HiJackTHis Log-File - Trojaner (?) lassen sich nicht entfernen
 

Hallo Leute, ich hoffe, mir kann hier jemadhelfen. Ich abe mir vor einigen Tagen scheinbar 2 Tojanr ingefangen, bekam auch von AntiVir ne Warnug, worauhin ich "löschen" anklickte. Brachte aber nichts. Dann ließ ich AdAware und Spybot laufen, kein Erfolg. Fixen mit Hijack bringt auch nix, selbst im abgesicherten Modus nicht. Wie werde ich die Dinger denn los und hab ich evtl noch mehr aks die zwei Dinger drauf?
Ich vermute, dass die Dinger dafür veatworlich sind, dass mein Windows Explorer und Firefox alle 2 Minuten abstürzen.:headbang:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:39:49, on 15.06.2008
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16681)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\rundll32.exe
C:\Windows\explorer.exe
C:\Program Files\ICQLite\ICQLite.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.msi.com.tw
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: (no name) - {FAAF4503-E52D-4B3B-9B12-D408F13AD817} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [MSServer] rundll32.exe C:\Windows\system32\geBSmLby.dll,#1
O4 - HKLM\..\Run: [UVS11 Preload] C:\Program Files\Ulead Systems\Ulead VideoStudio 11\uvPL.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSSMSGS] rundll32.exe winfcm32.rom,zQDRun
O4 - HKCU\..\Run: [cmds] rundll32.exe C:\Users\***\AppData\Local\Temp\khFxUNeF.dll,c
O4 - HKCU\..\Run: [BM79eb8eed] Rundll32.exe "C:\Users\***\AppData\Local\Temp\gkcpihsm.dll",s
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe -trayboot
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O13 - Gopher Prefix:
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - h**p://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Capture Device Service - Unknown owner - C:\Program Files\Common Files\InterVideo\DeviceService\DevSvc.exe (file missing)
O23 - Service: dlbt_device - - C:\Windows\system32\dlbtcoms.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Program Files\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: SCM Driver Daemon (NishService) - Unknown owner - C:\Program Files\System Control Manager\edd.exe
O23 - Service: O2Micro Flash Memory (O2Flash) - O2Micro International - C:\Windows\system32\o2flash.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software GmbH - C:\Windows\System32\TuneUpDefragService.exe

--
End of file - 6571 bytes

Hi,

bin kein Vista-Spezialist, daher erst scannen und nur wenn erkannt im Script stehen lassen!

Bitte folgende Files prüfen (Pfade anpassen!):
VirusTotal - Free Online Virus and Malware Scan
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen

Also:
Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:

http://swandog46.geekstogo.com/res/images/avenger.jpg

2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")

Achtung: Pfade anpassen!
3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet.

4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
Beim fixen müssen alle Programme geschlossen sein!
Neues HJ-Log und Scanne/Beseitige mit Antimalewarebyte, poste auch dieses Log!
http://www.trojaner-board.de/51187-a...i-malware.html



Chris

Gehe wiefolgt vor


Bitte öffne Deine HiJackThis nochmal und scanne. Check die klickboxen neben den Einträgen die untenstehend gelistet sind.

O2 - BHO: (no name) - {FAAF4503-E52D-4B3B-9B12-D408F13AD817} - (no file)
O4 - HKLM\..\Run: [MSServer] rundll32.exe C:\Windows\system32\geBSmLby.dll,#1
O4 - HKCU\..\Run: [MSSMSGS] rundll32.exe winfcm32.rom,zQDRun
O4 - HKCU\..\Run: [cmds] rundll32.exe C:\Users\***\AppData\Local\Temp\khFxUNeF.dll,c
O4 - HKCU\..\Run: [BM79eb8eed] Rundll32.exe "C:\Users\***\AppData\Local\Temp\gkcpihsm.dll",s


(file missing)dann Klicke Fix Checked. Schließe HiJackThis. Reboot im abgesicherten Modus.


Benutze den Windows Explorer (um dahin zu kommen, mache einen Rechtsklick auf dem Start Button und klicke auf "Explorer"), bitte lösche diese Dateien (wenn vorhanden):

C:\Windows\system32\geBSmLby.dll
C:\Users\***\AppData\Local\Temp\gkcpihsm.dll
C:\Users\***\AppData\Local\Temp\khFxUNeF.dll

Dann starte den Rechner im normalen Modus neu.

Vistafindbat

- download von VistaFindbat. zip auf Deinen desktop
- öffne mit einem doppelklick die zip datein
- starte mit einem rechtsklick auf die datei vistafind.bat (als administrator starten) das stapelverarbeitungsprogramm
- Dein bevorzugtes textverarbeitungsprogramm wird sich öffnen
- markiere den inhalt und füge in hier im forum in deinem beitrag ein.
wichtig: logfile bitte im tag (das Raute Symbol) posten
- formatiere nun Deinen beitrag vor dem speichern, in dem du alle texte, die ein älteres datum besitzen, als die letzten 30 tage, aus der liste löscht.

das sind alle verzeichnisse, die mit dieserVistaFind.bat ausgelesen werden. Verzeichnis von C:\
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\system
Verzeichnis von C:\WINDOWS\system32 --> von hier bitte alles posten
Verzeichnis von C:\USER\Name\Temp
Verzeichnis von C:\WINDOWS\Prefetch
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\USER\Name\Temp
Verzeichnis von C:\Program Files\ --> hier alles posten
lösche die datei vistafind.txt

Danke@BataAlexander!!!!!!! Hat super geklappt. Allerdings bekomme ich, wenn ich jetzt normal starte die Fehlermeldung:

Fehler beim Laden von C:\Windows\system32\geBSmLby.dll
Das angegebene Modul wurde nicht gefunde.

Ist nicht weiter schlimm, aber kann ich diese Fehlermeldung irgendwie entfernen?

Ok, ich hab mal Vistafindbat laufen lassen. Das kam dabei raus.
Sorry, aber ich habe quasi null Ahnung von PC, was meinst du mit Logfile im Tag posten?


Verzeichnis von C:\Windows\system32

16.06.2008 16:03 3.072 7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0
16.06.2008 16:03 3.072 7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0
15.06.2008 23:23 610.142 perfh009.dat
15.06.2008 23:23 103.924 perfc009.dat
15.06.2008 23:23 641.344 perfh007.dat
15.06.2008 23:23 116.706 perfc007.dat
15.06.2008 23:23 1.461.736 PerfStringBackup.INI
14.06.2008 09:22 394.504 FNTCACHE.DAT
13.06.2008 11:51 32.768 winfcm32.rom
12.06.2008 15:04 355.584 TuneUpDefragService.exe
30.05.2008 00:35 17.486.968 mrt.exe
17.05.2008 14:56 28.416 uxtuneup.dll
17.05.2008 14:56 16.640 authuitu.dll
16.05.2008 10:58 12.632 lsdelete.exe

Verzeichnis von C:\Program Files

15.06.2008 19:38 <DIR> .
15.06.2008 19:38 <DIR> ..
13.06.2008 12:26 <DIR> SmartSound Software
15.06.2008 19:38 <DIR> Trend Micro
12.06.2008 15:05 <DIR> TuneUp Utilities 2008
13.06.2008 12:07 <DIR> Ulead Systems
13.06.2008 12:13 <DIR> Windows Media Components

1 Datei(en), 43 Bytes
73 Verzeichnis(se), 2.767.302.656 Bytes frei

Sorry Chris, hab nicht gesehen, das Du hier auch am posten warst.

Lasse wie von Chris vorgschlagen nun bitte Malwarebytes durchlaufen und poste den Bericht hier. Dann sollte die Fehlermeldung auch nicht mehr erscheinen.

@BataAlexander
Macht nichts...
Falls der Run-Key von Antimalewarebyte nicht gelöscht wird, machen wir das per Hand oder Bobbi (Fleckmanns Registry-search)...
chris

Hier ist die Auswertung von Avenger:

Logfile of The Avenger Version 2.0, (c) by Swandog46
Swandog46's Public Anti-Malware Tools

Platform: Windows Vista

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: file "C:\Windows\system32\geBSmLby.dll" not found!
Deletion of file "C:\Windows\system32\geBSmLby.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\Users\***\AppData\Local\Temp\khFxUNeF.dll" not found!
Deletion of file "C:\Users\***\AppData\Local\Temp\khFxUNeF.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\Users\***\AppData\Local\Temp\gkcpihsm.dll" not found!
Deletion of file "C:\Users\***AppData\Local\Temp\gkcpihsm.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: could not open file "C:\Windows\system32\winfcm32.rom <-prüfen"
Deletion of file "C:\Windows\system32\winfcm32.rom <-prüfen" failed!
Status: 0xc0000033 (STATUS_OBJECT_NAME_INVALID)
--> an object cannot have this name


Error: could not delete registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|BM79eb8eed"
Deletion of registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|BM79eb8eed" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: could not delete registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|cmds"
Deletion of registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|cmds" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: could not delete registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|MSServer"
Deletion of registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|MSServer" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: could not delete registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|MSSMSGS"
Deletion of registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|MSSMSGS" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Completed script processing.

*******************

Finished! Terminate.

Lasse bitte einmal Malwarebytes wie beschrieben laufen und poste dessen Logfile hier.

Hier ist der Logfile von Malwarebytes. Ich poste jetzt mal beide. Der eine ist von vor und der ander von nach dem Entfernen der Funde.

Vorher:

Malwarebytes' Anti-Malware 1.17
Datenbank Version: 863

12:31:13 17.06.2008
mbam-log-6-17-2008 (12-30-47).txt

Scan Art: Komplett Scan (C:\|D:\|)
Objekte gescannt: 137951
Scan Dauer: 1 hour(s), 22 minute(s), 29 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\Software\Microsoft\rdfa (Trojan.Vundo) -> No action taken.

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\Users\***\AppData\Local\Temp\iqcrwokb.dll (Trojan.Vundo) -> No action taken.
C:\Users\***\AppData\Local\Temp\plluihjo.dll (Trojan.Vundo) -> No action taken.
C:\Users\***\AppData\Local\Temp\uocbqkmn.dll (Trojan.Vundo) -> No action taken.




Nachher:

Malwarebytes' Anti-Malware 1.17
Datenbank Version: 863

12:31:32 17.06.2008
mbam-log-6-17-2008 (12-31-32).txt

Scan Art: Komplett Scan (C:\|D:\|)
Objekte gescannt: 137951
Scan Dauer: 1 hour(s), 22 minute(s), 29 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\Software\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\Users\***\AppData\Local\Temp\iqcrwokb.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Users\***\AppData\Local\Temp\plluihjo.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Users\***\AppData\Local\Temp\uocbqkmn.dll (Trojan.Vundo) -> Quarantined and deleted successfully.



Die ursprünglich gefundenen Trojaner scheine ich los zu sein, aber irgendwie habe ich mir scheinbar gleich ein paar neue eingefangen.

Zumindest funktioniert der Explorer und Firefox wieder problemlos.

Erstelle bitte nun ein neues HiJackThis Logfile und poste es hier.

Jetzt tauchen die beiden Trojaner plötzlich wider auf. Ich werd noch wahnsinnig....:headbang:

Edit: Wenn ich jedoch dem Angegebenen Pfad nachgehe ist die Datei nicht da...

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:39:49, on 15.06.2008
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16681)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\rundll32.exe
C:\Windows\explorer.exe
C:\Program Files\ICQLite\ICQLite.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.msi.com.tw
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: (no name) - {FAAF4503-E52D-4B3B-9B12-D408F13AD817} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [MSServer] rundll32.exe C:\Windows\system32\geBSmLby.dll,#1
O4 - HKLM\..\Run: [UVS11 Preload] C:\Program Files\Ulead Systems\Ulead VideoStudio 11\uvPL.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSSMSGS] rundll32.exe winfcm32.rom,zQDRun
O4 - HKCU\..\Run: [cmds] rundll32.exe C:\Users\***\AppData\Local\Temp\khFxUNeF.dll,c
O4 - HKCU\..\Run: [BM79eb8eed] Rundll32.exe "C:\Users\***\AppData\Local\Temp\gkcpihsm.dll",s
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe -trayboot
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O13 - Gopher Prefix:
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - h**p://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Capture Device Service - Unknown owner - C:\Program Files\Common Files\InterVideo\DeviceService\DevSvc.exe (file missing)
O23 - Service: dlbt_device - - C:\Windows\system32\dlbtcoms.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Program Files\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: SCM Driver Daemon (NishService) - Unknown owner - C:\Program Files\System Control Manager\edd.exe
O23 - Service: O2Micro Flash Memory (O2Flash) - O2Micro International - C:\Windows\system32\o2flash.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software GmbH - C:\Windows\System32\TuneUpDefragService.exe

--
End of file - 6571 bytes

Ich sehs, lass uns folgendes versuchen.

ComboFix

• Download ComboFix von hier oder hier auf Deinen Desktop.
• Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
  (Auch Guards von Ad-, Spyware Programmen!)
  
• Doppelklicke die combofix.exe.
• Wenn Combofix fertig ist, legt es ein Logfile an. Poste dieses Logfile und ein neues HJT Logfile als nächste Antwort

Wichtige Hinweise:

• Combofix darf ausschließlich ausgeführt werden wenn ein erfahrener Helfer dies ausdrücklich empfohlen hat!
  Es sollte nie auf eigene Initiative hin ausgeführt werden. Eine falsche Benutzung kann ernsthalfte Computerprobleme nach sich ziehen.
• Während Combofix läuft klicke nichts an, und benutze den Rechner nicht.
• Alle Guards der Antivirenprogramme sollten wie beschrieben deaktiviert sein.
• Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.
• Combofix leert die Liste der für das Internet autorisierten Anwendungen. Die meisten Fragen im Folgenden nach einer Erneuten Aufnahme, einige nicht. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.
• Combofix ändert den Standardbrowser auf den Internet Explorer. Diese Änderung nach der Anwendung ggf. manuel wieder ändern.
• Der Desktop wird während Combofix blau werden, die Icons verschinden. Dies Verhalten ist gewollt und bedeutet keine Gefahr.

Ergänzend lies Dir diese Anleitung durch, drucke sie ggf. aus.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

ComboFix:

ComboFix 08-06-16.2 - *** 2008-06-17 14:03:33.1 - NTFSx86
Microsoft® Windows Vista™ Home Basic 6.0.6000.0.1252.1.1031.18.58 [GMT 1:00]
ausgeführt von:: C:\Users\***\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((( Dateien erstellt von 2008-05-17 bis 2008-06-17 ))))))))))))))))))))))))))))))
.

Keine neuen Dateien erstellt in diesem Zeitraum

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-17 10:07 --------- d-----w C:\Users\***\AppData\Roaming\BitTorrent
2008-06-17 10:06 --------- d-----w C:\Users\***\AppData\Roaming\Malwarebytes
2008-06-17 10:06 --------- d-----w C:\ProgramData\Malwarebytes
2008-06-17 10:06 --------- d-----w C:\Program Files\Malwarebytes' Anti-Malware
2008-06-15 18:38 --------- d-----w C:\Program Files\Trend Micro
2008-06-13 12:22 --------- d-----w C:\Users\***\AppData\Roaming\Ulead Systems
2008-06-13 12:22 --------- d-----w C:\ProgramData\Ulead Systems
2008-06-13 11:30 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-06-13 11:26 --------- d-----w C:\ProgramData\SmartSound Software Inc
2008-06-13 11:26 --------- d-----w C:\Program Files\SmartSound Software
2008-06-13 11:25 --------- d-----w C:\ProgramData\Apple Computer
2008-06-13 11:25 --------- d-----w C:\Program Files\Common Files\InstallShield
2008-06-13 11:18 --------- d-----w C:\ProgramData\InterVideo
2008-06-13 11:13 --------- d-----w C:\Program Files\Windows Media Components
2008-06-13 11:12 --------- d-----w C:\Program Files\Common Files\Ulead Systems
2008-06-13 11:07 --------- d-----w C:\Program Files\Ulead Systems
2008-06-12 14:05 --------- d-----w C:\Program Files\TuneUp Utilities 2008
2008-06-10 18:02 34,296 ----a-w C:\Windows\system32\drivers\mbamcatchme.sys
2008-06-10 18:02 15,864 ----a-w C:\Windows\system32\drivers\mbam.sys
2008-06-04 13:40 --------- d-----w C:\ProgramData\Adobe Systems
2008-05-30 14:55 --------- d-----w C:\Program Files\Common Files\Adobe
2008-05-30 14:54 --------- d-----w C:\Program Files\Common Files\Adobe Systems Shared
2008-05-30 11:45 --------- d-----w C:\ProgramData\Lavasoft
2008-05-30 11:40 --------- d-----w C:\Program Files\Lavasoft
2008-05-30 11:40 --------- d-----w C:\Program Files\Common Files\Wise Installation Wizard
2008-05-25 13:20 --------- d-----w C:\Program Files\DivX
2008-05-23 09:39 --------- d-----w C:\Users\***\AppData\Roaming\Skype
2008-05-10 01:21 113,664 ----a-w C:\Windows\system32\drivers\rmcast.sys
2008-05-09 20:11 --------- d-----w C:\ProgramData\DVD Shrink
2008-04-30 19:14 --------- d-----w C:\Users\***\AppData\Roaming\gtk-2.0
2008-04-30 07:38 --------- d-----w C:\Program Files\Microsoft Silverlight
2008-04-29 09:20 15,648 ----a-w C:\Windows\system32\drivers\NSDriver.sys
2008-04-29 09:19 15,648 ----a-w C:\Windows\system32\drivers\Awrtrd.sys
2008-04-29 09:19 12,960 ----a-w C:\Windows\system32\drivers\Awrtpd.sys
2008-04-28 23:03 --------- d-----w C:\Users\***\AppData\Roaming\IrfanView
2008-04-25 04:23 52,736 ----a-w C:\Windows\AppPatch\iebrshim.dll
2008-04-24 08:18 --------- d-----w C:\Program Files\Lame
2008-04-23 14:13 --------- d-----w C:\Program Files\FlexiMusic Wave Editor
2008-04-23 11:51 --------- d-----w C:\Users\***\AppData\Roaming\CyberLink
2008-04-17 10:11 43 ----a-w C:\Program Files\RUNME.bat
2007-08-18 12:47 24,192 ----a-w C:\Users\***\usbsermptxp.sys
2007-08-18 12:47 22,768 ----a-w C:\Users\***\usbsermpt.sys
2007-08-03 22:40 13,025 ----a-w C:\Users\***\AppData\Roaming\nvModes.dat
2006-11-02 12:48 174 --sha-w C:\Program Files\desktop.ini
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 12:34 5724184]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-20 12:56 262401]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.clmp3enc"= C:\PROGRA~1\CYBERL~1\Power2Go\CLMP3Enc.ACM
"msacm.dvacm"= C:\PROGRA~1\COMMON~1\ULEADS~1\Vio\Dvacm.acm
"msacm.MPEGacm"= C:\PROGRA~1\COMMON~1\ULEADS~1\MPEG\MPEGacm.acm
"msacm.ulmp3acm"= C:\PROGRA~1\COMMON~1\ULEADS~1\MPEG\ulmp3acm.acm

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"WMPNSCFG"=C:\Program Files\Windows Media Player\WMPNSCFG.exe
"BitTorrent DNA"="C:\Users\***\Program Files\DNA\btdna.exe"
"AnyDVD"=C:\Program Files\SlySoft\AnyDVD\AnyDVD.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"RemoteControl"="C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
"LanguageShortcut"="C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
"NvCplDaemon"=RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
"NvMediaCenter"=RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
"NvSvc"=RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
"TkBellExe"="C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
"MGSysCtrl"=C:\Program Files\System Control Manager\MGSysCtrl.exe
"RtHDVCpl"=RtHDVCpl.exe
"tsnp2std"=C:\Windows\tsnp2std.exe
"snp2std"=C:\Windows\vsnp2std.exe
"QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" -atboottime
"UVS11 Preload"=C:\Program Files\Ulead Systems\Ulead VideoStudio 11\uvPL.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"TCP Query User{D60A7DF2-2AB5-4349-82FD-07CD8F2A2781}C:\\program files\\skype\\phone\\skype.exe"= UDP:C:\program files\skype\phone\skype.exe:Skype. Take a deep breath
"UDP Query User{6915A447-6EEA-48A3-B1AB-60A43FEB39D2}C:\\program files\\skype\\phone\\skype.exe"= TCP:C:\program files\skype\phone\skype.exe:Skype. Take a deep breath
"TCP Query User{283F549B-EF42-43DC-B2B5-E95B7A4BE641}C:\\program files\\real\\realplayer\\realplay.exe"= UDP:C:\program files\real\realplayer\realplay.exe:RealPlayer
"UDP Query User{D5E7F421-F9D8-4EEA-B740-09E39958EA12}C:\\program files\\real\\realplayer\\realplay.exe"= TCP:C:\program files\real\realplayer\realplay.exe:RealPlayer
"TCP Query User{5973B3FA-3BC9-4FBB-9673-95CF9A711737}C:\\program files\\trillian\\trillian.exe"= UDP:C:\program files\trillian\trillian.exe:Trillian
"UDP Query User{2FBFA455-6756-4C0B-B921-C78C2258BED4}C:\\program files\\trillian\\trillian.exe"= TCP:C:\program files\trillian\trillian.exe:Trillian
"TCP Query User{3916A147-50D7-499C-B810-415EEFB7A080}C:\\program files\\skype\\phone\\skype.exe"= UDP:C:\program files\skype\phone\skype.exe:Skype. Take a deep breath
"UDP Query User{F24A852B-D42E-49AD-89D6-289129206681}C:\\program files\\skype\\phone\\skype.exe"= TCP:C:\program files\skype\phone\skype.exe:Skype. Take a deep breath
"{83F106DF-DC5D-4053-B979-35BCF6B144C6}"= TCP:8000:Express Talk RTP Incoming Audio (UDP)
"{8702A775-37C4-4D83-BAF7-B7E6E2C573E4}"= TCP:8001:Express Talk RTP Incoming Audio (UDP)
"{88115829-FBB3-4D3B-A442-CD5D3EE56C0E}"= TCP:8002:Express Talk RTP Incoming Audio (UDP)
"{26B32CCC-4917-4929-96B6-659E624F77C3}"= TCP:8003:Express Talk RTP Incoming Audio (UDP)
"{4A80A90C-E115-4EB6-9978-43C67B95DCA1}"= TCP:8004:Express Talk RTP Incoming Audio (UDP)
"{D39F1DDA-CDBE-46AC-A513-134F7969FA35}"= TCP:8005:Express Talk RTP Incoming Audio (UDP)
"{F59C950B-3552-46E7-B8BA-C1FB103F503F}"= TCP:8006:Express Talk RTP Incoming Audio (UDP)
"TCP Query User{B28C0628-EC87-4551-A188-0E4CDDAED2D3}C:\\program files\\nch swift sound\\talk\\talk.exe"= UDP:C:\program files\nch swift sound\talk\talk.exe:talk
"UDP Query User{1EAD4392-01A0-4133-8F0D-9CE20B7FD0E1}C:\\program files\\nch swift sound\\talk\\talk.exe"= TCP:C:\program files\nch swift sound\talk\talk.exe:talk
"TCP Query User{2F228B5D-F893-4CCF-A17F-E24FC1466D02}C:\\program files\\icqlite\\icqlite.exe"= UDP:C:\program files\icqlite\icqlite.exe:ICQLite
"UDP Query User{E95BA5C6-253C-4324-A0D4-0A5B438DEF2B}C:\\program files\\icqlite\\icqlite.exe"= TCP:C:\program files\icqlite\icqlite.exe:ICQLite
"{CD5759AB-3E6B-4E7F-BE0A-30BD83F3883F}"= UDP:C:\Windows\System32\dlbtcoms.exe:Photo AIO Printer 922 Server
"{77B4A438-6B58-4A29-94BA-C16CF95CBC8F}"= TCP:C:\Windows\System32\dlbtcoms.exe:Photo AIO Printer 922 Server
"{A60E5B43-A09D-4184-8DC7-6F0BE6DE2CF9}"= UDP:C:\Program Files\BitTorrent_DNA\dna.exe:BitTorrent DNA
"{E4C76883-BB6F-4392-B0E8-89DE44A03A52}"= TCP:C:\Program Files\BitTorrent_DNA\dna.exe:BitTorrent DNA
"{83CA00F9-87FC-46CE-A641-6E65E2CB0FA0}"= UDP:C:\Program Files\BitTorrent\bittorrent.exe:BitTorrent
"{6E8ACC15-8081-4D58-A25F-1A41D49FB53B}"= TCP:C:\Program Files\BitTorrent\bittorrent.exe:BitTorrent
"TCP Query User{5AE720D5-DE9E-4B0C-B661-D81FD64D4604}C:\\program files\\mozilla firefox\\firefox.exe"= UDP:C:\program files\mozilla firefox\firefox.exe:Firefox
"UDP Query User{877D44EC-CCFC-4E8D-B776-38CE5AA57516}C:\\program files\\mozilla firefox\\firefox.exe"= TCP:C:\program files\mozilla firefox\firefox.exe:Firefox
"TCP Query User{CF0A38FC-9325-4F0D-B556-7D3CEDB40478}C:\\program files\\limewire\\limewire.exe"= UDP:C:\program files\limewire\limewire.exe:LimeWire
"UDP Query User{8666B2EF-BEC7-4E58-8533-A908CF471938}C:\\program files\\limewire\\limewire.exe"= TCP:C:\program files\limewire\limewire.exe:LimeWire
"{A22327A4-6CB6-482F-8622-9400802DD6A2}"= UDP:C:\Program Files\DNA\btdna.exe:DNA
"{C85A6ED2-7A44-4420-951B-3D79DB03BFD3}"= TCP:C:\Program Files\DNA\btdna.exe:DNA
"{049D6B03-AAB1-4A9D-A7F6-BECA2BF965DA}"= UDP:C:\Program Files\BitTorrent\bittorrent.exe:BitTorrent
"{13DE5A41-1DB7-4573-A964-FA9A462898AA}"= TCP:C:\Program Files\BitTorrent\bittorrent.exe:BitTorrent
"TCP Query User{11FCCADC-3492-4FB4-A81A-C4D4E8317A31}C:\\users\\***\\program files\\dna\\btdna.exe"= UDP:C:\users\***\program files\dna\btdna.exe:btdna.exe
"UDP Query User{246BCE79-4366-4058-A8E5-62F659957DA8}C:\\users\\***\\program files\\dna\\btdna.exe"= TCP:C:\users\***\program files\dna\btdna.exe:btdna.exe
"TCP Query User{A333DD1C-BC55-48A9-90B5-E7E916F11132}C:\\users\\***\\program files\\bittorrent\\bittorrent.exe"= UDP:C:\users\***\program files\bittorrent\bittorrent.exe:bittorrent.exe
"UDP Query User{1CA44E3C-C3D0-435F-9213-4FD6059E5572}C:\\users\\***\\program files\\bittorrent\\bittorrent.exe"= TCP:C:\users\***\program files\bittorrent\bittorrent.exe:bittorrent.exe
"TCP Query User{D5424971-9EAD-40C9-8F82-1F07BB9D22C3}C:\\program files\\xchat\\xchat.exe"= UDP:C:\program files\xchat\xchat.exe:XChat IRC Client
"UDP Query User{4904D48D-448B-4BEE-81F3-2B4670A61C9D}C:\\program files\\xchat\\xchat.exe"= TCP:C:\program files\xchat\xchat.exe:XChat IRC Client
"{6C58EF0C-4FD3-42E7-A2AE-23E8286BAE4A}"= UDP:C:\Program Files\Kontiki\KService.exe:Delivery Manager Service
"{48603EB7-92A9-4ECD-A7A2-5D44C9DA61D0}"= TCP:C:\Program Files\Kontiki\KService.exe:Delivery Manager Service
"{EF01ED08-3439-46B7-A319-3400E344133A}"= C:\Program Files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\RestrictedServices\Static\System]
"DFSR-1"= RPort=5722|UDP:%SystemRoot%\system32\svchost.exe|Svc=DFSR:Allow inbound TCP traffic|

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile\AuthorizedApplications\List]
"C:\\Program Files\\BitTorrent\\bittorrent.exe"= C:\Program Files\BitTorrent\bittorrent.exe:*:Enabled:BitTorrent
"C:\\Program Files\\xchat\\xchat.exe"= C:\Program Files\xchat\xchat.exe:*:Enabled:XChat IRC Client

R0 O2MDRDR;O2MDRDR;C:\Windows\system32\DRIVERS\o2media.sys [2006-11-20 08:14]
R0 O2SDRDR;O2SDRDR;C:\Windows\system32\DRIVERS\o2sd.sys [2006-11-17 06:58]
R2 NishService;SCM Driver Daemon;C:\Program Files\System Control Manager\edd.exe [2006-03-22 11:07]
R2 UxTuneUp;TuneUp Designerweiterung;C:\Windows\System32\svchost.exe [2006-11-02 10:45]
R3 MGHwCtrl;MGHwCtrl;C:\Windows\system32\drivers\MGHwCtrl.sys [2006-12-22 05:21]
R3 rt61x86;Ralink RT61 Wireless Driver for Windows Vista;C:\Windows\system32\DRIVERS\netr61.sys [2007-05-11 17:28]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;C:\Program Files\MAGIX\Common\Database\bin\fbserver.exe [2005-11-17 13:18]
S3 SNP2STD;USB2.0 PC Camera (SNP2STD);C:\Windows\system32\DRIVERS\snp2sxp.sys [2006-06-07 09:34]
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\Windows\System32\TuneUpDefragService.exe [2008-06-12 15:04]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceNoNetwork REG_MULTI_SZ PLA DPS BFE mpssvc

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a7d49cbe-be8d-11dc-9f20-0019db3c65fd}]
\shell\AutoRun\command - cbkhqby.exe
\shell\explore\Command - cbkhqby.exe
\shell\open\Command - cbkhqby.exe

*Newly Created Service* - CATCHME
.
Inhalt des "geplante Tasks" Ordners
"2008-06-17 13:00:01 C:\Windows\Tasks\1-Klick-Wartung.job"
- C:\Program Files\TuneUp Utilities 2008\OneClickStarter.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-17 14:10:06
Windows 6.0.6000 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-06-17 14:15:01
ComboFix-quarantined-files.txt 2008-06-17 13:14:52

Das System hat keinen Meldungstext für die Meldungsnummer 0x2379 in der Meldungsdatei Application gefunden.
Das System hat keinen Meldungstext für die Meldungsnummer 0x2379 in der Meldungsdatei Application gefunden.

175 --- E O F --- 2008-06-15 10:09:43







HiJackThis:

Logfile of Trend Micro HijackThis v2.0.2

[edit]
Bitte editiere zukünftig deine Links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

Danke. :)
Sunny
[/edit]

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

(bitte die *** durch den Benutzernamen ersetzen!)

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer!)

5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif



6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

7. Nachdem das Log im Notepad aufgegenagen ist, erscheint ein Popup
http://saved.im/mjk4ndz0cty0_vs/cfcollect.jpg
Dies mit Ok wegklicken und es öffnet sich Dein Browser. In diesem Browser Fenster "Durchsuchen" auswählen und dann auf Deinem Desktop die neue .Zip Datei ([4]-Submit_Jahr-Monat-Tag_Uhrzeit.71.zip) auswählen. Dann mit Klick auf "Send" senden. So kann der Author die Erkennungsroutine des Programms verbessern.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann

Bitte öffne Deine HiJackThis nochmal und scanne. Check die klickboxen neben den Einträgen die untenstehend gelistet sind.

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: (no name) - {FAAF4503-E52D-4B3B-9B12-D408F13AD817} - (no file)
O4 - HKLM\..\Run: [MSServer] rundll32.exe C:\Windows\system32\geBSmLby.dll,#1
O4 - HKCU\..\Run: [MSSMSGS] rundll32.exe winfcm32.rom,zQDRun
O4 - HKCU\..\Run: [cmds] rundll32.exe C:\Users\***\AppData\Local\Temp\khFxUNeF.dll,c
O4 - HKCU\..\Run: [BM79eb8eed] Rundll32.exe "C:\Users\***\AppData\Local\Temp\gkcpihsm.dll",s

(file missing)dann Klicke Fix Checked.

Flashdisinfector
[*]Lade Flash_Disinfector.exe und speichere es auf Deinen Desktop.
[*]Doppleklicke Flash_Disinfector.exe um es zu starten und folge den Anweisungen.
[*]Das Programm bittet Dich Flash Drives (USB Sticks/Festplatten) und alle entfernbaren Medien (auch Dein Handy) anzuschließen. Bitte mach dies und erlaube dem Programm diese Laufwerke auch zu reinigen.[*]Warte bis das Programm den Scan abgeschlossen hat und schließe das Programm dann.[*]Reboote Deinen Rechner wenn Du die obigen Punkte ausgeführt hast.[/list]

GMER - Rootkit Detection

* Lade Gmer von hier
* entpacke es auf den Dektop
* Dopperlklicke die gmer.exe
* Der Reiter Rootkit oben ist schon angewählt

http://saved.im/mzaxndu2m2ni_vs/gmerzj1oo1.jpg

* Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
* nach Beendigung des Scan, drücke "Copy"
* nun kannst Du das Ergebnis hier posten
* Sollte Gmer sagen "Gmer hasen´t found any System Modifikation", so hat Gmer keine Einträge gefunden.
* Wenn das Log zu lang fürs Forum ist, lade es hier hoch und poste den Link.

Habe ComboFix laufen lassen, allerdings hat er nicht nach einem Neustart gefragt. Ka ob ds relevant ist. Hab auch die geforderte Datei hochgeladen

Dann hab ich GMER RootDetection laufen lassen. Allerdings kam nach etwa 1 Minute der Bluescreen von wegen "Windows has been shut down to prevent from physical damage" oder so. Ich hab mich jetzt nicht getraut das ganze noch mal zu starten, weil ich nicht weiß, woran es lag.

HJT zeigt mir keine der unten genannten Einträge mehr an, aber so ganz traue ich dem Frieden noch nicht. Vorhin waren sie auch schon mal komplett verschwunden und beim nächsten scannen plötzlich wieder da.


Ich wollt mich schon mal ganz doll bedanken bei dir!! Echt lieb, dass du mir hier einfach so hilfst. Vielen Dank!!!!!!:)


ComboFix:


ComboFix 08-06-16.2 - *** 2008-06-17 15:17:38.2 - NTFSx86
Microsoft® Windows Vista™ Home Basic 6.0.6000.0.1252.1.1031.18.56 [GMT 1:00]
ausgeführt von:: C:\Users\***\Desktop\ComboFix.exe
Command switches used :: C:\Users\***\Desktop\CFScript.txt
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Windows\system32\winfcm32.rom

.
((((((((((((((((((((((( Dateien erstellt von 2008-05-17 bis 2008-06-17 ))))))))))))))))))))))))))))))
.

Keine neuen Dateien erstellt in diesem Zeitraum

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-17 10:07 --------- d-----w C:\Users\***\AppData\Roaming\BitTorrent
2008-06-17 10:06 --------- d-----w C:\Users\***\AppData\Roaming\Malwarebytes
2008-06-17 10:06 --------- d-----w C:\ProgramData\Malwarebytes
2008-06-17 10:06 --------- d-----w C:\Program Files\Malwarebytes' Anti-Malware
2008-06-15 18:38 --------- d-----w C:\Program Files\Trend Micro
2008-06-13 12:22 --------- d-----w C:\Users\***\AppData\Roaming\Ulead Systems
2008-06-13 12:22 --------- d-----w C:\ProgramData\Ulead Systems
2008-06-13 11:30 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-06-13 11:26 --------- d-----w C:\ProgramData\SmartSound Software Inc
2008-06-13 11:26 --------- d-----w C:\Program Files\SmartSound Software
2008-06-13 11:25 --------- d-----w C:\ProgramData\Apple Computer
2008-06-13 11:25 --------- d-----w C:\Program Files\Common Files\InstallShield
2008-06-13 11:18 --------- d-----w C:\ProgramData\InterVideo
2008-06-13 11:13 --------- d-----w C:\Program Files\Windows Media Components
2008-06-13 11:12 --------- d-----w C:\Program Files\Common Files\Ulead Systems
2008-06-13 11:07 --------- d-----w C:\Program Files\Ulead Systems
2008-06-12 14:05 --------- d-----w C:\Program Files\TuneUp Utilities 2008
2008-06-10 18:02 34,296 ----a-w C:\Windows\system32\drivers\mbamcatchme.sys
2008-06-10 18:02 15,864 ----a-w C:\Windows\system32\drivers\mbam.sys
2008-06-04 13:40 --------- d-----w C:\ProgramData\Adobe Systems
2008-05-30 14:55 --------- d-----w C:\Program Files\Common Files\Adobe
2008-05-30 14:54 --------- d-----w C:\Program Files\Common Files\Adobe Systems Shared
2008-05-30 11:45 --------- d-----w C:\ProgramData\Lavasoft
2008-05-30 11:40 --------- d-----w C:\Program Files\Lavasoft
2008-05-30 11:40 --------- d-----w C:\Program Files\Common Files\Wise Installation Wizard
2008-05-25 13:20 --------- d-----w C:\Program Files\DivX
2008-05-23 09:39 --------- d-----w C:\Users\***\AppData\Roaming\Skype
2008-05-10 01:21 113,664 ----a-w C:\Windows\system32\drivers\rmcast.sys
2008-05-09 20:11 --------- d-----w C:\ProgramData\DVD Shrink
2008-04-30 19:14 --------- d-----w C:\Users\***\AppData\Roaming\gtk-2.0
2008-04-30 07:38 --------- d-----w C:\Program Files\Microsoft Silverlight
2008-04-29 09:20 15,648 ----a-w C:\Windows\system32\drivers\NSDriver.sys
2008-04-29 09:19 15,648 ----a-w C:\Windows\system32\drivers\Awrtrd.sys
2008-04-29 09:19 12,960 ----a-w C:\Windows\system32\drivers\Awrtpd.sys
2008-04-28 23:03 --------- d-----w C:\Users\***\AppData\Roaming\IrfanView
2008-04-25 04:23 52,736 ----a-w C:\Windows\AppPatch\iebrshim.dll
2008-04-24 08:18 --------- d-----w C:\Program Files\Lame
2008-04-23 14:13 --------- d-----w C:\Program Files\FlexiMusic Wave Editor
2008-04-23 11:51 --------- d-----w C:\Users\***\AppData\Roaming\CyberLink
2008-04-17 10:11 43 ----a-w C:\Program Files\RUNME.bat
2007-08-18 12:47 24,192 ----a-w C:\Users\***\usbsermptxp.sys
2007-08-18 12:47 22,768 ----a-w C:\Users\***\usbsermpt.sys
2007-08-03 22:40 13,025 ----a-w C:\Users\***\AppData\Roaming\nvModes.dat
2006-11-02 12:48 174 --sha-w C:\Program Files\desktop.ini
.

((((((((((((((((((((((((((((( snapshot@2008-06-17_14.14.31,33 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-06-17 14:16:50 5,713,920 ----a-w C:\Windows\erdnt\Hiv-backup\SCHEMA.DAT
+ 2008-06-17 13:46:37 8,302 ----a-w C:\Windows\SoftwareDistribution\EventCache\{C1B35B4B-06FF-421A-A48A-5222D6919E09}.bin
- 2008-06-15 19:53:33 5,767,168 ----a-w C:\Windows\System32\SMI\Store\Machine\SCHEMA.DAT
+ 2008-06-17 13:31:43 5,767,168 ----a-w C:\Windows\System32\SMI\Store\Machine\SCHEMA.DAT
- 2008-06-15 10:24:53 113,721,155 ----a-w C:\Windows\winsxs\ManifestCache\6.0.6001.18000_001c50b5_blobs.bin
+ 2008-06-17 13:45:18 115,640,723 ----a-w C:\Windows\winsxs\ManifestCache\6.0.6001.18000_001c50b5_blobs.bin
+ 2006-11-02 12:33:45 14,827 ----a-w C:\Windows\winsxs\x86_microsoft-windows-wlansvc_31bf3856ad364e35_6.0.6000.16551_none_9a28f27507e7382c\gatherWirelessInfo.vbs
+ 2006-11-02 12:33:45 14,827 ----a-w C:\Windows\winsxs\x86_microsoft-windows-wlansvc_31bf3856ad364e35_6.0.6000.20670_none_9a9bef1e2115f681\gatherWirelessInfo.vbs
+ 2006-11-02 12:33:48 2,565,432 ----a-w C:\Windows\winsxs\x86_security-malware-windows-defender_31bf3856ad364e35_6.0.6000.16420_none_55c0ce805b18c568\MpEngine.dll
+ 2006-11-02 12:33:48 2,565,432 ----a-w C:\Windows\winsxs\x86_security-malware-windows-defender_31bf3856ad364e35_6.0.6000.20516_none_565b3cf37428e14b\MpEngine.dll
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 12:34 5724184]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"ICQ Lite"="C:\Program Files\ICQLite\ICQLite.exe" [2006-07-11 11:15 3144800]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-20 12:56 262401]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.clmp3enc"= C:\PROGRA~1\CYBERL~1\Power2Go\CLMP3Enc.ACM
"msacm.dvacm"= C:\PROGRA~1\COMMON~1\ULEADS~1\Vio\Dvacm.acm
"msacm.MPEGacm"= C:\PROGRA~1\COMMON~1\ULEADS~1\MPEG\MPEGacm.acm
"msacm.ulmp3acm"= C:\PROGRA~1\COMMON~1\ULEADS~1\MPEG\ulmp3acm.acm

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"WMPNSCFG"=C:\Program Files\Windows Media Player\WMPNSCFG.exe
"BitTorrent DNA"="C:\Users\***\Program Files\DNA\btdna.exe"
"AnyDVD"=C:\Program Files\SlySoft\AnyDVD\AnyDVD.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"RemoteControl"="C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
"LanguageShortcut"="C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
"NvCplDaemon"=RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
"NvMediaCenter"=RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
"NvSvc"=RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
"TkBellExe"="C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
"MGSysCtrl"=C:\Program Files\System Control Manager\MGSysCtrl.exe
"RtHDVCpl"=RtHDVCpl.exe
"tsnp2std"=C:\Windows\tsnp2std.exe
"snp2std"=C:\Windows\vsnp2std.exe
"QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" -atboottime
"UVS11 Preload"=C:\Program Files\Ulead Systems\Ulead VideoStudio 11\uvPL.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"TCP Query User{D60A7DF2-2AB5-4349-82FD-07CD8F2A2781}C:\\program files\\skype\\phone\\skype.exe"= UDP:C:\program files\skype\phone\skype.exe:Skype. Take a deep breath
"UDP Query User{6915A447-6EEA-48A3-B1AB-60A43FEB39D2}C:\\program files\\skype\\phone\\skype.exe"= TCP:C:\program files\skype\phone\skype.exe:Skype. Take a deep breath
"TCP Query User{283F549B-EF42-43DC-B2B5-E95B7A4BE641}C:\\program files\\real\\realplayer\\realplay.exe"= UDP:C:\program files\real\realplayer\realplay.exe:RealPlayer
"UDP Query User{D5E7F421-F9D8-4EEA-B740-09E39958EA12}C:\\program files\\real\\realplayer\\realplay.exe"= TCP:C:\program files\real\realplayer\realplay.exe:RealPlayer
"TCP Query User{5973B3FA-3BC9-4FBB-9673-95CF9A711737}C:\\program files\\trillian\\trillian.exe"= UDP:C:\program files\trillian\trillian.exe:Trillian
"UDP Query User{2FBFA455-6756-4C0B-B921-C78C2258BED4}C:\\program files\\trillian\\trillian.exe"= TCP:C:\program files\trillian\trillian.exe:Trillian
"TCP Query User{3916A147-50D7-499C-B810-415EEFB7A080}C:\\program files\\skype\\phone\\skype.exe"= UDP:C:\program files\skype\phone\skype.exe:Skype. Take a deep breath
"UDP Query User{F24A852B-D42E-49AD-89D6-289129206681}C:\\program files\\skype\\phone\\skype.exe"= TCP:C:\program files\skype\phone\skype.exe:Skype. Take a deep breath
"{83F106DF-DC5D-4053-B979-35BCF6B144C6}"= TCP:8000:Express Talk RTP Incoming Audio (UDP)
"{8702A775-37C4-4D83-BAF7-B7E6E2C573E4}"= TCP:8001:Express Talk RTP Incoming Audio (UDP)
"{88115829-FBB3-4D3B-A442-CD5D3EE56C0E}"= TCP:8002:Express Talk RTP Incoming Audio (UDP)
"{26B32CCC-4917-4929-96B6-659E624F77C3}"= TCP:8003:Express Talk RTP Incoming Audio (UDP)
"{4A80A90C-E115-4EB6-9978-43C67B95DCA1}"= TCP:8004:Express Talk RTP Incoming Audio (UDP)
"{D39F1DDA-CDBE-46AC-A513-134F7969FA35}"= TCP:8005:Express Talk RTP Incoming Audio (UDP)
"{F59C950B-3552-46E7-B8BA-C1FB103F503F}"= TCP:8006:Express Talk RTP Incoming Audio (UDP)
"TCP Query User{B28C0628-EC87-4551-A188-0E4CDDAED2D3}C:\\program files\\nch swift sound\\talk\\talk.exe"= UDP:C:\program files\nch swift sound\talk\talk.exe:talk
"UDP Query User{1EAD4392-01A0-4133-8F0D-9CE20B7FD0E1}C:\\program files\\nch swift sound\\talk\\talk.exe"= TCP:C:\program files\nch swift sound\talk\talk.exe:talk
"TCP Query User{2F228B5D-F893-4CCF-A17F-E24FC1466D02}C:\\program files\\icqlite\\icqlite.exe"= UDP:C:\program files\icqlite\icqlite.exe:ICQLite
"UDP Query User{E95BA5C6-253C-4324-A0D4-0A5B438DEF2B}C:\\program files\\icqlite\\icqlite.exe"= TCP:C:\program files\icqlite\icqlite.exe:ICQLite
"{CD5759AB-3E6B-4E7F-BE0A-30BD83F3883F}"= UDP:C:\Windows\System32\dlbtcoms.exe:Photo AIO Printer 922 Server
"{77B4A438-6B58-4A29-94BA-C16CF95CBC8F}"= TCP:C:\Windows\System32\dlbtcoms.exe:Photo AIO Printer 922 Server
"{A60E5B43-A09D-4184-8DC7-6F0BE6DE2CF9}"= UDP:C:\Program Files\BitTorrent_DNA\dna.exe:BitTorrent DNA
"{E4C76883-BB6F-4392-B0E8-89DE44A03A52}"= TCP:C:\Program Files\BitTorrent_DNA\dna.exe:BitTorrent DNA
"{83CA00F9-87FC-46CE-A641-6E65E2CB0FA0}"= UDP:C:\Program Files\BitTorrent\bittorrent.exe:BitTorrent
"{6E8ACC15-8081-4D58-A25F-1A41D49FB53B}"= TCP:C:\Program Files\BitTorrent\bittorrent.exe:BitTorrent
"TCP Query User{5AE720D5-DE9E-4B0C-B661-D81FD64D4604}C:\\program files\\mozilla firefox\\firefox.exe"= UDP:C:\program files\mozilla firefox\firefox.exe:Firefox
"UDP Query User{877D44EC-CCFC-4E8D-B776-38CE5AA57516}C:\\program files\\mozilla firefox\\firefox.exe"= TCP:C:\program files\mozilla firefox\firefox.exe:Firefox
"TCP Query User{CF0A38FC-9325-4F0D-B556-7D3CEDB40478}C:\\program files\\limewire\\limewire.exe"= UDP:C:\program files\limewire\limewire.exe:LimeWire
"UDP Query User{8666B2EF-BEC7-4E58-8533-A908CF471938}C:\\program files\\limewire\\limewire.exe"= TCP:C:\program files\limewire\limewire.exe:LimeWire
"{A22327A4-6CB6-482F-8622-9400802DD6A2}"= UDP:C:\Program Files\DNA\btdna.exe:DNA
"{C85A6ED2-7A44-4420-951B-3D79DB03BFD3}"= TCP:C:\Program Files\DNA\btdna.exe:DNA
"{049D6B03-AAB1-4A9D-A7F6-BECA2BF965DA}"= UDP:C:\Program Files\BitTorrent\bittorrent.exe:BitTorrent
"{13DE5A41-1DB7-4573-A964-FA9A462898AA}"= TCP:C:\Program Files\BitTorrent\bittorrent.exe:BitTorrent
"TCP Query User{11FCCADC-3492-4FB4-A81A-C4D4E8317A31}C:\\users\\***\\program files\\dna\\btdna.exe"= UDP:C:\users\***\program files\dna\btdna.exe:btdna.exe
"UDP Query User{246BCE79-4366-4058-A8E5-62F659957DA8}C:\\users\\***\\program files\\dna\\btdna.exe"= TCP:C:\users\***\program files\dna\btdna.exe:btdna.exe
"TCP Query User{A333DD1C-BC55-48A9-90B5-E7E916F11132}C:\\users\\***\\program files\\bittorrent\\bittorrent.exe"= UDP:C:\users\***\program files\bittorrent\bittorrent.exe:bittorrent.exe
"UDP Query User{1CA44E3C-C3D0-435F-9213-4FD6059E5572}C:\\users\\***\\program files\\bittorrent\\bittorrent.exe"= TCP:C:\users\***\program files\bittorrent\bittorrent.exe:bittorrent.exe
"TCP Query User{D5424971-9EAD-40C9-8F82-1F07BB9D22C3}C:\\program files\\xchat\\xchat.exe"= UDP:C:\program files\xchat\xchat.exe:XChat IRC Client
"UDP Query User{4904D48D-448B-4BEE-81F3-2B4670A61C9D}C:\\program files\\xchat\\xchat.exe"= TCP:C:\program files\xchat\xchat.exe:XChat IRC Client
"{6C58EF0C-4FD3-42E7-A2AE-23E8286BAE4A}"= UDP:C:\Program Files\Kontiki\KService.exe:Delivery Manager Service
"{48603EB7-92A9-4ECD-A7A2-5D44C9DA61D0}"= TCP:C:\Program Files\Kontiki\KService.exe:Delivery Manager Service
"{EF01ED08-3439-46B7-A319-3400E344133A}"= C:\Program Files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\RestrictedServices\Static\System]
"DFSR-1"= RPort=5722|UDP:%SystemRoot%\system32\svchost.exe|Svc=DFSR:Allow inbound TCP traffic|

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile\AuthorizedApplications\List]
"C:\\Program Files\\BitTorrent\\bittorrent.exe"= C:\Program Files\BitTorrent\bittorrent.exe:*:Enabled:BitTorrent
"C:\\Program Files\\xchat\\xchat.exe"= C:\Program Files\xchat\xchat.exe:*:Enabled:XChat IRC Client

R0 O2MDRDR;O2MDRDR;C:\Windows\system32\DRIVERS\o2media.sys [2006-11-20 08:14]
R0 O2SDRDR;O2SDRDR;C:\Windows\system32\DRIVERS\o2sd.sys [2006-11-17 06:58]
R2 NishService;SCM Driver Daemon;C:\Program Files\System Control Manager\edd.exe [2006-03-22 11:07]
R2 UxTuneUp;TuneUp Designerweiterung;C:\Windows\System32\svchost.exe [2006-11-02 10:45]
R3 MGHwCtrl;MGHwCtrl;C:\Windows\system32\drivers\MGHwCtrl.sys [2006-12-22 05:21]
R3 rt61x86;Ralink RT61 Wireless Driver for Windows Vista;C:\Windows\system32\DRIVERS\netr61.sys [2007-05-11 17:28]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;C:\Program Files\MAGIX\Common\Database\bin\fbserver.exe [2005-11-17 13:18]
S3 SNP2STD;USB2.0 PC Camera (SNP2STD);C:\Windows\system32\DRIVERS\snp2sxp.sys [2006-06-07 09:34]
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\Windows\System32\TuneUpDefragService.exe [2008-06-12 15:04]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceNoNetwork REG_MULTI_SZ PLA DPS BFE mpssvc

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

*Newly Created Service* - CATCHME
.
Inhalt des "geplante Tasks" Ordners
"2008-06-17 14:00:10 C:\Windows\Tasks\1-Klick-Wartung.job"
- C:\Program Files\TuneUp Utilities 2008\OneClickStarter.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net
Rootkit scan 2008-06-17 15:22:29
Windows 6.0.6000 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-06-17 15:26:26
ComboFix-quarantined-files.txt 2008-06-17 14:26:22
ComboFix2.txt 2008-06-17 13:15:03

Das System hat keinen Meldungstext für die Meldungsnummer 0x2379 in der Meldungsdatei Application gefunden.
Das System hat keinen Meldungstext für die Meldungsnummer 0x2379 in der Meldungsdatei Application gefunden.

192 --- E O F --- 2008-06-15 10:09:43

Deaktiviere den automatischen Neustart von Vista, das geht so

Dann lade folgendes

Downloade Avira Antirootkit und Scanne dein system, poste das logfile.

F-Secure Blacklight - Rootkitscanner:

* Scanne dein System mit F-Secure Blacklight
* Benennen die Datei um (Beispiel: test.com)
* Poste im Anschluss das Ergebnis des Reportes in dem du alles abkopierst und hier in einen Beitrag einfügst. (die Datei sollte auf C: angelegt werden.)

Ich hab HiJackThis seit gestern Nachtmittag noch ein paar Mal scannen lassen und keine der Dateien wird mehr angezeigt. Scheint also alles ok zu sein. Soll ich denn die beiden unten genannten Programme trotzdem laufen lassen?

Ja, das solltest Du um einen versteckten Befall des System ausschließen zu können.

F-Secure:

Ich hoffe, du meinst diesen Bericht, denn was anderes habe ich ncht gefunden. Zum Glück hat F-Secure auch nichts gefunden.

06/18/08 13:14:41 [Info]: BlackLight Engine 1.0.70 initialized
06/18/08 13:14:41 [Info]: OS: 6.0 build 6000 ()
06/18/08 13:14:43 [Note]: 7019 4
06/18/08 13:14:43 [Note]: 7005 0
06/18/08 13:15:05 [Note]: 7006 0
06/18/08 13:15:05 [Note]: 7027 0
06/18/08 13:15:05 [Note]: 7035 0
06/18/08 13:15:06 [Note]: 7026 0
06/18/08 13:15:06 [Note]: 7026 0
06/18/08 13:15:12 [Note]: FSRAW library version 1.7.1024
06/18/08 13:21:13 [Note]: 7007 0


Avira Rootkit Detection funzt net. Nach dem Starten bekomme ich die Fehlermeldung:
Error loading drivers. Insuficient rights.

Arbeitest Du unter Vista in einem eingeschränkten Account?
Starte AntiRootkit mit einem Rechtsklick / Ausführen als Adminsistrator.
Funktioniert es dann?

Um Combofix zu loeschen(den qoobox ordner) gebe unter Start /Ausführen "combofix /u" ein. Ohne die " natürlich.

http://img247.imageshack.us/img247/7...ombofixvs6.jpg

Ich sehe nichts mehr, poste bitte aber noch ein neues HiJackThis Logfile.

Nope, ich hab grad noch mal nach geschaut, ich bin Admin. Aber wenn ich beim AntiRootKit auf "Als Administrator ausführen" gehe, dann geht komischer weise. Sehr seltsam...
Ich hab auf scannen geklickt und bekam sofort die Meldung, dass er nix gefunden habe...

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:39:49, on 15.06.2008
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16681)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\rundll32.exe
C:\Windows\explorer.exe
C:\Program Files\ICQLite\ICQLite.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.msi.com.tw
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: (no name) - {FAAF4503-E52D-4B3B-9B12-D408F13AD817} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [MSServer] rundll32.exe C:\Windows\system32\geBSmLby.dll,#1
O4 - HKLM\..\Run: [UVS11 Preload] C:\Program Files\Ulead Systems\Ulead VideoStudio 11\uvPL.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSSMSGS] rundll32.exe winfcm32.rom,zQDRun
O4 - HKCU\..\Run: [cmds] rundll32.exe C:\Users\***\AppData\Local\Temp\khFxUNeF.dll,c
O4 - HKCU\..\Run: [BM79eb8eed] Rundll32.exe "C:\Users\***\AppData\Local\Temp\gkcpihsm.dll",s
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe -trayboot
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O13 - Gopher Prefix:
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - h**p://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Capture Device Service - Unknown owner - C:\Program Files\Common Files\InterVideo\DeviceService\DevSvc.exe (file missing)
O23 - Service: dlbt_device - - C:\Windows\system32\dlbtcoms.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Program Files\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: SCM Driver Daemon (NishService) - Unknown owner - C:\Program Files\System Control Manager\edd.exe
O23 - Service: O2Micro Flash Memory (O2Flash) - O2Micro International - C:\Windows\system32\o2flash.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software GmbH - C:\Windows\System32\TuneUpDefragService.exe

--
End of file - 6571 bytes

Jetzt hab ich mich fast erschrocken
Poste bitte ein neues Logfile.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:18:52, on 19.06.2008
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16681)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Windows\system32\taskeng.exe
C:\Windows\System32\mobsync.exe
C:\Program Files\ICQLite\ICQLite.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896]Live Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe -trayboot
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O13 - Gopher Prefix:
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - h**p://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Capture Device Service - Unknown owner - C:\Program Files\Common Files\InterVideo\DeviceService\DevSvc.exe (file missing)
O23 - Service: dlbt_device - - C:\Windows\system32\dlbtcoms.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Program Files\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: SCM Driver Daemon (NishService) - Unknown owner - C:\Program Files\System Control Manager\edd.exe
O23 - Service: O2Micro Flash Memory (O2Flash) - O2Micro International - C:\Windows\system32\o2flash.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software GmbH - C:\Windows\System32\TuneUpDefragService.exe

--
End of file - 5600 bytes

Schau mal bitte in den Ordner

C:\Program Files\Trend Micro\HijackThis\

dort liegen bestimmt einige

hijackthis.txt
hijackthis[1].txt
hijackthis[2].txt
etc

poste bitte die Datei mit der höchsten Nummer.

Hab grad geschaut. Komischer Weise gabs dort nur hijack.txt....
Aus einer Eingebung heraus hab ichs dann noch mal gestartet unter "Als Administrator ausführen" und siehe da, auf einmal krieg ich endlich ein aktuelles Logfile.:confused:

Hab den unteren Beitrag editiert und dort den aktuellen Logfile eingefügt.

Ok das Log ist ok und sieht viel besser aus, als das alte. ;)

Führe ein Java Update durch! Deinstalliere vorher alle alten Java Versionen (Systemsteuerung / Software). Durch alte Java Versionen können Schädlinge auf Dein System gelangen. Dies gilt für jegliche Software!

Das System nun mit Avira (vorher updaten und wie hier beschrieben einstellen) scannen.
Den Scanbericht hier posten, es kann durchaus sein das noch Kopien in der Systemwiederherstellung zu finden sind.
Nach dem scannen, setzte die Einstellungen wieder zurück sie sind nicht ganz alltagstauglich. :)

Um die Einstellungen zurück zu setzen, reicht es, wenn ich den Haken beim Expertenmodus entferne oder muss ich alles wirklich so zurück setzen wie es war?

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Donnerstag, 19. Juni 2008 16:49

Es wird nach 1346606 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows Vista
Windowsversion: (plain) [6.0.6000]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: ***

Versionsinformationen:
BUILD.DAT : 8.1.0.308 16478 Bytes 28.05.2008 17:02:00
AVSCAN.EXE : 8.1.2.12 311553 Bytes 20.04.2008 11:56:08
AVSCAN.DLL : 8.1.1.0 57601 Bytes 20.04.2008 11:56:08
LUKE.DLL : 8.1.2.9 151809 Bytes 20.04.2008 11:56:10
LUKERES.DLL : 8.1.2.0 12545 Bytes 20.04.2008 11:56:10
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 20:44:07
ANTIVIR1.VDF : 7.0.3.2 5447168 Bytes 07.03.2008 13:13:37
ANTIVIR2.VDF : 7.0.4.195 2546176 Bytes 14.06.2008 22:34:17
ANTIVIR3.VDF : 7.0.4.218 203264 Bytes 18.06.2008 22:34:00
Engineversion : 8.1.0.55
AEVDF.DLL : 8.1.0.5 102772 Bytes 20.04.2008 11:56:14
AESCRIPT.DLL : 8.1.0.40 266618 Bytes 06.06.2008 13:50:42
AESCN.DLL : 8.1.0.21 119156 Bytes 06.06.2008 13:50:38
AERDL.DLL : 8.1.0.20 418165 Bytes 25.04.2008 11:45:42
AEPACK.DLL : 8.1.1.5 364918 Bytes 16.05.2008 20:16:55
AEOFFICE.DLL : 8.1.0.18 192890 Bytes 20.04.2008 11:56:13
AEHEUR.DLL : 8.1.0.30 1253750 Bytes 06.06.2008 13:50:35
AEHELP.DLL : 8.1.0.15 115063 Bytes 30.05.2008 09:22:02
AEGEN.DLL : 8.1.0.28 307572 Bytes 06.06.2008 13:50:09
AEEMU.DLL : 8.1.0.6 430451 Bytes 07.05.2008 20:14:58
AECORE.DLL : 8.1.0.31 168310 Bytes 06.06.2008 13:50:03
AVWINLL.DLL : 1.0.0.7 14593 Bytes 20.04.2008 11:56:08
AVPREF.DLL : 8.0.0.1 25857 Bytes 20.04.2008 11:56:08
AVREP.DLL : 7.0.0.1 155688 Bytes 16.04.2007 12:16:24
AVREG.DLL : 8.0.0.0 30977 Bytes 20.04.2008 11:56:08
AVARKT.DLL : 1.0.0.23 307457 Bytes 20.04.2008 11:56:07
AVEVTLOG.DLL : 8.0.0.11 114945 Bytes 20.04.2008 11:56:07
SQLITE3.DLL : 3.3.17.1 339968 Bytes 20.04.2008 11:56:11
SMTPLIB.DLL : 1.2.0.19 28929 Bytes 20.04.2008 11:56:10
NETNT.DLL : 8.0.0.1 7937 Bytes 20.04.2008 11:56:10
RCIMAGE.DLL : 8.0.0.35 2371841 Bytes 20.04.2008 11:56:00
RCTEXT.DLL : 8.0.32.0 86273 Bytes 20.04.2008 11:56:00

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: C:\Program Files\AntiVir PersonalEdition Classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: ein
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: aus
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Donnerstag, 19. Juni 2008 16:49

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '67971' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'usnsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mobsync.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RichVideo.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'o2flash.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'edd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dlbtcoms.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'agrsmsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msnmsgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'aawservice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dwm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SLsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'audiodg.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '42' Prozesse mit '42' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '2' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <OS_Install>
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Program Files\Common Files\microsoft shared\MSInfo\OFFPROV.EXE
[FUND] Enthält verdächtigen Code: HEUR/Crypted
[HINWEIS] Der Fund wurde als verdächtig eingestuft.
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48a08325.qua' verschoben!
C:\Windows\FixCamera.exe
[FUND] Enthält Erkennungsmuster des SPR/DelRun.A-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48d28da3.qua' verschoben!
Beginne mit der Suche in 'D:\' <Data>


Ende des Suchlaufs: Donnerstag, 19. Juni 2008 18:40
Benötigte Zeit: 1:50:58 min

Der Suchlauf wurde vollständig durchgeführt.

14994 Verzeichnisse wurden überprüft
217853 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
1 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
2 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
217852 Dateien ohne Befall
2151 Archive wurden durchsucht
2 Warnungen
2 Hinweise
67971 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

Ok, ohne Befund, die zwei Dateien sind wohl durch die Heurisik zustande gekommen.
Um Sicherzugehen kannst Du die zwei Dateien an Avira unter virus@free-av.de schicken, mit verweis auf diesen Thread.
Zippe die Dateien bitte in ein Archiv und schütze sie mit dem Passwort "malicous".
Diese Passwort dann auch in die eMail schreiben.

In der Regel wirst Du am nächsten Tag eine Antwort erhalten haben.

Jetzt kann ich Dir sagen das Dein Rechner wird i.O. ist.

Viel Spaß im Netz. ;)

Vielen, vielen lieben Dank für deine Hilfe!!!!!!:)