Trojaner-Board - DNS funktioniert nach Virus nicht mehr

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - DNS funktioniert nach Virus nicht mehr (https://www.trojaner-board.de/69352-dns-funktioniert-virus-mehr.html)

DNS funktioniert nach Virus nicht mehr

Hallo,
nachdem Antivir in einer heruntergeladenen Datei den Fund von DR/TDSS.gxg gemeldet hat, funktionierte die Namesnauflösung nichtmehr (zB Firefox meldet: Der Host-Server zu der aufgerufenen Adresse konnte nicht gefunden werden.).
IP-Adressen sind ohne Probleme aufrufbar. nslookup zum ermitteln des zugehörigen Namens funktioniert auch. Die DNS-Server sind ebenfalls korrekt eingetragen. Aber sämtliche Verbindungen zu Rechnern bei denen der Hostname benötigt wird schlagen fehl. Dummerweise sind damit auch keine Programmupdates für Antivir und Co möglich.
Ich schreibe hier gerade in einer VM auf dem betroffenen System. Hier im Gastsystem geht alles ohne Probleme, nur halt im Hostsystem (WindowsXP auf neustem Stand) direkt nicht.

mfg

Hallo und :hallo:

GMER - Rootkit Detection

Lade Gmer von hier
entpacke es auf den Dektop
Doppelklick auf gmer.exe
Der Reiter Rootkit oben ist schon angewählt

http://saved.im/mzaxndu2m2ni_vs/gmerzj1oo1.jpg

Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
nach Beendigung des Scan, drücke "Copy"
nun kannst Du das Ergebnis hier einfügen. Sollte das Log zu lang sein, dann lade es bei einem Filehoster wie z.B. File-Upload.net hoch und poste den Link.
Sollte Gmer sagen "Gmer hasen´t found any System Modifikation", so hat Gmer keine Einträge gefunden.

ciao, andreas

Schonmal vielen Dank für die Hilfe.
Hier das Log-File:
http://rapidshare.com/files/192004414/GMER-Log.txt.html

Poste bitte ein HJT-Log, beachte dabei die Regeln: http://www.trojaner-board.de/22770-a...log-files.html

ciao, andreas

Die bei GMER rot markierten Einträge auf gaopdxljnlknss.sys ließen sich übrigens nicht entfernen.

Hier konnte ich selbst keine auffälligkeit feststellen, sonst hätte ich den Thread im entsprechenden Subforum eröffnet.
Vielleicht findest du ja mehr.

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 23:30:15, on 30.01.2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\Explorer.EXE

C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe

C:\Programme\DAEMON Tools\daemon.exe

C:\Programme\FreePDF_XP\fpassist.exe

C:\Programme\Java\jre6\bin\jusched.exe

C:\WINDOWS\system32\rundll32.exe

C:\Programme\Seagate\DiscWizard\DiscWizardMonitor.exe

C:\Programme\Logitech\MouseWare\system\em_exec.exe

C:\Programme\Seagate\DiscWizard\TimounterMonitor.exe

C:\Programme\Gemeinsame Dateien\Seagate\Schedule2\schedhlp.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\WINDOWS\RTHDCPL.EXE

D:\adobe Reader 9.0\Reader\Reader_sl.exe

C:\Programme\UltraMon\UltraMon.exe

D:\Rainlendar2\Rainlendar2.exe

C:\Programme\UltraMon\UltraMonTaskbar.exe

D:\HotSwap!.EXE

D:\girder32\Girder.exe

D:\CrystalCPUID415\CrystalCPUID.exe

D:\Miranda IM\miranda32.exe

C:\Programme\Gemeinsame Dateien\Seagate\Schedule2\schedul2.exe

C:\Programme\AntiVir PersonalEdition Classic\sched.exe

C:\Programme\Java\jre6\bin\jqs.exe

C:\WINDOWS\system32\LckFldService.exe

C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\PnkBstrA.exe

C:\WINDOWS\system32\svchost.exe

C:\Programme\Skype\Phone\Skype.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\Programme\Skype\Plugin Manager\SkypePM.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\wuauclt.exe

D:\Mozilla Firefox\firefox.exe

D:\HijackThis\HijackThis.exe
 

O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - D:\Internet Download Manager\IDMIECC.dll

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\FlashGet\fgiebar.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"

O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe

O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [DiscWizardMonitor.exe] C:\Programme\Seagate\DiscWizard\DiscWizardMonitor.exe

O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Seagate\DiscWizard\TimounterMonitor.exe

O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Seagate\Schedule2\schedhlp.exe"

O4 - HKLM\..\Run: [MaxBlastMonitor.exe] C:\Programme\Seagate\DiscWizard\MaxBlastMonitor.exe

O4 - HKLM\..\Run: [amd_dc_opt] C:\Programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [Resume copy] copyfstq.exe /startup

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\adobe Reader 9.0\Reader\Reader_sl.exe"

O4 - HKCU\..\Run: [UltraMon] "C:\Programme\UltraMon\UltraMon.exe" /auto

O4 - HKCU\..\Run: [Rainlendar2] d:\Rainlendar2\Rainlendar2.exe

O4 - HKCU\..\Run: [NVIDIA nTune] "C:\Programme\NVIDIA Corporation\nTune\nTuneCmd.exe" clear

O4 - HKCU\..\Run: [HotSwap! Applet] "D:\HotSwap!.EXE"

O4 - HKLM\..\Policies\Explorer\Run: [Mpk.exe] d:\KGB\Mpk.exe

O4 - Startup: Verknüpfung mit CrystalCPUID.exe.lnk = D:\CrystalCPUID415\CrystalCPUID.exe

O4 - Startup: Verknüpfung mit miranda32.lnk = D:\Miranda IM\miranda32.exe

O4 - Global Startup: Girder 3.2.lnk = D:\girder32\Girder.exe

O8 - Extra context menu item: Alles mit FlashGet laden - D:\FlashGet\jc_all.htm

O8 - Extra context menu item: Download aller Links mit IDM - D:\Internet Download Manager\IEGetAll.htm

O8 - Extra context menu item: Download FLV Video Inhalt mit IDM - D:\Internet Download Manager\IEGetVL.htm

O8 - Extra context menu item: Download mit IDM - D:\Internet Download Manager\IEExt.htm

O8 - Extra context menu item: Download with IDM - D:\Internet Download Manager\IEExt.htm

O8 - Extra context menu item: Mit FlashGet laden - D:\FlashGet\jc_link.htm

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\FlashGet\flashget.exe

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\FlashGet\flashget.exe

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - d:\ICQ6.5\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - d:\ICQ6.5\ICQ.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\prxernsp.dll

O10 - Unknown file in Winsock LSP: prxerdrv.dll

O10 - Unknown file in Winsock LSP: prxerdrv.dll

O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - http://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab

O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL

O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Seagate\Schedule2\schedul2.exe

O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

O23 - Service: LckFldService - Unknown owner - C:\WINDOWS\system32\LckFldService.exe

O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: OpenVPN Service (OpenVPNService) - Unknown owner - d:\OpenVPN\bin\openvpnserv.exe

O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
 

--

End of file - 7969 bytes

Gruß, Andreas

Eigentlich brauchte ich das nur, um deine Systempfade zu kennen. Das Gmer-Log zeigt gleich zwei Rootkits, die für sich alleine schon schlimm genug sind, aber das HJT-Log :eek:

Hast du dir den Keylogger freiwillig installiert? Weißt du was ein Keylogger ist und kann?

Sollte es deinerseits keine triftigen Gründe gegen ein Neuaufsetzen geben, dann wird es allerhöchste Zeit dafür. Ändere nach der Neuinstallation alle deine Kennwörter. Nachdem du deine Daten gesichert hast, stecke alle deine externen Datenträger an und lasse ComboFix laufen. Poste das Log.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

ciao, andreas

Ja, der KGB-Keylogger (ich hoffe du hast nich noch nen anderen entdeckt) ist schon Absicht. Der liegt eigentlich auch nur im autorun und wird nach dem Hochfahren von mir beendet.

Neuaufsetzen ist zut Zeit schlecht, da die Prüfungen und diverse Abgabetermine anstehen und ich diverse Programme von der Uni dafür noch brauche. Geplant is das aber schon länger...
Was meinst du mit 'alle Daten sichern' und dann 'alle externen Laufwerke anschließen'? Wozu dann vorher sichern? Und soll ich Combofix erst nach einer Neuinstallation benutzen oder jetzt gleich? Sorry, aber das wird mir nicht ganz klar.
Werde die Programme jedenfall schonmal runterladen.

Das war nicht deutlich genug formuliert. Nach der Sicherung deiner Daten und vor der Neuinstallation sollst du alle externen Datenträger anschliessen und ComboFix laufen lassen. Wenn du Neuinstallation sowieso vor hast, dann können wir zumindest versuchen zu säubern. Starte mit ComboFix und mache anschliessend noch ein Log mit Gmer. Dann sehen wir weiter.

ciao, andreas

Hier die Combofix-Log:

Code:

ComboFix 09-01-31.01 - a 2009-01-31 19:23:30.1 - NTFSx86

Microsoft Windows XP Professional  5.1.2600.3.1252.1.1031.18.2046.1661 [GMT 1:00]

ausgeführt von:: c:\dokumente und einstellungen\a\Desktop\ComboFix.exe

.
 

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.
 

C:\Autorun.inf

c:\dokumente und einstellungen\a\Cookies\etuw.db

c:\dokumente und einstellungen\a\Cookies\fugugyt.pif

c:\dokumente und einstellungen\a\Cookies\sunypymiw.bin

c:\recycler\S-8-7-82-100007126-100025927-100004836-1175.com

c:\windows\system32\drivers\TDSSserv.sys

D:\Autorun.inf

d:\recycler\S-8-7-82-100007126-100025927-100004836-1175.com

E:\Autorun.inf

e:\recycler\S-8-7-82-100007126-100025927-100004836-1175.com

F:\Autorun.inf

f:\recycler\S-8-7-82-100007126-100025927-100004836-1175.com

G:\Autorun.inf

g:\recycler\S-8-7-82-100007126-100025927-100004836-1175.com

H:\Autorun.inf

h:\recycler\S-8-7-82-100007126-100025927-100004836-1175.com

I:\Autorun.inf

i:\recycler\S-8-7-82-100007126-100025927-100004836-1175.com

J:\Autorun.inf

j:\recycler\S-8-7-82-100007126-100025927-100004836-1175.com
 

.

(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))

.
 

-------\Service_TDSSSERV

-------\Legacy_TDSSSERV
 
 

(((((((((((((((((((((((   Dateien erstellt von 2008-12-28 bis 2009-01-31  ))))))))))))))))))))))))))))))

.
 

2009-01-31 13:31 . 2009-01-31 15:25        250        --a------        c:\windows\gmer.ini

2009-01-23 02:59 . 2009-01-23 02:59        <DIR>        d--------        c:\programme\Sony Ericsson USB

2009-01-23 02:57 . 2009-01-23 12:22        <DIR>        d-a------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP

2009-01-23 02:57 . 2009-01-23 03:11        <DIR>        d--------        c:\dokumente und einstellungen\a\Anwendungsdaten\MyPhoneExplorer

2009-01-21 21:08 . 2009-01-21 21:08        7,680        --ahs----        c:\windows\Thumbs.db

2009-01-21 15:44 . 2009-01-21 15:44        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\MiKTeX

2009-01-21 15:39 . 2009-01-21 15:43        <DIR>        d--------        c:\programme\MiKTeX 2.7

2009-01-21 14:46 . 2006-05-28 16:39        44,544        --a------        c:\windows\system32\msxml4a.dll

2009-01-21 14:39 . 2009-01-21 14:39        <DIR>        d--------        c:\programme\Gemeinsame Dateien\Adobe

2009-01-20 14:58 . 2009-01-31 16:01        <DIR>        d--------        c:\dokumente und einstellungen\a\Anwendungsdaten\gtk-2.0

2009-01-14 23:05 . 2009-01-14 23:05        <DIR>        d--------        c:\dokumente und einstellungen\a\Anwendungsdaten\Inkscape

2009-01-08 18:01 . 2009-01-08 18:01        <DIR>        d--------        c:\programme\MSXML 4.0

2009-01-08 16:33 . 2007-04-24 11:33        108,680        -ra------        c:\windows\system32\drivers\s125mdm.sys

2009-01-08 16:33 . 2007-04-24 11:33        100,488        -ra------        c:\windows\system32\drivers\s125mgmt.sys

2009-01-08 16:33 . 2007-04-24 11:33        98,696        -ra------        c:\windows\system32\drivers\s125obex.sys

2009-01-08 16:33 . 2007-04-24 11:33        83,336        -ra------        c:\windows\system32\drivers\s125bus.sys

2009-01-08 16:33 . 2007-04-24 11:33        15,112        -ra------        c:\windows\system32\drivers\s125mdfl.sys

2009-01-08 16:33 . 2007-04-24 11:33        12,424        -ra------        c:\windows\system32\drivers\s125whnt.sys

2009-01-08 16:33 . 2007-04-24 11:33        12,424        -ra------        c:\windows\system32\drivers\s125wh.sys

2009-01-08 16:33 . 2007-04-24 11:33        12,424        -ra------        c:\windows\system32\drivers\s125cmnt.sys

2009-01-08 16:33 . 2007-04-24 11:33        12,424        -ra------        c:\windows\system32\drivers\s125cm.sys

2009-01-08 16:32 . 2009-01-18 22:11        <DIR>        d--------        c:\dokumente und einstellungen\a\Anwendungsdaten\Teleca

2009-01-07 23:29 . 2009-01-18 22:11        <DIR>        d--------        c:\programme\Gemeinsame Dateien\Teleca Shared

2009-01-07 23:29 . 2009-01-07 23:29        <DIR>        d--------        c:\dokumente und einstellungen\a\Anwendungsdaten\Sony Ericsson

2008-12-16 01:39 . 2009-01-31 19:27        <DIR>        d--hs----        c:\dokumente und einstellungen\All Users\Anwendungsdaten\MPK

2008-12-16 01:39 . 2008-12-16 01:39        403        --a------        c:\windows\system32\runkgb.lnk

2008-12-16 01:35 . 2008-12-16 01:36        539        ---hs----        c:\windows\system\actualspystart.lnk

2008-12-10 19:26 . 2008-12-10 19:27        <DIR>        d--------        c:\programme\ratDVD

2008-12-08 21:23 . 2008-12-08 21:23        410,984        --a------        c:\windows\system32\deploytk.dll
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-01-31 18:27        ---------        d-----w        c:\dokumente und einstellungen\a\Anwendungsdaten\Skype

2009-01-31 18:27        ---------        d-----w        c:\dokumente und einstellungen\a\Anwendungsdaten\nView_Wallpaper

2009-01-19 16:14        ---------        d-----w        c:\dokumente und einstellungen\a\Anwendungsdaten\dvdcss

2009-01-05 11:56        ---------        d-----w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\ybmhghyj

2009-01-04 17:38        38,496        ----a-w        c:\windows\system32\drivers\mbamswissarmy.sys

2009-01-04 17:38        15,504        ----a-w        c:\windows\system32\drivers\mbam.sys

2009-01-04 12:33        ---------        d-----w        c:\dokumente und einstellungen\a\Anwendungsdaten\ONLINE FUCHS

2008-12-24 16:30        ---------        d-----w        c:\dokumente und einstellungen\a\Anwendungsdaten\uTorrent

2008-12-19 19:11        ---------        d--h--w        c:\programme\InstallShield Installation Information

2008-12-19 17:18        ---------        d-----w        c:\dokumente und einstellungen\a\Anwendungsdaten\U3

2008-12-11 10:57        333,952        ----a-w        c:\windows\system32\drivers\srv.sys

2008-12-08 20:23        ---------        d-----w        c:\programme\Java

2008-12-07 22:41        ---------        d-----w        c:\dokumente und einstellungen\a\Anwendungsdaten\ICQ

2008-10-28 17:09        720,896        ----a-w        c:\windows\iun6002.exe

2008-10-16 13:13        319,488        ----a-w        c:\windows\HideWin.exe

2008-10-13 14:14        18,636        ----a-w        c:\programme\Gemeinsame Dateien\uqyd.bin

2008-10-13 14:14        17,368        ----a-w        c:\programme\Gemeinsame Dateien\inyfyruqas.ban

2008-10-13 14:14        16,109        ----a-w        c:\windows\ubyw.vbs

2008-10-13 14:14        15,365        ----a-w        c:\programme\Gemeinsame Dateien\idinexybo.com

2008-10-13 14:14        13,758        ----a-w        c:\dokumente und einstellungen\a\Anwendungsdaten\erita.vbs

2008-10-13 14:14        11,902        ----a-w        c:\programme\Gemeinsame Dateien\ekowabebes.inf

2008-10-13 14:14        11,363        ----a-w        c:\programme\Gemeinsame Dateien\edapen.db

2006-05-03 09:06        163,328        --sh--r        c:\windows\system32\flvDX.dll

2007-02-21 10:47        31,232        --sh--r        c:\windows\system32\msfDX.dll

2008-03-16 12:30        216,064        --sh--r        c:\windows\system32\nbDX.dll

.
 

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"UltraMon"="c:\programme\UltraMon\UltraMon.exe" [2005-05-14 187904]

"Rainlendar2"="d:\rainlendar2\Rainlendar2.exe" [2007-12-30 1365504]

"NVIDIA nTune"="c:\programme\NVIDIA Corporation\nTune\nTuneCmd.exe" [2007-09-04 81920]

"HotSwap! Applet"="D:\HotSwap!.EXE" [2009-01-10 95232]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-05-16 13529088]

"NVMixerTray"="c:\programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe" [2004-12-20 131072]

"DAEMON Tools"="c:\programme\DAEMON Tools\daemon.exe" [2006-11-12 157592]

"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]

"FreePDF Assistant"="c:\programme\FreePDF_XP\fpassist.exe" [2005-05-27 310272]

"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2008-12-08 136600]

"DiscWizardMonitor.exe"="c:\programme\Seagate\DiscWizard\DiscWizardMonitor.exe" [2007-08-20 1194768]

"AcronisTimounterMonitor"="c:\programme\Seagate\DiscWizard\TimounterMonitor.exe" [2007-08-20 1966264]

"Acronis Scheduler2 Service"="c:\programme\Gemeinsame Dateien\Seagate\Schedule2\schedhlp.exe" [2007-08-20 148760]

"MaxBlastMonitor.exe"="c:\programme\Seagate\DiscWizard\MaxBlastMonitor.exe" [2007-08-28 1194672]

"amd_dc_opt"="c:\programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe" [2007-07-23 77824]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-05-16 86016]

"Adobe Reader Speed Launcher"="d:\adobe reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]

"nwiz"="nwiz.exe" [2008-05-16 c:\windows\system32\nwiz.exe]

"Logitech Utility"="Logi_MwX.Exe" [2003-12-11 c:\windows\LOGI_MWX.EXE]

"RTHDCPL"="RTHDCPL.EXE" [2008-09-30 c:\windows\RTHDCPL.EXE]

"Resume copy"="copyfstq.exe" [2002-03-24 c:\windows\COPYFSTQ.EXE]
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\Currentversion\policies\explorer\Run]

"Mpk.exe"="d:\kgb\Mpk.exe" [2008-04-15 1177600]
 

c:\dokumente und einstellungen\a\Startmen\Programme\Autostart\

Verknpfung mit CrystalCPUID.exe.lnk - d:\crystalcpuid415\CrystalCPUID.exe [2008-09-14 823296]

Verknpfung mit miranda32.lnk - d:\miranda im\miranda32.exe [2009-01-23 558173]
 

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\

Girder 3.2.lnk - d:\girder32\Girder.exe [2003-06-11 1830912]
 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"ForceClassicControlPanel"= 1 (0x1)
 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusDisableNotify"=dword:00000001

"UpdatesDisableNotify"=dword:00000001
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"d:\\Miranda IM\\miranda32.exe"=

"e:\\Quake III Arena\\quake3.exe"=

"c:\\WINDOWS\\system32\\ftp.exe"=

"e:\\Warcraft III\\war3.exe"=

"e:\\Command & Conquer 3\\RetailExe\\1.0\\cnc3game.dat"=

"c:\\Programme\\uTorrent\\uTorrent.exe"=

"e:\\Command & Conquer 3\\RetailExe\\1.9\\cnc3game.dat"=

"e:\\Starcraft\\starcraft.exe"=

"e:\\warsow_0.3_windows\\warsow.exe"=

"e:\\HLSW\\hlsw.exe"=

"e:\\CS1.6\\cstrike.exe"=

"e:\\Warcraft III\\pickup.listchecker\\pickup.listchecker.exe"=

"d:\\OpenVPN\\bin\\openvpn.exe"=

"e:\\cs_1.6\\hl.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"d:\\zFTPServer\\zFTPServer.exe"=

"d:\\VideoLAN\\VLC\\vlc.exe"=

"e:\\UT2004\\System\\UT2004.exe"=

"e:\\Warcraft III\\Warcraft III.exe"=

"e:\\Quake III Arena\\cnq3.exe"=

"d:\\ICQ6.5\\ICQ.exe"=

"c:\\Programme\\Skype\\Phone\\Skype.exe"=
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"6112:TCP"= 6112:TCP:wc3
 

R0 nvcchflt;NVIDIA Disk Cache Filter Driver;c:\windows\system32\drivers\nvcchflt.sys [2005-02-11 16640]

R1 VBoxDrv;VirtualBox Service;c:\windows\system32\drivers\VBoxDrv.sys [2008-04-30 40928]

R1 VBoxUSBMon;VirtualBox USB Monitor Driver;c:\windows\system32\drivers\VBoxUSBMon.sys [2008-04-30 27776]

R3 AVMCOWAN;AVMCOWAN;c:\windows\system32\drivers\avmcowan.sys [2007-05-07 53632]

R3 AVMWAN;AVM NDIS WAN CAPI-Treiber;c:\windows\system32\drivers\avmwan.sys [2007-08-22 37568]

R3 CrystalSysInfo;CrystalSysInfo;d:\crystalcpuid415\SysInfo.sys [2008-09-14 15152]

R3 tap0901;TAP-Win32 Adapter V9;c:\windows\system32\drivers\tap0901.sys [2008-01-30 25216]

R3 UltraMonMirror;UltraMonMirror;c:\windows\system32\drivers\UltraMonMirror.sys [2005-05-14 3328]

R4 UltraMonUtility;UltraMon Utility Driver;c:\programme\Gemeinsame Dateien\Realtime Soft\UltraMonMirrorDrv\x32\UltraMonUtility.sys [2005-06-02 10496]

S3 ElgTaDrv;T-Concept X USB System Driver;c:\windows\system32\drivers\ElgTaDrv.sys [2002-07-15 73660]

S3 fpcibase;AVM ISDN-Controller FRITZ!Card PCI;c:\windows\system32\drivers\fpcibase.sys [2007-08-22 444416]

S3 fus2base;AVM ISDN-Controller FRITZ!Card USB v2.0;c:\windows\system32\drivers\fus2base.sys [2008-08-08 455680]

S3 IgorPlug;IgorPlug-USB Driver;c:\windows\system32\drivers\IgorPlug.sys [2008-09-07 8825]

S3 NPF;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [2005-08-02 32512]

S3 s125bus;Sony Ericsson Device 125 driver (WDM);c:\windows\system32\drivers\s125bus.sys [2009-01-08 83336]

S3 s125mdfl;Sony Ericsson Device 125 USB WMC Modem Filter;c:\windows\system32\drivers\s125mdfl.sys [2009-01-08 15112]

S3 s125mdm;Sony Ericsson Device 125 USB WMC Modem Driver;c:\windows\system32\drivers\s125mdm.sys [2009-01-08 108680]

S3 s125mgmt;Sony Ericsson Device 125 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s125mgmt.sys [2009-01-08 100488]

S3 s125obex;Sony Ericsson Device 125 USB WMC OBEX Interface;c:\windows\system32\drivers\s125obex.sys [2009-01-08 98696]

S4 BT848;TerraTV WDM Video Capture;c:\windows\system32\drivers\BT848.SYS --> c:\windows\system32\drivers\BT848.SYS [?]

S4 BTXBAR;TerraTV WDM Crossbar;c:\windows\system32\drivers\BTXBAR.SYS --> c:\windows\system32\drivers\BTXBAR.SYS [?]
 

--- Andere Dienste/Treiber im Speicher ---
 

*NewlyCreated* - CRYSTALSYSINFO
 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\H]

\Shell\AutoRun\command - H:\LaunchU3.exe -a
 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\K]

\Shell\AutoRun\command - K:\LaunchU3.exe -a
 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{82dd218a-5b77-11d9-a4d0-806d6172696f}]

\Shell\AutoRun\command - M:\umenu.exe
 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b452ba44-9e3b-11dd-aabe-0015584ebc14}]

\Shell\AutoRun\command - M:\LaunchU3.exe -a

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = hxxp://www.google.com

mStart Page = hxxp://www.google.com

IE: Alles mit FlashGet laden - d:\flashget\jc_all.htm

IE: Download aller Links mit IDM - d:\internet download manager\IEGetAll.htm

IE: Download FLV Video Inhalt mit IDM - d:\internet download manager\IEGetVL.htm

IE: Download mit IDM - d:\internet download manager\IEExt.htm

IE: Download with IDM - d:\internet download manager\IEExt.htm

IE: Mit FlashGet laden - d:\flashget\jc_link.htm

LSP: PrxerDrv.dll

FF - ProfilePath - c:\dokumente und einstellungen\a\Anwendungsdaten\Mozilla\Firefox\Profiles\wp67ruxp.default\

FF - prefs.js: browser.search.selectedEngine - Wikipedia (de)

FF - plugin: d:\adobe reader 9.0\Reader\browser\nppdf32.dll

FF - plugin: d:\mozilla firefox\plugins\npFoxitReaderPlugin.dll

FF - plugin: d:\mozilla firefox\plugins\npvlc.dll

.
 

**************************************************************************
 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-01-31 19:27:48

Windows 5.1.2600 Service Pack 3 NTFS
 

Scanne versteckte Prozesse... 
 

Scanne versteckte Autostarteinträge... 
 

Scanne versteckte Dateien... 
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 
 

**************************************************************************
 

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\gaopdxserv.sys]

"imagepath"="\systemroot\system32\drivers\gaopdxljnlknss.sys"

.

--------------------- Gesperrte Registrierungsschluessel ---------------------
 

[HKEY_USERS\S-1-5-21-746137067-1425521274-725345543-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]

"??"=hex:5f,e9,81,10,85,26,66,10,e6,a4,18,45,8c,e5,a7,82,d9,c5,59,ab,e2,cf,44,

   9a,a2,aa,e8,a6,b2,90,90,a2,c4,21,23,ae,9c,3e,b6,e6,58,6e,de,0e,bf,b4,f9,d3,\

"??"=hex:29,83,0b,df,8c,bb,7a,84,05,55,d7,2c,0d,79,f7,6a
 

[HKEY_USERS\S-1-5-21-746137067-1425521274-725345543-1003\Software\SecuROM\License information*]

"datasecu"=hex:18,96,be,7f,d9,e9,bf,e0,cc,79,f8,d7,f0,07,ea,44,35,3a,db,57,c9,

   03,77,64,6b,eb,11,d8,5e,a9,db,57,70,69,52,f0,ec,64,65,e7,09,9b,7d,77,88,08,\

"rkeysecu"=hex:d3,4b,79,dc,dc,96,aa,53,9a,2c,b4,12,04,3c,d8,e9
 

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]

"OODI01.00.00.01PRO"="F1E6A39D58433400EF5C732732ABF805E940A6111A793B9C61921E899BB25A5B7D3B1DDCFB0D2D3DBBE428EECE9D8525F9F2293CE4117EE7C586E9730A751971828ADC201095B36D605AB1D52CE3C7079AF64404A174F73A15C1D0414286712F3957FB3B34FEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CA6A0AC4980AC79339DB7CE019D40AA5CA2D97226D213B555C038D530D6EB3452EE5D8735BB0D681ECE940C93A2F9387F0AD729C644EAF6EC190AC3E097CAE046BCC776E624EEC03D0CB9F226CD1F5FA70CCFEB77BCEB74165AC11937CC5A2FC2685641248E5950CBC58E5AFB5F8B48C77B0EB9740561F41574E2CF7FE77FE592798FF6DCCCF63294BC6D5500AFCFDFB472E0C5C89F60586DF954DA803673F2861E8C6DB3954808D2D7C6B6D37FD018BA30AB8430F3518197A40EF13567C74BE5A5FA3B8080A1763BA01B1A4C6FC7659797E5B11E4DF4D600CE9B104A10DC66E6861BBDCF0CAAA5F3C482D97107C14380AF1AC9B6DA5A4385F71D7325A86A3F3958C215DF985EC21415A41AFEAF9D2F1BA2E710D2306835FC46C7A05B8D7B55FBD8DC2424EC8DFD2C89C03E6739132A8340030A8146591FAD00E35DB67F6E2D4468E39445B15B0BBDBBAAEE4D55A8B9477B33038375B9F65591CB36B523764E1B0CE9511D743FA53F68C71A0A99BBE6696A5287CEFEEC39220AF2F80B7F19C3FE6E160B3E260687987211F1AA817DC0E14950EA0C862763B99E5BB91E81321E5F591FB5681D4FF12BDE1669EE6BF1589B7531439A92F2F733269DCF88FAF0F0A13FD40A16918DAA4659F8BB4B19F24375728A6A0A0F2E7E1A1EE655989E57529FB51683F0A18AF931ADEF64E7B0AC9B42E709FEA0CA0B806EA375A95206BCDFA5F4D8625ACEDF2B254EC426A2BD9FFD49A0EAE1587A8D0E26FCA0F0EAAC4A38F359A72CE2FDFE11D05256858BADA00DC58905BADDB4913927914E91CC72817FC1E41EA6D4F82AFDD6F197CA66D3596DE5B73D7213F3C397CD6C7BB7971E33DC36BB6FDFABEC7BCCCB0D8D83AC66454A4DE190388E192644EBBEB8CF9BD5867CEE26DE27956C5C583A2352028AFEB55093E10C7E18678DDF435B2A906327750D7D13C69076EA0E02215C9559611C5131C336D2F9AD8526890DBA07EE2502D0436591937465C3A3AFF080186543A18D22DA049E2601FE6B6B75F81D2652BAB956A157C86FAF3285C7117FB240FAD438DE4E10B8BF78C3B02E9BD5CCB60C0AA7029D3DF861D2596FB7DA6A4C4E045FF3A183C7824AACA61B8014B388E1A80C65863B40CEED03BEEFF19B7764B110D0B3AF5637EC0BEB60A395669C5AAF344291A64F81877DA7C9ECE7977F8ED4039BC0CC1612000DB50A98A410BB5E6CEB0F9FAAA2C4F33D5D4A1C9582817065"

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
 

- - - - - - - > 'lsass.exe'(1316)

c:\windows\system32\relog_ap.dll

.

------------------------ Weitere laufende Prozesse ------------------------

.

c:\programme\Logitech\MouseWare\system\EM_EXEC.EXE

c:\windows\system32\rundll32.exe

c:\windows\system32\rundll32.exe

c:\programme\UltraMon\UltraMonTaskbar.exe

c:\programme\Gemeinsame Dateien\Seagate\Schedule2\schedul2.exe

c:\programme\Java\jre6\bin\jqs.exe

c:\windows\system32\LckFldService.exe

c:\programme\NVIDIA Corporation\nTune\nTuneService.exe

c:\windows\system32\nvsvc32.exe

c:\windows\system32\PnkBstrA.exe

c:\programme\Skype\Phone\Skype.exe

c:\programme\Skype\Plugin Manager\skypePM.exe

c:\windows\system32\wbem\wmiapsrv.exe

c:\windows\system32\wscntfy.exe

.

**************************************************************************

.

Zeit der Fertigstellung: 2009-01-31 19:29:03 - PC wurde neu gestartet

ComboFix-quarantined-files.txt  2009-01-31 18:29:01
 

Vor Suchlauf: 10 Verzeichnis(se), 10,140,487,680 Bytes frei

Nach Suchlauf: 10 Verzeichnis(se), 10,388,434,944 Bytes frei
 

261        --- E O F ---        2009-01-15 03:02:11

Und die zweite GMER-Log:
http://rapidshare.com/files/192135323/gmer-log2.log.html

Meine Festplatte rattert seit dem Combofix-Scan übrigens durchgehend wie wild.

Seit wann hast du Probleme?

1.) Deinstalliere die Daemon Tools (kannst du zum Schluss wieder installieren)

2.) Scripten mit Combofix

Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code:

KILLALL::
 

Driver::

gaopdxserv.sys
 

File::

c:\windows\system32\drivers\gaopdxljnlknss.sys

c:\windows\system32\gaopdxrsevnqhc.dll

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

Wow, es es funktioniert wieder alles.

Trotzdem der vollständigkeit halber hier das aktuelle Log (falls du noch was anderes im Auge hattest):

Code:

ComboFix 09-01-31.01 - a 2009-01-31 20:25:58.2 - NTFSx86

Microsoft Windows XP Professional  5.1.2600.3.1252.1.1031.18.2046.1628 [GMT 1:00]

ausgeführt von:: c:\dokumente und einstellungen\a\Desktop\ComboFix.exe

.
 

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.
 

c:\windows\system32\drivers\gaopdxljnlknss.sys

c:\windows\system32\gaopdxrsevnqhc.dll
 

.

(((((((((((((((((((((((   Dateien erstellt von 2008-12-28 bis 2009-01-31  ))))))))))))))))))))))))))))))

.
 

2009-01-31 13:31 . 2009-01-31 20:24        250        --a------        c:\windows\gmer.ini

2009-01-30 20:47 . 2009-01-31 19:26        4        --a------        c:\windows\system32\gaopdxcounter

2009-01-23 02:59 . 2009-01-23 02:59        <DIR>        d--------        c:\programme\Sony Ericsson USB

2009-01-23 02:57 . 2009-01-23 12:22        <DIR>        d-a------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP

2009-01-23 02:57 . 2009-01-23 03:11        <DIR>        d--------        c:\dokumente und einstellungen\a\Anwendungsdaten\MyPhoneExplorer

2009-01-21 21:08 . 2009-01-21 21:08        7,680        --ahs----        c:\windows\Thumbs.db

2009-01-21 15:44 . 2009-01-21 15:44        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\MiKTeX

2009-01-21 15:39 . 2009-01-21 15:43        <DIR>        d--------        c:\programme\MiKTeX 2.7

2009-01-21 14:46 . 2006-05-28 16:39        44,544        --a------        c:\windows\system32\msxml4a.dll

2009-01-21 14:39 . 2009-01-21 14:39        <DIR>        d--------        c:\programme\Gemeinsame Dateien\Adobe

2009-01-20 14:58 . 2009-01-31 16:01        <DIR>        d--------        c:\dokumente und einstellungen\a\Anwendungsdaten\gtk-2.0

2009-01-14 23:05 . 2009-01-14 23:05        <DIR>        d--------        c:\dokumente und einstellungen\a\Anwendungsdaten\Inkscape

2009-01-08 18:01 . 2009-01-08 18:01        <DIR>        d--------        c:\programme\MSXML 4.0

2009-01-08 16:33 . 2007-04-24 11:33        108,680        -ra------        c:\windows\system32\drivers\s125mdm.sys

2009-01-08 16:33 . 2007-04-24 11:33        100,488        -ra------        c:\windows\system32\drivers\s125mgmt.sys

2009-01-08 16:33 . 2007-04-24 11:33        98,696        -ra------        c:\windows\system32\drivers\s125obex.sys

2009-01-08 16:33 . 2007-04-24 11:33        83,336        -ra------        c:\windows\system32\drivers\s125bus.sys

2009-01-08 16:33 . 2007-04-24 11:33        15,112        -ra------        c:\windows\system32\drivers\s125mdfl.sys

2009-01-08 16:33 . 2007-04-24 11:33        12,424        -ra------        c:\windows\system32\drivers\s125whnt.sys

2009-01-08 16:33 . 2007-04-24 11:33        12,424        -ra------        c:\windows\system32\drivers\s125wh.sys

2009-01-08 16:33 . 2007-04-24 11:33        12,424        -ra------        c:\windows\system32\drivers\s125cmnt.sys

2009-01-08 16:33 . 2007-04-24 11:33        12,424        -ra------        c:\windows\system32\drivers\s125cm.sys

2009-01-08 16:32 . 2009-01-18 22:11        <DIR>        d--------        c:\dokumente und einstellungen\a\Anwendungsdaten\Teleca

2009-01-07 23:29 . 2009-01-18 22:11        <DIR>        d--------        c:\programme\Gemeinsame Dateien\Teleca Shared

2009-01-07 23:29 . 2009-01-07 23:29        <DIR>        d--------        c:\dokumente und einstellungen\a\Anwendungsdaten\Sony Ericsson

2008-12-16 01:39 . 2009-01-31 20:30        <DIR>        d--hs----        c:\dokumente und einstellungen\All Users\Anwendungsdaten\MPK

2008-12-16 01:39 . 2008-12-16 01:39        403        --a------        c:\windows\system32\runkgb.lnk

2008-12-16 01:35 . 2008-12-16 01:36        539        ---hs----        c:\windows\system\actualspystart.lnk

2008-12-10 19:26 . 2008-12-10 19:27        <DIR>        d--------        c:\programme\ratDVD

2008-12-08 21:23 . 2008-12-08 21:23        410,984        --a------        c:\windows\system32\deploytk.dll
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-01-31 19:30        ---------        d-----w        c:\dokumente und einstellungen\a\Anwendungsdaten\Skype

2009-01-31 19:30        ---------        d-----w        c:\dokumente und einstellungen\a\Anwendungsdaten\nView_Wallpaper

2009-01-19 16:14        ---------        d-----w        c:\dokumente und einstellungen\a\Anwendungsdaten\dvdcss

2009-01-05 11:56        ---------        d-----w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\ybmhghyj

2009-01-04 17:38        38,496        ----a-w        c:\windows\system32\drivers\mbamswissarmy.sys

2009-01-04 17:38        15,504        ----a-w        c:\windows\system32\drivers\mbam.sys

2009-01-04 12:33        ---------        d-----w        c:\dokumente und einstellungen\a\Anwendungsdaten\ONLINE FUCHS

2008-12-24 16:30        ---------        d-----w        c:\dokumente und einstellungen\a\Anwendungsdaten\uTorrent

2008-12-19 19:11        ---------        d--h--w        c:\programme\InstallShield Installation Information

2008-12-19 17:18        ---------        d-----w        c:\dokumente und einstellungen\a\Anwendungsdaten\U3

2008-12-11 10:57        333,952        ----a-w        c:\windows\system32\drivers\srv.sys

2008-12-08 20:23        ---------        d-----w        c:\programme\Java

2008-12-07 22:41        ---------        d-----w        c:\dokumente und einstellungen\a\Anwendungsdaten\ICQ

2008-10-28 17:09        720,896        ----a-w        c:\windows\iun6002.exe

2008-10-16 13:13        319,488        ----a-w        c:\windows\HideWin.exe

2008-10-13 14:14        18,636        ----a-w        c:\programme\Gemeinsame Dateien\uqyd.bin

2008-10-13 14:14        17,368        ----a-w        c:\programme\Gemeinsame Dateien\inyfyruqas.ban

2008-10-13 14:14        16,109        ----a-w        c:\windows\ubyw.vbs

2008-10-13 14:14        15,365        ----a-w        c:\programme\Gemeinsame Dateien\idinexybo.com

2008-10-13 14:14        13,758        ----a-w        c:\dokumente und einstellungen\a\Anwendungsdaten\erita.vbs

2008-10-13 14:14        11,902        ----a-w        c:\programme\Gemeinsame Dateien\ekowabebes.inf

2008-10-13 14:14        11,363        ----a-w        c:\programme\Gemeinsame Dateien\edapen.db

2006-05-03 09:06        163,328        --sh--r        c:\windows\system32\flvDX.dll

2007-02-21 10:47        31,232        --sh--r        c:\windows\system32\msfDX.dll

2008-03-16 12:30        216,064        --sh--r        c:\windows\system32\nbDX.dll

.
 

(((((((((((((((((((((((((((((   snapshot@2009-01-31_19.28.27.06   )))))))))))))))))))))))))))))))))))))))))

.

- 2008-08-08 01:20:00        80,468        ----a-w        c:\windows\system32\perfc007.dat

+ 2009-01-31 19:24:22        80,468        ----a-w        c:\windows\system32\perfc007.dat

- 2008-08-08 01:20:00        67,696        ----a-w        c:\windows\system32\perfc009.dat

+ 2009-01-31 19:24:22        67,696        ----a-w        c:\windows\system32\perfc009.dat

- 2008-08-08 01:20:00        449,248        ----a-w        c:\windows\system32\perfh007.dat

+ 2009-01-31 19:24:22        449,248        ----a-w        c:\windows\system32\perfh007.dat

- 2008-08-08 01:20:00        432,992        ----a-w        c:\windows\system32\perfh009.dat

+ 2009-01-31 19:24:22        432,992        ----a-w        c:\windows\system32\perfh009.dat

+ 2009-01-31 19:30:16        16,384        ----atw        c:\windows\temp\Perflib_Perfdata_2b0.dat

+ 2009-01-31 19:30:39        16,384        ----atw        c:\windows\temp\Perflib_Perfdata_700.dat

+ 2009-01-31 19:30:50        16,384        ----atw        c:\windows\temp\Perflib_Perfdata_c04.dat

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"UltraMon"="c:\programme\UltraMon\UltraMon.exe" [2005-05-14 187904]

"Rainlendar2"="d:\rainlendar2\Rainlendar2.exe" [2007-12-30 1365504]

"NVIDIA nTune"="c:\programme\NVIDIA Corporation\nTune\nTuneCmd.exe" [2007-09-04 81920]

"HotSwap! Applet"="D:\HotSwap!.EXE" [2009-01-10 95232]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-05-16 13529088]

"NVMixerTray"="c:\programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe" [2004-12-20 131072]

"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]

"FreePDF Assistant"="c:\programme\FreePDF_XP\fpassist.exe" [2005-05-27 310272]

"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2008-12-08 136600]

"DiscWizardMonitor.exe"="c:\programme\Seagate\DiscWizard\DiscWizardMonitor.exe" [2007-08-20 1194768]

"AcronisTimounterMonitor"="c:\programme\Seagate\DiscWizard\TimounterMonitor.exe" [2007-08-20 1966264]

"Acronis Scheduler2 Service"="c:\programme\Gemeinsame Dateien\Seagate\Schedule2\schedhlp.exe" [2007-08-20 148760]

"MaxBlastMonitor.exe"="c:\programme\Seagate\DiscWizard\MaxBlastMonitor.exe" [2007-08-28 1194672]

"amd_dc_opt"="c:\programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe" [2007-07-23 77824]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-05-16 86016]

"Adobe Reader Speed Launcher"="d:\adobe reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]

"nwiz"="nwiz.exe" [2008-05-16 c:\windows\system32\nwiz.exe]

"Logitech Utility"="Logi_MwX.Exe" [2003-12-11 c:\windows\LOGI_MWX.EXE]

"RTHDCPL"="RTHDCPL.EXE" [2008-09-30 c:\windows\RTHDCPL.EXE]

"Resume copy"="copyfstq.exe" [2002-03-24 c:\windows\COPYFSTQ.EXE]
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\Currentversion\policies\explorer\Run]

"Mpk.exe"="d:\kgb\Mpk.exe" [2008-04-15 1177600]
 

c:\dokumente und einstellungen\a\Startmen\Programme\Autostart\

Verknpfung mit CrystalCPUID.exe.lnk - d:\crystalcpuid415\CrystalCPUID.exe [2008-09-14 823296]

Verknpfung mit miranda32.lnk - d:\miranda im\miranda32.exe [2009-01-23 558173]
 

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\

Girder 3.2.lnk - d:\girder32\Girder.exe [2003-06-11 1830912]
 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"ForceClassicControlPanel"= 1 (0x1)
 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusDisableNotify"=dword:00000001

"UpdatesDisableNotify"=dword:00000001
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"d:\\Miranda IM\\miranda32.exe"=

"e:\\Quake III Arena\\quake3.exe"=

"c:\\WINDOWS\\system32\\ftp.exe"=

"e:\\Warcraft III\\war3.exe"=

"e:\\Command & Conquer 3\\RetailExe\\1.0\\cnc3game.dat"=

"c:\\Programme\\uTorrent\\uTorrent.exe"=

"e:\\Command & Conquer 3\\RetailExe\\1.9\\cnc3game.dat"=

"e:\\Starcraft\\starcraft.exe"=

"e:\\warsow_0.3_windows\\warsow.exe"=

"e:\\HLSW\\hlsw.exe"=

"e:\\CS1.6\\cstrike.exe"=

"e:\\Warcraft III\\pickup.listchecker\\pickup.listchecker.exe"=

"d:\\OpenVPN\\bin\\openvpn.exe"=

"e:\\cs_1.6\\hl.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"d:\\zFTPServer\\zFTPServer.exe"=

"d:\\VideoLAN\\VLC\\vlc.exe"=

"e:\\UT2004\\System\\UT2004.exe"=

"e:\\Warcraft III\\Warcraft III.exe"=

"e:\\Quake III Arena\\cnq3.exe"=

"d:\\ICQ6.5\\ICQ.exe"=

"c:\\Programme\\Skype\\Phone\\Skype.exe"=
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"6112:TCP"= 6112:TCP:wc3
 

R0 nvcchflt;NVIDIA Disk Cache Filter Driver;c:\windows\system32\drivers\nvcchflt.sys [2005-02-11 16640]

R1 VBoxDrv;VirtualBox Service;c:\windows\system32\drivers\VBoxDrv.sys [2008-04-30 40928]

R1 VBoxUSBMon;VirtualBox USB Monitor Driver;c:\windows\system32\drivers\VBoxUSBMon.sys [2008-04-30 27776]

R3 AVMCOWAN;AVMCOWAN;c:\windows\system32\drivers\avmcowan.sys [2007-05-07 53632]

R3 AVMWAN;AVM NDIS WAN CAPI-Treiber;c:\windows\system32\drivers\avmwan.sys [2007-08-22 37568]

R3 CrystalSysInfo;CrystalSysInfo;d:\crystalcpuid415\SysInfo.sys [2008-09-14 15152]

R3 tap0901;TAP-Win32 Adapter V9;c:\windows\system32\drivers\tap0901.sys [2008-01-30 25216]

R3 UltraMonMirror;UltraMonMirror;c:\windows\system32\drivers\UltraMonMirror.sys [2005-05-14 3328]

R4 UltraMonUtility;UltraMon Utility Driver;c:\programme\Gemeinsame Dateien\Realtime Soft\UltraMonMirrorDrv\x32\UltraMonUtility.sys [2005-06-02 10496]

S3 ElgTaDrv;T-Concept X USB System Driver;c:\windows\system32\drivers\ElgTaDrv.sys [2002-07-15 73660]

S3 fpcibase;AVM ISDN-Controller FRITZ!Card PCI;c:\windows\system32\drivers\fpcibase.sys [2007-08-22 444416]

S3 fus2base;AVM ISDN-Controller FRITZ!Card USB v2.0;c:\windows\system32\drivers\fus2base.sys [2008-08-08 455680]

S3 IgorPlug;IgorPlug-USB Driver;c:\windows\system32\drivers\IgorPlug.sys [2008-09-07 8825]

S3 NPF;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [2005-08-02 32512]

S3 s125bus;Sony Ericsson Device 125 driver (WDM);c:\windows\system32\drivers\s125bus.sys [2009-01-08 83336]

S3 s125mdfl;Sony Ericsson Device 125 USB WMC Modem Filter;c:\windows\system32\drivers\s125mdfl.sys [2009-01-08 15112]

S3 s125mdm;Sony Ericsson Device 125 USB WMC Modem Driver;c:\windows\system32\drivers\s125mdm.sys [2009-01-08 108680]

S3 s125mgmt;Sony Ericsson Device 125 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s125mgmt.sys [2009-01-08 100488]

S3 s125obex;Sony Ericsson Device 125 USB WMC OBEX Interface;c:\windows\system32\drivers\s125obex.sys [2009-01-08 98696]

S4 BT848;TerraTV WDM Video Capture;c:\windows\system32\drivers\BT848.SYS --> c:\windows\system32\drivers\BT848.SYS [?]

S4 BTXBAR;TerraTV WDM Crossbar;c:\windows\system32\drivers\BTXBAR.SYS --> c:\windows\system32\drivers\BTXBAR.SYS [?]
 

--- Andere Dienste/Treiber im Speicher ---
 

*NewlyCreated* - CRYSTALSYSINFO
 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\H]

\Shell\AutoRun\command - H:\LaunchU3.exe -a
 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\K]

\Shell\AutoRun\command - K:\LaunchU3.exe -a
 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b452ba44-9e3b-11dd-aabe-0015584ebc14}]

\Shell\AutoRun\command - M:\LaunchU3.exe -a

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = hxxp://www.google.com

mStart Page = hxxp://www.google.com

IE: Alles mit FlashGet laden - d:\flashget\jc_all.htm

IE: Download aller Links mit IDM - d:\internet download manager\IEGetAll.htm

IE: Download FLV Video Inhalt mit IDM - d:\internet download manager\IEGetVL.htm

IE: Download mit IDM - d:\internet download manager\IEExt.htm

IE: Download with IDM - d:\internet download manager\IEExt.htm

IE: Mit FlashGet laden - d:\flashget\jc_link.htm

LSP: PrxerDrv.dll

FF - ProfilePath - c:\dokumente und einstellungen\a\Anwendungsdaten\Mozilla\Firefox\Profiles\wp67ruxp.default\

FF - prefs.js: browser.search.selectedEngine - Wikipedia (de)

FF - plugin: d:\adobe reader 9.0\Reader\browser\nppdf32.dll

FF - plugin: d:\mozilla firefox\plugins\npFoxitReaderPlugin.dll

FF - plugin: d:\mozilla firefox\plugins\npvlc.dll

.
 

**************************************************************************
 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-01-31 20:30:43

Windows 5.1.2600 Service Pack 3 NTFS
 

Scanne versteckte Prozesse... 
 

Scanne versteckte Autostarteinträge... 
 

Scanne versteckte Dateien... 
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************

.

--------------------- Gesperrte Registrierungsschluessel ---------------------
 

[HKEY_USERS\S-1-5-21-746137067-1425521274-725345543-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]

"??"=hex:5f,e9,81,10,85,26,66,10,e6,a4,18,45,8c,e5,a7,82,d9,c5,59,ab,e2,cf,44,

   9a,a2,aa,e8,a6,b2,90,90,a2,c4,21,23,ae,9c,3e,b6,e6,58,6e,de,0e,bf,b4,f9,d3,\

"??"=hex:29,83,0b,df,8c,bb,7a,84,05,55,d7,2c,0d,79,f7,6a
 

[HKEY_USERS\S-1-5-21-746137067-1425521274-725345543-1003\Software\SecuROM\License information*]

"datasecu"=hex:18,96,be,7f,d9,e9,bf,e0,cc,79,f8,d7,f0,07,ea,44,35,3a,db,57,c9,

   03,77,64,6b,eb,11,d8,5e,a9,db,57,70,69,52,f0,ec,64,65,e7,09,9b,7d,77,88,08,\

"rkeysecu"=hex:d3,4b,79,dc,dc,96,aa,53,9a,2c,b4,12,04,3c,d8,e9
 

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]

"OODI01.00.00.01PRO"="F1E6A39D58433400EF5C732732ABF805E940A6111A793B9C61921E899BB25A5B7D3B1DDCFB0D2D3DBBE428EECE9D8525F9F2293CE4117EE7C586E9730A751971828ADC201095B36D605AB1D52CE3C7079AF64404A174F73A15C1D0414286712F3957FB3B34FEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CA6A0AC4980AC79339DB7CE019D40AA5CA2D97226D213B555C038D530D6EB3452EE5D8735BB0D681ECE940C93A2F9387F0AD729C644EAF6EC190AC3E097CAE046BCC776E624EEC03D0CB9F226CD1F5FA70CCFEB77BCEB74165AC11937CC5A2FC2685641248E5950CBC58E5AFB5F8B48C77B0EB9740561F41574E2CF7FE77FE592798FF6DCCCF63294BC6D5500AFCFDFB472E0C5C89F60586DF954DA803673F2861E8C6DB3954808D2D7C6B6D37FD018BA30AB8430F3518197A40EF13567C74BE5A5FA3B8080A1763BA01B1A4C6FC7659797E5B11E4DF4D600CE9B104A10DC66E6861BBDCF0CAAA5F3C482D97107C14380AF1AC9B6DA5A4385F71D7325A86A3F3958C215DF985EC21415A41AFEAF9D2F1BA2E710D2306835FC46C7A05B8D7B55FBD8DC2424EC8DFD2C89C03E6739132A8340030A8146591FAD00E35DB67F6E2D4468E39445B15B0BBDBBAAEE4D55A8B9477B33038375B9F65591CB36B523764E1B0CE9511D743FA53F68C71A0A99BBE6696A5287CEFEEC39220AF2F80B7F19C3FE6E160B3E260687987211F1AA817DC0E14950EA0C862763B99E5BB91E81321E5F591FB5681D4FF12BDE1669EE6BF1589B7531439A92F2F733269DCF88FAF0F0A13FD40A16918DAA4659F8BB4B19F24375728A6A0A0F2E7E1A1EE655989E57529FB51683F0A18AF931ADEF64E7B0AC9B42E709FEA0CA0B806EA375A95206BCDFA5F4D8625ACEDF2B254EC426A2BD9FFD49A0EAE1587A8D0E26FCA0F0EAAC4A38F359A72CE2FDFE11D05256858BADA00DC58905BADDB4913927914E91CC72817FC1E41EA6D4F82AFDD6F197CA66D3596DE5B73D7213F3C397CD6C7BB7971E33DC36BB6FDFABEC7BCCCB0D8D83AC66454A4DE190388E192644EBBEB8CF9BD5867CEE26DE27956C5C583A2352028AFEB55093E10C7E18678DDF435B2A906327750D7D13C69076EA0E02215C9559611C5131C336D2F9AD8526890DBA07EE2502D0436591937465C3A3AFF080186543A18D22DA049E2601FE6B6B75F81D2652BAB956A157C86FAF3285C7117FB240FAD438DE4E10B8BF78C3B02E9BD5CCB60C0AA7029D3DF861D2596FB7DA6A4C4E045FF3A183C7824AACA61B8014B388E1A80C65863B40CEED03BEEFF19B7764B110D0B3AF5637EC0BEB60A395669C5AAF344291A64F81877DA7C9ECE7977F8ED4039BC0CC1612000DB50A98A410BB5E6CEB0F9FAAA2C4F33D5D4A1C9582817065"

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
 

- - - - - - - > 'lsass.exe'(1320)

c:\windows\system32\relog_ap.dll

.

------------------------ Weitere laufende Prozesse ------------------------

.

c:\programme\Logitech\MouseWare\system\EM_EXEC.EXE

c:\windows\system32\rundll32.exe

c:\windows\system32\rundll32.exe

c:\programme\Gemeinsame Dateien\Seagate\Schedule2\schedul2.exe

c:\programme\UltraMon\UltraMonTaskbar.exe

c:\programme\Java\jre6\bin\jqs.exe

c:\windows\system32\LckFldService.exe

c:\programme\NVIDIA Corporation\nTune\nTuneService.exe

c:\windows\system32\nvsvc32.exe

c:\windows\system32\PnkBstrA.exe

c:\windows\system32\wbem\wmiapsrv.exe

c:\programme\Skype\Phone\Skype.exe

c:\programme\Skype\Plugin Manager\skypePM.exe

c:\windows\system32\wscntfy.exe

.

**************************************************************************

.

Zeit der Fertigstellung: 2009-01-31 20:32:19 - PC wurde neu gestartet [a]

ComboFix-quarantined-files.txt  2009-01-31 19:32:17

ComboFix2.txt  2009-01-31 18:29:04
 

Vor Suchlauf: 10 Verzeichnis(se), 10,369,368,064 Bytes frei

Nach Suchlauf: 10 Verzeichnis(se), 10,351,067,136 Bytes frei
 

250        --- E O F ---        2009-01-15 03:02:11

Ansonsten vielen Dank für deine Hilfe.

Also mir erscheint da eigentlich alles verdächtig. Die Suche ist aber einfacher, wenn du mir ein Datum nennen kannst, seitdem die Probleme bestehen.

Da läuft mir definitiv zu viel im Hintergrund und als Autostart, aber wenn du sowieso neuaufsetzt, dann lohnt die Mühe nicht.

1.) Start => Ausführen => combofix /u => OK

2.) Lass noch die Standardscanner laufen und poste die Logs:
MalwareBytes
SuperAntiSpyware
DrWeb CureIt

ciao, andreas

Das Problem trat gestern abend ca 20:45 auf.
Die Scans mach ich die Nacht über und poste morgen die Logs.

Vorm Scannen habe ich doch nochmal ein paar Programme deinstalliert: den Keylogger und einige Tools von Festplattenherstellern, die ich nur einmal gebraucht hatte.

Super AntiSpyware:
kein Fund

MalwareBytes:
Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyDocs (Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
habe ich entfernt.

Zu DrWebCureIt bin ich leider noch nicht gekommen.

Das sieht doch gut aus. Lösche noch diese Datei:

Code:

c:\windows\system32\gaopdxcounter

ciao, andreas