Trojaner-Board - Securitty Alert

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Securitty Alert - schon wieder... (https://www.trojaner-board.de/50410-securitty-alert-schon.html)

Securitty Alert - schon wieder...

Das ist unser HiJackThis-Log. Wir machen sowas normalerweise nicht, aber es hieß irgendwo, dass wir ein neues Thema aufmachen sollen^^

Grüße

erlo

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:36:51, on 11.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\NetProject\scit.exe
C:\Programme\NetProject\sbmntr.exe
C:\Programme\MSI\Live Update 3\LMonitor.exe
C:\Programme\NetProject\scm.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\NetProject\sbsm.exe
C:\Programme\RALINK\Common\RaUI.exe
C:\WINDOWS\system32\bmwebcfg.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\o2flash.exe
C:\Programme\OpenOffice.org 2.3\program\soffice.exe
C:\Programme\OpenOffice.org 2.3\program\soffice.BIN
C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\DeviceListener.exe
C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\ConAppM.exe
C:\Programme\Vodafone\Vodafone Mobile Connect\Optimization Client\bmctl.exe
C:\Programme\Vodafone\Vodafone Mobile Connect\WLANClient\WLanClient.exe
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {C2A1C5CB-C0EF-4689-9436-F62CCA1C5383} - C:\Programme\NetProject\sbmdl.dll
O3 - Toolbar: Web Application - {81705D67-3F73-4983-859B-97D0922E5ABE} - C:\Programme\NetProject\wamdl.dll
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [LiveMonitor] C:\Programme\MSI\Live Update 3\LMonitor.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [MobileConnect.EXE] C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.EXE
O4 - HKLM\..\Policies\Explorer\Run: [some] C:\Programme\NetProject\scit.exe
O4 - HKLM\..\Policies\Explorer\Run: [start] C:\Programme\NetProject\sbmntr.exe
O4 - Startup: OpenOffice.org 2.3.lnk = C:\Programme\OpenOffice.org 2.3\program\quickstart.exe
O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Programme\RALINK\Common\RaUI.exe
O9 - Extra button: (no name) - {9034A523-D068-4BE8-A284-9DF278BE776E} - IE Anti-Spyware (file missing)
O9 - Extra 'Tools' menuitem: IE Anti-Spyware - {9034A523-D068-4BE8-A284-9DF278BE776E} - IE Anti-Spyware (file missing)
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: bmnet.dll
O10 - Unknown file in Winsock LSP: bmnet.dll
O10 - Unknown file in Winsock LSP: bmnet.dll
O15 - Trusted Zone: http://asia.msi.com.tw
O15 - Trusted Zone: http://global.msi.com.tw
O15 - Trusted Zone: MSI -- MICRO-STAR INT'L CO.,LTD.
O16 - DPF: {8167C273-DF59-4416-B647-C8BB2C7EE83E} (WebSDev Control) - http://liveupdate.msi.com.tw/autobio...ne/install.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8EA36C8F-8360-4C73-A2D8-FBF1B0C9C1A8}: NameServer = 145.253.75.11,145.253.2.11
O17 - HKLM\System\CCS\Services\Tcpip\..\{EC5A84C6-9D11-4811-8825-6FBB09F555F8}: NameServer = 145.253.75.11,145.253.2.11
O22 - SharedTaskScheduler: dikage - {d4c51fa4-9192-4a9a-8d2a-a0690c92f171} - C:\WINDOWS\system32\lruvqvw.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Bytemobile Web Configurator (bmwebcfg) - Bytemobile, Inc. - C:\WINDOWS\system32\bmwebcfg.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O2Micro Flash Memory (O2Flash) - Unknown owner - C:\WINDOWS\system32\o2flash.exe

--
End of file - 5385 bytes

Habt Ihr einen Vertrag bei o2 ? Kann man im Log lesen.
-Habt Ihr die Windowsfirewall an ? 0, 5 % mehr Schutz für den PC.

C:\Programme\NetProject\scit.exe
-------->Schädlich!

C:\Programme\NetProject\sbmntr.exe
--->schädlich!

C:\Programme\NetProject\scm.exe
---> bis jetzt am schädlichsten.

Soll ich weiter machen ?
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
-->vielleicht schädlich.

C:\Programme\RALINK\Common\RaUI.exe
--->eventuell schädlich

O2 - BHO: (no name) - {C2A1C5CB-C0EF-4689-9436-F62CCA1C5383} - C:\Programme\NetProject\sbmdl.dll
--->Der arme PC!

O3 - Toolbar: Web Application - {81705D67-3F73-4983-859B-97D0922E5ABE} - C:\Programme\NetProject\wamdl.dll
--->*heul*

O4 - HKLM\..\Policies\Explorer\Run: [some] C:\Programme\NetProject\scit.exe
--->War der Virenscanner aus ?

O4 - HKLM\..\Policies\Explorer\Run: [start] C:\Programme\NetProject\sbmntr.exe
--->Ich bin enttäuscht. Ihr tragt doch Verantwortung.

O9 - Extra 'Tools' menuitem: IE Anti-Spyware - {9034A523-D068-4BE8-A284-9DF278BE776E} - IE Anti-Spyware (file missing)
--->Wenn nicht bekannt , fixen !

O15 - Trusted Zone: MSI -- MICRO-STAR INT'L CO.,LTD.
--->fixen

O22 - SharedTaskScheduler: dikage - {d4c51fa4-9192-4a9a-8d2a-a0690c92f171} - C:\WINDOWS\system32\lruvqvw.dll
--->fixen

ICH WÜRD SAGEN NEUAUFSETZEN. Wir könnten eine Reperatur versuchen , aber da ist so viel Müll drauf...

Zitat:

ICH WÜRD SAGEN NEUAUFSETZEN. Wir könnten eine Reperatur versuchen , aber da ist so viel Müll drauf...

STOP:kloppen:

Usagi, bitte einfach mal ne Weile mitlesen, bevor Du hier hemdsärmelige Ratschläge verteilst.

Anleitung SmitfraudFix:

Lade dir dieses Tool -> SmitfraudFix
-Boote im abgesicherten Modus
-Starte es dann und lass das System Reinigen. (Option 2)

http://www.castlecops.com/zx/sjpritch25/Fix01b.jpg

-Poste danach wie in der Anleitung beschrieben, das Ergebnis des Scans, die C:\rapport.txt

Wird hier Wunder wirken.

Zitat:

Zitat von BataAlexander (Beitrag 327472)

Usagi, bitte einfach mal ne Weile mitlesen, bevor Du hier hemdsärmelige Ratschläge verteilst.

Ich halte mich soweit dran.:D

mfg cartman123

Hallo und schon mal vielen Dank für die schnellen Antworten! Wir checken morgen vormittag mal das Smitfraud-Tool aus und fragen, ob die von usagi zum fixen vorgeschlagenen Dateien trotzdem verschwinden sollten.

Vielen Dank nochmal

erlo

Zitat:

Zitat von erlo (Beitrag 327486)

fragen, ob die von usagi zum fixen vorgeschlagenen Dateien trotzdem verschwinden sollten.

Ja, sollen sie, das macht das Smitfraud Tool, danach müssen wir noch mit HJT Einträge löschen.

Hallo,
am besten gleich nach smitfraudfix noch mit Combofix und rvaxo scannen + das Log posten, denn smitfraudfix erkennt nicht alles.
combofix
RVAXO

dann kann man mit Combofix ein script erstellen und alles rausholen, was die Proggies nicht von allein löschen :)

Zitat:

Zitat von Sabina (Beitrag 327488)

dann kann man mit Combofix ein script erstellen und alles rausholen, was die Proggies nicht von allein löschen :)

Die Sabina erschlägt gleich wieder alles :) :party:

OK, ich gebe die offizielle Vorgehensweise bekannt:

1. Smitfraud im abgesicherten Modus
2. Sabinas Keulen ;)

Grüße und gute Nacht, erlo

Guten Morgen ;)

hier erst einmal das Ergebnis des Smitfraud-Scans (es sind keine Dateien gelöscht worden...):

SmitFraudFix v2.301

Scan done at 11:45:10,29, 12.03.2008
Run from C:\Dokumente und Einstellungen\Thorsten\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{d4c51fa4-9192-4a9a-8d2a-a0690c92f171}"="dikage"

[HKEY_CLASSES_ROOT\CLSID\{d4c51fa4-9192-4a9a-8d2a-a0690c92f171}\InProcServer32]
@="C:\WINDOWS\system32\lruvqvw.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{d4c51fa4-9192-4a9a-8d2a-a0690c92f171}\InProcServer32]
@="C:\WINDOWS\system32\lruvqvw.dll"

»»»»»»»»»»»»»»»»»»»»»»»» Killing process

»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

C:\WINDOWS\system32\lruvqvw.dll -> Hoax.Win32.Renos.gen.o
C:\WINDOWS\system32\lruvqvw.dll -> Deleted

»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\DOKUME~1\ALLUSE~1\STARTM~1\Online Security Guide.url Deleted
C:\DOKUME~1\ALLUSE~1\STARTM~1\Security Troubleshooting.url Deleted
C:\DOKUME~1\ALLUSE~1\Desktop\Online Security Guide.url Deleted
C:\DOKUME~1\ALLUSE~1\Desktop\Security Troubleshooting.url Deleted
C:\DOKUME~1\Thorsten\FAVORI~1\Online Security Test.url Deleted
C:\Programme\NetProject\ Deleted

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{8EA36C8F-8360-4C73-A2D8-FBF1B0C9C1A8}: NameServer=145.253.75.11,145.253.2.11
HKLM\SYSTEM\CCS\Services\Tcpip\..\{EC5A84C6-9D11-4811-8825-6FBB09F555F8}: NameServer=145.253.75.11,145.253.2.11
HKLM\SYSTEM\CS1\Services\Tcpip\..\{8EA36C8F-8360-4C73-A2D8-FBF1B0C9C1A8}: NameServer=145.253.75.11,145.253.2.11
HKLM\SYSTEM\CS1\Services\Tcpip\..\{EC5A84C6-9D11-4811-8825-6FBB09F555F8}: NameServer=145.253.75.11,145.253.2.11
HKLM\SYSTEM\CS3\Services\Tcpip\..\{8EA36C8F-8360-4C73-A2D8-FBF1B0C9C1A8}: NameServer=145.253.75.11,145.253.2.11
HKLM\SYSTEM\CS3\Services\Tcpip\..\{EC5A84C6-9D11-4811-8825-6FBB09F555F8}: NameServer=145.253.75.11,145.253.2.11

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» End

Hallo,
wenn du mit smitfraudfix die Option 2 angewendet hast...wurde auch gelöscht :)
nun wende bitte noch Combofix an - Viren - >> :snyper:

Alles klar. Hier kommt unser Log:

ComboFix 08-03-10.1 - Thorsten 2008-03-12 19:29:36.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.141 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Thorsten\Desktop\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((( Dateien erstellt von 2008-02-12 bis 2008-03-12 ))))))))))))))))))))))))))))))
.

2008-03-12 11:43 . 2008-03-12 11:45 1,992 --a------ C:\WINDOWS\system32\tmp.reg
2008-03-12 00:42 . 2008-03-12 00:42 434 --a------ C:\WINDOWS\system32\MRT.INI
2008-03-11 20:36 . 2008-03-11 20:36 <DIR> d-------- C:\Programme\Trend Micro
2008-03-11 19:19 . 2008-03-11 19:19 <DIR> d-------- C:\Programme\Avira
2008-03-11 19:19 . 2008-03-11 19:19 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-03-11 15:29 . 2008-03-11 21:07 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-02-29 23:09 . 2008-02-29 23:09 <DIR> d-------- C:\Programme\File Shredder

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-12 17:04 --------- d-----w C:\Programme\Mozilla Thunderbird
2008-03-12 15:37 --------- d-----w C:\Dokumente und Einstellungen\Thorsten\Anwendungsdaten\OpenOffice.org2
2008-03-12 15:37 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Vodafone
2008-02-08 21:39 --------- d-----w C:\Programme\Setup Files
2008-02-08 21:04 20,747 ----a-w C:\WINDOWS\system32\drivers\AegisP.sys
2008-02-08 21:04 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-02-08 21:04 --------- d-----w C:\Programme\RALINK
2008-02-08 20:50 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2008-02-08 20:50 --------- d-----w C:\Programme\DIFX
2008-01-28 06:04 --------- d-----w C:\Programme\MSXML 6.0
2008-01-26 22:20 --------- d-----w C:\Dokumente und Einstellungen\Thorsten\Anwendungsdaten\Vodafone
2008-01-26 22:20 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Novatel Wireless
2008-01-26 05:42 --------- d-----w C:\Programme\MSI
2008-01-26 00:16 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\InstallShield
2008-01-26 00:14 --------- d-----w C:\Programme\Vodafone
2008-01-26 00:14 --------- d-----w C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Bytemobile
2008-01-26 00:13 8,464 ----a-w C:\WINDOWS\system32\SpOrder.dll
2008-01-25 23:44 --------- d-----w C:\Programme\Lavasoft
2008-01-25 23:44 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-01-25 23:43 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-01-25 23:16 --------- d-----w C:\Programme\CCleaner
2008-01-25 23:13 --------- d-----w C:\Programme\BcInstall Data
2008-01-25 22:07 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-01-25 21:51 --------- d-----w C:\Programme\OpenOffice.org 2.3
2008-01-25 20:41 315,392 ----a-w C:\WINDOWS\HideWin.exe
2008-01-25 20:41 --------- d-----w C:\Programme\Realtek
2008-01-25 20:20 --------- d-----w C:\Dokumente und Einstellungen\Thorsten\Anwendungsdaten\Talkback
2008-01-25 20:09 --------- d-----w C:\Dokumente und Einstellungen\Thorsten\Anwendungsdaten\Thunderbird
2008-01-24 21:21 --------- d-----w C:\Programme\Dr. Hardware 2008
2008-01-24 13:52 558,142 ----a-w C:\WINDOWS\java\Packages\0RRL79FF.ZIP
2008-01-24 13:52 155,995 ----a-w C:\WINDOWS\java\Packages\TBRR1JB3.ZIP
2008-01-24 13:52 --------- d-----w C:\Programme\microsoft frontpage
2008-01-24 13:51 --------- d-----w C:\Programme\Online-Dienste
2008-01-24 13:50 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste
2007-12-14 10:32 12,632 ----a-w C:\WINDOWS\system32\lsdelete.exe
.

((((((((((((((((((((((((((((( snapshot@2008-03-11_20.25.01,17 )))))))))))))))))))))))))))))))))))))))))
.
+ 2002-12-01 12:57:46 593,920 ----a-w C:\WINDOWS\libeay32.dll
- 2007-09-07 11:05:12 62,016 ----a-w C:\WINDOWS\system32\drivers\avipbb.sys
+ 2008-03-12 18:22:24 61,632 ----a-w C:\WINDOWS\system32\drivers\avipbb.sys
- 2008-03-11 14:38:10 130,888 ----a-w C:\WINDOWS\system32\FNTCACHE.DAT
+ 2008-03-11 23:14:35 126,912 ----a-w C:\WINDOWS\system32\FNTCACHE.DAT
- 2008-02-04 23:09:46 18,214,008 ----a-w C:\WINDOWS\system32\MRT.exe
+ 2008-03-05 16:30:54 19,148,408 ----a-w C:\WINDOWS\system32\MRT.exe
- 2008-02-08 20:58:55 70,976 ----a-w C:\WINDOWS\system32\perfc007.dat
+ 2008-03-11 20:01:03 71,986 ----a-w C:\WINDOWS\system32\perfc007.dat
- 2008-02-08 20:58:56 58,930 ----a-w C:\WINDOWS\system32\perfc009.dat
+ 2008-03-11 20:01:03 59,774 ----a-w C:\WINDOWS\system32\perfc009.dat
- 2008-02-08 20:58:56 405,692 ----a-w C:\WINDOWS\system32\perfh007.dat
+ 2008-03-11 20:01:03 409,202 ----a-w C:\WINDOWS\system32\perfh007.dat
- 2008-02-08 20:58:56 392,630 ----a-w C:\WINDOWS\system32\perfh009.dat
+ 2008-03-11 20:01:03 395,534 ----a-w C:\WINDOWS\system32\perfh009.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MobileConnect.EXE"="C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.EXE" [2007-11-19 17:18 2711552]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06 40048]
"LiveMonitor"="C:\Programme\MSI\Live Update 3\LMonitor.exe" [2006-09-05 16:45 497152]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-06-29 00:43 8466432]
"nwiz"="nwiz.exe" [2007-06-29 00:43 1626112 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-06-29 00:43 81920]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-03-12 19:22 249896]

C:\Dokumente und Einstellungen\Thorsten\Startmen\Programme\Autostart\
OpenOffice.org 2.3.lnk - C:\Programme\OpenOffice.org 2.3\program\quickstart.exe [2007-08-17 21:57:56 393216]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Ralink Wireless Utility.lnk - C:\Programme\RALINK\Common\RaUI.exe [2008-02-08 22:04:54 589824]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=

R0 O2MDRDR;O2MDRDR;C:\WINDOWS\system32\DRIVERS\o2media.sys [2006-02-27 15:00]
R0 O2SDRDR;O2SDRDR;C:\WINDOWS\system32\DRIVERS\o2sd.sys [2006-02-20 16:01]
R2 drhard;drhard;C:\WINDOWS\system32\drivers\drhard.sys [2005-12-01 10:49]
R3 nvsmu;nvsmu;C:\WINDOWS\system32\DRIVERS\nvsmu.sys [2006-03-07 05:49]

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-12 19:30:58
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-03-12 19:31:26
ComboFix-quarantined-files.txt 2008-03-12 18:31:17
ComboFix2.txt 2008-03-11 19:25:33
.
2008-03-11 23:42:42 --- E O F ---

Hallo erlo

gehe in die Registry
Start -Ausführen - regedit

klicke dich durch zum Schlüssel:

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001 - in 0 ändern

speichern , Registry schliessen + neustarten

2.
scanne, lasse alles gefunde löschen ,
Malwarebytes Anti-Malware

dann sollte das Problem behoben sein

wird sofort, wenn das System in meine Hände kommt, erledigt.
Ihr seid einfach KLASSE!!! Unseren besten Dank und weiter so - ihr macht das großartig!

Grüße

erlo