Hallo verehrte Trojaner-Jäger,
ich habe mir über eine USB-Verbindung mit meiner Digitalkamera - die ich vorher in einem Internetcafé angeschlossen hatte - einige Trojaner eingefangen.

Negative Auswirkungen kann ich derzeit nicht erkennen. Die einzige Abnormalität, die mir auffällt: Ein Explorer-Fenster mit meinen „Eigenen Dateien“ öffnet sich unmittelbar nach Systemstart.

Mein System: Windows XP Service Pack 3 (Windows Firewall + Avira AntiVir)

Direkt nach Anschluss der Kamera hat AntiVir den folgenden Trojaner erkannt und in die Quarantäne verschoben:

TR.Crypt.XPACK.Gen
In: C:/Windows/System32/ckvo0.dll

Im Laufe eines ausführlichen Tests hat AntiVir zwei weitere Trojaner erkannt und entsprechende Dateien in die Quarantäne verschoben:

Code: Alles auswählenAufklappen

ATTFilter

C:\WINDOWS\system32\EXPLORER.EXE
    [FUND]      Ist das Trojanische Pferd TR/Agent.VB.H.1
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48ffc8ff.qua' verschoben!
C:\2.CMD
    [FUND]      Ist das Trojanische Pferd TR/Vundo.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48f2c906.qua' verschoben!
C:\System Volume Information\_restore{6B916A41-8485-4A6A-BC69-669605E696B1}\RP174\A0122260.exe
    [FUND]      Ist das Trojanische Pferd TR/Vundo.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48e0cf93.qua' verschoben!
C:\System Volume Information\_restore{6B916A41-8485-4A6A-BC69-669605E696B1}\RP174\A0122261.EXE
    [FUND]      Ist das Trojanische Pferd TR/Agent.VB.H.1
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48e0cf95.qua' verschoben!
C:\System Volume Information\_restore{6B916A41-8485-4A6A-BC69-669605E696B1}\RP174\A0122262.cmd
    [FUND]      Ist das Trojanische Pferd TR/Vundo.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48e0cf98.qua' verschoben!
C:\WINDOWS\system32\ckvo0.dll
    [FUND]      Ist das Trojanische Pferd TR/Vundo.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4925d3ca.qua' verschoben!
D:\2.cmd
    [FUND]      Ist das Trojanische Pferd TR/Vundo.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4912d43f.qua' verschoben!
D:\System Volume Information\_restore{6B916A41-8485-4A6A-BC69-669605E696B1}\RP174\A0122264.cmd
    [FUND]      Ist das Trojanische Pferd TR/Vundo.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48e0d603.qua' verschoben!
C:\System Volume Information\_restore{6B916A41-8485-4A6A-BC69-669605E696B1}\RP174\A0122263.dll
    [FUND]      Ist das Trojanische Pferd TR/Vundo.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48e0ffe2.qua' verschoben!
         

Ich habe dann – aufgrund verschiedener anderer Threads hier im Forum – Malwarebytes’ Anti-Malware durchlaufen lassen:

Code: Alles auswählenAufklappen

ATTFilter

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\WINDOWS\system32\serauth1.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\serauth2.dll (Trojan.Agent) -> Quarantined and deleted successfully.
         

Die Systemwiederherstellungsdateien habe ich – wie in einem anderen Post beschrieben – gelöscht, da er dort ja auch was gefunden hat.

Nun zeigen mir sowohl AntiVir als auch Anti-Malware „0“ infizierte Objekte an. Bedeutet das nun, alles ist wieder clean? Muss ich weitere Sicherheitsmaßnahmen ergreifen (Passwörter ändern usw.)?

Zur Auswertung füge ich noch den HijackThis Report-Datei an:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:16:24, on 25.08.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\GMX\GMX Upload-Manager\DAVSRV.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Asz.Citavi.IEPicker.IEPickerButton - {609D670F-B735-4da7-AC6D-F3BD358E325E} - C:\WINDOWS\system32\mscoree.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [GMX_GMX Upload-Manager] "C:\Programme\GMX\GMX Upload-Manager\DAVSRV.EXE" /hide
O4 - HKCU\..\Run: [wsctf.exe] wsctf.exe
O4 - HKCU\..\Run: [EXPLORER.EXE] EXPLORER.EXE
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Citavi Picker... - file://C:\Programme\Internet Explorer\PLUGINS\Citavi Picker\ShowContextMenu.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Citavi Picker - {619D670F-B735-4da7-AC6D-F3BD358E325E} - C:\WINDOWS\system32\mscoree.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) - 
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1201960301375
O16 - DPF: {A8482EAF-A1F3-4934-AE3F-56EB195A50BF} (DeskUpdate - Activex Control) - h**p://support.fujitsu-siemens.de/DeskUpdate/isapi/activex.cab
O16 - DPF: {CAFEEFAC-0014-0001-0002-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_02) - 
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe

--
End of file - 6182 bytes
         

Vielen Dank für eure Hilfe!
Aranel

Hallo Aranel.

Die Speicherkarte der Kammera solltest du formatieren!

Systemanalyse

• Deaktiviere die Systemwiederherstellung auf allen Laufwerken. Nachdem die Bereinigung KOMPLETT beendet ist kann sie wieder aktiviert werden.
  
• Räume mit cCleaner auf. (Punkt 1 & 2)
  
• Deaktiviere den Wächter/On-Access-Modul (Echtzeit-Scanner) deines AntiViren Programmes und schließe alle AntiViren Programme komplett!
  
• Downloade AVZ und speichere es in einen eigenen Ordner auf dem Desktop.
  
• Entpacke es in diesem Ordner und starte die Anwendung durch einen Doppelklick auf die AVZ.exe.
  
• Unter File -> Database Update Start drücken.
  
• Während des Scans sollte der Rechner weiterhin Verbindung mit dem Internet haben.
  
• Unter File -> System Analys, die Option Attach System Analysis log to ZIP anhaken und Start drücken. Wähle als Speicherort den von dir erstellten AVZ-Ordner.
  
• Nachdem der Scan beendet ist lade die avz_sysinfo.zip bei Rapidshare hoch und poste den Download-Link.

Hallo Undoreal,

vielen Dank für deine Hilfe. Ich habe alles getan, was du beschrieben hast. Leider habe ich AntiVir nicht gänzlich geschlossen bekommen - Lediglich deaktiviert und per Str+Alt+Entf - Prozess beenden - Nicht der eleganteste Weg, aber ich hoffe das ist OK soweit...

Nachfolgend der Link:

http://rapidshare.com/files/140013955/avz_sysinfo.zip

Viele Grüße,
Aranel

Fixe mit HijackThis folgende Einträge:

Zitat:

O4 - HKCU\..\Run: [wsctf.exe] wsctf.exe
O4 - HKCU\..\Run: [EXPLORER.EXE] EXPLORER.EXE

Führe danach folgendes Skript mit AVZ aus (File -> Custom Skript):

Code: Alles auswählenAufklappen

ATTFilter

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
 DelBHO('{619D670F-B735-4da7-AC6D-F3BD358E325E}');
 QuarantineFile('C:\WINDOWS\system32\drivers\GDTdiIcpt.sys','');
 QuarantineFile('C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe','');
 QuarantineFile('c:\programme\gemeinsame dateien\real\update_ob\realsched.exe','');
 BC_DeleteFile('wsctf.exe');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
         

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Hallo undoreal!

Nachfolgend der ComboFix-Report:

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 08-08-24.03 - Mustermann 2008-08-25 18:28:09.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.3.1252.1.1031.18.252 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Mustermann\Desktop\ComboFix.exe
 * Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system\oeminfo.ini
D:\Autorun.inf

.
(((((((((((((((((((((((   Dateien erstellt von 2008-07-25 bis 2008-08-25  ))))))))))))))))))))))))))))))
.

2008-08-25 16:39 . 2008-08-25 16:39	<DIR>	d--------	C:\WINDOWS\system32\Kaspersky Lab
2008-08-25 16:39 . 2008-08-25 16:39	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-08-25 14:34 . 2008-08-25 15:11	<DIR>	d--------	C:\WINDOWS\BDOSCAN8
2008-08-25 11:26 . 2008-08-25 11:26	<DIR>	d--------	C:\Programme\Trend Micro
2008-08-25 11:04 . 2008-08-25 11:04	<DIR>	d--------	C:\Programme\CCleaner
2008-08-25 11:00 . 2008-08-25 11:00	<DIR>	d--------	C:\Programme\Java
2008-08-25 11:00 . 2008-06-10 02:32	73,728	--a------	C:\WINDOWS\system32\javacpl.cpl
2008-08-25 10:59 . 2008-08-25 10:59	<DIR>	d--------	C:\Programme\Gemeinsame Dateien\Java
2008-08-25 09:56 . 2008-08-25 09:56	<DIR>	d--------	C:\Programme\Malwarebytes' Anti-Malware
2008-08-25 09:56 . 2008-08-25 09:56	<DIR>	d--------	C:\Dokumente und Einstellungen\Mustermann\Anwendungsdaten\Malwarebytes
2008-08-25 09:56 . 2008-08-25 09:56	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-08-25 09:56 . 2008-08-17 15:01	38,472	--a------	C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-08-25 09:56 . 2008-08-17 15:01	17,144	--a------	C:\WINDOWS\system32\drivers\mbam.sys
2008-08-25 08:58 . 2008-04-11 21:04	691,712	-----c---	C:\WINDOWS\system32\dllcache\inetcomm.dll
2008-08-25 08:58 . 2008-05-01 16:34	331,776	-----c---	C:\WINDOWS\system32\dllcache\msadce.dll
2008-08-23 12:28 . 2008-08-23 12:36	<DIR>	d--------	C:\Programme\Spybot - Search & Destroy
2008-08-23 12:28 . 2008-08-25 11:08	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-08-23 12:07 . 2008-08-23 12:07	<DIR>	d--------	C:\Programme\Lavasoft
2008-08-23 12:07 . 2008-08-25 09:14	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-08-23 11:26 . 2008-08-23 11:26	<DIR>	d--------	C:\Dokumente und Einstellungen\Mustermann\Anwendungsdaten\MSNInstaller
2008-08-01 11:21 . 2008-08-23 09:44	<DIR>	d-a------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-08-01 11:19 . 2008-08-23 10:19	<DIR>	d--------	C:\Programme\Google

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-25 11:25	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-08-23 09:25	---------	d--h--w	C:\Programme\InstallShield Installation Information
2008-08-23 09:20	---------	d-----w	C:\Programme\DivX
2008-08-23 08:14	---------	d-----w	C:\Programme\EPSON
2008-07-29 08:43	7,680	----a-w	C:\WINDOWS\system32\uigxnp.dll
2008-07-29 08:43	149,120	----a-w	C:\WINDOWS\system32\drivers\uigxrdr.SYS
2008-07-26 14:37	---------	d-----w	C:\Dokumente und Einstellungen\Mustermann\Anwendungsdaten\Skype
2008-07-26 14:25	---------	d-----w	C:\Dokumente und Einstellungen\Mustermann\Anwendungsdaten\skypePM
2008-07-20 14:58	---------	d-----w	C:\Dokumente und Einstellungen\Mustermann\Anwendungsdaten\Academic Software Zurich
2008-07-20 14:10	---------	d-----w	C:\Programme\Citavi
2008-07-07 20:26	253,952	----a-w	C:\WINDOWS\system32\es.dll
2008-06-24 16:42	74,240	----a-w	C:\WINDOWS\system32\mscms.dll
2008-06-23 16:14	826,368	----a-w	C:\WINDOWS\system32\wininet.dll
2008-06-20 17:46	247,296	----a-w	C:\WINDOWS\system32\mswsock.dll
2008-04-28 07:43	0	----a-w	C:\Programme\Citavi.txt
2008-02-10 16:26	32	----a-w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
2005-12-26 17:10	5	----a-w	C:\Dokumente und Einstellungen\Mustermann\getfile.dat
.

((((((((((((((((((((((((((((   Autostart Punkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 04:22 15360]
"GMX_GMX Upload-Manager"="C:\Programme\GMX\GMX Upload-Manager\DAVSRV.EXE" [2008-07-29 10:44 909312]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-03-03 12:00 335872]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-18 08:56 266497]
"FreePDF Assistant"="C:\Programme\FreePDF_XP\fpassist.exe" [2007-06-26 21:27 312320]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-04-17 14:54 185896]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 04:27 144784]
"ATIModeChange"="Ati2mdxx.exe" [2001-09-04 08:24 28672 C:\WINDOWS\system32\Ati2mdxx.exe]
"SoundMan"="SOUNDMAN.EXE" [2004-01-08 19:54 65536 C:\WINDOWS\SOUNDMAN.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 04:22 15360]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders	msapsspc.dllschannel.dlldigest.dllmsnsspc.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

R1 uigxrdr;uigxrdr;C:\WINDOWS\system32\DRIVERS\uigxrdr.sys [2008-07-29 10:43]
R2 GDTdiInterceptor;GDTdiInterceptor;C:\WINDOWS\system32\drivers\GDTdiIcpt.sys [2006-01-12 23:35]
R3 CONAN;CONAN;C:\WINDOWS\system32\drivers\o2mmb.sys [2004-02-12 02:18]
S3 MbxStby;MbxStby;C:\WINDOWS\system32\drivers\MbxStby.sys [2004-01-28 00:00]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9dd93564-70e5-11dd-b2ba-00030d2a64ee}]
\Shell\AutoRun\command - F:\2.cmd
\Shell\explore\Command - F:\2.cmd
\Shell\open\Command - F:\2.cmd

*Newly Created Service* - CATCHME
*Newly Created Service* - PROCEXP90
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-NWEReboot - (no file)


.
------- Zusätzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Mustermann\Anwendungsdaten\Mozilla\Firefox\Profiles\vspm7v4b.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.tagesschau.de
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-25 18:30:01
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

Prozess: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2008-08-25 18:31:04
ComboFix-quarantined-files.txt  2008-08-25 16:31:01

Pre-Run: 9 Verzeichnis(se), 20,698,787,840 Bytes frei
Post-Run: 12 Verzeichnis(se), 20,777,791,488 Bytes frei

120	--- E O F ---	2008-08-25 07:17:21
         

Vielen Dank für die bisherige Hilfestellung,
Aranel