Teste C:\WINDOWS\system32\nvdia.exe bitte bei virustotal.com und poste das gesamte Ergebniss.

Zitat:

Zitat von raman

Teste C:\WINDOWS\system32\nvdia.exe bitte bei virustotal.com und poste das gesamte Ergebniss.

Danke für die schnelle Antwort,
Immer wenn ich C:\WINDOWS\system32\nvdia.exe testen will, kommt der Text : 0 bytes size received / Se ha recibido un archivo vacio!!

danke im vorraus

Erstelle bitte einmal ein Combofix Report:
Downloade es von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichere es auf den Desktop
Danach schliesse alle Fenster, deaktiviere alle Hintergrundwaechter (AV und z.B. Spybots Tea-Timer) starte die combofix.exe, lies die Informationen auf den auftauchenden Fenstern und beantworte sie danach mit Ja.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Waehrend des Scans bitte nichts am Rechner unternehmen
Es kann moeglich sein, das der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinen Thread einfuegen.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Danke rama für die Antwort, hir ist der Report:

------------------------------
ComboFix 08-06-03.4 - Zu-Hause 2008-06-04 20:40:31.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1028 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Zu-Hause\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
* Resident AV is active


WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
ADS - WINDOWS: deleted 658141 bytes in 2 streams.

((((((((((((((((((((((( Dateien erstellt von 2008-05-04 bis 2008-06-04 ))))))))))))))))))))))))))))))
.

2008-06-04 15:35 . 2008-06-04 15:35 <DIR> d-------- C:\Programme\VirusTotalUploader
2008-06-03 21:35 . 2008-06-04 20:37 19,139 --a------ C:\WINDOWS\system32\nvdia
2008-06-03 21:31 . 2008-06-04 20:40 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-06-03 21:31 . 2008-06-03 21:31 749,568 --a------ C:\WINDOWS\system32\nvdia.exe
2008-06-03 20:21 . 2008-06-03 20:21 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab
2008-06-03 20:21 . 2008-06-03 20:21 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-06-03 17:44 . 2008-06-03 17:51 <DIR> d-------- C:\Programme\SUPERAntiSpyware
2008-06-03 17:44 . 2008-06-03 17:44 <DIR> d-------- C:\Dokumente und Einstellungen\Zu-Hause\Anwendungsdaten\SUPERAntiSpyware.com
2008-06-03 17:44 . 2008-06-03 17:44 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2008-05-31 03:10 . 2008-05-31 12:54 <DIR> d-------- C:\Programme\Crusaders Of Space 2
2008-05-31 02:59 . 2008-05-31 02:59 <DIR> d-------- C:\Dokumente und Einstellungen\Zu-Hause\Anwendungsdaten\AstroMenace
2008-05-31 02:22 . 2008-05-31 02:24 <DIR> d-------- C:\Programme\AstroAvenger
2008-05-31 00:36 . 2008-05-31 01:17 <DIR> d-------- C:\Programme\Alien Stars
2008-05-31 00:09 . 2008-05-31 00:09 <DIR> d-------- C:\Programme\ReflexiveArcade
2008-05-31 00:09 . 2008-05-31 00:36 <DIR> d-------- C:\Programme\Alien Sky
2008-05-27 00:11 . 2008-06-01 15:06 <DIR> d-------- C:\Dokumente und Einstellungen\Zu-Hause\Anwendungsdaten\Image Zone Express
2008-05-09 17:55 . 2008-05-09 17:55 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\nView_Profiles
2008-05-06 20:37 . 2008-05-06 20:37 221 --a------ C:\WINDOWS\NCLogConfig.ini
2008-05-06 20:24 . 2008-05-06 20:24 <DIR> d-------- C:\WINDOWS\nview
2008-05-06 20:24 . 2007-12-05 01:41 356,352 --a------ C:\WINDOWS\system32\nvudisp.exe
2008-05-06 20:24 . 2008-05-27 18:11 163,353 --a------ C:\WINDOWS\system32\nvapps.xml
2008-05-06 20:24 . 2007-12-05 01:41 17,737 --a------ C:\WINDOWS\system32\nvdisp.nvu
2008-05-06 20:22 . 2007-12-05 02:53 356,352 --a------ C:\WINDOWS\system32\NVUNINST.EXE
2008-05-06 20:21 . 2008-05-06 20:21 <DIR> d-------- C:\NVIDIA
2008-05-06 19:00 . 2008-05-06 19:00 60,416 --a------ C:\WINDOWS\ALCFDRTM.VER
2008-05-06 19:00 . 2008-05-06 19:00 60,416 --a------ C:\WINDOWS\ALCFDRTM.EXE
2008-05-05 20:16 . 2008-05-05 20:26 <DIR> d-------- C:\Programme\NVIDIA Corporation
2008-05-05 20:16 . 2008-05-05 20:26 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NVIDIA Corporation
2008-05-05 20:16 . 2006-03-29 08:50 671,744 --a------ C:\WINDOWS\system32\DolbyHph.dll
2008-05-05 20:16 . 2006-03-29 08:51 60,416 --a------ C:\WINDOWS\system32\DSETUP.dll
2008-05-05 20:16 . 2006-03-29 08:49 9,856 --a------ C:\WINDOWS\system32\drivers\pfc.sys
2008-05-05 19:40 . 2006-08-01 13:10 16,049,664 -ra------ C:\WINDOWS\RTHDCPL.EXE
2008-05-05 19:40 . 2006-05-04 10:35 9,709,568 -ra------ C:\WINDOWS\RTLCPL.EXE
2008-05-05 19:40 . 2006-05-16 12:04 2,879,488 -ra------ C:\WINDOWS\SkyTel.exe
2008-05-05 19:40 . 2006-05-04 10:26 2,808,832 -ra------ C:\WINDOWS\ALCWZRD.EXE
2008-05-05 19:40 . 2006-06-28 08:00 2,158,592 -ra------ C:\WINDOWS\MicCal.exe
2008-05-05 19:40 . 2006-03-09 11:45 364,544 -ra------ C:\WINDOWS\RtlUpd.exe
2008-05-05 19:40 . 2006-01-10 07:58 266,240 -ra------ C:\WINDOWS\system32\RTSndMgr.CPL
2008-05-05 19:40 . 2005-05-03 12:43 69,632 -ra------ C:\WINDOWS\ALCMTR.EXE
2008-05-05 19:39 . 2006-08-01 13:07 4,356,608 -ra------ C:\WINDOWS\system32\drivers\RtkHDAud.sys
2008-05-05 19:29 . 2008-05-05 19:29 <DIR> d-------- C:\Programme\Realtek AC97
2008-05-05 19:29 . 2006-12-08 15:20 10,528,768 --a------ C:\WINDOWS\system32\RTLCPL.exe
2008-05-05 19:29 . 2008-01-24 16:36 4,127,488 -ra------ C:\WINDOWS\system32\drivers\alcxwdm.sys
2008-05-05 19:29 . 2006-07-31 11:19 315,392 --a------ C:\WINDOWS\alcupd.exe
2008-05-05 19:29 . 2005-09-21 04:25 299,008 -ra------ C:\WINDOWS\system32\ALSNDMGR.CPL
2008-05-05 19:29 . 2006-07-31 11:27 217,088 --a------ C:\WINDOWS\alcrmv.exe
2008-05-05 19:29 . 2002-02-05 13:54 141,016 --a------ C:\WINDOWS\system32\alsndmgr.wav
2008-05-05 19:29 . 2006-07-21 10:14 86,016 -ra------ C:\WINDOWS\SOUNDMAN.EXE
2008-05-05 19:29 . 2006-08-01 15:02 49,152 --a------ C:\WINDOWS\system32\ChCfg.exe
2008-05-04 18:23 . 2008-05-04 18:23 315,392 --a------ C:\WINDOWS\HideWin.exe
2008-05-04 15:34 . 2008-05-04 15:35 <DIR> d-------- C:\Dokumente und Einstellungen\Zu-Hause\Anwendungsdaten\ooVoo Details
2008-05-04 14:38 . 2008-05-04 14:41 <DIR> d-------- C:\Dokumente und Einstellungen\Zu-Hause\Anwendungsdaten\InternetCalls

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-04 18:57 81,984 ----a-w C:\WINDOWS\system32\bdod.bin
2008-06-04 11:18 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
2008-06-03 15:44 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-05-30 22:01 --------- d-----w C:\Programme\Star Defender 3
2008-05-29 15:55 --------- d-----w C:\Dokumente und Einstellungen\Zu-Hause\Anwendungsdaten\AdobeUM
2008-05-29 15:47 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-05-18 13:50 --------- d-----w C:\Programme\Star Defender 4
2008-05-15 15:07 --------- d-----w C:\Programme\TuneUp Utilities 2007
2008-05-14 15:12 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-05-09 10:53 --------- d-----w C:\Programme\Gemeinsame Dateien\logishrd
2008-05-08 18:12 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-05-06 18:37 --------- d-----w C:\Dokumente und Einstellungen\Zu-Hause\Anwendungsdaten\HP
2008-04-23 16:59 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AVM Web Client
2008-04-21 17:40 --------- d-----w C:\Programme\Microsoft Silverlight
2008-03-25 04:51 621,344 ----a-w C:\WINDOWS\system32\mswstr10.dll
2008-03-25 04:51 187,168 ----a-w C:\WINDOWS\system32\msjint40.dll
2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-10 14:00 15360]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 12:43 2097488]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-02-27 02:49 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="C:\WINDOWS\ehome\ehtray.exe" [2005-08-05 14:34 64512]
"LVCOMSX"="C:\WINDOWS\system32\LVCOMSX.EXE" [2005-12-09 16:32 225280]
"BDAgent"="C:\Programme\BitDefender\BitDefender 2008\bdagent.exe" [2008-03-17 13:45 360448]
"RTHDCPL"="RTHDCPL.EXE" [2006-08-01 13:10 16049664 C:\WINDOWS\RTHDCPL.EXE]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 01:41 8523776]
"nwiz"="nwiz.exe" [2007-12-05 01:41 1626112 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-12-05 01:41 81920]
"nvidia"="C:\WINDOWS\system32\nvdia.exe" [2008-06-03 21:31 749568]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"@"="" []

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-10 14:00 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"InstallVisualStyle"= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"= C:\WINDOWS\Resources\Themes\Royale.theme

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
C:\Programme\SUPERAntiSpyware\SASWINLO.dll 2007-02-27 11:39 282624 C:\Programme\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.YV12"= yv12vfw.dll
"msacm.dvacm"= C:\PROGRA~1\GEMEIN~1\ULEADS~1\Vio\Dvacm.acm
"msacm.MPEGacm"= C:\PROGRA~1\GEMEIN~1\ULEADS~1\MPEG\MPEGacm.acm
"msacm.ulmp3acm"= C:\PROGRA~1\GEMEIN~1\ULEADS~1\MPEG\ulmp3acm.acm

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel]
-ra------ 2006-05-16 12:04 2879488 C:\WINDOWS\SkyTel.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"443:UDP"= 443:UDP:*isabledoVoo UDP Port 443
"37674:TCP"= 37674:TCP:*isabledoVoo TCP Port 37674
"37674:UDP"= 37674:UDP:*isabledoVoo UDP Port 37674
"37675:UDP"= 37675:UDP:*isabledoVoo UDP Port 37675


[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bdx REG_MULTI_SZ scan

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

*Newly Created Service* - CATCHME

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{479DABA5-3FC5-D9BD-EE7E-1BC8AFC27BC8}]
C:\WINDOWS:unistallwin.exe

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{E8BC03EB-FD10-1F1D-B5C5-4866BF6BD21A}]
C:\WINDOWS\system32\nvdia.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-04 20:56:36
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
nvidia = C:\WINDOWS\system32\nvdia.exe????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????? ????????????????????????????????????????????????????????????????????????????????????????????????????????

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\bdfsfltr]
"ImagePath"=hex:73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,52,\

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\bdfsfltr]
"ImagePath"=hex:73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,52,\
.
Zeit der Fertigstellung: 2008-06-04 21:18:42
ComboFix-quarantined-files.txt 2008-06-04 19:16:21

9 Verzeichnis(se), 132,084,424,704 Bytes frei
13 Verzeichnis(se), 132,155,891,712 Bytes frei

177 --- E O F --- 2008-05-28 10:28:03
------------------------------------------------

Dann schauen wir mal

1. Starte Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code: Alles auswählenAufklappen

ATTFilter

collect::[49]
C:\WINDOWS\system32\nvdia.exe

filelook::
C:\WINDOWS\system32\ChCfg.exe

dirlook::
C:\QooBox\Quarantine\C\WINDOWS
         

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer!)

5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.



6. Nach dem Neustart (falls gefragt wird ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

7. Danach meldet sich Combofix mit der Meldung, das eine Datei zur Ueberpruefung verschickt werden muss. Bestaetige die Meldung und folge den Schritten, die dir im Internetexploerer angezeigt werden.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann

Danke RAMAN für die Antwort, ich habe alles gemacht was du mir gesagt hast, und hir ist der Report:

ComboFix 08-06-03.4 - Zu-Hause 2008-06-05 12:31:21.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1078 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Zu-Hause\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Zu-Hause\Desktop\CFScript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\nvdia.exe

.
((((((((((((((((((((((( Dateien erstellt von 2008-05-05 bis 2008-06-05 ))))))))))))))))))))))))))))))
.

2008-06-04 15:35 . 2008-06-04 15:35 <DIR> d-------- C:\Programme\VirusTotalUploader
2008-06-03 21:35 . 2008-06-05 12:15 26,868 --a------ C:\WINDOWS\system32\nvdia
2008-06-03 21:31 . 2008-06-05 12:31 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-06-03 20:21 . 2008-06-03 20:21 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab
2008-06-03 20:21 . 2008-06-03 20:21 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-06-03 17:44 . 2008-06-03 17:51 <DIR> d-------- C:\Programme\SUPERAntiSpyware
2008-06-03 17:44 . 2008-06-03 17:44 <DIR> d-------- C:\Dokumente und Einstellungen\Zu-Hause\Anwendungsdaten\SUPERAntiSpyware.com
2008-06-03 17:44 . 2008-06-03 17:44 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2008-05-31 03:10 . 2008-05-31 12:54 <DIR> d-------- C:\Programme\Crusaders Of Space 2
2008-05-31 02:59 . 2008-05-31 02:59 <DIR> d-------- C:\Dokumente und Einstellungen\Zu-Hause\Anwendungsdaten\AstroMenace
2008-05-31 02:22 . 2008-05-31 02:24 <DIR> d-------- C:\Programme\AstroAvenger
2008-05-31 00:36 . 2008-05-31 01:17 <DIR> d-------- C:\Programme\Alien Stars
2008-05-31 00:09 . 2008-05-31 00:09 <DIR> d-------- C:\Programme\ReflexiveArcade
2008-05-31 00:09 . 2008-05-31 00:36 <DIR> d-------- C:\Programme\Alien Sky
2008-05-27 00:11 . 2008-06-01 15:06 <DIR> d-------- C:\Dokumente und Einstellungen\Zu-Hause\Anwendungsdaten\Image Zone Express
2008-05-09 17:55 . 2008-05-09 17:55 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\nView_Profiles
2008-05-06 20:37 . 2008-05-06 20:37 221 --a------ C:\WINDOWS\NCLogConfig.ini
2008-05-06 20:24 . 2008-05-06 20:24 <DIR> d-------- C:\WINDOWS\nview
2008-05-06 20:24 . 2007-12-05 01:41 356,352 --a------ C:\WINDOWS\system32\nvudisp.exe
2008-05-06 20:24 . 2008-05-27 18:11 163,353 --a------ C:\WINDOWS\system32\nvapps.xml
2008-05-06 20:24 . 2007-12-05 01:41 17,737 --a------ C:\WINDOWS\system32\nvdisp.nvu
2008-05-06 20:22 . 2007-12-05 02:53 356,352 --a------ C:\WINDOWS\system32\NVUNINST.EXE
2008-05-06 20:21 . 2008-05-06 20:21 <DIR> d-------- C:\NVIDIA
2008-05-06 19:00 . 2008-05-06 19:00 60,416 --a------ C:\WINDOWS\ALCFDRTM.VER
2008-05-06 19:00 . 2008-05-06 19:00 60,416 --a------ C:\WINDOWS\ALCFDRTM.EXE
2008-05-05 20:16 . 2008-05-05 20:26 <DIR> d-------- C:\Programme\NVIDIA Corporation
2008-05-05 20:16 . 2008-05-05 20:26 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NVIDIA Corporation
2008-05-05 20:16 . 2006-03-29 08:50 671,744 --a------ C:\WINDOWS\system32\DolbyHph.dll
2008-05-05 20:16 . 2006-03-29 08:51 60,416 --a------ C:\WINDOWS\system32\DSETUP.dll
2008-05-05 20:16 . 2006-03-29 08:49 9,856 --a------ C:\WINDOWS\system32\drivers\pfc.sys
2008-05-05 19:40 . 2006-08-01 13:10 16,049,664 -ra------ C:\WINDOWS\RTHDCPL.EXE
2008-05-05 19:40 . 2006-05-04 10:35 9,709,568 -ra------ C:\WINDOWS\RTLCPL.EXE
2008-05-05 19:40 . 2006-05-16 12:04 2,879,488 -ra------ C:\WINDOWS\SkyTel.exe
2008-05-05 19:40 . 2006-05-04 10:26 2,808,832 -ra------ C:\WINDOWS\ALCWZRD.EXE
2008-05-05 19:40 . 2006-06-28 08:00 2,158,592 -ra------ C:\WINDOWS\MicCal.exe
2008-05-05 19:40 . 2006-03-09 11:45 364,544 -ra------ C:\WINDOWS\RtlUpd.exe
2008-05-05 19:40 . 2006-01-10 07:58 266,240 -ra------ C:\WINDOWS\system32\RTSndMgr.CPL
2008-05-05 19:40 . 2005-05-03 12:43 69,632 -ra------ C:\WINDOWS\ALCMTR.EXE
2008-05-05 19:39 . 2006-08-01 13:07 4,356,608 -ra------ C:\WINDOWS\system32\drivers\RtkHDAud.sys
2008-05-05 19:29 . 2008-05-05 19:29 <DIR> d-------- C:\Programme\Realtek AC97
2008-05-05 19:29 . 2006-12-08 15:20 10,528,768 --a------ C:\WINDOWS\system32\RTLCPL.exe
2008-05-05 19:29 . 2008-01-24 16:36 4,127,488 -ra------ C:\WINDOWS\system32\drivers\alcxwdm.sys
2008-05-05 19:29 . 2006-07-31 11:19 315,392 --a------ C:\WINDOWS\alcupd.exe
2008-05-05 19:29 . 2005-09-21 04:25 299,008 -ra------ C:\WINDOWS\system32\ALSNDMGR.CPL
2008-05-05 19:29 . 2006-07-31 11:27 217,088 --a------ C:\WINDOWS\alcrmv.exe
2008-05-05 19:29 . 2002-02-05 13:54 141,016 --a------ C:\WINDOWS\system32\alsndmgr.wav
2008-05-05 19:29 . 2006-07-21 10:14 86,016 -ra------ C:\WINDOWS\SOUNDMAN.EXE
2008-05-05 19:29 . 2006-08-01 15:02 49,152 --a------ C:\WINDOWS\system32\ChCfg.exe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-05 10:32 81,984 ----a-w C:\WINDOWS\system32\bdod.bin
2008-06-05 09:56 --------- d-----w C:\Programme\Google
2008-06-04 20:38 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
2008-06-03 15:44 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-05-30 22:01 --------- d-----w C:\Programme\Star Defender 3
2008-05-29 15:55 --------- d-----w C:\Dokumente und Einstellungen\Zu-Hause\Anwendungsdaten\AdobeUM
2008-05-29 15:47 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-05-18 13:50 --------- d-----w C:\Programme\Star Defender 4
2008-05-15 15:07 --------- d-----w C:\Programme\TuneUp Utilities 2007
2008-05-14 15:12 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-05-09 10:53 --------- d-----w C:\Programme\Gemeinsame Dateien\logishrd
2008-05-08 18:12 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-05-06 18:37 --------- d-----w C:\Dokumente und Einstellungen\Zu-Hause\Anwendungsdaten\HP
2008-05-04 16:23 315,392 ----a-w C:\WINDOWS\HideWin.exe
2008-05-04 13:35 --------- d-----w C:\Dokumente und Einstellungen\Zu-Hause\Anwendungsdaten\ooVoo Details
2008-05-04 12:41 --------- d-----w C:\Dokumente und Einstellungen\Zu-Hause\Anwendungsdaten\InternetCalls
2008-04-23 16:59 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AVM Web Client
2008-04-21 17:40 --------- d-----w C:\Programme\Microsoft Silverlight
2008-03-25 04:51 621,344 ----a-w C:\WINDOWS\system32\mswstr10.dll
2008-03-25 04:51 187,168 ----a-w C:\WINDOWS\system32\msjint40.dll
2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
.

(((((((((((((((((((((((((((((((((((((((((((( Look )))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\ChCfg.exe -- Unable to find Resource table header.
MD5: 43c3571eada5bc1edead7ca22ad66f30

---- Directory of C:\QooBox\Quarantine\C\WINDOWS ----

C:\QooBox\Quarantine\C\WINDOWS\


((((((((((((((((((((((((((((( snapshot@2008-06-04_21.08.12,43 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-06-04 17:26:26 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-06-05 09:56:26 2,048 --s-a-w C:\WINDOWS\bootstat.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-10 14:00 15360]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 12:43 2097488]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-02-27 02:49 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="C:\WINDOWS\ehome\ehtray.exe" [2005-08-05 14:34 64512]
"LVCOMSX"="C:\WINDOWS\system32\LVCOMSX.EXE" [2005-12-09 16:32 225280]
"BDAgent"="C:\Programme\BitDefender\BitDefender 2008\bdagent.exe" [2008-03-17 13:45 360448]
"RTHDCPL"="RTHDCPL.EXE" [2006-08-01 13:10 16049664 C:\WINDOWS\RTHDCPL.EXE]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 01:41 8523776]
"nwiz"="nwiz.exe" [2007-12-05 01:41 1626112 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-12-05 01:41 81920]
"nvidia"="C:\WINDOWS\system32\nvdia.exe" [ ]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-10 14:00 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"InstallVisualStyle"= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"= C:\WINDOWS\Resources\Themes\Royale.theme

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
C:\Programme\SUPERAntiSpyware\SASWINLO.dll 2007-02-27 11:39 282624 C:\Programme\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.YV12"= yv12vfw.dll
"msacm.dvacm"= C:\PROGRA~1\GEMEIN~1\ULEADS~1\Vio\Dvacm.acm
"msacm.MPEGacm"= C:\PROGRA~1\GEMEIN~1\ULEADS~1\MPEG\MPEGacm.acm
"msacm.ulmp3acm"= C:\PROGRA~1\GEMEIN~1\ULEADS~1\MPEG\ulmp3acm.acm

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel]
-ra------ 2006-05-16 12:04 2879488 C:\WINDOWS\SkyTel.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"443:UDP"= 443:UDP:*isabledoVoo UDP Port 443
"37674:TCP"= 37674:TCP:*isabledoVoo TCP Port 37674
"37674:UDP"= 37674:UDP:*isabledoVoo UDP Port 37674
"37675:UDP"= 37675:UDP:*isabledoVoo UDP Port 37675

R3 Bdfndisf;BitDefender Firewall NDIS Filter Service;C:\WINDOWS\system32\DRIVERS\bdfndisf.sys [2008-03-17 13:45]
S3 LVPrcMon;Logitech LVPrcMon Driver;C:\WINDOWS\system32\drivers\LVPrcMon.sys [2005-12-09 16:37]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bdx REG_MULTI_SZ scan

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp


[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{479DABA5-3FC5-D9BD-EE7E-1BC8AFC27BC8}]
C:\WINDOWS:unistallwin.exe

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{E8BC03EB-FD10-1F1D-B5C5-4866BF6BD21A}]
C:\WINDOWS\system32\nvdia.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-05 12:35:29
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
nvidia = C:\WINDOWS\system32\nvdia.exe????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????? ????????????????????????????????????????????????????????????????????????????????????????????????????????

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\bdfsfltr]
"ImagePath"=hex:73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,52,\

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\bdfsfltr]
"ImagePath"=hex:73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,52,\
.
Zeit der Fertigstellung: 2008-06-05 12:39:15
ComboFix-quarantined-files.txt 2008-06-05 10:39:03
ComboFix2.txt 2008-06-04 19:19:33

9 Verzeichnis(se), 132,206,968,832 Bytes frei
12 Verzeichnis(se), 132,266,287,104 Bytes frei

191 --- E O F --- 2008-05-28 10:28:03

Schau dir mit Notepad bitte einmal folgende Datei an und schaue, was du siehst:
C:\WINDOWS\system32\nvdia

Ist dort Text zu finden, oder beginnt die Datei mit MZ?

Sind deine 3 IEXPLORER.EXE Prozesse nun verschwunden?

Achso, die Datei war ein Backdoor/Banker!