so hab ich.

es sind aber auch noch trojaner und adware in Quarantäne bei GDATA die ich aber nicht entfernen kann.



ComboFix 09-04-01.01 - Besitzer 2009-04-01 21:24:41.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.2047.1327 [GMT 2:00]
ausgeführt von:: h:\dokumente und einstellungen\Besitzer\Desktop\ComboFix.exe
AV: G DATA TotalCare 2009 *On-access scanning disabled* (Updated)
FW: G DATA Personal Firewall *disabled*
.

((((((((((((((((((((((( Dateien erstellt von 2009-03-01 bis 2009-04-01 ))))))))))))))))))))))))))))))
.

2009-04-01 18:07 . 2009-04-01 20:49 <DIR> d-------- h:\programme\SUPERAntiSpyware
2009-04-01 18:07 . 2009-04-01 20:49 <DIR> d-------- h:\dokumente und einstellungen\Besitzer\Anwendungsdaten\SUPERAntiSpyware.com
2009-04-01 18:07 . 2009-04-01 18:07 <DIR> d-------- h:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2009-04-01 18:04 . 2009-04-01 18:03 73,728 --a------ h:\windows\system32\javacpl.cpl
2009-04-01 17:59 . 2009-04-01 17:59 <DIR> d-------- h:\programme\Foxit Software
2009-04-01 17:59 . 2009-04-01 17:59 <DIR> d-------- h:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Foxit
2009-04-01 13:50 . 2009-04-01 13:50 <DIR> d-------- h:\programme\Malwarebytes' Anti-Malware
2009-04-01 13:50 . 2009-04-01 13:50 <DIR> d-------- h:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Malwarebytes
2009-04-01 13:50 . 2009-04-01 13:50 <DIR> d-------- h:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-04-01 13:50 . 2009-03-26 16:49 38,496 --a------ h:\windows\system32\drivers\mbamswissarmy.sys
2009-04-01 13:50 . 2009-03-26 16:49 15,504 --a------ h:\windows\system32\drivers\mbam.sys
2009-03-31 21:33 . 2009-03-31 21:33 <DIR> d-------- h:\programme\Trend Micro
2009-03-31 21:16 . 2009-03-31 21:16 163 --a------ h:\windows\wininit.ini
2009-03-31 20:51 . 2009-04-01 13:46 <DIR> d-------- h:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-03-31 17:51 . 2009-03-31 17:51 68,424 --a------ h:\windows\system32\drivers\GRD.sys
2009-03-31 17:24 . 2009-03-31 17:46 48,712 --a------ h:\windows\system32\drivers\MiniIcpt.sys
2009-03-31 17:23 . 2009-03-31 17:23 <DIR> d--hs---- H:\#GDATA.Trash.Store#
2009-03-31 17:23 . 2009-03-31 17:50 51,016 --a------ h:\windows\system32\drivers\GDTdiIcpt.sys
2009-03-31 17:23 . 2009-03-31 17:46 32,328 --a------ h:\windows\system32\drivers\HookCentre.sys
2009-03-31 17:23 . 2009-03-31 17:23 22,272 --a------ h:\windows\system32\drivers\GDNdisIc.sys
2009-03-31 17:22 . 2009-03-31 17:23 <DIR> d-------- h:\programme\Gemeinsame Dateien\G DATA
2009-03-31 17:22 . 2009-03-31 17:22 <DIR> d-------- h:\programme\G DATA
2009-03-31 17:22 . 2009-03-31 17:32 <DIR> d-------- h:\dokumente und einstellungen\All Users\Anwendungsdaten\G DATA
2009-03-30 19:18 . 2009-03-30 19:18 <DIR> d-------- h:\programme\DEUTSCHLAND SPIELT
2009-03-30 18:00 . 2009-03-31 22:11 <DIR> d-------- h:\programme\a-squared Free
2009-03-27 02:18 . 2009-03-27 02:18 <DIR> d-------- h:\programme\PixiePack Codec Pack
2009-03-27 02:17 . 2009-03-27 02:17 <DIR> d-------- h:\programme\RapidSolution
2009-03-27 02:17 . 2009-03-27 02:19 <DIR> d-------- h:\dokumente und einstellungen\All Users\Anwendungsdaten\RapidSolution

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-01 18:49 --------- d-----w h:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-04-01 16:03 410,984 ----a-w h:\windows\system32\deploytk.dll
2009-04-01 16:03 --------- d-----w h:\programme\Java
2009-04-01 15:52 --------- d-----w h:\programme\Gemeinsame Dateien\DVDVideoSoft
2009-04-01 15:51 --------- d-----w h:\programme\Opera
2009-04-01 15:45 --------- d--h--w h:\programme\InstallShield Installation Information
2009-04-01 12:22 --------- d-----w h:\programme\CCleaner
2009-04-01 12:15 --------- d-----w h:\programme\Yahoo!
2009-03-31 22:00 --------- d-----w h:\programme\PokerStars
2009-03-31 20:39 --------- d-----w h:\programme\Gemeinsame Dateien\Symantec Shared
2009-03-31 20:39 --------- d-----w h:\dokumente und einstellungen\All Users\Anwendungsdaten\Symantec
2009-03-31 20:38 --------- d-----w h:\programme\eMule
2009-03-31 20:36 --------- d-----w h:\programme\Electronic Arts
2009-03-31 20:35 --------- d-----w h:\programme\Google
2009-03-31 17:31 --------- d-----w h:\programme\DNA
2009-03-30 17:19 --------- d-----w h:\dokumente und einstellungen\All Users\Anwendungsdaten\Intenium
2009-03-27 00:18 --------- d-----w h:\programme\Winamp
2009-03-26 00:04 --------- d-----w h:\dokumente und einstellungen\Besitzer\Anwendungsdaten\dvdcss
2009-03-16 18:53 --------- d-----w h:\dokumente und einstellungen\Besitzer\Anwendungsdaten\temp
2009-02-16 19:26 --------- d-----w h:\programme\EA SPORTS
2009-02-13 22:52 183,112 ----a-w h:\windows\system32\PnkBstrB.exe
2009-02-13 22:52 138,184 ----a-w h:\windows\system32\drivers\PnkBstrK.sys
2009-02-05 00:40 --------- d-----w h:\programme\DivX
2008-12-07 23:24 24,669 ---h--w h:\dokumente und einstellungen\Besitzer\Anwendungsdaten\config.dat
2008-11-13 16:17 22,328 ----a-w h:\dokumente und einstellungen\Besitzer\Anwendungsdaten\PnkBstrK.sys
2008-09-11 11:01 6,216 ----a-w h:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Patch-Master.exe.dat
2008-09-11 10:04 36,685 ----a-w h:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Patch-Master.exe2.dat
2008-09-11 10:04 33,339 ----a-w h:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Patch-Master.exe0.dat
2008-09-11 10:04 23,100 ----a-w h:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Patch-Master.exe3.dat
2008-09-11 10:04 128,264 ----a-w h:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Patch-Master.exe1.dat
2008-03-11 16:04 3,350 ----a-w h:\programme\Prefs.ead
2008-02-05 15:35 32 ----a-w h:\dokumente und einstellungen\All Users\Anwendungsdaten\ezsid.dat
2006-05-28 16:46 397,306 ----a-w h:\programme\wunauclt.tbe
2008-06-10 14:47 8,192 --sha-w h:\windows\o2cLicStore.bin
2008-01-30 02:22 32,768 --sha-w h:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008013020080131\index.dat
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="h:\windows\system32\ctfmon.exe" [2007-12-01 15360]
"GMX_GMX MultiMessenger"="h:\programme\GMX\GMX MultiMessenger\MESSENGR.EXE" [2009-03-24 4982184]
"msnmsgr"="h:\programme\MSN Messenger\msnmsgr.exe" [2007-01-19 5674352]
"Messenger (Yahoo!)"="h:\programme\Yahoo!\Messenger\YahooMessenger.exe" [2008-11-05 4347120]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="h:\windows\System32\NvCpl.dll" [2007-06-28 8466432]
"NvMediaCenter"="h:\windows\System32\NvMcTray.dll" [2007-06-28 81920]
"LVCOMSX"="h:\programme\Gemeinsame Dateien\LogiShrd\LComMgr\LVComSX.exe" [2007-01-12 244512]
"VolPanel"="h:\programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanel.exe" [2006-04-05 122880]
"tsnpstd3"="h:\windows\tsnpstd3.exe" [2007-03-30 262144]
"snpstd3"="h:\windows\vsnpstd3.exe" [2006-09-19 827392]
"PPort11reminder"="h:\programme\ScanSoft\PaperPort\Ereg\Ereg.exe" [2007-02-01 255528]
"GDFirewallTray"="h:\programme\G DATA\TotalCare\Firewall\GDFirewallTray.exe" [2008-08-19 1037992]
"G DATA AntiVirus Trayapplication"="h:\programme\G DATA\TotalCare\AVKTray\AVKTray.exe" [2008-10-29 955976]
"SunJavaUpdateSched"="h:\programme\Java\jre6\bin\jusched.exe" [2009-04-01 148888]
"nwiz"="nwiz.exe" [2007-06-28 h:\windows\system32\nwiz.exe]
"RTHDCPL"="RTHDCPL.EXE" [2007-04-11 h:\windows\RTHDCPL.exe]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-04-11 h:\windows\KHALMNPR.Exe]
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-04-11 h:\windows\KHALMNPR.Exe]
"CTHelper"="CTHELPER.EXE" [2006-05-24 h:\windows\CTHELPER.EXE]
"CTxfiHlp"="CTXFIHLP.EXE" [2006-05-24 h:\windows\system32\CTXFIHLP.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="h:\windows\System32\CTFMON.EXE" [2007-12-01 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.asv2"= asusasv2.dll
"msacm.mkdmp3enc"= h:\progra~1\CYBERL~1\POWERC~1\Kernel\Burner\MKDMP3Enc.ACM
"vidc.ffds"= ffdshow.ax
"msacm.ac3filter"= ac3filter.acm

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""

[HKLM\~\startupfolder\H:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Kodak EasyShare Software.lnk]
path=h:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Kodak EasyShare Software.lnk
backup=h:\windows\pss\Kodak EasyShare Software.lnkCommon Startup

[HKLM\~\startupfolder\H:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Logitech SetPoint.lnk]
path=h:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Logitech SetPoint.lnk
backup=h:\windows\pss\Logitech SetPoint.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
h:\windows\system32\dumprep 0 -k [X]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BrMfcWnd]
--------- 2007-03-12 15:51 663552 h:\programme\Brother\Brmfcmon\BrMfcWnd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ControlCenter3]
--------- 2007-01-26 16:58 65536 h:\programme\Brother\ControlCenter3\BrCtrCen.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
--a------ 2008-01-17 18:51 486856 h:\programme\DAEMON Tools Lite\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EA Core]
--a------ 2008-07-22 12:34 2772992 h:\programme\Electronic Arts\EADM\Core.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GMX_GMX MultiMessenger]
--a------ 2009-03-24 13:12 4982184 h:\programme\GMX\GMX MultiMessenger\MESSENGR.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IndexSearch]
--a------ 2007-01-29 22:10 46632 h:\programme\ScanSoft\PaperPort\IndexSearch.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
--a------ 2008-03-30 10:36 267048 h:\programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechCommunicationsManager]
--a------ 2007-01-12 04:09 488984 h:\programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
--a------ 2007-01-19 13:55 5674352 h:\programme\MSN Messenger\msnmsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PaperPort PTD]
--a------ 2007-01-29 22:12 30248 h:\programme\ScanSoft\PaperPort\pptd40nt.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCMService]
--a------ 2007-02-09 17:34 159744 h:\programme\CyberLink\PowerCinema\PCMService.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
--a------ 2007-02-12 20:16 65536 h:\programme\ASUS\ASUS Remote\RemoteControlAppl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
-ra------ 2008-01-17 19:10 21686568 h:\programme\Skype\Phone\Skype.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SSBkgdUpdate]
--a------ 2006-10-25 10:03 210472 h:\programme\Gemeinsame Dateien\ScanSoft Shared\SSBkgdUpdate\SSBkgdUpdate.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\STYLEXP]
--a------ 2006-05-24 20:31 1372160 h:\programme\TGTSoft\StyleXP\StyleXP.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TomTomHOME.exe]
--a------ 2008-02-14 11:58 3977128 h:\programme\TomTom HOME\TomTomHOME.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UpdReg]
--------- 2000-05-11 02:00 90112 h:\windows\Updreg.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
--a------ 2008-04-01 20:49 36352 h:\programme\Winamp\winampa.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"h:\\Programme\\Messenger\\msmsgs.exe"=
"h:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"h:\\Programme\\MSN Messenger\\livecall.exe"=
"h:\\WINDOWS\\system32\\PnkBstrA.exe"=
"h:\\WINDOWS\\system32\\PnkBstrB.exe"=
"c:\\Spiele\\GH3.exe"=
"c:\\Spiele\\THQ\\S.T.A.L.K.E.R. - Shadow of Chernobyl\\bin\\XR_3DA.exe"=
"c:\\Spiele\\THQ\\S.T.A.L.K.E.R. - Shadow of Chernobyl\\bin\\dedicated\\XR_3DA.exe"=
"h:\\Programme\\Kodak\\Kodak EasyShare software\\bin\\EasyShare.exe"=
"c:\\Spiele\\S.T.A.L.K.E.R. - Clear Sky\\bin\\xrEngine.exe"=
"c:\\Spiele\\S.T.A.L.K.E.R. - Clear Sky\\bin\\dedicated\\xrEngine.exe"=
"h:\\Programme\\Skype\\Phone\\Skype.exe"=
"h:\\Programme\\devolo\\informer\\devinf.exe"=
"h:\\Programme\\devolo\\easyshare\\easyshare.exe"=
"h:\\Programme\\2K Games\\Firaxis Games\\Sid Meier's Civilization 4 Complete\\Civilization4.exe"=
"h:\\Programme\\2K Games\\Firaxis Games\\Sid Meier's Civilization 4 Complete\\Warlords\\Civ4Warlords.exe"=
"h:\\Programme\\2K Games\\Firaxis Games\\Sid Meier's Civilization 4 Complete\\Beyond the Sword\\Civ4BeyondSword.exe"=
"h:\\Programme\\2K Games\\Firaxis Games\\Sid Meier's Civilization IV Colonization\\Colonization.exe"=
"h:\\Programme\\Ubisoft\\Far Cry 2\\bin\\FarCry2.exe"=
"h:\\Programme\\Ubisoft\\Far Cry 2\\bin\\FC2Launcher.exe"=
"h:\\Programme\\Ubisoft\\Far Cry 2\\bin\\FC2Editor.exe"=
"h:\\Programme\\Activision\\Call of Duty - World at War\\CoDWaW.exe"=
"h:\\Programme\\Activision\\Call of Duty - World at War\\CoDWaWmp.exe"=
"h:\\Programme\\iTunes\\iTunes.exe"=
"h:\\Programme\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"=
"h:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe"=

R0 GDNdisIc;GDNdisIc;h:\windows\system32\drivers\GDNdisIc.sys [2009-03-31 22272]
R1 GRD;G DATA Rootkit Detector Driver;h:\windows\system32\drivers\GRD.sys [2009-03-31 68424]
R2 acedrv10;acedrv10;h:\windows\system32\drivers\ACEDRV10.sys [2007-07-27 330144]
R2 acehlp10;acehlp10;h:\windows\system32\drivers\acehlp10.sys [2007-07-27 251680]
R2 AVKProxy;G DATA AntiVirus Proxy;h:\programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe [2008-08-19 1089608]
R2 AVKService;G DATA Scheduler;h:\programme\G DATA\TotalCare\AVK\AVKService.exe [2008-08-19 386120]
R2 AVKWCtl;AntiVirus Wächter;h:\programme\G DATA\TotalCare\AVK\AVKWCtl.exe [2008-08-14 1185496]
R2 GDTdiInterceptor;GDTdiInterceptor;h:\windows\system32\drivers\GDTdiIcpt.sys [2009-03-31 51016]
R2 PLCNDIS5;PLCNDIS5 NDIS Protocol Driver;h:\windows\system32\plcndis5.sys [2004-05-17 17280]
R3 3xHybrid;ASUSTek SAA713x PCI Card;h:\windows\system32\drivers\3xHybrid.sys [2008-01-30 2831232]
R3 GDFwSvc;G DATA Personal Firewall;h:\programme\G DATA\TotalCare\Firewall\GDFwSvc.exe [2008-08-15 1407976]
R3 GDMnIcpt;GDMnIcpt;h:\windows\system32\drivers\MiniIcpt.sys [2009-03-31 48712]
R3 HookCentre;HookCentre;h:\windows\system32\drivers\HookCentre.sys [2009-03-31 32328]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;h:\programme\MAGIX\Common\Database\bin\fbserver.exe [2008-09-04 1527900]
S3 G DATA Backup Service;G DATA Backup Service;h:\programme\G DATA\TotalCare\AVKBackup\AVKBackupService.exe [2008-08-22 880200]
S3 G DATA Tuner Service;G DATA Tuner Service;h:\programme\G DATA\TotalCare\AVKTuner\AVKTunerService.exe [2008-08-19 925768]
S3 PLCMPR5;PLCMPR5 NDIS Protocol Driver;\??\h:\windows\system32\PLCMPR5.SYS --> h:\windows\system32\PLCMPR5.SYS [?]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{59084fd0-2651-11dd-a331-001837053e88}]
\Shell\AutoRun\command - L:\InstallTomTomHOME.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{bb2e426b-eee1-11dd-a3ac-001837053e88}]
\Shell\AutoRun\command - L:\InstallTomTomHOME.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c13d1e22-7212-11dd-a348-001837053e88}]
\Shell\AutoRun\command - M:\InstallTomTomHOME.exe

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{621FCD24-4498-4324-A81E-07D331376EDF}]
h:\programme\PixiePack Codec Pack\InstallerHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{A263D05A-B60F-6F84-172E-8768576A7396}]
h:\windows\system32\win32\ctfmon.exe s
.
.
------- Zusätzlicher Suchlauf -------
.
Handler: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - h:\programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} - hxxp://static.pe.studivz.net/photouploader/ImageUploader5.cab?nocache=1209935184
FF - ProfilePath - h:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\3ip38pe1.default\
FF - prefs.js: browser.search.selectedEngine - Search
FF - component: h:\programme\Mozilla Firefox\extensions\{9AA46F4F-4DC7-4c06-97AF-5035170633FE}\components\avkwebfilterff.dll
.

**************************************************************************

catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-01 21:26:57
Windows 5.1.2600 Service Pack 3, v.3264 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-725345543-602162358-839522115-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:75,38,bf,ea,35,15,2f,66,62,f4,9e,8c,93,b0,d0,14,b9,80,13,67,29,77,e5,
98,12,a4,85,6c,b8,07,e1,ee,bc,0b,b3,d8,80,02,d2,0c,bf,95,bd,3f,de,af,d8,0a,\
"??"=hex:be,f5,87,9f,9e,c2,20,17,b0,57,3e,66,05,d5,8d,5d

[HKEY_USERS\S-1-5-21-725345543-602162358-839522115-1003\Software\SecuROM\License information*]
"datasecu"=hex:c7,d4,3d,9e,c6,18,49,68,76,37,86,05,83,c5,d6,f3,3a,10,7e,de,27,
21,83,01,c4,97,68,13,3b,fb,a4,02,2f,32,6b,22,4a,ca,9e,b1,f9,8c,5f,04,86,ad,\
"rkeysecu"=hex:5d,ed,84,da,bb,dd,d5,c3,a9,57,de,87,05,90,8e,a5
.
Zeit der Fertigstellung: 2009-04-01 21:28:26
ComboFix-quarantined-files.txt 2009-04-01 19:28:24
ComboFix2.txt 2009-04-01 19:06:55

Vor Suchlauf: 12 Verzeichnis(se), 19.718.459.392 Bytes frei
Nach Suchlauf: 11 Verzeichnis(se), 19,706,589,184 Bytes frei

255

Um das Log zu lesen, brauche ich einige Zeit. Bereite schonmal vor.

1.) Deinstalliere:

• SuperAntiSpyware
• Spybot
• Emule (Virenschleuder)
• DNA (Virenschleuder)

2.) Download und Ausführung des Norton-Entfernungsprogramms

ciao, andreas

Du hast einen MultiMessenger, den Messenger von MSN und den von Yahoo. Warum?

Scripten mit Combofix

• Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code: Alles auswählenAufklappen

ATTFilter

KILLALL::

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IndexSearch]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PaperPort PTD]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UpdReg]
[-HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
[-HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{59084fd0-2651-11dd-a331-001837053e88}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{bb2e426b-eee1-11dd-a3ac-001837053e88}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c13d1e22-7212-11dd-a348-001837053e88}]

File::
h:\windows\system32\deploytk.dll
h:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008013020080131\index.dat

Folder::
h:\programme\SUPERAntiSpyware
h:\dokumente und einstellungen\Besitzer\Anwendungsdaten\SUPERAntiSpyware.com
h:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
h:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
H:\#GDATA.Trash.Store#
h:\programme\Gemeinsame Dateien\Symantec Shared
h:\dokumente und einstellungen\All Users\Anwendungsdaten\Symantec
h:\programme\eMule
h:\programme\DNA

DirLook::
h:\windows\system32\win32
         

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

• Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

• Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

der von gmx ist von mir und der von yahoo von meiner freundin.
währe es besser nur einen zu haben?????

Wenn du einen MultiMessenger hast, sind die anderen überflüssig, aber wenn ihr beide euren eigenen benutzen möchtet, dann deinstalliere den MultiMessenger (den ihr ja offensichtlich eh nicht benutzt).

ciao, andreas

ComboFix 09-04-01.01 - Besitzer 2009-04-01 22:56:19.3 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.2047.1288 [GMT 2:00]
ausgeführt von:: h:\dokumente und einstellungen\Besitzer\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: h:\dokumente und einstellungen\Besitzer\Desktop\cfscript.txt
AV: G DATA TotalCare 2009 *On-access scanning disabled* (Updated)
FW: G DATA Personal Firewall *disabled*
* Neuer Wiederherstellungspunkt wurde erstellt

FILE ::
h:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008013020080131\index.dat
h:\windows\system32\deploytk.dll
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

H:\#GDATA.Trash.Store#
h:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
h:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Logs\Checks.090331-2055.log
h:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Logs\Checks.090331-2108.txt
h:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Logs\Checks.090331-2212.log
h:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Logs\Checks.090331-2226.txt
h:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Logs\Fixes.090331-2117.txt
h:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Logs\Fixes.090331-2228.txt
h:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Logs\SDHelper.log
h:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Logs\Update downloads.log
h:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\AntiSpyCheck.zip
h:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\FunWebProducts.zip
h:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MicrosoftWindowsSecurityInternetExplorer.zip
h:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MyWayMyWebSearch.zip
h:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MyWayMyWebSearch1.zip
h:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MyWayMyWebSearch2.zip
h:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MyWayMyWebSearch3.zip
h:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MyWayMyWebSearch4.zip
h:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MyWayMyWebSearch5.zip
h:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\SmitfraudC.zip
h:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\SmitfraudCgp.zip
h:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Virtumonde.zip
h:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Virtumonde1.zip
h:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Virtumonde10.zip
h:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Virtumonde11.zip
h:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Virtumonde12.zip
h:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Virtumonde13.zip
h:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Virtumonde14.zip
h:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Virtumonde15.zip
h:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Virtumonde16.zip
h:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Virtumonde2.zip
h:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Virtumonde3.zip
h:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Virtumonde4.zip
h:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Virtumonde5.zip
h:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Virtumonde6.zip
h:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Virtumonde7.zip
h:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Virtumonde8.zip
h:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Virtumonde9.zip
h:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Virtumondeprx.zip
h:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Virtumondesdn.zip
h:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Virtumondesdn1.zip
h:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Virtumondesdn2.zip
h:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WebtoolstCPV.zip
h:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WebtoolstCPV1.zip
h:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WebtoolstCPV2.zip
h:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WebtoolstCPV3.zip
h:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WebtoolstCPV4.zip
h:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WebtoolstCPV5.zip
h:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\ZlobDownloader.zip
h:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\ZlobDownloader1.zip
h:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\ZlobDownloader2.zip
h:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
h:\dokumente und einstellungen\All Users\Anwendungsdaten\Symantec
h:\dokumente und einstellungen\All Users\Anwendungsdaten\Symantec\LiveUpdate\Product.Inventory.LiveUpdate
h:\dokumente und einstellungen\All Users\Anwendungsdaten\Symantec\LiveUpdate\Settings.LiveUpdate
h:\dokumente und einstellungen\All Users\Anwendungsdaten\Symantec\Shared\QBackup\{70FB2FF9-EF5B-4798-9D3C-3D23FC3FA47B}.qbi
h:\dokumente und einstellungen\All Users\Anwendungsdaten\Symantec\Shared\QBackup\{70FB2FF9-EF5B-4798-9D3C-3D23FC3FA47B}\{1F38D646-7A94-4228-979F-91B07E5D6AB7}.qbd
h:\dokumente und einstellungen\All Users\Anwendungsdaten\Symantec\Shared\QBackup\{70FB2FF9-EF5B-4798-9D3C-3D23FC3FA47B}\{1F38D646-7A94-4228-979F-91B07E5D6AB7}.qbi
h:\dokumente und einstellungen\All Users\Anwendungsdaten\Symantec\SubEng\platformid.dat
h:\dokumente und einstellungen\Besitzer\Anwendungsdaten\SUPERAntiSpyware.com
h:\programme\eMule
h:\programme\eMule\eMuleShellExt.dll
h:\programme\Gemeinsame Dateien\Symantec Shared
h:\programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcrst.dll
h:\programme\Gemeinsame Dateien\Symantec Shared\NPC\npcTray.dll
h:\programme\Gemeinsame Dateien\Symantec Shared\NPC\pcStatus.dll
h:\programme\Gemeinsame Dateien\Symantec Shared\SRTSP\SAVRT32.DLL.DeleteMe
h:\programme\Gemeinsame Dateien\Symantec Shared\SRTSP\SRTSP32.DLL.DeleteMe
h:\programme\Gemeinsame Dateien\Symantec Shared\SRTSP\SRTUNIN.DLL.DeleteMe
h:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008013020080131\index.dat
h:\windows\system32\deploytk.dll

.
((((((((((((((((((((((( Dateien erstellt von 2009-03-01 bis 2009-04-01 ))))))))))))))))))))))))))))))
.

2009-04-01 18:04 . 2009-04-01 18:03 73,728 --a------ h:\windows\system32\javacpl.cpl
2009-04-01 17:59 . 2009-04-01 17:59 <DIR> d-------- h:\programme\Foxit Software
2009-04-01 17:59 . 2009-04-01 17:59 <DIR> d-------- h:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Foxit
2009-04-01 13:50 . 2009-04-01 13:50 <DIR> d-------- h:\programme\Malwarebytes' Anti-Malware
2009-04-01 13:50 . 2009-04-01 13:50 <DIR> d-------- h:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Malwarebytes
2009-04-01 13:50 . 2009-04-01 13:50 <DIR> d-------- h:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-04-01 13:50 . 2009-03-26 16:49 38,496 --a------ h:\windows\system32\drivers\mbamswissarmy.sys
2009-04-01 13:50 . 2009-03-26 16:49 15,504 --a------ h:\windows\system32\drivers\mbam.sys
2009-03-31 21:33 . 2009-03-31 21:33 <DIR> d-------- h:\programme\Trend Micro
2009-03-31 21:16 . 2009-03-31 21:16 163 --a------ h:\windows\wininit.ini
2009-03-31 17:51 . 2009-03-31 17:51 68,424 --a------ h:\windows\system32\drivers\GRD.sys
2009-03-31 17:24 . 2009-03-31 17:46 48,712 --a------ h:\windows\system32\drivers\MiniIcpt.sys
2009-03-31 17:23 . 2009-03-31 17:50 51,016 --a------ h:\windows\system32\drivers\GDTdiIcpt.sys
2009-03-31 17:23 . 2009-03-31 17:46 32,328 --a------ h:\windows\system32\drivers\HookCentre.sys
2009-03-31 17:23 . 2009-03-31 17:23 22,272 --a------ h:\windows\system32\drivers\GDNdisIc.sys
2009-03-31 17:22 . 2009-03-31 17:23 <DIR> d-------- h:\programme\Gemeinsame Dateien\G DATA
2009-03-31 17:22 . 2009-03-31 17:22 <DIR> d-------- h:\programme\G DATA
2009-03-31 17:22 . 2009-03-31 17:32 <DIR> d-------- h:\dokumente und einstellungen\All Users\Anwendungsdaten\G DATA
2009-03-30 19:18 . 2009-03-30 19:18 <DIR> d-------- h:\programme\DEUTSCHLAND SPIELT
2009-03-30 18:00 . 2009-03-31 22:11 <DIR> d-------- h:\programme\a-squared Free
2009-03-27 02:18 . 2009-03-27 02:18 <DIR> d-------- h:\programme\PixiePack Codec Pack
2009-03-27 02:17 . 2009-03-27 02:17 <DIR> d-------- h:\programme\RapidSolution
2009-03-27 02:17 . 2009-03-27 02:19 <DIR> d-------- h:\dokumente und einstellungen\All Users\Anwendungsdaten\RapidSolution

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-01 18:49 --------- d-----w h:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-04-01 16:03 --------- d-----w h:\programme\Java
2009-04-01 15:52 --------- d-----w h:\programme\Gemeinsame Dateien\DVDVideoSoft
2009-04-01 15:45 --------- d--h--w h:\programme\InstallShield Installation Information
2009-04-01 12:22 --------- d-----w h:\programme\CCleaner
2009-04-01 12:15 --------- d-----w h:\programme\Yahoo!
2009-03-31 22:00 --------- d-----w h:\programme\PokerStars
2009-03-31 20:36 --------- d-----w h:\programme\Electronic Arts
2009-03-31 20:35 --------- d-----w h:\programme\Google
2009-03-30 17:19 --------- d-----w h:\dokumente und einstellungen\All Users\Anwendungsdaten\Intenium
2009-03-27 00:18 --------- d-----w h:\programme\Winamp
2009-03-26 00:04 --------- d-----w h:\dokumente und einstellungen\Besitzer\Anwendungsdaten\dvdcss
2009-03-16 18:53 --------- d-----w h:\dokumente und einstellungen\Besitzer\Anwendungsdaten\temp
2009-02-16 19:26 --------- d-----w h:\programme\EA SPORTS
2009-02-13 22:52 138,184 ----a-w h:\windows\system32\drivers\PnkBstrK.sys
2009-02-05 00:40 --------- d-----w h:\programme\DivX
2008-12-07 23:24 24,669 ---h--w h:\dokumente und einstellungen\Besitzer\Anwendungsdaten\config.dat
2008-11-13 16:17 22,328 ----a-w h:\dokumente und einstellungen\Besitzer\Anwendungsdaten\PnkBstrK.sys
2008-09-11 11:01 6,216 ----a-w h:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Patch-Master.exe.dat
2008-09-11 10:04 36,685 ----a-w h:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Patch-Master.exe2.dat
2008-09-11 10:04 33,339 ----a-w h:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Patch-Master.exe0.dat
2008-09-11 10:04 23,100 ----a-w h:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Patch-Master.exe3.dat
2008-09-11 10:04 128,264 ----a-w h:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Patch-Master.exe1.dat
2008-03-11 16:04 3,350 ----a-w h:\programme\Prefs.ead
2008-02-05 15:35 32 ----a-w h:\dokumente und einstellungen\All Users\Anwendungsdaten\ezsid.dat
2006-05-28 16:46 397,306 ----a-w h:\programme\wunauclt.tbe
2008-06-10 14:47 8,192 --sha-w h:\windows\o2cLicStore.bin

sp hier der 2. teil. da es doch ein wenig groß ist.




(((((((((((((((((((((((((((((((((((((((((((( Look )))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.

---- Directory of h:\windows\system32\win32 ----

h:\windows\system32\win32\


((((((((((((((((((((((((((((( SnapShot@2009-04-01_21.05.43,50 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-04-01 20:59:07 16,384 ----atw h:\windows\Temp\Perflib_Perfdata_1f0.dat
+ 2009-04-01 21:01:04 16,384 ----atw h:\windows\Temp\Perflib_Perfdata_9a4.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="h:\windows\system32\ctfmon.exe" [2007-12-01 15360]
"GMX_GMX MultiMessenger"="h:\programme\GMX\GMX MultiMessenger\MESSENGR.EXE" [2009-03-24 4982184]
"msnmsgr"="h:\programme\MSN Messenger\msnmsgr.exe" [2007-01-19 5674352]
"Messenger (Yahoo!)"="h:\programme\Yahoo!\Messenger\YahooMessenger.exe" [2008-11-05 4347120]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="h:\windows\System32\NvCpl.dll" [2007-06-28 8466432]
"NvMediaCenter"="h:\windows\System32\NvMcTray.dll" [2007-06-28 81920]
"LVCOMSX"="h:\programme\Gemeinsame Dateien\LogiShrd\LComMgr\LVComSX.exe" [2007-01-12 244512]
"VolPanel"="h:\programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanel.exe" [2006-04-05 122880]
"tsnpstd3"="h:\windows\tsnpstd3.exe" [2007-03-30 262144]
"snpstd3"="h:\windows\vsnpstd3.exe" [2006-09-19 827392]
"PPort11reminder"="h:\programme\ScanSoft\PaperPort\Ereg\Ereg.exe" [2007-02-01 255528]
"GDFirewallTray"="h:\programme\G DATA\TotalCare\Firewall\GDFirewallTray.exe" [2008-08-19 1037992]
"G DATA AntiVirus Trayapplication"="h:\programme\G DATA\TotalCare\AVKTray\AVKTray.exe" [2008-10-29 955976]
"nwiz"="nwiz.exe" [2007-06-28 h:\windows\system32\nwiz.exe]
"RTHDCPL"="RTHDCPL.EXE" [2007-04-11 h:\windows\RTHDCPL.exe]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-04-11 h:\windows\KHALMNPR.Exe]
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-04-11 h:\windows\KHALMNPR.Exe]
"CTHelper"="CTHELPER.EXE" [2006-05-24 h:\windows\CTHELPER.EXE]
"CTxfiHlp"="CTXFIHLP.EXE" [2006-05-24 h:\windows\system32\CTXFIHLP.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="h:\windows\System32\CTFMON.EXE" [2007-12-01 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.asv2"= asusasv2.dll
"msacm.mkdmp3enc"= h:\progra~1\CYBERL~1\POWERC~1\Kernel\Burner\MKDMP3Enc.ACM
"vidc.ffds"= ffdshow.ax
"msacm.ac3filter"= ac3filter.acm

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""

[HKLM\~\startupfolder\H:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Kodak EasyShare Software.lnk]
path=h:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Kodak EasyShare Software.lnk
backup=h:\windows\pss\Kodak EasyShare Software.lnkCommon Startup

[HKLM\~\startupfolder\H:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Logitech SetPoint.lnk]
path=h:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Logitech SetPoint.lnk
backup=h:\windows\pss\Logitech SetPoint.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BrMfcWnd]
--------- 2007-03-12 15:51 663552 h:\programme\Brother\Brmfcmon\BrMfcWnd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ControlCenter3]
--------- 2007-01-26 16:58 65536 h:\programme\Brother\ControlCenter3\BrCtrCen.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
--a------ 2008-01-17 18:51 486856 h:\programme\DAEMON Tools Lite\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EA Core]
--a------ 2008-07-22 12:34 2772992 h:\programme\Electronic Arts\EADM\Core.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GMX_GMX MultiMessenger]
--a------ 2009-03-24 13:12 4982184 h:\programme\GMX\GMX MultiMessenger\MESSENGR.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechCommunicationsManager]
--a------ 2007-01-12 04:09 488984 h:\programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
--a------ 2007-01-19 13:55 5674352 h:\programme\MSN Messenger\msnmsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCMService]
--a------ 2007-02-09 17:34 159744 h:\programme\CyberLink\PowerCinema\PCMService.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
--a------ 2007-02-12 20:16 65536 h:\programme\ASUS\ASUS Remote\RemoteControlAppl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SSBkgdUpdate]
--a------ 2006-10-25 10:03 210472 h:\programme\Gemeinsame Dateien\ScanSoft Shared\SSBkgdUpdate\SSBkgdUpdate.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\STYLEXP]
--a------ 2006-05-24 20:31 1372160 h:\programme\TGTSoft\StyleXP\StyleXP.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TomTomHOME.exe]
--a------ 2008-02-14 11:58 3977128 h:\programme\TomTom HOME\TomTomHOME.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
--a------ 2008-04-01 20:49 36352 h:\programme\Winamp\winampa.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"h:\\Programme\\Messenger\\msmsgs.exe"=
"h:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"h:\\Programme\\MSN Messenger\\livecall.exe"=
"h:\\WINDOWS\\system32\\PnkBstrA.exe"=
"h:\\WINDOWS\\system32\\PnkBstrB.exe"=
"c:\\Spiele\\GH3.exe"=
"c:\\Spiele\\THQ\\S.T.A.L.K.E.R. - Shadow of Chernobyl\\bin\\XR_3DA.exe"=
"c:\\Spiele\\THQ\\S.T.A.L.K.E.R. - Shadow of Chernobyl\\bin\\dedicated\\XR_3DA.exe"=
"h:\\Programme\\Kodak\\Kodak EasyShare software\\bin\\EasyShare.exe"=
"c:\\Spiele\\S.T.A.L.K.E.R. - Clear Sky\\bin\\xrEngine.exe"=
"c:\\Spiele\\S.T.A.L.K.E.R. - Clear Sky\\bin\\dedicated\\xrEngine.exe"=
"h:\\Programme\\Skype\\Phone\\Skype.exe"=
"h:\\Programme\\devolo\\informer\\devinf.exe"=
"h:\\Programme\\devolo\\easyshare\\easyshare.exe"=
"h:\\Programme\\2K Games\\Firaxis Games\\Sid Meier's Civilization 4 Complete\\Civilization4.exe"=
"h:\\Programme\\2K Games\\Firaxis Games\\Sid Meier's Civilization 4 Complete\\Warlords\\Civ4Warlords.exe"=
"h:\\Programme\\2K Games\\Firaxis Games\\Sid Meier's Civilization 4 Complete\\Beyond the Sword\\Civ4BeyondSword.exe"=
"h:\\Programme\\2K Games\\Firaxis Games\\Sid Meier's Civilization IV Colonization\\Colonization.exe"=
"h:\\Programme\\Ubisoft\\Far Cry 2\\bin\\FarCry2.exe"=
"h:\\Programme\\Ubisoft\\Far Cry 2\\bin\\FC2Launcher.exe"=
"h:\\Programme\\Ubisoft\\Far Cry 2\\bin\\FC2Editor.exe"=
"h:\\Programme\\Activision\\Call of Duty - World at War\\CoDWaW.exe"=
"h:\\Programme\\Activision\\Call of Duty - World at War\\CoDWaWmp.exe"=
"h:\\Programme\\iTunes\\iTunes.exe"=
"h:\\Programme\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"=
"h:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe"=

R0 GDNdisIc;GDNdisIc;h:\windows\system32\drivers\GDNdisIc.sys [2009-03-31 22272]
R1 GRD;G DATA Rootkit Detector Driver;h:\windows\system32\drivers\GRD.sys [2009-03-31 68424]
R2 acedrv10;acedrv10;h:\windows\system32\drivers\ACEDRV10.sys [2007-07-27 330144]
R2 acehlp10;acehlp10;h:\windows\system32\drivers\acehlp10.sys [2007-07-27 251680]
R2 AVKProxy;G DATA AntiVirus Proxy;h:\programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe [2008-08-19 1089608]
R2 AVKService;G DATA Scheduler;h:\programme\G DATA\TotalCare\AVK\AVKService.exe [2008-08-19 386120]
R2 AVKWCtl;AntiVirus Wächter;h:\programme\G DATA\TotalCare\AVK\AVKWCtl.exe [2008-08-14 1185496]
R2 GDTdiInterceptor;GDTdiInterceptor;h:\windows\system32\drivers\GDTdiIcpt.sys [2009-03-31 51016]
R2 PLCNDIS5;PLCNDIS5 NDIS Protocol Driver;h:\windows\system32\plcndis5.sys [2004-05-17 17280]
R3 3xHybrid;ASUSTek SAA713x PCI Card;h:\windows\system32\drivers\3xHybrid.sys [2008-01-30 2831232]
R3 GDFwSvc;G DATA Personal Firewall;h:\programme\G DATA\TotalCare\Firewall\GDFwSvc.exe [2008-08-15 1407976]
R3 GDMnIcpt;GDMnIcpt;h:\windows\system32\drivers\MiniIcpt.sys [2009-03-31 48712]
R3 HookCentre;HookCentre;h:\windows\system32\drivers\HookCentre.sys [2009-03-31 32328]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;h:\programme\MAGIX\Common\Database\bin\fbserver.exe [2008-09-04 1527900]
S3 G DATA Backup Service;G DATA Backup Service;h:\programme\G DATA\TotalCare\AVKBackup\AVKBackupService.exe [2008-08-22 880200]
S3 G DATA Tuner Service;G DATA Tuner Service;h:\programme\G DATA\TotalCare\AVKTuner\AVKTunerService.exe [2008-08-19 925768]
S3 PLCMPR5;PLCMPR5 NDIS Protocol Driver;\??\h:\windows\system32\PLCMPR5.SYS --> h:\windows\system32\PLCMPR5.SYS [?]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{621FCD24-4498-4324-A81E-07D331376EDF}]
h:\programme\PixiePack Codec Pack\InstallerHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{A263D05A-B60F-6F84-172E-8768576A7396}]
h:\windows\system32\win32\ctfmon.exe s
.
.
------- Zusätzlicher Suchlauf -------
.
Handler: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - h:\programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} - hxxp://static.pe.studivz.net/photouploader/ImageUploader5.cab?nocache=1209935184
FF - ProfilePath - h:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\3ip38pe1.default\
FF - prefs.js: browser.search.selectedEngine - Search
FF - component: h:\programme\Mozilla Firefox\extensions\{9AA46F4F-4DC7-4c06-97AF-5035170633FE}\components\avkwebfilterff.dll
.

**************************************************************************

catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-01 23:00:54
Windows 5.1.2600 Service Pack 3, v.3264 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...


h:\windows\TEMP\AvkHttp00001408.tmp 3398 bytes
h:\windows\TEMP\AvkHttp00002820.tmp 13249 bytes

Scan erfolgreich abgeschlossen
versteckte Dateien: 2

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-725345543-602162358-839522115-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:75,38,bf,ea,35,15,2f,66,62,f4,9e,8c,93,b0,d0,14,b9,80,13,67,29,77,e5,
98,12,a4,85,6c,b8,07,e1,ee,bc,0b,b3,d8,80,02,d2,0c,bf,95,bd,3f,de,af,d8,0a,\
"??"=hex:be,f5,87,9f,9e,c2,20,17,b0,57,3e,66,05,d5,8d,5d

[HKEY_USERS\S-1-5-21-725345543-602162358-839522115-1003\Software\SecuROM\License information*]
"datasecu"=hex:c7,d4,3d,9e,c6,18,49,68,76,37,86,05,83,c5,d6,f3,3a,10,7e,de,27,
21,83,01,c4,97,68,13,3b,fb,a4,02,2f,32,6b,22,4a,ca,9e,b1,f9,8c,5f,04,86,ad,\
"rkeysecu"=hex:5d,ed,84,da,bb,dd,d5,c3,a9,57,de,87,05,90,8e,a5
.
------------------------ Weitere laufende Prozesse ------------------------
.
h:\programme\TGTSoft\StyleXP\StyleXPService.exe
h:\programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
h:\windows\system32\CTSVCCDA.EXE
h:\programme\Java\jre6\bin\jqs.exe
h:\programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe
h:\windows\system32\nvsvc32.exe
h:\windows\system32\PnkBstrA.exe
h:\programme\CyberLink\Shared files\RichVideo.exe
h:\windows\system32\wdfmgr.exe
h:\windows\system32\rundll32.exe
h:\windows\system32\CTXFISPI.EXE
h:\windows\system32\wbem\wmiapsrv.exe
h:\windows\system32\wscntfy.exe
h:\programme\MSN Messenger\usnsvc.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-04-01 23:04:34 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-04-01 21:04:31
ComboFix2.txt 2009-04-01 19:28:28
ComboFix3.txt 2009-04-01 19:06:55

Vor Suchlauf: 12 Verzeichnis(se), 19.778.527.232 Bytes frei
Nach Suchlauf: 10 Verzeichnis(se), 19,728,834,560 Bytes frei

329

Spybot hat ja einiges gefunden: Zlob, Vundo,

Der Rechner funktioniert noch? Na dann löschen wir gleich weiter.

Scripten mit Combofix

• Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code: Alles auswählenAufklappen

ATTFilter

KILLALL::

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"=-
[-HKLM\~\startupfolder\H:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Kodak EasyShare Software.lnk]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
[-HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{A263D05A-B60F-6F84-172E-8768576A7396}]

File::
h:\windows\TEMP\AvkHttp00001408.tmp
h:\windows\TEMP\AvkHttp00002820.tmp

Folder::
h:\windows\system32\win32\
         

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

• Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

• Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

ja läuft eigendlich richtig gut. mir kommt es aber so vor als könnten wir immer so weiter machen. den kaum ist was weg, ist wieder was da.

Nö, die Sachen hätte ich auch gleich beim ersten Mal löschen können, wollte nur vorsichtig sein, sonst bekomme ich wieder Schimpfe von meiner Heldin Myrtille. Ein Ordner wollte ich erstmal ansehen, bevor er gelöscht wird. Passt schon. Nächste Script laufen lassen.

ciao, andreas

auf ein neues

Wie geht es dem Rechner? Noch irgendwelche Auffälligkeiten oder Meldungen?

1.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde. Nach Neustart kann sie wieder aktiviert werden.

2.) Start => Ausführen => combofix /u => OK

ciao, andreas

bis jetzt würde ich sagen, geht es ihm wie immer.
meldungen kamen nur heute früh 2 wo auf dateien zugegriffen werden wollte die von nem trojaner stammen. die sind aber in der quarantäne gelandet.

war es das jetzt???? und wenn ja dan bedanke ich mich.

und wie kann ich mich schützen, das das nicht wieder passiert das ich aufeinmal soviele habe. war norton wohl doch nicht so gut.

Zitat:

war norton wohl doch nicht so gut.

Der Satz kann an dem Wettbewerb "Untertreibung des Jahres" teilnehmen. Deine Gewinnaussichten sind groß.

Kaspersky Online Scan

Überprüfe Dein komplettes System mit dem Kaspersky Online-Scanner. Bitte während des Scans alle evtl. vorhandenen externen Festplatten einschalten/anschließen. Außerdem während des Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliche) abstellen und nicht vergessen, sie hinterher wieder einzuschalten.

• Kaspersky Online Scanner
  • Anmerkung für Vista-User: Bitte den Browser unbedingt als Administrator starten.
  • Java muss installiert, aktiv und erlaubt sein.
  • Bebilderte Anleitung von sundavis.
  • Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick.
  • Wir werden Dir helfen, die Funde manuell vom System zu entfernen.
  • Die Datenschutzerklärung akzeptieren.
  • Programm installieren lassen.
  • Update der Signaturen installieren lassen.
  • Wenn der Status "Complete" ist,
  • Scan-Einstellungen (Settings) Standard lassen
  • Links den Link "My Computer" anklicken.
  • Scan beginnt automatisch.
  • Wenn der Scan fertig ist, auf "View scan report" klicken,
  • "Save report as" und Dateityp auf .txt umstellen,
  • und auf dem Desktop als Kaspersky.txt speichern.
  • Logdatei hier posten.
  • Deinstallation ist nicht nötig, alle Dateien werden in temporären Ordnern gespeichert.

ciao, andreas

das geht bei mir nicht. bein runterladen bricht er immer ab.