Moin, wie im anderen Thread geschrieben hat mein Netbook einen Befall gehabt. Ich hab Malwarebytes rüberlaufen lassen und die Funde fixen lassen.
Seitdem kann ich wieder auf die WindowsUpdate Funktion zugreifen und auf virustotal. ;-)
Trotzdem hab ich mal gescannt und bitte drum, das mal wer rüberschaut der Ahnung hat, Dank im Vorraus!

Veits

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:55:48, on 09.03.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Programme\Avira\AntiVir Desktop\sched.exe
D:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
D:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
D:\Programme\EeePC\ACPI\AsTray.exe
D:\Programme\EeePC\ACPI\AsAcpiSvr.exe
C:\WINDOWS\system32\igfxsrvc.exe
D:\Programme\EeePC\ACPI\AsEPCMon.exe
D:\Programme\Elantech\ETDCtrl.exe
C:\WINDOWS\system32\igfxext.exe
D:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
D:\programme\WIDCOMM\Bluetooth Software\BTTray.exe
D:\programme\ASUS\EeePC\Super Hybrid Engine\SuperHybridEngine.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
D:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
D:\programme\Mozilla Firefox\firefox.exe
D:\programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ***://eeepc.asus.com/global
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://windowsupdate.microsoft.com/
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - D:\Programme\Windows Live Toolbar\msntb.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - D:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - D:\Programme\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [AsusTray] D:\Programme\EeePC\ACPI\AsTray.exe
O4 - HKLM\..\Run: [AsusACPIServer] D:\Programme\EeePC\ACPI\AsAcpiSvr.exe
O4 - HKLM\..\Run: [AsusEPCMonitor] D:\Programme\EeePC\ACPI\AsEPCMon.exe
O4 - HKLM\..\Run: [ETDWare] D:\Programme\Elantech\ETDCtrl.exe
O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: AutoRun OSCleaner.lnk = ?
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: SuperHybridEngine.exe.lnk = ?
O8 - Extra context menu item: &Windows Live Search - res://D:\Programme\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - D:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Senden an Bluetooth - D:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - D:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in &Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - D:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - D:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - D:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1242982893234
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1242982435485
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - D:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - D:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: IviRegMgr - InterVideo - C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - D:\Programme\Java\jre6\bin\jqs.exe

--
End of file - 6759 bytes


Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3510
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

09.03.2010 20:50:38
mbam-log-2010-03-09 (20-50-38).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 124501
Laufzeit: 27 minute(s), 26 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Zitat:

Ich hab Malwarebytes rüberlaufen lassen und die Funde fixen lassen.

Was hat MBAM auf Dein Netbook denn gefunden? => Log posten!

Hm, ich finde das log nicht - MBAM zeigt mir nur den scan NACH der Reinigung an und der ist clean...

Aber er hatte doch was gefunden?
Sieh in die Log Historie - also im Tab Scan-Berichte, da sollten auch alle und somit auch die älteren zu finden sein.

Hey Cosinus!

Unter "Scan-Berichte" HAB ich ja geschaut, da sind nur die beiden sauberen!

Gruß,
Veits

Dann ist dieser Satz unlogisch, oder hast Dich versehen

Zitat:

Ich hab Malwarebytes rüberlaufen lassen und die Funde fixen lassen.

Naja, da ich ernsthaft nicht auf die Virus-total Seite gekommen bin und der Windows Update Service nicht ging und nach MBAM beides wieder läuft, kann ich mir den Scan samt fixing nicht eingebildet haben ;-)
Kanns also höchstens gelöscht haben, da kann ich mich aber nicht dran erinnern und wüsste auch nicht warum ich das getan haben sollte - und ich bin kein Schlafwandler ;-)

Ist das wichtig um zu wissen, was auf dem System war und festzustellen ob evtl backdoors beteiligt waren?

Gruß,
Veits

Zitat:

Ist das wichtig um zu wissen, was auf dem System war und festzustellen ob evtl backdoors beteiligt waren?

Du hast es erfasst
Mach auf dem XP-Teil einen Durchgang mit CF:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Moin Moin,

habs leider heut erst geschafft, Deine Anweisungen auszuführen, ich dank Dir auf jeden Fall für Deinen Einsatz

Ich hab ComboFix 2 mal rüberlaufen lassen, weil ich beim ersten Mal keinen Zugriff aufs Internet hatte und deswegen die Konsole und das Update nicht laden konnte, deswegen poste ich beide Logs in chronologischer Reihenfolge.

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 10-03-10.08 - Maddo 11.03.2010  19:19:22.1.2 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.1015.534 [GMT 1:00]
ausgeführt von:: h:\mw\cofi.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
 * Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\recycler\S-1-5-21-2052111302-776561741-299502267-1003
c:\windows\system32\Thumbs.db

.
(((((((((((((((((((((((   Dateien erstellt von 2010-02-11 bis 2010-03-11  ))))))))))))))))))))))))))))))
.

2010-03-11 18:08 . 2010-03-11 18:09	--------	d-----w-	d:\programme\CCleaner
2010-03-09 19:54 . 2010-03-09 19:54	--------	d-----w-	d:\programme\Trend Micro
2010-03-07 21:25 . 2010-03-07 21:25	--------	d--h--w-	c:\windows\PIF
2010-03-06 17:40 . 2010-03-06 17:40	--------	d-----w-	c:\dokumente und einstellungen\Maddo\Anwendungsdaten\Malwarebytes
2010-03-06 17:39 . 2010-01-07 15:07	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-03-06 17:39 . 2010-03-06 17:39	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-03-06 17:39 . 2010-03-06 17:40	--------	d-----w-	d:\programme\Malwarebytes' Anti-Malware
2010-03-06 17:39 . 2010-01-07 15:07	19160	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-03-06 13:43 . 2010-03-06 13:43	--------	d-----w-	c:\programme\Gemeinsame Dateien\Java
2010-03-06 13:43 . 2010-03-06 13:43	503808	----a-w-	c:\dokumente und einstellungen\Maddo\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-1b443bd6-n\msvcp71.dll
2010-03-06 13:43 . 2010-03-06 13:43	499712	----a-w-	c:\dokumente und einstellungen\Maddo\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-1b443bd6-n\jmc.dll
2010-03-06 13:43 . 2010-03-06 13:43	348160	----a-w-	c:\dokumente und einstellungen\Maddo\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-1b443bd6-n\msvcr71.dll
2010-03-06 13:43 . 2010-03-06 13:43	61440	----a-w-	c:\dokumente und einstellungen\Maddo\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-195e73d8-n\decora-sse.dll
2010-03-06 13:43 . 2010-03-06 13:43	12800	----a-w-	c:\dokumente und einstellungen\Maddo\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-195e73d8-n\decora-d3d.dll
2010-03-06 13:38 . 2010-03-06 13:38	--------	d-----w-	d:\programme\Java
2010-03-06 13:33 . 2010-03-06 13:33	--------	d-----w-	c:\dokumente und einstellungen\Maddo\Anwendungsdaten\SumatraPDF
2010-03-06 13:32 . 2010-03-06 13:32	--------	d-----w-	d:\programme\SumatraPDF
2010-03-06 12:47 . 2010-02-12 10:03	293376	------w-	c:\windows\system32\browserchoice.exe
2010-02-11 18:14 . 2008-04-13 23:15	60032	-c--a-w-	c:\windows\system32\dllcache\usbaudio.sys
2010-02-11 18:14 . 2008-04-13 23:15	60032	----a-w-	c:\windows\system32\drivers\USBAUDIO.sys

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-03-06 17:38 . 2009-07-10 19:38	--------	d-----w-	c:\dokumente und einstellungen\Maddo\Anwendungsdaten\vlc
2010-03-06 13:39 . 2009-05-22 08:54	411368	----a-w-	c:\windows\system32\deploytk.dll
2010-03-04 18:50 . 2009-05-22 16:53	1	----a-w-	c:\dokumente und einstellungen\Maddo\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-03-04 18:49 . 2009-05-23 07:04	1648	----a-w-	c:\dokumente und einstellungen\Maddo\Anwendungsdaten\wklnhst.dat
2010-03-04 18:47 . 2009-06-23 16:03	--------	d-----w-	d:\programme\XMind
2010-02-11 21:00 . 2009-11-26 18:28	--------	d-----w-	d:\programme\MyBible
2010-01-27 15:03 . 2009-12-28 19:14	--------	d-----w-	c:\dokumente und einstellungen\Maddo\Anwendungsdaten\Move Networks
2010-01-27 14:51 . 2009-05-14 17:48	63976	----a-w-	c:\windows\system32\perfc007.dat
2010-01-27 14:51 . 2009-05-14 17:48	391574	----a-w-	c:\windows\system32\perfh007.dat
2009-12-31 16:50 . 2009-05-14 17:48	353792	----a-w-	c:\windows\system32\drivers\srv.sys
2009-12-21 19:05 . 2009-05-14 17:48	916480	----a-w-	c:\windows\system32\wininet.dll
2009-12-17 07:40 . 2008-05-18 01:37	346624	----a-w-	c:\windows\system32\mspaint.exe
2009-12-14 07:08 . 2009-05-14 17:47	33280	----a-w-	c:\windows\system32\csrsrv.dll
2008-09-05 02:00 . 2008-09-04 23:46	33	---ha-w-	d:\programme\oemver.txt
2008-05-07 14:34 . 2008-09-04 22:41	15523560	----a-w-	d:\programme\U1 Setup.exe
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2008-07-31 16806912]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-12-19 135168]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-12-19 159744]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-12-19 131072]
"AsusTray"="d:\programme\EeePC\ACPI\AsTray.exe" [2008-07-23 98304]
"AsusACPIServer"="d:\programme\EeePC\ACPI\AsAcpiSvr.exe" [2008-07-23 479232]
"AsusEPCMonitor"="d:\programme\EeePC\ACPI\AsEPCMon.exe" [2008-05-20 94208]
"ETDWare"="d:\programme\Elantech\ETDCtrl.exe" [2008-08-12 335872]
"avgnt"="d:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-02-18 248040]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-15 15360]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
AutoRun OSCleaner.lnk - d:\programme\ASUS\Asus OS Cleaner\AsOSCleaner.exe [2008-9-4 118784]
BTTray.lnk - d:\programme\WIDCOMM\Bluetooth Software\BTTray.exe [2008-7-30 604776]
SuperHybridEngine.exe.lnk - d:\programme\ASUS\EeePC\Super Hybrid Engine\SuperHybridEngine.exe [2008-9-4 303104]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"d:\\programme\\Mozilla Firefox\\firefox.exe"=
"d:\\programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"9499:TCP"= 9499:TCP:cflbnyq

R2 AntiVirSchedulerService;Avira AntiVir Planer;d:\programme\Avira\AntiVir Desktop\sched.exe [22.05.2009 14:41 108289]
S2 xiwciyxka;Security Time;c:\windows\system32\svchost.exe -k netsvcs [14.05.2009 18:48 14336]
S3 RT80x86;Ralink 802.11n Wireless Driver;c:\windows\system32\drivers\rt2860.sys [04.09.2008 22:38 625024]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
xiwciyxka
.
Inhalt des "geplante Tasks" Ordners

2010-03-11 c:\windows\Tasks\Auf Updates für Windows Live Toolbar prüfen.job
- d:\programme\Windows Live Toolbar\MSNTBUP.EXE [2007-10-19 09:20]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://eeepc.asus.com/global
IE: &Windows Live Search - d:\programme\Windows Live Toolbar\msntb.dll/search.htm
IE: Senden an &Bluetooth-Gerät... - d:\programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: Senden an Bluetooth - d:\programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
FF - ProfilePath - c:\dokumente und einstellungen\Maddo\Anwendungsdaten\Mozilla\Firefox\Profiles\jig51oxw.default\
FF - prefs.js: browser.search.selectedEngine - Wikipedia (de)
FF - prefs.js: browser.startup.homepage - www.google.de
FF - plugin: c:\dokumente und einstellungen\Maddo\Anwendungsdaten\Mozilla\Firefox\Profiles\jig51oxw.default\extensions\moveplayer@movenetworks.com\platform\WINNT_x86-msvc\plugins\npmnqmp071303000004.dll
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

MSConfigStartUp-Adobe Reader Speed Launcher - c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe
MSConfigStartUp-MsnMsgr - d:\programme\Windows Live\Messenger\msnmsgr.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-03-11 19:25
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\xiwciyxka]
"ServiceDll"="c:\windows\system32\nlcfppf.dll"
.
Zeit der Fertigstellung: 2010-03-11  19:29:39
ComboFix-quarantined-files.txt  2010-03-11 18:29

Vor Suchlauf: 951.160.832 Bytes frei
Nach Suchlauf: 920.285.184 Bytes frei

- - End Of File - - ABBF0954D6D6F611329B4AB47EA2602A
         

und

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 10-03-11.02 - Maddo 11.03.2010  23:47:06.2.2 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.1015.599 [GMT 1:00]
ausgeführt von:: C:\cofi.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

(((((((((((((((((((((((   Dateien erstellt von 2010-02-11 bis 2010-03-11  ))))))))))))))))))))))))))))))
.

2010-03-11 22:32 . 2010-03-11 22:36	3887822	----a-r-	C:\cofi.exe
2010-03-11 18:08 . 2010-03-11 18:09	--------	d-----w-	d:\programme\CCleaner
2010-03-09 19:54 . 2010-03-09 19:54	--------	d-----w-	d:\programme\Trend Micro
2010-03-07 21:25 . 2010-03-07 21:25	--------	d--h--w-	c:\windows\PIF
2010-03-06 17:40 . 2010-03-06 17:40	--------	d-----w-	c:\dokumente und einstellungen\Maddo\Anwendungsdaten\Malwarebytes
2010-03-06 17:39 . 2010-01-07 15:07	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-03-06 17:39 . 2010-03-06 17:39	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-03-06 17:39 . 2010-03-06 17:40	--------	d-----w-	d:\programme\Malwarebytes' Anti-Malware
2010-03-06 17:39 . 2010-01-07 15:07	19160	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-03-06 13:43 . 2010-03-06 13:43	--------	d-----w-	c:\programme\Gemeinsame Dateien\Java
2010-03-06 13:43 . 2010-03-06 13:43	503808	----a-w-	c:\dokumente und einstellungen\Maddo\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-1b443bd6-n\msvcp71.dll
2010-03-06 13:43 . 2010-03-06 13:43	499712	----a-w-	c:\dokumente und einstellungen\Maddo\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-1b443bd6-n\jmc.dll
2010-03-06 13:43 . 2010-03-06 13:43	348160	----a-w-	c:\dokumente und einstellungen\Maddo\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-1b443bd6-n\msvcr71.dll
2010-03-06 13:43 . 2010-03-06 13:43	61440	----a-w-	c:\dokumente und einstellungen\Maddo\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-195e73d8-n\decora-sse.dll
2010-03-06 13:43 . 2010-03-06 13:43	12800	----a-w-	c:\dokumente und einstellungen\Maddo\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-195e73d8-n\decora-d3d.dll
2010-03-06 13:38 . 2010-03-06 13:38	--------	d-----w-	d:\programme\Java
2010-03-06 13:33 . 2010-03-06 13:33	--------	d-----w-	c:\dokumente und einstellungen\Maddo\Anwendungsdaten\SumatraPDF
2010-03-06 13:32 . 2010-03-06 13:32	--------	d-----w-	d:\programme\SumatraPDF
2010-03-06 12:47 . 2010-02-12 10:03	293376	------w-	c:\windows\system32\browserchoice.exe
2010-02-11 18:14 . 2008-04-13 23:15	60032	-c--a-w-	c:\windows\system32\dllcache\usbaudio.sys
2010-02-11 18:14 . 2008-04-13 23:15	60032	----a-w-	c:\windows\system32\drivers\USBAUDIO.sys

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-03-11 18:40 . 2009-05-23 07:04	1704	----a-w-	c:\dokumente und einstellungen\Maddo\Anwendungsdaten\wklnhst.dat
2010-03-11 18:38 . 2009-05-22 16:53	1	----a-w-	c:\dokumente und einstellungen\Maddo\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-03-06 17:38 . 2009-07-10 19:38	--------	d-----w-	c:\dokumente und einstellungen\Maddo\Anwendungsdaten\vlc
2010-03-06 13:39 . 2009-05-22 08:54	411368	----a-w-	c:\windows\system32\deploytk.dll
2010-03-04 18:47 . 2009-06-23 16:03	--------	d-----w-	d:\programme\XMind
2010-02-11 21:00 . 2009-11-26 18:28	--------	d-----w-	d:\programme\MyBible
2010-01-27 15:03 . 2009-12-28 19:14	--------	d-----w-	c:\dokumente und einstellungen\Maddo\Anwendungsdaten\Move Networks
2010-01-27 14:51 . 2009-05-14 17:48	63976	----a-w-	c:\windows\system32\perfc007.dat
2010-01-27 14:51 . 2009-05-14 17:48	391574	----a-w-	c:\windows\system32\perfh007.dat
2009-12-31 16:50 . 2009-05-14 17:48	353792	----a-w-	c:\windows\system32\drivers\srv.sys
2009-12-21 19:05 . 2009-05-14 17:48	916480	------w-	c:\windows\system32\wininet.dll
2009-12-17 07:40 . 2008-05-18 01:37	346624	----a-w-	c:\windows\system32\mspaint.exe
2009-12-14 07:08 . 2009-05-14 17:47	33280	----a-w-	c:\windows\system32\csrsrv.dll
2008-09-05 02:00 . 2008-09-04 23:46	33	---ha-w-	d:\programme\oemver.txt
2008-05-07 14:34 . 2008-09-04 22:41	15523560	----a-w-	d:\programme\U1 Setup.exe
.

(((((((((((((((((((((((((((((   SnapShot@2010-03-11_18.25.54   )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-03-11 22:28 . 2010-03-11 22:28	16384              c:\windows\Temp\Perflib_Perfdata_67c.dat
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2008-07-31 16806912]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-12-19 135168]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-12-19 159744]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-12-19 131072]
"AsusTray"="d:\programme\EeePC\ACPI\AsTray.exe" [2008-07-23 98304]
"AsusACPIServer"="d:\programme\EeePC\ACPI\AsAcpiSvr.exe" [2008-07-23 479232]
"AsusEPCMonitor"="d:\programme\EeePC\ACPI\AsEPCMon.exe" [2008-05-20 94208]
"ETDWare"="d:\programme\Elantech\ETDCtrl.exe" [2008-08-12 335872]
"avgnt"="d:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-02-18 248040]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-15 15360]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
AutoRun OSCleaner.lnk - d:\programme\ASUS\Asus OS Cleaner\AsOSCleaner.exe [2008-9-4 118784]
BTTray.lnk - d:\programme\WIDCOMM\Bluetooth Software\BTTray.exe [2008-7-30 604776]
SuperHybridEngine.exe.lnk - d:\programme\ASUS\EeePC\Super Hybrid Engine\SuperHybridEngine.exe [2008-9-4 303104]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"d:\\programme\\Mozilla Firefox\\firefox.exe"=
"d:\\programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"9499:TCP"= 9499:TCP:cflbnyq

R2 AntiVirSchedulerService;Avira AntiVir Planer;d:\programme\Avira\AntiVir Desktop\sched.exe [22.05.2009 14:41 108289]
R3 RT80x86;Ralink 802.11n Wireless Driver;c:\windows\system32\drivers\rt2860.sys [04.09.2008 22:38 625024]
S2 xiwciyxka;Security Time;c:\windows\system32\svchost.exe -k netsvcs [14.05.2009 18:48 14336]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
xiwciyxka
.
Inhalt des "geplante Tasks" Ordners

2010-03-11 c:\windows\Tasks\Auf Updates für Windows Live Toolbar prüfen.job
- d:\programme\Windows Live Toolbar\MSNTBUP.EXE [2007-10-19 09:20]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://eeepc.asus.com/global
IE: &Windows Live Search - d:\programme\Windows Live Toolbar\msntb.dll/search.htm
IE: Senden an &Bluetooth-Gerät... - d:\programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: Senden an Bluetooth - d:\programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
FF - ProfilePath - c:\dokumente und einstellungen\Maddo\Anwendungsdaten\Mozilla\Firefox\Profiles\jig51oxw.default\
FF - prefs.js: browser.search.selectedEngine - Wikipedia (de)
FF - prefs.js: browser.startup.homepage - www.google.de
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-03-11 23:53
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\xiwciyxka]
"ServiceDll"="c:\windows\system32\nlcfppf.dll"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(3820)
c:\windows\system32\btmmhook.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Zeit der Fertigstellung: 2010-03-11  23:57:03
ComboFix-quarantined-files.txt  2010-03-11 22:56
ComboFix2.txt  2010-03-11 18:29

Vor Suchlauf: 883.990.528 Bytes frei
Nach Suchlauf: 877.727.744 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

- - End Of File - - AC56E882F5F0D13CE9D034E30C05BC7B
         

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code: Alles auswählenAufklappen

ATTFilter

http://www.trojaner-board.de/83630-kido-autorun-inf-malwarebytes-hat-fund-gefixt-noch-da.html

KILLALL::

Registry::
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\xiwciyxka]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"9499:TCP"=-

Collect::
c:\windows\system32\nlcfppf.dll

Driver::
xiwciyxka

NetSvc::
xiwciyxka
         

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.



6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Moin Moin,

hab Deine Anweisungen ausgeführt, Log folgt:

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 10-03-11.02 - Maddo 12.03.2010  13:52:56.3.2 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.1015.526 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Maddo\Desktop\cofi.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Maddo\Desktop\CFScript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_XIWCIYXKA
-------\Service_xiwciyxka


(((((((((((((((((((((((   Dateien erstellt von 2010-02-12 bis 2010-03-12  ))))))))))))))))))))))))))))))
.

2010-03-11 18:08 . 2010-03-11 18:09	--------	d-----w-	d:\programme\CCleaner
2010-03-09 19:54 . 2010-03-09 19:54	--------	d-----w-	d:\programme\Trend Micro
2010-03-07 21:25 . 2010-03-07 21:25	--------	d--h--w-	c:\windows\PIF
2010-03-06 17:40 . 2010-03-06 17:40	--------	d-----w-	c:\dokumente und einstellungen\Maddo\Anwendungsdaten\Malwarebytes
2010-03-06 17:39 . 2010-01-07 15:07	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-03-06 17:39 . 2010-03-06 17:39	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-03-06 17:39 . 2010-03-06 17:40	--------	d-----w-	d:\programme\Malwarebytes' Anti-Malware
2010-03-06 17:39 . 2010-01-07 15:07	19160	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-03-06 13:43 . 2010-03-06 13:43	--------	d-----w-	c:\programme\Gemeinsame Dateien\Java
2010-03-06 13:43 . 2010-03-06 13:43	503808	----a-w-	c:\dokumente und einstellungen\Maddo\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-1b443bd6-n\msvcp71.dll
2010-03-06 13:43 . 2010-03-06 13:43	499712	----a-w-	c:\dokumente und einstellungen\Maddo\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-1b443bd6-n\jmc.dll
2010-03-06 13:43 . 2010-03-06 13:43	348160	----a-w-	c:\dokumente und einstellungen\Maddo\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-1b443bd6-n\msvcr71.dll
2010-03-06 13:43 . 2010-03-06 13:43	61440	----a-w-	c:\dokumente und einstellungen\Maddo\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-195e73d8-n\decora-sse.dll
2010-03-06 13:43 . 2010-03-06 13:43	12800	----a-w-	c:\dokumente und einstellungen\Maddo\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-195e73d8-n\decora-d3d.dll
2010-03-06 13:38 . 2010-03-06 13:38	--------	d-----w-	d:\programme\Java
2010-03-06 13:33 . 2010-03-06 13:33	--------	d-----w-	c:\dokumente und einstellungen\Maddo\Anwendungsdaten\SumatraPDF
2010-03-06 13:32 . 2010-03-06 13:32	--------	d-----w-	d:\programme\SumatraPDF
2010-03-06 12:47 . 2010-02-12 10:03	293376	------w-	c:\windows\system32\browserchoice.exe
2010-02-11 18:14 . 2008-04-13 23:15	60032	-c--a-w-	c:\windows\system32\dllcache\usbaudio.sys
2010-02-11 18:14 . 2008-04-13 23:15	60032	----a-w-	c:\windows\system32\drivers\USBAUDIO.sys

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-03-11 18:40 . 2009-05-23 07:04	1704	----a-w-	c:\dokumente und einstellungen\Maddo\Anwendungsdaten\wklnhst.dat
2010-03-11 18:38 . 2009-05-22 16:53	1	----a-w-	c:\dokumente und einstellungen\Maddo\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-03-06 17:38 . 2009-07-10 19:38	--------	d-----w-	c:\dokumente und einstellungen\Maddo\Anwendungsdaten\vlc
2010-03-06 13:39 . 2009-05-22 08:54	411368	----a-w-	c:\windows\system32\deploytk.dll
2010-03-04 18:47 . 2009-06-23 16:03	--------	d-----w-	d:\programme\XMind
2010-02-11 21:00 . 2009-11-26 18:28	--------	d-----w-	d:\programme\MyBible
2010-01-27 15:03 . 2009-12-28 19:14	--------	d-----w-	c:\dokumente und einstellungen\Maddo\Anwendungsdaten\Move Networks
2010-01-27 14:51 . 2009-05-14 17:48	63976	----a-w-	c:\windows\system32\perfc007.dat
2010-01-27 14:51 . 2009-05-14 17:48	391574	----a-w-	c:\windows\system32\perfh007.dat
2009-12-31 16:50 . 2009-05-14 17:48	353792	----a-w-	c:\windows\system32\drivers\srv.sys
2009-12-21 19:05 . 2009-05-14 17:48	916480	------w-	c:\windows\system32\wininet.dll
2009-12-17 07:40 . 2008-05-18 01:37	346624	----a-w-	c:\windows\system32\mspaint.exe
2009-12-14 07:08 . 2009-05-14 17:47	33280	----a-w-	c:\windows\system32\csrsrv.dll
2008-09-05 02:00 . 2008-09-04 23:46	33	---ha-w-	d:\programme\oemver.txt
2008-05-07 14:34 . 2008-09-04 22:41	15523560	----a-w-	d:\programme\U1 Setup.exe
.

(((((((((((((((((((((((((((((   SnapShot@2010-03-11_18.25.54   )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-03-12 13:00 . 2010-03-12 13:00	16384              c:\windows\temp\Perflib_Perfdata_678.dat
+ 2010-03-12 12:46 . 2010-03-12 12:46	35600              c:\windows\Installer\{90120000-0020-0407-0000-0000000FF1CE}\O12ConvIcon.exe
- 2009-11-23 11:18 . 2009-11-23 11:18	35600              c:\windows\Installer\{90120000-0020-0407-0000-0000000FF1CE}\O12ConvIcon.exe
+ 2010-02-21 00:00 . 2010-02-21 00:00	8480768              c:\windows\Installer\23dc2.msp
+ 2009-05-22 14:51 . 2010-03-02 05:30	31648712              c:\windows\system32\MRT.exe
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2008-07-31 16806912]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-12-19 135168]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-12-19 159744]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-12-19 131072]
"AsusTray"="d:\programme\EeePC\ACPI\AsTray.exe" [2008-07-23 98304]
"AsusACPIServer"="d:\programme\EeePC\ACPI\AsAcpiSvr.exe" [2008-07-23 479232]
"AsusEPCMonitor"="d:\programme\EeePC\ACPI\AsEPCMon.exe" [2008-05-20 94208]
"ETDWare"="d:\programme\Elantech\ETDCtrl.exe" [2008-08-12 335872]
"avgnt"="d:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-02-18 248040]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-15 15360]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
AutoRun OSCleaner.lnk - d:\programme\ASUS\Asus OS Cleaner\AsOSCleaner.exe [2008-9-4 118784]
BTTray.lnk - d:\programme\WIDCOMM\Bluetooth Software\BTTray.exe [2008-7-30 604776]
SuperHybridEngine.exe.lnk - d:\programme\ASUS\EeePC\Super Hybrid Engine\SuperHybridEngine.exe [2008-9-4 303104]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"d:\\programme\\Mozilla Firefox\\firefox.exe"=
"d:\\programme\\Skype\\Phone\\Skype.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planer;d:\programme\Avira\AntiVir Desktop\sched.exe [22.05.2009 14:41 108289]
S3 RT80x86;Ralink 802.11n Wireless Driver;c:\windows\system32\drivers\rt2860.sys [04.09.2008 22:38 625024]
.
Inhalt des "geplante Tasks" Ordners

2010-03-11 c:\windows\Tasks\Auf Updates für Windows Live Toolbar prüfen.job
- d:\programme\Windows Live Toolbar\MSNTBUP.EXE [2007-10-19 09:20]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://eeepc.asus.com/global
IE: &Windows Live Search - d:\programme\Windows Live Toolbar\msntb.dll/search.htm
IE: Senden an &Bluetooth-Gerät... - d:\programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: Senden an Bluetooth - d:\programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
FF - ProfilePath - c:\dokumente und einstellungen\Maddo\Anwendungsdaten\Mozilla\Firefox\Profiles\jig51oxw.default\
FF - prefs.js: browser.search.selectedEngine - Wikipedia (de)
FF - prefs.js: browser.startup.homepage - www.google.de
FF - plugin: c:\dokumente und einstellungen\Maddo\Anwendungsdaten\Mozilla\Firefox\Profiles\jig51oxw.default\extensions\moveplayer@movenetworks.com\platform\WINNT_x86-msvc\plugins\npmnqmp071303000004.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-03-12 14:01
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(2428)
c:\windows\system32\btmmhook.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\btncopy.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
d:\programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
d:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
d:\programme\Java\jre6\bin\jqs.exe
c:\windows\RTHDCPL.EXE
c:\windows\system32\igfxsrvc.exe
c:\windows\system32\igfxext.exe
c:\windows\system32\wbem\wmiapsrv.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-03-12  14:05:28 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2010-03-12 13:05
ComboFix2.txt  2010-03-11 22:57
ComboFix3.txt  2010-03-11 18:29

Vor Suchlauf: 854.982.656 Bytes frei
Nach Suchlauf: 806.203.392 Bytes frei

- - End Of File - - 5E4F4640C742A212F5D7ADF1268EC7FC
         

Mach bitte noch einen Kontrollscan, öffne Malwarebytes, aktualisiere das Programm, starte einen Vollscan und lass alle etwaigen Funde entfernen. Anschließend wieder das Logfile posten.

Heyho,

hab ja die Hoffnung dass es nu vorbei is...

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3859
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

12.03.2010 15:56:03
mbam-log-2010-03-12 (15-56-03).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 133319
Laufzeit: 28 minute(s), 36 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         

Jupp ich denke wir sind durch. Wenn Du magst machst Du noch eine Kontrolle nach der Kontrolle mit SUPERAntiSpyware und postest das Log.


So oder so musst Du auch unbedingt die Updates prüfen:

Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update



PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

Cosinus Du bist mein Held, danke dass Du diese enervierende Arbeit tust! Wenn ich mal in Bremen bin lad ich Dich auf n Kaffee ein

Im Laufe des Reinigungsprozesses hab ich schon Adobe Reader runtergeschmissen und gegen Sumatra ausgetauscht und die alten Javas deinstalliert, da war ich Dir also vorraus.
Außerdem hab ich automatische Updates immer aktiviert gehabt, deswegen verstehe ich nicht, wie dieses Biest sich eingeschlichen hat... müsste dann ja fast schon altes Java oder der Reader gewesen sein, seltsam alles...


Lieben Gruß und nochmal:

Veits