Trojaner-Board - tr/vundo.gen macht mir diesmal wieder zu schaffen

Hallöchen alle miteinander.

Naiv, schätze ich mich nun wirklich nicht ein, aber als mir neulich nen (generierter, was ich nicht wusste) link geschickt worden ist, hab ich draufgeklickt. es öffnete sich was mit Java und zack boom - ich hatte nen Trojaner im System.
In regelmäßigen Abständen meldet mein AntiVir nun, dass da ein Vundo entdeckt worden ist, aber trotz löschen und quarantäne, das teil ist hartnäckig.

Wie bekomme ich das teil weg? Hab gelesen, das soll auch im abgesichterten Modus aktiv sein.

Habe Windows XP SP3, habe aber als 2. Betriebssystem Vista drauf, vll kann man den Trojaner von dort entfernen?

Hier ist mein Logfile:

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 20:54:29, on 03.11.2008

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16735)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\CyberLink\PowerDVD\PDVDServ.exe

C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe

C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\Programme\iTunes\iTunesHelper.exe

C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe

C:\Programme\Logitech\QuickCam\Quickcam.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Programme\Logitech\SetPoint\SetPoint.exe

C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE

C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Programme\Bonjour\mDNSResponder.exe

d:\Program Files\Tobit ClipInc\Server\ClipInc-Server.exe

C:\Programme\Videoload Manager\ContentManager.exe

C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe

C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe

C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe

C:\Programme\CyberLink\Shared Files\RichVideo.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\atwtusb.exe

C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe

C:\Programme\iPod\bin\iPodService.exe

C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe

C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe

C:\WINDOWS\service.exe

C:\Programme\Gemeinsame Dateien\Logishrd\LQCVFX\COCIManager.exe

C:\Programme\Opera\opera.exe

C:\Programme\iTunes\iTunes.exe

C:\Programme\Last.fm\LastFM.exe

C:\Programme\Trillian\trillian.exe

C:\Programme\ICQ6\ICQ.exe

C:\Dokumente und Einstellungen\Jan Gerke\Lokale Einstellungen\Anwendungsdaten\Opera\Opera\profile\cache4\temporary_download\HiJackThis.exe
 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arbor.de/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll

O2 - BHO: IE7Pro - {00011268-E188-40DF-A514-835FCD78B1BF} - C:\Programme\IEPro\iepro.dll

O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Programme\Orbitdownloader\orbitcth.dll

O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\toolbaru.dll

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Download Manager Browser Helper Object - {19C8E43B-07B3-49CB-BFFC-6777B593E6F8} - C:\PROGRA~1\GEMEIN~1\fluxDVD\DOWNLO~1\XEBDLH~1.DLL

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: NetXfer - {83B80A9C-D91A-4F22-8DCF-EA7204039F79} - C:\Programme\Xi\NetXfer\NXIEHelper.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll

O2 - BHO: Ask Toolbar BHO - {F4D76F01-7896-458a-890F-E1F05C46069F} - C:\Programme\AskPBar\bar\1.bin\ASKPBAR.DLL

O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll

O3 - Toolbar: NetXfer - {C16CBAAC-A75C-4DB5-A0DD-CDF5CAFCDD3A} - C:\Programme\Xi\NetXfer\NXToolBar.dll

O3 - Toolbar: Grab Pro - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - C:\Programme\Orbitdownloader\GrabPro.dll

O3 - Toolbar: Ask Toolbar - {F4D76F09-7896-458a-890F-E1F05C46069F} - C:\Programme\AskPBar\bar\1.bin\ASKPBAR.DLL

O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe

O4 - HKLM\..\Run: [LanguageShortcut] C:\Programme\CyberLink\PowerDVD\Language\Language.exe

O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE

O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe"

O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Programme\Logitech\QuickCam\Quickcam.exe" /hide

O4 - HKLM\..\Run: [Windows Service] service.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: Trillian.lnk = C:\Programme\Trillian\trillian.exe

O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe

O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O8 - Extra context menu item: &Download by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/201

O8 - Extra context menu item: &Grab video by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/204

O8 - Extra context menu item: Alles mit NetXfer herunterladen - C:\Programme\Xi\NetXfer\NXAddList.html

O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/203

O8 - Extra context menu item: Down&load all by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/202

O8 - Extra context menu item: Herunterladen mit NetXfer - C:\Programme\Xi\NetXfer\NXAddLink.html

O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Programme\IEPro\iepro.dll

O9 - Extra 'Tools' menuitem: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Programme\IEPro\iepro.dll

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\WINDOWS\system32\shdocvw.dll

O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\WINDOWS\system32\shdocvw.dll

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\WINDOWS\system32\shdocvw.dll

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\WINDOWS\system32\shdocvw.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra button: PDFill PDF Editor - {FB858B22-55E2-413f-87F5-30ADC5552151} - C:\Programme\PlotSoft\PDFill\DownloadPDF.exe

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/resources/MSNPUpld.cab

O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase6662.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1202392764343

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O18 - Protocol: fluxhttp - {8E2D00A0-82C6-4821-90BC-07F290841BB6} - C:\Programme\Gemeinsame Dateien\fluxDVD\Lib\XEB\xebnavigation.ax

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL

O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe

O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe

O23 - Service: ClipInc 001 (ClipInc001) - Unknown owner - d:\Program Files\Tobit ClipInc\Server\ClipInc-Server.exe

O23 - Service: Content Management Service (ContentMgrService) - ACE GmbH - C:\Programme\Videoload Manager\ContentManager.exe

O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe

O23 - Service: LVCOMSer - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe

O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe

O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe

O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

O23 - Service: WTService - Unknown owner - C:\WINDOWS\system32\atwtusb.exe
 

--

End of file - 13283 bytes

Ich hoffe nun, dass ihr mir helfen könnt.

Wie? Kann ich da nix machen?

Hat mir keine ruhe mehr gelassen und hab den 2. Schritt mal ausgeführt:

Code:

ComboFix 08-11-02.05 - ***** 2008-11-03 22:41:05.1 - NTFSx86

Microsoft Windows XP Home Edition  5.1.2600.3.1252.1.1031.18.2533 [GMT 1:00]

ausgeführt von:: c:\dokumente und einstellungen\*****\Desktop\ComboFix.exe

 * Neuer Wiederherstellungspunkt wurde erstellt

.
 

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.
 

c:\dokumente und einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows Media\10.0\WMSDKNSD.XML
 

.

(((((((((((((((((((((((   Dateien erstellt von 2008-10-03 bis 2008-11-03  ))))))))))))))))))))))))))))))

.
 

2008-11-03 22:34 . 2008-11-03 22:34        <DIR>        d--------        c:\programme\CCleaner

2008-11-03 22:23 . 2008-11-03 22:23        <DIR>        d--------        C:\MSNCleaner

2008-11-02 21:08 . 2008-11-02 21:08        <DIR>        d--------        c:\programme\The Weather Channel FW

2008-11-02 21:08 . 2008-11-02 21:08        <DIR>        d--------        c:\programme\AskPBar

2008-11-02 21:07 . 2008-11-03 22:38        <DIR>        d--------        c:\programme\Trillian

2008-11-02 17:58 . 2008-11-02 17:59        <DIR>        d--------        c:\programme\Windows Live Safety Center

2008-11-02 17:12 . 2008-11-02 17:12        <DIR>        d--hsc---        c:\programme\Gemeinsame Dateien\WindowsLiveInstaller

2008-11-02 17:11 . 2008-11-02 17:11        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\WLInstaller

2008-10-30 19:03 . 2008-10-30 19:03        49,676        --a------        c:\windows\service.MSNFix

2008-10-30 19:03 . 2008-10-30 19:03        0        --a------        c:\windows\admintxt.MSNFix

2008-10-28 21:52 . 2008-10-28 21:53        514,875        --a------        c:\dokumente und einstellungen\thes_am_6_0.jar

2008-10-28 21:52 . 2008-10-28 21:52        97        --a------        c:\dokumente und einstellungen\EditLiveForJava.ini

2008-10-27 22:09 . 2008-10-27 22:09        <DIR>        d--------        c:\programme\Guitar Pro 5

2008-10-24 18:17 . 2008-10-24 18:33        <DIR>        d--------        c:\programme\Davilex

2008-10-23 18:52 . 2008-10-15 17:35        337,408        -----c---        c:\windows\system32\dllcache\netapi32.dll

2008-10-20 05:49 . 2008-10-20 05:49        <DIR>        d--------        c:\dokumente und einstellungen\*****\Anwendungsdaten\Leadertech

2008-10-20 05:47 . 2008-07-26 16:25        627,864        --a------        c:\windows\system32\drivers\lvrs.sys

2008-10-20 05:47 . 2008-07-26 16:23        195,096        --a------        c:\windows\system32\lvci11801048.dll

2008-10-15 14:59 . 2008-09-08 11:41        333,824        -----c---        c:\windows\system32\dllcache\srv.sys

2008-10-15 14:58 . 2008-08-14 14:19        2,191,488        -----c---        c:\windows\system32\dllcache\ntoskrnl.exe

2008-10-15 14:58 . 2008-08-14 14:19        2,147,840        -----c---        c:\windows\system32\dllcache\ntkrnlmp.exe

2008-10-15 14:58 . 2008-08-14 14:19        2,068,352        -----c---        c:\windows\system32\dllcache\ntkrnlpa.exe

2008-10-15 14:58 . 2008-08-14 14:19        2,026,496        -----c---        c:\windows\system32\dllcache\ntkrpamp.exe

2008-10-15 14:58 . 2008-09-15 16:24        1,846,528        -----c---        c:\windows\system32\dllcache\win32k.sys

2008-10-15 11:12 . 2008-10-15 11:12        6,102        --a------        c:\dokumente und einstellungen\*****\Anwendungsdaten\mdb.bin

2008-10-15 10:44 . 2008-10-15 10:44        <DIR>        d--------        c:\programme\T-Online

2008-10-15 10:44 . 2008-10-15 10:44        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\T-Online

2008-10-15 10:44 . 2008-10-15 10:44        93        --a------        c:\windows\system32\NULL

2008-10-13 21:28 . 2008-10-13 21:28        <DIR>        d--------        c:\programme\iPod

2008-10-13 21:28 . 2008-10-13 21:28        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}

2008-10-03 15:59 . 2008-10-03 16:01        <DIR>        d--------        c:\programme\PokerStars

2008-10-03 15:49 . 2008-10-03 15:57        <DIR>        d--------        c:\programme\PartyGaming
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-11-03 21:38        ---------        d-----w        c:\dokumente und einstellungen\*****\Anwendungsdaten\Orbit

2008-11-03 21:36        ---------        d-----w        c:\programme\Orbitdownloader

2008-11-03 19:12        ---------        d-----w        c:\programme\ICQToolbar

2008-11-03 16:05        ---------        d-----w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Google Updater

2008-11-02 21:03        361,728        ----a-w        c:\windows\system32\TuneUpDefragService.exe

2008-11-02 21:03        ---------        d-----w        c:\programme\TuneUp Utilities 2008

2008-11-02 21:03        ---------        d-----w        c:\dokumente und einstellungen\*****Anwendungsdaten\Apple Computer

2008-11-02 16:12        ---------        d-----w        c:\programme\Windows Live

2008-10-30 16:18        ---------        d-----w        c:\dokumente und einstellungen\*****Anwendungsdaten\Canon

2008-10-26 12:39        ---------        d-----w        c:\dokumente und einstellungen\*****\Anwendungsdaten\ICQ

2008-10-22 15:23        ---------        d-----w        c:\programme\MidiNotate

2008-10-22 11:58        ---------        d-----w        c:\programme\CamStudio

2008-10-20 04:48        ---------        d-----w        c:\programme\Gemeinsame Dateien\LogiShrd

2008-10-20 04:45        ---------        d-----w        c:\programme\Logitech

2008-10-20 04:45        ---------        d-----w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Logishrd

2008-10-16 17:57        ---------        d-----w        c:\dokumente und einstellungen\*****\Anwendungsdaten\Skype

2008-10-16 15:16        ---------        d-----w        c:\dokumente und einstellungen\*****\Anwendungsdaten\teamspeak2

2008-10-16 14:57        ---------        d-----w        c:\dokumente und einstellungen\*****\Anwendungsdaten\skypePM

2008-10-16 09:57        ---------        d-----w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help

2008-10-15 09:44        ---------        d--h--w        c:\programme\InstallShield Installation Information

2008-10-13 20:28        ---------        d-----w        c:\programme\iTunes

2008-10-03 09:34        ---------        d-----w        c:\dokumente und einstellungen\*****\Anwendungsdaten\ICQ Toolbar

2008-09-29 18:13        ---------        d-----w        c:\programme\Finale NotePad 2008

2008-09-22 15:26        ---------        d-----w        c:\programme\ICQ6

2008-09-22 12:34        ---------        d-----w        c:\dokumente und einstellungen\*****\Anwendungsdaten\GrabPro

2008-09-22 12:23        ---------        d-----w        c:\programme\IEPro

2008-09-22 12:23        ---------        d-----w        c:\dokumente und einstellungen\*****\Anwendungsdaten\IEPro

2008-09-15 15:24        1,846,528        ----a-w        c:\windows\system32\win32k.sys

2008-09-14 22:49        ---------        d-----w        c:\programme\Bonjour

2008-09-14 22:48        ---------        d-----w        c:\programme\QuickTime

2008-09-14 22:48        ---------        d-----w        c:\programme\Gemeinsame Dateien\Apple

2008-09-14 22:47        ---------        d-----w        c:\programme\Apple Software Update

2008-09-13 15:44        2,278,400        ----a-w        c:\windows\system32\TUKernel.exe

2008-09-13 15:28        ---------        d-----w        c:\programme\Gemeinsame Dateien\Wise Installation Wizard

2008-09-13 15:28        ---------        d-----w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software

2008-09-13 15:18        ---------        d-----w        c:\dokumente und einstellungen\*****\Anwendungsdaten\TuneUp Software

2008-09-12 11:17        3,768        ----a-w        c:\windows\system32\drivers\MovRVDrv32.sys

2008-09-12 11:17        23,096        ----a-w        c:\windows\system32\drivers\SndTDriverV32.sys

2008-09-10 18:23        ---------        d-----w        c:\dokumente und einstellungen\*****\Anwendungsdaten\dvdcss

2008-09-08 10:41        333,824        ----a-w        c:\windows\system32\drivers\srv.sys

2008-09-07 17:27        ---------        d-----w        c:\programme\Messenger Plus! Live

2008-08-29 08:18        87,336        ----a-w        c:\windows\system32\dns-sd.exe

2008-08-29 07:53        61,440        ----a-w        c:\windows\system32\dnssd.dll

2008-08-26 07:57        826,368        ----a-w        c:\windows\system32\wininet.dll

2008-08-14 13:19        2,147,840        ----a-w        c:\windows\system32\ntoskrnl.exe

2008-08-14 13:19        2,026,496        ----a-w        c:\windows\system32\ntkrnlpa.exe

2008-04-03 13:16        774,144        ----a-w        c:\programme\RngInterstitial.dll

2008-03-29 15:17        32        ----a-w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\ezsid.dat

2007-02-12 17:10        2,682,880        ------w        c:\dokumente und einstellungen\All Users\VCREDI~3.EXE

2008-06-24 18:34        23,552        ----a-w        c:\programme\mozilla firefox\plugins\DrvMgt.dll

2006-05-03 09:06        163,328        --sh--r        c:\windows\system32\flvDX.dll

2007-02-21 10:47        31,232        --sh--r        c:\windows\system32\msfDX.dll

2008-03-16 12:30        216,064        --sh--r        c:\windows\system32\nbDX.dll

.
 

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.

REGEDIT4
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2007-06-27 152872]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"RemoteControl"="c:\programme\CyberLink\PowerDVD\PDVDServ.exe" [2006-11-23 56928]

"LanguageShortcut"="c:\programme\CyberLink\PowerDVD\Language\Language.exe" [2006-12-05 54832]

"GrooveMonitor"="c:\programme\Microsoft Office\Office12\GrooveMonitor.exe" [2007-08-24 33648]

"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-04-03 185896]

"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-20 266497]

"AppleSyncNotifier"="c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2008-09-03 111936]

"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2008-09-06 413696]

"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2008-10-01 289576]

"LogitechCommunicationsManager"="c:\programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe" [2008-08-14 565008]

"LogitechQuickCamRibbon"="c:\programme\Logitech\QuickCam\Quickcam.exe" [2008-08-14 2407184]

"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2005-05-20 c:\windows\KHALMNPR.Exe]

"RTHDCPL"="RTHDCPL.EXE" [2008-03-26 c:\windows\RTHDCPL.exe]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
 

c:\dokumente und einstellungen\*****\Startmen\Programme\Autostart\

Trillian.lnk - c:\programme\Trillian\trillian.exe [2008-10-02 1873280]
 

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\

Logitech SetPoint.lnk - c:\programme\Logitech\SetPoint\SetPoint.exe [2008-02-11 450560]
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"msacm.l3acm"= c:\windows\system32\l3codecp.acm

"msacm.l3codec"= c:\windows\system32\l3codecp.acm
 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]

"Veoh"="c:\programme\Veoh Networks\Veoh\VeohClient.exe" /VeohHide
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]

"MacroKeyManager"=WTMKM.exe

"StartCCC"="c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"

"AppleSyncNotifier"=c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe

"NeroFilterCheck"=c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe

"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"

"QuickTime Task"="c:\programme\QuickTime\qttask.exe" -atboottime

"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_05\bin\jusched.exe"

"Start WingMan Profiler"=c:\programme\Logitech\Gaming Software\LWEMon.exe /noui

"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe"
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

"c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=

"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=

"c:\\Programme\\Opera\\Opera.exe"=

"c:\\Programme\\Veoh Networks\\Veoh\\VeohClient.exe"=

"c:\\VGigant\\VGigant.exe"=

"c:\\Programme\\Real\\RealPlayer\\realplay.exe"=

"d:\\Program Files\\Tobit ClipInc\\Server\\ClipInc-Server.exe"=

"d:\\Program Files\\Tobit ClipInc\\Player\\ClipInc-Player.exe"=

"d:\\Program Files\\Tobit ClipInc\\Player\\RadioRecorder.exe"=

"c:\\Programme\\Mozilla Firefox\\firefox.exe"=

"c:\\Programme\\Xi\\NetXfer\\NetTransport.exe"=

"c:\\Programme\\Gemeinsame Dateien\\Ahead\\Nero Web\\SetupX.exe"=

"c:\\Programme\\ICQ6\\ICQ.exe"=

"c:\\Programme\\Bonjour\\mDNSResponder.exe"=

"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Programme\\Windows Live\\Messenger\\livecall.exe"=

"c:\\Programme\\IEPro\\MiniDM.exe"=

"c:\\Programme\\Orbitdownloader\\orbitnet.exe"=

"c:\\Programme\\iTunes\\iTunes.exe"=

"c:\\Programme\\Skype\\Phone\\Skype.exe"=

"c:\\Programme\\Trillian\\trillian.exe"=
 

R2 ClipInc001;ClipInc 001;d:\program files\Tobit ClipInc\Server\ClipInc-Server.exe 001 [ ]

R2 ContentMgrService;Content Management Service;c:\programme\Videoload Manager\ContentManager.exe [2008-03-12 508928]

R2 UxTuneUp;TuneUp Designerweiterung;c:\windows\System32\svchost.exe [2008-04-14 14336]

R2 WTService;WTService;c:\windows\system32\atwtusb.exe [2007-01-24 315392]

R3 AtcL001;NDIS Miniport Driver for Attansic L1 Gigabit Ethernet Controller;c:\windows\system32\DRIVERS\atl01_xp.sys [2006-10-31 35840]

R3 LVRS;Logitech RightSound Filter Driver;c:\windows\system32\DRIVERS\lvrs.sys [2008-07-26 627864]

R3 tenCapture;tenCapture;c:\windows\system32\DRIVERS\tenCapture.sys [2007-04-21 9344]

S3 ASPI;Advanced SCSI Programming Interface Driver;c:\windows\System32\DRIVERS\ASPI32.sys [2002-07-17 16512]

S3 EuMusDesignVirtualAudioCableWdm_s2x;Sound2x Audio Cable (WDM);c:\windows\system32\DRIVERS\vacs2xkd.sys [ ]

S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\programme\MAGIX\Common\Database\bin\fbserver.exe [2005-11-17 1527900]

S3 MovRVDrv32;MovRVDrv32;c:\windows\system32\DRIVERS\MovRVDrv32.sys [2008-09-12 3768]

S3 SndTDriverV32;SndTDriverV32;c:\windows\system32\drivers\SndTDriverV32.sys [2008-09-12 23096]

S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;c:\windows\System32\TuneUpDefragService.exe [2008-11-02 361728]
 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs

UxTuneUp
 

*Newly Created Service* - PROCEXP90
 

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{61E3FE32-07B9-4563-A3E0-2DE2D620FE10}]

c:\programme\PixiePack Codec Pack\InstallerHelper.exe

.

Inhalt des "geplante Tasks" Ordners
 

2008-11-03 c:\windows\Tasks\1-Klick-Wartung.job

- c:\programme\TuneUp Utilities 2008\OneClickStarter.exe [2008-08-21 18:47]
 

2008-09-14 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
 

2008-11-03 c:\windows\Tasks\User_Feed_Synchronization-{61D82D9B-51ED-4C78-81B3-4E357D6053A2}.job

- c:\windows\system32\msfeedssync.exe [2007-08-13 18:36]

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -
 

HKCU-Run-DW6 - (no file)
 
 

.

------- Zusätzlicher Suchlauf -------

.

FireFox -: Profile - c:\dokumente und einstellungen\*****\Anwendungsdaten\Mozilla\Firefox\Profiles\qpjnv4ta.default\

FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=

FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.t-online.de/

FF -: plugin - c:\programme\Gemeinsame Dateien\fluxDVD\APIX\NPAPIX.dll

FF -: plugin - c:\programme\Gemeinsame Dateien\fluxDVD\BrowserIntegration\NPFluxBrowserHelper.dll

FF -: plugin - c:\programme\Gemeinsame Dateien\mpDRM\NPMPDRM.dll

FF -: plugin - c:\programme\Gemeinsame Dateien\mpDRM\NPWMDRMWrapper.dll

FF -: plugin - c:\programme\Google\Google Updater\2.4.1368.5602\npCIDetect13.dll

FF -: plugin - c:\programme\iTunes\Mozilla Plugins\npitunes.dll

FF -: plugin - c:\programme\Mozilla Firefox\plugins\NPAPIX.dll

FF -: plugin - c:\programme\Mozilla Firefox\plugins\NPFluxBrowserHelper.dll

FF -: plugin - c:\programme\Mozilla Firefox\plugins\NPMPDRM.dll

FF -: plugin - c:\programme\Mozilla Firefox\plugins\npracplug.dll

FF -: plugin - c:\programme\Mozilla Firefox\plugins\npskilljamloader.dll

FF -: plugin - c:\programme\Mozilla Firefox\plugins\npssp32.dll

FF -: plugin - c:\programme\Mozilla Firefox\plugins\NPWMDRMWrapper.dll

FF -: plugin - c:\programme\Opera\program\plugins\npdivx32.dll

FF -: plugin - c:\programme\Real\RealArcade\Plugins\Mozilla\npracplug.dll

FF -: plugin - c:\programme\Veoh Networks\Veoh\Plugins\noreg\NPVeohVersion.dll

.
 

**************************************************************************
 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-11-03 22:42:04

Windows 5.1.2600 Service Pack 3 NTFS
 

Scanne versteckte Prozesse...
 

Scanne versteckte Autostarteinträge...
 

Scanne versteckte Dateien...
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************

.

Zeit der Fertigstellung: 2008-11-03 22:44:08

ComboFix-quarantined-files.txt  2008-11-03 21:43:26
 

Vor Suchlauf: 23 Verzeichnis(se), 27.463.458.816 Bytes frei

Nach Suchlauf: 23 Verzeichnis(se), 27,482,992,640 Bytes frei
 

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Apple Mac OS X" /noexecute=optin /fastdetect /TUTag=DKZQYD
 

241        --- E O F ---        2008-10-23 18:44:16