Du hast Dein Windows drüberinstalliert, oder?

Zitat:

Zitat von BataAlexander

Du hast Dein Windows drüberinstalliert, oder?

Nein, hab ich noch nicht - deswegen bin ich ja auch so verwirrt...

Ich verstehe nur nicht, warum da noch Cache inhalte aus der vorherigen Installation sind und die HJT Logs ziemlich identisch sind.
Hast Du die Festplatte formatiert und dann Windows installiert?

Zitat:

Zitat von BataAlexander

Ich verstehe nur nicht, warum da noch Cache inhalte aus der vorherigen Installation sind und die HJT Logs ziemlich identisch sind.
Hast Du die Festplatte formatiert und dann Windows installiert?

Nein, noch nicht formatiert/installiert, daher die ähnlichen Ergebnisse. Aber halt nur ähnlich, ntos.exe scheint verschwunden zu sein. Hab heut morgen aus Neugier nochmal den McAfee Detective, McAfee selbst und HJT rüberlaufen lassen, und die Ergebnisse schauen so aus. Wenn die beiden die ntos.exe gefunden hätten, wäre ich schon am neuinstallieren, aber mit dem mysteriösem Verschwinden der Dateien hat mich das etwas aus der Bahn geworfen.

Dann führe mal Combofix wie beschrieben aus.

So, hier das ComboFix-log:

ComboFix 08-06-03.4 - Andreas 2008-06-05 11:58:38.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.256 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Andreas\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\bszip.dll
C:\WINDOWS\system32\setup.ini
C:\WINDOWS\system32\wsnpoem
C:\WINDOWS\system32\wsnpoem\audio.dll
C:\WINDOWS\system32\wsnpoem\audio.dll.cla
C:\WINDOWS\system32\wsnpoem\video.dll
C:\x.txt

.
((((((((((((((((((((((( Dateien erstellt von 2008-05-05 bis 2008-06-05 ))))))))))))))))))))))))))))))
.

2008-06-05 09:15 . 2008-06-05 09:15 30,720 --a------ C:\Logfile of HijackThis v1.doc
2008-06-05 09:15 . 2008-06-05 09:15 29,696 --a------ C:\Logfile of HijackThis v2.doc
2008-06-05 08:50 . 2008-06-05 08:50 2,335,270 --a------ C:\WINDOWS\system32\166111.mht
2008-06-04 21:44 . 2008-06-04 21:44 <DIR> d-------- C:\System
2008-06-04 21:43 . 2008-06-04 21:43 <DIR> d-------- C:\Net
2008-06-04 21:39 . 2008-06-04 21:43 <DIR> d-------- C:\Programme\Double Driver
2008-06-02 20:28 . 2008-06-02 20:28 40,960 --a------ C:\Schlecker.doc
2008-06-01 18:48 . 2008-06-01 18:48 28,672 --a------ C:\WINDOWS\system32\cryptonet.dll
2008-05-31 19:38 . 2008-06-01 19:10 <DIR> d-------- C:\Programme\Milupa-Fotobuch
2008-05-29 15:14 . 2008-05-29 15:14 <DIR> d-------- C:\Programme\AGFEO
2008-05-28 10:52 . 2008-05-28 11:06 14,336 --a------ C:\Mappe1.xls
2008-05-20 21:39 . 2008-05-20 21:39 736,096 --a------ C:\woerterliste.pdf
2008-05-18 10:08 . 2008-05-18 10:08 254,534 --a------ C:\Neues Dokument 1.pdf
2008-05-18 09:59 . 2008-05-18 09:59 <DIR> d-------- C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\Inkscape
2008-05-16 19:37 . 2007-12-01 11:32 33,832 --a------ C:\WINDOWS\system32\drivers\MfeRKDK.sys
2008-05-15 18:29 . 2008-05-15 18:29 471,552 --a------ C:\Dok1.doc

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-05 08:32 --------- d-----w C:\Programme\StarMoney 5.0 S-Edition
2008-06-05 06:46 --------- d-----w C:\Programme\Mozilla Thunderbird
2008-06-04 16:32 --------- d-----w C:\Programme\smr
2008-05-29 19:23 --------- d-----w C:\Programme\ASK
2008-04-21 18:47 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ElsterFormular
2008-04-21 18:46 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-04-21 18:46 --------- d-----w C:\Programme\ElsterFormular
2008-04-17 16:20 --------- d-----w C:\Programme\VR-NetWorld
2008-03-25 04:51 621,344 ----a-w C:\WINDOWS\system32\mswstr10.dll
2008-03-25 04:51 187,168 ----a-w C:\WINDOWS\system32\msjint40.dll
2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
2004-01-31 17:54 331,776 ----a-w C:\WINDOWS\inf\pdfinst2.exe
2005-05-13 15:12 217,073 --sha-r C:\WINDOWS\meta4.exe
2005-10-24 09:13 66,560 --sha-r C:\WINDOWS\MOTA113.exe
2005-07-14 10:31 27,648 --sha-r C:\WINDOWS\system32\AVSredirect.dll
2005-06-26 13:32 616,448 --sha-r C:\WINDOWS\system32\cygwin1.dll
2005-06-21 20:37 45,568 --sha-r C:\WINDOWS\system32\cygz.dll
2004-01-24 22:00 70,656 --sha-r C:\WINDOWS\system32\i420vfw.dll
2005-02-28 11:16 240,128 --sha-r C:\WINDOWS\system32\x.264.exe
2004-01-24 22:00 70,656 --sha-r C:\WINDOWS\system32\yv12vfw.dll
.

------- Sigcheck -------

2007-10-16 18:19 23552 cab5f4d65d49c24faa4ef0351b3755a3 C:\WINDOWS\system32\ctfmon.exe
2007-10-16 18:19 23552 cab5f4d65d49c24faa4ef0351b3755a3 C:\WINDOWS\system32\dllcache\ctfmon.exe
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"igfxtray"="C:\WINDOWS\system32\igfxtray.exe" [2005-08-24 12:50 94208]
"igfxhkcmd"="C:\WINDOWS\system32\hkcmd.exe" [2005-08-24 12:47 77824]
"igfxpers"="C:\WINDOWS\system32\igfxpers.exe" [2005-08-24 12:51 114688]
"High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2005-01-07 17:07 61952 C:\WINDOWS\system32\HdAShCut.exe]
"SoundMan"="SOUNDMAN.EXE" [2005-08-18 14:38 86016 C:\WINDOWS\SOUNDMAN.EXE]
"AlcWzrd"="ALCWZRD.EXE" [2005-07-26 16:54 2806784 C:\WINDOWS\ALCWZRD.EXE]
"Logitech Utility"="Logi_MwX.Exe" [2003-12-17 09:50 19968 C:\WINDOWS\LOGI_MWX.EXE]
"McAfee Managed Services Tray"="C:\Programme\McAfee\Managed VirusScan\Agent\StartMyagtTry.exe" [2008-01-23 03:27 87360]
"MVS Splash"="C:\Programme\McAfee\Managed VirusScan\Agent\Splash.exe" [2008-01-23 03:27 468288]
"ToADiMon.exe"="C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe" [2005-06-27 15:32 278528]
"Tweak UI 1.33 deutsch"="TWEAKUI.CPL" [2000-10-07 00:13 106544 C:\WINDOWS\system32\TWEAKUI.CPL]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2007-10-16 18:19 23552]

C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\
TK-Suite Client.lnk - C:\Programme\AGFEO\Tk-Suite-Basic\tools\ctimon.exe [2007-10-29 12:14:07 1593344]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSMMyPictures"= 01000000
"NoSMMyDocs"= 01000000
"NoSMHelp"= 01000000

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.I420"= i420vfw.dll
"vidc.yv12"= yv12vfw.dll

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^BlueSoleil.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\BlueSoleil.lnk
backup=C:\WINDOWS\pss\BlueSoleil.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Andreas^Startmenü^Programme^Autostart^EasyRecovery DataRecovery Trial.lnk]
path=C:\Dokumente und Einstellungen\Andreas\Startmenü\Programme\Autostart\EasyRecovery DataRecovery Trial.lnk
backup=C:\WINDOWS\pss\EasyRecovery DataRecovery Trial.lnkStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Andreas^Startmenü^Programme^Autostart^Hilfe zu EasyRecovery DataRecovery Trial.lnk]
path=C:\Dokumente und Einstellungen\Andreas\Startmenü\Programme\Autostart\Hilfe zu EasyRecovery DataRecovery Trial.lnk
backup=C:\WINDOWS\pss\Hilfe zu EasyRecovery DataRecovery Trial.lnkStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Andreas^Startmenü^Programme^Autostart^Ontrack-Homepage.lnk]
path=C:\Dokumente und Einstellungen\Andreas\Startmenü\Programme\Autostart\Ontrack-Homepage.lnk
backup=C:\WINDOWS\pss\Ontrack-Homepage.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-01-11 23:16 39792 C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
--a------ 2007-10-16 18:19 23552 C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
--a------ 2007-09-07 16:55 267064 C:\Programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 11:50 155648 C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2007-06-29 06:24 286720 C:\Programme\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
--a--c--- 2004-11-02 20:24 32768 C:\Programme\CyberLink\PowerDVD\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Siemens SmartSync - ScheduleSync]
--a------ 2005-03-16 10:15 45056 C:\PROGRA~1\MOBILE~1\SMARTS~1\SCHEDU~1.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Spamihilator]
C:\Programme\Spamihilator\spamihilator.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UserFaultCheck]
C:\WINDOWS\system32\dumprep 0 -u

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"TODslService"=3 (0x3)
"iPodService"=3 (0x3)
"FastUserSwitchingCompatibility"=3 (0x3)
"BlueSoleil Hid Service"=2 (0x2)
"WMPNetworkSvc"=3 (0x3)
"SandraTheSrv"=3 (0x3)
"SandraDataSrv"=3 (0x3)
"iPod Service"=3 (0x3)
"TSMService"=3 (0x3)
"SbieSvc"=2 (0x2)
"Apple Mobile Device"=2 (0x2)
"NMSAccess"=2 (0x2)
"IDriverT"=3 (0x3)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\Programme\\McAfee\\Managed VirusScan\\Agent\\myAgtSvc.exe"=

R1 hwinterface;hwinterface;C:\WINDOWS\system32\Drivers\hwinterface.sys [2005-09-28 12:48]
R2 EngineServer;EngineServer;"C:\Programme\McAfee\Managed VirusScan\VScan\EngineServer.exe" [2007-12-01 11:30]
R3 cjusb;REINER SCT cyberJack pinpad/e-com USB;C:\WINDOWS\system32\DRIVERS\cjusb.sys [2005-06-16 16:05]
R3 MTOnlPktAlyX;MTOnlPktAlyX NDIS Protocol Driver;C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis1\MTOnlPktAlyX.SYS [2005-09-28 10:58]
S2 myAgtSvc;McAfee-Dienst zum Schutz vor Viren und Spyware;"C:\Programme\McAfee\Managed VirusScan\Agent\myAgtSvc.exe" /ServiceStart []
S3 NPF;NetGroup Packet Filter Driver;C:\WINDOWS\system32\drivers\npf.sys [2007-01-25 19:31]
S3 siusbmod;siusbmod;C:\WINDOWS\system32\DRIVERS\siusbmod.sys [2004-07-08 12:40]
S3 TNPacket;T-Systems Nova Packet Capture Driver;C:\Programme\T-DSL SpeedManager\TNPACKET.SYS [2004-03-11 18:44]
S4 TODslService;T-Online DSL-Manager;"C:\Programme\T-Online\DSL-Manager\TODslSvc.exe" [2005-07-14 15:31]

*Newly Created Service* - CATCHME
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-05 12:01:47
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-06-05 12:03:08
ComboFix-quarantined-files.txt 2008-06-05 10:02:40

21 Verzeichnis(se), 105,536,991,232 Bytes frei
25 Verzeichnis(se), 105,885,528,064 Bytes frei

175 --- E O F --- 2008-05-28 19:13:50



Und nochmal hjt, man kann ja nie wissen:

Logfile of HijackThis v1.99.1

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA
[/edit]

Combofix hat den Rest gelöscht.
Dennoch bitte folgendes:

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code: Alles auswählenAufklappen

ATTFilter

Folder::
C:\Programme\ASK
         

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer!)

5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.





6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann

Dann bitte noch Malwarebytes durchlaufen lassen und das Log posten.