dropper.agent.bmh nicht killbar

gordonbrie · 13.01.2008, 16:04

Wie im Titel schon geschrieben habe ich auf der Platte: dropper.agent.bmh !

Er wird von AVG Antivir erkannt aber als nicht löschbar deklariert.
Was tut dieses Schadprogramm und wie werde ich ihn los ?

Beim Systemstart hängt sich für ein paar Minuten der explorer auf so das ich weder Symbole noch die Startleiste noch das Taskmenue aufrufen kann erst nach einiger Zeit dann meldet sich das Sicherheitscenter mit der Info das mein System evtl gefährdet sei um dann zu verschwinden und alles wieder einwandfrei funktioniert. Alle während des einfrierens angeklickten Programme auf dem Desktop öffnen sich dann ganz normal.

An den Admin : Bitte ein Posting eine Kategorie tiefer von mir löschen da ich anfangs etwas orientierungslos war und nicht wusste wohin mit meinem Zeug.

ok hier mein log file:

falls jemand etwas entdeckt wäre ich ihm verbunden mir das mitzuteilen

danke !

Logfile of HijackThis v1.99.1
Scan saved at 13:39:04, on 13.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\programme\sparvoip\sparvoip.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\Dokumente und Einstellungen\Gordon\Desktop\hijackthis_199\haijag sis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {33E860CC-897F-41B3-97D5-98D72DCEDB8A} - C:\WINDOWS\system32\kbdcz32.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SparVoip] "C:\programme\sparvoip\sparvoip.exe" -nosplash -minimized
O8 - Extra context menu item: Heroplayer Online - C:\HEROSOFT\Hero3000\MPURLGET.HTM
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: hero player - {367E0A21-8601-4986-9C9A-153BF5ACA118} - C:\HEROSOFT\Hero3000\MPLAYER.EXE
O9 - Extra 'Tools' menuitem: hero player - {367E0A21-8601-4986-9C9A-153BF5ACA118} - C:\HEROSOFT\Hero3000\MPLAYER.EXE
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DL L
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

gordonbrie · 13.01.2008, 16:31

Ok, avg sagt das der trojaner im Ordner c:/programme/setup "sitzt".

Dort befindet sich auf meiner Platte eine winrar-archiv (bücherstapel) 16kb gepackte datei mit dem Namen "notify" was das war und wann ich es mir heruntergeladen habe weiss ich nicht mehr.

Kann jemand sagen wie ich jetzt vorgehen sollte ?

gordonbrie · 13.01.2008, 16:44

OK, alles klar hab ihn doch wegbekommen mit AVG !!! Das Problem beim booten besteht aber weiterhin , kann jemand was in meinem Logfile entdecken was da verräterisches sein könnte weshalb mein System bei booten leicht spinnt ? Ich habe dieses Sparvoip in verdacht.

Danke

BataAlexander · 14.01.2008, 09:54

Zitat:

O2 - BHO: (no name) - {33E860CC-897F-41B3-97D5-98D72DCEDB8A} - C:\WINDOWS\system32\kbdcz32.dll

Die Datei gehört zu CoolWebSearch.

Lade Dir CWS Shredder

Combofix

Download ComboFix von hier oder hier auf Deinen Desktop.
Mache einen Doppelklick auf combofix.exe
Wenn combofix fertig ist, legt es ein Logfile an. Poste dieses Logfile und ein neues HJT Logfile als nächste Antwort
Achtung: Während Combofix läuft klicke nichts an, und benutze den Rechner nicht.

gordonbrie · 14.01.2008, 16:04

ok, shredder auf dem rechner. jetzt combofix log und hjthis log:

ComboFix 08-01-14.4 - Gordon 2008-01-14 15:55:43.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1384 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Gordon\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((( Dateien erstellt von 2007-12-14 bis 2008-01-14 ))))))))))))))))))))))))))))))
.

2008-01-14 15:54 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-13 23:59 . 2008-01-13 23:59 <DIR> d-------- C:\WINDOWS\system32\LogFiles
2008-01-13 23:53 . 2008-01-14 00:14 <DIR> d-------- C:\Programme\Microsoft Bootvis
2008-01-13 23:09 . 2008-01-13 23:09 <DIR> d-------- C:\WINDOWS\OPTIONS
2008-01-13 23:09 . 2002-06-13 11:37 45,568 --a------ C:\WINDOWS\system32\drivers\R8139n51.sys
2008-01-13 17:03 . 2008-01-13 17:03 0 --a------ C:\WINDOWS\winstart.bat
2008-01-12 19:55 . 2004-08-04 00:57 116,736 --a--c--- C:\WINDOWS\system32\dllcache\xrxwiadr.dll
2008-01-12 19:55 . 2001-08-18 04:55 99,865 --a--c--- C:\WINDOWS\system32\dllcache\xlog.exe
2008-01-12 19:55 . 2001-08-18 04:55 27,648 --a--c--- C:\WINDOWS\system32\dllcache\xrxftplt.exe
2008-01-12 19:55 . 2001-08-18 04:54 23,040 --a--c--- C:\WINDOWS\system32\dllcache\xrxwbtmp.dll
2008-01-12 19:55 . 2004-08-03 22:29 19,455 --a--c--- C:\WINDOWS\system32\dllcache\wvchntxx.sys
2008-01-12 19:55 . 2001-08-18 04:54 17,920 --a--c--- C:\WINDOWS\system32\dllcache\xrxscnui.dll
2008-01-12 19:55 . 2001-08-17 12:11 16,970 --a--c--- C:\WINDOWS\system32\dllcache\xem336n5.sys
2008-01-12 19:55 . 2004-08-03 22:29 12,063 --a--c--- C:\WINDOWS\system32\dllcache\wsiintxx.sys
2008-01-12 19:55 . 2004-08-04 00:57 8,192 --a--c--- C:\WINDOWS\system32\dllcache\wshirda.dll
2008-01-12 19:55 . 2001-08-18 04:55 4,608 --a--c--- C:\WINDOWS\system32\dllcache\xrxflnch.exe
2008-01-12 19:54 . 2001-08-17 13:28 771,581 --a--c--- C:\WINDOWS\system32\dllcache\winacisa.sys
2008-01-12 19:54 . 2001-08-17 13:28 701,386 --a--c--- C:\WINDOWS\system32\dllcache\wdhaalba.sys
2008-01-12 19:54 . 2004-08-03 22:31 154,624 --a--c--- C:\WINDOWS\system32\dllcache\wlluc48.sys
2008-01-12 19:54 . 2001-08-18 04:54 87,040 --a--c--- C:\WINDOWS\system32\dllcache\wiafbdrv.dll
2008-01-12 19:54 . 2001-08-18 04:54 54,272 --a--c--- C:\WINDOWS\system32\dllcache\wiamsmud.dll
2008-01-12 19:54 . 2001-08-17 12:10 35,871 --a--c--- C:\WINDOWS\system32\dllcache\wbfirdma.sys
2008-01-12 19:54 . 2001-08-18 04:24 35,402 --a--c--- C:\WINDOWS\system32\dllcache\wlandrv2.sys
2008-01-12 19:54 . 2004-08-04 00:45 32,000 --a--c--- C:\WINDOWS\system32\dllcache\wceusbsh.sys
2008-01-12 19:54 . 2004-08-03 22:29 23,615 --a--c--- C:\WINDOWS\system32\dllcache\wch7xxnt.sys
2008-01-12 19:54 . 2004-08-03 23:07 8,832 --a--c--- C:\WINDOWS\system32\dllcache\wmiacpi.sys
2008-01-12 19:52 . 2001-08-17 13:28 794,654 --a--c--- C:\WINDOWS\system32\dllcache\usr1801.sys
2008-01-12 19:51 . 2001-08-18 04:54 525,568 --a--c--- C:\WINDOWS\system32\dllcache\tridxp.dll
2008-01-12 19:50 . 2001-08-17 14:01 241,664 --a--c--- C:\WINDOWS\system32\dllcache\tosdvd02.sys
2008-01-12 19:49 . 2001-08-18 04:18 287,232 --a--c--- C:\WINDOWS\system32\dllcache\stlnata.sys
2008-01-12 19:48 . 2001-08-18 04:54 114,688 --a--c--- C:\WINDOWS\system32\dllcache\sonypi.dll
2008-01-12 19:47 . 2004-08-03 22:41 404,990 --a--c--- C:\WINDOWS\system32\dllcache\slntamr.sys
2008-01-12 19:46 . 2001-08-18 04:52 386,560 --a--c--- C:\WINDOWS\system32\dllcache\sgiul50.dll
2008-01-12 19:45 . 2001-08-18 04:54 495,616 --a--c--- C:\WINDOWS\system32\dllcache\sblfx.dll
2008-01-12 19:44 . 2004-08-04 00:57 397,056 --a--c--- C:\WINDOWS\system32\dllcache\s3gnb.dll
2008-01-12 19:43 . 2001-08-18 04:33 899,658 --a--c--- C:\WINDOWS\system32\dllcache\r2mdkxga.sys
2008-01-12 19:43 . 2001-08-18 04:33 715,242 --a--c--- C:\WINDOWS\system32\dllcache\r2mdmkxx.sys
2008-01-12 19:43 . 2001-08-18 04:54 86,097 --a--c--- C:\WINDOWS\system32\dllcache\reslog32.dll
2008-01-12 19:43 . 2004-08-03 23:10 59,648 --a--c--- C:\WINDOWS\system32\dllcache\rfcomm.sys
2008-01-12 19:43 . 2001-08-18 04:54 41,472 --a--c--- C:\WINDOWS\system32\dllcache\qvusd.dll
2008-01-12 19:43 . 2001-08-17 13:51 19,584 --a--c--- C:\WINDOWS\system32\dllcache\rasirda.sys
2008-01-12 19:43 . 2004-08-03 22:41 13,776 --a--c--- C:\WINDOWS\system32\dllcache\recagent.sys
2008-01-12 19:43 . 2001-08-17 13:53 3,328 --a--c--- C:\WINDOWS\system32\dllcache\qv2kux.sys
2008-01-12 19:41 . 2004-08-04 00:55 259,328 --a--c--- C:\WINDOWS\system32\dllcache\perm3dd.dll
2008-01-12 19:40 . 2001-08-17 14:05 351,616 --a--c--- C:\WINDOWS\system32\dllcache\ovcodek2.sys
2008-01-12 19:39 . 2001-08-17 12:50 198,144 --a--c--- C:\WINDOWS\system32\dllcache\nv3.sys
2008-01-12 19:39 . 2004-08-03 22:41 180,360 --a--c--- C:\WINDOWS\system32\dllcache\ntmtlfax.sys
2008-01-12 19:39 . 2001-08-18 04:52 123,776 --a--c--- C:\WINDOWS\system32\dllcache\nv3.dll
2008-01-12 19:39 . 2004-08-03 23:10 61,056 --a--c--- C:\WINDOWS\system32\dllcache\ohci1394.sys
2008-01-12 19:39 . 2001-08-17 12:20 54,528 --a--c--- C:\WINDOWS\system32\dllcache\opl3sax.sys
2008-01-12 19:39 . 2001-08-17 12:49 51,552 --a--c--- C:\WINDOWS\system32\dllcache\ntgrip.sys
2008-01-12 19:39 . 2001-08-17 12:12 27,209 --a--c--- C:\WINDOWS\system32\dllcache\otc06x5.sys
2008-01-12 19:37 . 2004-08-04 00:57 1,737,856 --a--c--- C:\WINDOWS\system32\dllcache\mtxparhd.dll
2008-01-12 19:36 . 2004-08-03 23:10 49,024 --a--c--- C:\WINDOWS\system32\dllcache\mstape.sys
2008-01-12 19:36 . 2004-08-03 23:00 22,016 --a--c--- C:\WINDOWS\system32\dllcache\msircomm.sys
2008-01-12 19:36 . 2001-08-17 13:48 12,416 --a--c--- C:\WINDOWS\system32\dllcache\msriffwv.sys
2008-01-12 19:36 . 2001-08-17 14:00 2,944 --a--c--- C:\WINDOWS\system32\dllcache\msmpu401.sys
2008-01-12 19:35 . 2004-08-04 00:58 56,832 --a--c--- C:\WINDOWS\system32\dllcache\msdvbnp.ax
2008-01-12 19:35 . 2004-08-03 23:10 51,328 --a--c--- C:\WINDOWS\system32\dllcache\msdv.sys
2008-01-12 19:35 . 2001-08-17 14:02 35,200 --a--c--- C:\WINDOWS\system32\dllcache\msgame.sys
2008-01-12 19:35 . 2001-08-17 13:52 17,280 --a--c--- C:\WINDOWS\system32\dllcache\mraid35x.sys
2008-01-12 19:35 . 2004-08-03 23:10 15,360 --a--c--- C:\WINDOWS\system32\dllcache\mpe.sys
2008-01-12 19:35 . 2001-08-18 04:22 12,288 --a--c--- C:\WINDOWS\system32\dllcache\mouhid.sys
2008-01-12 19:35 . 2001-08-17 13:48 6,016 --a--c--- C:\WINDOWS\system32\dllcache\msfsio.sys
2008-01-12 19:33 . 2001-08-18 04:20 728,298 --a--c--- C:\WINDOWS\system32\dllcache\ltck000c.sys
2008-01-12 19:32 . 2004-08-04 00:58 154,112 --a--c--- C:\WINDOWS\system32\dllcache\irftp.exe
2008-01-12 19:31 . 2001-08-18 04:53 372,824 --a--c--- C:\WINDOWS\system32\dllcache\iconf32.dll
2008-01-12 19:30 . 2004-08-03 22:41 1,041,536 --a--c--- C:\WINDOWS\system32\dllcache\hsfdpsp2.sys
2008-01-12 19:29 . 2001-08-18 04:53 324,608 --a--c--- C:\WINDOWS\system32\dllcache\hpojwia.dll
2008-01-12 19:28 . 2001-08-18 04:52 1,733,120 --a--c--- C:\WINDOWS\system32\dllcache\g400d.dll
2008-01-12 19:27 . 2001-08-18 04:31 595,999 --a--c--- C:\WINDOWS\system32\dllcache\es56cvmp.sys
2008-01-12 19:26 . 2001-08-18 04:30 634,198 --a--c--- C:\WINDOWS\system32\dllcache\el656ct5.sys
2008-01-12 19:25 . 2001-08-17 12:14 952,007 --a--c--- C:\WINDOWS\system32\dllcache\diwan.sys
2008-01-12 19:24 . 2004-08-04 00:57 252,928 --a--c--- C:\WINDOWS\system32\dllcache\ctmasetp.dll
2008-01-12 19:23 . 2001-08-18 04:22 980,034 --a--c--- C:\WINDOWS\system32\dllcache\cicap.sys
2008-01-12 19:22 . 2001-08-17 13:28 871,388 --a--c--- C:\WINDOWS\system32\dllcache\bcmdm.sys
2008-01-12 19:21 . 2004-08-04 00:57 1,888,992 --a--c--- C:\WINDOWS\system32\dllcache\ati3duag.dll
2008-01-12 19:20 . 2001-08-17 13:28 762,780 --a--c--- C:\WINDOWS\system32\dllcache\3cwmcru.sys
2008-01-12 17:58 . 2008-01-12 17:58 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-01-12 17:18 . 2008-01-13 10:52 <DIR> d-------- C:\Programme\SparVoip
2008-01-12 16:52 . 2008-01-12 16:52 <DIR> d-------- C:\Programme\Lavasoft
2008-01-12 15:35 . 2008-01-12 18:00 <DIR> d-------- C:\Programme\Purgatio Pro
2008-01-12 12:03 . 2008-01-12 17:58 <DIR> d-------- C:\Programme\RegCleaner
2008-01-03 11:14 . 2008-01-12 17:34 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-01-03 11:09 . 2008-01-12 18:17 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2007-12-28 10:38 . 2007-12-28 10:38 <DIR> d-------- C:\Programme\uTorrent
2007-12-28 10:37 . 2008-01-12 18:14 <DIR> d-------- C:\Dokumente und Einstellungen\Gordon\Anwendungsdaten\uTorrent
2007-12-25 11:43 . 2007-12-25 11:43 <DIR> d-------- C:\Programme\Digital Guitar Tuner 2.3
2007-12-25 11:30 . 2007-12-25 11:32 <DIR> d-------- C:\WINDOWS\uninstall\ComTuneDemo
2007-12-25 11:30 . 2007-12-25 11:30 <DIR> d-------- C:\WINDOWS\uninstall
2007-12-25 11:30 . 2007-12-25 11:32 <DIR> d-------- C:\Programme\ComTuneDemo
2007-12-25 11:28 . 2007-12-25 11:28 <DIR> d-------- C:\Programme\Guitar-Online Tools
2007-12-25 01:27 . 2007-12-25 01:27 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Azureus
2007-12-25 01:25 . 2008-01-12 15:54 <DIR> d-------- C:\Dokumente und Einstellungen\Gordon\Anwendungsdaten\Azureus
2007-12-25 01:24 . 2007-12-25 01:24 <DIR> d-------- C:\Programme\Java
2007-12-25 01:24 . 2007-12-25 01:24 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Java
2007-12-25 01:24 . 2007-09-24 23:31 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl
2007-12-25 01:20 . 2008-01-13 02:10 <DIR> d-------- C:\Programme\Azureus
2007-12-25 01:11 . 2007-12-25 01:11 <DIR> d-------- C:\My Shared Folder
2007-12-25 01:11 . 2007-12-25 01:11 <DIR> d-------- C:\Dokumente und Einstellungen\Gordon\Anwendungsdaten\Kazaa Lite

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-13 22:09 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-01-13 15:32 --------- d-----w C:\Dokumente und Einstellungen\Gordon\Anwendungsdaten\AVG7
2008-01-13 09:06 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\avg7
2008-01-13 09:05 --------- d-----w C:\Dokumente und Einstellungen\Gordon\Anwendungsdaten\SparVoip
2008-01-13 08:59 --------- d-----w C:\Programme\Google
2008-01-13 01:28 --------- d-----w C:\Dokumente und Einstellungen\Gordon\Anwendungsdaten\My Games
2008-01-13 01:26 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-01-12 17:16 12,632 ----a-w C:\WINDOWS\system32\lsdelete.exe
2008-01-12 17:14 --------- d-----w C:\Dokumente und Einstellungen\Gordon\Anwendungsdaten\Skype
2007-12-28 09:30 --------- d-----w C:\Dokumente und Einstellungen\Gordon\Anwendungsdaten\Xenorate
2007-12-22 19:08 --------- d-----w C:\Programme\CyberLink
2007-11-07 09:27 729,600 ----a-w C:\WINDOWS\system32\lsasrv.dll
2007-11-07 09:27 729,600 ----a-w C:\WINDOWS\system32\lsasrv(2)(2).dll
2007-10-29 22:42 1,293,312 ----a-w C:\WINDOWS\system32\quartz.dll
2007-10-20 05:01 227,328 ----a-w C:\WINDOWS\system32\wmasf.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{33E860CC-897F-41B3-97D5-98D72DCEDB8A}]
2007-04-04 19:20 14467 --a------ C:\WINDOWS\system32\kbdcz32.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 13:00 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AVG7_CC"="C:\PROGRA~1\Grisoft\AVG7\avgcc.exe" [2007-12-21 16:08 579072]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-10-22 11:22 7700480]
"MSConfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe" [2004-08-04 13:00 160768]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 13:00 15360]
"AVG7_Run"="C:\PROGRA~1\Grisoft\AVG7\avgw.exe" [2007-10-25 14:58 219136]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^VIA RAID TOOL.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\VIA RAID TOOL.lnk
backup=C:\WINDOWS\pss\VIA RAID TOOL.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Gordon^Startmenü^Programme^Autostart^ubisoft register.lnk]
path=C:\Dokumente und Einstellungen\Gordon\Startmenü\Programme\Autostart\ubisoft register.lnk
backup=C:\WINDOWS\pss\ubisoft register.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2007-10-10 19:51 39792 H:\Adobe\Reader\Reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
--a------ 2004-08-04 13:00 15360 C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
--a------ 2007-04-03 23:29 165784 I:\DAEMON Tools\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]
--a------ 2006-10-26 23:47 31016 C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LanguageShortcut]
C:\Programme\CyberLink\PowerDVD\Language\Language.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
--a------ 2007-01-19 11:55 5674352 C:\Programme\MSN Messenger\MsnMsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
--a------ 2006-10-22 11:22 7700480 C:\WINDOWS\system32\NvCpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
--a------ 2006-10-22 11:22 86016 C:\WINDOWS\system32\NvMcTray.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
--a------ 2006-10-22 11:22 1622016 C:\WINDOWS\system32\nwiz.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Orb]
--a------ 2007-10-23 01:47 360448 C:\Programme\Winamp Remote\bin\OrbTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SparVoip]
--a------ 2008-01-13 10:05 8889648 C:\Programme\SparVoip\SparVoip.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
i:\spiele\valve\steam\steam.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2007-09-25 01:11 132496 C:\Programme\Java\jre1.6.0_03\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SysExplr]
--------- 2007-12-22 20:24 64512 C:\HEROSOFT\Hero3000\SysExplr.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
--a------ 2007-11-03 20:47 185632 C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"Prime95 Service"=2 (0x2)

R0 viasraid;viasraid;C:\WINDOWS\system32\DRIVERS\viasraid.sys [2003-10-31 04:22]
R3 WinDriver6;WinDriver6;C:\WINDOWS\system32\drivers\windrvr6.sys [2006-10-16 11:19]
S3 DLPortIO;DriverLINX Port I/O Driver;C:\WINDOWS\system32\DRIVERS\DLPortIO.SYS [2000-06-29 14:24]
S3 SaiH0006;SaiH0006;C:\WINDOWS\system32\DRIVERS\SaiH0006.sys [2004-07-26 11:54]

*Newly Created Service* - PROCEXP90
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-14 15:57:56
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-01-14 15:58:30
.
2008-01-12 19:16:54 --- E O F ---

______________________________________________________________________________
Logfile of HijackThis v1.99.1
Scan saved at 16:00:30, on 14.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\explorer.exe
C:\Dokumente und Einstellungen\Gordon\Desktop\hijackthis_199\haijagsis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {33E860CC-897F-41B3-97D5-98D72DCEDB8A} - C:\WINDOWS\system32\kbdcz32.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Heroplayer Online - C:\HEROSOFT\Hero3000\MPURLGET.HTM
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: hero player - {367E0A21-8601-4986-9C9A-153BF5ACA118} - C:\HEROSOFT\Hero3000\MPLAYER.EXE
O9 - Extra 'Tools' menuitem: hero player - {367E0A21-8601-4986-9C9A-153BF5ACA118} - C:\HEROSOFT\Hero3000\MPLAYER.EXE
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

gordonbrie · 14.01.2008, 22:36

ok ich hab jetzt den shredder einmal ausgeführt und hier nochmal das logfile von combofix und hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 22:31:50, on 14.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\explorer.exe
C:\Dokumente und Einstellungen\Gordon\Desktop\hijackthis_199\haijagsis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {33E860CC-897F-41B3-97D5-98D72DCEDB8A} - C:\WINDOWS\system32\kbdcz32.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: Heroplayer Online - C:\HEROSOFT\Hero3000\MPURLGET.HTM
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: hero player - {367E0A21-8601-4986-9C9A-153BF5ACA118} - C:\HEROSOFT\Hero3000\MPLAYER.EXE
O9 - Extra 'Tools' menuitem: hero player - {367E0A21-8601-4986-9C9A-153BF5ACA118} - C:\HEROSOFT\Hero3000\MPLAYER.EXE
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

------------------------------------------------------------------------

ComboFix 08-01-14.4 - Gordon 2008-01-14 22:28:43.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1331 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Gordon\Desktop\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((( Dateien erstellt von 2007-12-14 bis 2008-01-14 ))))))))))))))))))))))))))))))
.

2008-01-14 15:54 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-13 23:59 . 2008-01-13 23:59 <DIR> d-------- C:\WINDOWS\system32\LogFiles
2008-01-13 23:53 . 2008-01-14 00:14 <DIR> d-------- C:\Programme\Microsoft Bootvis
2008-01-13 23:09 . 2008-01-13 23:09 <DIR> d-------- C:\WINDOWS\OPTIONS
2008-01-13 23:09 . 2002-06-13 11:37 45,568 --a------ C:\WINDOWS\system32\drivers\R8139n51.sys
2008-01-13 17:03 . 2008-01-13 17:03 0 --a------ C:\WINDOWS\winstart.bat
2008-01-12 19:55 . 2004-08-04 00:57 116,736 --a--c--- C:\WINDOWS\system32\dllcache\xrxwiadr.dll
2008-01-12 19:55 . 2001-08-18 04:55 99,865 --a--c--- C:\WINDOWS\system32\dllcache\xlog.exe
2008-01-12 19:55 . 2001-08-18 04:55 27,648 --a--c--- C:\WINDOWS\system32\dllcache\xrxftplt.exe
2008-01-12 19:55 . 2001-08-18 04:54 23,040 --a--c--- C:\WINDOWS\system32\dllcache\xrxwbtmp.dll
2008-01-12 19:55 . 2004-08-03 22:29 19,455 --a--c--- C:\WINDOWS\system32\dllcache\wvchntxx.sys
2008-01-12 19:55 . 2001-08-18 04:54 17,920 --a--c--- C:\WINDOWS\system32\dllcache\xrxscnui.dll
2008-01-12 19:55 . 2001-08-17 12:11 16,970 --a--c--- C:\WINDOWS\system32\dllcache\xem336n5.sys
2008-01-12 19:55 . 2004-08-03 22:29 12,063 --a--c--- C:\WINDOWS\system32\dllcache\wsiintxx.sys
2008-01-12 19:55 . 2004-08-04 00:57 8,192 --a--c--- C:\WINDOWS\system32\dllcache\wshirda.dll
2008-01-12 19:55 . 2001-08-18 04:55 4,608 --a--c--- C:\WINDOWS\system32\dllcache\xrxflnch.exe
2008-01-12 19:54 . 2001-08-17 13:28 771,581 --a--c--- C:\WINDOWS\system32\dllcache\winacisa.sys
2008-01-12 19:54 . 2001-08-17 13:28 701,386 --a--c--- C:\WINDOWS\system32\dllcache\wdhaalba.sys
2008-01-12 19:54 . 2004-08-03 22:31 154,624 --a--c--- C:\WINDOWS\system32\dllcache\wlluc48.sys
2008-01-12 19:54 . 2001-08-18 04:54 87,040 --a--c--- C:\WINDOWS\system32\dllcache\wiafbdrv.dll
2008-01-12 19:54 . 2001-08-18 04:54 54,272 --a--c--- C:\WINDOWS\system32\dllcache\wiamsmud.dll
2008-01-12 19:54 . 2001-08-17 12:10 35,871 --a--c--- C:\WINDOWS\system32\dllcache\wbfirdma.sys
2008-01-12 19:54 . 2001-08-18 04:24 35,402 --a--c--- C:\WINDOWS\system32\dllcache\wlandrv2.sys
2008-01-12 19:54 . 2004-08-04 00:45 32,000 --a--c--- C:\WINDOWS\system32\dllcache\wceusbsh.sys
2008-01-12 19:54 . 2004-08-03 22:29 23,615 --a--c--- C:\WINDOWS\system32\dllcache\wch7xxnt.sys
2008-01-12 19:54 . 2004-08-03 23:07 8,832 --a--c--- C:\WINDOWS\system32\dllcache\wmiacpi.sys
2008-01-12 19:52 . 2001-08-17 13:28 794,654 --a--c--- C:\WINDOWS\system32\dllcache\usr1801.sys
2008-01-12 19:51 . 2001-08-18 04:54 525,568 --a--c--- C:\WINDOWS\system32\dllcache\tridxp.dll
2008-01-12 19:50 . 2001-08-17 14:01 241,664 --a--c--- C:\WINDOWS\system32\dllcache\tosdvd02.sys
2008-01-12 19:49 . 2001-08-18 04:18 287,232 --a--c--- C:\WINDOWS\system32\dllcache\stlnata.sys
2008-01-12 19:48 . 2001-08-18 04:54 114,688 --a--c--- C:\WINDOWS\system32\dllcache\sonypi.dll
2008-01-12 19:47 . 2004-08-03 22:41 404,990 --a--c--- C:\WINDOWS\system32\dllcache\slntamr.sys
2008-01-12 19:46 . 2001-08-18 04:52 386,560 --a--c--- C:\WINDOWS\system32\dllcache\sgiul50.dll
2008-01-12 19:45 . 2001-08-18 04:54 495,616 --a--c--- C:\WINDOWS\system32\dllcache\sblfx.dll
2008-01-12 19:44 . 2004-08-04 00:57 397,056 --a--c--- C:\WINDOWS\system32\dllcache\s3gnb.dll
2008-01-12 19:43 . 2001-08-18 04:33 899,658 --a--c--- C:\WINDOWS\system32\dllcache\r2mdkxga.sys
2008-01-12 19:43 . 2001-08-18 04:33 715,242 --a--c--- C:\WINDOWS\system32\dllcache\r2mdmkxx.sys
2008-01-12 19:43 . 2001-08-18 04:54 86,097 --a--c--- C:\WINDOWS\system32\dllcache\reslog32.dll
2008-01-12 19:43 . 2004-08-03 23:10 59,648 --a--c--- C:\WINDOWS\system32\dllcache\rfcomm.sys
2008-01-12 19:43 . 2001-08-18 04:54 41,472 --a--c--- C:\WINDOWS\system32\dllcache\qvusd.dll
2008-01-12 19:43 . 2001-08-17 13:51 19,584 --a--c--- C:\WINDOWS\system32\dllcache\rasirda.sys
2008-01-12 19:43 . 2004-08-03 22:41 13,776 --a--c--- C:\WINDOWS\system32\dllcache\recagent.sys
2008-01-12 19:43 . 2001-08-17 13:53 3,328 --a--c--- C:\WINDOWS\system32\dllcache\qv2kux.sys
2008-01-12 19:41 . 2004-08-04 00:55 259,328 --a--c--- C:\WINDOWS\system32\dllcache\perm3dd.dll
2008-01-12 19:40 . 2001-08-17 14:05 351,616 --a--c--- C:\WINDOWS\system32\dllcache\ovcodek2.sys
2008-01-12 19:39 . 2001-08-17 12:50 198,144 --a--c--- C:\WINDOWS\system32\dllcache\nv3.sys
2008-01-12 19:39 . 2004-08-03 22:41 180,360 --a--c--- C:\WINDOWS\system32\dllcache\ntmtlfax.sys
2008-01-12 19:39 . 2001-08-18 04:52 123,776 --a--c--- C:\WINDOWS\system32\dllcache\nv3.dll
2008-01-12 19:39 . 2004-08-03 23:10 61,056 --a--c--- C:\WINDOWS\system32\dllcache\ohci1394.sys
2008-01-12 19:39 . 2001-08-17 12:20 54,528 --a--c--- C:\WINDOWS\system32\dllcache\opl3sax.sys
2008-01-12 19:39 . 2001-08-17 12:49 51,552 --a--c--- C:\WINDOWS\system32\dllcache\ntgrip.sys
2008-01-12 19:39 . 2001-08-17 12:12 27,209 --a--c--- C:\WINDOWS\system32\dllcache\otc06x5.sys
2008-01-12 19:37 . 2004-08-04 00:57 1,737,856 --a--c--- C:\WINDOWS\system32\dllcache\mtxparhd.dll
2008-01-12 19:36 . 2004-08-03 23:10 49,024 --a--c--- C:\WINDOWS\system32\dllcache\mstape.sys
2008-01-12 19:36 . 2004-08-03 23:00 22,016 --a--c--- C:\WINDOWS\system32\dllcache\msircomm.sys
2008-01-12 19:36 . 2001-08-17 13:48 12,416 --a--c--- C:\WINDOWS\system32\dllcache\msriffwv.sys
2008-01-12 19:36 . 2001-08-17 14:00 2,944 --a--c--- C:\WINDOWS\system32\dllcache\msmpu401.sys
2008-01-12 19:35 . 2004-08-04 00:58 56,832 --a--c--- C:\WINDOWS\system32\dllcache\msdvbnp.ax
2008-01-12 19:35 . 2004-08-03 23:10 51,328 --a--c--- C:\WINDOWS\system32\dllcache\msdv.sys
2008-01-12 19:35 . 2001-08-17 14:02 35,200 --a--c--- C:\WINDOWS\system32\dllcache\msgame.sys
2008-01-12 19:35 . 2001-08-17 13:52 17,280 --a--c--- C:\WINDOWS\system32\dllcache\mraid35x.sys
2008-01-12 19:35 . 2004-08-03 23:10 15,360 --a--c--- C:\WINDOWS\system32\dllcache\mpe.sys
2008-01-12 19:35 . 2001-08-18 04:22 12,288 --a--c--- C:\WINDOWS\system32\dllcache\mouhid.sys
2008-01-12 19:35 . 2001-08-17 13:48 6,016 --a--c--- C:\WINDOWS\system32\dllcache\msfsio.sys
2008-01-12 19:33 . 2001-08-18 04:20 728,298 --a--c--- C:\WINDOWS\system32\dllcache\ltck000c.sys
2008-01-12 19:32 . 2004-08-04 00:58 154,112 --a--c--- C:\WINDOWS\system32\dllcache\irftp.exe
2008-01-12 19:31 . 2001-08-18 04:53 372,824 --a--c--- C:\WINDOWS\system32\dllcache\iconf32.dll
2008-01-12 19:30 . 2004-08-03 22:41 1,041,536 --a--c--- C:\WINDOWS\system32\dllcache\hsfdpsp2.sys
2008-01-12 19:29 . 2001-08-18 04:53 324,608 --a--c--- C:\WINDOWS\system32\dllcache\hpojwia.dll
2008-01-12 19:28 . 2001-08-18 04:52 1,733,120 --a--c--- C:\WINDOWS\system32\dllcache\g400d.dll
2008-01-12 19:27 . 2001-08-18 04:31 595,999 --a--c--- C:\WINDOWS\system32\dllcache\es56cvmp.sys
2008-01-12 19:26 . 2001-08-18 04:30 634,198 --a--c--- C:\WINDOWS\system32\dllcache\el656ct5.sys
2008-01-12 19:25 . 2001-08-17 12:14 952,007 --a--c--- C:\WINDOWS\system32\dllcache\diwan.sys
2008-01-12 19:24 . 2004-08-04 00:57 252,928 --a--c--- C:\WINDOWS\system32\dllcache\ctmasetp.dll
2008-01-12 19:23 . 2001-08-18 04:22 980,034 --a--c--- C:\WINDOWS\system32\dllcache\cicap.sys
2008-01-12 19:22 . 2001-08-17 13:28 871,388 --a--c--- C:\WINDOWS\system32\dllcache\bcmdm.sys
2008-01-12 19:21 . 2004-08-04 00:57 1,888,992 --a--c--- C:\WINDOWS\system32\dllcache\ati3duag.dll
2008-01-12 19:20 . 2001-08-17 13:28 762,780 --a--c--- C:\WINDOWS\system32\dllcache\3cwmcru.sys
2008-01-12 17:58 . 2008-01-12 17:58 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-01-12 17:18 . 2008-01-13 10:52 <DIR> d-------- C:\Programme\SparVoip
2008-01-12 16:52 . 2008-01-12 16:52 <DIR> d-------- C:\Programme\Lavasoft
2008-01-12 15:35 . 2008-01-12 18:00 <DIR> d-------- C:\Programme\Purgatio Pro
2008-01-12 12:03 . 2008-01-12 17:58 <DIR> d-------- C:\Programme\RegCleaner
2008-01-03 11:14 . 2008-01-12 17:34 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-01-03 11:09 . 2008-01-12 18:17 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2007-12-28 10:38 . 2007-12-28 10:38 <DIR> d-------- C:\Programme\uTorrent
2007-12-28 10:37 . 2008-01-12 18:14 <DIR> d-------- C:\Dokumente und Einstellungen\Gordon\Anwendungsdaten\uTorrent
2007-12-25 11:43 . 2007-12-25 11:43 <DIR> d-------- C:\Programme\Digital Guitar Tuner 2.3
2007-12-25 11:30 . 2007-12-25 11:32 <DIR> d-------- C:\WINDOWS\uninstall\ComTuneDemo
2007-12-25 11:30 . 2007-12-25 11:30 <DIR> d-------- C:\WINDOWS\uninstall
2007-12-25 11:30 . 2007-12-25 11:32 <DIR> d-------- C:\Programme\ComTuneDemo
2007-12-25 11:28 . 2007-12-25 11:28 <DIR> d-------- C:\Programme\Guitar-Online Tools
2007-12-25 01:27 . 2007-12-25 01:27 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Azureus
2007-12-25 01:25 . 2008-01-12 15:54 <DIR> d-------- C:\Dokumente und Einstellungen\Gordon\Anwendungsdaten\Azureus
2007-12-25 01:24 . 2007-12-25 01:24 <DIR> d-------- C:\Programme\Java
2007-12-25 01:24 . 2007-12-25 01:24 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Java
2007-12-25 01:24 . 2007-09-24 23:31 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl
2007-12-25 01:20 . 2008-01-13 02:10 <DIR> d-------- C:\Programme\Azureus
2007-12-25 01:11 . 2007-12-25 01:11 <DIR> d-------- C:\My Shared Folder
2007-12-25 01:11 . 2007-12-25 01:11 <DIR> d-------- C:\Dokumente und Einstellungen\Gordon\Anwendungsdaten\Kazaa Lite

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-13 22:09 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-01-13 15:32 --------- d-----w C:\Dokumente und Einstellungen\Gordon\Anwendungsdaten\AVG7
2008-01-13 09:06 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\avg7
2008-01-13 09:05 --------- d-----w C:\Dokumente und Einstellungen\Gordon\Anwendungsdaten\SparVoip
2008-01-13 08:59 --------- d-----w C:\Programme\Google
2008-01-13 01:28 --------- d-----w C:\Dokumente und Einstellungen\Gordon\Anwendungsdaten\My Games
2008-01-13 01:26 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-01-12 17:16 12,632 ----a-w C:\WINDOWS\system32\lsdelete.exe
2008-01-12 17:14 --------- d-----w C:\Dokumente und Einstellungen\Gordon\Anwendungsdaten\Skype
2007-12-28 09:30 --------- d-----w C:\Dokumente und Einstellungen\Gordon\Anwendungsdaten\Xenorate
2007-12-22 19:08 --------- d-----w C:\Programme\CyberLink
2007-11-07 09:27 729,600 ----a-w C:\WINDOWS\system32\lsasrv.dll
2007-11-07 09:27 729,600 ----a-w C:\WINDOWS\system32\lsasrv(2)(2).dll
2007-10-29 22:42 1,293,312 ----a-w C:\WINDOWS\system32\quartz.dll
2007-10-20 05:01 227,328 ----a-w C:\WINDOWS\system32\wmasf.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{33E860CC-897F-41B3-97D5-98D72DCEDB8A}]
2007-04-04 19:20 14467 --a------ C:\WINDOWS\system32\kbdcz32.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 13:00 15360]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" [2006-07-11 11:15 3144800]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AVG7_CC"="C:\PROGRA~1\Grisoft\AVG7\avgcc.exe" [2007-12-21 16:08 579072]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-10-22 11:22 7700480]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 13:00 15360]
"AVG7_Run"="C:\PROGRA~1\Grisoft\AVG7\avgw.exe" [2007-10-25 14:58 219136]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^VIA RAID TOOL.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\VIA RAID TOOL.lnk
backup=C:\WINDOWS\pss\VIA RAID TOOL.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Gordon^Startmenü^Programme^Autostart^ubisoft register.lnk]
path=C:\Dokumente und Einstellungen\Gordon\Startmenü\Programme\Autostart\ubisoft register.lnk
backup=C:\WINDOWS\pss\ubisoft register.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2007-10-10 19:51 39792 H:\Adobe\Reader\Reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
--a------ 2004-08-04 13:00 15360 C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
--a------ 2007-04-03 23:29 165784 I:\DAEMON Tools\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]
--a------ 2006-10-26 23:47 31016 C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LanguageShortcut]
C:\Programme\CyberLink\PowerDVD\Language\Language.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
--a------ 2007-01-19 11:55 5674352 C:\Programme\MSN Messenger\MsnMsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
--a------ 2006-10-22 11:22 7700480 C:\WINDOWS\system32\NvCpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
--a------ 2006-10-22 11:22 86016 C:\WINDOWS\system32\NvMcTray.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
--a------ 2006-10-22 11:22 1622016 C:\WINDOWS\system32\nwiz.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Orb]
--a------ 2007-10-23 01:47 360448 C:\Programme\Winamp Remote\bin\OrbTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SparVoip]
--a------ 2008-01-13 10:05 8889648 C:\Programme\SparVoip\SparVoip.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
i:\spiele\valve\steam\steam.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2007-09-25 01:11 132496 C:\Programme\Java\jre1.6.0_03\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SysExplr]
--------- 2007-12-22 20:24 64512 C:\HEROSOFT\Hero3000\SysExplr.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
--a------ 2007-11-03 20:47 185632 C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"Prime95 Service"=2 (0x2)

R0 viasraid;viasraid;C:\WINDOWS\system32\DRIVERS\viasraid.sys [2003-10-31 04:22]
R3 WinDriver6;WinDriver6;C:\WINDOWS\system32\drivers\windrvr6.sys [2006-10-16 11:19]
S3 DLPortIO;DriverLINX Port I/O Driver;C:\WINDOWS\system32\DRIVERS\DLPortIO.SYS [2000-06-29 14:24]
S3 SaiH0006;SaiH0006;C:\WINDOWS\system32\DRIVERS\SaiH0006.sys [2004-07-26 11:54]

*Newly Created Service* - PROCEXP90
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-14 22:30:17
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-01-14 22:30:52
ComboFix2.txt 2008-01-14 14:58:31
.
2008-01-12 19:16:54 --- E O F ---

BataAlexander · 15.01.2008, 13:11

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Quotebox in das Notepad Fenster ein.

Zitat:

File::
C:\WINDOWS\system32\kbdcz32.dll

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{33E860CC-897F-41B3-97D5-98D72DCEDB8A}]

3. Speichere im Notepad als CFScript.txt auf dem Dektop.

4. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

5. Nach dem Neustart (es wird gefrat ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt
Poste ein neues HijackThis log.

gordonbrie · 15.01.2008, 18:26

also ich hab ja selbst schon mal gegukt, im hijackthislogfile ist der eintrag nicht mehr zu finden heißt das er wurde erfolgreich gekillt ?

Logfile of HijackThis v1.99.1
Scan saved at 18:22:52, on 15.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Dokumente und Einstellungen\Gordon\Desktop\hijackthis_199\haijagsis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Heroplayer Online - C:\HEROSOFT\Hero3000\MPURLGET.HTM
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: hero player - {367E0A21-8601-4986-9C9A-153BF5ACA118} - C:\HEROSOFT\Hero3000\MPLAYER.EXE
O9 - Extra 'Tools' menuitem: hero player - {367E0A21-8601-4986-9C9A-153BF5ACA118} - C:\HEROSOFT\Hero3000\MPLAYER.EXE
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

______________________________________________________________

ComboFix 08-01-14.4 - Gordon 2008-01-15 18:16:51.3 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1394 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Gordon\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Gordon\Desktop\CFScript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

FILE
C:\WINDOWS\system32\kbdcz32.dll
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\kbdcz32.dll

.
((((((((((((((((((((((( Dateien erstellt von 2007-12-15 bis 2008-01-15 ))))))))))))))))))))))))))))))
.

2008-01-14 15:54 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-13 23:59 . 2008-01-13 23:59 <DIR> d-------- C:\WINDOWS\system32\LogFiles
2008-01-13 23:53 . 2008-01-14 00:14 <DIR> d-------- C:\Programme\Microsoft Bootvis
2008-01-13 23:09 . 2008-01-13 23:09 <DIR> d-------- C:\WINDOWS\OPTIONS
2008-01-13 23:09 . 2002-06-13 11:37 45,568 --a------ C:\WINDOWS\system32\drivers\R8139n51.sys
2008-01-13 17:03 . 2008-01-13 17:03 0 --a------ C:\WINDOWS\winstart.bat
2008-01-12 19:55 . 2004-08-04 00:57 116,736 --a--c--- C:\WINDOWS\system32\dllcache\xrxwiadr.dll
2008-01-12 19:55 . 2001-08-18 04:55 99,865 --a--c--- C:\WINDOWS\system32\dllcache\xlog.exe
2008-01-12 19:55 . 2001-08-18 04:55 27,648 --a--c--- C:\WINDOWS\system32\dllcache\xrxftplt.exe
2008-01-12 19:55 . 2001-08-18 04:54 23,040 --a--c--- C:\WINDOWS\system32\dllcache\xrxwbtmp.dll
2008-01-12 19:55 . 2004-08-03 22:29 19,455 --a--c--- C:\WINDOWS\system32\dllcache\wvchntxx.sys
2008-01-12 19:55 . 2001-08-18 04:54 17,920 --a--c--- C:\WINDOWS\system32\dllcache\xrxscnui.dll
2008-01-12 19:55 . 2001-08-17 12:11 16,970 --a--c--- C:\WINDOWS\system32\dllcache\xem336n5.sys
2008-01-12 19:55 . 2004-08-03 22:29 12,063 --a--c--- C:\WINDOWS\system32\dllcache\wsiintxx.sys
2008-01-12 19:55 . 2004-08-04 00:57 8,192 --a--c--- C:\WINDOWS\system32\dllcache\wshirda.dll
2008-01-12 19:55 . 2001-08-18 04:55 4,608 --a--c--- C:\WINDOWS\system32\dllcache\xrxflnch.exe
2008-01-12 19:54 . 2001-08-17 13:28 771,581 --a--c--- C:\WINDOWS\system32\dllcache\winacisa.sys
2008-01-12 19:54 . 2001-08-17 13:28 701,386 --a--c--- C:\WINDOWS\system32\dllcache\wdhaalba.sys
2008-01-12 19:54 . 2004-08-03 22:31 154,624 --a--c--- C:\WINDOWS\system32\dllcache\wlluc48.sys
2008-01-12 19:54 . 2001-08-18 04:54 87,040 --a--c--- C:\WINDOWS\system32\dllcache\wiafbdrv.dll
2008-01-12 19:54 . 2001-08-18 04:54 54,272 --a--c--- C:\WINDOWS\system32\dllcache\wiamsmud.dll
2008-01-12 19:54 . 2001-08-17 12:10 35,871 --a--c--- C:\WINDOWS\system32\dllcache\wbfirdma.sys
2008-01-12 19:54 . 2001-08-18 04:24 35,402 --a--c--- C:\WINDOWS\system32\dllcache\wlandrv2.sys
2008-01-12 19:54 . 2004-08-04 00:45 32,000 --a--c--- C:\WINDOWS\system32\dllcache\wceusbsh.sys
2008-01-12 19:54 . 2004-08-03 22:29 23,615 --a--c--- C:\WINDOWS\system32\dllcache\wch7xxnt.sys
2008-01-12 19:54 . 2004-08-03 23:07 8,832 --a--c--- C:\WINDOWS\system32\dllcache\wmiacpi.sys
2008-01-12 19:52 . 2001-08-17 13:28 794,654 --a--c--- C:\WINDOWS\system32\dllcache\usr1801.sys
2008-01-12 19:51 . 2001-08-18 04:54 525,568 --a--c--- C:\WINDOWS\system32\dllcache\tridxp.dll
2008-01-12 19:50 . 2001-08-17 14:01 241,664 --a--c--- C:\WINDOWS\system32\dllcache\tosdvd02.sys
2008-01-12 19:49 . 2001-08-18 04:18 287,232 --a--c--- C:\WINDOWS\system32\dllcache\stlnata.sys
2008-01-12 19:48 . 2001-08-18 04:54 114,688 --a--c--- C:\WINDOWS\system32\dllcache\sonypi.dll
2008-01-12 19:47 . 2004-08-03 22:41 404,990 --a--c--- C:\WINDOWS\system32\dllcache\slntamr.sys
2008-01-12 19:46 . 2001-08-18 04:52 386,560 --a--c--- C:\WINDOWS\system32\dllcache\sgiul50.dll
2008-01-12 19:45 . 2001-08-18 04:54 495,616 --a--c--- C:\WINDOWS\system32\dllcache\sblfx.dll
2008-01-12 19:44 . 2004-08-04 00:57 397,056 --a--c--- C:\WINDOWS\system32\dllcache\s3gnb.dll
2008-01-12 19:43 . 2001-08-18 04:33 899,658 --a--c--- C:\WINDOWS\system32\dllcache\r2mdkxga.sys
2008-01-12 19:43 . 2001-08-18 04:33 715,242 --a--c--- C:\WINDOWS\system32\dllcache\r2mdmkxx.sys
2008-01-12 19:43 . 2001-08-18 04:54 86,097 --a--c--- C:\WINDOWS\system32\dllcache\reslog32.dll
2008-01-12 19:43 . 2004-08-03 23:10 59,648 --a--c--- C:\WINDOWS\system32\dllcache\rfcomm.sys
2008-01-12 19:43 . 2001-08-18 04:54 41,472 --a--c--- C:\WINDOWS\system32\dllcache\qvusd.dll
2008-01-12 19:43 . 2001-08-17 13:51 19,584 --a--c--- C:\WINDOWS\system32\dllcache\rasirda.sys
2008-01-12 19:43 . 2004-08-03 22:41 13,776 --a--c--- C:\WINDOWS\system32\dllcache\recagent.sys
2008-01-12 19:43 . 2001-08-17 13:53 3,328 --a--c--- C:\WINDOWS\system32\dllcache\qv2kux.sys
2008-01-12 19:41 . 2004-08-04 00:55 259,328 --a--c--- C:\WINDOWS\system32\dllcache\perm3dd.dll
2008-01-12 19:40 . 2001-08-17 14:05 351,616 --a--c--- C:\WINDOWS\system32\dllcache\ovcodek2.sys
2008-01-12 19:39 . 2001-08-17 12:50 198,144 --a--c--- C:\WINDOWS\system32\dllcache\nv3.sys
2008-01-12 19:39 . 2004-08-03 22:41 180,360 --a--c--- C:\WINDOWS\system32\dllcache\ntmtlfax.sys
2008-01-12 19:39 . 2001-08-18 04:52 123,776 --a--c--- C:\WINDOWS\system32\dllcache\nv3.dll
2008-01-12 19:39 . 2004-08-03 23:10 61,056 --a--c--- C:\WINDOWS\system32\dllcache\ohci1394.sys
2008-01-12 19:39 . 2001-08-17 12:20 54,528 --a--c--- C:\WINDOWS\system32\dllcache\opl3sax.sys
2008-01-12 19:39 . 2001-08-17 12:49 51,552 --a--c--- C:\WINDOWS\system32\dllcache\ntgrip.sys
2008-01-12 19:39 . 2001-08-17 12:12 27,209 --a--c--- C:\WINDOWS\system32\dllcache\otc06x5.sys
2008-01-12 19:37 . 2004-08-04 00:57 1,737,856 --a--c--- C:\WINDOWS\system32\dllcache\mtxparhd.dll
2008-01-12 19:36 . 2004-08-03 23:10 49,024 --a--c--- C:\WINDOWS\system32\dllcache\mstape.sys
2008-01-12 19:36 . 2004-08-03 23:00 22,016 --a--c--- C:\WINDOWS\system32\dllcache\msircomm.sys
2008-01-12 19:36 . 2001-08-17 13:48 12,416 --a--c--- C:\WINDOWS\system32\dllcache\msriffwv.sys
2008-01-12 19:36 . 2001-08-17 14:00 2,944 --a--c--- C:\WINDOWS\system32\dllcache\msmpu401.sys
2008-01-12 19:35 . 2004-08-04 00:58 56,832 --a--c--- C:\WINDOWS\system32\dllcache\msdvbnp.ax
2008-01-12 19:35 . 2004-08-03 23:10 51,328 --a--c--- C:\WINDOWS\system32\dllcache\msdv.sys
2008-01-12 19:35 . 2001-08-17 14:02 35,200 --a--c--- C:\WINDOWS\system32\dllcache\msgame.sys
2008-01-12 19:35 . 2001-08-17 13:52 17,280 --a--c--- C:\WINDOWS\system32\dllcache\mraid35x.sys
2008-01-12 19:35 . 2004-08-03 23:10 15,360 --a--c--- C:\WINDOWS\system32\dllcache\mpe.sys
2008-01-12 19:35 . 2001-08-18 04:22 12,288 --a--c--- C:\WINDOWS\system32\dllcache\mouhid.sys
2008-01-12 19:35 . 2001-08-17 13:48 6,016 --a--c--- C:\WINDOWS\system32\dllcache\msfsio.sys
2008-01-12 19:33 . 2001-08-18 04:20 728,298 --a--c--- C:\WINDOWS\system32\dllcache\ltck000c.sys
2008-01-12 19:32 . 2004-08-04 00:58 154,112 --a--c--- C:\WINDOWS\system32\dllcache\irftp.exe
2008-01-12 19:31 . 2001-08-18 04:53 372,824 --a--c--- C:\WINDOWS\system32\dllcache\iconf32.dll
2008-01-12 19:30 . 2004-08-03 22:41 1,041,536 --a--c--- C:\WINDOWS\system32\dllcache\hsfdpsp2.sys
2008-01-12 19:29 . 2001-08-18 04:53 324,608 --a--c--- C:\WINDOWS\system32\dllcache\hpojwia.dll
2008-01-12 19:28 . 2001-08-18 04:52 1,733,120 --a--c--- C:\WINDOWS\system32\dllcache\g400d.dll
2008-01-12 19:27 . 2001-08-18 04:31 595,999 --a--c--- C:\WINDOWS\system32\dllcache\es56cvmp.sys
2008-01-12 19:26 . 2001-08-18 04:30 634,198 --a--c--- C:\WINDOWS\system32\dllcache\el656ct5.sys
2008-01-12 19:25 . 2001-08-17 12:14 952,007 --a--c--- C:\WINDOWS\system32\dllcache\diwan.sys
2008-01-12 19:24 . 2004-08-04 00:57 252,928 --a--c--- C:\WINDOWS\system32\dllcache\ctmasetp.dll
2008-01-12 19:23 . 2001-08-18 04:22 980,034 --a--c--- C:\WINDOWS\system32\dllcache\cicap.sys
2008-01-12 19:22 . 2001-08-17 13:28 871,388 --a--c--- C:\WINDOWS\system32\dllcache\bcmdm.sys
2008-01-12 19:21 . 2004-08-04 00:57 1,888,992 --a--c--- C:\WINDOWS\system32\dllcache\ati3duag.dll
2008-01-12 19:20 . 2001-08-17 13:28 762,780 --a--c--- C:\WINDOWS\system32\dllcache\3cwmcru.sys
2008-01-12 17:58 . 2008-01-12 17:58 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-01-12 17:18 . 2008-01-13 10:52 <DIR> d-------- C:\Programme\SparVoip
2008-01-12 16:52 . 2008-01-12 16:52 <DIR> d-------- C:\Programme\Lavasoft
2008-01-12 15:35 . 2008-01-12 18:00 <DIR> d-------- C:\Programme\Purgatio Pro
2008-01-12 12:03 . 2008-01-12 17:58 <DIR> d-------- C:\Programme\RegCleaner
2008-01-03 11:14 . 2008-01-12 17:34 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-01-03 11:09 . 2008-01-12 18:17 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2007-12-28 10:38 . 2007-12-28 10:38 <DIR> d-------- C:\Programme\uTorrent
2007-12-28 10:37 . 2008-01-12 18:14 <DIR> d-------- C:\Dokumente und Einstellungen\Gordon\Anwendungsdaten\uTorrent
2007-12-25 11:43 . 2007-12-25 11:43 <DIR> d-------- C:\Programme\Digital Guitar Tuner 2.3
2007-12-25 11:30 . 2007-12-25 11:32 <DIR> d-------- C:\WINDOWS\uninstall\ComTuneDemo
2007-12-25 11:30 . 2007-12-25 11:30 <DIR> d-------- C:\WINDOWS\uninstall
2007-12-25 11:30 . 2007-12-25 11:32 <DIR> d-------- C:\Programme\ComTuneDemo
2007-12-25 11:28 . 2007-12-25 11:28 <DIR> d-------- C:\Programme\Guitar-Online Tools
2007-12-25 01:27 . 2007-12-25 01:27 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Azureus
2007-12-25 01:25 . 2008-01-12 15:54 <DIR> d-------- C:\Dokumente und Einstellungen\Gordon\Anwendungsdaten\Azureus
2007-12-25 01:24 . 2007-12-25 01:24 <DIR> d-------- C:\Programme\Java
2007-12-25 01:24 . 2007-12-25 01:24 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Java
2007-12-25 01:24 . 2007-09-24 23:31 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl
2007-12-25 01:20 . 2008-01-13 02:10 <DIR> d-------- C:\Programme\Azureus
2007-12-25 01:11 . 2007-12-25 01:11 <DIR> d-------- C:\My Shared Folder
2007-12-25 01:11 . 2007-12-25 01:11 <DIR> d-------- C:\Dokumente und Einstellungen\Gordon\Anwendungsdaten\Kazaa Lite

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-13 22:09 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-01-13 15:32 --------- d-----w C:\Dokumente und Einstellungen\Gordon\Anwendungsdaten\AVG7
2008-01-13 09:06 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\avg7
2008-01-13 09:05 --------- d-----w C:\Dokumente und Einstellungen\Gordon\Anwendungsdaten\SparVoip
2008-01-13 08:59 --------- d-----w C:\Programme\Google
2008-01-13 01:28 --------- d-----w C:\Dokumente und Einstellungen\Gordon\Anwendungsdaten\My Games
2008-01-13 01:26 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-01-12 17:16 12,632 ----a-w C:\WINDOWS\system32\lsdelete.exe
2008-01-12 17:14 --------- d-----w C:\Dokumente und Einstellungen\Gordon\Anwendungsdaten\Skype
2007-12-28 09:30 --------- d-----w C:\Dokumente und Einstellungen\Gordon\Anwendungsdaten\Xenorate
2007-12-22 19:08 --------- d-----w C:\Programme\CyberLink
2007-11-07 09:27 729,600 ----a-w C:\WINDOWS\system32\lsasrv.dll
2007-11-07 09:27 729,600 ----a-w C:\WINDOWS\system32\lsasrv(2)(2).dll
2007-10-29 22:42 1,293,312 ----a-w C:\WINDOWS\system32\quartz.dll
2007-10-20 05:01 227,328 ----a-w C:\WINDOWS\system32\wmasf.dll
.

((((((((((((((((((((((((((((( snapshot@2008-01-14_15.58.00,84 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-01-14 14:55:28 229,376 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000001\NTUSER.DAT
+ 2008-01-15 17:16:38 229,376 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000001\NTUSER.DAT
- 2008-01-14 14:55:29 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000002\UsrClass.dat
+ 2008-01-15 17:16:38 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000002\UsrClass.dat
- 2008-01-14 14:55:29 233,472 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000003\NTUSER.DAT
+ 2008-01-15 17:16:38 233,472 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000003\NTUSER.DAT
- 2008-01-14 14:55:29 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000004\UsrClass.dat
+ 2008-01-15 17:16:38 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000004\UsrClass.dat
- 2008-01-14 14:55:30 4,239,360 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000005\ntuser.dat
+ 2008-01-15 17:16:38 4,239,360 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000005\ntuser.dat
- 2008-01-14 14:55:30 593,920 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000006\UsrClass.dat
+ 2008-01-15 17:16:38 593,920 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000006\UsrClass.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 13:00 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AVG7_CC"="C:\PROGRA~1\Grisoft\AVG7\avgcc.exe" [2007-12-21 16:08 579072]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-10-22 11:22 7700480]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 13:00 15360]
"AVG7_Run"="C:\PROGRA~1\Grisoft\AVG7\avgw.exe" [2007-10-25 14:58 219136]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^VIA RAID TOOL.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\VIA RAID TOOL.lnk
backup=C:\WINDOWS\pss\VIA RAID TOOL.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Gordon^Startmenü^Programme^Autostart^ubisoft register.lnk]
path=C:\Dokumente und Einstellungen\Gordon\Startmenü\Programme\Autostart\ubisoft register.lnk
backup=C:\WINDOWS\pss\ubisoft register.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2007-10-10 19:51 39792 H:\Adobe\Reader\Reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
--a------ 2004-08-04 13:00 15360 C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
--a------ 2007-04-03 23:29 165784 I:\DAEMON Tools\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]
--a------ 2006-10-26 23:47 31016 C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LanguageShortcut]
C:\Programme\CyberLink\PowerDVD\Language\Language.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
--a------ 2007-01-19 11:55 5674352 C:\Programme\MSN Messenger\MsnMsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
--a------ 2006-10-22 11:22 7700480 C:\WINDOWS\system32\NvCpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
--a------ 2006-10-22 11:22 86016 C:\WINDOWS\system32\NvMcTray.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
--a------ 2006-10-22 11:22 1622016 C:\WINDOWS\system32\nwiz.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Orb]
--a------ 2007-10-23 01:47 360448 C:\Programme\Winamp Remote\bin\OrbTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SparVoip]
--a------ 2008-01-13 10:05 8889648 C:\Programme\SparVoip\SparVoip.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
i:\spiele\valve\steam\steam.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2007-09-25 01:11 132496 C:\Programme\Java\jre1.6.0_03\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SysExplr]
--------- 2007-12-22 20:24 64512 C:\HEROSOFT\Hero3000\SysExplr.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
--a------ 2007-11-03 20:47 185632 C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"Prime95 Service"=2 (0x2)

R0 viasraid;viasraid;C:\WINDOWS\system32\DRIVERS\viasraid.sys [2003-10-31 04:22]
R3 WinDriver6;WinDriver6;C:\WINDOWS\system32\drivers\windrvr6.sys [2006-10-16 11:19]
S3 DLPortIO;DriverLINX Port I/O Driver;C:\WINDOWS\system32\DRIVERS\DLPortIO.SYS [2000-06-29 14:24]
S3 SaiH0006;SaiH0006;C:\WINDOWS\system32\DRIVERS\SaiH0006.sys [2004-07-26 11:54]

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-15 18:18:57
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-01-15 18:19:34
ComboFix-quarantined-files.txt 2008-01-15 17:19:18
ComboFix2.txt 2008-01-14 21:30:53
ComboFix3.txt 2008-01-14 14:58:31
.
2008-01-12 19:16:54 --- E O F ---

BataAlexander · 15.01.2008, 18:52

Das Log sieht sauber aus.

gordonbrie · 16.01.2008, 00:03

klasse super DANKE dir

BataAlexander · 16.01.2008, 13:56

Um Dein System vor zukünfigen Infektionen zu schützen, lies bitte das folgende aufmerksam.

Das folgende ist eine Sammlung von Tools und Hilfsmitteln. Diese helfen Dir zu verstehen, wie Du infiziert wurdest und wie Du Dich in Zunkunft davor schützen kannst.

Spybot Search & Destroy - Ein gutes Tool , welches bösartige Software sucht und unschädlich macht. Bei der Installation darauf achten den Tea Timer & SD Helper nicht zu aktivieren!

AdAware - Ein weiteres "Multi Tool" welches nach bösen Einträgen sucht und diese beseitigt. AdAware und Spybot Search & Destroy vertragen sich bisher noch gut auf einem System.

Nutze standardmäßig einen alternativen Browser, wie zb Firefox oder Opera
Der Internet Explorer sollte nur für das Windows- Officeupdate benutzt werden.
Eine Alternative zu Outlook ist zb Thunderbird, Eudora

Plugins für Mozilla härten diesen zudem noch.
- NoScript Plugin, welches das ausführen von Scripten blockiert.
- Flashblock Plugin, welches das Laden von Flash Filmen verhindert (auch ideal zum surfen via Schmalband geeignet)

Miranda-IM - Die ist ein Malware freier, Open Source Instant Messenger welcher mit den Protokollen von AOL, Yahoo, ICQ, IRC, MSN zusammenarbeitet.
Ein weiterer ist PidGin

CCleaner Download - ist eine Freeware-Software zur Optimierung und zum Aufräumen von Windows.

Hier findest Du eine Sammlung(Englisch) von falschen Antivirenprogrammen. Diese Liste ist nicht immer upToDate. Bei Unklarheiten im Forum vor einer Installation nachfragen.

Vorsichtig bleiben. Lade keine Software von dir komplett unbekannten Seiten (zb goldencodecs.com, morefreesoftware.com etc namen ausgedacht, kein zusammenhang mit evtl real existierenden Seiten) und benutze kein p2p um an Software (oder sonst was) zu kommen. Bist du unsicher, ob das geladene Programm sauber ist, dann lade den Installer zb bei virustotal hoch und lass ihn dort überprüfen.
Die meisten Crack/Keylogger/Entsprechende Seiten nehmen im Hintergrund Änderungen am System vor, beinflussen es, oder Installieren Schadsoftware

Keine unbekannten Dateien annehmen und öffnen, weder per Mail noch per MSN/ICQ/Instant Messenger. Auch von Freunden unverlangt erhaltene Dateien immer kritisch nachragen.

Wenn eine Seite dubios aussieht und versucht Dateien auf deinem Rechner zu installieren (sei es zum Video abspielen oder sonstwas), dann vertrau deinem Gefühl und verschwinde.

Überprüfe dein System bei Bedarf mit einem On-Demandscanner um eventuelle Befälle aufzuspüren.

Windows Update - Es ist sehr wichtig sicher zu sein das Internet Explorer und Windows mit allen aktuellen Patches von Microsoft versorgt sind. Um dies zu prüfen öffne den Internet Explorer, wähle Extras und dort Windows Update, und folge den Anweisungen.

Generell gilt: Halte immer alle Anwendung auf einem akutellem Stand!

15.01.2008, 18:52	#9
BataAlexander > MalwareDB	dropper.agent.bmh nicht killbar Das Log sieht sauber aus.

dropper.agent.bmh nicht killbar

Log-Analyse und Auswertung: dropper.agent.bmh nicht killbar