Hallo,

habe ein Laptop der Marke Siemens Fujitsu Amilo Xi2428 mit Vista 32 Bit Version.
Habe das laptop jetzt fast ein Jahr und jetzt fängts an zu spinnen und zwar wenn ich es hochfahre dann kommen direkt nach der Anmeldung 2 Fehlermeldungen:

RunDLL
Fehler beim Laden von
C:\Users\*****~1\AppData\Local\Temp\bwcuhxfn.dll
Das angegebene Modul wurde nicht gefunden

und

C:\Users\*****~1\AppData\Local\Temp\rqRLcyYO.dll
Das angegebene Modul wurde nicht gefunden


dann etwa fünf Minuten später,egal was ich grad mach hängt er sich auf und sagt,,Keine Rückmeldung,, und dann hilft nur noch Akku raus und Stecker ziehen.Und wenn ich dann wieder im abgesicherten Modus hochfahre funktioniert es einwandfrei.

Hoffe ich habe alle Daten die ihr braucht genannt,und hoffe ihr könnt mir helfen.

Achso drückt euch bei eurer Hilfe bitte nicht zu fachmännisch aus bin auf diesem Gebiet absoluter Laie.

Hier noch mein HijackThis auswertung:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:13:01, on 02.02.2009
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16764)
Boot mode: Safe mode with network support

Running processes:
C:\Windows\Explorer.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Ask Toolbar BHO - {FE063DB1-4EC0-403e-8DD8-394C54984B2C} - C:\Program Files\AskTBar\bar\1.bin\ASKTBAR.DLL
O3 - Toolbar: Ask Toolbar - {FE063DB9-4EC0-403e-8DD8-394C54984B2C} - C:\Program Files\AskTBar\bar\1.bin\ASKTBAR.DLL
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [SMSERIAL] C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe
O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [IaNvSrv] C:\Program Files\Intel\Intel Matrix Storage Manager\OROM\IaNvSrv\IaNvSrv.exe
O4 - HKLM\..\Run: [OSD] C:\Program Files\C&E\OSD\osd.exe
O4 - HKLM\..\Run: [recinfo450] c:\RecInfo\RecInfo.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [lxcqmon.exe] "C:\Program Files\Lexmark 9300 Series\lxcqmon.exe"
O4 - HKLM\..\Run: [Lexmark 9300 Series Fax Server] "C:\Program Files\Lexmark 9300 Series\fm3032.exe" /s
O4 - HKLM\..\Run: [EzPrint] "C:\Program Files\Lexmark 9300 Series\ezprint.exe"
O4 - HKLM\..\Run: [WrtMon.exe] C:\Windows\system32\spool\drivers\w32x86\3\WrtMon.exe
O4 - HKLM\..\Run: [LXCQCATS] rundll32 C:\Windows\system32\spool\DRIVERS\W32X86\3\LXCQtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKCU\..\Run: [BM5d4f46ff] Rundll32.exe "C:\Users\XXXX~1\AppData\Local\Temp\bwcuhxfn.dll",s
O4 - HKCU\..\Run: [MSServer] rundll32.exe C:\Users\XXXX~1\AppData\Local\Temp\rqRLcyYO.dll,#1
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O13 - Gopher Prefix:
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - [XXXl]h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab[/url]
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASP ER~1\kloehk.dll
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: lxcq_device - - C:\Windows\system32\lxcqcoms.exe
O23 - Service: NMIndexingService - Unknown owner - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe (file missing)
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Fujitsu Siemens Computers Diagnostic Testhandler (TestHandler) - Fujitsu Siemens Computers - C:\firststeps\OnlineDiagnostic\TestManager\TestHandler.exe

--
End of file - 7202 bytes

Hi,

Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:

• Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

• Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code: Alles auswählenAufklappen

ATTFilter

c:\RecInfo\RecInfo.exe
C:\Users\XXXX~1\AppData\Local\Temp\bwcuhxfn.dll
C:\Users\XXXX~1\AppData\Local\Temp\rqRLcyYO.dll
         

• Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

• Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

• Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Also:
Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:



2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")

Code: Alles auswählenAufklappen

ATTFilter

Files to delete:
c:\RecInfo\RecInfo.exe
C:\Users\XXXX~1\AppData\Local\Temp\bwcuhxfn.dll
C:\Users\XXXX~1\AppData\Local\Temp\rqRLcyYO.dll
         

3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet.

4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
Beim fixen müssen alle Programme geschlossen sein!

Code: Alles auswählenAufklappen

ATTFilter

O4 - HKLM\..\Run: [recinfo450] c:\RecInfo\RecInfo.exe
O4 - HKCU\..\Run: [BM5d4f46ff] Rundll32.exe "C:\Users\XXXX~1\AppData\Local\Temp\bwcuhxfn.dll", s
O4 - HKCU\..\Run: [MSServer] rundll32.exe C:\Users\XXXX~1\AppData\Local\Temp\rqRLcyYO.dll,#1
         

Danach unbedingt noch MAM laufen lassen!
Malwarebytes Antimalware (MAM).
Anleitung&Download hier: http://www.trojaner-board.de/51187-malwarebytes-anti-malware.html
Fullscan und alles bereinigen lassen! Log posten.

Chris

Guten morgen,

kann ich das ganze auch im abgesicherten modus machen weil bei normalen start schaff ich das nicht bevor er hängen bleibt.

gruss

kann die beiden dateien über Virustotal nicht finden.

C:\Users\XXXX~1\AppData\Local\Temp\bwcuhxfn.dll
C:\Users\XXXX~1\AppData\Local\Temp\rqRLcyYO.dll

Hi,

vergiss nicht den Pfad anzupassen (die "XXXX~1");
Ansonsten fackele einfach das Script ab und prüfe folgendes:
Arbeitsplatz->rechte Maustaste->Eigenschaften-> Hardware->Gerätemanager->Ansicht->ausgeblendete Geräte anzeigen->Nicht PnP-Treiber
und dort den Treiber "TDSSserv.sys" oder aehnlich deaktivieren und neu starten.

chris

Hier der bericht vom Avenger:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows Vista

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: file "c:\RecInfo\RecInfo.exe" not found!
Deletion of file "c:\RecInfo\RecInfo.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\Users\FIRESC~1\AppData\Local\Temp\bwcuhxfn.dll" not found!
Deletion of file "C:\Users\FIRESC~1\AppData\Local\Temp\bwcuhxfn.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\Users\FIRESC~1\AppData\Local\Temp\rqRLcyYO.dll" not found!
Deletion of file "C:\Users\FIRESC~1\AppData\Local\Temp\rqRLcyYO.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Completed script processing.

*******************

Finished! Terminate.


Wie gesagt das mit dem virustotal hat nicht geklappt.

und den treiber TDSSserv.sys oder ähnlich kann ich auch nicht finden.

Gruss Oli

Hi,

also Askbar hab ich deinstalliert
Kaspersky ausgeschaltet und Avira nochmal probiert aber es geht immer noch nicht er sagt:,,error loading driver!,,

Kaspersky übers programm selbst upgedatet


Mbr nach paar mal versuchen hats geklappt

LOG:

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK


aber er fängt wieder an zu mucken und bleibt wieder hängen.


Oli

Hi,

Schluss mit lustig:

Folge der folgenden Anleitung und poste alle Logs:
http://virus-protect.org/artikel/tools/vundofixx.html

chris

hi,

hier das combofix log

ComboFix 09-02-05.01 - fireschleicher 2009-02-05 22:27:12.1 - NTFSx86 NETWORK
Microsoft® Windows Vista™ Home Premium 6.0.6000.0.1252.1.1031.18.2046.1467 [GMT 1:00]
ausgeführt von:: c:\users\fireschleicher\Videos\Desktop\ComboFix.exe
AV: Kaspersky Internet Security *On-access scanning disabled* (Updated)
FW: Kaspersky Internet Security *enabled*
.

((((((((((((((((((((((( Dateien erstellt von 2009-01-05 bis 2009-02-05 ))))))))))))))))))))))))))))))
.

Keine neuen Dateien erstellt in diesem Zeitraum

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-05 21:24 --------- d-----w c:\progra~2\Kaspersky Lab
2009-02-05 21:12 --------- d-----w c:\program files\CCleaner
2009-02-04 16:26 --------- d-----w c:\program files\AskTBar
2009-02-04 16:14 1,048,576 --sha-w c:\users\Gerüstbau\ntuser.dat
2009-02-04 16:14 1,048,576 --sha-w c:\users\Gerüstbau\ntuser.dat
2009-02-04 16:12 --------- d--h--w c:\program files\InstallShield Installation Information
2009-02-04 16:12 --------- d-----w c:\program files\Avira GmbH
2009-02-04 09:08 466,976 --sha-w c:\windows\system32\drivers\fidbox2.dat
2009-02-04 09:08 32,844 --sha-w c:\windows\system32\drivers\fidbox.idx
2009-02-04 09:08 3,931,680 --sha-w c:\windows\system32\drivers\fidbox.dat
2009-02-04 09:08 2,676 --sha-w c:\windows\system32\drivers\fidbox2.idx
2009-02-03 21:17 --------- d-----w c:\users\fireschleicher\AppData\Roaming\Malwarebytes
2009-02-03 21:17 --------- d-----w c:\users\FIRESC~1\AppData\Roaming\Malwarebytes
2009-02-03 21:17 --------- d-----w c:\program files\Malwarebytes' Anti-Malware
2009-02-03 21:17 --------- d-----w c:\progra~2\Malwarebytes
2009-02-03 19:29 89,601 ----a-w c:\windows\system32\drivers\klick.dat
2009-02-03 19:29 101,287 ----a-w c:\windows\system32\drivers\klin.dat
2009-02-02 17:18 --------- d-----w c:\users\fireschleicher\AppData\Roaming\Samsung
2009-02-02 17:18 --------- d-----w c:\users\FIRESC~1\AppData\Roaming\Samsung
2009-02-02 17:16 --------- d-----w c:\program files\MapMax
2009-02-02 17:15 --------- d-----w c:\program files\PmsAGL
2009-02-01 19:48 --------- d-----w c:\users\fireschleicher\AppData\Roaming\WEBDE
2009-02-01 19:48 --------- d-----w c:\users\FIRESC~1\AppData\Roaming\WEBDE
2009-02-01 19:48 --------- d-----w c:\progra~2\WEBDE
2009-02-01 19:47 --------- d-----w c:\users\fireschleicher\AppData\Roaming\SmartSurfer
2009-02-01 19:47 --------- d-----w c:\users\FIRESC~1\AppData\Roaming\SmartSurfer
2009-01-29 09:43 --------- d-----w c:\program files\Nero
2009-01-29 09:43 --------- d-----w c:\program files\Common Files\Nero
2009-01-29 09:43 --------- d-----w c:\progra~2\Nero
2009-01-28 20:38 105,614 ----a-w c:\users\fireschleicher\AppData\Roaming\nvModes.dat
2009-01-28 20:38 105,614 ----a-w c:\users\FIRESC~1\AppData\Roaming\nvModes.dat
2009-01-28 20:31 --------- d-----w c:\progra~2\NVIDIA
2009-01-27 20:26 --------- d-----w c:\program files\Kaspersky Lab
2009-01-26 20:51 --------- d-----w c:\progra~2\Symantec
2009-01-26 19:42 --------- d-----w c:\progra~2\NortonInstaller
2009-01-23 21:44 --------- d-----w c:\progra~2\Kaspersky Lab Setup Files
2009-01-16 09:57 --------- d-----w c:\program files\Windows Mail
2009-01-16 09:57 --------- d-----w c:\progra~2\Microsoft Help
2009-01-15 13:59 --------- d-----w c:\program files\Lx_cats
2009-01-14 15:11 38,496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2009-01-14 15:11 15,504 ----a-w c:\windows\system32\drivers\mbam.sys
2008-12-28 22:28 --------- d-----w c:\program files\Alcohol Soft
2008-12-16 03:14 290,304 ----a-w c:\windows\system32\drivers\srv.sys
2008-12-13 15:38 174 --sha-w c:\program files\desktop.ini
2008-12-08 16:42 131,072 ----a-w c:\windows\System32\nvcod135.dll
2008-11-11 19:00 218,376 ----a-w c:\windows\System32\klogon.dll
2008-05-02 15:57 108 ----a-w c:\users\fireschleicher\AppData\Roaming\wklnhst.dat
2008-05-02 15:57 108 ----a-w c:\users\FIRESC~1\AppData\Roaming\wklnhst.dat
2008-10-02 19:31 16,384 --sha-w c:\windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
2008-10-02 19:31 32,768 --sha-w c:\windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
2008-10-02 19:31 16,384 --sha-w c:\windows\ServiceProfiles\NetworkService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2006-11-02 125440]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2006-11-02 201728]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SMSERIAL"="c:\program files\Motorola\SMSERIAL\sm56hlpr.exe" [2006-11-22 630784]
"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2007-05-03 174872]
"IaNvSrv"="c:\program files\Intel\Intel Matrix Storage Manager\OROM\IaNvSrv\IaNvSrv.exe" [2007-05-03 33048]
"OSD"="c:\program files\C&E\OSD\osd.exe" [2007-07-10 557056]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2007-08-24 33648]
"lxcqmon.exe"="c:\program files\Lexmark 9300 Series\lxcqmon.exe" [2007-01-11 291760]
"Lexmark 9300 Series Fax Server"="c:\program files\Lexmark 9300 Series\fm3032.exe" [2006-12-05 304048]
"EzPrint"="c:\program files\Lexmark 9300 Series\ezprint.exe" [2006-12-05 82864]
"WrtMon.exe"="c:\windows\system32\spool\drivers\w32x86\3\WrtMon.exe" [2006-09-20 20480]
"LXCQCATS"="c:\windows\system32\spool\DRIVERS\W32X86\3\LXCQtime.dll" [2006-11-21 106496]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2008-09-06 413696]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2008-10-01 289576]
"NvSvc"="c:\windows\system32\nvsvc.dll" [2007-07-19 86016]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-07-19 8466432]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-07-19 81920]
"RtHDVCpl"="RtHDVCpl.exe" [2007-05-10 c:\windows\RtHDVCpl.exe]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"GrpConv"="grpconv -o" [X]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\progra~1\KASPER~1\KASPER~1\mzvkbd.dll,c:\progra~1\KASPER~1\KASPER~1\mzvkbd3.dll,c:\progra~1\KASPER~1\KASPER~1\adialhk.dll,c:\progra~ 1\KASPER~1\KASPER~1\kloehk.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.mkdmp3enc"= c:\progra~1\CYBERL~1\PowerDV\Kernel\Burner\MKDMP3Enc.ACM

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\DomainProfile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{82CB6B91-CAB3-4497-986F-7DBD7D49FF6E}"= UDP:c:\program files\Fujitsu Siemens Computers\FSCLounge\FSCWBaseUpdaterService\2\FSCWBaseUpdaterService.exe:FSCLBaseUpdaterService.exe
"{A19BB84D-DCD2-4A63-A078-0C0C93252853}"= TCP:c:\program files\Fujitsu Siemens Computers\FSCLounge\FSCWBaseUpdaterService\2\FSCWBaseUpdaterService.exe:FSCLBaseUpdaterService.exe
"{01DA9E15-57ED-49D7-BF04-A8B44A4F9B10}"= c:\program files\CyberLink\PowerDV\PowerDV.exe:CyberLink PowerDV
"{CE55A12B-22A2-4E3F-AA1D-0D2F576AC031}"= TCP:6004|c:\program files\Microsoft Office\Office12\outlook.exe:Microsoft Office Outlook
"{B77D4A75-3415-423B-93EB-CDEE81097A0F}"= UDP:c:\program files\Microsoft Office\Office12\GROOVE.EXE:Microsoft Office Groove
"{A0B122B7-1F8C-44B5-B79F-2E13690F3B02}"= TCP:c:\program files\Microsoft Office\Office12\GROOVE.EXE:Microsoft Office Groove
"{701FCBF2-ACF7-43F2-9F70-2A659C1B708F}"= UDP:c:\program files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote
"{C7A17821-8302-406D-9E44-184CFCCD4DE9}"= TCP:c:\program files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote
"{EE54FE95-DF3A-4882-BC96-F6C007DC1418}"= Disabled:UDP:135:TCP Port 135
"{4E4E0C5F-769F-46A7-B5ED-AA2A638FFB1E}"= Disabled:UDP:5000:TCP Port 5000
"{5CDEA67E-200C-4758-9998-73BAB7DEA432}"= Disabled:UDP:5001:TCP Port 5001
"{45A52A7B-AD1B-44EC-84D5-8A64E9119457}"= Disabled:UDP:5002:TCP Port 5002
"{D141E0D9-282F-4ECB-B875-836DD1865869}"= Disabled:UDP:5003:TCP Port 5003
"{69C9DB46-456A-40F2-B5E3-AC984911D9A3}"= Disabled:UDP:5004:TCP Port 5004
"{A7E57506-4B63-4F36-8F5C-736E47E55A42}"= Disabled:UDP:5005:TCP Port 5005
"{B973263B-CA46-42C1-9C26-F4A592285B49}"= Disabled:UDP:5006:TCP Port 5006
"{78872885-0985-4C25-96C4-D9C86ED47FD2}"= Disabled:UDP:5007:TCP Port 5007
"{DACD0BA7-F4C6-4F38-9A8D-A6199E46C024}"= Disabled:UDP:5008:TCP Port 5008
"{BDEEE3BB-5C64-4904-AFA8-9B444F099464}"= Disabled:UDP:5009:TCP Port 5009
"{C49B7934-9587-488E-A485-E6F23E3AB5DF}"= Disabled:UDP:5010:TCP Port 5010
"{D7615E0D-D12F-4E32-969D-0B0C2EBC711D}"= Disabled:UDP:5011:TCP Port 5011
"{2AC09561-3B61-43FD-9E47-FCE876232400}"= Disabled:UDP:5012:TCP Port 5012
"{2C4D36E1-3C34-4B5E-A018-E2BD49403450}"= Disabled:UDP:5013:TCP Port 5013
"{52D4C29A-E5FC-4FA3-9637-D6A0CE91E244}"= Disabled:UDP:5014:TCP Port 5014
"{0A03276C-E624-4A59-AFB8-EBD3F8E48C62}"= Disabled:UDP:5015:TCP Port 5015
"{74A3C852-A3BA-4C2B-B337-1737BB8A4747}"= Disabled:UDP:5016:TCP Port 5016
"{933A5D45-3332-41CD-857F-150F5E5A7175}"= Disabled:UDP:5017:TCP Port 5017
"{17E0F94A-A692-413C-92F3-29579FE81096}"= Disabled:UDP:5018:TCP Port 5018
"{649E74AF-4EC6-4E71-A2FF-5AC81E978A5B}"= Disabled:UDP:5019:TCP Port 5019
"{9C282F78-AB33-49BD-B30E-C9D68A0953D1}"= Disabled:UDP:5020:TCP Port 5020
"{D9FD336B-4998-49A2-9AF9-92325A021CCD}"= UDP:c:\windows\System32\lxcqcoms.exe:Lexmark Communications System
"{12ACF96D-4ABF-43A6-A13B-F7BBD4191C48}"= TCP:c:\windows\System32\lxcqcoms.exe:Lexmark Communications System
"{33859028-A18E-4342-8A05-E52CFDE29161}"= UDP:c:\program files\Bonjour\mDNSResponder.exe:Bonjour
"{4438B783-502B-4B7F-BFD5-F32EA7FAB8D4}"= TCP:c:\program files\Bonjour\mDNSResponder.exe:Bonjour
"{B7F9E59F-8B79-4058-BA5A-D3B1764203E1}"= UDP:c:\program files\iTunes\iTunes.exe:iTunes
"{ADF8E7CA-C90B-4ADB-A9AB-5D0777DF684C}"= TCP:c:\program files\iTunes\iTunes.exe:iTunes

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\PublicProfile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\RestrictedServices\Static\System]
"DFSR-1"= RPort=5722|UDP:%SystemRoot%\system32\svchost.exe|Svc=DFSR:Allow inbound TCP traffic|

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile]
"EnableFirewall"= 0 (0x0)

R0 iaNvStor;Intel(R) Turbo Memory Technology NAND Controller;c:\windows\System32\drivers\iaNvStor.sys [2007-10-24 208896]
R0 Si3531;SiI-3531 SATA Controller;c:\windows\System32\drivers\Si3531.sys [2008-07-25 212008]
R1 KLIM6;Kaspersky Anti-Virus NDIS 6 Filter;c:\windows\System32\drivers\klim6.sys [2008-07-09 20496]
R2 acehlp10;acehlp10;c:\windows\System32\drivers\acehlp10.sys [2007-07-27 251680]
R3 itecir;ITECIR Infrared Receiver;c:\windows\System32\drivers\itecir.sys [2007-10-24 46592]
S0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\System32\drivers\klbg.sys [2008-01-29 32784]
S2 acedrv10;acedrv10;c:\windows\System32\drivers\ACEDRV10.sys [2007-07-27 330144]
S2 lxcq_device;lxcq_device;c:\windows\system32\lxcqcoms.exe -service --> c:\windows\system32\lxcqcoms.exe -service [?]
S3 KLFLTDEV;Kaspersky Lab KLFltDev;c:\windows\System32\drivers\klfltdev.sys [2008-03-13 26640]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs REG_MULTI_SZ BthServ
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKCU-Run-IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA} - c:\program files\Common Files\Nero\Lib\NMIndexStoreSvr.exe
HKLM-RunOnce-<NO NAME> - (no file)


.
------- Zusätzlicher Suchlauf -------
.
uInternet Settings,ProxyOverride = *.local
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\users\FIRESC~1\AppData\Roaming\Mozilla\Firefox\Profiles\nc32jjv5.default\
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-05 22:28:11
Windows 6.0.6000 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
LXCQCATS = rundll32 c:\windows\system32\spool\DRIVERS\W32X86\3\LXCQtime.dll,_RunDLLEntry@16??????????????????????????????????????????????????????????????????????????????? ????????????????????????????????????????????????????????????????????????????????????????????????????

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2009-02-05 22:29:26
ComboFix-quarantined-files.txt 2009-02-05 21:29:24

Vor Suchlauf: Das System hat keinen Meldungstext für die Meldungsnummer 0x2379 in der Meldungsdatei Application gefunden.
Nach Suchlauf: 35 Verzeichnis(se), 107,754,270,720 Bytes frei

189 --- E O F --- 2009-02-03 07:23:40

und vundo hat nix gefunden.

hi,

bleibt immer noch hängen und sagt ,,keine rückmeldung,,

und jetzt?

Gruss Oli