Hallo ich habe seit einiger Zeit das Problem das ich nur noch über den Explorer auf meine Festplatten zugreifen kann. Es kommt immer die Fehelemeldung "RECYCLER konnte nicht gefunden werden"

Ich habe mal eine Hijack -Log gemacht:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:55:23, on 30.09.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Gigabyte\EasySaver\ESSVR.EXE
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Unlocker\UnlockerAssistant.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Steam\Steam.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Warkeys\AutoWarkey\AutoHotkey\AutoHotkey.exe
C:\Programme\OpenOffice.org 3\program\soffice.exe
C:\Programme\OpenOffice.org 3\program\soffice.bin
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Miranda IM\miranda32.exe
C:\Programme\Java\jre6\bin\jucheck.exe
C:\Programme\Teamspeak2_RC2\TeamSpeak.exe
C:\Programme\VideoLAN\VLC\vlc.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\RunDLL32.EXE
C:\Dokumente und Einstellungen\Nikolai\Desktop\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: DeviceVM Url Search Hook - {0063BF63-BFFF-4B8F-9D26-4267DF7F17DD} - C:\WINDOWS\system32\dvmurl.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "C:\Programme\Steam\Steam.exe" -silent
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: My_AutoWarkey_Script.lnk = C:\Programme\Warkeys\AutoWarkey\AutoHotkey\AutoHotkey.exe
O4 - Startup: OpenOffice.org 3.1.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.137,85.255.112.100
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.137,85.255.112.100
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: ES lite Service for program management. (ES lite Service) - Unknown owner - C:\Programme\Gigabyte\EasySaver\ESSVR.EXE
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

--
End of file - 5289 bytes

==

Kann mir jemand helfen?
Danke schonmal

Hallo und

Das sieht übel aus, du hast u.a. eine Umleitung in die Ukraine drin. Alle deine Internetanfragen können beliebig umgeleitet und abgefangen werden. Kein Onlinebanking, ebay, Paypal o.ä., nach Abschluss alle Kennwörter von einem sauberen Rechner ändern. Du sparst dir eine Menge Zeit wenn du die schnelle und sichere Alternative wählst => http://www.trojaner-board.de/51262-a...sicherung.html

Solltest du noch immer Säuberung vorziehen, dann beginne mit RSIT. Poste beide Logs von RSIT.

Solltest du noch irgendetwas mit dem Computer verbinden, wie Memorysticks, Speicherkarten, Digitalkameras, Handy, externe Laufwerke, ... dann stecke vor dem Scan alles an.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

ciao, andreas

Ok, dass es so schlimm ist , dachte ich nicht
Ich wollte eh in nexter Zeit mal Windows 7 draufspielen. Das werde ich dann jetzt wohl bald machen.
Danke schon mal.

Zitat:

Das werde ich dann jetzt wohl bald machen.

Dann nimm bitte den Rechner solange vom Netz oder lasse ComboFix laufen. Stecke alle Datenträger an, weil du dich sonst selbst nach Neuinstallation sofort wieder neu infizieren kannst. Der verbreitet sich auch über externe Datenträger. Benutze die an keinem anderen Rechner, der wird sonst auch infiziert.

Nach dem Lauf von ComboFix sind die wieder sauber. Ändere von einem sauberen Rechner alle deine Kennwörter. Falls du Onlinebanking gemacht hast, dann informiere deine Bank, die kennen den als URL-Zone.

ciao, andreas

ComboFix 09-09-29.04 - Nikolai 30.09.2009 21:37.1.4 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.3326.2961 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Nikolai\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.
ADS - WINDOWS: deleted 24 bytes in 1 streams.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\autorun.inf
c:\dokume~1\Nikolai\LOKALE~1\Temp\tmp1.tmp
c:\dokume~1\Nikolai\LOKALE~1\Temp\tmp2.tmp
c:\windows\system32\drivers\gxvxcivcnxgrdkjejwielewbnykldaxqqjhfv.sys
c:\windows\system32\gxvxccounter
c:\windows\system32\gxvxcpijiofamecbimetijlkpujoepppmnnbw.dll
I:\autorun.inf

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_gxvxcserv.sys
-------\Legacy_gxvxcserv.sys


((((((((((((((((((((((( Dateien erstellt von 2009-08-28 bis 2009-09-30 ))))))))))))))))))))))))))))))
.

2009-09-21 19:22 . 2009-09-21 19:22 17352 ---ha-w- c:\windows\system32\mlfcache.dat
2009-09-13 15:36 . 2009-09-13 15:36 -------- d-----w- c:\programme\iPod
2009-09-13 15:36 . 2009-09-13 15:36 -------- d-----w- c:\programme\iTunes
2009-09-13 15:36 . 2009-09-13 15:36 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{755AC846-7372-4AC8-8550-C52491DAA8BD}
2009-09-13 15:35 . 2009-09-13 15:35 -------- d-----w- c:\programme\QuickTime
2009-09-13 14:57 . 2009-09-13 14:57 -------- d-----w- c:\programme\Windows Media Connect 2
2009-09-13 14:56 . 2009-09-13 14:57 -------- d-----w- c:\windows\system32\drivers\UMDF
2009-09-12 13:31 . 2009-06-21 21:45 153088 -c----w- c:\windows\system32\dllcache\triedit.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-09-30 19:37 . 2009-05-02 19:24 16608 ----a-w- c:\windows\gdrv.sys
2009-09-30 18:15 . 2009-08-04 18:38 -------- d-----w- c:\programme\Steam
2009-09-30 17:06 . 2009-08-30 09:05 -------- d-----w- c:\programme\Garena
2009-09-30 16:47 . 2009-05-03 09:58 -------- d-----w- c:\dokumente und einstellungen\Nikolai\Anwendungsdaten\teamspeak2
2009-09-29 19:01 . 2009-05-13 18:45 -------- d-----w- c:\dokumente und einstellungen\Nikolai\Anwendungsdaten\mIRC
2009-09-29 19:00 . 2009-05-13 18:45 -------- d-----w- c:\programme\mIRC
2009-09-28 13:46 . 2009-05-09 19:15 1 ----a-w- c:\dokumente und einstellungen\Nikolai\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2009-09-27 14:29 . 2009-05-03 07:52 -------- d-----w- c:\programme\Warcraft III
2009-09-13 15:37 . 2009-05-03 08:13 -------- d-----w- c:\dokumente und einstellungen\Nikolai\Anwendungsdaten\Apple Computer
2009-09-13 15:36 . 2009-05-03 08:12 -------- d-----w- c:\programme\Gemeinsame Dateien\Apple
2009-08-28 21:25 . 2009-06-05 18:39 -------- d-----w- c:\programme\SlySoft
2009-08-28 19:01 . 2009-05-03 07:55 125398 ----a-w- c:\windows\War3Unin.dat
2009-08-28 17:42 . 2009-05-03 08:12 40448 ----a-w- c:\windows\system32\drivers\usbaapl.sys
2009-08-28 17:42 . 2009-05-03 08:12 2065696 ----a-w- c:\windows\system32\usbaaplrc.dll
2009-08-26 19:20 . 2009-08-26 19:20 -------- d-----w- c:\dokumente und einstellungen\Nikolai\Anwendungsdaten\Kyocera
2009-08-26 19:09 . 2009-08-26 19:07 -------- d-----w- c:\programme\Kyocera
2009-08-26 19:08 . 2009-05-02 19:25 -------- d-----w- c:\programme\Gemeinsame Dateien\InstallShield
2009-08-15 08:44 . 2009-05-02 19:40 18728 ----a-w- c:\dokumente und einstellungen\Nikolai\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-08-14 21:31 . 2002-08-29 12:00 84318 ----a-w- c:\windows\system32\perfc007.dat
2009-08-14 21:31 . 2002-08-29 12:00 458476 ----a-w- c:\windows\system32\perfh007.dat
2009-08-14 21:30 . 2009-08-14 21:30 -------- d-----w- c:\programme\MSBuild
2009-08-14 21:30 . 2009-08-14 21:30 -------- d-----w- c:\programme\Reference Assemblies
2009-08-05 08:59 . 2009-05-02 19:37 206336 ----a-w- c:\windows\system32\mswebdvd.dll
2009-08-03 15:58 . 2009-07-22 13:28 -------- d-----w- c:\dokumente und einstellungen\Nikolai\Anwendungsdaten\dvdcss
2009-07-23 19:57 . 2009-07-23 19:52 4096 ----a-w- c:\windows\system32\detoured.dll
2009-07-17 19:01 . 2002-08-29 12:00 58880 ----a-w- c:\windows\system32\atl.dll
2009-07-13 21:43 . 2009-05-02 19:57 286208 ------w- c:\windows\system32\wmpdxm.dll
2009-04-15 20:24 . 2009-04-15 20:24 1044480 ----a-w- c:\programme\mozilla firefox\plugins\libdivx.dll
2009-04-15 20:24 . 2009-04-15 20:24 200704 ----a-w- c:\programme\mozilla firefox\plugins\ssldivx.dll
.


So habe jetzt Combi-Fix durchlaufenlassen!
Ist mein Rechner jetzt sauber?
Achja kanns du mir vielleicht noch kurz erklären wie du darauf schlißen kannst das ich ne Verbindung/Umleitung zur Ukraine habe!?!
Danke!

Bitte poste das Log vollständig!

Zitat:

Ist mein Rechner jetzt sauber?

Nein, aber es sollte ihm schon spürbar besser gehen. Dein Laufwerk I: (USB-Stick?) ist auch wieder sauber. Das Rootkit lädt aber leider jede Menge nach und meistens auch noch ganz neue Dinge, die nur von wenigen Scannern erkannt werden. Als Folge davon müssen 6-8 Scanner laufen und dabei geht viel Zeit drauf.

Zitat:

Achja kanns du mir vielleicht noch kurz erklären wie du darauf schlißen kannst das ich ne Verbindung/Umleitung zur Ukraine habe!?!

Hattest! ComboFix hat die entfernt.

Zitat:

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.137,85.255.112.100

http://www.utrace.de/?query=85.255.112.137

http://www.utrace.de/whois/85.255.112.137

ciao, andreas

Ok Vielen Dank!
Ich hab noch ne letzte Frage:
Wenn ich jetzt Windows 7 installiere, soll ich dann die Partionen Komplett löschen und neue erstellen, damit wieder alles sauber ist.
Und inwiefern besteht Gefahr für die anderen PCs im Netzwerk

Bitte poste das Log vollständig! Erst dann werde ich deine Fragen beantworten.

Start => Ausführen => C:\combofix.txt => OK

ciao, andreas

09-29.04 - Nikolai 30.09.2009 21:37.1.4 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.3326.2961 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Nikolai\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.
ADS - WINDOWS: deleted 24 bytes in 1 streams.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\autorun.inf
c:\dokume~1\Nikolai\LOKALE~1\Temp\tmp1.tmp
c:\dokume~1\Nikolai\LOKALE~1\Temp\tmp2.tmp
c:\windows\system32\drivers\gxvxcivcnxgrdkjejwielewbnykldaxqqjhfv.sys
c:\windows\system32\gxvxccounter
c:\windows\system32\gxvxcpijiofamecbimetijlkpujoepppmnnbw.dll
I:\autorun.inf

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_gxvxcserv.sys
-------\Legacy_gxvxcserv.sys


((((((((((((((((((((((( Dateien erstellt von 2009-08-28 bis 2009-09-30 ))))))))))))))))))))))))))))))
.

2009-09-21 19:22 . 2009-09-21 19:22 17352 ---ha-w- c:\windows\system32\mlfcache.dat
2009-09-13 15:36 . 2009-09-13 15:36 -------- d-----w- c:\programme\iPod
2009-09-13 15:36 . 2009-09-13 15:36 -------- d-----w- c:\programme\iTunes
2009-09-13 15:36 . 2009-09-13 15:36 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{755AC846-7372-4AC8-8550-C52491DAA8BD}
2009-09-13 15:35 . 2009-09-13 15:35 -------- d-----w- c:\programme\QuickTime
2009-09-13 14:57 . 2009-09-13 14:57 -------- d-----w- c:\programme\Windows Media Connect 2
2009-09-13 14:56 . 2009-09-13 14:57 -------- d-----w- c:\windows\system32\drivers\UMDF
2009-09-12 13:31 . 2009-06-21 21:45 153088 -c----w- c:\windows\system32\dllcache\triedit.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-09-30 19:37 . 2009-05-02 19:24 16608 ----a-w- c:\windows\gdrv.sys
2009-09-30 18:15 . 2009-08-04 18:38 -------- d-----w- c:\programme\Steam
2009-09-30 17:06 . 2009-08-30 09:05 -------- d-----w- c:\programme\Garena
2009-09-30 16:47 . 2009-05-03 09:58 -------- d-----w- c:\dokumente und einstellungen\Nikolai\Anwendungsdaten\teamspeak2
2009-09-29 19:01 . 2009-05-13 18:45 -------- d-----w- c:\dokumente und einstellungen\Nikolai\Anwendungsdaten\mIRC
2009-09-29 19:00 . 2009-05-13 18:45 -------- d-----w- c:\programme\mIRC
2009-09-28 13:46 . 2009-05-09 19:15 1 ----a-w- c:\dokumente und einstellungen\Nikolai\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2009-09-27 14:29 . 2009-05-03 07:52 -------- d-----w- c:\programme\Warcraft III
2009-09-13 15:37 . 2009-05-03 08:13 -------- d-----w- c:\dokumente und einstellungen\Nikolai\Anwendungsdaten\Apple Computer
2009-09-13 15:36 . 2009-05-03 08:12 -------- d-----w- c:\programme\Gemeinsame Dateien\Apple
2009-08-28 21:25 . 2009-06-05 18:39 -------- d-----w- c:\programme\SlySoft
2009-08-28 19:01 . 2009-05-03 07:55 125398 ----a-w- c:\windows\War3Unin.dat
2009-08-28 17:42 . 2009-05-03 08:12 40448 ----a-w- c:\windows\system32\drivers\usbaapl.sys
2009-08-28 17:42 . 2009-05-03 08:12 2065696 ----a-w- c:\windows\system32\usbaaplrc.dll
2009-08-26 19:20 . 2009-08-26 19:20 -------- d-----w- c:\dokumente und einstellungen\Nikolai\Anwendungsdaten\Kyocera
2009-08-26 19:09 . 2009-08-26 19:07 -------- d-----w- c:\programme\Kyocera
2009-08-26 19:08 . 2009-05-02 19:25 -------- d-----w- c:\programme\Gemeinsame Dateien\InstallShield
2009-08-15 08:44 . 2009-05-02 19:40 18728 ----a-w- c:\dokumente und einstellungen\Nikolai\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-08-14 21:31 . 2002-08-29 12:00 84318 ----a-w- c:\windows\system32\perfc007.dat
2009-08-14 21:31 . 2002-08-29 12:00 458476 ----a-w- c:\windows\system32\perfh007.dat
2009-08-14 21:30 . 2009-08-14 21:30 -------- d-----w- c:\programme\MSBuild
2009-08-14 21:30 . 2009-08-14 21:30 -------- d-----w- c:\programme\Reference Assemblies
2009-08-05 08:59 . 2009-05-02 19:37 206336 ----a-w- c:\windows\system32\mswebdvd.dll
2009-08-03 15:58 . 2009-07-22 13:28 -------- d-----w- c:\dokumente und einstellungen\Nikolai\Anwendungsdaten\dvdcss
2009-07-23 19:57 . 2009-07-23 19:52 4096 ----a-w- c:\windows\system32\detoured.dll
2009-07-17 19:01 . 2002-08-29 12:00 58880 ----a-w- c:\windows\system32\atl.dll
2009-07-13 21:43 . 2009-05-02 19:57 286208 ------w- c:\windows\system32\wmpdxm.dll
2009-04-15 20:24 . 2009-04-15 20:24 1044480 ----a-w- c:\programme\mozilla firefox\plugins\libdivx.dll
2009-04-15 20:24 . 2009-04-15 20:24 200704 ----a-w- c:\programme\mozilla firefox\plugins\ssldivx.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Steam"="c:\programme\steam\steam.exe" [2009-08-04 1217784]
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2008-04-14 1695232]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-08-29 61440]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-05-09 148888]
"UnlockerAssistant"="c:\programme\Unlocker\UnlockerAssistant.exe" [2008-05-02 15872]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2009-09-04 417792]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2009-09-08 305440]
"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.EXE [2008-08-26 16851456]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\Nikolai\Startmen�\Programme\Autostart\
My_AutoWarkey_Script.lnk - c:\programme\Warkeys\AutoWarkey\AutoHotkey\AutoHotkey.exe [2008-3-9 240640]
OpenOffice.org 3.1.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2009-4-16 384000]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\Garena\\Garena.exe"=
"c:\\Programme\\Miranda IM\\miranda32.exe"=
"c:\\Programme\\Warcraft III\\War3.exe"=
"c:\\Programme\\Electronic Arts\\Crytek\\Crysis\\Bin32\\Crysis.exe"=
"c:\\Programme\\Electronic Arts\\Crytek\\Crysis\\Bin32\\CrysisDedicatedServer.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"c:\\Programme\\mIRC\\mirc.exe"=
"c:\\Programme\\TmNationsForever\\TmForever.exe"=
"c:\\Programme\\Java\\jre6\\bin\\java.exe"=
"c:\\Programme\\Ventrilo\\Ventrilo.exe"=
"c:\\Programme\\Steam\\steamapps\\buuutttzzz\\condition zero\\hl.exe"=
"c:\\Programme\\Steam\\Steam.exe"=
"c:\\Programme\\Steam\\steamapps\\buuutttzzz\\condition zero deleted scenes\\hl.exe"=
"c:\\Dokumente und Einstellungen\\Nikolai\\Desktop\\GarenaHack_By_Dota-Utilities\\Garena.exe"=
"c:\\Programme\\Steam\\steamapps\\buuutttzzz\\counter-strike\\hl.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=

R2 ES lite Service;ES lite Service for program management.;c:\programme\Gigabyte\EasySaver\essvr.exe [02.05.2009 21:25 68136]
R3 AtiHdmiService;ATI Function Driver for HDMI Service;c:\windows\system32\drivers\AtiHdmi.sys [02.05.2009 21:34 93184]
S3 GarenaPEngine;GarenaPEngine;\??\c:\dokume~1\Nikolai\LOKALE~1\Temp\REZF4.tmp --> c:\dokume~1\Nikolai\LOKALE~1\Temp\REZF4.tmp [?]
.
Inhalt des "geplante Tasks" Ordners

2009-09-21 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]

2009-09-30 c:\windows\Tasks\WGASetup.job
- c:\windows\system32\KB905474\wgasetup.exe [2009-05-17 20:18]
.
.
------- Zusätzlicher Suchlauf -------
.
uInternet Settings,ProxyOverride = *.local
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\dokumente und einstellungen\Nikolai\Anwendungsdaten\Mozilla\Firefox\Profiles\wbw1q54o.default\
FF - prefs.js: browser.search.selectedEngine - Amazon.de
FF - prefs.js: browser.startup.homepage - www.google.de
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-GEST - (no file)



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-09-30 21:40
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\GarenaPEngine]
"ImagePath"="\??\c:\dokume~1\Nikolai\LOKALE~1\Temp\REZF4.tmp"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10c.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10c.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}]
@Denied: (A 2) (Everyone)
@="IFlashBroker3"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Reinstall\:ôwjY
*]
"DisplayName"="???\16?\11\09"
"DeviceDesc"="???\16?\11\09"
"ProviderName"="???\11?\17?\11??"
"MFG"="???????"
"ReinstallString"=".10.1000.8"
"DeviceInstanceIds"=multi:"d:\\chipset\\7-ser\\xp\\sbdrv\\smbus\\smbusati.inf\00"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(796)
c:\windows\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2009-09-30 21:41
ComboFix-quarantined-files.txt 2009-09-30 19:41

Vor Suchlauf: 6 Verzeichnis(se), 602.067.300.352 Bytes frei
Nach Suchlauf: 8 Verzeichnis(se), 602.281.197.568 Bytes frei

176 --- E O F --- 2009-09-14 21:00

Zitat:

Wenn ich jetzt Windows 7 installiere, soll ich dann die Partionen Komplett löschen und neue erstellen, damit wieder alles sauber ist.

Ja, das ist sicherer als nur zu formatieren. Noch besser ist es, dabei noch die Größe zu ändern. Du solltest sowieso mindestens zwei Partitionen haben, eine für das Betriebssystem und eine für deine Daten.

Zitat:

Und inwiefern besteht Gefahr für die anderen PCs im Netzwerk

Bei der Variante ist die Gefahr gering. Allerdings kann man sich auch bei anderen ganz einfach schützen => Sichere Kennwörter benutzen

Start => Ausführen => combofix /u => OK

Du bist entlassen.

ciao, andreas

Na dann sag ich doch mal Vielen Dank!