Scheinbarer Spambot - bin ratlos!
 

Hallo :)

Ich bin neu im Forum und hab direkt mal ein unschönes Problem. Auf meinem Rechner läuft scheinbar ein Spambot, der permanent Daten verschickt. Aufgefallen ist mir das über PeerGuardian2, das bei mir mir permanent mitläuft und alle Verbindungen anzeigt und ggf. blockt. Dort fallen mir seit heute Vormittag unzählige (das Fenster rattert wie Tetris auf Level 200) Verbindungen zu SMTP-Servern auf Port 25 auf. Teilweise gibt es auch Rückmeldungen von den Servern. Dabei gibt es Verbindungen zum Googlemail-Server als auch zu unzähligen Servern diverser internationaler Universitäten.
Der jeweilige Port steigt dabei übrigens bei jeder Verbindung um 1. Mittlerweile ist es bei 30566 angekommen.

Im Taskmanager laufen keine suspekten Programme. Ich kann alles zuordnen.
HijackThis zeigt (meiner Meinung nach) keinerlei Auffälligkeiten. Dennoch hier einmal das Log:


---
Logfile of HijackThis v1.99.1
Scan saved at 16:01:19, on 11.05.2010
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe
C:\Programme\Motherboard Monitor 5\MBM5.EXE
C:\Programme\TVgenial\TVgenial.exe
C:\Programme\Rainlendar\Rainlendar.exe
C:\WINDOWS\System32\PnkBstrA.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\UTSCSI.EXE
C:\Programme\Winamp\winamp.exe
C:\Programme\QIP\qip.exe
C:\Programme\PeerGuardian2\pg2.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\k9v1\K9.exe
C:\Programme\Outlook Express\msimn.exe
D:\Downloads\Programme\HiJackThis\hijackthis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O4 - HKLM\..\Run: [MBM 5] "C:\Programme\Motherboard Monitor 5\MBM5.EXE"
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKCU\..\Run: [TVgenial] C:\Programme\TVgenial\TVgenial.exe -d
O4 - Startup: Rainlendar.lnk = C:\Programme\Rainlendar\Rainlendar.exe
O4 - Startup: Verknüpfung mit K9.lnk = C:\Programme\k9v1\K9.exe
O4 - Global Startup: PeerGuardian.lnk = C:\Programme\PeerGuardian2\pg2.exe
O8 - Extra context menu item: Add to AMV Convert Tool... - C:\Programme\MP3 Player Utilities 4.00\AMVConverter\grab.html
O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Programme\MP3 Player Utilities 4.00\MediaManager\grab.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: (no name) - {09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5} - C:\Programme\Google\Google Gears\Internet Explorer\0.5.33.0\gears.dll
O9 - Extra 'Tools' menuitem: &Gears-Einstellungen - {09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5} - C:\Programme\Google\Google Gears\Internet Explorer\0.5.33.0\gears.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1253106379484
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - hxxp://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D018CAFF-DABE-4ACD-9A09-446744D698B5}: NameServer = 192.168.6.1,85.214.73.63
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Unknown owner - C:\Programme\Google\Update\GoogleUpdate.exe" /svc (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\System32\PnkBstrA.exe
O23 - Service: CLCV0 (UTSCSI) - Unknown owner - C:\WINDOWS\System32\UTSCSI.EXE

---

Spybot Search&Destroy hat ein "Win32.Agent.pz" entdeckt, allerdings nur einen einzigen Registry-Eintrag gelöscht. Das Problem besteht auch weiterhin.
Andere Anti-Virus oder Anti-Malware-Tools finden überhaupt nichts.

Gibt es Ideen oder Tipps, was ich machen könnte? =/ Ich bin grade relativ ratlos und etwas genervt ;)
Danke:)

Hallo und :hallo:

Ist das Dein Ernst? :eek:
Wieso hat das XP noch keine Updates gesehen? Nichtmal SP1!

Ja, ist es. Die Version ist glaub ich seit 2006 drauf :crazy: Frag lieber nicht, wieso ;)
Hätte auch noch eine Lizenz für Win7 hier, das will ich dem 1GB-RAM-Rechner aber ungern antun. Zudem das Ding hier eigentlich nur noch steht und einfach nur funktionieren soll.

bitte nen Vollscan mit malwarebytes machen und Log posten. Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

Malwarebytes hab ich heute schon 2x scannen lassen, beide Male ohne Ergebnis. Hier das Log vom letzten Scan:

---
Malwarebytes' Anti-Malware 1.42
Datenbank Version: 3289
Windows 5.1.2600
Internet Explorer 6.0.2600.0000

11.05.2010 15:51:44
mbam-log-2010-05-11 (15-51-44).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 106534
Laufzeit: 6 minute(s), 0 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
---

OTL kannte ich nicht. Ich lass es mal laufen.
Ääähm. Die OTL.txt Logfile ist wirklich SEHR lang. Soll ich die komplett einfügen?! Oder meintest Du, dass ich "Use SafeList" nur bei "Extra Registry" aktivieren soll? Es war standardmässig schon bei allen Optionen aktiviert. Dementsprechend wurden da scheinbar auch eine ganze Menge Dateien gescannt.

Mit Updates hast Du es wohl nicht so :D
Malwarebytes muss in Version 1.46 und die Datenbank in Version 4090 sein! Außerdem wollte ich einen Vollscan haben (zur Erinnerung)

Aye! Sorry :D

Hab jetzt mal einen Komplettscan mit Malwarebytes in der aktuellsten Version durchgeführt. Hat 4 Objekte gefunden die anscheinend zu einem Rootkit gehören, das passt ja. Konnte nur nicht alles löschen. Ich werd noch berichten, wie es nach dem Reboot aussieht.

Danke!

---
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4090

Windows 5.1.2600
Internet Explorer 6.0.2600.0000

11.05.2010 17:10:15
mbam-log-2010-05-11 (17-10-15).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 165124
Laufzeit: 26 Minute(n), 33 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\drivers\kronelgi.sys (Rootkit.Agent) -> Delete on reboot.
C:\WINDOWS\rasqervy.dll (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\sdfinacs.dll (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\sdfixwcs.dll (Malware.Trace) -> Quarantined and deleted successfully.
---

Ehrlich gesagt würde ich so einen Rechner mit diesem niedrigem Patchstand (kein Servicepack!!) nicht mehr bereinigen. Aber wenn Du es unbedingt willst, auf Deine Verantwortung:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Also Malwarebytes hat es nicht geschafft die im oberen Log erwähnte Datei "kronelgi" nach dem Reboot zu löschen. Auch mit Killbox hatte ich keinen Erfolg.

Combofix hab ich vor einigen Tagen bei einer Infektion schon ausgeführt - erst danach ist das Problem mit dem Rootkit/Spambot aufgetreten =/
Ich kann es aber auch noch einmal ausprobieren.

Vernünftig ist es sicherlich nicht, das olle System noch zu "retten". Aber ich bin zur Zeit ehrlich gesagt nicht sonderlich motiviert, meine kompletten Dateien von C: zu sichern (jaa, ich bin schrecklich: keine aktuellen Updates, kein Backup... :D) und mich hinzusetzen um Windows (und alles was das so mit sich zieht) neu aufzusetzen.

Also auch Combofix hat nichts gebracht =/ Hat das Rootkit anscheinend nichtmal entdeckt.

Trotzdem hier das Log:
---
ComboFix 10-05-10.04 - F............ 11.05.2010 17:39:23.2.1 - x86
Microsoft Windows XP Professional 5.1.2600.0.1252.49.1031.18.1023.592 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\F............\Desktop\cofi.exe
.

((((((((((((((((((((((( Dateien erstellt von 2010-04-11 bis 2010-05-11 ))))))))))))))))))))))))))))))
.

2010-05-11 13:45 . 2010-05-11 13:45 -------- d-----r- c:\dokumente und einstellungen\LocalService\Eigene Dateien
2010-05-11 13:27 . 2010-05-11 13:27 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Comodo Downloader
2010-05-09 18:13 . 2010-03-26 08:33 43008 ----a-w- c:\dokumente und einstellungen\F............\Anwendungsdaten\Mozilla\Firefox\Profiles\8o561116.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\googletoolbarloader.dll
2010-05-09 18:13 . 2010-03-26 08:33 339456 ----a-w- c:\dokumente und einstellungen\F............\Anwendungsdaten\Mozilla\Firefox\Profiles\8o561116.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\googletoolbar-ff2.dll
2010-05-09 18:13 . 2010-03-26 08:32 346112 ----a-w- c:\dokumente und einstellungen\F............\Anwendungsdaten\Mozilla\Firefox\Profiles\8o561116.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\googletoolbar-ff3.dll
2010-05-09 18:13 . 2010-03-26 08:33 1496064 ----a-w- c:\dokumente und einstellungen\F............\Anwendungsdaten\Mozilla\Firefox\Profiles\8o561116.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll
2010-05-09 16:19 . 2010-05-11 07:09 -------- d-----w- c:\programme\a-squared Anti-Malware
2010-05-06 10:13 . 2010-05-06 10:12 159744 ----a-w- c:\windows\Etipua.exe
2010-05-06 10:13 . 2010-05-11 15:42 823808 ----a-w- c:\windows\system32\drivers\kronelgi.sys
2010-05-06 10:02 . 2010-05-06 10:02 -------- d-----w- c:\programme\VOB
2010-05-06 10:02 . 2002-09-26 15:34 153088 ----a-w- c:\windows\system32\IWUninstall.exe
2010-05-06 10:02 . 2002-08-28 09:09 611840 ----a-w- c:\windows\system32\vobhw.dll
2010-05-06 10:02 . 2002-04-17 18:27 11264 ----a-w- c:\windows\system32\drivers\asapi.sys
2010-05-06 10:02 . 2000-04-27 10:31 19456 ----a-w- c:\windows\system32\asapi.dll
2010-04-20 09:10 . 2008-03-21 11:57 14640 ------w- c:\windows\system32\spmsgXP_2k3.dll
2010-04-20 09:07 . 2001-08-17 12:03 50688 ----a-w- c:\windows\system32\drivers\usbhub.sys
2010-04-20 09:07 . 2001-08-17 12:03 4736 ----a-w- c:\windows\system32\drivers\usbd.sys
2010-04-20 09:06 . 2010-04-20 09:06 27632 ----a-w- c:\windows\system32\drivers\seehcri.sys
2010-04-20 09:06 . 2010-04-20 09:06 1112288 ----a-w- c:\windows\system32\WdfCoInstaller01007.dll
2010-04-20 09:06 . 2010-04-20 09:06 25512 ----a-w- c:\windows\system32\drivers\ggsemc.sys
2010-04-20 09:06 . 2010-04-20 09:06 13224 ----a-w- c:\windows\system32\drivers\ggflt.sys
2010-04-20 09:04 . 2010-04-20 12:30 -------- d-----w- c:\programme\Sony Ericsson

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-11 15:33 . 2006-08-23 09:00 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-05-11 15:24 . 2006-11-09 11:21 -------- d-----w- c:\programme\PeerGuardian2
2010-05-11 15:13 . 2009-07-02 09:20 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2010-05-11 08:41 . 2010-01-20 16:53 -------- d-----w- c:\programme\a-squared Free
2010-05-10 16:35 . 2009-01-28 09:10 -------- d-----w- c:\programme\Zattoo
2010-05-10 16:35 . 2006-04-20 21:06 -------- d--h--w- c:\programme\InstallShield Installation Information
2010-05-10 16:35 . 2007-10-05 16:34 -------- d-----w- c:\programme\Gabest
2010-05-10 16:33 . 2009-05-08 12:27 -------- d-----w- c:\dokumente und einstellungen\F............\Anwendungsdaten\Move Networks
2010-05-10 16:33 . 2008-08-16 12:30 -------- d-----w- c:\programme\IrfanView
2010-05-10 16:33 . 2009-08-28 12:56 -------- d-----w- c:\programme\Free FLV Converter
2010-05-10 16:32 . 2009-04-01 18:06 -------- d-----w- c:\programme\Digitale Bibliothek (Symbole)
2010-05-10 09:28 . 2010-02-10 22:16 -------- d-----w- c:\dokumente und einstellungen\F............\Anwendungsdaten\Skype
2010-05-09 18:45 . 2001-08-18 10:00 70580 ----a-w- c:\windows\system32\perfc007.dat
2010-05-09 18:45 . 2001-08-18 10:00 405118 ----a-w- c:\windows\system32\perfh007.dat
2010-05-09 18:28 . 2006-05-03 12:04 3888 ----a-w- c:\windows\system32\drivers\NTHANDLE.SYS
2010-05-06 09:58 . 2006-11-09 11:08 -------- d-----w- c:\dokumente und einstellungen\F............\Anwendungsdaten\Azureus
2010-04-29 10:19 . 2009-07-02 09:20 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-04-29 10:19 . 2009-07-02 09:20 19288 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-04-20 12:32 . 2007-07-11 10:25 -------- d-----w- c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2010-04-20 09:10 . 2010-04-20 09:10 0 ---ha-w- c:\windows\system32\drivers\Msft_Kernel_ggflt_01007.Wdf
2010-04-20 09:10 . 2010-04-20 09:10 0 ---ha-w- c:\windows\system32\drivers\MsftWdf_Kernel_01007_Coinstaller_Critical.Wdf
2010-04-20 09:10 . 2010-04-20 09:10 0 ---ha-w- c:\windows\system32\drivers\Msft_Kernel_ggsemc_01007.Wdf
2010-03-06 12:01 . 2006-10-02 14:45 38760 ----a-w- c:\dokumente und einstellungen\F............\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-05-01 21:02 . 2009-05-01 21:02 1044480 ----a-w- c:\programme\mozilla firefox\plugins\libdivx.dll
2009-05-01 21:02 . 2009-05-01 21:02 200704 ----a-w- c:\programme\mozilla firefox\plugins\ssldivx.dll
.

((((((((((((((((((((((((((((( SnapShot@2010-05-09_18.44.52 )))))))))))))))))))))))))))))))))))))))))
.
- 2001-08-18 10:00 . 2010-03-28 09:02 58596 c:\windows\system32\perfc009.dat
+ 2001-08-18 10:00 . 2010-05-09 18:45 58596 c:\windows\system32\perfc009.dat
+ 2006-04-20 20:52 . 2010-05-11 15:37 32768 c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
- 2006-04-20 20:52 . 2010-05-09 18:44 32768 c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
+ 2010-05-09 18:45 . 2010-05-11 15:37 32768 c:\windows\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
+ 2006-04-20 20:52 . 2010-05-11 15:37 16384 c:\windows\system32\config\systemprofile\Cookies\index.dat
- 2006-04-20 20:52 . 2010-05-09 18:44 16384 c:\windows\system32\config\systemprofile\Cookies\index.dat
+ 2001-08-18 10:00 . 2010-05-09 18:45 392296 c:\windows\system32\perfh009.dat
- 2001-08-18 10:00 . 2010-03-28 09:02 392296 c:\windows\system32\perfh009.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TVgenial"="c:\programme\TVgenial\TVgenial.exe" [2006-04-24 875520]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MBM 5"="c:\programme\Motherboard Monitor 5\MBM5.EXE" [2004-06-12 594944]
"NVMixerTray"="c:\programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe" [2004-06-03 131072]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2001-08-18 13312]

c:\dokumente und einstellungen\F............\Startmen�\Programme\Autostart\
Rainlendar.lnk - c:\programme\Rainlendar\Rainlendar.exe [2005-10-23 118784]
Verkn�pfung mit K9.lnk - c:\programme\k9v1\K9.exe [2006-8-2 82944]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
PeerGuardian.lnk - c:\programme\PeerGuardian2\pg2.exe [2006-11-9 1421824]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\lannui.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^F............^Startmenü^Programme^Autostart^Eurobarre.lnk]
backup=c:\windows\pss\Eurobarre.lnkStartup

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Programme\\SmartFTP Client 2.0\\SmartFTP.exe"=

R0 vax347s;vax347s;c:\windows\system32\drivers\vax347s.sys [30.08.2006 18:03 5248]
R1 Asapi;Asapi;c:\windows\system32\drivers\asapi.sys [06.05.2010 12:02 11264]
R2 ACEDRV09;ACEDRV09;c:\windows\system32\drivers\ACEDRV09.sys [18.04.2007 16:52 110304]
R2 ousbehci;OrangeWare USB Enhanced Host Controller Service;c:\windows\system32\drivers\ousbehci.sys [20.01.2010 21:09 46080]
R3 ousb2hub;OrangeWare USB 2.0 Root Hub Support;c:\windows\system32\drivers\ousb2hub.sys [20.01.2010 21:09 56960]
R3 seehcri;Sony Ericsson seehcri Device Driver;c:\windows\system32\drivers\seehcri.sys [20.04.2010 11:06 27632]
S0 vax347b;vax347b;c:\windows\system32\drivers\vax347b.sys [30.08.2006 18:03 159616]
S1 lannui;LAN MSFW adapter;\??\c:\windows\System32\lannui.sys --> c:\windows\System32\lannui.sys [?]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [21.09.2009 16:57 133104]
S2 lanmui;LAN FW adapter;\??\c:\windows\System32\lannui.sys --> c:\windows\System32\lannui.sys [?]
S3 ggflt;SEMC USB Flash Driver Filter;c:\windows\system32\drivers\ggflt.sys [20.04.2010 11:06 13224]
S3 mdxgthkn;mdxgthkn;\??\c:\dokume~1\FLORIA~1\LOKALE~1\Temp\mdxgthkn.sys --> c:\dokume~1\FLORIA~1\LOKALE~1\Temp\mdxgthkn.sys [?]
S3 PZOVALNZSETJHWQN;PZOVALNZSETJHWQN;c:\dokume~1\FLORIA~1\LOKALE~1\Temp\PZOVALNZSETJHWQN.exe --> c:\dokume~1\FLORIA~1\LOKALE~1\Temp\PZOVALNZSETJHWQN.exe [?]
S3 s916bus;Sony Ericsson Device 916 driver (WDM);c:\windows\system32\drivers\s916bus.sys [02.11.2007 11:47 83496]
S3 s916mdfl;Sony Ericsson Device 916 USB WMC Modem Filter;c:\windows\system32\drivers\s916mdfl.sys [02.11.2007 10:47 15016]
S3 s916mdm;Sony Ericsson Device 916 USB WMC Modem Driver;c:\windows\system32\drivers\s916mdm.sys [02.11.2007 10:47 109992]

--- Andere Dienste/Treiber im Speicher ---

*Deregistered* - kronelgi
.
Inhalt des "geplante Tasks" Ordners

2010-05-11 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-09-21 14:57]

2010-05-11 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-09-21 14:57]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
IE: Add to AMV Convert Tool... - c:\programme\MP3 Player Utilities 4.00\AMVConverter\grab.html
IE: MediaManager tool grab multimedia file - c:\programme\MP3 Player Utilities 4.00\MediaManager\grab.html
TCP: {D018CAFF-DABE-4ACD-9A09-446744D698B5} = 192.168.6.1,85.214.73.63
DPF: Microsoft XML Parser for Java
FF - ProfilePath - c:\dokumente und einstellungen\F............\Anwendungsdaten\Mozilla\Firefox\Profiles\8o561116.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.startup.homepage - hxxp://www.asw.fh-dortmund.de/main/schwarzesbrett.htm
FF - component: c:\dokumente und einstellungen\F............\Anwendungsdaten\Mozilla\Firefox\Profiles\8o561116.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll
FF - component: c:\dokumente und einstellungen\F............\Anwendungsdaten\Mozilla\Firefox\Profiles\8o561116.default\extensions\{62760FD6-B943-48C9-AB09-F99C6FE96088}\platform\WINNT\components\ebayAccessComponent.dll
FF - component: c:\dokumente und einstellungen\F............\Anwendungsdaten\Mozilla\Firefox\Profiles\8o561116.default\extensions\{62760FD6-B943-48C9-AB09-F99C6FE96088}\platform\WINNT\components\ebayShortcutMaker.dll
FF - component: c:\dokumente und einstellungen\F............\Anwendungsdaten\Mozilla\Firefox\Profiles\8o561116.default\extensions\{7378B8C2-FC38-41b8-A8C9-875D1F5B0A24}\components\NativeComponent.dll
FF - plugin: c:\dokumente und einstellungen\F............\Anwendungsdaten\Mozilla\Firefox\Profiles\8o561116.default\extensions\moveplayer@movenetworks.com\platform\WINNT_x86-msvc\plugins\npmnqmp071303000004.dll
FF - plugin: c:\programme\Google\Update\1.2.183.23\npGoogleOneClick8.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npbittorrent.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npGoogleGadgetPluginFirefoxWin.dll

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-05-11 17:42
Windows 5.1.2600 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\kronelgi]

.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(1140)
c:\windows\system32\ODBC32.dll
c:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.0.0_x-ww_1382d70a\comctl32.dll
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'lsass.exe'(1196)
c:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.0.0_x-ww_1382d70a\comctl32.dll
c:\windows\system32\Dssenh.dll
.
Zeit der Fertigstellung: 2010-05-11 17:44:16
ComboFix-quarantined-files.txt 2010-05-11 15:44
ComboFix2.txt 2010-05-09 18:48

Vor Suchlauf: 298.561.536 Bytes frei
Nach Suchlauf: 271.216.640 Bytes frei

- - End Of File - - F535CE141956098A29152DD5FF0F7EEF

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Hi,
Danke :) Habs in der Zwischenzeit etwas anders gelöst. Über NTFS4DOS hab ich die kronelgi gelöscht, die restlichen Registry-Einträge hab ich grade "von Hand" gelöscht.
Nichts mehr los auf Port 25, wunderbar :)

Danke an alle!

PS: Ja, ich werd definitiv in nächster Zeit auf ein sauberes, aktuelleres System umsteigen ;) Mal sehen ob ich dem Rechner mit 1GB RAM wirklich Win7 antue oder ob es XP SP3 oder Win 2003 wird ;)

Bitte lass noch das Script durchlaufen weil Du damit auch der Weiterentwicklung von CF hilfst...

Hab ich getan ;) Ist das normal, dass sich die Scriptdatei danach löscht?

Interessehalber: Inwiefern helfe ich damit der Weiterentwicklung?

Log:
---
ComboFix 10-05-10.05 - Fxxxxxx 11.05.2010 19:13:52.3.1 - x86
Microsoft Windows XP Professional 5.1.2600.0.1252.49.1031.18.1023.572 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Fxxxxxx\Desktop\cofi.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Fxxxxxx\Desktop\CFScript.txt
.
Die folgenden Dateien wurden während des Laufs deaktiviert:
c:\programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcInj.dll


(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_LANMUI
-------\Legacy_LANNUI
-------\Legacy_MDXGTHKN
-------\Legacy_PZOVALNZSETJHWQN
-------\Service_lanmui
-------\Service_lannui
-------\Service_mdxgthkn
-------\Service_PZOVALNZSETJHWQN


((((((((((((((((((((((( Dateien erstellt von 2010-04-11 bis 2010-05-11 ))))))))))))))))))))))))))))))
.

2010-05-11 16:05 . 2010-05-11 16:05 -------- d-----w- c:\programme\Avira
2010-05-11 13:45 . 2010-05-11 13:45 -------- d-----r- c:\dokumente und einstellungen\LocalService\Eigene Dateien
2010-05-11 13:27 . 2010-05-11 13:27 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Comodo Downloader
2010-05-09 18:13 . 2010-03-26 08:33 43008 ----a-w- c:\dokumente und einstellungen\Fxxxxxx\Anwendungsdaten\Mozilla\Firefox\Profiles\8o561116.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\googletoolbarloader.dll
2010-05-09 18:13 . 2010-03-26 08:33 339456 ----a-w- c:\dokumente und einstellungen\Fxxxxxx\Anwendungsdaten\Mozilla\Firefox\Profiles\8o561116.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\googletoolbar-ff2.dll
2010-05-09 18:13 . 2010-03-26 08:32 346112 ----a-w- c:\dokumente und einstellungen\Fxxxxxx\Anwendungsdaten\Mozilla\Firefox\Profiles\8o561116.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\googletoolbar-ff3.dll
2010-05-09 18:13 . 2010-03-26 08:33 1496064 ----a-w- c:\dokumente und einstellungen\Fxxxxxx\Anwendungsdaten\Mozilla\Firefox\Profiles\8o561116.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll
2010-05-09 16:19 . 2010-05-11 07:09 -------- d-----w- c:\programme\a-squared Anti-Malware
2010-05-06 10:02 . 2010-05-06 10:02 -------- d-----w- c:\programme\VOB
2010-05-06 10:02 . 2002-09-26 15:34 153088 ----a-w- c:\windows\system32\IWUninstall.exe
2010-05-06 10:02 . 2002-08-28 09:09 611840 ----a-w- c:\windows\system32\vobhw.dll
2010-05-06 10:02 . 2002-04-17 18:27 11264 ----a-w- c:\windows\system32\drivers\asapi.sys
2010-05-06 10:02 . 2000-04-27 10:31 19456 ----a-w- c:\windows\system32\asapi.dll
2010-04-20 09:10 . 2008-03-21 11:57 14640 ------w- c:\windows\system32\spmsgXP_2k3.dll
2010-04-20 09:07 . 2001-08-17 12:03 50688 ----a-w- c:\windows\system32\drivers\usbhub.sys
2010-04-20 09:07 . 2001-08-17 12:03 4736 ----a-w- c:\windows\system32\drivers\usbd.sys
2010-04-20 09:06 . 2010-04-20 09:06 27632 ----a-w- c:\windows\system32\drivers\seehcri.sys
2010-04-20 09:06 . 2010-04-20 09:06 1112288 ----a-w- c:\windows\system32\WdfCoInstaller01007.dll
2010-04-20 09:06 . 2010-04-20 09:06 25512 ----a-w- c:\windows\system32\drivers\ggsemc.sys
2010-04-20 09:06 . 2010-04-20 09:06 13224 ----a-w- c:\windows\system32\drivers\ggflt.sys
2010-04-20 09:04 . 2010-04-20 12:30 -------- d-----w- c:\programme\Sony Ericsson

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-11 16:49 . 2006-11-09 11:21 -------- d-----w- c:\programme\PeerGuardian2
2010-05-11 15:54 . 2006-05-03 12:04 3888 ----a-w- c:\windows\system32\drivers\NTHANDLE.SYS
2010-05-11 15:33 . 2006-08-23 09:00 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-05-11 15:13 . 2009-07-02 09:20 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2010-05-11 08:41 . 2010-01-20 16:53 -------- d-----w- c:\programme\a-squared Free
2010-05-10 16:35 . 2009-01-28 09:10 -------- d-----w- c:\programme\Zattoo
2010-05-10 16:35 . 2006-04-20 21:06 -------- d--h--w- c:\programme\InstallShield Installation Information
2010-05-10 16:35 . 2007-10-05 16:34 -------- d-----w- c:\programme\Gabest
2010-05-10 16:33 . 2009-05-08 12:27 -------- d-----w- c:\dokumente und einstellungen\Fxxxxxx\Anwendungsdaten\Move Networks
2010-05-10 16:33 . 2008-08-16 12:30 -------- d-----w- c:\programme\IrfanView
2010-05-10 16:33 . 2009-08-28 12:56 -------- d-----w- c:\programme\Free FLV Converter
2010-05-10 16:32 . 2009-04-01 18:06 -------- d-----w- c:\programme\Digitale Bibliothek (Symbole)
2010-05-10 09:28 . 2010-02-10 22:16 -------- d-----w- c:\dokumente und einstellungen\Fxxxxxx\Anwendungsdaten\Skype
2010-05-09 18:45 . 2001-08-18 10:00 70580 ----a-w- c:\windows\system32\perfc007.dat
2010-05-09 18:45 . 2001-08-18 10:00 405118 ----a-w- c:\windows\system32\perfh007.dat
2010-05-06 09:58 . 2006-11-09 11:08 -------- d-----w- c:\dokumente und einstellungen\Fxxxxxx\Anwendungsdaten\Azureus
2010-04-29 10:19 . 2009-07-02 09:20 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-04-29 10:19 . 2009-07-02 09:20 19288 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-04-20 12:32 . 2007-07-11 10:25 -------- d-----w- c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2010-04-20 09:10 . 2010-04-20 09:10 0 ---ha-w- c:\windows\system32\drivers\Msft_Kernel_ggflt_01007.Wdf
2010-04-20 09:10 . 2010-04-20 09:10 0 ---ha-w- c:\windows\system32\drivers\MsftWdf_Kernel_01007_Coinstaller_Critical.Wdf
2010-04-20 09:10 . 2010-04-20 09:10 0 ---ha-w- c:\windows\system32\drivers\Msft_Kernel_ggsemc_01007.Wdf
2010-03-06 12:01 . 2006-10-02 14:45 38760 ----a-w- c:\dokumente und einstellungen\Fxxxxxx\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-05-01 21:02 . 2009-05-01 21:02 1044480 ----a-w- c:\programme\mozilla firefox\plugins\libdivx.dll
2009-05-01 21:02 . 2009-05-01 21:02 200704 ----a-w- c:\programme\mozilla firefox\plugins\ssldivx.dll
.

((((((((((((((((((((((((((((( SnapShot@2010-05-09_18.44.52 )))))))))))))))))))))))))))))))))))))))))
.
- 2001-08-18 10:00 . 2010-03-28 09:02 58596 c:\windows\system32\perfc009.dat
+ 2001-08-18 10:00 . 2010-05-09 18:45 58596 c:\windows\system32\perfc009.dat
+ 2006-04-20 20:52 . 2010-05-11 17:19 32768 c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
- 2006-04-20 20:52 . 2010-05-09 18:44 32768 c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
+ 2010-05-09 18:45 . 2010-05-11 17:19 32768 c:\windows\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
+ 2006-04-20 20:52 . 2010-05-11 17:19 16384 c:\windows\system32\config\systemprofile\Cookies\index.dat
- 2006-04-20 20:52 . 2010-05-09 18:44 16384 c:\windows\system32\config\systemprofile\Cookies\index.dat
+ 2001-08-18 10:00 . 2010-05-09 18:45 392296 c:\windows\system32\perfh009.dat
- 2001-08-18 10:00 . 2010-03-28 09:02 392296 c:\windows\system32\perfh009.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TVgenial"="c:\programme\TVgenial\TVgenial.exe" [2006-04-24 875520]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MBM 5"="c:\programme\Motherboard Monitor 5\MBM5.EXE" [2004-06-12 594944]
"NVMixerTray"="c:\programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe" [2004-06-03 131072]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2001-08-18 13312]

c:\dokumente und einstellungen\Fxxxxxx\Startmen�\Programme\Autostart\
Rainlendar.lnk - c:\programme\Rainlendar\Rainlendar.exe [2005-10-23 118784]
Verkn�pfung mit K9.lnk - c:\programme\k9v1\K9.exe [2006-8-2 82944]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
PeerGuardian.lnk - c:\programme\PeerGuardian2\pg2.exe [2006-11-9 1421824]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Fxxxxxx^Startmenü^Programme^Autostart^Eurobarre.lnk]
backup=c:\windows\pss\Eurobarre.lnkStartup

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Programme\\SmartFTP Client 2.0\\SmartFTP.exe"=

R0 vax347b;vax347b;c:\windows\system32\drivers\vax347b.sys [30.08.2006 18:03 159616]
R0 vax347s;vax347s;c:\windows\system32\drivers\vax347s.sys [30.08.2006 18:03 5248]
R1 Asapi;Asapi;c:\windows\system32\drivers\asapi.sys [06.05.2010 12:02 11264]
R2 ACEDRV09;ACEDRV09;c:\windows\system32\drivers\ACEDRV09.sys [18.04.2007 16:52 110304]
R2 ousbehci;OrangeWare USB Enhanced Host Controller Service;c:\windows\system32\drivers\ousbehci.sys [20.01.2010 21:09 46080]
R3 ousb2hub;OrangeWare USB 2.0 Root Hub Support;c:\windows\system32\drivers\ousb2hub.sys [20.01.2010 21:09 56960]
R3 seehcri;Sony Ericsson seehcri Device Driver;c:\windows\system32\drivers\seehcri.sys [20.04.2010 11:06 27632]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [21.09.2009 16:57 133104]
S3 ggflt;SEMC USB Flash Driver Filter;c:\windows\system32\drivers\ggflt.sys [20.04.2010 11:06 13224]
S3 s916bus;Sony Ericsson Device 916 driver (WDM);c:\windows\system32\drivers\s916bus.sys [02.11.2007 11:47 83496]
S3 s916mdfl;Sony Ericsson Device 916 USB WMC Modem Filter;c:\windows\system32\drivers\s916mdfl.sys [02.11.2007 10:47 15016]
S3 s916mdm;Sony Ericsson Device 916 USB WMC Modem Driver;c:\windows\system32\drivers\s916mdm.sys [02.11.2007 10:47 109992]
.
Inhalt des "geplante Tasks" Ordners

2010-05-11 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-09-21 14:57]

2010-05-11 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-09-21 14:57]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
IE: Add to AMV Convert Tool... - c:\programme\MP3 Player Utilities 4.00\AMVConverter\grab.html
IE: MediaManager tool grab multimedia file - c:\programme\MP3 Player Utilities 4.00\MediaManager\grab.html
TCP: {D018CAFF-DABE-4ACD-9A09-446744D698B5} = 192.168.6.1,85.214.73.63
DPF: Microsoft XML Parser for Java
FF - ProfilePath - c:\dokumente und einstellungen\Fxxxxxx\Anwendungsdaten\Mozilla\Firefox\Profiles\8o561116.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.startup.homepage - hxxp://www.asw.fh-dortmund.de/main/schwarzesbrett.htm
FF - component: c:\dokumente und einstellungen\Fxxxxxx\Anwendungsdaten\Mozilla\Firefox\Profiles\8o561116.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll
FF - component: c:\dokumente und einstellungen\Fxxxxxx\Anwendungsdaten\Mozilla\Firefox\Profiles\8o561116.default\extensions\{62760FD6-B943-48C9-AB09-F99C6FE96088}\platform\WINNT\components\ebayAccessComponent.dll
FF - component: c:\dokumente und einstellungen\Fxxxxxx\Anwendungsdaten\Mozilla\Firefox\Profiles\8o561116.default\extensions\{62760FD6-B943-48C9-AB09-F99C6FE96088}\platform\WINNT\components\ebayShortcutMaker.dll
FF - component: c:\dokumente und einstellungen\Fxxxxxx\Anwendungsdaten\Mozilla\Firefox\Profiles\8o561116.default\extensions\{7378B8C2-FC38-41b8-A8C9-875D1F5B0A24}\components\NativeComponent.dll
FF - plugin: c:\dokumente und einstellungen\Fxxxxxx\Anwendungsdaten\Mozilla\Firefox\Profiles\8o561116.default\extensions\moveplayer@movenetworks.com\platform\WINNT_x86-msvc\plugins\npmnqmp071303000004.dll
FF - plugin: c:\programme\Google\Update\1.2.183.23\npGoogleOneClick8.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npbittorrent.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npGoogleGadgetPluginFirefoxWin.dll

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-05-11 19:20
Windows 5.1.2600 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, hxxp://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x85EECD68]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xf7880fd7
\Driver\ACPI -> ACPI.sys @ 0xf77c072e
\Driver\atapi -> atapi.sys @ 0xf776704a
IoDeviceObjectType -> DeleteProcedure -> ntoskrnl.exe @ 0x8054af41
ParseProcedure -> ntoskrnl.exe @ 0x80574176
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntoskrnl.exe @ 0x8054af41
ParseProcedure -> ntoskrnl.exe @ 0x80574176
NDIS: NVIDIA nForce Networking Controller -> SendCompleteHandler -> NDIS.sys @ 0xf7677ef4
PacketIndicateHandler -> NDIS.sys @ 0xf7684140
SendHandler -> NDIS.sys @ 0xf7666bfe
user & kernel MBR OK

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(1164)
c:\windows\system32\ODBC32.dll
c:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.0.0_x-ww_1382d70a\comctl32.dll
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'lsass.exe'(1220)
c:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.0.0_x-ww_1382d70a\comctl32.dll
c:\windows\system32\Dssenh.dll

- - - - - - - > 'explorer.exe'(5284)
c:\programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcInj.dll
c:\windows\system32\WS2_32.dll
c:\windows\system32\WS2HELP.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\System32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe
c:\programme\Lavasoft\Ad-Aware 2007\aawservice.exe
c:\programme\Cisco Systems\VPN Client\cvpnd.exe
c:\windows\System32\PnkBstrA.exe
c:\windows\System32\wdfmgr.exe
c:\windows\System32\UTSCSI.EXE
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-05-11 19:23:20 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2010-05-11 17:23
ComboFix2.txt 2010-05-11 15:44
ComboFix3.txt 2010-05-09 18:48

Vor Suchlauf: 262.373.376 Bytes frei
Nach Suchlauf: 235.810.816 Bytes frei

- - End Of File - - 80F0A0151FD6D5C67E1D709226F190FD

---

Bin ich jetzt ehrlich gesagt überfragt. Evtl. ist das nicht gewollt, aber an sich ist das jetzt auch irrelevant.

Weil man mit speziellen Scripts CF dazu auffordern kann, Dateien zu löschen und Samples davon hochzuladen, so dass diese in späteren CF-Versionen berücksichtigt und gleich im ersten Durchlauf gelöscht werden. So viel sei dazu gesagt ;)

Probier jetzt mal bitte Durchgänge mit GMER und OSAM

GMER:
--
GMER 1.0.15.15281 - hxxp://www.gmer.net
Rootkit scan 2010-05-11 20:43:22
Windows 5.1.2600
Running: srxyfk95.exe; Driver: C:\DOKUME~1\FLORIA~1\LOKALE~1\Temp\fxlorpoc.sys


---- System - GMER 1.0.15 ----

SSDT vax347b.sys (Plug and Play BIOS Extension/ ) ZwClose [0xF77F3BB8]
SSDT vax347b.sys (Plug and Play BIOS Extension/ ) ZwCreateKey [0xF77F3B70]
SSDT vax347b.sys (Plug and Play BIOS Extension/ ) ZwCreatePagingFile [0xF77E7C70]
SSDT vax347b.sys (Plug and Play BIOS Extension/ ) ZwEnumerateKey [0xF77E84FE]
SSDT vax347b.sys (Plug and Play BIOS Extension/ ) ZwEnumerateValueKey [0xF77F3CB0]
SSDT vax347b.sys (Plug and Play BIOS Extension/ ) ZwOpenKey [0xF77F3B34]
SSDT vax347b.sys (Plug and Play BIOS Extension/ ) ZwQueryKey [0xF77E851E]
SSDT vax347b.sys (Plug and Play BIOS Extension/ ) ZwQueryValueKey [0xF77F3C06]
SSDT vax347b.sys (Plug and Play BIOS Extension/ ) ZwSetSystemPowerState [0xF77F3450]

---- Kernel code sections - GMER 1.0.15 ----

.text ntoskrnl.exe!KeInitializeInterrupt + B79 804D4F8E 1 Byte [06]
.text ntoskrnl.exe!KeI386Call16BitCStyleFunction + 170 804FC688 4 Bytes [B8, 3B, 7F, F7]
.text ntoskrnl.exe!KeI386Call16BitCStyleFunction + 1B0 804FC6C8 4 Bytes [70, 3B, 7F, F7] {JO 0x3d; JG 0xfffffffffffffffb}
.text ntoskrnl.exe!KeI386Call16BitCStyleFunction + 1C0 804FC6D8 4 Bytes [70, 7C, 7E, F7] {JO 0x7e; JLE 0xfffffffffffffffb}
.text ntoskrnl.exe!KeI386Call16BitCStyleFunction + 228 804FC740 4 Bytes [FE, 84, 7E, F7]
.text ntoskrnl.exe!KeI386Call16BitCStyleFunction + 230 804FC748 4 Bytes [B0, 3C, 7F, F7] {MOV AL, 0x3c; JG 0xfffffffffffffffb}
.text ...
? Combo-Fix.sys Das System kann die angegebene Datei nicht finden. !
init C:\WINDOWS\system32\drivers\nvax.sys entry point in "init" section [0xF7916B8D]
.text C:\WINDOWS\System32\drivers\ACEDRV09.sys section is writeable [0xA8E81000, 0x3326E, 0xE8000020]
.pklstb C:\WINDOWS\System32\drivers\ACEDRV09.sys entry point in ".pklstb" section [0xA8EC6000]
.relo2 C:\WINDOWS\System32\drivers\ACEDRV09.sys unknown last section [0xA8EE2000, 0x8E, 0x42000040]
.text C:\WINDOWS\System32\DRIVERS\atksgt.sys section is writeable [0xA8CAB300, 0x3ACC8, 0xE8000020]
.text C:\WINDOWS\System32\DRIVERS\lirsgt.sys section is writeable [0xF2984300, 0x1B7E, 0xE8000020]
pnidata C:\WINDOWS\System32\DRIVERS\secdrv.sys unknown last section [0xA8A67F00, 0x24000, 0x48000000]
? C:\DOKUME~1\FLORIA~1\LOKALE~1\Temp\mbr.sys Das System kann die angegebene Datei nicht finden. !
? C:\cofi\catchme.sys Das System kann den angegebenen Pfad nicht finden. !
? C:\WINDOWS\System32\Drivers\PROCEXP113.SYS Das System kann die angegebene Datei nicht finden. !

---- User code sections - GMER 1.0.15 ----

.text C:\Programme\Winamp\winamp.exe[1444] USER32.dll!SetScrollInfo 77D1466C 7 Bytes JMP 0254A68D C:\Programme\Winamp\Plugins\gen_jumpex.dll
.text C:\Programme\Winamp\winamp.exe[1444] USER32.dll!SetScrollRange 77D193E8 3 Bytes JMP 0254A6E3 C:\Programme\Winamp\Plugins\gen_jumpex.dll
.text C:\Programme\Winamp\winamp.exe[1444] USER32.dll!SetScrollRange + 4 77D193EC 2 Bytes [8A, CC] {MOV CL, AH}
.text C:\Programme\Winamp\winamp.exe[1444] USER32.dll!ShowScrollBar 77D2BE13 5 Bytes JMP 0254A711 C:\Programme\Winamp\Plugins\gen_jumpex.dll
.text C:\Programme\Winamp\winamp.exe[1444] USER32.dll!GetScrollInfo 77D2C6AE 7 Bytes JMP 0254A615 C:\Programme\Winamp\Plugins\gen_jumpex.dll
.text C:\Programme\Winamp\winamp.exe[1444] USER32.dll!GetScrollRange 77D2D6DF 6 Bytes JMP 0254A662 C:\Programme\Winamp\Plugins\gen_jumpex.dll
.text C:\Programme\Winamp\winamp.exe[1444] USER32.dll!SetScrollPos 77D2D729 6 Bytes JMP 0254A6B8 C:\Programme\Winamp\Plugins\gen_jumpex.dll
.text C:\Programme\Winamp\winamp.exe[1444] USER32.dll!GetScrollPos 77D2D759 9 Bytes JMP 0254A63D C:\Programme\Winamp\Plugins\gen_jumpex.dll
.text C:\Programme\Winamp\winamp.exe[1444] USER32.dll!EnableScrollBar 77D36C25 7 Bytes JMP 0254A5ED C:\Programme\Winamp\Plugins\gen_jumpex.dll
.text C:\Programme\Mozilla Firefox\firefox.exe[6908] ntdll.dll!LdrLoadDll 77F46EA1 5 Bytes JMP 004013F0 C:\Programme\Mozilla Firefox\firefox.exe (Firefox/Mozilla Corporation)

---- User IAT/EAT - GMER 1.0.15 ----

IAT C:\Programme\PeerGuardian2\pg2.exe[616] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateFile] [00C12F60] C:\Programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT C:\Programme\PeerGuardian2\pg2.exe[616] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDeviceIoControlFile] [00C12DB0] C:\Programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT C:\Programme\PeerGuardian2\pg2.exe[616] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtClose] [00C12D70] C:\Programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT C:\Programme\PeerGuardian2\pg2.exe[616] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDuplicateObject] [00C12DC0] C:\Programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT C:\Programme\Cisco Systems\VPN Client\cvpnd.exe[1292] @ C:\WINDOWS\system32\msvcrt.dll [KERNEL32.dll!GetProcAddress] [00CB2BC8] C:\WINDOWS\System32\VSINIT.dll (TrueVector Service/Zone Labs, LLC)
IAT C:\Programme\Cisco Systems\VPN Client\cvpnd.exe[1292] @ C:\WINDOWS\system32\msvcrt.dll [KERNEL32.dll!UnhandledExceptionFilter] [00CB2CE9] C:\WINDOWS\System32\VSINIT.dll (TrueVector Service/Zone Labs, LLC)
IAT C:\Programme\Winamp\winamp.exe[1444] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateFile] [003C2F60] C:\Programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT C:\Programme\Winamp\winamp.exe[1444] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDeviceIoControlFile] [003C2DB0] C:\Programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT C:\Programme\Winamp\winamp.exe[1444] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtClose] [003C2D70] C:\Programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT C:\Programme\Winamp\winamp.exe[1444] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDuplicateObject] [003C2DC0] C:\Programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT D:\Downloads\Programme\GMER Rootkit Scanner\srxyfk95.exe[2188] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateFile] [00802F60] C:\Programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT D:\Downloads\Programme\GMER Rootkit Scanner\srxyfk95.exe[2188] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDeviceIoControlFile] [00802DB0] C:\Programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT D:\Downloads\Programme\GMER Rootkit Scanner\srxyfk95.exe[2188] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtClose] [00802D70] C:\Programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT D:\Downloads\Programme\GMER Rootkit Scanner\srxyfk95.exe[2188] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDuplicateObject] [00802DC0] C:\Programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT C:\WINDOWS\explorer.exe[5284] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateFile] [008E2F60] C:\Programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT C:\WINDOWS\explorer.exe[5284] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDeviceIoControlFile] [008E2DB0] C:\Programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT C:\WINDOWS\explorer.exe[5284] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtClose] [008E2D70] C:\Programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT C:\WINDOWS\explorer.exe[5284] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDuplicateObject] [008E2DC0] C:\Programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT C:\WINDOWS\System32\taskmgr.exe[5640] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateFile] [00AA2F60] C:\Programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT C:\WINDOWS\System32\taskmgr.exe[5640] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDeviceIoControlFile] [00AA2DB0] C:\Programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT C:\WINDOWS\System32\taskmgr.exe[5640] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtClose] [00AA2D70] C:\Programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT C:\WINDOWS\System32\taskmgr.exe[5640] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDuplicateObject] [00AA2DC0] C:\Programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT C:\Programme\QIP\qip.exe[6608] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateFile] [00F32F60] C:\Programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT C:\Programme\QIP\qip.exe[6608] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDeviceIoControlFile] [00F32DB0] C:\Programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT C:\Programme\QIP\qip.exe[6608] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtClose] [00F32D70] C:\Programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT C:\Programme\QIP\qip.exe[6608] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDuplicateObject] [00F32DC0] C:\Programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT C:\Programme\Outlook Express\msimn.exe[6704] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateFile] [008A2F60] C:\Programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT C:\Programme\Outlook Express\msimn.exe[6704] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDeviceIoControlFile] [008A2DB0] C:\Programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT C:\Programme\Outlook Express\msimn.exe[6704] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtClose] [008A2D70] C:\Programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT C:\Programme\Outlook Express\msimn.exe[6704] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDuplicateObject] [008A2DC0] C:\Programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT C:\Programme\Mozilla Firefox\firefox.exe[6908] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateFile] [01012F60] C:\Programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT C:\Programme\Mozilla Firefox\firefox.exe[6908] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDeviceIoControlFile] [01012DB0] C:\Programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT C:\Programme\Mozilla Firefox\firefox.exe[6908] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtClose] [01012D70] C:\Programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)
IAT C:\Programme\Mozilla Firefox\firefox.exe[6908] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDuplicateObject] [01012DC0] C:\Programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs 8637E500
Device \Driver\Cdrom \Device\CdRom0 861C5228
Device \FileSystem\Rdbss \Device\FsWrap 85D7EAC0
Device \Driver\Cdrom \Device\CdRom1 861C5228
Device \Driver\Cdrom \Device\CdRom2 861C5228
Device \FileSystem\Srv \Device\LanmanServer 85F9DE38
Device \Driver\nvatabus \Device\NvAta0 85EECD68
Device \Driver\nvatabus \Device\0000007b 85EECD68
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 86247910
Device \FileSystem\MRxSmb \Device\LanmanRedirector 86247910
Device \Driver\nvatabus \Device\0000007c 85EECD68
Device \FileSystem\Npfs \Device\NamedPipe 85F94DD0
Device \Driver\nvatabus \Device\0000007d 85EECD68
Device \Driver\nvatabus \Device\0000007e 85EECD68
Device \FileSystem\Msfs \Device\Mailslot 85FB9BB8
Device \Driver\vax347s \Device\Scsi\vax347s1 85DE1A80
Device \Driver\vax347s \Device\Scsi\vax347s1Port0Path0Target0Lun0 85DE1A80
Device \FileSystem\Fs_Rec \FileSystem\UdfsCdRomRecognizer 85DC1AC0
Device \FileSystem\Fs_Rec \FileSystem\FatCdRomRecognizer 85DC1AC0
Device \FileSystem\Fs_Rec \FileSystem\CdfsRecognizer 85DC1AC0
Device \FileSystem\Fs_Rec \FileSystem\FatDiskRecognizer 85DC1AC0
Device \FileSystem\Fs_Rec \FileSystem\UdfsDiskRecognizer 85DC1AC0
Device \FileSystem\Cdfs \Cdfs 85FA9C88

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\vax347s\Config\jdgg40
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{E9F81423-211E-46B6-9AE0-38568BC5CF6F}@DisplayName Alcohol 120% (Trial Version)
Reg HKLM\SOFTWARE\Classes\Installer\Products\32418F9EE1126B64A90E8365B85CFCF6@ProductName Alcohol 120% (Trial Version)

---- Files - GMER 1.0.15 ----

File C:\Dokumente und Einstellungen\Fxxxxxxx\Lokale Einstellungen\temp\fla1E.tmp 8336529 bytes
File C:\Dokumente und Einstellungen\Fxxxxxxx\Lokale Einstellungen\temp\plugtmp\plugin-crossdomain.xml 298 bytes

---- EOF - GMER 1.0.15 ----
--

OSAM:
---
Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 20:51:04 on 11.05.2010

OS: Windows XP Professional (Build 2600)
Default Browser: Mozilla Corporation Firefox 3.6.3

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Boot Execute]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Session Manager )-----
"BootExecute" - ? - C:\WINDOWS\System32\lsdelete.exe (File found, but it contains no detailed information)

[Common]
-----( %SystemRoot%\Tasks )-----
"GoogleUpdateTaskMachineCore.job" - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe
"GoogleUpdateTaskMachineUA.job" - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe

[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"ac3filter.cpl" - ? - C:\WINDOWS\system32\ac3filter.cpl
"DIRECTX.CPL" - "Microsoft Corporation" - C:\WINDOWS\system32\DIRECTX.CPL
"ImageDrive.cpl" - "Ahead Software AG" - C:\WINDOWS\system32\ImageDrive.cpl
"javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl
"PhysX.cpl" - "NVIDIA Corporation" - C:\WINDOWS\system32\PhysX.cpl
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"QuickTime" - "Apple Computer, Inc." - C:\Programme\QuickTime\QTSystem\QuickTime.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"ACEDRV09" (ACEDRV09) - "Protect Software GmbH" - C:\WINDOWS\System32\drivers\ACEDRV09.sys
"Asapi" (Asapi) - "VOB Computersysteme GmbH" - C:\WINDOWS\system32\drivers\Asapi.sys
"ati2mtag" (ati2mtag) - "ATI Technologies Inc." - C:\WINDOWS\System32\DRIVERS\ati2mtag.sys
"atksgt" (atksgt) - ? - C:\WINDOWS\System32\DRIVERS\atksgt.sys (File found, but it contains no detailed information)
"catchme" (catchme) - ? - C:\cofi\catchme.sys (File not found)
"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys (File not found)
"Cisco Systems Inc. IPSec Driver" (CVPNDRVA) - "Cisco Systems, Inc." - C:\WINDOWS\System32\Drivers\CVPNDRVA.sys
"Cisco Systems VPN Adapter" (CVirtA) - "Cisco Systems, Inc." - C:\WINDOWS\System32\DRIVERS\CVirtA.sys
"Deterministic Network Enhancer Miniport" (DNE) - "Deterministic Networks, Inc." - C:\WINDOWS\System32\DRIVERS\dne2000.sys
"fxlorpoc" (fxlorpoc) - ? - C:\DOKUME~1\FLORIA~1\LOKALE~1\Temp\fxlorpoc.sys (Hidden registry entry, rootkit activity | File not found)
"i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys (File not found)
"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys (File not found)
"lirsgt" (lirsgt) - ? - C:\WINDOWS\System32\DRIVERS\lirsgt.sys (File found, but it contains no detailed information)
"Logitech Kernel Audio Processing Filter Driver" (Lvckap) - "Logitech Inc." - C:\WINDOWS\system32\drivers\Lvckap.sys
"Logitech LVPrcMon Driver" (LVPrcMon) - "Logitech Inc." - C:\WINDOWS\system32\drivers\LVPrcMon.sys
"Logitech Machine Vision Engine Loader" (lvmvdrv) - "Logitech Inc." - C:\WINDOWS\system32\drivers\lvmvdrv.sys
"Logitech SetPoint KMDF HID Filter Driver" (LHidFilt) - "Logitech, Inc." - C:\WINDOWS\System32\DRIVERS\LHidFilt.Sys
"Logitech SetPoint KMDF Mouse Filter Driver" (LMouFilt) - "Logitech, Inc." - C:\WINDOWS\System32\DRIVERS\LMouFilt.Sys
"mbmiodrvr" (mbmiodrvr) - "cansoft@livewiredev.com" - C:\WINDOWS\System32\mbmiodrvr.sys
"mbr" (mbr) - ? - C:\DOKUME~1\FLORIA~1\LOKALE~1\Temp\mbr.sys (Hidden registry entry, rootkit activity | File not found)
"NetworkX" (NetworkX) - ? - C:\WINDOWS\system32\ckldrv.sys (File found, but it contains no detailed information)
"Nokia USB Generic" (nmwcdc) - "Nokia" - C:\WINDOWS\System32\drivers\nmwcdc.sys
"Nokia USB Modem" (nmwcdcm) - "Nokia" - C:\WINDOWS\System32\drivers\nmwcdcm.sys
"Nokia USB Phone Parent" (nmwcd) - "Nokia" - C:\WINDOWS\System32\drivers\nmwcd.sys
"Nokia USB Port" (nmwcdcj) - "Nokia" - C:\WINDOWS\System32\drivers\nmwcdcj.sys
"OrangeWare USB 2.0 Root Hub Support" (ousb2hub) - "OrangeWare Corporation" - C:\WINDOWS\System32\DRIVERS\ousb2hub.sys
"OrangeWare USB Enhanced Host Controller Service" (ousbehci) - "OrangeWare Corporation" - C:\WINDOWS\System32\Drivers\ousbehci.sys
"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys (File not found)
"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys (File not found)
"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys (File not found)
"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys (File not found)
"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys (File not found)
"pgfilter" (pgfilter) - ? - C:\Programme\PeerGuardian2\pgfilter.sys (File found, but it contains no detailed information)
"PxHelp20" (PxHelp20) - "Sonic Solutions" - C:\WINDOWS\System32\Drivers\PxHelp20.sys
"Secdrv" (Secdrv) - "Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K." - C:\WINDOWS\System32\DRIVERS\secdrv.sys
"Sony Ericsson Device 217 driver (WDM)" (s217bus) - "MCCI Corporation" - C:\WINDOWS\System32\DRIVERS\s217bus.sys
"Sony Ericsson Device 217 USB Ethernet Emulation SEMC217 (NDIS)" (s217nd5) - "MCCI Corporation" - C:\WINDOWS\System32\DRIVERS\s217nd5.sys
"Sony Ericsson Device 217 USB Ethernet Emulation SEMC217 (WDM)" (s217unic) - "MCCI" - C:\WINDOWS\System32\DRIVERS\s217unic.sys
"Sony Ericsson Device 217 USB WMC Device Management Drivers (WDM)" (s217mgmt) - "MCCI Corporation" - C:\WINDOWS\System32\DRIVERS\s217mgmt.sys
"Sony Ericsson Device 217 USB WMC Modem Driver" (s217mdm) - "MCCI Corporation" - C:\WINDOWS\System32\DRIVERS\s217mdm.sys
"Sony Ericsson Device 217 USB WMC Modem Filter" (s217mdfl) - "MCCI Corporation" - C:\WINDOWS\System32\DRIVERS\s217mdfl.sys
"Sony Ericsson Device 217 USB WMC OBEX Interface" (s217obex) - "MCCI Corporation" - C:\WINDOWS\System32\DRIVERS\s217obex.sys
"Sony Ericsson Device 916 driver (WDM)" (s916bus) - "MCCI Corporation" - C:\WINDOWS\System32\DRIVERS\s916bus.sys
"Sony Ericsson Device 916 USB WMC Modem Driver" (s916mdm) - "MCCI Corporation" - C:\WINDOWS\System32\DRIVERS\s916mdm.sys
"Sony Ericsson Device 916 USB WMC Modem Filter" (s916mdfl) - "MCCI Corporation" - C:\WINDOWS\System32\DRIVERS\s916mdfl.sys
"StarForce Protection Environment Driver (version 1.x)" (sfdrv01) - "Protection Technology" - C:\WINDOWS\System32\drivers\sfdrv01.sys
"StarForce Protection Helper Driver (version 2.x)" (sfhlp02) - "Protection Technology" - C:\WINDOWS\System32\drivers\sfhlp02.sys
"StarForce Protection VFS Driver (version 2.x)" (sfvfs02) - "Protection Technology" - C:\WINDOWS\System32\drivers\sfvfs02.sys
"truecrypt" (truecrypt) - "TrueCrypt Foundation" - C:\WINDOWS\System32\Drivers\truecrypt.sys
"TSP" (TSP) - ? - C:\WINDOWS\system32\drivers\klif.sys (File not found)
"vax347b" (vax347b) - " " - C:\WINDOWS\System32\DRIVERS\vax347b.sys
"vax347s" (vax347s) - " " - C:\WINDOWS\System32\Drivers\vax347s.sys
"vsdatant" (vsdatant) - "Zone Labs, LLC" - C:\WINDOWS\System32\vsdatant.sys
"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys (File not found)

[Explorer]
-----( HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{BDEADF00-C265-11d0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----
{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - C:\WINDOWS\System32\Rundll32.exe C:\WINDOWS\System32\mscories.dll,Install
-----( HKLM\Software\Classes\Protocols\Filter )-----
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\System32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\System32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\System32\mscoree.dll
-----( HKLM\Software\Classes\Protocols\Handler )-----
{828030A1-22C1-4009-854F-8E305202313F} "livecall" - "Microsoft Corporation" - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
{828030A1-22C1-4009-854F-8E305202313F} "msnim" - "Microsoft Corporation" - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{32020A01-506E-484D-A2A8-BE3CF17601C3} "AlcoholShellEx" - "Alcohol Soft Development Team" - C:\PROGRA~1\ALCOHO~1\ALCOHO~1\AXShlEx.dll
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll (File not found)
{73B24247-042E-4EF5-ADC2-42F62E6FD654} "ICQ Lite Shell Extension" - ? - (File not found | COM-object registry key not found)
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? - (File not found | COM-object registry key not found)
{FC9FB64A-1EB2-4CCF-AF5E-1A497A9B5C2D} "Meine freigegebenen Ordner" - "Microsoft Corporation" - C:\Programme\MSN Messenger\fsshext.8.1.0178.00.dll
{AC54FB61-7D59-49A9-BA7C-C36E084D547E} "Mp3/Tag Studio shell extension" - ? - (File not found | COM-object registry key not found)
{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4} "Shell Extensions for RealOne Player" - ? - (File not found | COM-object registry key not found)
{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - C:\WINDOWS\System32\dfshim.dll
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? - (File not found | COM-object registry key not found)
{e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - C:\WINDOWS\System32\dfshim.dll
{B8323370-FF27-11D2-97B6-204C4F4F5020} "SmartFTP Shell Extension DLL" - "SmartFTP" - C:\Programme\SmartFTP Client 2.0\smarthook.dll
{B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - ? - C:\Programme\WinRAR\rarext.dll (File found, but it contains no detailed information)

[Internet Explorer]
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
<binary data> "ITBarLayout" - ? - (File not found | COM-object registry key not found)
<binary data> "{FE063DB9-4EC0-403E-8DD8-394C54984B2C}" - ? - (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA} "Java Plug-in 1.6.0_01" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.6.0_01\bin\npjpi160_01.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_01-windows-i586.cab
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_02" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.6.0_02\bin\npjpi160_02.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab
{CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} "Java Plug-in 1.6.0_02" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.6.0_02\bin\npjpi160_02.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab
{C3F79A2B-B9B4-4A66-B012-3EE46475B072} "MessengerStatsClient Class" - "Microsoft Corporation" - C:\WINDOWS\Downloaded Program Files\MessengerStatsPAClient.dll / hxxp://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
Microsoft XML Parser for Java "Microsoft XML Parser for Java" - ? - (File not found | COM-object registry key not found) /
{D27CDB6E-AE6D-11CF-96B8-444553540000} "Shockwave Flash Object" - "Adobe Systems, Inc." - C:\WINDOWS\System32\Macromed\Flash\Flash10b.ocx / hxxp://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
{6414512B-B978-451D-A0D8-FCFDF33E833C} "WUWebControl Class" - "Microsoft Corporation" - C:\WINDOWS\System32\wuweb.dll / hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1253106379484
{33564D57-0000-0010-8000-00AA00389B71} "{33564D57-0000-0010-8000-00AA00389B71}" - ? - (File not found | COM-object registry key not found) / hxxp://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
{8FFBE65D-2C9C-4669-84BD-5829DC0B603C} "{8FFBE65D-2C9C-4669-84BD-5829DC0B603C}" - ? - (File not found | COM-object registry key not found) / hxxp://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
{CAFEEFAC-0016-0000-0002-ABCDEFFEDCBC} "ClsidExtension" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.6.0_02\bin\npjpi160_02.dll
{0B4350D1-055F-47A3-B112-5F2F2B0D6F08} "ClsidExtension" - "Google Inc." - C:\Programme\Google\Google Gears\Internet Explorer\0.5.33.0\gears.dll
{53707962-6F74-2D53-2644-206D7942484F} "ClsidExtension" - "Safer Networking Limited" - C:\Programme\Spybot - Search & Destroy\SDHelper.dll

[Logon]
-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
"PeerGuardian.lnk" - "Methlabs" - C:\Programme\PeerGuardian2\pg2.exe (Shortcut exists | File exists)
-----( %UserProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\Fxxxxxxxxxx\Startmenü\Programme\Autostart\desktop.ini
"Rainlendar.lnk" - "Rainy" - C:\Programme\Rainlendar\Rainlendar.exe (Shortcut exists | File exists)
"Verknüpfung mit K9.lnk" - "KeirNet" - C:\Programme\k9v1\K9.exe (Shortcut exists | File exists)
-----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )-----
"TVgenial" - ? - C:\Programme\TVgenial\TVgenial.exe -d (File found, but it contains no detailed information)
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"MBM 5" - "Alex van Kaam" - "C:\Programme\Motherboard Monitor 5\MBM5.EXE"
"NVMixerTray" - "NVIDIA Corporation" - "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
"Ad-Aware 2007 Service" (aawservice) - "Lavasoft AB" - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
"ASP.NET State Service" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
"Ati HotKey Poller" (Ati HotKey Poller) - "ATI Technologies Inc." - C:\WINDOWS\System32\Ati2evxx.exe
"ATI Smart" (ATI Smart) - ? - C:\WINDOWS\system32\ati2sgag.exe
"Cisco Systems, Inc. VPN Service" (CVPND) - "Cisco Systems, Inc." - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
"CLCV0" (UTSCSI) - ? - C:\WINDOWS\System32\UTSCSI.EXE
"Google Update Service (gupdate)" (gupdate) - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe
"InstallDriver Table Manager" (IDriverT) - "Macrovision Corporation" - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
"Logitech Process Monitor" (LVPrcSrv) - "Logitech Inc." - c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe
"Messenger USN Journal Reader-Service für freigegebene Ordner" (usnjsvc) - "Microsoft Corporation" - C:\Programme\MSN Messenger\usnsvc.exe
"PnkBstrA" (PnkBstrA) - ? - C:\WINDOWS\System32\PnkBstrA.exe (File found, but it contains no detailed information)
"wscsvc" (wscsvc) - ? - C:\WINDOWS\system32\wscsvc.dll (File not found)
"xmlprov" (xmlprov) - ? - C:\WINDOWS\System32\xmlprov.dll (File not found)

[Winlogon]
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll (File not found)
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify )-----
"AtiExtEvent" - "ATI Technologies Inc." - C:\WINDOWS\System32\Ati2evxx.dll

===[ Logfile end ]=========================================[ Logfile end ]===

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru
---

Bitte mit OSAM deaktivieren + löschen (delete from storage)

Schon gemacht, daher "File not Found" ;) Denke damit ist alles behoben und wunderbar :)

Danke nochmal :daumenhoc

Nein, das file not found kann durch was anderes kommen!! Hast Du das nun mit OSAM wie in der Anleitung beschrieben war, deaktiviert + gelöscht?

Ja, hab ich dann auch noch gemacht.

Ok. Dann mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

SuperAntiSpyware kann ich aufgrund irgendwelcher Probleme mit dem Windows-Installer-Dienst nicht installieren =/ Wird wohl wirklich Zeit für ein neues OS...

Malwarebytes hat auf jeden Fall nichts gefunden. Hier das Log:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4090

Windows 5.1.2600
Internet Explorer 6.0.2600.0000

12.05.2010 09:52:18
mbam-log-2010-05-12 (09-52-18).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 164726
Laufzeit: 31 Minute(n), 57 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

---

Da auch alles wieder sauber läuft, denke ich, dass da nichts mehr ist. Danke nochmal :)

Nagut. Dann spiel jetzt unbedingt alle Updates ein! SP3 und IE8 sind Pflicht!

Danach nochmal manuell die Updates die nach dem SP3 erschienen sind prüfen. Halte Dich nach der SP3-Installation am besten hier dran:

Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update



PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

Danke :)
Windows-Updates sind bei meiner installierten Version von XP leider nicht drin ;) Daher werd ich wohl zusehen, dass ich mir eine Studentenversion o.ä. von XP SP3 besorge oder doch einfach Win 7 installiere.

FoxIt läuft bei mir bereits als standard Reader. Der Acrobat Reader muss aber leider installiert sein, da ein anderes Programm (Dialogys, Renault-Werkstattprogramm) darauf aufbaut.


Danke noch einmal für die schnelle Hilfe!

Die Updates kannst Du auch für das Windows kostenlos herunterladen und installieren.

http://www.microsoft.com/downloads/d...DisplayLang=de

Aah, sehr gut. Danke :) System läuft jetzt als SP3. Sehr schön.
Danke nochmal für die tolle Hilfe.

PS: Haha - ich hab vorhin eine Mail vom T-Online Abuse-Team bekommen, dass mein Port 25 aufgrund extrem hoher Aktivität vorübergehend geblockt wird :D

Du hattest auch ein Rootkit drauf. An für sich empfiehlt man bei Befall eher ein format c: denn ist ist definitiv sicherer und der Dreck ist mit Garantie weg.