Nun ist es mir auch passiert.
Mein Rechner ist infiziert.

Seit 3 Tagen versuche ich nun das Problem zu lösen, allerdings ohne Erfolg.

Nun zu den Fakten.
AVG AntiVirus findet immer wieder mehrer "Trojan horse BackDoor.Generic11.HUH" nach dem Scann wird ein Neustart verlangt um die Reinigung abzuschließen aber auch danach kommt er wieder.

Folgende Dateien werden immer wieder gefunden:

C:\WINNT\system32\autochk.dll
C:\WINNT\Temp\msb.dll
C:\Dokumente und Einstellungen\*USERNAME*\protect.dll

dazu Registry-Einträge zur autochk.dll

Habe versucht im abgesicherten Modus Ad-Aware / Malwarebytes' Anti-Malware / AVG durchlaufen zu lassen, was scheinbar auch funktionierte und ein weitere Scann im abgesicherten Modus fand auch nichts mehr.
Allerdings nach einem Start im normalen Modus wurde AVG wieder fündig

Ad Aware und Malwarebytes' Anti-Malware lassen sich im normalen Modus nicht durchführen.

Zudem habe ich Netz Probleme mit Seitenaufrufen, die werden zur Zeit umgeleitet (seocash.us / google-redirect.com)

HiJackThis habe ich bereits runtergeladen und installiert. Werde den Scannbericht gleich posten.

Danke schon mal für eure Hilfe!

So hier das HJT-Log

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:00:26, on 30.04.2009
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
D:\Programme\Sygate\SPF\smc.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\acs.exe
D:\programme\xampp\apache\bin\apache.exe
C:\WINNT\ATKKBService.exe
d:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
D:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Interbase Corp\Interbase\bin\ibguard.exe
C:\Programme\Java\jre6\bin\jqs.exe
d:\PROGRA~1\AVG\AVG8\avgnsx.exe
D:\Programme\xampp\mysql\bin\mysqld-nt.exe
d:\Programme\AVG\AVG8\avgrsx.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\tcpsvcs.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
d:\PROGRA~1\AVG\AVG8\avgemc.exe
d:\Programme\AVG\AVG8\avgcsrvx.exe
D:\programme\xampp\apache\bin\apache.exe
C:\Programme\Interbase Corp\Interbase\bin\ibserver.exe
C:\WINNT\system32\spool\DRIVERS\W32X86\2\fpdisp4.exe
D:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\WINNT\RTHDCPL.EXE
D:\Programme\T-DSL SpeedManager\SpeedMgr.exe
D:\PROGRA~1\AVG\AVG8\avgtray.exe
D:\Programme\Multimedia Mouse Driver\V5\StartAutorun.exe
D:\Programme\Cherry\KeyMan\KeyMan.exe
C:\Programme\Java\jre6\bin\jusched.exe
D:\Programme\Multimedia Mouse Driver\V5\KMConfig.exe
C:\WINNT\system32\internat.exe
D:\Programme\Multimedia Mouse Driver\V5\KMProcess.exe
C:\Programme\Skype\Phone\Skype.exe
D:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
D:\Programme\Rainlendar2\Rainlendar2.exe
D:\Programme\Cherry\CDI\cdi.exe
D:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
d:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\Programme\Skype\Plugin Manager\SkypePM.exe
d:\Programme\AVG\AVG8\avgui.exe
D:\totalcmd\TOTALCMD.EXE
D:\Programme\Mozilla Thunderbird\thunderbird.exe
D:\Programme\Mozilla Firefox\firefox.exe
\?\globalroot\C:\WINNT\system32\rundll32.exe
C:\WINNT\NOTEPAD.EXE
d:\Programme\AVG\AVG8\avgscanx.exe
d:\Programme\AVG\AVG8\avgcsrvx.exe
C:\WINNT\system32\taskmgr.exe
C:\WINNT\explorer.exe
d:\Programme\AVG\AVG8\avgscanx.exe
d:\Programme\AVG\AVG8\avgcsrvx.exe
D:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINNT\system32\NOTEPAD.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.5000.1021\de\msntb.dll
O3 - Toolbar: FlashGet - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - d:\Programme\FlashGet\fgiebar.dll
O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - d:\Programme\AVG\AVG8\avgtoolbar.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [FinePrint Dispatcher v4] C:\WINNT\system32\spool\DRIVERS\W32X86\2\fpdisp4.exe
O4 - HKLM\..\Run: [SmcService] D:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "D:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "D:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [AVG8_TRAY] d:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KMConfig] "D:\Programme\Multimedia Mouse Driver\V5\StartAutorun.exe" KMConfig.exe
O4 - HKLM\..\Run: [CherryKeyMan] "D:\Programme\Cherry\KeyMan\KeyMan.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Ad-Watch] C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [WorkDayManager] "D:\Eigene Programme\ArbeittsTagManager\WorkDayManager.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "D:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [Rainlendar2] d:\Programme\Rainlendar2\Rainlendar2.exe
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - .DEFAULT Startup: ChkDisk.lnk = C:\WINNT\system32\rundll32.exe (User 'Default user')
O4 - Startup: ChkDisk.lnk = C:\WINNT\system32\rundll32.exe
O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = D:\Programme\Adobe\Acrobat 7.0\Acrobat\acrobat_sl.exe
O4 - Global Startup: BTTray.lnk = D:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Alles mit FlashGet laden - D:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: &Mit FlashGet laden - D:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Convert link target to Adobe PDF - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Send to Keyman - D:\Programme\Cherry\KeyMan\IEMenuExtKeyman.html
O8 - Extra context menu item: Senden an &Bluetooth - D:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - d:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - d:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - d:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - D:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - D:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - d:\Programme\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - d:\Programme\FlashGet\FlashGet.exe
O9 - Extra button: XM2002® - {ECC5777A-6E88-BFCE-13CE-81F134789E7B} - D:\Programme\IPPS\XM2002®\XM2002.exe (file missing)
O9 - Extra 'Tools' menuitem: &XM2002® - {ECC5777A-6E88-BFCE-13CE-81F134789E7B} - D:\Programme\IPPS\XM2002®\XM2002.exe (file missing)
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - d:\Programme\IrfanView\Ebay\Ebay.htm
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - d:\Programme\AVG\AVG8\avgpp.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: avgrsstarter - C:\WINNT\SYSTEM32\avgrsstx.dll
O23 - Service: TP-LINK Configuration Service (ACS) - Unknown owner - C:\WINNT\system32\acs.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apache2.2 - Apache Software Foundation - D:\programme\xampp\apache\bin\apache.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINNT\ATKKBService.exe
O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - d:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - d:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - D:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Cherry Device Interface - Cherry Gmbh, Auerbach Germany, www.cherry.de - D:\Programme\Cherry\CDI\cdi.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InterBase Guardian (InterBaseGuardian) - InterBase Software Corp. - C:\Programme\Interbase Corp\Interbase\bin\ibguard.exe
O23 - Service: InterBase Server (InterBaseServer) - InterBase Software Corp. - C:\Programme\Interbase Corp\Interbase\bin\ibserver.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: mysql - Unknown owner - D:\Programme\xampp\mysql\bin\mysqld-nt.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - d:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - d:\Programme\Spyware Doctor\pctsSvc.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - D:\Programme\Sygate\SPF\smc.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - d:\Programme\T-DSL SpeedManager\tsmsvc.exe

--
End of file - 11217 bytes

Hi,

damit schlage ich mich in einem anderen Thread schon rum...
Der arbeitet wohl mit einem Rootkit zusammen (da was es so, mal sehen was hier rauskommt)...

Combofix
Lade ComboFix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.
Weitere Anleitung unter:http://www.bleepingcomputer.com/comb...x-benutzt-wird
Hinweis: unter : C:\WINDOWS\erdnt
wird ein Backup angelegt.
Alternative downloads: http://subs.geekstogo.com/ComboFix.exe

chris

Hallo Chris4You,
danke für die schnelle Antwort,

Hier der Log von ComboFix:

ComboFix 09-04-29.03 - XXX 30.04.2009 11:30.1 - NTFSx86
Microsoft Windows 2000 Professional 5.0.2195.4.1252.49.1031.18.2047.1489 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\XXX\Desktop\ComboFix.exe

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\winnt\system32\autochk.dll
c:\winnt\system32\drivers\ovfsthxtkbmlwpp.sys
c:\winnt\system32\ovfsthxamuqbpfa.dll
c:\winnt\system32\ovfsthxkicodqql.dat
c:\winnt\system32\ovfsthxrqjkvtno.dat
c:\winnt\system32\ovfsthxtogwuuns.dll
c:\winnt\system32\ovfsthxvrdoeieq.dll
c:\winnt\Web\default.htt

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_ovfsthxtbaiyblh


((((((((((((((((((((((( Dateien erstellt von 2009-05-28 bis 2009-4-30 ))))))))))))))))))))))))))))))
.

2009-04-29 22:42 . 2009-04-29 22:42 16384 ----atw c:\winnt\system32\Perflib_Perfdata_56c.dat
2009-04-29 22:09 . 2009-04-29 22:09 16384 ----atw c:\winnt\system32\Perflib_Perfdata_550.dat
2009-04-29 22:06 . 2009-04-29 22:06 16384 ----atw c:\winnt\system32\Perflib_Perfdata_394.dat
2009-04-29 13:09 . 2009-04-29 13:09 16384 ----atw c:\winnt\system32\Perflib_Perfdata_36c.dat
2009-04-28 23:12 . 2009-04-28 23:12 16384 ----atw c:\winnt\system32\Perflib_Perfdata_554.dat
2009-04-28 23:11 . 2009-04-28 23:11 16384 ----atw c:\winnt\system32\Perflib_Perfdata_3b0.dat
2009-04-28 23:04 . 2009-04-28 23:03 64160 ----a-w c:\winnt\system32\drivers\Lbd.sys
2009-04-28 23:02 . 2009-04-28 23:02 -------- dc-h--w c:\dokumente und einstellungen\All Users.WINNT\Anwendungsdaten\{83C91755-2546-441D-AC40-9A6B4B860800}
2009-04-28 22:54 . 2008-12-11 06:38 159600 ----a-w c:\winnt\system32\drivers\pctgntdi.sys
2009-04-28 22:54 . 2008-12-18 10:16 73840 ----a-w c:\winnt\system32\drivers\PCTAppEvent.sys
2009-04-28 22:54 . 2009-04-03 09:18 130936 ----a-w c:\winnt\system32\drivers\PCTCore.sys
2009-04-28 22:54 . 2009-04-30 07:30 -------- d---a-w c:\dokumente und einstellungen\All Users.WINNT\Anwendungsdaten\TEMP
2009-04-28 22:54 . 2009-04-28 22:55 -------- d-----w c:\programme\Gemeinsame Dateien\PC Tools
2009-04-28 22:54 . 2008-12-10 09:36 64392 ----a-w c:\winnt\system32\drivers\pctplsg.sys
2009-04-28 22:54 . 2002-05-15 13:16 360448 ----a-w c:\winnt\system32\oleacc.dll
2009-04-28 22:54 . 2002-05-15 13:16 356352 -c--a-w c:\winnt\system32\dllcache\oleaccrc.dll
2009-04-28 22:54 . 2002-05-15 13:16 356352 ----a-w c:\winnt\system32\oleaccrc.dll
2009-04-28 22:54 . 2002-05-15 13:16 462848 ----a-w c:\winnt\system32\msaatext.dll
2009-04-28 22:54 . 2009-04-28 22:54 -------- d-----w c:\dokumente und einstellungen\All Users.WINNT\Anwendungsdaten\PC Tools
2009-04-28 22:36 . 2009-04-28 22:57 -------- d-----w c:\programme\Enigma Software Group
2009-04-28 22:32 . 2009-04-28 23:01 -------- d-----w c:\programme\Gemeinsame Dateien\ParetoLogic
2009-04-28 17:03 . 2009-04-28 17:03 -------- d-----w c:\winnt\ERUNT
2009-04-28 16:55 . 2009-04-28 21:23 -------- d-----w C:\SDFix
2009-04-28 16:43 . 2009-04-06 13:32 15504 ----a-w c:\winnt\system32\drivers\mbam.sys
2009-04-28 16:43 . 2009-04-06 13:32 38496 ----a-w c:\winnt\system32\drivers\mbamswissarmy.sys
2009-04-28 16:43 . 2009-04-28 16:43 -------- d-----w c:\dokumente und einstellungen\All Users.WINNT\Anwendungsdaten\Malwarebytes
2009-04-27 19:31 . 2009-04-28 23:02 -------- d-----w c:\programme\Lavasoft
2009-04-27 19:31 . 2009-04-27 19:31 -------- d-----w c:\dokumente und einstellungen\All Users.WINNT\Anwendungsdaten\Lavasoft
2009-04-27 15:38 . 2009-04-27 15:38 -------- d-----w c:\dokumente und einstellungen\Default User.WINNT\Anwendungsdaten\AVGTOOLBAR
2009-04-08 12:09 . 2009-04-08 12:09 16384 ----atw c:\winnt\system32\Perflib_Perfdata_328.dat

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-30 09:30 . 2009-04-30 09:30 16384 ----atw c:\winnt\system32\Perflib_Perfdata_470.dat
2009-04-30 09:28 . 2009-04-30 09:28 16384 ----atw c:\winnt\system32\Perflib_Perfdata_348.dat
2009-04-27 17:57 . 2008-11-13 12:46 1325568 ----a-w c:\winnt\system32\semtempl.dll
2009-04-19 09:21 . 2008-05-17 00:21 10520 ----a-w c:\winnt\system32\avgrsstx.dll
2009-04-19 09:21 . 2008-05-17 00:21 325640 ----a-w c:\winnt\system32\drivers\avgldx86.sys
2009-04-19 09:21 . 2008-05-17 00:21 108552 ----a-w c:\winnt\system32\drivers\avgtdix.sys
2009-04-09 14:53 . 2006-06-12 22:51 -------- d--h--w c:\programme\InstallShield Installation Information
2009-04-02 18:05 . 2006-06-14 22:22 -------- d-----w c:\programme\Java
2009-03-23 09:22 . 2009-03-23 09:22 -------- d-----w c:\programme\OO Software
2009-03-11 17:22 . 2007-02-07 20:46 -------- d-----w c:\programme\DivX
2009-03-09 03:19 . 2008-12-12 23:49 410984 ----a-w c:\winnt\system32\deploytk.dll
2009-03-03 12:28 . 2009-03-03 12:28 583168 ----a-w c:\winnt\system32\WININET.DLL
2009-02-23 09:16 . 2009-02-23 09:16 16384 ----atw c:\winnt\system32\Perflib_Perfdata_320.dat
2009-02-19 00:39 . 2006-06-12 22:51 1228800 ----a-w c:\winnt\system32\quartz.dll
2009-02-08 19:49 . 1999-12-07 23:29 1644944 ----a-w c:\winnt\system32\WIN32K.SYS
2009-02-04 04:20 . 2009-02-04 04:20 47376 ----a-w c:\winnt\system32\secur32.dll
2006-06-12 17:01 . 2006-06-12 17:01 271 ---h--w c:\programme\desktop.ini
2006-06-12 17:01 . 2006-06-12 17:01 22080 ---h--w c:\programme\folder.htt
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Skype"="c:\programme\Skype\Phone\Skype.exe" [2008-09-23 21755688]
"WorkDayManager"="d:\eigene programme\ArbeittsTagManager\WorkDayManager.exe" [2007-01-07 656896]
"H/PC Connection Agent"="d:\programme\Microsoft ActiveSync\WCESCOMM.EXE" [2004-02-09 401491]
"Rainlendar2"="d:\programme\Rainlendar2\Rainlendar2.exe" [2009-02-21 4333568]
"internat.exe"="internat.exe" - c:\winnt\system32\internat.exe [1999-12-10 20752]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\winnt\system32\NvCpl.dll" [2006-10-22 7700480]
"FinePrint Dispatcher v4"="c:\winnt\system32\spool\DRIVERS\W32X86\2\fpdisp4.exe" [2001-12-28 356352]
"SmcService"="d:\progra~1\Sygate\SPF\smc.exe" [2004-02-24 2372760]
"Acrobat Assistant 7.0"="d:\programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" [2004-12-14 483328]
"T-DSL SpeedMgr"="d:\programme\T-DSL SpeedManager\SpeedMgr.exe" [2003-12-02 385024]
"AVG8_TRAY"="d:\progra~1\AVG\AVG8\avgtray.exe" [2009-04-19 1932568]
"NvMediaCenter"="c:\winnt\system32\NvMcTray.dll" [2006-10-22 86016]
"KMConfig"="d:\programme\Multimedia Mouse Driver\V5\StartAutorun.exe" [2007-03-06 212992]
"CherryKeyMan"="d:\programme\Cherry\KeyMan\KeyMan.exe" [2005-09-21 254004]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-03-09 148888]
"Ad-Watch"="c:\programme\Lavasoft\Ad-Aware\AAWTray.exe" [2009-04-28 516440]
"Synchronization Manager"="mobsync.exe" - c:\winnt\system32\mobsync.exe [2003-06-19 112400]
"RTHDCPL"="RTHDCPL.EXE" - c:\winnt\RTHDCPL.exe [2006-07-21 16261632]
"SkyTel"="SkyTel.EXE" - c:\winnt\SkyTel.exe [2006-05-16 2879488]
"nwiz"="nwiz.exe" - c:\winnt\system32\nwiz.exe [2006-10-22 1622016]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"internat.exe"="internat.exe" - c:\winnt\system32\internat.exe [1999-12-10 20752]

c:\dokumente und einstellungen\Default User.WINNT\Startmen�\Programme\Autostart\
ChkDisk.lnk - c:\winnt\system32\rundll32.exe [1999-12-10 10000]

c:\dokumente und einstellungen\Default User.WINNT\Startmen�\Programme\Autostart\
ChkDisk.lnk - c:\winnt\system32\rundll32.exe [1999-12-10 10000]

c:\dokumente und einstellungen\Default User.WINNT\Startmen�\Programme\Autostart\
ChkDisk.lnk - c:\winnt\system32\rundll32.exe [1999-12-10 10000]

c:\dokumente und einstellungen\XXX L‚\Startmen�\Programme\Autostart\
ChkDisk.lnk - c:\winnt\system32\rundll32.exe [1999-12-10 10000]

c:\dokumente und einstellungen\All Users.WINNT\Startmen�\Programme\Autostart\
Adobe Acrobat Speed Launcher.lnk - c:\winnt\Installer\{AC76BA86-1033-0000-7760-000000000002}\SC_Acrobat.exe [2006-7-10 25214]
BTTray.lnk - d:\programme\WIDCOMM\Bluetooth Software\BTTray.exe [2003-9-15 503869]
Microsoft Office.lnk - d:\programme\Microsoft Office\Office\OSA9.EXE [1999-2-17 65588]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]
2009-04-19 09:21 10520 ----a-w c:\winnt\system32\avgrsstx.dll

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32
"aux"= mmdrv.dll
"wave3"=
"wave4"=
"wave5"=
"wave6"=
"wave7"=
"wave8"=
"wave9"=
"midi2"=
"midi3"=
"midi4"=
"midi5"=
"midi6"=
"midi7"=
"midi8"=
"midi9"=
"aux3"=
"aux4"=
"aux5"=
"aux6"=
"aux7"=
"aux8"=
"aux9"=
"mixer3"=
"mixer4"=
"mixer5"=
"mixer6"=
"mixer7"=
"mixer8"=
"mixer9"=

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"

R3 Cherry Device Interface;Cherry Device Interface;d:\programme\Cherry\CDI\cdi.exe [2005-08-03 569390]
R3 MBAMSwissArmy;MBAMSwissArmy;c:\winnt\system32\drivers\mbamswissarmy.sys [2009-04-06 38496]
R3 sdAuxService;PC Tools Auxiliary Service;d:\programme\Spyware Doctor\pctsAuxs.exe [2009-01-07 348752]
R3 TNPacket;T-Systems Nova Packet Capture Driver;d:\programme\T-DSL SpeedManager\TNPACKET.SYS [2002-10-09 9376]
R3 TSMPacket;T-DSL SpeedManager Service; [x]
R3 VC4CB104;USB PC Camera;c:\winnt\system32\Drivers\VC4CB104.SYS [2006-07-04 81924]
S0 Lbd;Lbd;c:\winnt\system32\DRIVERS\Lbd.sys [2009-04-28 64160]
S0 PCTCore;PCTools KDS;c:\winnt\system32\drivers\PCTCore.sys [2009-04-03 130936]
S1 AvgLdx86;AVG AVI Loader Driver x86;c:\winnt\System32\Drivers\avgldx86.sys [2009-04-19 325640]
S1 AvgTdiX;AVG8 Network Redirector;c:\winnt\System32\Drivers\avgtdix.sys [2009-04-19 108552]
S2 Apache2.2;Apache2.2;d:\programme\xampp\apache\bin\apache.exe [2008-06-14 17408]
S2 avg8emc;AVG8 E-mail Scanner;d:\progra~1\AVG\AVG8\avgemc.exe [2009-04-19 908056]
S2 avg8wd;AVG8 WatchDog;d:\progra~1\AVG\AVG8\avgwdsvc.exe [2009-04-19 298264]
S2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\programme\Lavasoft\Ad-Aware\AAWService.exe [2009-04-28 953168]
S2 NBSPortDriver;NBSPortDriver;c:\winnt\system32\DRIVERS\NBSPortDriver.sys [2007-05-21 17912]
S2 vnccom;vnccom;c:\winnt\system32\Drivers\vnccom.SYS [2004-06-26 6016]
S3 Ch2kPS2;Cherry PS/2 Tastatur Treiber (CDI);c:\winnt\system32\DRIVERS\Ch2kPS2.sys [2005-04-29 134254]
S3 usbhub20;USB 2.0-Root-Hub-Support;c:\winnt\system32\DRIVERS\usbhub20.sys [2003-06-19 49776]

.
Inhalt des "geplante Tasks" Ordners

2009-04-28 c:\winnt\Tasks\Ad-Aware Update (Weekly).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-01-18 23:03]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-autochk - c:\winnt\system32\autochk.dll


.
------- Zusätzlicher Suchlauf -------
.
uStart Page =
IE: &Alles mit FlashGet laden - d:\programme\FlashGet\jc_all.htm
IE: &Mit FlashGet laden - d:\programme\FlashGet\jc_link.htm
IE: Convert link target to Adobe PDF - d:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convert link target to existing PDF - d:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convert selected links to Adobe PDF - d:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Convert selected links to existing PDF - d:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Convert selection to Adobe PDF - d:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convert selection to existing PDF - d:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convert to Adobe PDF - d:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convert to existing PDF - d:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Send to Keyman - d:\programme\Cherry\KeyMan\IEMenuExtKeyman.html
IE: Senden an &Bluetooth - d:\programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: {{c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm
IE: {{ECC5777A-6E88-BFCE-13CE-81F134789E7B} - d:\programme\IPPS\XM2002®\XM2002.exe
LSP: %SystemRoot%\system32\msafd.dll
DPF: DirectAnimation Java Classes - file://c:\winnt\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\winnt\Java\classes\xmldso.cab
FF - ProfilePath - c:\dokumente und einstellungen\XXX\Anwendungsdaten\Mozilla\Firefox\Profiles\cs7fe47f.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - Leo Eng<->Ger
FF - prefs.js: browser.startup.homepage - hxxp://www.benfica-online.de/index.php?hidden=1
FF - component: c:\dokumente und einstellungen\XXX\Anwendungsdaten\Mozilla\Firefox\Profiles\cs7fe47f.default\extensions\{463F6CA5-EE3C-4be1-B7E6-7FEE11953374}\platform\WINNT\components\FoxyTunes.dll
FF - component: c:\dokumente und einstellungen\XXX\Anwendungsdaten\Mozilla\Firefox\Profiles\cs7fe47f.default\extensions\{6AC85730-7D0F-4de0-B3FA-21142DD85326}\platform\WINNT\components\ColorZilla.dll
FF - plugin: d:\programme\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll
FF - plugin: d:\programme\Mozilla Firefox\plugins\NPAdbESD.dll
FF - plugin: d:\programme\Mozilla Firefox\plugins\npatgpc.dll
FF - plugin: d:\programme\Mozilla Firefox\plugins\NpFp415.dll
FF - plugin: d:\programme\Mozilla Firefox\plugins\NpFv415.dll
FF - plugin: d:\programme\Mozilla Firefox\plugins\npoctoshape.dll
FF - plugin: d:\programme\QuickTime\Plugins\npqtplugin.dll
FF - plugin: d:\programme\QuickTime\Plugins\npqtplugin2.dll
FF - plugin: d:\programme\QuickTime\Plugins\npqtplugin3.dll
FF - plugin: d:\programme\QuickTime\Plugins\npqtplugin4.dll
FF - plugin: d:\programme\QuickTime\Plugins\npqtplugin5.dll
FF - plugin: d:\programme\QuickTime\Plugins\npqtplugin6.dll
FF - plugin: d:\programme\QuickTime\Plugins\npqtplugin7.dll
FF - plugin: d:\programme\Real Alternative\browser\plugins\nppl3260.dll
FF - plugin: d:\programme\Real Alternative\browser\plugins\nprpjplug.dll

---- FIREFOX Richtlinien ----
FF - user.js: yahoo.homepage.dontask - true.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-30 11:32
Windows 5.0.2195 Service Pack 4 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1645522239-1580818891-839522115-1000\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:8c,cf,2c,81,5b,d5,ac,f0,a4,9c,d0,b3,f6,12,ae,fc,07,72,95,1f,8d,0c,85,
da,38,fb,48,eb,db,e5,a7,8f,45,03,7d,06,c2,dd,b4,84,f7,b4,40,43,ca,58,b6,a0,\
"??"=hex:ec,7e,b4,c2,3a,db,09,bf,8a,55,a4,14,59,c0,17,dd

[HKEY_USERS\S-1-5-21-1645522239-1580818891-839522115-1000\Software\SecuROM\License information*]
"datasecu"=hex:38,b6,d2,7f,53,aa,6c,34,17,d4,bf,75,97,6d,34,31,dc,a2,65,41,b4,
3a,06,b1,11,f4,69,05,3e,87,08,23,02,18,96,83,73,1d,9d,f6,0e,f2,33,e9,2d,5d,\
"rkeysecu"=hex:1d,dd,43,8b,f7,dd,dd,31,e9,92,54,48,71,d9,24,2f
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(324)
c:\winnt\system32\SSSensor.dll
c:\winnt\system32\msv1_0.dll
c:\winnt\system32\wzcdlg.dll
c:\winnt\system32\WZCSAPI.DLL

- - - - - - - > 'lsass.exe'(368)
c:\winnt\system32\mpr.dll
.
Zeit der Fertigstellung: 2009-04-30 11:33
ComboFix-quarantined-files.txt 2009-04-30 09:33

Vor Suchlauf: 1.783.328.768 Bytes frei
Nach Suchlauf: 2.176.565.248 Bytes frei

252 --- E O F --- 2009-04-17 06:09

Hi,

das sieht recht gut aus, der Rootkit wurde von Combofix erwischt...
Die Regeinträge müssen noch weg:

Code: Alles auswählenAufklappen

ATTFilter

c:\dokumente und einstellungen\Default User.WINNT\Startmen�\Programme\Autostart\
ChkDisk.lnk - c:\winnt\system32\rundll32.exe [1999-12-10 10000]

c:\dokumente und einstellungen\Default User.WINNT\Startmen�\Programme\Autostart\
ChkDisk.lnk - c:\winnt\system32\rundll32.exe [1999-12-10 10000]

c:\dokumente und einstellungen\Default User.WINNT\Startmen�\Programme\Autostart\
ChkDisk.lnk - c:\winnt\system32\rundll32.exe [1999-12-10 10000]

c:\dokumente und einstellungen\XXX L‚\Startmen�\Programme\Autostart\
ChkDisk.lnk - c:\winnt\system32\rundll32.exe [1999-12-10 10000]
         

Versuche sie mit dem Autostartmanager zu entfernen...
http://www.zdnet.de/windows_system_verbessern_autostart_manager_2006_download-39002345-30529-1.htm

Danach bitte unbedingt MAM laufen lassen...
Malwarebytes Antimalware (MAM).
Anleitung&Download hier: http://www.trojaner-board.de/51187-malwarebytes-anti-malware.html
Fullscan und alles bereinigen lassen! Log posten.
Alternativer Download: http://filepony.de/download-malwarebytes_anti_malware/, http://www.gt500.org/malwarebytes/mbam.jsp

Poste dann noch mal ein HJ-Log und das MAM-Log...

chris

Denke es sieht gut aus. MAM hat zwar noch eine Datei gefunden, aber die befand sich bereits in Quarantäne.
Was meinst du?

Hier des MAM-Logfile
Malwarebytes' Anti-Malware 1.36
Datenbank Version: 2054
Windows 5.0.2195 Service Pack 4

30.04.2009 15:10:56
mbam-log-2009-04-30 (15-10-47).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|J:\|)
Durchsuchte Objekte: 344766
Laufzeit: 1 hour(s), 23 minute(s), 30 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Qoobox\Quarantine\C\WINNT\system32\autochk.dll.vir (Worm.Autorun) -> No action taken.

und hier das HJT-Logfile

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:13:22, on 30.04.2009
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
D:\Programme\Sygate\SPF\smc.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\acs.exe
D:\programme\xampp\apache\bin\apache.exe
C:\WINNT\ATKKBService.exe
d:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
D:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Interbase Corp\Interbase\bin\ibguard.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
D:\Programme\xampp\mysql\bin\mysqld-nt.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\System32\tcpsvcs.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
d:\PROGRA~1\AVG\AVG8\avgemc.exe
d:\Programme\AVG\AVG8\avgcsrvx.exe
d:\PROGRA~1\AVG\AVG8\avgrsx.exe
d:\PROGRA~1\AVG\AVG8\avgnsx.exe
D:\programme\xampp\apache\bin\apache.exe
C:\Programme\Interbase Corp\Interbase\bin\ibserver.exe
C:\WINNT\system32\MSTask.exe
d:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\WINNT\explorer.exe
D:\Programme\Mozilla Firefox\firefox.exe
D:\totalcmd\TOTALCMD.EXE
C:\Programme\Macromedia\Dreamweaver 8\dreamweaver.exe
D:\Programme\Malwarebytes' Anti-Malware\mbam.exe
D:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.5000.1021\de\msntb.dll
O3 - Toolbar: FlashGet - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - d:\Programme\FlashGet\fgiebar.dll
O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - d:\Programme\AVG\AVG8\avgtoolbar.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [FinePrint Dispatcher v4] C:\WINNT\system32\spool\DRIVERS\W32X86\2\fpdisp4.exe
O4 - HKLM\..\Run: [SmcService] D:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "D:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "D:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [AVG8_TRAY] d:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KMConfig] "D:\Programme\Multimedia Mouse Driver\V5\StartAutorun.exe" KMConfig.exe
O4 - HKLM\..\Run: [CherryKeyMan] "D:\Programme\Cherry\KeyMan\KeyMan.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Ad-Watch] C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKLM\..\RunOnce: [ Malwarebytes Anti-Malware (reboot)] "D:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [WorkDayManager] "D:\Eigene Programme\ArbeittsTagManager\WorkDayManager.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "D:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [Rainlendar2] d:\Programme\Rainlendar2\Rainlendar2.exe
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = D:\Programme\Adobe\Acrobat 7.0\Acrobat\acrobat_sl.exe
O4 - Global Startup: BTTray.lnk = D:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Alles mit FlashGet laden - D:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: &Mit FlashGet laden - D:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Convert link target to Adobe PDF - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Send to Keyman - D:\Programme\Cherry\KeyMan\IEMenuExtKeyman.html
O8 - Extra context menu item: Senden an &Bluetooth - D:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - d:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - d:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - d:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - D:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - D:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - d:\Programme\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - d:\Programme\FlashGet\FlashGet.exe
O9 - Extra button: XM2002® - {ECC5777A-6E88-BFCE-13CE-81F134789E7B} - D:\Programme\IPPS\XM2002®\XM2002.exe (file missing)
O9 - Extra 'Tools' menuitem: &XM2002® - {ECC5777A-6E88-BFCE-13CE-81F134789E7B} - D:\Programme\IPPS\XM2002®\XM2002.exe (file missing)
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - d:\Programme\IrfanView\Ebay\Ebay.htm
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - d:\Programme\AVG\AVG8\avgpp.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: avgrsstarter - C:\WINNT\SYSTEM32\avgrsstx.dll
O23 - Service: TP-LINK Configuration Service (ACS) - Unknown owner - C:\WINNT\system32\acs.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apache2.2 - Apache Software Foundation - D:\programme\xampp\apache\bin\apache.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINNT\ATKKBService.exe
O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - d:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - d:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - D:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Cherry Device Interface - Cherry Gmbh, Auerbach Germany, www.cherry.de - D:\Programme\Cherry\CDI\cdi.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InterBase Guardian (InterBaseGuardian) - InterBase Software Corp. - C:\Programme\Interbase Corp\Interbase\bin\ibguard.exe
O23 - Service: InterBase Server (InterBaseServer) - InterBase Software Corp. - C:\Programme\Interbase Corp\Interbase\bin\ibserver.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: mysql - Unknown owner - D:\Programme\xampp\mysql\bin\mysqld-nt.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - d:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - d:\Programme\Spyware Doctor\pctsSvc.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - D:\Programme\Sygate\SPF\smc.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - d:\Programme\T-DSL SpeedManager\tsmsvc.exe

--
End of file - 10591 bytes

Hi,

das HJ-Log sieht sauber aus...
Zur Sicherheit noch Prevx:
http://www.prevx.com/freescan.asp
Falls das Tool was findet, nicht das Log posten sondern einen Screenshot des dann angezeigten Fensters...

chris

Hier der Screenshot,
scheinbar existiert doch noch was.

Hi,

vfind.exe sollte zu den benutzten Tools gehören...
Nenne sie einfach um vfind.exe -> vfinde.exe.vir...

chris

Jetzt sind es schon zwei.
das umbenennen hat nichts gebracht. wird immer noch als Malware erkannt.

Hi,

lass bitte den zweiten Eintrag bei virustotal prüfen (ich kann den Namen nicht entziffern). Wenn es sich dabei um "psexesvc.exe" handelt, dann gehört es wie vfind.exe zu combofix....

Nenne auch die zweite auf .vir um...
Combofix deinstallieren: Start->Ausführen combofix /u

Sind sie dann immer noch da:
KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html
oder
http://www.wintotal.de/Software/index.php?id=4101

Options: Delete on Reboot --> anhaken
reinkopieren:

Code: Alles auswählenAufklappen

ATTFilter

c:\winnt\vfind.exe.vir
c:\winnt\ <-Name der "unleserlichen" Datei
         

und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

PC neustarten

chris

OK scheint alles in Ordnung zu sein.

Ich danke dir für deine Hilfe. Weiß nicht was ich ohne deine Tipps gemacht hätte. Wahrscheinlich hätte ich neu installiert.

Daher nochmals tausend Dank.

habe das gleiche problem hoffe du kannst auch mir helfen.

@Eros,

bitte eigenen Thread einstellen und alles abarbeiten, was unter dem Link in meiner Signatur für den "Erstbeitrag" steht...

Bin jetzt erstmal weg, morgen wieder kurz da... (07:00 - 09:00 Uhr)...

chris