 Ati HotKey Poller;Ati HotKey Poller; C:\WINDOWS\system32\Ati2evxx.exe [2008-12-01 598016]
R2 Creative Service for CDROM Access;Creative Service for CDROM Access; C:\WINDOWS\system32\CTsvcCDA.EXE [1999-12-13 44032]
R2 CTAudSvcService;Creative Audio Service; C:\Programme\Creative\Shared Files\CTAudSvc.exe [2008-04-30 425984]
R2 ekrn;Eset Service; C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe [2008-07-01 468224]
R2 JavaQuickStarterService;Java Quick Starter; C:\Programme\Java\jre6\bin\jqs.exe [2009-02-16 152984]
R2 MDM;Machine Debug Manager; C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE [2003-06-19 322120]
R2 PnkBstrA;PnkBstrA; C:\WINDOWS\system32\PnkBstrA.exe [2009-03-18 75064]
R2 PnkBstrB;PnkBstrB; C:\WINDOWS\system32\PnkBstrB.exe [2009-03-22 189496]
R2 StarWindServiceAE;StarWind AE Service; C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe [2007-05-28 275968]
R2 UxTuneUp;TuneUp Designerweiterung; C:\WINDOWS\System32\svchost.exe [2008-04-14 14336]
R2 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]
S2 ATI Smart;ATI Smart; C:\WINDOWS\system32\ati2sgag.exe [2008-12-01 593920]
S3 aspnet_state;ASP.NET-Zustandsdienst; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2008-07-25 34312]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2008-07-25 69632]
S3 Creative Audio Engine Licensing Service;Creative Audio Engine Licensing Service; C:\Programme\Gemeinsame Dateien\Creative Labs Shared\Service\CTAELicensing.exe [2008-09-15 79360]
S3 EhttpSrv;Eset HTTP Server; C:\Programme\ESET\ESET NOD32 Antivirus\EHttpSrv.exe [2008-07-01 19200]
S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [2008-07-29 46104]
S3 IDriverT;InstallDriver Table Manager; C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe [2005-04-03 69632]
S3 idsvc;Windows CardSpace; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2008-07-29 881664]
S3 ose;Office Source Engine; C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE [2003-07-28 89136]
S3 p2pgasvc;Peernetzwerk-Gruppenauthentifizierung; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]
S3 p2pimsvc;Peernetzwerkidentitäts-Manager; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]
S3 p2psvc;Peernetzwerk; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]
S3 Pml Driver HPH11;Pml Driver HPH11; C:\WINDOWS\system32\HPHipm11.exe [2002-11-22 77824]
S3 PNRPSvc;Peer Name Resolution-Protokoll; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst; C:\WINDOWS\System32\TuneUpDefragService.exe [2008-11-23 306432]
S3 usnjsvc;Messenger USN Journal Reader-Service für freigegebene Ordner; C:\Programme\Windows Live\Messenger\usnsvc.exe [2007-10-18 98328]
S3 WMPNetworkSvc;Windows Media Player-Netzwerkfreigabedienst; C:\Programme\Windows Media Player\WMPNetwk.exe [2006-11-03 920576]
S4 NetTcpPortSharing;Net.Tcp-Portfreigabedienst; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2008-07-29 132096]

-----------------EOF-----------------
         

Ein großes DANKESCHÖN bis hierhin.
Scheint erstmal wieder alles I.O. zu sein.
Aber das könnt ihr vllt besser beurteilen

Ist Eset Nod32 als Antivirenprogramm zu empfehlen?
Und Ist MBAM besser als S&D weil hier im Board ja immer MBAM empfohlen wird.
Vllt sollte ich das nächste Mal besser darauf achten was ich öffne
Auch wenn da eigentlich wenigstens ne nette Meldung hätte folgen müssen
Noch irgendwelche Hinweise was an meinem System nicht I.O. ist ?

Nochmal DANKE
Raffi

S**t hab eben meine externe Festplatte angeschlossen worauf hin Nod32 gleich Alarm geschlagen hat...
Und ich dachte schon ich wäre den Mist los...
Wie kann man alle Laufwerke säubern ohne das der Mist gleich wieder das System verseucht ?

Hi,

das Problem liegt hier:
C:\Autorun.inf

Die wird es auf allen nach der Infektion angeschlossenen USB-Speichergeräten geben (USB-Festplatten, Sticks, Kamera, MP3-Player etc.).

Combofix neu runterladen und dann alle Geräte mit gedrückter SHIFT Taste anschließen und combofix starten.

Danach bitte noch das hier:
Autorun-Vrius und Autorun disablen!
\Autorun.inf
\resycled
\resycled\boot.com
Lade Dir den Flash_disinfector auf den Desktop, starte ihn und folge den Anweisungen...
http://www.techsupportforum.com/sect...isinfector.exe
oder
http://www.trojaner-board.de/72847-f...absichern.html
Trenne den Rechner physikalisch vom Netz.
Deaktiviere den Hintergrundwächter deines AVP und (falls vorhanden) den TeaTimer.
Schließe jetzt alle externe Datenträger mit gedrückter Shift-Taste an Deinen Rechner (Autoplay wird unterbunden).
Starte den Flash Disinfector mit einem Doppelklick und folge ggf. den Anweisungen.
Wenn der Scan zuende ist, kannst du das Programm schließen.
Starte Deinen Rechner neu.

Die Logs muß ich noch durchsehen, kann sein das dann noch was kommt...

chris

Ps.: Du hattest einen Rootkit auf Deinem Rechner....
So mittlerweile die Logs durchgearbeitet:
Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:

• Als erstes versteckte Dateien anzeigen lassen!
  
  (nur Punkt 1 durchführen!)

• Suche die Seite Virtustotal auf, klicke auf den Button
  
  „Durchsuchen“ und suche folgende Datei/Dateien:

Code: Alles auswählenAufklappen

ATTFilter

desktop.exe <- suchen, wahrscheinlich c:\windows oder c:\windows\system32 (ev. Backdoor)
CTXFIHLP.EXE <- suchen, wahrscheinlich c:\windows oder c:\windows\system32
c:\downloads\AnyDVD HD v.6.4.6.9 FiNAL\Anydvd_Leftover_Killer15.exe -> http://www.prevx.com/filenames/7605585306320498-X1/ANYDVD5FLEFTOVER5FKILLER152EEXE.html
C:\WINDOWS\system32\FM20ENU.DLL
         

• Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

• Poste im Anschluss das Ergebnis
  
  der Auswertung, alles abkopieren und in einen Beitrag einfügen.

• Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Okay

Ich mach mal zuerst die Überprüfung der Dateien bevor ich das Inet abstöpsel...

Also hier die desktop.exe
(Keine Funde)

Code: Alles auswählenAufklappen

ATTFilter

Datei explorer.exe empfangen 2009.03.25 18:50:17 (CET)
Status:     Beendet   
Ergebnis: 0/40 (0%)

Antivirus	Version	letzte aktualisierung	Ergebnis
a-squared	4.0.0.101	2009.03.25	-
AhnLab-V3	5.0.0.2	2009.03.25	-
AntiVir	7.9.0.126	2009.03.25	-
Antiy-AVL	2.0.3.1	2009.03.25	-
Authentium	5.1.2.4	2009.03.24	-
Avast	4.8.1335.0	2009.03.25	-
AVG	8.5.0.283	2009.03.25	-
BitDefender	7.2	2009.03.25	-
CAT-QuickHeal	10.00	2009.03.25	-
ClamAV	0.94.1	2009.03.25	-
Comodo	1084	2009.03.25	-
DrWeb	4.44.0.09170	2009.03.25	-
eSafe	7.0.17.0	2009.03.25	-
eTrust-Vet	31.6.6416	2009.03.25	-
F-Prot	4.4.4.56	2009.03.24	-
F-Secure	8.0.14470.0	2009.03.25	-
Fortinet	3.117.0.0	2009.03.25	-
GData	19	2009.03.25	-
Ikarus	T3.1.1.48.0	2009.03.25	-
K7AntiVirus	7.10.680	2009.03.24	-
Kaspersky	7.0.0.125	2009.03.25	-
McAfee	5564	2009.03.25	-
McAfee+Artemis	5564	2009.03.25	-
McAfee-GW-Edition	6.7.6	2009.03.25	-
Microsoft	1.4502	2009.03.25	-
NOD32	3962	2009.03.25	-
Norman	6.00.06	2009.03.25	-
nProtect	2009.1.8.0	2009.03.25	-
Panda	10.0.0.10	2009.03.24	-
PCTools	4.4.2.0	2009.03.25	-
Prevx1	V2	2009.03.25	-
Rising	21.22.21.00	2009.03.25	-
Sophos	4.39.0	2009.03.25	-
Sunbelt	3.2.1858.2	2009.03.25	-
Symantec	1.4.4.12	2009.03.25	-
TheHacker	6.3.3.5.290	2009.03.25	-
TrendMicro	8.700.0.1004	2009.03.25	-
VBA32	3.12.10.1	2009.03.24	-
ViRobot	2009.3.25.1663	2009.03.25	-
VirusBuster	4.6.5.0	2009.03.25	-
weitere Informationen
File size: 1036800 bytes
MD5...: 418045a93cd87a352098ab7dabe1b53e
SHA1..: 98b9ad668e0727be888b861f49aac0f72725e634
SHA256: 81419093ccb985da284931fa3df41c4cfe25350db1c366792903411819371664
SHA512: 15aed88028fb4dcd35ffc4191356ee3d81298761ed1ee12f418bae01e769657f
79751c80b02ef01d088334f003c017f7866dc169e34f75b8a112a92a6e36ee44
ssdeep: 12288:ZHmcoCUyZtwAvAs4wTCyrPTyGs0VezabYEoJpaz/g/J/vWS:dmfty/wAvN
7lrup0VeEYraz/g/J/O
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1a55f
timedatestamp.....: 0x48025c30 (Sun Apr 13 19:17:04 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x44c09 0x44e00 6.38 8c58c76b600f5aee7f7c7242454b9a1f
.data 0x46000 0x1db4 0x1800 1.30 983f35021232560eaaa99fcbc1b7d359
.rsrc 0x48000 0xb2f64 0xb3000 6.64 f7df812e2e64b1514d61a9681fbe71da
.reloc 0xfb000 0x374c 0x3800 6.78 ec335057489badbf6d8142b57175fd91

( 13 imports ) 
> ADVAPI32.dll: RegSetValueW, RegEnumKeyExW, GetUserNameW, RegNotifyChangeKeyValue, RegEnumValueW, RegQueryValueExA, RegOpenKeyExA, RegEnumKeyW, RegCloseKey, RegCreateKeyW, RegQueryInfoKeyW, RegOpenKeyExW, RegQueryValueExW, RegCreateKeyExW, RegSetValueExW, RegDeleteValueW, RegQueryValueW
> BROWSEUI.dll: -, -, -, -
> GDI32.dll: GetStockObject, CreatePatternBrush, OffsetViewportOrgEx, GetLayout, CombineRgn, CreateDIBSection, GetTextExtentPoint32W, StretchBlt, CreateRectRgnIndirect, CreateRectRgn, GetClipRgn, IntersectClipRect, GetViewportOrgEx, SetViewportOrgEx, SelectClipRgn, PatBlt, GetBkColor, CreateCompatibleDC, CreateCompatibleBitmap, OffsetWindowOrgEx, DeleteDC, SetBkColor, BitBlt, ExtTextOutW, GetTextExtentPointW, GetClipBox, GetObjectW, SetTextColor, SetBkMode, CreateFontIndirectW, DeleteObject, GetTextMetricsW, SelectObject, GetDeviceCaps, TranslateCharsetInfo, SetStretchBltMode
> KERNEL32.dll: GetSystemDirectoryW, CreateThread, CreateJobObjectW, ExitProcess, SetProcessShutdownParameters, ReleaseMutex, CreateMutexW, SetPriorityClass, GetCurrentProcess, GetStartupInfoW, GetCommandLineW, SetErrorMode, LeaveCriticalSection, EnterCriticalSection, ResetEvent, LoadLibraryExA, CompareFileTime, GetSystemTimeAsFileTime, SetThreadPriority, GetCurrentThreadId, GetThreadPriority, GetCurrentThread, GetUserDefaultLangID, Sleep, GetBinaryTypeW, GetModuleHandleExW, SystemTimeToFileTime, GetLocalTime, GetCurrentProcessId, GetEnvironmentVariableW, UnregisterWait, GlobalGetAtomNameW, GetFileAttributesW, MoveFileW, lstrcmpW, LoadLibraryExW, FindClose, FindNextFileW, FindFirstFileW, lstrcmpiA, SetEvent, AssignProcessToJobObject, GetDateFormatW, GetTimeFormatW, FlushInstructionCache, lstrcpynW, GetSystemWindowsDirectoryW, SetLastError, GetProcessHeap, HeapFree, HeapReAlloc, HeapSize, HeapAlloc, GetUserDefaultLCID, ReadProcessMemory, OpenProcess, InterlockedCompareExchange, LoadLibraryA, QueryPerformanceCounter, UnhandledExceptionFilter, SetUnhandledExceptionFilter, VirtualFree, VirtualAlloc, ResumeThread, TerminateProcess, TerminateThread, GetSystemDefaultLCID, GetLocaleInfoW, CreateEventW, GetLastError, OpenEventW, DelayLoadFailureHook, WaitForSingleObject, GetTickCount, ExpandEnvironmentStringsW, GetModuleFileNameW, GetPrivateProfileStringW, lstrcmpiW, CreateProcessW, FreeLibrary, GetWindowsDirectoryW, LocalAlloc, CreateFileW, DeviceIoControl, LocalFree, GetQueuedCompletionStatus, CreateIoCompletionPort, SetInformationJobObject, CloseHandle, LoadLibraryW, GetModuleHandleW, ActivateActCtx, DeactivateActCtx, GetFileAttributesExW, GetProcAddress, DeleteCriticalSection, CreateEventA, HeapDestroy, InitializeCriticalSection, MulDiv, InitializeCriticalSectionAndSpinCount, lstrlenW, InterlockedDecrement, InterlockedIncrement, GlobalAlloc, InterlockedExchange, GetModuleHandleA, GetVersionExA, GlobalFree, GetProcessTimes, lstrcpyW, GetLongPathNameW, RegisterWaitForSingleObject
> msvcrt.dll: _itow, free, memmove, realloc, _except_handler3, malloc, _ftol, _vsnwprintf
> ntdll.dll: RtlNtStatusToDosError, NtQueryInformationProcess
> ole32.dll: CoFreeUnusedLibraries, RegisterDragDrop, CreateBindCtx, RevokeDragDrop, CoInitializeEx, CoUninitialize, OleInitialize, CoRevokeClassObject, CoRegisterClassObject, CoMarshalInterThreadInterfaceInStream, CoCreateInstance, OleUninitialize, DoDragDrop
> OLEAUT32.dll: -, -
> SHDOCVW.dll: -, -, -
> SHELL32.dll: -, -, SHGetFolderPathW, -, -, -, -, -, ExtractIconExW, -, -, -, -, -, -, -, -, -, -, -, -, -, -, SHGetSpecialFolderLocation, ShellExecuteExW, -, -, -, SHGetSpecialFolderPathW, -, -, -, SHBindToParent, -, -, -, SHParseDisplayName, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, SHChangeNotify, SHGetDesktopFolder, SHAddToRecentDocs, -, -, -, DuplicateIcon, -, -, -, -, -, -, -, -, SHUpdateRecycleBinIcon, SHGetFolderLocation, SHGetPathFromIDListA, -, -, -, -, -, -, -, SHGetPathFromIDListW, -, -, -
> SHLWAPI.dll: StrCpyNW, -, -, -, -, StrRetToBufW, StrRetToStrW, -, -, -, -, SHQueryValueExW, PathIsNetworkPathW, -, AssocCreate, -, -, -, -, -, StrCatW, StrCpyW, -, -, -, -, -, -, SHGetValueW, -, StrCmpNIW, PathRemoveBlanksW, PathRemoveArgsW, PathFindFileNameW, StrStrIW, PathGetArgsW, -, StrToIntW, SHRegGetBoolUSValueW, SHRegWriteUSValueW, SHRegCloseUSKey, SHRegCreateUSKeyW, SHRegGetUSValueW, SHSetValueW, -, PathAppendW, PathUnquoteSpacesW, -, -, PathQuoteSpacesW, -, SHSetThreadRef, SHCreateThreadRef, -, -, -, PathCombineW, -, -, -, SHStrDupW, PathIsPrefixW, PathParseIconLocationW, AssocQueryKeyW, -, AssocQueryStringW, StrCmpW, -, -, -, -, -, -, -, -, SHRegQueryUSValueW, SHRegOpenUSKeyW, SHRegSetUSValueW, PathIsDirectoryW, PathFileExistsW, PathGetDriveNumberW, -, StrChrW, PathFindExtensionW, -, -, PathRemoveFileSpecW, PathStripToRootW, -, -, -, SHOpenRegStream2W, -, -, -, StrDupW, SHDeleteValueW, StrCatBuffW, SHDeleteKeyW, StrCmpIW, -, -, wnsprintfW, -, -, StrCmpNW, -, -
> USER32.dll: TileWindows, GetDoubleClickTime, GetSystemMetrics, GetSysColorBrush, AllowSetForegroundWindow, LoadMenuW, GetSubMenu, RemoveMenu, SetParent, GetMessagePos, CheckDlgButton, EnableWindow, GetDlgItemInt, SetDlgItemInt, CopyIcon, AdjustWindowRectEx, DrawFocusRect, DrawEdge, ExitWindowsEx, WindowFromPoint, SetRect, AppendMenuW, LoadAcceleratorsW, LoadBitmapW, SendNotifyMessageW, SetWindowPlacement, CheckMenuItem, EndDialog, SendDlgItemMessageW, MessageBeep, GetActiveWindow, PostQuitMessage, MoveWindow, GetDlgItem, RemovePropW, GetClassNameW, GetDCEx, SetCursorPos, ChildWindowFromPoint, ChangeDisplaySettingsW, RegisterHotKey, UnregisterHotKey, SetCursor, SendMessageTimeoutW, GetWindowPlacement, LoadImageW, SetWindowRgn, IntersectRect, OffsetRect, EnumDisplayMonitors, RedrawWindow, SubtractRect, TranslateAcceleratorW, WaitMessage, InflateRect, CallWindowProcW, GetDlgCtrlID, SetCapture, LockSetForegroundWindow, SystemParametersInfoW, FindWindowW, CreatePopupMenu, GetMenuDefaultItem, DestroyMenu, GetShellWindow, EnumChildWindows, GetWindowLongW, SendMessageW, RegisterWindowMessageW, GetKeyState, CopyRect, MonitorFromRect, MonitorFromPoint, RegisterClassW, SetPropW, GetWindowLongA, SetWindowLongW, FillRect, GetCursorPos, MessageBoxW, LoadStringW, ReleaseDC, GetDC, EnumDisplaySettingsExW, EnumDisplayDevicesW, PostMessageW, DispatchMessageW, TranslateMessage, GetMessageW, PeekMessageW, PtInRect, BeginPaint, EndPaint, SetWindowTextW, GetAsyncKeyState, InvalidateRect, GetWindow, ShowWindowAsync, TrackPopupMenuEx, UpdateWindow, DestroyIcon, IsRectEmpty, SetActiveWindow, GetSysColor, DrawTextW, IsHungAppWindow, SetTimer, GetMenuItemID, TrackPopupMenu, EndTask, SendMessageCallbackW, GetClassLongW, LoadIconW, OpenInputDesktop, CloseDesktop, SetScrollPos, ShowWindow, BringWindowToTop, GetDesktopWindow, CascadeWindows, CharUpperBuffW, SwitchToThisWindow, InternalGetWindowText, GetScrollInfo, GetMenuItemCount, CreateWindowExW, DialogBoxParamW, MsgWaitForMultipleObjects, CharNextA, RegisterClipboardFormatW, EndDeferWindowPos, DeferWindowPos, BeginDeferWindowPos, PrintWindow, SetClassLongW, GetPropW, GetNextDlgGroupItem, GetNextDlgTabItem, ChildWindowFromPointEx, IsChild, NotifyWinEvent, TrackMouseEvent, GetCapture, GetAncestor, CharUpperW, SetWindowLongA, DrawCaption, ModifyMenuW, InsertMenuW, IsWindowEnabled, GetMenuState, LoadCursorW, GetParent, IsDlgButtonChecked, DestroyWindow, EnumWindows, IsWindowVisible, GetClientRect, UnionRect, EqualRect, GetWindowThreadProcessId, GetForegroundWindow, KillTimer, GetClassInfoExW, DefWindowProcW, RegisterClassExW, GetIconInfo, SetScrollInfo, GetLastActivePopup, SetForegroundWindow, IsWindow, GetSystemMenu, IsIconic, IsZoomed, EnableMenuItem, SetMenuDefaultItem, MonitorFromWindow, GetMonitorInfoW, GetWindowInfo, GetFocus, SetFocus, MapWindowPoints, ScreenToClient, ClientToScreen, GetWindowRect, SetWindowPos, DeleteMenu, GetMenuItemInfoW, SetMenuItemInfoW, CharNextW
> UxTheme.dll: GetThemeBackgroundContentRect, GetThemeBool, GetThemePartSize, DrawThemeParentBackground, OpenThemeData, DrawThemeBackground, GetThemeTextExtent, DrawThemeText, CloseThemeData, SetWindowTheme, GetThemeBackgroundRegion, -, GetThemeMargins, GetThemeColor, GetThemeFont, GetThemeRect, IsAppThemed

( 0 exports ) 
RDS...: NSRL Reference Data Set
-
         

CTXFIHLP.EXE
(Keine Funde)

Code: Alles auswählenAufklappen

ATTFilter

Datei CTXFIHLP.EXE empfangen 2009.03.25 21:04:58 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/40 (0%)

Antivirus  	Version  	letzte aktualisierung  	Ergebnis
a-squared	4.0.0.101	2009.03.25	-
AhnLab-V3	5.0.0.2	2009.03.25	-
AntiVir	7.9.0.126	2009.03.25	-
Antiy-AVL	2.0.3.1	2009.03.25	-
Authentium	5.1.2.4	2009.03.24	-
Avast	4.8.1335.0	2009.03.25	-
AVG	8.5.0.283	2009.03.25	-
BitDefender	7.2	2009.03.25	-
CAT-QuickHeal	10.00	2009.03.25	-
ClamAV	0.94.1	2009.03.25	-
Comodo	1084	2009.03.25	-
DrWeb	4.44.0.09170	2009.03.25	-
eSafe	7.0.17.0	2009.03.25	-
eTrust-Vet	31.6.6416	2009.03.25	-
F-Prot	4.4.4.56	2009.03.24	-
F-Secure	8.0.14470.0	2009.03.25	-
Fortinet	3.117.0.0	2009.03.25	-
GData	19	2009.03.25	-
Ikarus	T3.1.1.48.0	2009.03.25	-
K7AntiVirus	7.10.680	2009.03.24	-
Kaspersky	7.0.0.125	2009.03.25	-
McAfee	5564	2009.03.25	-
McAfee+Artemis	5564	2009.03.25	-
McAfee-GW-Edition	6.7.6	2009.03.25	-
Microsoft	1.4502	2009.03.25	-
NOD32	3962	2009.03.25	-
Norman	6.00.06	2009.03.25	-
nProtect	2009.1.8.0	2009.03.25	-
Panda	10.0.0.10	2009.03.25	-
PCTools	4.4.2.0	2009.03.25	-
Prevx1	V2	2009.03.25	-
Rising	21.22.21.00	2009.03.25	-
Sophos	4.39.0	2009.03.25	-
Sunbelt	3.2.1858.2	2009.03.25	-
Symantec	1.4.4.12	2009.03.25	-
TheHacker	6.3.3.6.291	2009.03.25	-
TrendMicro	8.700.0.1004	2009.03.25	-
VBA32	3.12.10.1	2009.03.24	-
ViRobot	2009.3.25.1663	2009.03.25	-
VirusBuster	4.6.5.0	2009.03.25	-
weitere Informationen
File size: 23552 bytes
MD5...: 9acf184102be77aa7672069ab489f745
SHA1..: ba644f10a4c21419f5c6dd6b4fa2be0ebbea50e4
SHA256: 028730f45096c6c68fcc5896674cbcedac2ef8bfcd64534b452aab29f3e30d56
SHA512: 51c0953fb3447259c2d5e9cde71d30667a18ac188691e2492d11af53a88485e0
d8c9a3137540ec8d300ced4e9aa5eeed335faab2e72e7c24b4fb1523c1e0fccb
ssdeep: 384:n//JielFeN3FUEQ9l1RDAdNs2F5NKprEwTobVtlhWohGsr2+C:ncOFe9FUxR
DAIuKprjStlQQGc5C
PEiD..: -
TrID..: File type identification
Win64 Executable Generic (59.6%)
Win32 Executable MS Visual C++ (generic) (26.2%)
Win32 Executable Generic (5.9%)
Win32 Dynamic Link Library (generic) (5.2%)
Generic Win/DOS Executable (1.3%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x41da
timedatestamp.....: 0x48b44788 (Tue Aug 26 18:12:24 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x47e8 0x4800 6.53 a7b108c95034b22fc4c895f6033a9721
.data 0x6000 0x884 0x600 5.18 b5bdd248fe828f4cdb89ad4b3930a763
.rsrc 0x7000 0x9d8 0xa00 3.38 7d96d3fa7ee667e174dc9eea1cc36d88

( 7 imports )
> ADVAPI32.dll: RegSetValueExA, RegCreateKeyExA, RegEnumValueA, RegOpenKeyA, RegCloseKey
> KERNEL32.dll: GetLastError, CreateSemaphoreA, CloseHandle, FreeLibrary, GetProcAddress, LoadLibraryA, GetModuleHandleA, Sleep, UnhandledExceptionFilter, GetCurrentProcess, TerminateProcess, GetSystemTimeAsFileTime, GetCurrentProcessId, GetCurrentThreadId, GetTickCount, QueryPerformanceCounter, SetUnhandledExceptionFilter, InterlockedCompareExchange, GetStartupInfoA, RtlUnwind, InterlockedExchange
> USER32.dll: EnableWindow, UnregisterDeviceNotification, RegisterDeviceNotificationA, GetSystemMetrics, GetClientRect, IsIconic, PostMessageA, SendMessageA, DrawIcon, LoadIconA
> MFC42.dll: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -
> msvcrt.dll: _acmdln, _initterm, _amsg_exit, __setusermatherr, _adjust_fdiv, __p__commode, __p__fmode, __set_app_type, __1type_info@@UAE@XZ, _unlock, __dllonexit, _lock, _onexit, _terminate@@YAXXZ, _controlfp, exit, _ismbblead, _XcptFilter, _exit, _cexit, __getmainargs, ___U@YAPAXI@Z, sprintf, ___V@YAXPAX@Z, malloc, free, memset, __CxxFrameHandler, _setmbcp
> ole32.dll: CoCreateInstance, CoUninitialize, CoInitialize
> SETUPAPI.dll: SetupDiEnumDeviceInterfaces, SetupDiGetDeviceRegistryPropertyA, SetupDiOpenDeviceInterfaceA, SetupDiGetDeviceInterfaceDetailA, SetupDiGetClassDevsA, SetupDiDestroyDeviceInfoList

( 0 exports )
RDS...: NSRL Reference Data Set
         

Die Datei mit Anydvd finde ich nicht mehr...
Ich glaube die existiert nicht mehr.
Falls die aus den in den letztem Monat erstellen Files ist hab ich sie vllt schon wieder gelöscht.

FM20ENU.DLL:
(Keine Funde)

Code: Alles auswählenAufklappen

ATTFilter

Datei FM20ENU.DLL empfangen 2009.03.25 21:14:51 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/40 (0%)


Antivirus  	Version  	letzte aktualisierung  	Ergebnis
a-squared	4.0.0.101	2009.03.25	-
AhnLab-V3	5.0.0.2	2009.03.25	-
AntiVir	7.9.0.126	2009.03.25	-
Antiy-AVL	2.0.3.1	2009.03.25	-
Authentium	5.1.2.4	2009.03.24	-
Avast	4.8.1335.0	2009.03.25	-
AVG	8.5.0.283	2009.03.25	-
BitDefender	7.2	2009.03.25	-
CAT-QuickHeal	10.00	2009.03.25	-
ClamAV	0.94.1	2009.03.25	-
Comodo	1084	2009.03.25	-
DrWeb	4.44.0.09170	2009.03.25	-
eSafe	7.0.17.0	2009.03.25	-
eTrust-Vet	31.6.6416	2009.03.25	-
F-Prot	4.4.4.56	2009.03.24	-
F-Secure	8.0.14470.0	2009.03.25	-
Fortinet	3.117.0.0	2009.03.25	-
GData	19	2009.03.25	-
Ikarus	T3.1.1.48.0	2009.03.25	-
K7AntiVirus	7.10.680	2009.03.24	-
Kaspersky	7.0.0.125	2009.03.25	-
McAfee	5564	2009.03.25	-
McAfee+Artemis	5564	2009.03.25	-
McAfee-GW-Edition	6.7.6	2009.03.25	-
Microsoft	1.4502	2009.03.25	-
NOD32	3962	2009.03.25	-
Norman	6.00.06	2009.03.25	-
nProtect	2009.1.8.0	2009.03.25	-
Panda	10.0.0.10	2009.03.25	-
PCTools	4.4.2.0	2009.03.25	-
Prevx1	V2	2009.03.25	-
Rising	21.22.21.00	2009.03.25	-
Sophos	4.39.0	2009.03.25	-
Sunbelt	3.2.1858.2	2009.03.25	-
Symantec	1.4.4.12	2009.03.25	-
TheHacker	6.3.3.6.291	2009.03.25	-
TrendMicro	8.700.0.1004	2009.03.25	-
VBA32	3.12.10.1	2009.03.24	-
ViRobot	2009.3.25.1663	2009.03.25	-
VirusBuster	4.6.5.0	2009.03.25	-
weitere Informationen
File size: 35440 bytes
MD5...: 35c4aee0b4742b1ee00a68d9743b818f
SHA1..: d7b2aec3cccb089fb0b1befe2f371255d18137bd
SHA256: 6b207e59186f061232a7adbdc8dfe66d09c05d3f820c2d679943a1cfc7fd9593
SHA512: 362fa39549959000300dd69cc0a962e0f493591149ca80c3f4fcfeaa29af3f67
5edc9fb43c9955d0d90be1f2991432757b6eae779879e89c56dd80875534882a
ssdeep: 384:veOWJ8Y6WhyYSwyuRjhuFNczJCoWOKguEznhu1jRaeWTFP:WXFyPwyuRjTCo
WOKE1u1jRaeqP
PEiD..: -
TrID..: File type identification
Win16/32 Executable Delphi generic (33.9%)
Generic Win/DOS Executable (32.7%)
DOS Executable Generic (32.7%)
VXD Driver (0.5%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x0
timedatestamp.....: 0x460082ac (Wed Mar 21 00:56:12 2007)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.rdata 0x1000 0x70 0x200 0.40 4ffbc0f3f4f1845d3947234e806199ee
.rsrc 0x2000 0x5b18 0x5c00 3.75 4f68301bf8ca5566376f0243aace9a32
.reloc 0x8000 0xc 0x200 0.02 2c38765194d27b75f56d0565088a53ee

( 0 imports )

( 0 exports )
RDS...: NSRL Reference Data Set
         

So dann mach ich mich mal an die Überprüfung...

Nur diesen Teil hab ich noch nicht ganz verstanden:

Zitat:

Danach bitte noch das hier:
Autorun-Vrius und Autorun disablen!
\Autorun.inf
\resycled
\resycled\boot.com

Macht man das mit dem Combofix ?
Oder kannst du nochmal erklären was ich da machen soll.

Ich schließe mal alle Speichermedien an die ich die letzte Woche benutzt hab, auch meinen Mp3Player.
Ich hoffe das überlebt dessen Betriebssystem