tr/vundo.gen und tr/patched.dy.1

flyand · 28.01.2009, 20:30

Hallo,

hab heute leider folgende Funde gemacht:

tr/vundo.gen
und
tr/patched.dy.1

und zwar in den dateien:
C:\Dokumente und Einstellungen\Jukebox\Lokale Einstellungen\Temp\tmp57.tmp und \tmp58.tmp

wär echt super, wenn ihr helfen könntet:

hier meine logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:25:21, on 28.01.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Intel\Intel Matrix Storage Manager\iaanotif.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Programme\RocketDock\RocketDock.exe
C:\Programme\Volumouse\volumouse.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\Programme\FRITZ!DSL\StCenter.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\M-Audio MA_CMIDI\MA_CMIDI_Inst.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\mdm.exe
C:\Programme\Intel\Intel Matrix Storage Manager\IAANTMon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: CmjBrowserHelperObject Object - {6FE6A929-59D1-4763-91AD-29B61CFFB35B} - C:\Programme\Mindjet\MindManager 8\Mm8InternetExplorer.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O3 - Toolbar: QT Breadcrumbs Address Bar - {af83e43c-dd2b-4787-826b-31b17dee52ed} - mscoree.dll (file missing)
O3 - Toolbar: TerraTec Home Cinema - {AD6E6555-FB2C-47D4-8339-3E2965509877} - C:\PROGRA~1\TerraTec\TERRAT~1\THCDES~1.DLL
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [IAAnotif] C:\Programme\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [Ad-Watch] C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RocketDock] "C:\Programme\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [$Volumouse$] "C:\Programme\Volumouse\volumouse.exe" /nodlg
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: An Mindjet MindManager senden - {2F72393D-2472-4F82-B600-ED77F354B7FF} - C:\Programme\Mindjet\MindManager 8\Mm8InternetExplorer.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'c:\programme\bonjour\mdnsnsp.dll' missing
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Programme\Intel\Intel Matrix Storage Manager\IAANTMon.exe
O23 - Service: AVM IGD CTRL Service (IGDCTRL) - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: M-Audio CMIDI Installer (MA_CMIDI_InstallerService) - Unknown owner - C:\Programme\M-Audio MA_CMIDI\MA_CMIDI_Inst.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 6685 bytes

danke für eure hilfe.

undoreal · 28.01.2009, 20:41

Halli hallo flyand

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Um alle weiteren Hilfeleistungen zu erleichtern und deine Systemsicherheit zu erhöhen arbeite bitte folgendes gründlich ab:

Deinstalliere bitte Spybot, AdAware, Spyware Doctor und sonstige Anti-Spy/Malware Programme sowie personal-Firewalls wie ZoneAlarm!
Installiert bleiben dürfen nur Anti-Malware oder SUPERAntiSpyware ohne Wächter.
.
Software Updates aller installierten Programme auf die neueste Version (Secunia PSI kann hier wertvolle Hilfe leisten).
.
Update der Viren-Signaturen deines Anti-Viren Programmes.
.
Treiberupdate der Hardware (Grafikkarte, Soundkarte).
.
Windows Update -> Der Frischmacher.
.
Installation des aktuellen ServicePacks:
- XP_ ServicePack3
- Vista_ ServicePack1
.
Vernünftige Ordneransicht -> Einstellungen.
.
Abschalten unnötiger Dienste:
- Vista_ TechNET
.
Windows-Firewall aktivieren: (Wenn beim installiertem AV-Prog eine Firewall dabei ist so kann diese verwendet werden!)
- XP_ Firewall
- Vista_ Firewall
.
Internetoptionen sicher gestallten: Start->Systemsteuerung->Internetoptionen->Sicherheit
- Sicherheit: -> höchste Stufe
  Wähle danach: Stufe anpassen. Ändere die Einstellung: Anwendungen und uns. Dateien starten -> "Bestätigen" und Installation von Desktopobj. -> "Bestätigen".
- Datenschutz: -> alle Cookies blockieren
Nutze nicht den MS-InternetExplorer sondern einen alternativen Browser wie FireFox, Opera o.ä..
.
Räume mit cCleaner auf; Punkte 1&2.
.
Oben genannte Konfigurationen sind grundlegend wichtig! Führe sie also gewissenhaft durch und poste wenn es zu Problemen gekommen ist die du nicht selbstständig mit Hilfe der Boardsuche, Google oder Freunden lösen konntest.

Häufig gestellte Fragen: XP | Vista

Überprüfe den Rechner danach mit SUPERAntiSpyware und Anti-Malware und poste die logs. Poste danach auch ein frisches HJT log.

flyand · 29.01.2009, 00:01

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 01/28/2009 at 11:47 PM

Application Version : 4.25.1012

Core Rules Database Version : 3733
Trace Rules Database Version: 1702

Scan type : Complete Scan
Total Scan Time : 02:29:55

Memory items scanned : 477
Memory threats detected : 0
Registry items scanned : 5467
Registry threats detected : 0
File items scanned : 229771
File threats detected : 0

Malwarebytes' Anti-Malware 1.33
Datenbank Version: 1702
Windows 5.1.2600 Service Pack 3

28.01.2009 23:08:21
mbam-log-2009-01-28 (23-08-21).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 122502
Laufzeit: 1 hour(s), 16 minute(s), 17 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:56:16, on 28.01.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\M-Audio MA_CMIDI\MA_CMIDI_Inst.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\mdm.exe
C:\Programme\Intel\Intel Matrix Storage Manager\IAANTMon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Intel\Intel Matrix Storage Manager\iaanotif.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\RocketDock\RocketDock.exe
C:\Programme\Volumouse\volumouse.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\Programme\FRITZ!DSL\StCenter.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: CmjBrowserHelperObject Object - {6FE6A929-59D1-4763-91AD-29B61CFFB35B} - C:\Programme\Mindjet\MindManager 8\Mm8InternetExplorer.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O3 - Toolbar: QT Breadcrumbs Address Bar - {af83e43c-dd2b-4787-826b-31b17dee52ed} - mscoree.dll (file missing)
O3 - Toolbar: TerraTec Home Cinema - {AD6E6555-FB2C-47D4-8339-3E2965509877} - C:\PROGRA~1\TerraTec\TERRAT~1\THCDES~1.DLL
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [IAAnotif] C:\Programme\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RocketDock] "C:\Programme\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [$Volumouse$] "C:\Programme\Volumouse\volumouse.exe" /nodlg
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: An Mindjet MindManager senden - {2F72393D-2472-4F82-B600-ED77F354B7FF} - C:\Programme\Mindjet\MindManager 8\Mm8InternetExplorer.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Programme\Intel\Intel Matrix Storage Manager\IAANTMon.exe
O23 - Service: AVM IGD CTRL Service (IGDCTRL) - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: M-Audio CMIDI Installer (MA_CMIDI_InstallerService) - Unknown owner - C:\Programme\M-Audio MA_CMIDI\MA_CMIDI_Inst.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 6315 bytes

undoreal · 29.01.2009, 08:15

Wo ist das CF log?

flyand · 29.01.2009, 10:52

Oh sorry vergessen;

ComboFix 09-01-21.04 - Jukebox 2009-01-28 21:05:39.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.1014.585 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Jukebox\Desktop\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated)
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\autorun.inf
c:\recycler\S-6-8-74-100012907-100018433-100008543-2889.com
c:\windows\emMON.exe
c:\windows\system32\e1000msg.dll
c:\windows\system32\pncrt.dll
E:\Autorun.inf
e:\recycler\S-0-5-39-100001300-100013472-100029905-9397.com
e:\recycler\S-6-8-74-100012907-100018433-100008543-2889.com
F:\autorun.inf
f:\recycler\S-6-8-74-100012907-100018433-100008543-2889.com
M:\Autorun.inf
m:\recycler\S-0-5-39-100001300-100013472-100029905-9397.com
m:\recycler\S-6-8-74-100012907-100018433-100008543-2889.com

.
((((((((((((((((((((((( Dateien erstellt von 2008-12-28 bis 2009-01-28 ))))))))))))))))))))))))))))))
.

2009-01-28 20:50 . 2009-01-28 20:50 <DIR> d-------- c:\programme\CCleaner
2009-01-28 20:13 . 2009-01-28 20:13 <DIR> d-------- c:\programme\Trend Micro
2009-01-28 19:56 . 2009-01-28 19:56 <DIR> d-------- C:\VundoFix Backups
2009-01-28 19:42 . 2009-01-28 19:42 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2009-01-28 19:42 . 2009-01-28 19:42 <DIR> d-------- c:\dokumente und einstellungen\Jukebox\Anwendungsdaten\Malwarebytes
2009-01-28 19:42 . 2009-01-28 19:42 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-01-28 19:42 . 2009-01-14 16:11 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-01-28 19:42 . 2009-01-14 16:11 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-01-28 19:07 . 2009-01-28 19:07 <DIR> d-------- c:\dokumente und einstellungen\Jukebox\Anwendungsdaten\Independent
2009-01-28 19:06 . 2009-01-28 19:06 4,096 --a------ c:\windows\d3dx.dat
2009-01-28 16:28 . 2009-01-28 21:00 <DIR> d-------- c:\programme\Lavasoft
2009-01-28 15:20 . 2009-01-28 20:05 <DIR> d-------- c:\programme\iMagic Survey Designer
2009-01-28 15:20 . 2009-01-28 15:20 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2009-01-26 12:47 . 2009-01-26 12:47 <DIR> d-------- c:\programme\Allway Sync
2009-01-26 12:47 . 2009-01-26 12:47 <DIR> d-------- c:\dokumente und einstellungen\Jukebox\Anwendungsdaten\Sync App Settings
2009-01-26 12:47 . 2009-01-26 12:47 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Sync App Settings
2009-01-23 15:58 . 2009-01-23 15:58 162 --a------ c:\windows\ODBC.INI
2009-01-23 15:24 . 2009-01-23 15:24 <DIR> d-------- c:\programme\DAEMON Tools Lite
2009-01-23 15:24 . 2009-01-23 15:24 <DIR> d-------- c:\dokumente und einstellungen\Jukebox\Anwendungsdaten\DAEMON Tools Pro
2009-01-23 15:24 . 2009-01-23 15:24 <DIR> d-------- c:\dokumente und einstellungen\Jukebox\Anwendungsdaten\DAEMON Tools
2009-01-23 15:24 . 2009-01-23 15:24 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DAEMON Tools Lite
2009-01-23 15:20 . 2009-01-23 15:20 <DIR> d-------- c:\programme\MSXML 4.0
2009-01-23 15:18 . 2009-01-23 15:25 <DIR> d-------- c:\dokumente und einstellungen\Jukebox\Anwendungsdaten\DAEMON Tools Lite
2009-01-23 15:18 . 2009-01-23 15:18 717,296 --a------ c:\windows\system32\drivers\sptd.sys
2009-01-22 15:12 . 2009-01-22 15:12 <DIR> d-------- C:\TerraTec
2009-01-22 15:12 . 2009-01-22 15:12 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TerraTec
2009-01-22 15:12 . 2008-11-04 11:06 1,712,128 -ra------ c:\windows\system32\gdiplus.dll
2009-01-22 15:12 . 2008-11-04 11:06 499,712 -ra------ c:\windows\system32\msvcp71.dll
2009-01-22 15:11 . 2009-01-22 15:11 <DIR> d-------- c:\programme\TerraTec
2009-01-22 15:11 . 2009-01-22 15:12 <DIR> d-------- c:\programme\Gemeinsame Dateien\TerraTec
2009-01-22 15:11 . 2009-01-22 15:17 <DIR> d-------- c:\dokumente und einstellungen\Jukebox\Anwendungsdaten\TerraTec
2009-01-21 18:44 . 2009-01-21 18:45 <DIR> d-------- c:\programme\gnubg
2009-01-20 13:37 . 2001-10-19 14:40 1,683,792 --a------ c:\windows\system32\wmvcore2.dll
2009-01-20 13:37 . 2001-10-19 14:40 665,424 --a------ c:\windows\system32\wmv8dmoe.dll
2009-01-20 13:37 . 2001-10-19 14:39 572,752 --a------ c:\windows\system32\wmvdmoe.dll
2009-01-20 13:37 . 2001-10-19 14:40 438,608 --a------ c:\windows\system32\wmv8dmod.dll
2009-01-20 13:37 . 2001-10-19 02:05 285,184 --a------ c:\windows\system32\wmidx2.ocx
2009-01-20 13:37 . 2009-01-20 13:37 156,910 --a------ c:\windows\WMSysPr8.prx
2009-01-20 13:36 . 2009-01-20 13:41 <DIR> d-------- c:\programme\coolpro2
2009-01-20 13:35 . 2009-01-20 13:35 <DIR> d-------- c:\programme\Cool2000
2009-01-18 14:37 . 2009-01-26 13:34 <DIR> d-------- c:\windows\system32\NtmsData
2009-01-16 15:23 . 2009-01-16 15:24 <DIR> d-------- c:\programme\Winamp
2009-01-16 15:23 . 2009-01-21 18:31 <DIR> d-------- c:\dokumente und einstellungen\Jukebox\Anwendungsdaten\Winamp
2009-01-16 14:25 . 2009-01-16 14:25 <DIR> d-------- C:\IEGD
2009-01-16 14:22 . 2008-02-15 13:12 5,854,752 --a------ c:\windows\system32\drivers\igxpmp32.sys
2009-01-16 14:22 . 2008-02-15 13:12 2,643,968 --a------ c:\windows\system32\igxpdx32.dll
2009-01-16 14:22 . 2008-02-15 13:12 1,670,144 --a------ c:\windows\system32\igxpdv32.dll
2009-01-16 14:22 . 2008-03-07 12:56 920,088 --a------ c:\windows\system32\igxpun.exe
2009-01-16 14:22 . 2008-02-15 12:49 176,128 --a------ c:\windows\system32\igfxrsky.lrc
2009-01-16 14:22 . 2008-02-15 12:49 172,032 --a------ c:\windows\system32\igfxrslv.lrc
2009-01-16 14:22 . 2008-02-15 13:12 151,040 --a------ c:\windows\system32\igxpgd32.dll
2009-01-16 14:22 . 2008-02-15 13:21 147,456 --a------ c:\windows\system32\igfxCoIn_v4926.dll
2009-01-16 14:22 . 2008-02-15 13:12 57,344 --a------ c:\windows\system32\igxprd32.dll
2009-01-16 14:15 . 2009-01-16 14:15 <DIR> d-------- c:\dokumente und einstellungen\Jukebox\Anwendungsdaten\InstallShield
2009-01-16 14:15 . 2006-11-10 08:25 319,456 --a------ c:\windows\system32\difxapi.dll
2009-01-16 14:05 . 2009-01-28 21:00 <DIR> d----c--- c:\windows\system32\DRVSTORE
2009-01-16 14:05 . 2009-01-16 14:05 <DIR> d-------- C:\Intel
2009-01-16 14:05 . 2008-05-01 16:35 53,248 --a------ c:\windows\system32\CSVer.dll
2009-01-16 13:33 . 2009-01-16 13:33 <DIR> d-------- c:\programme\Lavalys
2009-01-16 01:16 . 2009-01-16 01:16 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\FLEXnet
2009-01-15 20:44 . 2009-01-15 20:44 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\MailFrontier
2009-01-15 20:44 . 2009-01-15 20:45 4,212 ---h----- c:\windows\system32\zllictbl.dat
2009-01-15 20:43 . 2009-01-16 14:46 <DIR> d-------- c:\windows\Internet Logs
2009-01-15 20:29 . 2009-01-15 20:29 <DIR> d-------- c:\programme\Symantec
2009-01-15 19:40 . 2009-01-28 21:00 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft
2009-01-15 15:11 . 2009-01-15 15:11 <DIR> d-------- c:\windows\nview
2009-01-15 15:11 . 2008-10-07 13:33 453,152 --a------ c:\windows\system32\nvudisp.exe
2009-01-15 15:11 . 2009-01-15 15:57 200,819 --a------ c:\windows\system32\nvapps.xml
2009-01-15 15:11 . 2008-10-07 13:33 18,477 --a------ c:\windows\system32\nvdisp.nvu
2009-01-15 15:10 . 2009-01-15 15:10 <DIR> d-------- C:\NVIDIA
2009-01-15 15:10 . 2008-10-02 10:07 453,152 --a------ c:\windows\system32\NVUNINST.EXE
2009-01-15 11:01 . 2009-01-26 18:40 <DIR> d-------- c:\dokumente und einstellungen\Jukebox\Anwendungsdaten\dvdcss
2009-01-14 20:29 . 2009-01-14 20:29 <DIR> d-------- c:\programme\Bonjourxxx
2009-01-14 20:23 . 2009-01-14 20:23 <DIR> d-------- c:\programme\Gemeinsame Dateien\Macrovision Shared
2009-01-14 19:30 . 2009-01-24 21:54 <DIR> d-------- C:\Temp
2009-01-14 14:48 . 2009-01-15 15:09 <DIR> d-------- c:\programme\SpeedFan
2009-01-14 14:48 . 2009-01-14 14:48 45 --a------ c:\windows\system32\initdebug.nfo
2009-01-13 16:54 . 2004-12-07 06:11 258,352 --a------ c:\windows\system32\unicows.dll
2009-01-13 16:54 . 2006-01-30 08:32 5,632 --a------ c:\windows\system32\pxc25pm.dll
2009-01-13 16:53 . 2009-01-13 16:53 <DIR> d-------- c:\programme\Mindjet
2009-01-13 16:53 . 2009-01-13 16:53 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Mindjet
2009-01-13 16:45 . 2009-01-23 14:41 <DIR> d-------- c:\programme\Streamripper
2009-01-13 16:45 . 2009-01-13 16:45 <DIR> d-------- c:\dokumente und einstellungen\Jukebox\Anwendungsdaten\streamripper
2009-01-13 15:31 . 2006-10-26 19:58 30,512 --a------ c:\windows\system32\mdimon.dll
2009-01-13 15:30 . 2006-10-26 19:56 32,592 --a------ c:\windows\system32\msonpmon.dll
2009-01-13 15:29 . 2009-01-13 15:29 <DIR> d-------- c:\programme\Microsoft Works
2009-01-13 15:27 . 2009-01-13 15:27 <DIR> d-------- c:\programme\Microsoft.NET
2009-01-13 15:25 . 2009-01-13 15:28 <DIR> d-------- c:\windows\SHELLNEW
2009-01-13 15:25 . 2009-01-13 15:25 <DIR> dr-h----- C:\MSOCache
2009-01-13 15:25 . 2009-01-26 11:50 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2009-01-13 13:27 . 1998-02-25 02:00 2,259,067 --a------ c:\windows\system32\DEFAULT.ECW
2009-01-13 13:27 . 1998-01-08 01:00 1,048,576 --a------ c:\windows\system32\sfman.dat
2009-01-13 13:24 . 2009-01-13 10:31 227 --a------ c:\windows\SYSTEM.I~I
2009-01-13 13:23 . 2009-01-13 13:42 <DIR> d-------- c:\programme\Creative
2009-01-13 12:57 . 2005-06-04 09:08 487,936 --a------ c:\windows\system32\rmbe3260.dll
2009-01-13 12:57 . 2005-06-04 09:08 487,424 --a------ c:\windows\system32\msvcp70.dll
2009-01-13 12:57 . 2005-06-04 09:09 352,768 --a------ c:\windows\system32\pngu3263.dll
2009-01-13 12:57 . 2005-06-04 09:09 131,072 --a------ c:\windows\system32\pneng50.dll
2009-01-13 12:57 . 2005-06-04 09:09 130,560 --a------ c:\windows\system32\pnc3250.dll
2009-01-13 12:57 . 2005-06-04 09:08 87,040 --a------ c:\windows\system32\ra32sipr.dll
2009-01-13 12:57 . 2005-06-04 09:11 85,504 --a------ c:\windows\system32\encdnet.dll
2009-01-13 12:57 . 2005-06-04 09:09 81,920 --a------ c:\windows\system32\ra3214_4.dll
2009-01-13 12:57 . 2005-06-04 09:09 72,704 --a------ c:\windows\system32\ra3228_8.dll
2009-01-13 12:57 . 2005-06-04 09:09 61,952 --a------ c:\windows\system32\decdnet.dll
2009-01-13 12:57 . 2005-06-04 09:09 21,504 --a------ c:\windows\system32\ra32dnet.dll
2009-01-13 12:56 . 2009-01-13 12:56 <DIR> d-------- c:\programme\Syncrosoft
2009-01-13 12:56 . 2005-10-17 09:35 704,512 --a------ c:\windows\system32\SYNSOACC.dll
2009-01-13 12:56 . 2004-05-10 15:58 147,456 --a------ c:\windows\system32\SynsoLChk.dll
2009-01-13 12:56 . 2003-07-31 20:28 147,425 --a------ c:\windows\system32\SYNSOACC-Aide.chm
2009-01-13 12:56 . 2003-05-26 15:29 120,468 --a------ c:\windows\system32\SYNSOACC-Hilfe.chm
2009-01-13 12:56 . 2003-05-26 15:29 114,279 --a------ c:\windows\system32\SYNSOACC-Help.chm
2009-01-13 12:56 . 2002-11-25 08:36 45,056 --a------ c:\windows\system32\Synsopos.exe
2009-01-13 12:56 . 2002-11-25 05:46 16,896 --a------ c:\windows\system32\drivers\synasUSB.sys
2009-01-13 10:50 . 2009-01-14 20:29 <DIR> d-------- c:\programme\Gemeinsame Dateien\Adobe
2009-01-13 10:42 . 2009-01-13 10:42 <DIR> d-------- c:\programme\Gemeinsame Dateien\AVM
2009-01-13 10:42 . 2009-01-13 10:42 <DIR> d-------- c:\programme\FRITZ!DSL
2009-01-13 10:42 . 2009-01-28 21:08 <DIR> d-------- c:\dokumente und einstellungen\Jukebox\Anwendungsdaten\FRITZ!
2009-01-13 10:36 . 2009-01-28 16:28 <DIR> d-------- c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-01-13 10:36 . 2009-01-13 10:36 <DIR> d-------- c:\programme\FRITZ!BoxPrint
2009-01-13 10:36 . 2009-01-13 10:36 <DIR> d-------- c:\programme\FRITZ!Box
2009-01-13 10:36 . 2006-01-20 13:43 55,808 -ra------ c:\windows\system32\avmadd32.dll
2009-01-13 10:36 . 2006-05-29 02:00 16,384 -ra------ c:\windows\system32\avmprmon.dll
2009-01-12 18:15 . 2009-01-24 21:24 <DIR> d-------- c:\programme\Project64 1.6
2009-01-12 16:30 . 2009-01-12 16:31 <DIR> d-------- c:\programme\Zattoo
2009-01-12 16:03 . 2009-01-12 16:03 4,753,473 --a------ c:\windows\registry.daz

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-28 18:45 --------- d-----w c:\programme\RocketDock
2009-01-22 14:11 --------- d--h--w c:\programme\InstallShield Installation Information
2009-01-16 14:22 --------- d-----w c:\programme\Intel
2009-01-15 19:28 --------- d-----w c:\programme\Gemeinsame Dateien\InstallShield
2009-01-12 17:03 --------- d-----w c:\dokumente und einstellungen\Jukebox\Anwendungsdaten\ICQ
2009-01-12 12:14 --------- d-----w c:\programme\ICQ6.5
2009-01-12 11:26 --------- d-----w c:\programme\Avira
2009-01-12 11:26 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2009-01-12 11:14 --------- d-----w c:\programme\ATI Technologies
2009-01-12 11:04 --------- d-----w c:\programme\microsoft frontpage
2009-01-12 11:03 --------- d-----w c:\programme\Online-Dienste
2009-01-12 11:02 --------- d-----w c:\programme\Gemeinsame Dateien\Dienste
2008-12-11 10:57 333,952 ----a-w c:\windows\system32\drivers\srv.sys
2008-12-04 11:34 328,728 ----a-w c:\windows\system32\drivers\iaStor.sys
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6FE6A929-59D1-4763-91AD-29B61CFFB35B}]
2008-11-14 03:45 70944 --a------ c:\programme\Mindjet\MindManager 8\Mm8InternetExplorer.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"RocketDock"="c:\programme\RocketDock\RocketDock.exe" [2007-09-02 495616]
"$Volumouse$"="c:\programme\Volumouse\volumouse.exe" [2008-11-10 31744]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"IAAnotif"="c:\programme\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2008-12-04 186904]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-02-15 135168]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-02-15 159744]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-02-15 131072]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\Jukebox\Startmen\Programme\Autostart\
FRITZ!DSL Protect.lnk - c:\programme\FRITZ!DSL\FwebProt.exe [2007-09-07 1070384]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"midi1"= ma_cmidn.dll
"aux2"= ctwdm32.dll

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Jukebox^Startmenü^Programme^Autostart^OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk]
path=c:\dokumente und einstellungen\Jukebox\Startmenü\Programme\Autostart\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk
backup=c:\windows\pss\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-06-12 02:38 34672 c:\programme\Adobe\Reader 9.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]
--a------ 2006-10-27 00:47 31016 c:\programme\Microsoft Office\Office12\GrooveMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\H2O]
--a------ 2005-10-23 00:00 385024 c:\programme\Syncrosoft\POS\H2O\cledx.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ]
--a------ 2008-12-17 14:36 172792 c:\programme\ICQ6.5\ICQ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\igfxpers]
--a------ 2008-02-15 12:46 131072 c:\windows\system32\igfxpers.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\igfxtray]
--a------ 2008-02-15 12:46 135168 c:\windows\system32\igfxtray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MMReminderService]
--a------ 2008-11-14 03:46 37656 c:\programme\Mindjet\MindManager 8\MmReminderService.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--------- 2008-04-14 03:22 1695232 c:\programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
--a------ 2008-08-04 00:02 36352 c:\programme\Winamp\winampa.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
-ra------ 2005-05-04 10:43 69632 c:\windows\ALCMTR.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
-ra------ 2005-11-11 03:14 15473664 c:\windows\RTHDCPL.EXE

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\Zattoo\\zattood.exe"=
"c:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"=
"c:\\Programme\\FRITZ!DSL\\FBOXUPD.EXE"=
"c:\\Programme\\FRITZ!DSL\\WebwaIgd.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\Zattoo\\Zattoo2.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Programme\\TerraTec\\TerraTec Home Cinema\\InstTool.exe"=
"c:\\Programme\\TerraTec\\TerraTec Home Cinema\\tvtvSetup\\tvtv_Wizard.exe"=
"c:\\Programme\\TerraTec\\TerraTec Home Cinema\\CinergyDvr.exe"=
"c:\\Programme\\TerraTec\\TerraTec Home Cinema\\VersionCheck\\VersionCheck.exe"=

R3 CLEDX;Team H2O CLEDX service;c:\windows\system32\drivers\cledx.sys [2009-01-12 33792]
R4 IGDCTRL;AVM IGD CTRL Service;c:\programme\FRITZ!DSL\IGDCTRL.EXE [2007-09-04 87344]
S3 SynasUSB;SynasUSB;c:\windows\system32\drivers\synasUSB.sys [2009-01-13 16896]
.
Inhalt des "geplante Tasks" Ordners

2009-01-28 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe []
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
uInternet Settings,ProxyOverride = *.local
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: {{2F72393D-2472-4F82-B600-ED77F354B7FF} - {6FE6A929-59D1-4763-91AD-29B61CFFB35B} - c:\programme\Mindjet\MindManager 8\Mm8InternetExplorer.dll
LSP: c:\programme\FRITZ!DSL\\sarah.dll
FF - ProfilePath - c:\dokumente und einstellungen\Jukebox\Anwendungsdaten\Mozilla\Firefox\Profiles\dh53xsqr.default\
FF - prefs.js: browser.startup.homepage - www.google.de
FF - component: c:\dokumente und einstellungen\Jukebox\Anwendungsdaten\Mozilla\Firefox\Profiles\dh53xsqr.default\extensions\piclens@cooliris.com\components\coolirisstub.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2009-01-28 21:08:16
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'lsass.exe'(828)
c:\programme\FRITZ!DSL\sarah.dll
c:\programme\FRITZ!DSL\block.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\windows\system32\igfxsrvc.exe
c:\programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
c:\programme\M-Audio MA_CMIDI\MA_CMIDI_Inst.exe
c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\mdm.exe
c:\windows\system32\wdfmgr.exe
c:\programme\Intel\Intel Matrix Storage Manager\IAANTmon.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-01-28 21:12:21 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-01-28 20:12:18

Vor Suchlauf: 15 Verzeichnis(se), 23.367.512.064 Bytes frei
Nach Suchlauf: 15 Verzeichnis(se), 23,824,273,408 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

292 --- E O F --- 2009-01-23 14:20:19

DANKE!

undoreal · 29.01.2009, 12:49

Deaktiviere bitte den SUPERAntiSpyware Wächter! Die beiden Progs solten nur zum scannen benutzt werden!

Hast du Lavasofts AdAware noch nicht deinstalliert? Tue dies bitte.

Was ist in dem Ordner drinn? Bzw. Hast du die xxx da hin gemacht? c:\programme\Bonjourxxx

Zatoo würde ich deinstallieren.

Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:

Doppelklick auf das Avenger-Symbol

Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code:

ATTFilter

Files to delete:
c:\windows\d3dx.dat

Folders to delete:
c:\programme\Lavasoft

Schliesse nun alle Programme und Browser-Fenster

Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet

Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Dateien Online überprüfen lassen:

* Lasse dir auch die versteckten Dateien anzeigen!

* Rufe die Seite Virtustotal auf.

* Dort suche über den "Durchsuchen"-Button folgende Datei raus und lade sie durch Druck auf den "Senden der Datei"-Button hoch.

Zitat:

c:\windows\system32\drivers\igxpmp32.sys
c:\windows\system32\igxpun.exe
c:\windows\system32\CSVer.dll
c:\windows\system32\zllictbl.dat
c:\dokumente und einstellungen\Jukebox\Anwendungsdaten\Mozilla\Fire fox\Profiles\dh53xsqr.default\extensions\piclens@c ooliris.com\components\coolirisstub.dll

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Sollte die Datei bereits analysiert worden sein so lasse sie unbedingt trotzdem nocheinmal analysieren!
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

29.01.2009, 08:15	#4
undoreal /// AVZ-Toolkit Guru	tr/vundo.gen und tr/patched.dy.1 Wo ist das CF log? __________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - Mit Sicherheit durch's Netz Trojaner Board Spenden Konto

tr/vundo.gen und tr/patched.dy.1

Log-Analyse und Auswertung: tr/vundo.gen und tr/patched.dy.1