Hab jetzt (hoffe, das hatte ich richtig verstanden?) nur vor die drei angegebenen Zeilen ein Häkchen gesetzt und die fixen lassen...

Soll ich die neue *.log posten? Oder sollte ich vor alle Zeilen des Scans ein Häkchen setzen und fixen lassen? (sorry, hab echt keinen Plan von sowas...)

hatschi80

Zitat:

Zitat von hatschi80

Hab jetzt (hoffe, das hatte ich richtig verstanden?) nur vor die drei angegebenen Zeilen ein Häkchen gesetzt und die fixen lassen...

Soll ich die neue *.log posten? Oder sollte ich vor alle Zeilen des Scans ein Häkchen setzen und fixen lassen? (sorry, hab echt keinen Plan von sowas...)

hatschi80

Nur kurz einmisch...

Will nicht das hier was böse endet
Auf keinen Fall bei allen Einträgen ein Häcken setzen
Nur bei den die dir blow-in gesagt hast du sollst es tun, sprich:

Zitat:

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O20 - Winlogon Notify: winxtx32 - winxtx32.dll (file missing)
O20 - Winlogon Notify: wvUlihFX - wvUlihFX.dll (file missing)

nun zurück an blow-in

Dann hab ich das ja richtig verstanden und gemacht...

Das Problem besteht allerdings immer noch... Weiß ja nicht, bis zu welchen Stand eure Hilfen mich mittlerweile gebracht haben sollten, aber google sucht immer noch nicht... (Nicht falsch verstehen, das ist keine Motzerei, bloß völlige Planlosigkeit meinerseits *g*)

Hier noch mal die aktuelle HJT-log...

Danke übrigens für eure Hilfe... Bin echt völlig aufgeschmissen...

_____________________

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:01:37, on 10.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\brss01a.exe
C:\Programme\Sitecom\IVT BlueSoleil\BTNtService.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\Rundll32.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://us.rd.yahoo.com/customize/ie/defaults/sb/msgr8/*h**p://www.yahoo.com/ext/search/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://us.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*h**p://www.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://us.rd.yahoo.com/customize/ie/defaults/sb/msgr8/*h**p://www.yahoo.com/ext/search/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://us.rd.yahoo.com/customize/ie/defaults/su/msgr8/*h**p://www.yahoo.com
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Yahoo! IE Services Button - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Programme\Yahoo!\Common\yiesrvc.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [BMcf9d175a] Rundll32.exe "C:\WINDOWS\system32\duoqvfbw.dll",s
O4 - HKCU\..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O8 - Extra context menu item: &Yahoo! Search - file:///C:\Programme\Yahoo!\Common/ycsrch.htm
O8 - Extra context menu item: Yahoo! &Dictionary - file:///C:\Programme\Yahoo!\Common/ycdict.htm
O8 - Extra context menu item: Yahoo! &Maps - file:///C:\Programme\Yahoo!\Common/ycmap.htm
O8 - Extra context menu item: Yahoo! &SMS - file:///C:\Programme\Yahoo!\Common/ycsms.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Yahoo! Services - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Programme\Yahoo!\Common\yiesrvc.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Programme\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Programme\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\Sitecom\IVT BlueSoleil\BTNtService.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: AVM IGD CTRL Service (IGDCTRL) - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 6869 bytes

@hatschi



ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)

Hi, hab jetzt sowohl CCleaner, als auch combofix drüberlaufen lassen. Die log füge ich unten ein...

Beim Starten von Combofix stand in dem blauen Fenster sowas wie "CScript-Fehler: Der Zugriff auf Windows Script Host wurde deaktiviert. Wenden sie sich an ihren Administrator."
(Das Kursive ist nur sinngemäß, danach scrollte die Anzeige weiter und ich sollte ja weder Maus noch Keyboard benutzen, während combofix läuft)

Hat das was zu bedeuten?

Und beim Hochfahren bekam ich ne Windows-Fehlermeldung:
"Fehler beim Laden von C:\WINDOWS\system32\duoqvfbw.dll. Das angegebene Modul wurde nicht gefunden."

Grund zur Besorgnis?


Hier nun die *.log von ComboFix :


ComboFix 08-07-09.5 - *** 2008-07-10 19:19:17.1 - NTFSx86
ausgeführt von:: C:\Dokumente und Einstellungen\***\Desktop\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\BadgQqru.ini
C:\WINDOWS\system32\BadgQqru.ini2
C:\WINDOWS\system32\btfunc.dll
C:\WINDOWS\system32\cJPrrBeg.ini
C:\WINDOWS\system32\cJPrrBeg.ini2
C:\WINDOWS\system32\duoqvfbw.dll
C:\WINDOWS\system32\lugejwqt.ini
C:\WINDOWS\system32\mcjekdtp.ini
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\sxdobaah.ini
C:\WINDOWS\system32\wddpajmy.ini
C:\WINDOWS\system32\ymjapddw.dll

.
((((((((((((((((((((((( Dateien erstellt von 2008-06-10 bis 2008-07-10 ))))))))))))))))))))))))))))))
.

2021-01-21 21:28 . 2000-01-27 16:17 414,272 --a------ C:\WINDOWS\system32\DIVXc32f.dll
2021-01-21 21:28 . 2000-01-27 16:17 414,272 --a------ C:\WINDOWS\system32\DIVXc32.dll
2021-01-21 21:28 . 2000-01-27 02:11 240,400 --a--c--- C:\WINDOWS\system32\DIVX_c32.ax
2008-07-09 21:35 . 2008-07-09 21:35 307,968 --a------ C:\WINDOWS\system32\TuneUpDefragService.exe
2008-07-09 21:35 . 2008-02-27 13:15 28,416 --a------ C:\WINDOWS\system32\uxtuneup.dll
2008-07-09 17:47 . 2008-07-09 17:47 <DIR> d-------- C:\Programme\Trend Micro
2008-07-07 00:06 . 2008-07-07 00:16 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\SprillBermudeEng
2008-07-06 23:55 . 2008-07-07 00:06 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Zylom
2008-07-06 21:20 . 2008-07-07 18:16 <DIR> d-------- C:\Programme\BSW
2008-06-30 16:44 . 2008-07-10 19:16 110,474 --a------ C:\WINDOWS\BMcf9d175a.xml
2008-06-28 21:54 . 2007-02-05 21:51 437,174 --a------ C:\jv-rudei80t.png
2008-06-28 10:08 . 2008-06-28 10:08 <DIR> d-------- C:\Programme\CyberLink
2008-06-28 10:08 . 2008-06-28 10:08 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CyberLink
2008-06-25 17:11 . 1996-10-15 17:01 298,496 --a------ C:\WINDOWS\uninst.exe
2008-06-22 18:35 . 2008-06-22 18:35 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2008-06-22 11:19 . 2008-06-28 10:12 <DIR> d-------- C:\Downloads
2008-06-19 18:00 . 2008-06-19 18:00 <DIR> d-------- C:\Programme\QuickTime
2008-06-19 18:00 . 2008-06-19 18:01 <DIR> d-------- C:\Programme\DVD Ripper Platinum 4
2008-06-19 17:54 . 2008-07-09 18:18 <DIR> d-------- C:\Programme\Gabest
2008-06-19 17:25 . 2008-06-19 17:25 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\AVS4YOU
2008-06-19 17:25 . 2008-06-19 17:25 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AVS4YOU
2008-06-19 17:24 . 2008-06-19 17:55 <DIR> d-------- C:\Programme\Gemeinsame Dateien\AVSMedia
2008-06-19 17:23 . 2007-02-27 19:36 1,700,352 --a------ C:\WINDOWS\system32\GdiPlus.dll
2008-06-19 17:23 . 2007-02-27 19:36 487,424 --a------ C:\WINDOWS\system32\msvcp70.dll
2008-06-19 17:23 . 2007-02-27 19:36 24,576 --a------ C:\WINDOWS\system32\msxml3a.dll
2008-06-16 18:05 . 2008-06-22 18:35 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-06-16 18:05 . 2008-06-16 18:05 1,409 --a------ C:\WINDOWS\QTFont.for
2008-06-10 22:01 . 2008-06-10 22:01 <DIR> d-------- C:\Programme\7-Zip

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-09 19:39 --------- d-----w C:\Programme\TuneUp Utilities 2008
2008-07-09 16:18 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\FRITZ!
2008-07-07 10:32 --------- d-----w C:\Programme\Zylom Games
2008-07-02 12:47 --------- d-----w C:\Programme\Realtek AC97
2008-06-28 08:08 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-06-19 16:04 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\dvdcss
2008-06-15 07:13 --------- d-----w C:\Programme\audiograbber
2008-06-14 00:18 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\uTorrent
2008-06-13 14:43 --------- d-----w C:\Programme\Free FLV Converter
2008-06-09 14:34 --------- d-----w C:\Programme\Gemeinsame Dateien\Reinhold-IT
2008-06-09 14:04 --------- d---a-w C:\Programme\ZeugnisGrundschule
2008-06-08 17:40 --------- d-----w C:\Programme\ProtectDisc Driver Installer
2008-06-04 08:43 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-05-27 04:34 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-05-27 04:33 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\AdobeUM
2008-05-24 09:36 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\XnView
2008-05-17 13:46 2,073,600 ----a-w C:\WINDOWS\Internet Logs\xDB3B.tmp
2008-05-17 13:18 --------- d-----w C:\Programme\MSBuild
2008-05-17 13:17 --------- d-----w C:\Programme\Reference Assemblies
2007-12-31 12:14 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
2006-11-05 11:58 278,528 ----a-w C:\Programme\xp-AntiSpy.exe
2000-01-01 00:00 23 --sha-r C:\WINDOWS\mtlid64s2.dat
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IncrediMail"="C:\Programme\IncrediMail\bin\IncMail.exe" [2006-12-07 16:11 204843]
"MsnMsgr"="C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 11:34 5724184]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-10-31 08:35 7634944]
"ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2007-03-09 00:02 919280]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-10-31 08:35 86016]
"RTHDCPL"="RTHDCPL.EXE" [2006-08-01 13:10 16049664 C:\WINDOWS\RTHDCPL.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 01:57 15360]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoSMHelp"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,73,79,73,74,65,6d,33,32,\

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.I420"= i420vfw.dll
"vidc.DIV3"= DIVXc32.dll
"vidc.DIV4"= DIVXc32f.dll

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
"Skype"="C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
"Yahoo! Pager"="C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"NvMediaCenter"=RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
"KernelFaultCheck"=%systemroot%\system32\dumprep 0 -k
"SunJavaUpdateSched"=C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
"NeroFilterCheck"=C:\WINDOWS\System32\NeroCheck.exe
"NvCplDaemon"=RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
"SoundMan"=SOUNDMAN.EXE
"nwiz"=nwiz.exe /install
"ControlCenter2.0"=C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
"SetDefPrt"=C:\Programme\Brother\Brmfl05a\BrStDvPt.exe
"PaperPort PTD"=C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
"IndexSearch"=C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
"SSBkgdUpdate"="C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\IncrediMail\\bin\\IncMail.exe"=
"C:\\Programme\\IncrediMail\\bin\\IMApp.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=

R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-05-16 01:20]
R2 acedrv10;acedrv10;C:\WINDOWS\system32\drivers\acedrv10.sys [2007-07-27 10:13]
R2 acehlp10;acehlp10;C:\WINDOWS\system32\drivers\acehlp10.sys [2007-07-27 12:46]
R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-05-16 01:16]
R2 IGDCTRL;AVM IGD CTRL Service;C:\Programme\FRITZ!DSL\IGDCTRL.EXE [2007-09-04 11:14]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 01:58]
S3 FXDRV;FXDRV;D:\Fxdrv.sys []
S3 oflpydin;oflpydin;C:\DOKUME~1\***\LOKALE~1\Temp\oflpydin.sys []
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-07-09 21:35]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

.
Inhalt des "geplante Tasks" Ordners
"2008-07-10 17:29:48 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2008\OneClickStarter.exe
.
- - - - ORPHANS REMOVED - - - -

HKLM-Run-BMcf9d175a - C:\WINDOWS\system32\duoqvfbw.dll
Notify-WgaLogon - (no file)
MSConfigStartUp-AlcoholAutomount - C:\Programme\Alcohol Soft\Alcohol 120\axcmd.exe


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net
Rootkit scan 2008-07-10 19:30:16
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...


**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\brss01a.exe
C:\Programme\Sitecom\IVT BlueSoleil\BTNtService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\PROGRA~1\INCRED~1\bin\ImNotfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-07-10 19:39:13 - machine was rebooted
ComboFix-quarantined-files.txt 2008-07-10 17:38:08

28 Verzeichnis(se), 25,426,239,488 Bytes frei
30 Verzeichnis(se), 25,338,802,176 Bytes frei

175 --- E O F --- 2008-04-13 13:11:08

So weit, so gut..

Hattest du mal Zonealarm installiert?

nun folgendes:



SDFix

* Lade das SDFix herunter und speichere es auf deinem Desktop.

* Mach einen Doppelklick auf die Datei SDFix.exe, wähle installieren, um das Programm in seinen eigenen Ordner auf deinem Desktop zu entpacken.
* Starte deinen Rechner neu auf, in den abgesicherten Modus

* Öffne den neu entstandenen SDFix Ordner, mach einen Doppelklick auf die RunThis.bat, um das Skript zu starten.
* Gib ein Y ein, um den Reinigungsprozess zu beginnen.
* Das Programm wird alle Trojaner Dienste und die dazugehörigen Registrierungseinträge löschen, die es findet.
* Nun wirst du darum gebeten, eine Taste zu drücken, damit dein Rechner neu aufstarten kann.
* Drücke auf eine Taste. Jetzt wird dein Rechner neu aufgestartet.
* Wenn der Rechner neu aufgestartet ist, wird das Fixtool nocheinmal laufen, um den Reinigungsprozess zu vervollständigen.
* Wenn das Programm angibt, dass es beendet ist (Finished), drücke wieder auf irgendeine Taste, um das Skript zu beenden und deine Desktop Iconen wieder zu laden.
* Wenn die Desktop Icons wieder da sind, wird das Skript ein Fenster öffnen und das Ergebnis als einen Report.txt im Ordner SDFix speichern.
* Kopiere den Inhalt dieses Report.txt und poste ihn, zusammen mit einem neuen HijackThis Logfile in deinem nächsten Posting.



Malwarebytes' Anti-Malware

• Lies dir die Entfernungsanleitung durch und lass alles entfernen was gefunden wurde:

• Download von Malwarebytes' Anti-Malware

Combofix Deinstallieren

Klick auf Start -> Ausführen -> eintippen combofix /U



Damit ist Combofix und alle weiteren Programme entfernt wurden.

Ja, hab ZoneAlarm noch drauf... nicht gut?

Nehme den Rest deiner Vorschläge jetzt in Angriff... *drücke mir selbst die Daumen*


Ähhhh... wie mach ich das mit dem abgesicherten Modus?

Dankbare Grüße
hatschi80