Trojan-Clicker.Win32.Tiny.h usw.

Carharrt · 09.10.2008, 13:22

Hallo Leute,
ich bin noch neu hier, also nehmt darauf ein bisschen Rücksicht

Ich habe seit ein paar Tagen einen Trojaner, der mir immer ein "Windows Security Alert" Popup öffnet.
Dies sieht folgendermaßen aus:
http://img370.imageshack.us/my.php?image=virusqp0.jpg
Es kommen mehrere vor:
Trojan-Clicker.Win32.Tiny.h
Trojan-Spy.Win32.Greenscreen
Trojan-Spy.Win32.KeyLogger.aa
Trojan-Downloader.Win32.Agent.bq

Achja mein OS ist Windows XP Professional.

Ich habe mich hier schon im Forum ein wenig umgesehen und schon schon einen anderen Trojaner somit bekämpft, aber hier komme ich nun nicht mehr ohne Hilfe weiter!

Hier noch mein Hijack This Log:

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:14:50, on 09.10.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\Ad-Aware\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Qliner Hotkeys\HotKeys.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
D:\iTunes\iTunesHelper.exe
D:\SBPaper\paper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\taberape.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\CTsvcCDA.exe
D:\CDBurnerXP\NMSAccessU.exe
D:\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\alg.exe
D:\Opera\Opera.exe
D:\HijackThis\HijackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box;*.local
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min /nosplash
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [VolPanel] "C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe" /r
O4 - HKLM\..\Run: [P17Helper] Rundll32 SPIRun.dll,RunDLLEntry
O4 - HKLM\..\Run: [00Hotkeys] "D:\Qliner Hotkeys\HotKeys.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "D:\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [THGuard] "D:\TrojanHunter 5.0\THGuard.exe"
O4 - HKCU\..\Run: [AlcoholAutomount] "D:\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKCU\..\Run: [ScottsPaperManager] "D:\SBPaper\paper.exe" -autominimize
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [cmddb] C:\WINDOWS\system32\taberape.exe
O4 - HKLM\..\Policies\Explorer\Run: [TiFDchHiLI] C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\bspozche\nezmdcxa.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: DSL-Manager.lnk = C:\Programme\T-Online\DSL-Manager\DslMgr.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: DSL-Manager.lnk = C:\Programme\T-Online\DSL-Manager\DslMgr.exe (User 'Default user')
O4 - Startup: Hotkeys.lnk = D:\Qliner Hotkeys\HotKeys.exe
O4 - Global Startup: AutoCAD-Startbeschleuniger.lnk = C:\Programme\Gemeinsame Dateien\Autodesk Shared\acstart16.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://D:\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - h**p://www.creative.com/softwareupdate/su2/ocx/15035/CTPID.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - D:\Office12\GR99D3~1.DLL
O20 - AppInit_DLLs: karna.dat
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - D:\Ad-Aware\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NMSAccessU - Unknown owner - D:\CDBurnerXP\NMSAccessU.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - D:\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

--
End of file - 7006 bytes

Falls ich noch was vergessen haben sollte erinnert mich bitte daran...

mfg Carharrt

myrtille · 10.10.2008, 12:01

Hi,

arbeite bitte Folgendes ab:
ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser. Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat! Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

lg myrtille

Carharrt · 10.10.2008, 13:31

Danke soweit erstmal.. hier der Log:

Code:

ATTFilter

ComboFix 08-10-09.06 - Administrator 2008-10-10 14:11:14.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1252.1.1031.18.246 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Administrator\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: C:\Dokumente und Einstellungen\Administrator\Desktop\WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
 * Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\inst.exe
C:\Dokumente und Einstellungen\Administrator\install.exe

.
(((((((((((((((((((((((   Dateien erstellt von 2008-09-10 bis 2008-10-10  ))))))))))))))))))))))))))))))
.

2008-10-09 13:54 . 2008-10-09 13:57	<DIR>	d--------	C:\Dokumente und Einstellungen\Administrator\SmitfraudFix
2008-10-08 21:43 . 2008-10-08 21:43	<DIR>	d--------	C:\Dokumente und Einstellungen\Carharrt\Anwendungsdaten\qliner
2008-10-08 21:42 . 2008-01-30 08:14	<DIR>	d--h-----	C:\Dokumente und Einstellungen\Carharrt\Vorlagen
2008-10-08 21:42 . 2008-01-30 08:10	<DIR>	dr-------	C:\Dokumente und Einstellungen\Carharrt\Startmenü
2008-10-08 21:42 . 2008-01-30 08:10	<DIR>	d--h-----	C:\Dokumente und Einstellungen\Carharrt\Netzwerkumgebung
2008-10-08 21:42 . 2008-01-30 08:10	<DIR>	d--h-----	C:\Dokumente und Einstellungen\Carharrt\Lokale Einstellungen
2008-10-08 21:42 . 2008-10-08 21:43	<DIR>	dr-------	C:\Dokumente und Einstellungen\Carharrt\Favoriten
2008-10-08 21:42 . 2008-10-08 21:43	<DIR>	dr-------	C:\Dokumente und Einstellungen\Carharrt\Eigene Dateien
2008-10-08 21:42 . 2008-01-30 08:10	<DIR>	d--h-----	C:\Dokumente und Einstellungen\Carharrt\Druckumgebung
2008-10-08 21:42 . 2008-10-08 21:44	<DIR>	dr-h-----	C:\Dokumente und Einstellungen\Carharrt\Anwendungsdaten
2008-10-08 21:42 . 2008-10-08 21:42	<DIR>	d--------	C:\Dokumente und Einstellungen\Carharrt
2008-10-08 16:26 . 2008-10-08 16:26	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-10-08 16:26 . 2008-10-08 16:26	<DIR>	d--------	C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2008-10-08 16:26 . 2008-09-10 00:04	38,528	--a------	C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-10-08 16:26 . 2008-09-10 00:03	17,200	--a------	C:\WINDOWS\system32\drivers\mbam.sys
2008-10-08 13:48 . 2008-10-08 13:49	65,428	--a------	C:\WINDOWS\system32\wini104552502.exe
2008-10-08 13:05 . 2008-10-08 13:05	<DIR>	d--------	C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\TrojanHunter
2008-10-08 10:56 . 2008-10-08 10:57	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-10-07 19:17 . 2008-10-07 19:17	<DIR>	d--------	C:\Programme\vdicmyc
2008-10-03 06:22 . 2008-10-03 06:22	664	--a------	C:\WINDOWS\system32\d3d9caps.dat
2008-10-02 23:13 . 2008-10-03 00:16	<DIR>	d--------	C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Apple Computer
2008-10-02 23:12 . 2008-10-02 23:12	<DIR>	d--------	C:\Programme\iPod
2008-10-02 23:12 . 2008-10-02 23:12	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
2008-10-02 23:12 . 2008-04-17 13:12	107,368	--a------	C:\WINDOWS\system32\GEARAspi.dll
2008-10-02 23:12 . 2008-04-17 13:12	15,464	--a------	C:\WINDOWS\system32\drivers\GEARAspiWDM.sys
2008-10-02 23:11 . 2008-10-02 23:11	<DIR>	d--------	C:\Programme\Bonjour
2008-10-02 23:10 . 2008-10-02 23:11	<DIR>	d--------	C:\Programme\QuickTime
2008-10-02 23:10 . 2008-10-02 23:10	<DIR>	d--------	C:\Programme\Apple Software Update
2008-10-02 23:10 . 2008-10-02 23:12	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2008-10-02 23:09 . 2008-10-02 23:09	<DIR>	d--------	C:\Programme\Gemeinsame Dateien\Apple
2008-10-02 23:09 . 2008-10-02 23:09	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
2008-09-28 13:23 . 2008-09-28 15:05	1,697	--a------	C:\WINDOWS\CDPlayer.ini
2008-09-13 12:57 . 2008-09-13 12:57	<DIR>	d--------	C:\Dokumente und Einstellungen\Administrator\Zune
2008-09-11 14:19 . 2008-09-11 14:19	24	--a------	C:\WINDOWS\AM_D8.PRF
2008-09-10 01:17 . 2008-09-10 01:17	<DIR>	d--------	C:\WINDOWS\MyFreeWeather

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-08 08:55	---------	d-----w	C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-10-07 17:45	---------	d-----w	C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\dvdcss
2008-08-23 18:19	685,816	----a-w	C:\WINDOWS\system32\drivers\sptd.sys
2008-08-23 08:44	---------	d-----w	C:\Programme\Windows Media Connect 2
2008-08-23 08:38	---------	d-----w	C:\Programme\Common Files
2008-08-14 23:28	---------	d-----w	C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\AVSMedia
2008-08-14 23:27	---------	d-----w	C:\Programme\Gemeinsame Dateien\AVSMedia
2008-08-14 22:26	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AVS4YOU
2008-08-14 22:26	---------	d-----w	C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\AVS4YOU
2008-08-14 17:51	---------	d-----w	C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\DivX
2008-03-08 15:41	47,360	----a-w	C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\pcouffin.sys
2006-05-03 09:06	163,328	--sh--r	C:\WINDOWS\system32\flvDX.dll
2007-02-21 10:47	31,232	--sh--r	C:\WINDOWS\system32\msfDX.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AlcoholAutomount"="D:\Alcohol Soft\Alcohol 120\axcmd.exe" [2007-07-02 220544]
"ScottsPaperManager"="D:\SBPaper\paper.exe" [2005-04-02 652288]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="C:\WINDOWS\System32\igfxtray.exe" [2005-06-21 155648]
"HotKeysCmds"="C:\WINDOWS\System32\hkcmd.exe" [2005-06-21 126976]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-20 266497]
"WorksFUD"="C:\Programme\Microsoft Works\wkfud.exe" [2001-10-09 24576]
"Microsoft Works Portfolio"="C:\Programme\Microsoft Works\WksSb.exe" [2001-10-04 331830]
"Microsoft Works Update Detection"="C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe" [2001-10-04 28738]
"VolPanel"="C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe" [2007-02-28 180224]
"00Hotkeys"="D:\Qliner Hotkeys\HotKeys.exe" [2006-12-02 45056]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2008-09-06 413696]
"iTunesHelper"="D:\iTunes\iTunesHelper.exe" [2008-09-10 289576]
"THGuard"="D:\TrojanHunter 5.0\THGuard.exe" [2008-03-25 1047712]
"UnlockerAssistant"="D:\Unlocker\UnlockerAssistant.exe" [2008-05-02 15872]
"P17Helper"="SPIRun.dll" [2006-07-03 C:\WINDOWS\system32\SPIRun.dll]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 15360]

C:\Dokumente und Einstellungen\Administrator\Startmen\Programme\Autostart\
Hotkeys.lnk - D:\Qliner Hotkeys\HotKeys.exe [2006-12-02 45056]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
AutoCAD-Startbeschleuniger.lnk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\acstart16.exe [2004-02-25 10872]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoWinKeys"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.I420"= i420vfw.dll
"msacm.l3acm"= C:\WINDOWS\System32\l3codecp.acm

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Administrator^Startmenü^Programme^Autostart^OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk]
path=C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk
backup=C:\WINDOWS\pss\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-01-11 23:16 39792 C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]
--a------ 2006-10-27 00:47 31016 D:\Office12\GrooveMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
--a------ 2008-04-30 20:06 1271032 E:\Valve\Steam\Steam.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinFast Schedule]
--a------ 2004-11-22 09:16 180224 D:\WinFast\WFTVFM\WFWIZ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"D:\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"D:\\iTunes\\iTunes.exe"=

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\DRIVERS\avgntmgr.sys [2008-04-18 22336]
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2008-07-20 45376]
R2 NMSAccessU;NMSAccessU;D:\CDBurnerXP\NMSAccessU.exe [2008-03-09 71096]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 14336]
R2 WF23880;WinFast TV2000/DV2000 WDM Video Capture.;C:\WINDOWS\system32\drivers\wf88vcap.sys [2004-10-18 208851]
R2 WF88XBAR;WinFast TV2000/DV2000 WDM Crossbar.;C:\WINDOWS\system32\drivers\WF88XBAR.sys [2004-10-18 10324]
R2 WFTUNE;WinFast TV2000/DV2000 WDM Tuner.;C:\WINDOWS\system32\drivers\WF88TUNE.sys [2004-10-18 34789]
S3 AVMUNET;AVM FRITZ!Box;C:\WINDOWS\system32\DRIVERS\avmunet.sys [2005-02-22 15104]
S3 BT4501G;SpeedTouch 121g Wireless USB Adapter Driver;C:\WINDOWS\system32\DRIVERS\BT4501G.sys [ ]
S3 dsltestSp5;dsltestSp5 NDIS Protocol Driver;C:\WINDOWS\system32\Drivers\dsltestSp5.sys [ ]
S3 tapvpn;TAP VPN Adapter;C:\WINDOWS\system32\DRIVERS\tapvpn.sys [2008-01-23 27136]
S3 TSMPacket;DSL-Manager Service;C:\WINDOWS\system32\DRIVERS\tsmpkt.sys [ ]
S3 WFIOCTL;WFIOCTL;D:\WinFast\WFTVFM\WFIOCTL.SYS [2003-09-10 9510]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners

2008-09-26 C:\WINDOWS\Tasks\1-Klick-Wartung.job
- D:\TuneUp Utilities 2007\SystemOptimizer.exe [2007-08-02 11:40]

2008-10-07 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- C:\Programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKCU-Run-cmddb - C:\WINDOWS\system32\taberape.exe
HKLM-Explorer_Run-TiFDchHiLI - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\bspozche\nezmdcxa.exe
MSConfigStartUp-WinampAgent - D:\Winamp\winampa.exe


.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\hduiw8em.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxps://speedport.ip/
FF -: plugin - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll
FF -: plugin - D:\DivX\DivX Player\npDivxPlayerPlugin.dll
FF -: plugin - D:\DivX\DivX Web Player\npdivx32.dll
FF -: plugin - D:\iTunes\Mozilla Plugins\npitunes.dll
FF -: plugin - D:\Mozilla Firefox\plugins\np32dsw.dll
FF -: plugin - D:\Mozilla Firefox\plugins\npnul32.dll
FF -: plugin - D:\Mozilla Firefox\plugins\npqtplugin.dll
FF -: plugin - D:\Mozilla Firefox\plugins\npqtplugin2.dll
FF -: plugin - D:\Mozilla Firefox\plugins\npqtplugin3.dll
FF -: plugin - D:\Mozilla Firefox\plugins\npqtplugin4.dll
FF -: plugin - D:\Mozilla Firefox\plugins\npqtplugin5.dll
FF -: plugin - D:\Mozilla Firefox\plugins\npqtplugin6.dll
FF -: plugin - D:\Mozilla Firefox\plugins\npqtplugin7.dll
FF -: plugin - D:\Mozilla Firefox\plugins\NPSWF32.dll
FF -: plugin - D:\Opera\program\plugins\npdivx32.dll
FF -: plugin - D:\Opera\program\plugins\npdsplay.dll
FF -: plugin - D:\Opera\program\plugins\npqtplugin.dll
FF -: plugin - D:\Opera\program\plugins\npqtplugin2.dll
FF -: plugin - D:\Opera\program\plugins\npqtplugin3.dll
FF -: plugin - D:\Opera\program\plugins\npqtplugin4.dll
FF -: plugin - D:\Opera\program\plugins\npqtplugin5.dll
FF -: plugin - D:\Opera\program\plugins\npqtplugin6.dll
FF -: plugin - D:\Opera\program\plugins\npqtplugin7.dll
FF -: plugin - D:\Opera\program\plugins\npwmsdrm.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-10 14:20:55
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere laufende Prozesse ------------------------
.
D:\Ad-Aware\aawservice.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\CTSVCCDA.EXE
D:\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\iPod\bin\iPodService.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-10-10 14:28:03 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2008-10-10 12:27:33

Vor Suchlauf: 1.820.794.880 Bytes frei
Nach Suchlauf: 1,748,439,040 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn

212	--- E O F ---	2008-02-22 19:11:53

mfg Carharrt

myrtille · 10.10.2008, 13:37

Hi

du hast schon ein bischen dein System mit Smitfraudfix und Malwarebytes bereinigt, zwischen dem Hijackthislog und dem Combofixlog, oder?
Poste bitte den Inhalt von C:\rapport.txt und den Bericht von Malwarebytes.

und so machen wir weiter:
Scripten mit Combofix

Öffne den Editor ( Start -> Zubehör -> Editor ) kopiere nun folgenden Text in das weiße Feld:

Code:

ATTFilter

file::
C:\WINDOWS\system32\wini104552502.exe
folder::
C:\Programme\vdicmyc

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann

lg myrtille

Carharrt · 10.10.2008, 13:51

Code:

ATTFilter

SmitFraudFix v2.357

Scan done at 13:57:09,28, 09.10.2008
Run from C:\Dokumente und Einstellungen\Administrator\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» DNS Before Fix

Description: Intel(R) PRO/1000 MT Network Connection - Paketplaner-Miniport
DNS Server Search Order: 192.168.178.1

Description: Intel(R) PRO/1000 MT Network Connection - Paketplaner-Miniport
DNS Server Search Order: 192.168.178.1

Description: Intel(R) PRO/1000 MT Network Connection - Paketplaner-Miniport
DNS Server Search Order: 192.168.2.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{734CF54E-33E4-4586-B154-19D440256A44}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{A71686CC-C466-4004-AA22-D5F85B5188C0}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{CAB63E25-2577-4B72-9C51-46CF9AFD0288}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{734CF54E-33E4-4586-B154-19D440256A44}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{A71686CC-C466-4004-AA22-D5F85B5188C0}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{CAB63E25-2577-4B72-9C51-46CF9AFD0288}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{734CF54E-33E4-4586-B154-19D440256A44}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{A71686CC-C466-4004-AA22-D5F85B5188C0}: DhcpNameServer=255.0.0.0
HKLM\SYSTEM\CS3\Services\Tcpip\..\{CAB63E25-2577-4B72-9C51-46CF9AFD0288}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=255.0.0.0

»»»»»»»»»»»»»»»»»»»»»»»» DNS After Fix

Description: Intel(R) PRO/1000 MT Network Connection - Paketplaner-Miniport
DNS Server Search Order: 192.168.178.1

Description: Intel(R) PRO/1000 MT Network Connection - Paketplaner-Miniport
DNS Server Search Order: 192.168.178.1

Description: Intel(R) PRO/1000 MT Network Connection - Paketplaner-Miniport
DNS Server Search Order: 192.168.2.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{734CF54E-33E4-4586-B154-19D440256A44}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{A71686CC-C466-4004-AA22-D5F85B5188C0}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{CAB63E25-2577-4B72-9C51-46CF9AFD0288}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{734CF54E-33E4-4586-B154-19D440256A44}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{A71686CC-C466-4004-AA22-D5F85B5188C0}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{CAB63E25-2577-4B72-9C51-46CF9AFD0288}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{734CF54E-33E4-4586-B154-19D440256A44}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{A71686CC-C466-4004-AA22-D5F85B5188C0}: DhcpNameServer=255.0.0.0
HKLM\SYSTEM\CS3\Services\Tcpip\..\{CAB63E25-2577-4B72-9C51-46CF9AFD0288}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=255.0.0.0

Carharrt · 10.10.2008, 13:59

Dann noch das ComboFix Log:

Code:

ATTFilter

ComboFix 08-10-09.06 - Administrator 2008-10-10 14:52:52.2 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1252.1.1031.18.203 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Administrator\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: C:\Dokumente und Einstellungen\Administrator\Desktop\cfscript.txt.txt
 * Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!

FILE ::
C:\WINDOWS\system32\wini104552502.exe
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Programme\vdicmyc
C:\Programme\vdicmyc\MonCfgApp.dll
C:\WINDOWS\system32\wini104552502.exe

.
(((((((((((((((((((((((   Dateien erstellt von 2008-09-10 bis 2008-10-10  ))))))))))))))))))))))))))))))
.

2008-10-09 13:54 . 2008-10-09 13:57	<DIR>	d--------	C:\Dokumente und Einstellungen\Administrator\SmitfraudFix
2008-10-08 21:43 . 2008-10-08 21:43	<DIR>	d--------	C:\Dokumente und Einstellungen\Carharrt\Anwendungsdaten\qliner
2008-10-08 21:42 . 2008-01-30 08:14	<DIR>	d--h-----	C:\Dokumente und Einstellungen\Carharrt\Vorlagen
2008-10-08 21:42 . 2008-01-30 08:10	<DIR>	dr-------	C:\Dokumente und Einstellungen\Carharrt\Startmenü
2008-10-08 21:42 . 2008-01-30 08:10	<DIR>	d--h-----	C:\Dokumente und Einstellungen\Carharrt\Netzwerkumgebung
2008-10-08 21:42 . 2008-10-10 14:54	<DIR>	d--h-----	C:\Dokumente und Einstellungen\Carharrt\Lokale Einstellungen
2008-10-08 21:42 . 2008-10-08 21:43	<DIR>	dr-------	C:\Dokumente und Einstellungen\Carharrt\Favoriten
2008-10-08 21:42 . 2008-10-08 21:43	<DIR>	dr-------	C:\Dokumente und Einstellungen\Carharrt\Eigene Dateien
2008-10-08 21:42 . 2008-01-30 08:10	<DIR>	d--h-----	C:\Dokumente und Einstellungen\Carharrt\Druckumgebung
2008-10-08 21:42 . 2008-10-08 21:44	<DIR>	dr-h-----	C:\Dokumente und Einstellungen\Carharrt\Anwendungsdaten
2008-10-08 21:42 . 2008-10-08 21:42	<DIR>	d--------	C:\Dokumente und Einstellungen\Carharrt
2008-10-08 16:26 . 2008-10-08 16:26	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-10-08 16:26 . 2008-10-08 16:26	<DIR>	d--------	C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2008-10-08 16:26 . 2008-09-10 00:04	38,528	--a------	C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-10-08 16:26 . 2008-09-10 00:03	17,200	--a------	C:\WINDOWS\system32\drivers\mbam.sys
2008-10-08 13:05 . 2008-10-08 13:05	<DIR>	d--------	C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\TrojanHunter
2008-10-08 10:56 . 2008-10-08 10:57	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-10-03 06:22 . 2008-10-03 06:22	664	--a------	C:\WINDOWS\system32\d3d9caps.dat
2008-10-02 23:13 . 2008-10-03 00:16	<DIR>	d--------	C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Apple Computer
2008-10-02 23:12 . 2008-10-02 23:12	<DIR>	d--------	C:\Programme\iPod
2008-10-02 23:12 . 2008-10-02 23:12	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
2008-10-02 23:12 . 2008-04-17 13:12	107,368	--a------	C:\WINDOWS\system32\GEARAspi.dll
2008-10-02 23:12 . 2008-04-17 13:12	15,464	--a------	C:\WINDOWS\system32\drivers\GEARAspiWDM.sys
2008-10-02 23:11 . 2008-10-02 23:11	<DIR>	d--------	C:\Programme\Bonjour
2008-10-02 23:10 . 2008-10-02 23:11	<DIR>	d--------	C:\Programme\QuickTime
2008-10-02 23:10 . 2008-10-02 23:10	<DIR>	d--------	C:\Programme\Apple Software Update
2008-10-02 23:10 . 2008-10-02 23:12	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2008-10-02 23:09 . 2008-10-02 23:09	<DIR>	d--------	C:\Programme\Gemeinsame Dateien\Apple
2008-10-02 23:09 . 2008-10-02 23:09	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
2008-09-28 13:23 . 2008-09-28 15:05	1,697	--a------	C:\WINDOWS\CDPlayer.ini
2008-09-13 12:57 . 2008-09-13 12:57	<DIR>	d--------	C:\Dokumente und Einstellungen\Administrator\Zune
2008-09-11 14:19 . 2008-09-11 14:19	24	--a------	C:\WINDOWS\AM_D8.PRF
2008-09-10 01:17 . 2008-09-10 01:17	<DIR>	d--------	C:\WINDOWS\MyFreeWeather

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-08 08:55	---------	d-----w	C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-10-07 17:45	---------	d-----w	C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\dvdcss
2008-10-01 13:51	87,552	----a-w	C:\WINDOWS\system32\VACFix.exe
2008-09-19 10:26	82,944	----a-w	C:\WINDOWS\system32\o4Patch.exe
2008-09-19 10:26	82,944	----a-w	C:\WINDOWS\system32\IEDFix.C.exe
2008-09-08 21:38	88,576	----a-w	C:\WINDOWS\system32\AntiXPVSTFix.exe
2008-08-29 08:18	87,336	----a-w	C:\WINDOWS\system32\dns-sd.exe
2008-08-29 07:53	61,440	----a-w	C:\WINDOWS\system32\dnssd.dll
2008-08-23 18:19	685,816	----a-w	C:\WINDOWS\system32\drivers\sptd.sys
2008-08-23 08:44	---------	d-----w	C:\Programme\Windows Media Connect 2
2008-08-23 08:38	---------	d-----w	C:\Programme\Common Files
2008-08-18 10:19	82,432	----a-w	C:\WINDOWS\system32\404Fix.exe
2008-08-15 11:07	43,698	----a-w	C:\WINDOWS\system32\xvid-uninstall.exe
2008-08-14 23:28	---------	d-----w	C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\AVSMedia
2008-08-14 23:27	---------	d-----w	C:\Programme\Gemeinsame Dateien\AVSMedia
2008-08-14 22:26	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AVS4YOU
2008-08-14 22:26	---------	d-----w	C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\AVS4YOU
2008-08-14 17:51	---------	d-----w	C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\DivX
2008-03-08 15:41	47,360	----a-w	C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\pcouffin.sys
2006-05-03 09:06	163,328	--sh--r	C:\WINDOWS\system32\flvDX.dll
2007-02-21 10:47	31,232	--sh--r	C:\WINDOWS\system32\msfDX.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AlcoholAutomount"="D:\Alcohol Soft\Alcohol 120\axcmd.exe" [2007-07-02 220544]
"ScottsPaperManager"="D:\SBPaper\paper.exe" [2005-04-02 652288]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="C:\WINDOWS\System32\igfxtray.exe" [2005-06-21 155648]
"HotKeysCmds"="C:\WINDOWS\System32\hkcmd.exe" [2005-06-21 126976]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-20 266497]
"WorksFUD"="C:\Programme\Microsoft Works\wkfud.exe" [2001-10-09 24576]
"Microsoft Works Portfolio"="C:\Programme\Microsoft Works\WksSb.exe" [2001-10-04 331830]
"Microsoft Works Update Detection"="C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe" [2001-10-04 28738]
"VolPanel"="C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe" [2007-02-28 180224]
"00Hotkeys"="D:\Qliner Hotkeys\HotKeys.exe" [2006-12-02 45056]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2008-09-06 413696]
"iTunesHelper"="D:\iTunes\iTunesHelper.exe" [2008-09-10 289576]
"THGuard"="D:\TrojanHunter 5.0\THGuard.exe" [2008-03-25 1047712]
"P17Helper"="SPIRun.dll" [2006-07-03 C:\WINDOWS\system32\SPIRun.dll]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 15360]

C:\Dokumente und Einstellungen\Administrator\Startmen\Programme\Autostart\
Hotkeys.lnk - D:\Qliner Hotkeys\HotKeys.exe [2006-12-02 45056]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
AutoCAD-Startbeschleuniger.lnk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\acstart16.exe [2004-02-25 10872]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoWinKeys"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.I420"= i420vfw.dll
"msacm.l3acm"= C:\WINDOWS\System32\l3codecp.acm

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Administrator^Startmenü^Programme^Autostart^OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk]
path=C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk
backup=C:\WINDOWS\pss\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-01-11 23:16 39792 C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]
--a------ 2006-10-27 00:47 31016 D:\Office12\GrooveMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
--a------ 2008-04-30 20:06 1271032 E:\Valve\Steam\Steam.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinFast Schedule]
--a------ 2004-11-22 09:16 180224 D:\WinFast\WFTVFM\WFWIZ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"D:\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"D:\\iTunes\\iTunes.exe"=

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\DRIVERS\avgntmgr.sys [2008-04-18 22336]
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2008-07-20 45376]
R2 NMSAccessU;NMSAccessU;D:\CDBurnerXP\NMSAccessU.exe [2008-03-09 71096]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 14336]
R2 WF23880;WinFast TV2000/DV2000 WDM Video Capture.;C:\WINDOWS\system32\drivers\wf88vcap.sys [2004-10-18 208851]
R2 WF88XBAR;WinFast TV2000/DV2000 WDM Crossbar.;C:\WINDOWS\system32\drivers\WF88XBAR.sys [2004-10-18 10324]
R2 WFTUNE;WinFast TV2000/DV2000 WDM Tuner.;C:\WINDOWS\system32\drivers\WF88TUNE.sys [2004-10-18 34789]
S3 AVMUNET;AVM FRITZ!Box;C:\WINDOWS\system32\DRIVERS\avmunet.sys [2005-02-22 15104]
S3 BT4501G;SpeedTouch 121g Wireless USB Adapter Driver;C:\WINDOWS\system32\DRIVERS\BT4501G.sys [ ]
S3 dsltestSp5;dsltestSp5 NDIS Protocol Driver;C:\WINDOWS\system32\Drivers\dsltestSp5.sys [ ]
S3 tapvpn;TAP VPN Adapter;C:\WINDOWS\system32\DRIVERS\tapvpn.sys [2008-01-23 27136]
S3 TSMPacket;DSL-Manager Service;C:\WINDOWS\system32\DRIVERS\tsmpkt.sys [ ]
S3 WFIOCTL;WFIOCTL;D:\WinFast\WFTVFM\WFIOCTL.SYS [2003-09-10 9510]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp

*Newly Created Service* - CATCHME
.
Inhalt des "geplante Tasks" Ordners

2008-09-26 C:\WINDOWS\Tasks\1-Klick-Wartung.job
- D:\TuneUp Utilities 2007\SystemOptimizer.exe [2007-08-02 11:40]

2008-10-07 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- C:\Programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-UnlockerAssistant - D:\Unlocker\UnlockerAssistant.exe



**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-10 14:54:26
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...


**************************************************************************
.
Zeit der Fertigstellung: 2008-10-10 14:57:00
ComboFix-quarantined-files.txt  2008-10-10 12:55:58
ComboFix2.txt  2008-10-10 12:28:04

Vor Suchlauf: 1,741,787,136 Bytes frei
Nach Suchlauf: 1,729,380,352 Bytes frei

168	--- E O F ---	2008-02-22 19:11:53

Trojan-Clicker.Win32.Tiny.h usw.

Plagegeister aller Art und deren Bekämpfung: Trojan-Clicker.Win32.Tiny.h usw.