Zufallsprogramme im Temp-Ordner führen zum Systemabsturz

Seacraft · 27.03.2008, 16:51

Hallo,

ich habe folgendes Problem..
Beim Starten passiert noch nichts, doch nach einiger Zeit wird ein Zufallsprogramm z.B. 16MP1KSO.exe im Ordner
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp
erstellt, der wiederum auf das Internet zugreifen möchte. Mit meiner Firewall "Sygate Personal Firewall" kann ich diesen Zugriff blockieren, was ich auch jedes mal gemacht habe. Im Task-Manager wird diese exe als Prozess angezeigt, welchen ich auch immer beendet habe.
Hab schon eine Systemwiederherstellung ausprobiert, aber da heißt es, dass ich nichts am system verändert habe.
Und nach jeder guten Stunde wird wieder so ein zufallsprogramm im temp ordner erstellt und ich komm nicht an die quelle ran. Mittlerweile hängt sich dadurch mein ganzes System auf, sodass ich den PC jedes mal neu starten muss.
Habs auch schon mal durchsuchen lassen, von evtl. existierenden viren befreit, doch hat auch nichts gebracht.
Bin mit meinem Latein am Ende.

-----------------------------------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:57:20, on 11.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\Programme\CyberLink\Shared files\RichVideo.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AlienGUIse\wbload.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\Programme\Lexmark 6300 Series\lxcdmon.exe
C:\Programme\Lexmark 6300 Series\ezprint.exe
C:\WINDOWS\system32\lxcdcoms.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\Microsoft ActiveSync\wcescomm.exe
C:\PROGRA~1\MICROS~3\rapimgr.exe
C:\Programme\AlienGUIse\AlienwareDock\ObjectDock.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [LXCDCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCDtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [lxcdmon.exe] "C:\Programme\Lexmark 6300 Series\lxcdmon.exe"
O4 - HKLM\..\Run: [EzPrint] "C:\Programme\Lexmark 6300 Series\ezprint.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [LanguageShortcut] C:\Programme\CyberLink\PowerDVD\Language\Language.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [WiseFTP] C:\Programme\AceBIT\WISE-FTP\WF_Scheduler.exe
O4 - HKLM\..\Run: [SAITEKAUTOCONFIGURE] C:\Programme\Saitek\ST\Drv\saicnfig.exe /autorun
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [ObjectDock] -
O4 - HKCU\..\Run: [WinRoll] C:\Programme\WinRoll\winroll.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Alienware Dock.lnk = C:\Programme\AlienGUIse\AlienwareDock\ObjectDock.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Dokumente und Einstellungen\***\Startmenü\Programme\IMVU\Run IMVU.lnk
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: Win32 Classes - file://C:\WINDOWS\Java\classes\win32ie4.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://cdn2.zone.msn.com/binFramework/v10/ZIntro.cab53083.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game08.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://zone.msn.com/bingame/popcaploader_v10.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: lxcd_device - Unknown owner - C:\WINDOWS\system32\lxcdcoms.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared files\RichVideo.exe
O23 - Service: Sygate Personal Firewall Platinum (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

--
End of file - 8373 bytes

**Sunny** · 27.03.2008, 16:56

Hallo Seacraft und Willkommen!

Dein Hijacklog sieht fast unbedenklich aus, daher arbeite zunächst diese Punkte ab, damit wir einen besseren Überblick und mehr Informationen zu deinem System bekommen:

CCleaner

Temporäre Dateien mit CCleaner bereinigen
Download CCleaner und installiere ihn, (klicke die Toolbar weg!).

Danach CCleaner starten und => unter options settings => german einstellen.

Gehe auf den Button links oben "Cleaner", setze Häkchen unter Reiter "Windows"
(alle außer "Eingabefeld Verlauf" und bei "Erweitert" nur ein Häkchen bei "Alte Prefetchdaten" und "Benutzerdefinierte Dateien und Ordner").

Wechsel zum Reiter "Anwendungen", dort alle Häkchen setzen außer bei Firefox/Mozilla (falls vorhanden) "Gespeicherte Formulardaten".

Starte nun den CCleaner, indem Du unten auf den Button "Analysieren" klickst. Wenn die Analyse fertig ist, klicke auf den Button "Starte CCleaner".

ComboFix

-Lade dir das Tool hier herunter -> KLICK

Sieh dir folgende Seite genau an, und wende das Combofix so an wie es dort eingestellt ist:

Anleitung Combofix

Seacraft · 27.03.2008, 17:22

So.. hab mal Combofix drüber laufen lassen.. da kommen mir einige sachen merkwürdig vor..

ComboFix 08-03-26.1 - Matthias 2008-03-27 17:15:43.1 - FAT32x86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.609 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\***\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\msettings.ini
C:\WINDOWS\start.exe
C:\WINDOWS\system32\uninstall.exe
C:\WINDOWS\Web\default.htt

.
((((((((((((((((((((((( Dateien erstellt von 2008-02-27 bis 2008-03-27 ))))))))))))))))))))))))))))))
.

2008-03-27 17:02 . 2008-03-27 17:02 <DIR> d-------- C:\Programme\CCleaner
2008-03-27 16:19 . 2008-03-27 16:19 <DIR> d-------- C:\WINDOWS\LastGood
2008-03-27 16:16 . 2008-03-27 16:16 <DIR> d-------- C:\Freigabe
2008-03-27 16:16 . 2008-03-27 16:16 <DIR> d-------- C:\Dokumente und Einstellungen\Gast\Anwendungsdaten\Webroot
2008-03-27 15:54 . 2008-03-27 15:54 <DIR> d-------- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Webroot
2008-03-26 12:28 . 2006-12-14 14:45 981,760 --------- C:\WINDOWS\SYSTEM32\dllcache\mfc42u.dll
2008-03-26 12:10 . 2008-03-26 12:11 <DIR> d-------- C:\Logs
2008-03-25 15:38 . 2006-12-19 22:49 8,494,592 --------- C:\WINDOWS\SYSTEM32\dllcache\shell32.dll
2008-03-25 15:38 . 2006-12-19 22:49 135,168 --------- C:\WINDOWS\SYSTEM32\dllcache\shsvcs.dll
2008-03-23 08:30 . 2006-08-21 10:14 128,896 --------- C:\WINDOWS\SYSTEM32\dllcache\fltmgr.sys
2008-03-23 08:30 . 2006-08-21 10:14 23,040 --------- C:\WINDOWS\SYSTEM32\dllcache\fltmc.exe
2008-03-23 08:30 . 2006-08-21 13:26 16,896 --------- C:\WINDOWS\SYSTEM32\dllcache\fltlib.dll
2008-03-22 22:35 . 2007-02-28 17:02 2,182,656 --------- C:\WINDOWS\SYSTEM32\dllcache\ntoskrnl.exe
2008-03-22 22:35 . 2007-02-28 17:02 2,138,624 --------- C:\WINDOWS\SYSTEM32\dllcache\ntkrnlmp.exe
2008-03-22 22:35 . 2007-02-28 17:02 2,059,904 --------- C:\WINDOWS\SYSTEM32\dllcache\ntkrnlpa.exe
2008-03-22 22:35 . 2007-02-28 17:02 2,018,304 --------- C:\WINDOWS\SYSTEM32\dllcache\ntkrpamp.exe
2008-03-18 08:02 . 2006-03-17 01:38 28,672 --------- C:\WINDOWS\SYSTEM32\verclsid.exe
2008-03-17 10:32 . 2007-06-26 07:08 1,104,896 --------- C:\WINDOWS\SYSTEM32\dllcache\msxml3.dll
2008-03-14 20:13 . 2007-10-29 23:42 1,293,312 --------- C:\WINDOWS\SYSTEM32\dllcache\quartz.dll
2008-03-13 19:57 . 2007-02-09 12:10 574,464 --------- C:\WINDOWS\SYSTEM32\dllcache\ntfs.sys
2008-03-11 18:14 . 2008-03-11 18:14 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Webroot
2008-03-11 18:14 . 2008-01-04 20:34 163,696 --a------ C:\WINDOWS\SYSTEM32\DRIVERS\ssidrv.sys
2008-03-11 18:14 . 2008-01-04 20:34 23,920 --a------ C:\WINDOWS\SYSTEM32\DRIVERS\sskbfd.sys
2008-03-11 18:14 . 2008-01-04 20:34 21,872 --a------ C:\WINDOWS\SYSTEM32\DRIVERS\sshrmd.sys
2008-03-11 18:14 . 2008-01-04 20:34 20,336 --a------ C:\WINDOWS\SYSTEM32\DRIVERS\SSFS0BB9.sys
2008-03-11 18:13 . 2008-03-11 18:13 <DIR> d-------- C:\Programme\Webroot
2008-03-11 18:13 . 2008-03-11 18:13 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Webroot
2008-03-11 18:13 . 2008-03-11 18:13 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Webroot
2008-03-11 18:13 . 2008-01-04 20:56 1,526,640 --a------ C:\WINDOWS\WRSetup.dll
2008-03-11 18:00 . 2008-03-11 18:00 164 --a------ C:\install.dat
2008-03-11 00:57 . 2008-03-11 00:57 <DIR> d-------- C:\Programme\Trend Micro
2008-03-10 16:55 . 2007-06-05 10:56 44,928 --a------ C:\WINDOWS\SYSTEM32\DRIVERS\SDTHOOK.SYS
2008-03-10 16:53 . 2007-06-08 09:44 8,576 --a------ C:\WINDOWS\SYSTEM32\DRIVERS\sjfbobsiqqjf.sys
2008-03-10 16:43 . 2008-03-10 16:43 <DIR> d-------- C:\WINDOWS\SYSTEM32\ActiveScan
2008-03-10 16:43 . 2008-03-10 16:43 30,590 --a------ C:\WINDOWS\SYSTEM32\pavas.ico
2008-03-10 16:43 . 2008-03-10 16:43 2,550 --a------ C:\WINDOWS\SYSTEM32\Uninstall.ico
2008-03-10 16:43 . 2008-03-10 16:43 1,406 --a------ C:\WINDOWS\SYSTEM32\Help.ico

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-10 16:01 155,648 ----a-w C:\WINDOWS\SYSTEM32\NeroCheck.exe
2008-02-13 17:00 --------- d-----w C:\Programme\ElsterFormular
2008-02-08 06:46 28,224 ----a-w C:\WINDOWS\SYSTEM32\Yj03C563.exe
2007-11-28 20:44 47,968 ----a-w C:\Dokumente und Einstellungen\***\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2006-08-09 16:09 266 --sh--w C:\Programme\desktop.ini
2006-08-09 16:09 11,253 ---h--w C:\Programme\folder.htt
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\SlowFile Icon Overlay]
@={7D688A77-C613-11D0-999B-00C04FD655E1}

[HKEY_CLASSES_ROOT\CLSID\{7D688A77-C613-11D0-999B-00C04FD655E1}]
2006-12-19 22:49 8494592 --a------ C:\WINDOWS\SYSTEM32\SHELL32.DLL

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ObjectDock"="-" []
"WinRoll"="C:\Programme\WinRoll\winroll.exe" [2004-04-07 09:00 15360]
"H/PC Connection Agent"="C:\Programme\Microsoft ActiveSync\wcescomm.exe" [2006-06-26 21:09 1211176]
"MJStarter"="" []
"Steam"="" []

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" [2006-12-18 14:14 3144800]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SystemTray"="SysTray.Exe" [2001-08-23 12:00 3072 C:\WINDOWS\SYSTEM32\systray.exe]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 03:43 83608]
"LXCDCATS"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCDtime.dll" [2005-07-11 16:35 69632]
"lxcdmon.exe"="C:\Programme\Lexmark 6300 Series\lxcdmon.exe" [2005-06-24 17:17 200704]
"EzPrint"="C:\Programme\Lexmark 6300 Series\ezprint.exe" [2005-07-05 11:51 94208]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2008-03-10 17:01 155648]
"CloneCDElbyCDFL"="C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" [2002-11-02 08:33 45056]
"RemoteControl"="C:\Programme\CyberLink\PowerDVD\PDVDServ.exe" [2008-03-10 17:16 30208]
"LanguageShortcut"="C:\Programme\CyberLink\PowerDVD\Language\Language.exe" [2008-03-10 17:16 49152]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-08-13 15:07 282624]
"tuloxFreeWBS"="" []
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2006-10-22 15:50 185896]
"ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" [2006-12-18 14:14 3144800]
"SmcService"="C:\PROGRA~1\Sygate\SPF\smc.exe" [2004-02-24 16:36 2372760]
"NvCplDaemon"="RUNDLL32.exe" [2004-08-04 00:58 33792 C:\WINDOWS\SYSTEM32\rundll32.exe]
"nwiz"="nwiz.exe" [2006-10-22 12:22 1622016 C:\WINDOWS\SYSTEM32\nwiz.exe]
"NvMediaCenter"="RunDLL32.exe" [2004-08-04 00:58 33792 C:\WINDOWS\SYSTEM32\rundll32.exe]
"DAEMON Tools-1033"="C:\Programme\D-Tools\daemon.exe" [2004-08-22 17:05 81920]
"WiseFTP"="C:\Programme\AceBIT\WISE-FTP\WF_Scheduler.exe" [2008-03-10 17:26 1031680]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 19:51 39792]
"SpySweeper"="C:\Programme\Webroot\Spy Sweeper\SpySweeperUI.exe" [2008-01-04 20:56 5367664]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360]

C:\Dokumente und Einstellungen\***\Startmen\Programme\Autostart\
Alienware Dock.lnk - C:\Programme\AlienGUIse\AlienwareDock\ObjectDock.exe [2007-01-05 23:41:37 2074360]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 01:01:04 83360]
Adobe Gamma Loader.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2006-08-14 18:51:00 110592]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WB]
C:\Programme\AlienGUIse\fastload.dll 2001-12-20 23:34 24576 C:\Programme\AlienGUIse\fastload.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=wbsys.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\setup\disabledrunkeys]
"LoadPowerProfile"=Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\BitComet\\BitComet.exe"=
"C:\\Programme\\Soldier of Fortune II - Double Helix\\SoF2MP.exe"=
"C:\Programme\Microsoft ActiveSync\rapimgr.exe"= C:\Programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"C:\Programme\Microsoft ActiveSync\wcescomm.exe"= C:\Programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"C:\Programme\Microsoft ActiveSync\WCESMgr.exe"= C:\Programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"C:\\Programme\\eDonkey2000\\edonkey2000.exe"=
"C:\\Programme\\Microsoft Games\\Halo\\halo.exe"=
"C:\\Programme\\Stormregion\\S.W.I.N.E\\swine.exe"=
"C:\\Programme\\ICQLite\\ICQLite.exe"=
"C:\\Programme\\Wolfenstein - Enemy Territory\\ET.exe"=
"C:\\Programme\\Azureus\\Azureus.exe"=
"C:\\Programme\\AceBIT\\WISE-FTP\\wise_ftp.exe"=
"C:\\Programme\\Sierra\\FEAR\\FEAR.exe"=
"C:\\Programme\\Anno 1701\\Anno1701.exe"=
"C:\\Programme\\Sierra\\FEAR\\FPUpdate.exe"=
"C:\\Programme\\Canon\\DV Messenger\\DV Messenger.exe"=
"C:\\Programme\\Real\\RealPlayer\\realplay.exe"=
"C:\\WINDOWS\\System32\\dpvsetup.exe"=
"C:\\WINDOWS\\System32\\rundll32.exe"=
"C:\\Programme\\Codemasters\\IGI 2\\pc\\igi2.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"C:\\Programme\\MSN Messenger\\livecall.exe"=
"C:\\Programme\\Veoh Networks\\Veoh\\VeohClient.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"7985:TCP"= 7985:TCP:BitComet 7985 TCP
"7985:UDP"= 7985:UDP:BitComet 7985 UDP
"4682:TCP"= 4682:TCP:BitComet 4682 TCP
"4682:UDP"= 4682:UDP:BitComet 4682 UDP
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

R0 ElbyVCD;ElbyVCD;C:\WINDOWS\system32\DRIVERS\ElbyVCD.sys [2002-11-28 12:43]
R0 Usc;Usc;C:\WINDOWS\system32\DRIVERS\usc.sys [2002-09-12 12:15]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{dba0fa36-f1a0-11dc-8bce-00e018f34bc3}]
\Shell\AutoRun\command - K:\Autorun.exe /run
\Shell\Shell00\Command - K:\Autorun.exe /run
\Shell\Shell01\Command - K:\Autorun.exe /action
\Shell\Shell02\Command - K:\Autorun.exe /uninstall

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e6277870-5a67-11dc-a278-00e018f34bc3}]
\Shell\AutoRun\command - K:\laucher.exe

.
Inhalt des "geplante Tasks" Ordners
"2008-03-01 22:00:02 C:\WINDOWS\Tasks\Programmstart beschleunigen.job"
"2008-03-26 23:00:04 C:\WINDOWS\Tasks\At1.job"
- C:\WINDOWS\system32\Yj03C563.exe
"2008-03-27 00:00:02 C:\WINDOWS\Tasks\At2.job"
- C:\WINDOWS\system32\Yj03C563.exe
"2008-03-19 01:00:04 C:\WINDOWS\Tasks\At3.job"
- C:\WINDOWS\system32\Yj03C563.exe
"2008-03-19 02:00:04 C:\WINDOWS\Tasks\At4.job"
- C:\WINDOWS\system32\Yj03C563.exe
"2008-03-17 03:00:08 C:\WINDOWS\Tasks\At5.job"
- C:\WINDOWS\system32\Yj03C563.exe
"2007-09-08 04:00:32 C:\WINDOWS\Tasks\At6.job"
- C:\WINDOWS\system32\Yj03C563.exe

"2007-09-02 05:00:32 C:\WINDOWS\Tasks\At7.job"
- C:\WINDOWS\system32\Yj03C563.exe
"2008-03-25 06:00:02 C:\WINDOWS\Tasks\At8.job"
- C:\WINDOWS\system32\Yj03C563.exe
"2008-03-25 07:00:10 C:\WINDOWS\Tasks\At9.job"
- C:\WINDOWS\system32\Yj03C563.exe
"2008-03-25 08:00:26 C:\WINDOWS\Tasks\At10.job"
- C:\WINDOWS\system32\Yj03C563.exe
"2008-03-25 09:00:06 C:\WINDOWS\Tasks\At11.job"
- C:\WINDOWS\system32\Yj03C563.exe
"2008-03-27 10:00:04 C:\WINDOWS\Tasks\At12.job"
- C:\WINDOWS\system32\Yj03C563.exe
"2008-03-27 11:00:02 C:\WINDOWS\Tasks\At13.job"
- C:\WINDOWS\system32\Yj03C563.exe
"2008-03-27 12:00:12 C:\WINDOWS\Tasks\At14.job"
- C:\WINDOWS\system32\Yj03C563.exe
"2008-03-27 13:00:50 C:\WINDOWS\Tasks\At15.job"
- C:\WINDOWS\system32\Yj03C563.exe
"2008-03-27 14:00:06 C:\WINDOWS\Tasks\At16.job"
- C:\WINDOWS\system32\Yj03C563.exe
"2008-03-27 15:00:02 C:\WINDOWS\Tasks\At17.job"
- C:\WINDOWS\system32\Yj03C563.exe
"2008-03-27 16:00:02 C:\WINDOWS\Tasks\At18.job"
- C:\WINDOWS\system32\Yj03C563.exe
"2008-03-26 17:00:12 C:\WINDOWS\Tasks\At19.job"
- C:\WINDOWS\system32\Yj03C563.exe
"2008-03-26 18:00:10 C:\WINDOWS\Tasks\At20.job"
- C:\WINDOWS\system32\Yj03C563.exe
"2008-03-26 19:00:08 C:\WINDOWS\Tasks\At21.job"
- C:\WINDOWS\system32\Yj03C563.exe
"2008-03-26 20:00:10 C:\WINDOWS\Tasks\At22.job"
- C:\WINDOWS\system32\Yj03C563.exe
"2008-03-26 21:00:08 C:\WINDOWS\Tasks\At23.job"
- C:\WINDOWS\system32\Yj03C563.exe

"2008-03-25 22:00:06 C:\WINDOWS\Tasks\At24.job"
- C:\WINDOWS\system32\Yj03C563.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-27 17:17:35
Windows 5.1.2600 Service Pack 2 FAT NTAPI

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-03-27 17:18:12
ComboFix-quarantined-files.txt 2008-03-27 16:18:10
20 Verzeichnis(se), 16,697,360,384 Bytes frei
25 Verzeichnis(se), 16,688,578,560 Bytes frei
.
2008-03-27 09:35:28 --- E O F ---

**Sunny** · 27.03.2008, 17:47

Zitat:

Zitat von Seacraft

da kommen mir einige sachen merkwürdig vor..

Mir kommen da auch einige Sachen komisch vor, vor allem wenn ich diesen ganzen Schrott hier lese:

Zitat:

"C:\\Programme\\BitComet\\BitComet.exe"=

"C:\\Programme\\eDonkey2000\\edonkey2000.exe"=

"C:\\Programme\\Azureus\\Azureus.exe"=

"C:\\Programme\\AceBIT\\WISE-FTP\\wise_ftp.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\GloballyOpenPorts\List]
"7985:TCP"= 7985:TCP:BitComet 7985 TCP
"7985:UDP"= 7985:UDP:BitComet 7985 UDP
"4682:TCP"= 4682:TCP:BitComet 4682 TCP
"4682:UDP"= 4682:UDP:BitComet 4682 UDP

Obwohl das System schon infiziert ist, lädst du dir immer noch mehr "Müll" nach. Am liebsten würde ich hier meinen support einstellen!

Cureit Dr.Web

Downloade Dr.Web CureIt!
Speichere es auf deinem Desktop.
Entpacke es in einen eigenen Ordner.
Lies nun zuerst die deutsche Anleitung und drucke sie dir aus.

Lass alle Malware in den Quarantaene Ordner verschieben.
Ignoriere eventuelle Warnungen seitens deines AV Programms, du kannst auch offline gehen und -> dann dein AV Programm während des Scannens mit Dr. Web CureIt! abstellen.
Vergiss bitte nicht, dein AV Programm nach dem Scan wieder anzustellen.

Speichere das Logfile - siehe Anleitung - und poste es.

Kaspersky - Onlinescanner

Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware.

---> hier herunterladen => Online-Viren-Scanner
=> Hinweise zu älteren Versionen beachten!
=> Voraussetzung: Internet Explorer 6.0 oder höher
=> die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter
=> Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken
=> Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als
=> Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten
=> Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen

Seacraft · 27.03.2008, 17:56

Diese Programme sind schon lange auf dem pc, da mein Bruder vorher mit dem Pc gearbeitet hat. Jetzt hat er sich einen neuen PC gekauft. Ich benutz diese Programme nicht.
Die Ports sind zwar im Router gespeichert, jedoch nicht aktiv.

Ist WISE-FTP nicht ein normaler FTP-Client?

**Sunny** · 27.03.2008, 18:16

Zitat:

Zitat von Seacraft

Ist WISE-FTP nicht ein normaler FTP-Client?

Schon, aber ich sehe (hatte!) diese Software im Zusammenhang mit den anderen.

Seacraft · 27.03.2008, 18:24

nene.. das war auf der Start CD von 1&1 drauf.. und hab mich damit auf dem Server von einem Freund eingeloggt. Hat also nichts mit den Download Programmen zu tun.
Ich bin mir schon im klaren, dass diese Filesharing sachen nichts Gutes bringen und mir dadurch nur was einfangen würde, deswegen kann man filesharing in meinem Fall ausschließen.

Ich probier gerade das Dr. Web CureIT, aber Win bringt mir dauernd Fehler und bricht diagnose ab. muss mal schaun..

**Sunny** · 27.03.2008, 18:43

Zitat:

Zitat von Seacraft

Ich probier gerade das Dr. Web CureIT, aber Win bringt mir dauernd Fehler und bricht diagnose ab. muss mal schaun..

Sollte das nicht funktionieren, mach mit Kaspersky weiter..

Seacraft · 31.03.2008, 22:59

Irgendwie hat sie das Problem sozusagen in Luft aufgelöst..
ich weiß nicht warum, aber seit samstag hängt sich mein pc nicht mehr auf..
Es aktiviert sich kein unerwünschtes Programm mehr.. umso besser ^^

ich danke trotzdem für die Hilfe

Zufallsprogramme im Temp-Ordner führen zum Systemabsturz

Plagegeister aller Art und deren Bekämpfung: Zufallsprogramme im Temp-Ordner führen zum Systemabsturz