Nach Virenbefall Recover-Cd erstellen?(Virus:Virtumonde)
 

Guten Abend!

Prügel mich nun seit ein paar Tagen mit einem Virus mit Namen :Virtumonde oder so ähnlich rum.
Habe nach langem suchen im I-Net und auch aus Tips von hier anscheinend den Virus besiegt.
Spybot meldet nichts mehr, Kaspersky auch nicht mehr.
Nur die One Care Sache von Windows meldete noch immer beim scannen diesen Virus.
Habe dann mal Vundo-Fix V6.7.0 drüber laufen lassen .
LOGFILE:
VundoFix V6.7.0

Checking Java version...

Sun Java not detected
Scan started at 23:33:20 06.12.2007

Listing files found while scanning....

C:\windows\system32\jkhhh.dll

Beginning removal...

Attempting to delete C:\windows\system32\jkhhh.dll
C:\windows\system32\jkhhh.dll Has been deleted!

Performing Repairs to the registry.
Done!

VundoFix V6.7.0

Checking Java version...

Sun Java not detected
Scan started at 23:58:58 06.12.2007

Listing files found while scanning....

No infected files were found.


VundoFix V6.7.0

Checking Java version...

Sun Java not detected
Scan started at 18:17:29 07.12.2007

Listing files found while scanning....

No infected files were found.


Beginning removal...

VundoFix V6.7.0

Checking Java version...

Sun Java not detected
Scan started at 17:16:57 08.12.2007

Listing files found while scanning....

No infected files were found.


VundoFix V6.7.0
[/B]
Checking Java version...

Sun Java not detected
Scan started at 23:35:01 08.12.2007

Listing files found while scanning....

No infected files were found.
[/B]

Danach alle Scannprog. wieder.Und wieder nichts ausser wieder bei One Care und das nur wenn es selbst scannt (Task).
Und wieder fand es den Virus : Virtumonde.
Ansonsten nichts.
Dann mal versucht die Logfiles von HJT zu analisieren und siehe da ich fand auch diese DDC Dateien die ich nicht zuordnen konnte.
Habe dann danach gegoogelt und ne Seite gefunden die auch beschrieb wo in der Registry sich dieses Teil ein trägt und was es verändert.
Habe diese Dateien dann gelöscht/rück-geändert:kloppen: und das System neu gestartet.
Danach konnte ich auch die DDC Dateien ( DDC.exe ) löschen.:koch:
Ging ja vorher nicht da es ein aktiver von sich aus immer wieder startender Prozess war.(Durch eigenständigen Registryeintrag )
Nun wollte ich hier mal erfahren ob die aktuelle Logfile von HJT sauber ist.
Währe nett wenn jemand mal drüber schauen kann damit ich weiß ob ich Systehmwiederherstellung wieder einschalten kann und nun eine Rettungs-Cd erstellen kann für künftigen Virenbefall.

Hie der aktuelle Log:

Logfile of HijackThis v1.99.1
Scan saved at 01:18:44, on 09.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Microsoft Windows OneCare Live\Antivirus\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
D:\Anwendungen\ad-aware07\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe
C:\Program Files\ASUS\ASUS DH Remote\AsRc.exe
C:\Programme\Microsoft Windows OneCare Live\winssnotify.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\lcdmon.exe
C:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\Applets\LCDClock.exe
C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\Applets\LCDMedia.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ASUS\ASUS DH Remote\AsDhRemote.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\emMON.exe
D:\Anwendungen\Kaspersky-Anti-Vir\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
D:\Anwendungen\OpenOffice.org 2.3\program\soffice.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
D:\Anwendungen\OpenOffice.org 2.3\program\soffice.BIN
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
D:\Anwendungen\Kaspersky-Anti-Vir\avp.exe
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
C:\Programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe
D:\Anwendungen\Nero 8\InCD\InCDsrv.exe
C:\Programme\Microsoft Windows OneCare Live\Firewall\msfwsvc.exe
D:\Anwendungen\Nero 8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Programme\Microsoft Windows OneCare Live\winss.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\WINDOWS\System32\svchost.exe
D:\Internet\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Genieser1\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
O4 - HKLM\..\Run: [IAAnotif] C:\Programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\JM\JMInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\JMRaidSetup.exe boot
O4 - HKLM\..\Run: [Ai Quicker Help] "C:\Program Files\ASUS\ASUS DH Remote\AsRc.exe"
O4 - HKLM\..\Run: [OneCareUI] "C:\Programme\Microsoft Windows OneCare Live\winssnotify.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\lcdmon.exe"
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Anwendungen\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [emMON] emMON.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AVP] "D:\Anwendungen\Kaspersky-Anti-Vir\avp.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe"
O4 - Startup: OpenOffice.org 2.3.lnk = D:\Anwendungen\OpenOffice.org 2.3\program\quickstart.exe
O4 - Global Startup: ASUS WiFi-AP Solo.lnk.disabled
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O8 - Extra context menu item: Alles mit FDM herunterladen - file://D:\Internet\Free Download Manager\dlall.htm
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://D:\Internet\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Datei mit FDM herunterladen - file://D:\Internet\Free Download Manager\dllink.htm
O8 - Extra context menu item: Videos mit FDM herunterladen - file://D:\Internet\Free Download Manager\dlfvideo.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - D:\Anwendungen\Kaspersky-Anti-Vir\SCIEPlgn.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\ANWEND~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\ANWEND~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://h**p://www.kaspersky.com/kos/...an_unicode.cab
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://h**p://www.systemrequirements...sysreqlab2.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://h**p://www.update.microsoft.c...?1194568181218
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - http://h**p://www.nvidia.com/content...aSmartScan.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://h**p://javadl-esd.sun.com/upd...ws-i586-jc.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{722E66EE-BA3F-4E8B-8A8D-D9CA14BC9422}: NameServer = 192.168.178.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{CF6FC620-696B-4CAF-91FA-2954420CA338}: NameServer = 192.168.178.1
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - D:\Anwendungen\ad-aware07\aawservice.exe
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - D:\Anwendungen\Kaspersky-Anti-Vir\avp.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - D:\Anwendungen\Nero 8\InCD\InCDsrv.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - D:\Anwendungen\Nero 8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.ex



Vielen Dank im Vorraus für eure Mühe.

Hallo.

Im HJT-Log ist nichts ersichtlich, allerdings hattest du auch die alte Version benutzt. Nimm mal diese aktuelle Version und erstelle ein neues Logfile. Nimm besten diese umbenannte hijackthis.exe.

Führ mal bitte folgende Tools bzw. Anleitungen aus und poste die Logfiles:

- eScan
- Silentrunners
- combofix

Falls sich noch weitere "krumme" Dateien im System befinden, können wir die evtl. so aufspüren:

Über ein filelisting mit diesem script:

- Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
- Doppelklick auf listing7.cmd auf dem Desktop
- nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei file-upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

so hier mal der Logfile vom neuen HJ:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:39:53, on 09.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Microsoft Windows OneCare Live\Antivirus\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
D:\Anwendungen\ad-aware07\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe
C:\Program Files\ASUS\ASUS DH Remote\AsRc.exe
C:\Programme\Microsoft Windows OneCare Live\winssnotify.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\lcdmon.exe
C:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\Applets\LCDClock.exe
C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\Applets\LCDMedia.exe
C:\Program Files\ASUS\ASUS DH Remote\AsDhRemote.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\emMON.exe
D:\Anwendungen\Kaspersky-Anti-Vir\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
D:\Anwendungen\OpenOffice.org 2.3\program\soffice.exe
D:\Anwendungen\OpenOffice.org 2.3\program\soffice.BIN
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
D:\Anwendungen\Kaspersky-Anti-Vir\avp.exe
C:\Programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe
D:\Anwendungen\Nero 8\InCD\InCDsrv.exe
C:\Programme\Microsoft Windows OneCare Live\Firewall\msfwsvc.exe
D:\Anwendungen\Nero 8\Nero BackItUp\NBService.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Microsoft Windows OneCare Live\winss.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\taskmgr.exe
D:\Internet\Mozilla Firefox\firefox.exe
D:\Internet\FREEDO~1\fdm.exe
C:\Dokumente und Einstellungen\Genieser1\Desktop\abc123.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\ANWEND~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {75E4E25C-C195-4D47-8548-9EE44EA81942} - C:\WINDOWS\system32\jkkjk.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - D:\Internet\Free Download Manager\iefdm2.dll
O4 - HKLM\..\Run: [IAAnotif] C:\Programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\JM\JMInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\JMRaidSetup.exe boot
O4 - HKLM\..\Run: [Ai Quicker Help] "C:\Program Files\ASUS\ASUS DH Remote\AsRc.exe"
O4 - HKLM\..\Run: [OneCareUI] "C:\Programme\Microsoft Windows OneCare Live\winssnotify.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\lcdmon.exe"
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Anwendungen\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [emMON] emMON.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AVP] "D:\Anwendungen\Kaspersky-Anti-Vir\avp.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe"
O4 - Startup: OpenOffice.org 2.3.lnk = D:\Anwendungen\OpenOffice.org 2.3\program\quickstart.exe
O4 - Global Startup: ASUS WiFi-AP Solo.lnk.disabled
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - D:\Anwendungen\Kaspersky-Anti-Vir\SCIEPlgn.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\ANWEND~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\ANWEND~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://h**p://www.kaspersky.com/kos/...an_unicode.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://h**p://www.update.microsoft.c...?1194568181218
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - http://h**p://www.nvidia.com/content...aSmartScan.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://h**p://javadl-esd.sun.com/upd...ws-i586-jc.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{722E66EE-BA3F-4E8B-8A8D-D9CA14BC9422}: NameServer = 192.168.178.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{CF6FC620-696B-4CAF-91FA-2954420CA338}: NameServer = 192.168.178.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: qomlkji - C:\WINDOWS\
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - D:\Anwendungen\ad-aware07\aawservice.exe
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - D:\Anwendungen\Kaspersky-Anti-Vir\avp.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - D:\Anwendungen\Nero 8\InCD\InCDsrv.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - D:\Anwendungen\Nero 8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

--
End of file - 8997 bytes
Anderes folgt gleich.

Hier der Link zum Scriptlogfile: File-Upload.net - Ihr kostenloser File Hoster!
Unten drunter Silentrunner Logfile


Silentrunner logfile:
Silent Runners.vbs", revision 53, Silent Runners - Adware? Disinfect, don't reformat!
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"ctfmon.exe" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"Skype" = ""C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized" ["Skype Technologies S.A."]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}" = ""C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe"" ["Nero AG"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"IAAnotif" = "C:\Programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe" ["Intel Corporation"]
"JMB36X IDE Setup" = "C:\WINDOWS\JM\JMInsIDE.exe" [null data]
"36X Raid Configurer" = "C:\WINDOWS\system32\JMRaidSetup.exe boot" ["JMicron Technology Corp."]
"Ai Quicker Help" = ""C:\Program Files\ASUS\ASUS DH Remote\AsRc.exe"" [null data]
"OneCareUI" = ""C:\Programme\Microsoft Windows OneCare Live\winssnotify.exe"" [MS]
"SunJavaUpdateSched" = ""C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"" ["Sun Microsystems, Inc."]
"Launch LCDMon" = ""C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\lcdmon.exe"" ["Logitech Inc."]
"Launch LGDCore" = ""C:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE" ["Logitech Inc."]
"Logitech Utility" = "Logi_MwX.Exe" ["Logitech Inc."]
"RTHDCPL" = "RTHDCPL.EXE" ["Realtek Semiconductor Corp."]
"Alcmtr" = "ALCMTR.EXE" ["Realtek Semiconductor Corp."]
"Adobe Reader Speed Launcher" = ""D:\Anwendungen\Adobe\Reader 8.0\Reader\Reader_sl.exe"" ["Adobe Systems Incorporated"]
"NeroFilterCheck" = "C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe" ["Nero AG"]
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit" [MS]
"emMON" = "emMON.exe" ["eMPIA Technology, Inc."]
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS]
"AVP" = ""D:\Anwendungen\Kaspersky-Anti-Vir\avp.exe"" ["Kaspersky Lab"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Adobe PDF Reader"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Spybot-S&D IE Protection"
\InProcServer32\(Default) = "D:\ANWEND~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]
{75E4E25C-C195-4D47-8548-9EE44EA81942}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\jkkjk.dll" [null data]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\ssv.dll" ["Sun Microsystems, Inc."]
{9030D464-4C02-4ABF-8ECC-5164760863C6}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Windows Live Anmelde-Hilfsprogramm"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll" [MS]
{CC59E0F9-7E43-44FA-9FAA-8377850BF205}\(Default) = (no title provided)
-> {HKLM...CLSID} = "FDMIECookiesBHO Class"
\InProcServer32\(Default) = "D:\Internet\Free Download Manager\iefdm2.dll" [null data]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]

Entfern bitte die aktiven Links aus den Logfiles!

Combofix läßt sich komischerweiße bei mir nicht starten.
Kann sein das ich was falsch mache aber es sagt dauernt es währe keine Windof 32 Anwendung.

Der Link zu combofix ist mal wieder kaputt...nimm diesen => ComboFix - Download - INSTALKI.pl

Das silentrunners-Log ist unvollständig!

MAch mal in Ruhe noch den escan im abgesicherten Modus. Danach kannst du von dort mit hijackthis gleich mal diese Einträge fixen:

Button fix checked drücken, Rechner neustarten (normaler Modus), und neues HJT-Log erstellen und posten. Escan-Log nicht vergessen!

So hier mal der e-scan log: ( "NUR" 26 Viren gefunden.*g*

b]Header[/b]
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.5.9
Sprache: German
Virus-Datenbank Datum: 12/10/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "saminside Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "saminside Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({0ba4ac17-3329-4d46-8cf7-40a8f1cb3dca})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({2a652f47-a8ce-414c-bbb4-203a59031056})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({30571f17-3201-47ed-a8ac-254f3d5c5b5c})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({3c43bba2-9e93-4758-8669-adce56687e0c})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({4898d118-1d1e-4a2d-a8a3-4a75bf333cd5})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({4acc4c22-2baf-46ca-8287-232e785e77ce})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({517f778c-078d-4d33-953b-afbf1720c947})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({76d230aa-fc0c-4dd4-bf9e-4032d60369f1})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({87b24642-366e-4393-851a-b6cec5d7e641})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({8c22668a-d7d8-42f5-99e8-4f30ed0d18b0})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({963dfd8c-2e6a-4db4-bcb3-9d5c78142e41})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({9c1ab46a-1fe8-4953-be30-327e0d6f7d45})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({a06d036f-984f-4482-ad5c-ebd11a638b4c})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({a434ac6f-7286-42c3-982b-20f00263501b})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({c5a786b9-3bd6-4a4e-b4d7-9b752138dc4b})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({d044d89c-01e4-4722-8812-8df543680606})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({d3e78b93-4b65-405d-9095-e82b78555173})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({dd55f5c5-de77-4de1-a139-1025c66acfb0})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({e6857874-b535-46d7-a3eb-4103614e91fc})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({fbd42940-b837-40eb-bdb4-86ae00e1d0d1})! Action taken: Keine Aktion vorgenommen.
System found infected with savenow Adware (C:\WINDOWS\system32\unrar.dll)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\Dokumente und Einstellungen\Genieser1\Desktop\ComboFix.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\Genieser1\Desktop\ComboFix.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\WINDOWS\system32\unrar.dll
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Offending Folder found: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\k-lite codec pack\tools
Offending Folder found: C:\Dokumente und Einstellungen\All Users\Startmenü\programme\k-lite codec pack\tools
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{271508ba-9b0c-11dc-b9fa-001bfce832a2} !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Invalid Entry DllName = appmgmts.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}). Deleting Registry Key {c6dc5466-785a-11d2-84d0-00c04fb169f7}...
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 98078
Gefundene Viren: 26
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 142
Dauer des Scans bisher: 00:53:06
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 0:39:38,48
Batchende: 0:39:54,20

Und hier nun der komplette Silentrunner Log:

"Silent Runners.vbs", revision 53, Silent Runners - Adware? Disinfect, don't reformat!
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"ctfmon.exe" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"Skype" = ""C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized" ["Skype Technologies S.A."]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}" = ""C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe"" ["Nero AG"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"IAAnotif" = "C:\Programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe" ["Intel Corporation"]
"JMB36X IDE Setup" = "C:\WINDOWS\JM\JMInsIDE.exe" [null data]
"36X Raid Configurer" = "C:\WINDOWS\system32\JMRaidSetup.exe boot" ["JMicron Technology Corp."]
"Ai Quicker Help" = ""C:\Program Files\ASUS\ASUS DH Remote\AsRc.exe"" [null data]
"OneCareUI" = ""C:\Programme\Microsoft Windows OneCare Live\winssnotify.exe"" [MS]
"SunJavaUpdateSched" = ""C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"" ["Sun Microsystems, Inc."]
"Launch LCDMon" = ""C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\lcdmon.exe"" ["Logitech Inc."]
"Launch LGDCore" = ""C:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE" ["Logitech Inc."]
"Logitech Utility" = "Logi_MwX.Exe" ["Logitech Inc."]
"RTHDCPL" = "RTHDCPL.EXE" ["Realtek Semiconductor Corp."]
"Alcmtr" = "ALCMTR.EXE" ["Realtek Semiconductor Corp."]
"Adobe Reader Speed Launcher" = ""D:\Anwendungen\Adobe\Reader 8.0\Reader\Reader_sl.exe"" ["Adobe Systems Incorporated"]
"NeroFilterCheck" = "C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe" ["Nero AG"]
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit" [MS]
"emMON" = "emMON.exe" ["eMPIA Technology, Inc."]
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS]
"AVP" = ""D:\Anwendungen\Kaspersky-Anti-Vir\avp.exe"" ["Kaspersky Lab"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Adobe PDF Reader"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Spybot-S&D IE Protection"
\InProcServer32\(Default) = "D:\ANWEND~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\ssv.dll" ["Sun Microsystems, Inc."]
{9030D464-4C02-4ABF-8ECC-5164760863C6}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Windows Live Anmelde-Hilfsprogramm"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll" [MS]
{946926DE-C6F1-44CF-9198-82760749D0AA}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\jkkjk.dll" [null data]
{CC59E0F9-7E43-44FA-9FAA-8377850BF205}\(Default) = (no title provided)
-> {HKLM...CLSID} = "FDMIECookiesBHO Class"
\InProcServer32\(Default) = "D:\Internet\Free Download Manager\iefdm2.dll" [null data]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "D:\Anwendungen\WinRAR\rarext.dll" [null data]
"{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" = "OpenOffice.org Column Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = ""D:\Anwendungen\OpenOffice.org 2.3\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
"{087B3AE3-E237-4467-B8DB-5A38AB959AC9}" = "OpenOffice.org Infotip Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = ""D:\Anwendungen\OpenOffice.org 2.3\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
"{63542C48-9552-494A-84F7-73AA6A7C99C1}" = "OpenOffice.org Property Sheet Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = ""D:\Anwendungen\OpenOffice.org 2.3\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
"{3B092F0C-7696-40E3-A80F-68D74DA84210}" = "OpenOffice.org Thumbnail Viewer"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = ""D:\Anwendungen\OpenOffice.org 2.3\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
"{FC9FB64A-1EB2-4CCF-AF5E-1A497A9B5C2D}" = "Messenger Sharing Folders"
-> {HKLM...CLSID} = "Meine freigegebenen Ordner"
\InProcServer32\(Default) = "C:\Programme\Windows Live\Messenger\fsshext.8.5.1302.1018.dll" [MS]
"{09bffb91-ecda-4149-bcfd-d87a345c219e}" = "InCDShellExt extension"
-> {HKLM...CLSID} = "InCDShellExt Class"
\InProcServer32\(Default) = "D:\Anwendungen\Nero 8\InCD\InCDshx.dll" ["Nero AG"]
"{692eb3b0-d034-403e-b742-2407bd43bf9b}" = "InCDUdfPerm extension"
-> {HKLM...CLSID} = "InCDUdfPerm Class"
\InProcServer32\(Default) = "D:\Anwendungen\Nero 8\InCD\InCDUP.dll" ["Nero AG"]
"{B327765E-D724-4347-8B16-78AE18552FC3}" = "NeroDigitalIconHandler"
-> {HKLM...CLSID} = "NeroDigitalIconHandler Class"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroDigitalExt.dll" ["Nero AG"]
"{7F1CF152-04F8-453A-B34C-E609530A9DC8}" = "NeroDigitalPropSheetHandler"
-> {HKLM...CLSID} = "NeroDigitalPropSheetHandler Class"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroDigitalExt.dll" ["Nero AG"]
"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"
-> {HKLM...CLSID} = "DesktopContext Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"
-> {HKLM...CLSID} = "NVIDIA CPL Extension"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
-> {HKLM...CLSID} = "Desktop Explorer"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
-> {HKLM...CLSID} = "nView Desktop Context Menu"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{85E0B171-04FA-11D1-B7DA-00A0C90348D6}" = "Statistik für Web-Anti-Virus"
-> {HKLM...CLSID} = "Statistik für Web-Anti-Virus"
\InProcServer32\(Default) = "D:\Anwendungen\Kaspersky-Anti-Vir\SCIEPlgn.dll" ["Kaspersky Lab"]

HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\
"WPDShServiceObj" = "{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"
-> {HKLM...CLSID} = "WPDShServiceObj Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\WPDShServiceObj.dll" [MS]

HKLM\System\CurrentControlSet\Control\Session Manager\
<<!>> "BootExecute" = "autocheck autochk *"|"lsdelete" [null data]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> klogon\DLLName = "C:\WINDOWS\system32\klogon.dll" ["Kaspersky Lab"]

HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{7D4D6379-F301-4311-BEBA-E26EB0561882}\(Default) = "NeroDigitalExt.NeroDigitalColumnHandler"
-> {HKLM...CLSID} = "NeroDigitalColumnHandler Class"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroDigitalExt.dll" ["Nero AG"]
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}\(Default) = "OpenOffice.org Column Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = ""D:\Anwendungen\OpenOffice.org 2.3\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
InCDShellExt\(Default) = "{09bffb91-ecda-4149-bcfd-d87a345c219e}"
-> {HKLM...CLSID} = "InCDShellExt Class"
\InProcServer32\(Default) = "D:\Anwendungen\Nero 8\InCD\InCDshx.dll" ["Nero AG"]
Kaspersky Anti-Virus\(Default) = "{dd230880-495a-11d1-b064-008048ec2fc5}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "D:\Anwendungen\Kaspersky-Anti-Vir\ShellEx.dll" ["Kaspersky Lab"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "D:\Anwendungen\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
InCDShellExt\(Default) = "{09bffb91-ecda-4149-bcfd-d87a345c219e}"
-> {HKLM...CLSID} = "InCDShellExt Class"
\InProcServer32\(Default) = "D:\Anwendungen\Nero 8\InCD\InCDshx.dll" ["Nero AG"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "D:\Anwendungen\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
InCDShellExt\(Default) = "{09bffb91-ecda-4149-bcfd-d87a345c219e}"
-> {HKLM...CLSID} = "InCDShellExt Class"
\InProcServer32\(Default) = "D:\Anwendungen\Nero 8\InCD\InCDshx.dll" ["Nero AG"]
Kaspersky Anti-Virus\(Default) = "{dd230880-495a-11d1-b064-008048ec2fc5}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "D:\Anwendungen\Kaspersky-Anti-Vir\ShellEx.dll" ["Kaspersky Lab"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "D:\Anwendungen\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\AllFilesystemObjects\shellex\ContextMenuHandlers\
AntivirusShlExt\(Default) = "{BE79B9C8-9791-41d3-9267-C4123AC0AEAE}"
-> {HKLM...CLSID} = "AVShellExt Class"
\InProcServer32\(Default) = "C:\Programme\Microsoft Windows OneCare Live\AVShellExt.dll" [MS]


Group Policies {policy setting}:
--------------------------------

Note: detected settings may not have any effect.

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) dword:0x00000001
{Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) dword:0x00000001
{Devices: Allow undock without having to log on}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState


Startup items in "Genieser1" & "All Users" startup folders:
-----------------------------------------------------------

C:\Dokumente und Einstellungen\Genieser1\Startmenü\Programme\Autostart
"OpenOffice.org 2.3" -> shortcut to: "D:\Anwendungen\OpenOffice.org 2.3\program\quickstart.exe" [null data]

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
<<!>> "ASUS WiFi-AP Solo.lnk.disabled" [null data]
"hp psc 1000 series" -> shortcut to: "C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe" ["Hewlett-Packard Co."]
"hpoddt01.exe" -> shortcut to: "C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe" ["Hewlett-Packard"]


Enabled Scheduled Tasks:
------------------------

"FRU Task #Hewlett-Packard#hp psc 1100 series#1194773223" -> launches: "C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe -I "#Hewlett-Packard#hp psc 1100 series#1194773223"" [empty string]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 21
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Explorer Bars

HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\

HKLM\Software\Classes\CLSID\{85E0B171-04FA-11D1-B7DA-00A0C90348D6}\(Default) = "Statistik für Web-Anti-Virus"
Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar]
InProcServer32\(Default) = "D:\Anwendungen\Kaspersky-Anti-Vir\SCIEPlgn.dll" ["Kaspersky Lab"]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBC}"
-> {HKCU...CLSID} = "Java Plug-in 1.6.0_03"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\ssv.dll" ["Sun Microsystems, Inc."]
-> {HKLM...CLSID} = "Java Plug-in 1.6.0_03"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\npjpi160_03.dll" ["Sun Microsystems, Inc."]

{1F460357-8A94-4D71-9CA3-AA4ACF32ED8E}\
"ButtonText" = "Statistik für Web-Anti-Virus"

{DFB852A3-47F8-48C4-A200-58CAB36FD2A2}\
"MenuText" = "Spybot - Search & Destroy Configuration"
"CLSIDExtension" = "{53707962-6F74-2D53-2644-206D7942484F}"
-> {HKLM...CLSID} = "Spybot-S&D IE Protection"
\InProcServer32\(Default) = "D:\ANWEND~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]

{E2E2DD38-D088-4134-82B7-F2BA38496583}\
"MenuText" = "@xpsp3res.dll,-20001"
"Exec" = "%windir%\Network Diagnostic\xpnetdiag.exe" [MS]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

Ad-Aware 2007 Service, aawservice, "D:\Anwendungen\ad-aware07\aawservice.exe" ["Lavasoft AB"]
InCD Helper, InCDsrv, "D:\Anwendungen\Nero 8\InCD\InCDsrv.exe" ["Nero AG"]
Intel(R) Matrix Storage Event Monitor, IAANTMON, "C:\Programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe" ["Intel Corporation"]
Kaspersky Anti-Virus 7.0, AVP, "D:\Anwendungen\Kaspersky-Anti-Vir\avp.exe -r" ["Kaspersky Lab"]
Nero BackItUp Scheduler 3, Nero BackItUp Scheduler 3, "D:\Anwendungen\Nero 8\Nero BackItUp\NBService.exe" ["Nero AG"]
NMIndexingService, NMIndexingService, ""C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe"" ["Nero AG"]
NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\system32\nvsvc32.exe" ["NVIDIA Corporation"]
OneCare AntiSpyware and AntiVirus, OneCareMP, ""C:\Programme\Microsoft Windows OneCare Live\Antivirus\MsMpEng.exe"" [MS]
OneCare Firewall, msfwsvc, ""C:\Programme\Microsoft Windows OneCare Live\Firewall\msfwsvc.exe"" [MS]
Windows Live OneCare, winss, "C:\Programme\Microsoft Windows OneCare Live\winss.exe" [MS]


Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
hpzsnt07\Driver = "hpzsnt07.dll" ["HP"]


---------- (launch time: 2007-12-10 00:45:13)
<<!>>: Suspicious data at a malware launch point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points, use the -supp parameter or answer "No" at the
first message box and "Yes" at the second message box.
---------- (total run time: 33 seconds, including 10 seconds for message boxes)

escan erzeugt leider sehr viele Fehlalarme, so auch bei dir. Besorgniserregendes hab ich da nicht gesehen.

Das silentrunners schau ich mir mal eben an...

Ein paar Dateien hab ich gesehen, die weg sollten, aber bei einer bin ich mir nicht sicher, ob sie noch existiert, macht aber nichts:

1.) Lade dir das Tool Avenger, speichere es auf dem Desktop und starte es.
2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:
3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.
4.) Danach das System unverzüglich neu starten lassen
5.) Poste den Inhalt der C:\avenger.txt Datei.

Reich auch noch das Filelisting nach.

Escan habe ich aber im normalen Modus aus geführt.Schlimm? Im Abgesicherten wollte er nicht so ganz.Bin ja auch über W-Lan verbunden und eigentlich nicht über Router.
Oder soll ich morgen nochmal escan versuchen im agesicherten?

Hier noch das logfil von Combofix:
ComboFix 07-12-09.1 - Genieser1 2007-12-10 0:54:50.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.1294 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Genieser1\Desktop\ComboFix(1).exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\regedit.com
C:\WINDOWS\system32\jkkjk.dll
C:\WINDOWS\system32\kjkkj.ini
C:\WINDOWS\system32\kjkkj.ini2
C:\WINDOWS\system32\rqtwa.ini2
C:\WINDOWS\system32\taskmgr.com

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_DOMAINSERVICE


((((((((((((((((((((((( Dateien erstellt von 2007-11-10 bis 2007-12-10 ))))))))))))))))))))))))))))))
.

2007-12-10 00:37 . 2007-12-10 00:37 0 --a------ C:\23990098.$$$
2007-12-09 23:35 . 2007-12-09 23:35 <DIR> d-a------ C:\WINDOWS\zts2.exe
2007-12-09 23:35 . 2007-12-09 23:35 <DIR> d-a------ C:\WINDOWS\system32\vcmgcd32.dll
2007-12-09 23:35 . 2007-12-09 23:35 <DIR> d-a------ C:\WINDOWS\system32\iifgfgf.dll
2007-12-09 23:35 . 2007-12-09 23:35 <DIR> d-a------ C:\WINDOWS\rundll16.exe
2007-12-09 23:35 . 2007-12-09 23:35 <DIR> d-a------ C:\WINDOWS\rundl132.dll
2007-12-09 23:35 . 2007-12-09 23:35 <DIR> d-a------ C:\WINDOWS\logo1_.exe
2007-12-09 23:29 . 2007-12-09 23:43 50 --a------ C:\WINDOWS\Lic.xxx
2007-12-09 23:28 . 2004-08-04 13:00 153,600 --a------ C:\WINDOWS\R.COM
2007-12-09 23:28 . 2004-08-04 13:00 140,800 --a------ C:\WINDOWS\system32\T.COM
2007-12-09 22:55 . 2007-12-09 22:55 <DIR> d-------- C:\Dokumente und Einstellungen\Genieser1\temporary internet files
2007-12-08 15:47 . 2007-11-08 19:01 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2007-12-08 15:47 . 2007-11-08 18:58 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmen�
2007-12-08 15:47 . 2007-11-08 18:58 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2007-12-08 15:47 . 2007-12-10 01:00 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2007-12-08 15:47 . 2007-11-08 18:58 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2007-12-08 15:47 . 2007-11-08 18:58 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2007-12-08 15:47 . 2007-11-08 18:58 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2007-12-07 19:53 . 2007-12-10 01:03 3,379,744 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2007-12-07 19:53 . 2007-12-07 19:57 82,061 --a------ C:\WINDOWS\system32\drivers\klick.dat
2007-12-07 19:53 . 2007-12-07 19:57 81,549 --a------ C:\WINDOWS\system32\drivers\klin.dat
2007-12-07 19:53 . 2007-12-10 01:01 50,372 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2007-12-07 19:53 . 2007-12-10 01:03 43,296 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat
2007-12-07 19:53 . 2007-12-10 01:01 6,152 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx
2007-12-07 18:46 . 2007-12-07 18:46 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab
2007-12-07 18:46 . 2007-12-10 01:03 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2007-12-06 23:33 . 2007-12-08 16:39 <DIR> d-------- C:\VundoFix Backups
2007-12-06 22:22 . 2007-12-06 23:39 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2007-12-06 22:17 . 2007-12-08 01:35 <DIR> d-------- C:\Programme\Google
2007-12-06 21:47 . 2007-12-07 21:02 81,984 --a------ C:\WINDOWS\system32\bdod.bin
2007-12-06 21:27 . 2005-09-23 08:29 626,688 --a------ C:\WINDOWS\system32\msvcr80.dll
2007-12-06 19:28 . 2007-12-07 18:36 1,134 ---hs---- C:\WINDOWS\system32\bbxjfslh.ini
2007-12-06 19:26 . 2007-12-06 19:26 <DIR> d-------- C:\Programme\Hamachi
2007-12-06 19:26 . 2007-12-06 21:19 <DIR> d-------- C:\Dokumente und Einstellungen\Genieser1\Anwendungsdaten\Hamachi
2007-12-06 19:26 . 2007-12-06 19:26 10,578 --a------ C:\WINDOWS\system32\drivers\hamachi.sys
2007-12-05 19:38 . 2007-12-06 19:18 774 ---hs---- C:\WINDOWS\system32\ggwaarmm.ini
2007-12-05 18:14 . 2007-09-21 10:35 116,416 --a------ C:\WINDOWS\system32\drivers\msfwhlpr.sys
2007-12-05 18:14 . 2007-09-21 10:35 91,328 --a------ C:\WINDOWS\system32\drivers\msfwdrv.sys
2007-12-05 18:13 . 2007-12-05 18:13 <DIR> d-------- C:\WINDOWS\system32\bits
2007-12-05 18:13 . 2007-03-29 13:58 7,168 -----c--- C:\WINDOWS\system32\dllcache\bitsprx4.dll
2007-12-05 18:13 . 2007-03-29 13:58 7,168 --------- C:\WINDOWS\system32\bitsprx4.dll
2007-12-04 20:50 . 2007-12-04 20:50 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2007-12-04 19:32 . 2007-12-05 19:32 534 ---hs---- C:\WINDOWS\system32\cpgnpjas.ini
2007-12-01 21:45 . 2004-08-04 13:00 221,184 --a------ C:\WINDOWS\system32\wmpns.dll
2007-12-01 19:26 . 2007-12-01 19:55 <DIR> d-------- C:\WINDOWS\UI
2007-12-01 11:49 . 2007-12-01 11:49 2 --a------ C:\1146741292
2007-11-29 19:17 . 2007-11-29 19:50 <DIR> d-------- C:\Programme\EMUSB2.0
2007-11-29 19:17 . 2004-12-15 13:55 188,416 --a------ C:\WINDOWS\emSTI.exe
2007-11-29 19:17 . 1998-09-01 17:24 35,600 --a------ C:\WINDOWS\emAMCAP.exe
2007-11-29 19:07 . 2007-12-10 00:03 <DIR> d-------- C:\Dokumente und Einstellungen\Genieser1\Anwendungsdaten\skypePM
2007-11-29 19:07 . 2007-11-29 19:07 32 --a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
2007-11-29 19:06 . 2007-11-29 19:06 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Skype
2007-11-25 05:11 . 2007-11-25 05:11 533 --a------ C:\WINDOWS\eReg.dat
2007-11-25 05:05 . 2007-11-25 05:05 685,816 --a------ C:\WINDOWS\system32\drivers\sptd.sys
2007-11-24 17:55 . 2007-11-24 17:58 <DIR> d-------- C:\Dokumente und Einstellungen\Genieser1\Anwendungsdaten\Command & Conquer 3 Tiberium Wars
2007-11-24 13:13 . 2007-11-24 13:13 <DIR> d-------- C:\Dokumente und Einstellungen\Genieser1\Anwendungsdaten\InstallShield Installation Information
2007-11-24 13:03 . 2007-11-24 13:03 <DIR> d-------- C:\WINDOWS\system32\AGEIA
2007-11-24 13:03 . 2007-12-04 20:49 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2007-11-24 13:03 . 2007-11-24 13:03 <DIR> d-------- C:\Programme\AGEIA Technologies
2007-11-24 13:03 . 2007-07-19 18:14 3,727,720 --a------ C:\WINDOWS\system32\d3dx9_35.dll
2007-11-24 13:03 . 2007-07-19 18:14 1,358,192 --a------ C:\WINDOWS\system32\D3DCompiler_35.dll
2007-11-24 13:03 . 2007-07-19 18:14 444,776 --a------ C:\WINDOWS\system32\d3dx10_35.dll
2007-11-24 12:50 . 2007-11-24 12:50 290 --a------ C:\WINDOWS\game.ini
2007-11-24 12:34 . 2007-11-24 12:34 <DIR> d-------- C:\WINDOWS\ftpcache
2007-11-24 12:02 . 2007-11-24 12:02 <DIR> d-------- C:\WINDOWS\PIF
2007-11-22 22:35 . 2007-11-22 22:35 <DIR> d-------- C:\Dokumente und Einstellungen\Genieser1\Anwendungsdaten\aignes
2007-11-22 22:18 . 2007-12-02 10:07 <DIR> d-------- C:\WINDOWS\system32\NtmsData
2007-11-22 20:21 . 2007-01-18 13:38 23,600 --a------ C:\WINDOWS\system32\drivers\TVICHW32.SYS
2007-11-20 23:43 . 2007-12-08 00:56 <DIR> d-------- C:\Programme\ffdshow
2007-11-20 23:43 . 2007-04-24 16:30 60,273 --a------ C:\WINDOWS\system32\pthreadGC2.dll
2007-11-20 23:43 . 2007-07-29 16:51 7,680 --a------ C:\WINDOWS\system32\ff_vfw.dll
2007-11-20 23:43 . 2007-07-10 17:10 547 --a------ C:\WINDOWS\system32\ff_vfw.dll.manifest
2007-11-20 22:51 . 2004-02-22 10:11 719,872 --a------ C:\WINDOWS\system32\devil.dll
2007-11-20 22:51 . 2006-10-07 17:43 502,784 --a------ C:\WINDOWS\x2.64.exe
2007-11-20 22:51 . 2007-05-14 15:24 394,240 --a------ C:\WINDOWS\system32\Smab.dll
2007-11-20 22:51 . 2007-05-17 17:30 318,976 --a------ C:\WINDOWS\system32\avisynth.dll
2007-11-20 22:51 . 2005-02-28 13:16 240,128 --a------ C:\WINDOWS\system32\x.264.exe
2007-11-20 22:51 . 2006-04-12 09:47 217,073 --a------ C:\WINDOWS\meta4.exe
2007-11-20 22:51 . 2004-01-25 00:00 70,656 --a------ C:\WINDOWS\system32\i420vfw.dll
2007-11-20 22:51 . 2006-04-05 08:09 66,560 --a------ C:\WINDOWS\MOTA113.exe
2007-11-20 22:51 . 2005-07-14 12:31 27,648 --a------ C:\WINDOWS\system32\AVSredirect.dll
2007-11-20 22:11 . 2007-11-20 22:23 <DIR> d-------- C:\Dokumente und Einstellungen\Genieser1\dwhelper
2007-11-20 18:24 . 2007-10-04 17:14 356,352 --a------ C:\WINDOWS\system32\nvudisp.exe
2007-11-20 18:24 . 2007-11-20 18:26 140,158 --a------ C:\WINDOWS\system32\nvapps.xml
2007-11-20 18:24 . 2007-10-04 17:14 17,525 --a------ C:\WINDOWS\system32\nvdisp.nvu
2007-11-20 18:23 . 2007-10-04 18:16 356,352 --a------ C:\WINDOWS\system32\NVUNINST.EXE
2007-11-20 18:15 . 2007-10-04 17:14 136,260 --a------ C:\WINDOWS\system32\nvapps.nvb
2007-11-18 12:20 . 2007-11-18 12:20 481 --a------ C:\WINDOWS\ipwatch.ini
2007-11-18 12:06 . 2007-11-18 12:14 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2007-11-17 18:02 . 2007-12-08 03:00 69 --a------ C:\WINDOWS\NeroDigital.ini
2007-11-17 12:20 . 2007-11-17 12:20 <DIR> d-------- C:\Dokumente und Einstellungen\Genieser1\Anwendungsdaten\Nero
2007-11-17 12:15 . 2007-11-17 12:19 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Nero
2007-11-17 12:15 . 2007-11-17 12:15 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nero
2007-11-17 02:35 . 2007-11-17 02:35 <DIR> d-------- C:\WINDOWS\Performance
2007-11-17 02:35 . 2007-11-17 02:35 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Corporation
2007-11-14 23:28 . 2007-11-14 23:28 <DIR> d-------- C:\Dokumente und Einstellungen\Genieser1\Anwendungsdaten\Thunderbird
2007-11-13 23:49 . 2007-11-20 18:26 <DIR> d-------- C:\WINDOWS\nview
2007-11-13 23:27 . 2007-11-13 23:27 552 --a------ C:\WINDOWS\system32\d3d8caps.dat
2007-11-13 17:33 . 2003-07-17 10:17 5,174 --a------ C:\WINDOWS\system32\nppt9x.vxd
2007-11-13 17:33 . 2005-01-01 01:43 4,682 --a------ C:\WINDOWS\system32\npptNT2.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-12-10 00:03 --------- d-----w C:\Dokumente und Einstellungen\Genieser1\Anwendungsdaten\Skype
2007-12-09 23:53 --------- d-----w C:\Dokumente und Einstellungen\Genieser1\Anwendungsdaten\Free Download Manager
2007-12-09 13:23 --------- d-----w C:\Programme\Microsoft Windows OneCare Live
2007-12-08 21:54 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-12-05 17:20 244,224 ----a-w C:\WINDOWS\Media\F1100warxy99.dll
2007-11-29 18:06 --------- d-----w C:\Programme\Skype
2007-11-25 04:13 12,400 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys
2007-11-10 15:01 359,808 ----a-w C:\WINDOWS\system32\drivers\TCPIP.SYS
2007-11-09 20:26 --------- d-----w C:\Dokumente und Einstellungen\Genieser1\Anwendungsdaten\Media Player Classic
2007-11-09 17:48 --------- d-----w C:\Dokumente und Einstellungen\Genieser1\Anwendungsdaten\TeamViewer
2007-11-09 16:41 315,392 ----a-w C:\WINDOWS\HideWin.exe
2007-11-09 16:41 --------- d-----w C:\Programme\Realtek
2007-11-09 16:14 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FreeDownloadManager.ORG
2007-11-09 14:03 --------- d-----w C:\Programme\Gemeinsame Dateien\Hewlett-Packard
2007-11-09 14:02 --------- d-----w C:\Programme\Hewlett-Packard
2007-11-09 13:11 --------- d-----w C:\Programme\Logitech
2007-11-09 13:11 --------- d-----w C:\Programme\Gemeinsame Dateien\Logitech
2007-11-09 12:55 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Logitech
2007-11-09 12:17 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype
2007-11-09 11:00 --------- d-----w C:\Programme\eMPIA
2007-11-08 23:26 --------- d-----w C:\Dokumente und Einstellungen\Genieser1\Anwendungsdaten\Talkback
2007-11-08 20:13 --------- d-----w C:\Programme\Java
2007-11-08 20:12 --------- d-----w C:\Programme\Gemeinsame Dateien\Java
2007-11-08 19:56 --------- d-----w C:\Programme\Futuremark
2007-11-08 19:42 --------- d-----w C:\Programme\MSXML 6.0
2007-11-08 19:40 --------- d-----w C:\Programme\MSBuild
2007-11-08 19:38 --------- d-----w C:\Programme\Reference Assemblies
2007-11-08 19:38 --------- d-----w C:\Programme\LeechFTP
2007-11-08 19:37 --------- d-----w C:\Programme\Windows Media Connect 2
2007-11-08 18:32 --------- d-----w C:\Programme\MSXML 4.0
2007-11-08 18:20 --------- d-----w C:\Programme\ASUS
2007-11-08 18:18 21,035 ----a-w C:\WINDOWS\system32\drivers\AegisP.sys
2007-11-08 18:18 --------- d-----w C:\Programme\ASUS WiFi-AP Solo
2007-11-08 18:16 --------- d-----w C:\Programme\Marvell
2007-11-08 18:16 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2007-11-08 18:13 --------- d-----w C:\Programme\Intel
2007-11-08 18:04 --------- d-----w C:\Programme\microsoft frontpage
2007-11-08 18:03 --------- d-----w C:\Programme\Online-Dienste
2007-11-08 18:03 --------- d-----w C:\Programme\Gemeinsame Dateien\MSSoap
2007-11-08 18:03 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste
2007-11-08 17:58 --------- d-----w C:\Programme\Gemeinsame Dateien\SpeechEngines
2007-11-08 17:58 --------- d-----w C:\Programme\Gemeinsame Dateien\ODBC
2007-11-01 13:38 4,620,288 ----a-r C:\WINDOWS\system32\drivers\RtkHDAud.sys
2007-10-25 10:57 16,855,552 ----a-r C:\WINDOWS\RTHDCPL.exe
2007-10-24 00:47 96,760 ----a-w C:\WINDOWS\system32\dfshim.dll
2007-10-24 00:47 84,480 ----a-w C:\WINDOWS\system32\mscories.dll
2007-10-24 00:47 282,112 ----a-w C:\WINDOWS\system32\mscoree.dll
2007-10-24 00:47 158,720 ----a-w C:\WINDOWS\system32\mscorier.dll
2007-10-20 00:56 524,288 ----a-w C:\WINDOWS\system32\DivXsm.exe
2007-10-20 00:56 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll
2007-10-20 00:56 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
2007-10-20 00:56 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
2007-10-20 00:54 823,296 ----a-w C:\WINDOWS\system32\divx_xx0c.dll
2007-10-20 00:54 823,296 ----a-w C:\WINDOWS\system32\divx_xx07.dll
2007-10-20 00:54 81,920 ----a-w C:\WINDOWS\system32\dpl100.dll
2007-10-20 00:54 802,816 ----a-w C:\WINDOWS\system32\divx_xx11.dll
2007-10-20 00:54 739,840 ----a-w C:\WINDOWS\system32\DivX.dll
2007-10-20 00:54 196,608 ----a-w C:\WINDOWS\system32\dtu100.dll
2007-10-18 10:31 51,224 ----a-w C:\WINDOWS\system32\sirenacm.dll
2007-10-18 09:06 156,992 ----a-w C:\WINDOWS\system32\DivXCodecVersionChecker.exe
2007-10-18 09:03 593,920 ----a-w C:\WINDOWS\system32\dpuGUI11.dll
2007-10-18 09:03 57,344 ----a-w C:\WINDOWS\system32\dpv11.dll
2007-10-18 09:03 53,248 ----a-w C:\WINDOWS\system32\dpuGUI10.dll
2007-10-18 09:03 344,064 ----a-w C:\WINDOWS\system32\dpus11.dll
2007-10-18 09:03 294,912 ----a-w C:\WINDOWS\system32\dpu11.dll
2007-10-18 09:03 294,912 ----a-w C:\WINDOWS\system32\dpu10.dll
2007-10-18 09:02 12,288 ----a-w C:\WINDOWS\system32\DivXWMPExtType.dll
2007-10-11 10:04 1,826,816 ----a-r C:\WINDOWS\SkyTel.exe
2007-10-11 08:55 88,576 ----a-w C:\WINDOWS\system32\infocardapi.dll
2007-10-11 08:55 579,584 ----a-w C:\WINDOWS\system32\icardagt.exe
2007-10-11 08:55 11,776 ----a-w C:\WINDOWS\system32\icardres.dll
2007-10-09 12:03 779,800 ----a-w C:\WINDOWS\system32\PresentationNative_v0300.dll
2007-10-09 12:03 73,752 ----a-w C:\WINDOWS\system32\dxva2.dll
2007-10-09 12:03 493,080 ----a-w C:\WINDOWS\system32\evr.dll
2007-10-09 12:03 350,744 ----a-w C:\WINDOWS\system32\PresentationHost.exe
2007-10-09 12:03 33,304 ----a-w C:\WINDOWS\system32\PresentationHostProxy.dll
2007-10-09 12:03 161,304 ----a-w C:\WINDOWS\system32\UIAutomationCore.dll
2007-10-09 12:03 106,520 ----a-w C:\WINDOWS\system32\PresentationCFFRasterizerNative_v0300.dll
2007-10-09 12:03 1,986,072 ----a-w C:\WINDOWS\system32\milcore.dll
2007-10-09 11:58 16,896 ----a-w C:\WINDOWS\system32\tswpfwrp.exe
2007-10-04 16:14 81,920 ----a-w C:\WINDOWS\system32\nvwddi.dll
2007-10-04 16:14 81,920 ----a-w C:\WINDOWS\system32\nvmctray.dll
2007-10-04 16:14 8,491,008 ----a-w C:\WINDOWS\system32\nvcpl.dll
2007-10-04 16:14 753,664 ----a-w C:\WINDOWS\system32\nvcplui.exe
2007-10-04 16:14 6,750,208 ----a-w C:\WINDOWS\system32\nvoglnt.dll
2007-10-04 16:14 6,344,704 ----a-w C:\WINDOWS\system32\nvdisps.dll
2007-10-04 16:14 5,783,424 ----a-w C:\WINDOWS\system32\nv4_disp.dll
2007-10-04 16:14 5,509,120 ----a-w C:\WINDOWS\system32\nvdispsr.dll
2007-10-04 16:14 466,944 ----a-w C:\WINDOWS\system32\nvshell.dll
2007-10-04 16:14 458,752 ----a-w C:\WINDOWS\system32\nvmccssr.dll
2007-10-04 16:14 45,056 ----a-w C:\WINDOWS\system32\nvmccsrs.dll
2007-10-04 16:14 442,368 ----a-w C:\WINDOWS\system32\nvappbar.exe
2007-10-04 16:14 425,984 ----a-w C:\WINDOWS\system32\keystone.exe
2007-10-04 16:14 364,544 ----a-w C:\WINDOWS\system32\nvapi.dll
2007-10-04 16:14 36,864 ----a-w C:\WINDOWS\system32\nvcodins.dll
2007-10-04 16:14 36,864 ----a-w C:\WINDOWS\system32\nvcod.dll
2007-10-04 16:14 335,872 ----a-w C:\WINDOWS\system32\nvwrses.dll
2007-10-04 16:14 335,872 ----a-w C:\WINDOWS\system32\nvwrsel.dll
2007-10-04 16:14 327,680 ----a-w C:\WINDOWS\system32\nvwrsfr.dll
2007-10-04 16:14 327,680 ----a-w C:\WINDOWS\system32\nvwrsesm.dll
2006-05-03 09:06 163,328 --sh--r C:\WINDOWS\system32\flvDX.dll
2007-02-21 10:47 31,232 --sh--r C:\WINDOWS\system32\msfDX.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 13:00]
"Skype"="C:\Programme\Skype\Phone\Skype.exe" [2007-11-12 15:48]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe" [2007-08-03 12:51]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IAAnotif"="C:\Programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe" [2006-05-03 13:35]
"JMB36X IDE Setup"="C:\WINDOWS\JM\JMInsIDE.exe" [2006-10-30 13:44]
"36X Raid Configurer"="C:\WINDOWS\system32\JMRaidSetup.exe" [2006-11-16 10:05]
"Ai Quicker Help"="C:\Program Files\ASUS\ASUS DH Remote\AsRc.exe" [2006-11-09 21:29]
"OneCareUI"="C:\Programme\Microsoft Windows OneCare Live\winssnotify.exe" [2007-11-19 09:38]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11]
"Launch LCDMon"="C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\lcdmon.exe" [2007-04-26 16:54]
"Launch LGDCore"="C:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe" [2007-04-26 17:22]
"Logitech Utility"="Logi_MwX.Exe" [2003-12-17 09:50 C:\WINDOWS\LOGI_MWX.EXE]
"RTHDCPL"="RTHDCPL.EXE" [2007-10-25 11:57 C:\WINDOWS\RTHDCPL.exe]
"Alcmtr"="ALCMTR.EXE" [2005-05-03 18:43 C:\WINDOWS\Alcmtr.exe]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe" [2007-03-01 15:57]
"nwiz"="nwiz.exe" [2007-10-04 17:14 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="RUNDLL32.exe" [2004-08-04 13:00 C:\WINDOWS\system32\rundll32.exe]
"emMON"="emMON.exe" [2006-05-30 21:24 C:\WINDOWS\emMON.exe]
"NvCplDaemon"="RUNDLL32.exe" [2004-08-04 13:00 C:\WINDOWS\system32\rundll32.exe]
"AVP"="D:\Anwendungen\Kaspersky-Anti-Vir\avp.exe" [2007-06-28 12:51]
"combofix"="C:\WINDOWS\system32\cmd.exe" [2004-08-04 13:00]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\OneCareMP]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"NBKeyScan"="D:\Anwendungen\Nero 8\Nero BackItUp\NBKeyScan.exe"
"SecurDisc"=D:\Anwendungen\Nero 8\InCD\NBHGui.exe
"NvCplDaemon"=RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

R1 MSFWHLPR;MSFWHLPR;C:\WINDOWS\system32\DRIVERS\msfwhlpr.sys
R2 MSFWDrv;MSFWDrv;C:\WINDOWS\system32\DRIVERS\msfwdrv.sys
R2 msfwsvc;OneCare Firewall;"C:\Programme\Microsoft Windows OneCare Live\Firewall\msfwsvc.exe"
R2 Nero BackItUp Scheduler 3;Nero BackItUp Scheduler 3;D:\Anwendungen\Nero 8\Nero BackItUp\NBService.exe
R2 OneCareMP;OneCare AntiSpyware and AntiVirus;"C:\Programme\Microsoft Windows OneCare Live\Antivirus\MsMpEng.exe"
R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys
R3 MpFilter;Microsoft Malware Protection Driver;C:\WINDOWS\system32\DRIVERS\MpFilter.sys
R3 WmBEnum;Logitech Virtual Bus Enumerator Driver;C:\WINDOWS\system32\drivers\WmBEnum.sys
R3 WmFilter;Logitech Gaming HID Filter Driver;C:\WINDOWS\system32\drivers\WmFilter.sys
R3 WmXlCore;Logitech Translation Layer Driver;C:\WINDOWS\system32\drivers\WmXlCore.sys
S1 ATITool;ATITool Overclocking Utility;C:\WINDOWS\system32\DRIVERS\ATITool.sys
S3 RTLWUSB;Realtek RTL8187 Wireless 802.11g 54Mbps USB 2.0 Network Adapter;C:\WINDOWS\system32\DRIVERS\RTL8187.sys
S3 SjyPkt;SjyPkt;\??\C:\WINDOWS\System32\Drivers\SjyPkt.sys
S3 USB28xxBGA;USB 2820 Device;C:\WINDOWS\system32\DRIVERS\emBDA.sys
S3 USB28xxOEM;USB 28xx OEM Filter;C:\WINDOWS\system32\DRIVERS\emOEM.sys
S3 USRSp50;USRSp50 NDIS Protocol Driver;C:\WINDOWS\system32\Drivers\USRSp50.sys
S3 WmVirHid;Logitech Virtual Hid Device Driver;C:\WINDOWS\system32\drivers\WmVirHid.sys

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{271508ba-9b0c-11dc-b9fa-001bfce832a2}]
\Shell\AutoRun\command - I:\RunGame.exe

.
Inhalt des "geplante Tasks" Ordners
"2007-11-11 09:27:28 C:\WINDOWS\Tasks\FRU Task #Hewlett-Packard#hp psc 1100 series#1194773223.job"
- C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe
.
**************************************************************************

catchme 0.3.1331 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-10 01:03:41
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2007-12-10 1:04:42 - machine was rebooted
.
--- E O F ---

Avenger arbeitet anscheinend nicht richtig.
Alles so gemacht wie beschrieben aber folgende Fehlermeldung kam dabei raus:
//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Fatal error: could not create new script file.
Error code: 0
Error logged to errorlog.txt. Aborting now!

Denke aber mal das HJ bzw. Combofix das Problem schön gelößt hat.
Werden mal shcnell nun noch ein neues Logfile von HJ erstellen lassen.
Hier das Logfile von HJ:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:23:21, on 10.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Microsoft Windows OneCare Live\Antivirus\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
D:\Anwendungen\ad-aware07\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe
C:\Program Files\ASUS\ASUS DH Remote\AsRc.exe
C:\Programme\Microsoft Windows OneCare Live\winssnotify.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\lcdmon.exe
C:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\Applets\LCDClock.exe
C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\Applets\LCDMedia.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\emMON.exe
C:\Program Files\ASUS\ASUS DH Remote\AsDhRemote.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
D:\Anwendungen\Kaspersky-Anti-Vir\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
D:\Anwendungen\OpenOffice.org 2.3\program\soffice.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
D:\Anwendungen\OpenOffice.org 2.3\program\soffice.BIN
D:\Anwendungen\Kaspersky-Anti-Vir\avp.exe
C:\Programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe
D:\Anwendungen\Nero 8\InCD\InCDsrv.exe
C:\Programme\Microsoft Windows OneCare Live\Firewall\msfwsvc.exe
D:\Anwendungen\Nero 8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Microsoft Windows OneCare Live\winss.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\NOTEPAD.EXE
D:\Internet\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Genieser1\Desktop\avenger\avenger.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\Genieser1\Desktop\abc123.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = h**p://go.microsoft.com/fwlink/?LinkId=54843
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\ANWEND~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - D:\Internet\Free Download Manager\iefdm2.dll
O4 - HKLM\..\Run: [IAAnotif] C:\Programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\JM\JMInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\JMRaidSetup.exe boot
O4 - HKLM\..\Run: [Ai Quicker Help] "C:\Program Files\ASUS\ASUS DH Remote\AsRc.exe"
O4 - HKLM\..\Run: [OneCareUI] "C:\Programme\Microsoft Windows OneCare Live\winssnotify.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\lcdmon.exe"
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [emMON] emMON.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AVP] "D:\Anwendungen\Kaspersky-Anti-Vir\avp.exe"
O4 - HKLM\..\Run: [combofix] "C:\WINDOWS\system32\cmd.exe" /c "cd /d C:\ComboFix\ & Combobatch.bat"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe"
O4 - Startup: OpenOffice.org 2.3.lnk = D:\Anwendungen\OpenOffice.org 2.3\program\quickstart.exe
O4 - Global Startup: ASUS WiFi-AP Solo.lnk.disabled
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - D:\Anwendungen\Kaspersky-Anti-Vir\SCIEPlgn.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\ANWEND~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\ANWEND~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - h**p://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1194568181218
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - h**p://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - h**p://javadl-esd.sun.com/update/1.6.0/jinstall-6u3-windows-i586-jc.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{722E66EE-BA3F-4E8B-8A8D-D9CA14BC9422}: NameServer = 192.168.178.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{CF6FC620-696B-4CAF-91FA-2954420CA338}: NameServer = 192.168.178.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - D:\Anwendungen\ad-aware07\aawservice.exe
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - D:\Anwendungen\Kaspersky-Anti-Vir\avp.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - D:\Anwendungen\Nero 8\InCD\InCDsrv.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - D:\Anwendungen\Nero 8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

--
End of file - 8783 bytes

Es gibt da auch ne Anleitung für user ohne Router bzw. für die, woder Internetzugang im abgesicherten nicht klappt. Kannst du ruhig nochmal machen, klick einfach nochmal die Anleitung an und scroll etwas runter, da ist eine weitere für user ohne Router :heilig:

Werte mal die Datei C:\WINDOWS\System32\Drivers\SjyPkt.sys bei Virustotal aus. Bei der bin ich mir nicht ganz sicher.

Ein andere Dateien müssen noch runter. Gehe wir oben beschrieben mit dem avenger vor, aber kopiere diesmal diesen Text rein:

Poste danach wieder das avenger-Log.

Schau auch mal in den Ordner C:\WINDOWS\UI hinein, ob du dort merkwürdige Dateien siehst.

Im Ui Ordner sind bloß Windows Bytemap Dateien drin von der Grafik von meinem Garfikkartentool Gainward.
Virustotal hat bei der angegeben Datei 0 befund.
Avereng führe ich gleich aus und poste logfile.

Avenger kann wieder nichts machen.
Gleich Fehlermeldung wie vorhin.
//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Fatal error: could not create new script file.
Error code: 0
Error logged to errorlog.txt. Aborting now!

Und im Ordner ist auch keine logfile drin.Klar eigentlich wenn er keine Aktion ausführen konnte.

Die Dateien :
:\WINDOWS\system32\bdod.bin
C:\WINDOWS\system32\bbxjfslh.ini
C:\WINDOWS\system32\ggwaarmm.ini
C:\WINDOWS\system32\cpgnpjas.ini
existeiren anscheinend nicht mehr.Habe slebst mal danach geschaut im Verzeichniss.
Die Datei :
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
war noch vorhanden.Habe ich per Hand gelöscht.
Auch diese per Hand gelöscht :
C:\WINDOWS\Media\F1100warxy99.dll
Und diese:
C:\WINDOWS\HideWin.exe
So nun müsten sie ja alle weg sein oder bin ich da falsch?

So bin aber dann nun auch mal offlin fürs erste.
Muss morgen früh raus.
Danke mal bis dahin.
Falls es noch etwas geben sollte schaue ich auf jeden Fall morgen abend so gegen 18 Uhr hier wieder rein und mache weiter.
Nebenbei noch eine Frage.
E-scan hat doch etwas von einem Wurm gesagt( Possible Fujacks-type Worm).
Iss das ein Fehlscann?
Des weiteren fehlerhafte Registry Einträge.
Kann man die durch ein Prog fixen lassen?
Danke für deine Mühe bis hier her.
Gute Nacht.

So guten Abend!Also bisher habe ich keine problem mehr mit dem System.
Was das von mir angegeben löschen der Dateien an geht so sind auch so weit ich es sehen kann alle verschwunden bis auf eine die wieder unter anderem Namen auf getaucht ist.
Habe sie mal bei Virustotal druchlaufen lassen und bekam folgendes Ergebniss:

Datei 39394warxy23.wav empfangen 2007.12.10 21:43:25 (CET)
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.12.10.1 2007.12.10 -
AntiVir 7.6.0.40 2007.12.10 -
Authentium 4.93.8 2007.12.10 -
Avast 4.7.1098.0 2007.12.10 -
AVG 7.5.0.503 2007.12.10 -
BitDefender 7.2 2007.12.10 -
CAT-QuickHeal 9.00 2007.12.10 -
ClamAV 0.91.2 2007.12.10 -
DrWeb 4.44.0.09170 2007.12.10 -
eSafe 7.0.15.0 2007.12.10 -
eTrust-Vet 31.3.5366 2007.12.10 -
Ewido 4.0 2007.12.10 -
FileAdvisor 1 2007.12.10 -
Fortinet 3.14.0.0 2007.12.10 -
F-Prot 4.4.2.54 2007.12.08 -
F-Secure 6.70.13030.0 2007.12.10 -
Ikarus T3.1.1.12 2007.12.10 -
Kaspersky 7.0.0.125 2007.12.10 -
McAfee 5182 2007.12.10 -
Microsoft 1.3007 2007.12.10 -
NOD32v2 2714 2007.12.10 -
Norman 5.80.02 2007.12.10 -
Panda 9.0.0.4 2007.12.10 -
Prevx1 V2 2007.12.10 -
Rising 20.21.42.00 2007.12.07 -
Sophos 4.24.0 2007.12.10 -
Sunbelt 2.2.907.0 2007.12.07 -
Symantec 10 2007.12.10 -
TheHacker 6.2.9.154 2007.12.10 -
VBA32 3.12.2.5 2007.12.10 -
VirusBuster 4.3.26:9 2007.12.10 -
Webwasher-Gateway 6.6.2 2007.12.10 -
weitere Informationen
File size: 4212 bytes
MD5: e8ff74fe675775541de581aa6241ae17
SHA1: 7c2515dffea3cab523e232af4826dba61e035d9f
PEiD: -
Da leider bei mir das Tool :Avenger immer noch nicht laufen will wollte ich nun wissen ob es unbedingt notwendig ist diese oben genannte Datei zu entfernen bzw. ob es noch alternativen zu diesem Programm Avenger gibt um das zu machen.
Warte nun mal gespannt auf deine Antwort.
Danke!

Warum der Avenger bei dirnicht will weiß ich nicht :confused: Aber wenn du die Dateien so löschen konntest isses okay. Der Avenger ist nur dafür gedacht, dass man "geschützte" Dateien löschen kann, also eben auch Dateien die sich im laufenden Windows eben nicht löschen lassen wollen. Dafür gibts zur Not aber auch noch Killbox oder evtl. das Programm Unlocker.

Hast du schon das Filelisting gemacht?

Hier das aktuelle Filelisting.
Komischerweiße sind die Dateien wieder auf getaucht. Vieleicht im Autostart mit drin?
File-Upload.net - Ihr kostenloser File Hoster!

Du hast bei dieser rel. neuartigen Malware "komische" Effekte - es gibt wenn du so willst, mehrere Dateien zu einem Autostarteintrag, daher sollte man auf einem Schlag möglichst alle Malwaredateien erwischen (also löschen) um so Wiederaufstehungen zu vermeiden. Wird eine Datei wieder nur gestartet, werden wieder neue in anderen Orten erstellt, um es dem Schädlingsbekämpfer so schwer wie möglich machen - das macht es so schwierig ein System zu bereinigen. Deswegen und aus anderen Gründen (die ich hier jetzt nicht nennen will, wäre zuviel) hat man nur nach einem Neuaufsetzen die Garantie, alles sauber zu haben.

Mach mal bitte nen Check mit Blacklight - mir schwant übles.

Werte auch mal die Datei C:\WINDOWS\system32\drivers\tgxycltv.sys bei Virustotal aus und poste die Ergebnisse.

Blacklight: ( ohne Befund )
12/11/07 20:30:22 [Info]: BlackLight Engine 1.0.67 initialized
12/11/07 20:30:22 [Info]: OS: 5.1 build 2600 (Service Pack 2)
12/11/07 20:30:22 [Note]: 7019 4
12/11/07 20:30:22 [Note]: 7005 0
12/11/07 20:30:28 [Note]: 7006 0
12/11/07 20:30:28 [Note]: 7011 300
12/11/07 20:30:28 [Note]: 7026 0
12/11/07 20:30:28 [Note]: 7026 0
12/11/07 20:30:29 [Note]: FSRAW library version 1.7.1024
12/11/07 20:33:47 [Note]: 7007 0

Datei C:\WINDOWS\system32\drivers\tgxycltv.sys
bei Virustotal ohne befund!
Auserdem habe ich mal ein bisschen Suche in der registry gemacht.
Habe mal die Datei : F1100warxy99.dll gesucht und auch gefunden zusammen mit den anderen.
Pfad : HKEY_USER\S-1-5-21-1960408961-606747145-725345543-1004\Software\Microsoft\Search Assistant\ACMru\5604
Sind alles Binärdateien.
Typ Reg_SZ
Hatte übrigens alle diese Dateien die ich gelöscht habe und die wieder aufgetreten sind durch Virustotal scannen lassen.
Waren alle "ohen Befund"!
Sieht nach Blacklightscan ja so aus als währe zumindest kein Backdoor auf meinem Rechner.
Das andere könnte Spy oder Addeware sein.
Bin mal gespannt was du dazu sagst.

Das ist sehr merkwürdig, denn der Dateiname führt bei Google zu keinem Fund! :eek:
Ich würde an deiner Stelle dir Datei erstmal zumindest in Quaräntäne stellen, ein umbenennen in tgxycltv.sys.vir sollte da erstmal schon reichen.

Jo, sieht so aus ;)

Mit dem Avenger hätte ich noch ne Idee. Starte mal regedit.exe (in Start, Ausführen eingeben) und navigiere zu

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings

Schau rechts nach, ob dort der Wert Enabled existiert und wenn ja ob er auch den Wert 1 hat.

So!*g*
Der Registrypfad steht auf 1 als auf an.
Falls Avenger aber nicht funzen sollte was es ja bisher noch nicht macht sollten wir vieleicht mal ein anderes Tool ausprobieren um die Dateien zu löschen oder?
Mir ist heute auf der Arbeit was ein gefallen und zwar dachte ich wegen meinem Problem das es vieleicht damit zusammen hängt das die Systehmwiederherstellung ja an ist.Die wurde ja von Combofix nach dem neu booten wieder an gestellt.Falls danach diese Sachen ja noch auf dem Rechner waren könnten sie sich ja auch in die Wiederherstellungsdatei eingenißtet haben.Daher mal mein Vorschlag.
Systehmwiederherstellung aus.
Combofix starten durchlaufen lassen und neu starten.
Währe vieleicht eine Lösung oder?Im übrigen wird beim Systehmstart im Dos Fenster gemotzt das die Combobatch.bat Datei nicht auffindbar ist oder falsch geschrieben sei. Iss doch die Datei von Combofix oder?Wie kann ich diese Fehlermeldung beheben?
Oder könnten diese Dateien auch von einem Tool stammen das ich benutzt habe um Virtumonde zu entfernen?
Habe das Tool Catchme auf meinem Rechner gefunden.
Soll ja soweit ich bei Google mal nach geschaut habe seit neustem auch im Combofixtool dabei sein.
Iss schon komisch das keine der Dateien bei Virustotal einen Ausschlag gibt. Aber solange ich nicht gestöhrt werde und auch nicht übernommen werde denke ich können wir weiter machen (vorrausgesetzt du willst herausfinden was es ist und hast noch Lust dazu).
Bemerke auch keine überhöhte Systehmauslastung oder Netzwerkaktivitäten.
Es muss ja irgendwo der Grund für diese Dateien da sein.
Spybot findet nichts, On Care findet nichts, Kaspersky findet nichts.
Sollte es sich als um sehr bösartige Viren oder so handeln müsten die ja an schlagen bzw. wenigstens eins dieser Progs.
Wobei ich bei dieser Sache auch scnnell mal nach fragen wollte was du von Kaspersky 7.0 hälst da ich evtl. mir die Vollversion holen wollte.
Währe es entfehlendswert oder eher nicht?
Von Windof One Care halte ich hingegen nicht so viel obwohl es mir Virtumonde ja als einziges an gezeigt hat.
Was meinst du dazu?
Des weiteren noch etwa was ich schnell mal mitteilen wollte.
In meiner One Care Firewall steht ein Eintrag von wegen " Eine DLL als Anwendung aus führen" Version 5.1.2600.2180.
Habe es mal vorsichtshalber blockiert. Sollte man das wieder frei geben oder eher nicht?