vundo?... mein hijackthis log file
 

hallo,
ich brauche hilfe und hoffe meinen computer nicht (schon wieder) formatieren zu müssen... also:
ich fürchte ich habe mir vor einiger zeit den vundo auf meinem copmputer eingefangen... da ich es nicht gleich gemerkt habe, weiss ich nicht genau wann. irgendwie wurde der rechner immer langsamer und ich konnte seiten wie yahoo und google nicht mehr laden.

also hab ich dann rausgefunden, dass anscheinend ein trojaner bzw vundo bei mir drauf ist.
inzwischen habe ich "super anti spyware" drüberlaufen lassen und tatsächlich wurde da einiges gefunden und entfernt.
dann habe ich die systemwiederherstellung deaktiviert und im abgesicherten modus noch einmal die anti spyware laufen lassen.
allerdings findet das programm jedesmal immer noch "".
ausserdem kommt nach dem hochfahren jetzt jedesmal eine meldung von wegen fehler rundll und modul in system32 fehlt oder so... :confused:
und meine tiny firewall meldet immer wieder dass acrotray irgendeine "rkkxqjw.dll" ausführen will. hmm!?

vielleicht ist jmd hier so lieb und schaut mal in mein HJT Log-File unten
und gibt mir nen tip, was da noch im argen liegt und ob ich um format c herumkomme!? :(
danke schon mal...! :knuddel:

"Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:18:09, on 28.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\PFShared\UmxCfg.exe
F:\System\tinyfirewall\UmxFwHlp.exe
C:\Programme\Gemeinsame Dateien\PFShared\UmxPol.exe
F:\System\tinyfirewall\UmxAgent.exe
F:\System\tinyfirewall\UmxTray.exe
F:\System\AntiVir PersonalEdition Classic\sched.exe
F:\System\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\RWTH Aachen\Cisco VPN Client\cvpnd.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\Programme\Gemeinsame Dateien\PFShared\umxlu.exe
C:\Programme\Canon\CAL\CALMAIN.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\sstray.exe
C:\Programme\Pinnacle\Shared Files\Programs\USBTip\USBTip.exe
F:\System\AcrobatReader7Pro\Distillr\Acrotray.exe
C:\Programme\Java\jre1.5.0_11\bin\jusched.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
F:\System\santispy\SUPERAntiSpyware.exe
C:\Programme\MicroStar\WLANUtility\WlanUtility.exe
C:\Programme\MicroStar\WLANUtility\WLAN_Service.exe
F:\Web\Firefox\Mozilla Firefox\firefox.exe
F:\Web\Thunderbird\thunderbird.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - F:\Web\webcam\snagit\SnagItBHO.dll
O2 - BHO: {992471f5-5bda-a92b-6fc4-b57042c6d6f5} - {5f6d6c24-075b-4cf6-b29a-adb55f174299} - C:\WINDOWS\system32\mspgsn.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - F:\System\AcrobatReader7Pro\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - F:\Web\webcam\snagit\SnagItIEAddin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [Zone Labs Client] F:\System\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [USBToolTip] "C:\Programme\Pinnacle\Shared Files\Programs\USBTip\USBTip.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "F:\System\AcrobatReader7Pro\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [BM17d3ee35] Rundll32.exe "C:\WINDOWS\system32\wlrkxixt.dll",s
O4 - HKLM\..\Run: [14e0dda9] rundll32.exe "C:\WINDOWS\system32\rkkxqjjw.dll",b
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [NBJ] "F:\Medien\nero\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [OM2_Monitor] "F:\Grafik\Olympus\MMonitor.exe" -NoStart
O4 - HKCU\..\Run: [SUPERAntiSpyware] F:\System\santispy\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = F:\System\word\Office10\OSA.EXE
O4 - Global Startup: WlanUtility.lnk = C:\Programme\MicroStar\WLANUtility\WlanUtility.exe
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://F:\System\AcrobatReader7Pro\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://F:\System\AcrobatReader7Pro\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://F:\System\AcrobatReader7Pro\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://F:\System\AcrobatReader7Pro\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Copy to Semagic - F:\Web\lj\Semagic\copy.htm
O8 - Extra context menu item: In Adobe PDF konvertieren - res://F:\System\AcrobatReader7Pro\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://F:\System\AcrobatReader7Pro\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\System\word\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Semagic - F:\Web\lj\Semagic\link.htm
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://F:\System\AcrobatReader7Pro\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://F:\System\AcrobatReader7Pro\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\npjpi150_11.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\npjpi150_11.dll
O20 - Winlogon Notify: !SASWinLogon - F:\System\santispy\SASWINLO.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - F:\System\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - F:\System\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\RWTH Aachen\Cisco VPN Client\cvpnd.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: FW Event Manager (UmxAgent) - Computer Associates International, Inc. - F:\System\tinyfirewall\UmxAgent.exe
O23 - Service: FW Configuration Interpreter (UmxCfg) - Computer Associates International, Inc. - C:\Programme\Gemeinsame Dateien\PFShared\UmxCfg.exe
O23 - Service: FW User-Mode Helper (UmxFwHlp) - Computer Associates International, Inc. - F:\System\tinyfirewall\UmxFwHlp.exe
O23 - Service: FW Live Update (UmxLU) - Computer Associates International, Inc. - C:\Programme\Gemeinsame Dateien\PFShared\umxlu.exe
O23 - Service: FW Policy Manager (UmxPol) - Computer Associates International, Inc. - C:\Programme\Gemeinsame Dateien\PFShared\UmxPol.exe

--
End of file - 8643 bytes"

Hallo mooni und

http://www.mysmilie.de/generator/ablage/156/257.png



ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)

hallo
und danke für die schnelle antwort!
ich habe nun das vorgeschlagene getan als ccleaner drüberlaufen lassen
und dann combofix...
untenstehend also nun mein Combofix logfile ,
..ich hoffe mir kann hier jmd weiterhelfen!?

"ComboFix 08-06-20.4 - *** 2008-06-28 12:47:29.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.187 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\***\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\All Users\Dokumente\_desktop.ini
C:\Dokumente und Einstellungen\All Users\Dokumente\Electronic Arts\_desktop.ini
C:\Dokumente und Einstellungen\All Users\Dokumente\Electronic Arts\Die SimsT Lebensgeschichten\_desktop.ini
C:\Dokumente und Einstellungen\All Users\Dokumente\Electronic Arts\Die SimsT Tiergeschichten\_desktop.ini
C:\Dokumente und Einstellungen\All Users\Dokumente\PlayfulAge\_desktop.ini
C:\Dokumente und Einstellungen\All Users\Dokumente\PlayfulAge\ChefPizza\_desktop.ini
C:\WINDOWS\BM17d3ee35.xml
C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\cwxybvig.ini
C:\WINDOWS\system32\fxswktgy.ini
C:\WINDOWS\system32\kUtwyyxx.ini
C:\WINDOWS\system32\kUtwyyxx.ini2
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\wjjqxkkr.ini
C:\WINDOWS\system32\wl.exe
C:\WINDOWS\system32\xbuafapp.ini
J:\RECYCLER\_desktop.ini

.
((((((((((((((((((((((( Dateien erstellt von 2008-05-28 bis 2008-06-28 ))))))))))))))))))))))))))))))
.

2008-06-28 12:38 . 2008-06-28 12:38 <DIR> d-------- C:\Programme\CCleaner
2008-06-28 12:17 . 2008-06-28 12:17 <DIR> d-------- C:\Programme\Trend Micro
2008-06-27 18:31 . 2008-06-28 12:52 36 --a------ C:\WINDOWS\system32\drivers\Ids_cfg.dat
2008-06-27 17:46 . 2008-06-27 17:46 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\SUPERAntiSpyware.com
2008-06-27 17:43 . 2008-06-27 17:43 <DIR> d-------- C:\VundoFix Backups
2008-06-27 15:50 . 2008-06-27 15:50 <DIR> d-------- C:\Dokumente und Einstellungen\moonsis\Anwendungsdaten\SUPERAntiSpyware.com
2008-06-27 15:50 . 2008-06-27 15:50 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2008-06-27 13:44 . 2008-06-27 13:44 81,408 --a------ C:\WINDOWS\system32\rkkxqjjw.dll
2008-06-27 13:42 . 2008-06-27 13:42 103,936 --a------ C:\WINDOWS\system32\qxdycfve.dll
2008-06-26 23:33 . 2008-06-26 23:33 91,648 --a------ C:\WINDOWS\system32\dhbgdtkr.dll
2008-06-25 22:04 . 2008-06-25 22:04 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-06-25 22:04 . 2008-06-25 22:04 1,409 --a------ C:\WINDOWS\QTFont.for
2008-06-21 16:50 . 2008-06-21 16:50 <DIR> d-------- C:\Programme\MSXML 4.0
2008-06-19 13:01 . 2008-06-19 13:01 <DIR> d-------- C:\Dokumente und Einstellungen\***\Saved Games
2008-06-19 13:01 . 2008-06-19 13:01 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Flood Light Games
2008-06-19 13:01 . 2008-06-19 13:01 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Flood Light Games
2008-06-12 15:12 . 2008-06-12 15:12 <DIR> d--------

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-28 10:51 66,654 ----a-w C:\WINDOWS\system32\drivers\kmxcfg.u2k
2008-06-27 13:49 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-06-27 07:29 --------- d-----w C:\Programme\NCH Swift Sound
2008-06-27 07:28 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-06-27 07:25 --------- d-----w C:\Programme\Java
2008-06-26 09:34 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-06-25 21:57 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\Azureus
2008-06-12 12:32 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\PlayFirst
2008-06-12 12:32 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PlayFirst
2008-06-10 10:58 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\Canon
2008-05-08 07:33 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\AdobeUM
2008-03-19 08:06 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
2008-02-02 13:27 167,448 ----a-w C:\Dokumente und Einstellungen\***\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2006-10-07 17:36 20 ---h--w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PKP_DLea.DAT
2002-07-26 16:02 153,088 ----a-w C:\Programme\UNWISE.EXE
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{5f6d6c24-075b-4cf6-b29a-adb55f174299}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"OM2_Monitor"="F:\Grafik\Olympus\MMonitor.exe" [2007-05-28 16:59 95800]
"SUPERAntiSpyware"="F:\System\santispy\SUPERAntiSpyware.exe" [2008-05-28 10:33 1506544]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-03-09 16:29 7561216]
"nwiz"="nwiz.exe" [2006-03-09 16:29 1519616 C:\WINDOWS\system32\nwiz.exe]
"nForce Tray Options"="sstray.exe" [2003-06-02 06:30 73728 C:\WINDOWS\system32\sstray.exe]
"USBToolTip"="C:\Programme\Pinnacle\Shared Files\Programs\USBTip\USBTip.exe" [2004-04-23 12:00 192512]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"Acrobat Assistant 7.0"="F:\System\AcrobatReader7Pro\Distillr\Acrotray.exe" [2006-01-12 21:52 483328]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-03-09 16:29 86016]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_11\bin\jusched.exe" [2006-12-15 04:23 75520]
"14e0dda9"="C:\WINDOWS\system32\rkkxqjjw.dll" [2008-06-27 13:44 81408]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 00:57 15360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= F:\System\santispy\SASSEH.DLL [2008-05-13 10:13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
F:\System\santispy\SASWINLO.dll 2007-04-19 13:41 294912 F:\System\santispy\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\PFW]
UmxWnp.Dll 2005-07-12 00:26 73728 C:\WINDOWS\system32\UmxWNP.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=UmxSbxExw.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.iac2"= C:\PROGRA~1\ACEMEG~1\SystemS\Intel\iac25_32.ax
"msacm.sl_anet"= C:\PROGRA~1\ACEMEG~1\SystemS\sl_anet.acm
"vidc.yv12"= C:\PROGRA~1\ACEMEG~1\SystemS\ATI\atiyuv12.DLL
"vidc.divx"= C:\PROGRA~1\ACEMEG~1\SystemS\DivX\DivX520.dll
"msacm.msaudio1"= C:\PROGRA~1\ACEMEG~1\SystemS\MICROS~1\msaud32.acm
"vidc.ffds"= C:\PROGRA~1\COMBIN~1\Filters\FFDShow\ff_vfw.dll

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Acrobat - Schnellstart.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Acrobat - Schnellstart.lnk
backup=C:\WINDOWS\pss\Adobe Acrobat - Schnellstart.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Cisco VPN Client.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Cisco VPN Client.lnk
backup=C:\WINDOWS\pss\Cisco VPN Client.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]
--a------ 2007-02-27 12:34 299048 F:\System\AntiVir PersonalEdition Classic\avgnt.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDElbyCDFL]
--a------ 2002-11-02 08:33 45056 F:\Medien\CloneCD 4.2.0.2\CloneCD\ElbyCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneDVDElbyDelay]
--a------ 2002-11-02 08:33 45056 F:\Medien\CloneDVD\ElbyCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
--a------ 2007-12-11 13:10 267048 C:\Programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2007-12-11 11:56 286720 C:\Programme\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\updateMgr]
--a------ 2006-03-30 17:45 313472 F:\System\AcrobatReader7Pro\Acrobat\AdobeUpdateManager.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\TinyFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"F:\\Web\\ftp\\wsftpgui.exe"=
"F:\\Web\\Firefox\\firefox.exe"=
"F:\\Medien\\Last.fm\\LastFM.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=

R0 ElbyVCD;ElbyVCD;C:\WINDOWS\system32\DRIVERS\ElbyVCD.sys [2002-11-28 12:43]
R0 KmxNdis;KmxNdis;C:\WINDOWS\system32\DRIVERS\kmxndis.sys [2005-08-16 12:42]
R1 KmxAgent;KmxAgent;C:\WINDOWS\system32\DRIVERS\kmxagent.sys [2005-07-11 19:39]
R1 KmxFile;KmxFile;C:\WINDOWS\system32\DRIVERS\KmxFile.sys [2005-07-12 00:20]
R1 KmxFw;KmxFw;C:\WINDOWS\system32\DRIVERS\kmxfw.sys [2005-08-16 12:42]
R1 KmxIds;KmxIds;C:\WINDOWS\system32\DRIVERS\kmxids.sys [2005-08-11 15:31]
R2 acedrv10;acedrv10;C:\WINDOWS\system32\drivers\acedrv10.sys [2007-07-27 10:13]
R2 acehlp10;acehlp10;C:\WINDOWS\system32\drivers\acehlp10.sys [2007-07-27 12:46]
R2 KmxBiG;KmxBiG;C:\WINDOWS\system32\DRIVERS\KmxBiG.sys [2005-07-12 00:21]
R2 KmxSbx;KmxSbx;C:\WINDOWS\system32\DRIVERS\KmxSbx.sys [2005-08-23 23:50]
R2 UmxAgent;FW Event Manager;F:\System\tinyfirewall\UmxAgent.exe [2005-08-22 10:51]
R2 UmxCfg;FW Configuration Interpreter;"C:\Programme\Gemeinsame Dateien\PFShared\UmxCfg.exe" [2005-07-12 17:57]
R2 UmxLU;FW Live Update;"C:\Programme\Gemeinsame Dateien\PFShared\umxlu.exe" [2005-07-12 13:24]
R2 UmxPol;FW Policy Manager;"C:\Programme\Gemeinsame Dateien\PFShared\UmxPol.exe" [2005-07-12 01:21]
R3 HCWBT8XX;Hauppauge WinTV 848/9 WDM Video Driver;C:\WINDOWS\system32\drivers\HCWBT8XX.sys [2006-01-25 17:14]
R3 KmxCfg;KmxCfg;C:\WINDOWS\system32\DRIVERS\kmxcfg.sys [2005-08-23 13:41]
S2 BT848;Conexant's BtPCI WDM Video Capture;C:\WINDOWS\system32\DRIVERS\BT848.sys [2008-03-13 21:37]
S3 VICAMUSB;3Com HomeConnect USB Camera;C:\WINDOWS\system32\drivers\vicamusb.sys []

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{665ab6c2-5eba-11da-8401-806d6172696f}]
\Shell\AutoRun\command - D:\monsetup.exe

.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-28 12:53:24
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...


C:\WINDOWS\system32\wjjqxkkr.ini 294 bytes

Scan erfolgreich abgeschlossen
versteckte Dateien: 1

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
F:\System\tinyfirewall\UmxFwHlp.exe
F:\System\tinyfirewall\UmxTray.exe
F:\System\AntiVir PersonalEdition Classic\sched.exe
F:\System\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Cisco VPN Client\cvpnd.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Canon\CAL\CALMAIN.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\MicroStar\WLANUtility\WlanUtility.exe
C:\Programme\MicroStar\WLANUtility\WLAN_Service.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-06-28 13:02:19 - machine was rebooted
ComboFix-quarantined-files.txt 2008-06-28 11:01:37

12 Verzeichnis(se), 19,536,629,760 Bytes frei
16 Verzeichnis(se), 20,519,002,112 Bytes frei

187"

:confused:

Scripten mit Combofix

• Öffne den Editor ( Start -> Zubehör -> Editor ) kopiere nun folgenden Text in das weiße Feld:

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

• Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

Nachdem das Log im Notepad aufgegenagen ist, erscheint ein Popup
http://saved.im/mjk4ndz0cty0_vs/cfcollect.jpg
Dies mit Ok wegklicken und es öffnet sich Dein Browser. In diesem Browser Fenster "Durchsuchen" auswählen und dann auf Deinem Desktop die neue .Zip Datei ([4]-Submit_Jahr-Monat-Tag_Uhrzeit.71.zip) auswählen. Dann mit Klick auf "Send" senden. So kann der Author die Erkennungsroutine des Programms verbessern.

• Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann


Malwarebytes' Anti-Malware

• Lies dir die Entfernungsanleitung durch und lass alles entfernen was gefunden wurde:

• Download von Malwarebytes' Anti-Malware

hallo
habs gesendet-
...und hier also das neue logfile nach erneutem scan mit Combofix:

"ComboFix 08-06-20.4 - *** 2008-06-28 13:46:40.3 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.183 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\***\Desktop\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\All Users\Dokumente\Electronic Arts\Die SimsT Lebensgeschichten\_desktop.ini
C:\Dokumente und Einstellungen\All Users\Dokumente\Electronic Arts\Die SimsT Tiergeschichten\_desktop.ini

.
((((((((((((((((((((((( Dateien erstellt von 2008-05-28 bis 2008-06-28 ))))))))))))))))))))))))))))))
.

2008-06-28 12:38 . 2008-06-28 12:38 <DIR> d-------- C:\Programme\CCleaner
2008-06-28 12:17 . 2008-06-28 12:17 <DIR> d-------- C:\Programme\Trend Micro
2008-06-27 18:31 . 2008-06-28 13:31 36 --a------ C:\WINDOWS\system32\drivers\Ids_cfg.dat
2008-06-27 17:46 . 2008-06-27 17:46 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\SUPERAntiSpyware.com
2008-06-27 17:43 . 2008-06-27 17:43 <DIR> d-------- C:\VundoFix Backups
2008-06-27 15:50 . 2008-06-27 15:50 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\SUPERAntiSpyware.com
2008-06-27 15:50 . 2008-06-27 15:50 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2008-06-25 22:04 . 2008-06-25 22:04 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-06-25 22:04 . 2008-06-25 22:04 1,409 --a------ C:\WINDOWS\QTFont.for
2008-06-21 16:50 . 2008-06-21 16:50 <DIR> d-------- C:\Programme\MSXML 4.0
2008-06-19 13:01 . 2008-06-19 13:01 <DIR> d-------- C:\Dokumente und Einstellungen\***\Saved Games
2008-06-19 13:01 . 2008-06-19 13:01 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Flood Light Games
2008-06-19 13:01 . 2008-06-19 13:01 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Flood Light Games
2008-06-12 15:12 . 2008-06-12 15:12 <DIR> d--------

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-28 11:29 66,722 ----a-w C:\WINDOWS\system32\drivers\kmxcfg.u2k
2008-06-27 13:49 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-06-27 07:29 --------- d-----w C:\Programme\NCH Swift Sound
2008-06-27 07:28 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-06-27 07:25 --------- d-----w C:\Programme\Java
2008-06-26 09:34 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-06-25 21:57 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\Azureus
2008-06-12 12:32 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\PlayFirst
2008-06-12 12:32 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PlayFirst
2008-06-10 10:58 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\Canon
2008-05-08 07:33 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\AdobeUM
2008-03-19 08:06 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
2008-02-02 13:27 167,448 ----a-w C:\Dokumente und Einstellungen\***\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2006-10-07 17:36 20 ---h--w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PKP_DLea.DAT
2002-07-26 16:02 153,088 ----a-w C:\Programme\UNWISE.EXE
.

((((((((((((((((((((((((((((( snapshot@2008-06-28_13.01.08.82 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-06-28 10:51:52 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-06-28 11:30:25 2,048 --s-a-w C:\WINDOWS\bootstat.dat
- 2008-06-28 10:03:44 70,580 ----a-w C:\WINDOWS\system32\perfc007.dat
+ 2008-06-28 11:35:38 70,580 ----a-w C:\WINDOWS\system32\perfc007.dat
- 2008-06-28 10:03:44 58,596 ----a-w C:\WINDOWS\system32\perfc009.dat
+ 2008-06-28 11:35:38 58,596 ----a-w C:\WINDOWS\system32\perfc009.dat
- 2008-06-28 10:03:44 405,118 ----a-w C:\WINDOWS\system32\perfh007.dat
+ 2008-06-28 11:35:38 405,118 ----a-w C:\WINDOWS\system32\perfh007.dat
- 2008-06-28 10:03:44 392,296 ----a-w C:\WINDOWS\system32\perfh009.dat
+ 2008-06-28 11:35:39 392,296 ----a-w C:\WINDOWS\system32\perfh009.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"OM2_Monitor"="F:\Grafik\Olympus\MMonitor.exe" [2007-05-28 16:59 95800]
"SUPERAntiSpyware"="F:\System\santispy\SUPERAntiSpyware.exe" [2008-05-28 10:33 1506544]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-03-09 16:29 7561216]
"nwiz"="nwiz.exe" [2006-03-09 16:29 1519616 C:\WINDOWS\system32\nwiz.exe]
"nForce Tray Options"="sstray.exe" [2003-06-02 06:30 73728 C:\WINDOWS\system32\sstray.exe]
"USBToolTip"="C:\Programme\Pinnacle\Shared Files\Programs\USBTip\USBTip.exe" [2004-04-23 12:00 192512]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"Acrobat Assistant 7.0"="F:\System\AcrobatReader7Pro\Distillr\Acrotray.exe" [2006-01-12 21:52 483328]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-03-09 16:29 86016]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_11\bin\jusched.exe" [2006-12-15 04:23 75520]
"14e0dda9"="C:\WINDOWS\system32\rkkxqjjw.dll" [ ]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 00:57 15360]

C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\
Microsoft Office.lnk - F:\System\word\Office10\OSA.EXE [2001-02-13 02:01:04 83360]
WlanUtility.lnk - C:\Programme\MicroStar\WLANUtility\WlanUtility.exe [2004-08-27 12:07:00 143360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= F:\System\santispy\SASSEH.DLL [2008-05-13 10:13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
F:\System\santispy\SASWINLO.dll 2007-04-19 13:41 294912 F:\System\santispy\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\PFW]
UmxWnp.Dll 2005-07-12 00:26 73728 C:\WINDOWS\system32\UmxWNP.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=UmxSbxExw.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.iac2"= C:\PROGRA~1\ACEMEG~1\SystemS\Intel\iac25_32.ax
"msacm.sl_anet"= C:\PROGRA~1\ACEMEG~1\SystemS\sl_anet.acm
"vidc.yv12"= C:\PROGRA~1\ACEMEG~1\SystemS\ATI\atiyuv12.DLL
"vidc.divx"= C:\PROGRA~1\ACEMEG~1\SystemS\DivX\DivX520.dll
"msacm.msaudio1"= C:\PROGRA~1\ACEMEG~1\SystemS\MICROS~1\msaud32.acm
"vidc.ffds"= C:\PROGRA~1\COMBIN~1\Filters\FFDShow\ff_vfw.dll

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Acrobat - Schnellstart.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Acrobat - Schnellstart.lnk
backup=C:\WINDOWS\pss\Adobe Acrobat - Schnellstart.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Cisco VPN Client.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Cisco VPN Client.lnk
backup=C:\WINDOWS\pss\Cisco VPN Client.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]
--a------ 2007-02-27 12:34 299048 F:\System\AntiVir PersonalEdition Classic\avgnt.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDElbyCDFL]
--a------ 2002-11-02 08:33 45056 F:\Medien\CloneCD 4.2.0.2\CloneCD\ElbyCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneDVDElbyDelay]
--a------ 2002-11-02 08:33 45056 F:\Medien\CloneDVD\ElbyCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
--a------ 2007-12-11 13:10 267048 C:\Programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2007-12-11 11:56 286720 C:\Programme\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\updateMgr]
--a------ 2006-03-30 17:45 313472 F:\System\AcrobatReader7Pro\Acrobat\AdobeUpdateManager.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\TinyFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"F:\\Web\\ftp\\wsftpgui.exe"=
"F:\\Web\\Firefox\\firefox.exe"=
"F:\\Medien\\Last.fm\\LastFM.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=

R0 ElbyVCD;ElbyVCD;C:\WINDOWS\system32\DRIVERS\ElbyVCD.sys [2002-11-28 12:43]
R0 KmxNdis;KmxNdis;C:\WINDOWS\system32\DRIVERS\kmxndis.sys [2005-08-16 12:42]
R1 KmxAgent;KmxAgent;C:\WINDOWS\system32\DRIVERS\kmxagent.sys [2005-07-11 19:39]
R1 KmxFile;KmxFile;C:\WINDOWS\system32\DRIVERS\KmxFile.sys [2005-07-12 00:20]
R1 KmxFw;KmxFw;C:\WINDOWS\system32\DRIVERS\kmxfw.sys [2005-08-16 12:42]
R1 KmxIds;KmxIds;C:\WINDOWS\system32\DRIVERS\kmxids.sys [2005-08-11 15:31]
R2 acedrv10;acedrv10;C:\WINDOWS\system32\drivers\acedrv10.sys [2007-07-27 10:13]
R2 acehlp10;acehlp10;C:\WINDOWS\system32\drivers\acehlp10.sys [2007-07-27 12:46]
R2 KmxBiG;KmxBiG;C:\WINDOWS\system32\DRIVERS\KmxBiG.sys [2005-07-12 00:21]
R2 KmxSbx;KmxSbx;C:\WINDOWS\system32\DRIVERS\KmxSbx.sys [2005-08-23 23:50]
R2 UmxAgent;FW Event Manager;F:\System\tinyfirewall\UmxAgent.exe [2005-08-22 10:51]
R2 UmxCfg;FW Configuration Interpreter;"C:\Programme\Gemeinsame Dateien\PFShared\UmxCfg.exe" [2005-07-12 17:57]
R2 UmxLU;FW Live Update;"C:\Programme\Gemeinsame Dateien\PFShared\umxlu.exe" [2005-07-12 13:24]
R2 UmxPol;FW Policy Manager;"C:\Programme\Gemeinsame Dateien\PFShared\UmxPol.exe" [2005-07-12 01:21]
R3 HCWBT8XX;Hauppauge WinTV 848/9 WDM Video Driver;C:\WINDOWS\system32\drivers\HCWBT8XX.sys [2006-01-25 17:14]
R3 KmxCfg;KmxCfg;C:\WINDOWS\system32\DRIVERS\kmxcfg.sys [2005-08-23 13:41]
S2 BT848;Conexant's BtPCI WDM Video Capture;C:\WINDOWS\system32\DRIVERS\BT848.sys [2008-03-13 21:37]
S3 VICAMUSB;3Com HomeConnect USB Camera;C:\WINDOWS\system32\drivers\vicamusb.sys []

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{665ab6c2-5eba-11da-8401-806d6172696f}]
\Shell\AutoRun\command - D:\monsetup.exe

*Newly Created Service* - CATCHME
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-28 13:48:26
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-06-28 13:50:28
ComboFix-quarantined-files.txt 2008-06-28 11:49:54
ComboFix2.txt 2008-06-28 11:40:55
ComboFix3.txt 2008-06-28 11:02:20

12 Verzeichnis(se), 20,477,423,616 Bytes frei
15 Verzeichnis(se), 20,463,861,760 Bytes frei

165"

hallo,

hab jetzt also alles so gemacht und dann noch anti-malware drüberlaufen lassen, der hat auch noch vier dateien gefunden und gelöscht. ich hoffe es ist jetzt alles sauber auf dem rechner....!?

wäre super wenn sich jmd noch mal eben mein combofix log anschauen könnte, und sagen obs jetzt so ok ist!??!...
danke!
:party:


"ComboFix 08-06-20.4 - *** 2008-06-28 20:23:31.4 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.182 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\***\Desktop\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\All Users\Dokumente\Electronic Arts\Die SimsT Lebensgeschichten\_desktop.ini
C:\Dokumente und Einstellungen\All Users\Dokumente\Electronic Arts\Die SimsT Tiergeschichten\_desktop.ini

.
((((((((((((((((((((((( Dateien erstellt von 2008-05-28 bis 2008-06-28 ))))))))))))))))))))))))))))))
.

2008-06-28 14:17 . 2008-06-28 14:17 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Malwarebytes
2008-06-28 14:17 . 2008-06-28 14:17 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-06-28 14:16 . 2008-06-19 17:48 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-06-28 14:16 . 2008-06-19 17:47 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-06-28 12:38 . 2008-06-28 12:38 <DIR> d-------- C:\Programme\CCleaner
2008-06-28 12:17 . 2008-06-28 12:17 <DIR> d-------- C:\Programme\Trend Micro
2008-06-27 18:31 . 2008-06-28 20:16 36 --a------ C:\WINDOWS\system32\drivers\Ids_cfg.dat
2008-06-27 17:46 . 2008-06-27 17:46 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\SUPERAntiSpyware.com
2008-06-27 17:43 . 2008-06-27 17:43 <DIR> d-------- C:\VundoFix Backups
2008-06-27 15:50 . 2008-06-27 15:50 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\SUPERAntiSpyware.com
2008-06-27 15:50 . 2008-06-27 15:50 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2008-06-25 22:04 . 2008-06-25 22:04 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-06-25 22:04 . 2008-06-25 22:04 1,409 --a------ C:\WINDOWS\QTFont.for
2008-06-21 16:50 . 2008-06-21 16:50 <DIR> d-------- C:\Programme\MSXML 4.0
2008-06-19 13:01 . 2008-06-19 13:01 <DIR> d-------- C:\Dokumente und Einstellungen\***\Saved Games
2008-06-19 13:01 . 2008-06-19 13:01 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Flood Light Games
2008-06-19 13:01 . 2008-06-19 13:01 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Flood Light Games
2008-06-12 15:12 . 2008-06-12 15:12 <DIR> d-------- C:\WINDOWS\Virtual Villagers

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-28 18:14 66,790 ----a-w C:\WINDOWS\system32\drivers\kmxcfg.u2k
2008-06-27 13:49 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-06-27 07:29 --------- d-----w C:\Programme\NCH Swift Sound
2008-06-27 07:28 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-06-27 07:25 --------- d-----w C:\Programme\Java
2008-06-26 09:34 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-06-25 21:57 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\Azureus
2008-06-12 12:32 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\PlayFirst
2008-06-12 12:32 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PlayFirst
2008-06-10 10:58 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\Canon
2008-05-08 07:33 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\AdobeUM
2008-03-19 08:06 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
2008-02-02 13:27 167,448 ----a-w C:\Dokumente und Einstellungen\***\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2006-10-07 17:36 20 ---h--w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PKP_DLea.DAT
2002-07-26 16:02 153,088 ----a-w C:\Programme\UNWISE.EXE
.

((((((((((((((((((((((((((((( snapshot@2008-06-28_13.01.08.82 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-06-28 10:51:52 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-06-28 18:15:37 2,048 --s-a-w C:\WINDOWS\bootstat.dat
- 2008-06-28 10:03:44 70,580 ----a-w C:\WINDOWS\system32\perfc007.dat
+ 2008-06-28 18:20:05 70,580 ----a-w C:\WINDOWS\system32\perfc007.dat
- 2008-06-28 10:03:44 58,596 ----a-w C:\WINDOWS\system32\perfc009.dat
+ 2008-06-28 18:20:05 58,596 ----a-w C:\WINDOWS\system32\perfc009.dat
- 2008-06-28 10:03:44 405,118 ----a-w C:\WINDOWS\system32\perfh007.dat
+ 2008-06-28 18:20:05 405,118 ----a-w C:\WINDOWS\system32\perfh007.dat
- 2008-06-28 10:03:44 392,296 ----a-w C:\WINDOWS\system32\perfh009.dat
+ 2008-06-28 18:20:05 392,296 ----a-w C:\WINDOWS\system32\perfh009.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"OM2_Monitor"="F:\Grafik\Olympus\MMonitor.exe" [2007-05-28 16:59 95800]
"SUPERAntiSpyware"="F:\System\santispy\SUPERAntiSpyware.exe" [2008-05-28 10:33 1506544]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-03-09 16:29 7561216]
"nwiz"="nwiz.exe" [2006-03-09 16:29 1519616 C:\WINDOWS\system32\nwiz.exe]
"nForce Tray Options"="sstray.exe" [2003-06-02 06:30 73728 C:\WINDOWS\system32\sstray.exe]
"USBToolTip"="C:\Programme\Pinnacle\Shared Files\Programs\USBTip\USBTip.exe" [2004-04-23 12:00 192512]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"Acrobat Assistant 7.0"="F:\System\AcrobatReader7Pro\Distillr\Acrotray.exe" [2006-01-12 21:52 483328]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-03-09 16:29 86016]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_11\bin\jusched.exe" [2006-12-15 04:23 75520]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 00:57 15360]

C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\
Microsoft Office.lnk - F:\System\word\Office10\OSA.EXE [2001-02-13 02:01:04 83360]
WlanUtility.lnk - C:\Programme\MicroStar\WLANUtility\WlanUtility.exe [2004-08-27 12:07:00 143360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= F:\System\santispy\SASSEH.DLL [2008-05-13 10:13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
F:\System\santispy\SASWINLO.dll 2007-04-19 13:41 294912 F:\System\santispy\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\PFW]
UmxWnp.Dll 2005-07-12 00:26 73728 C:\WINDOWS\system32\UmxWNP.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=UmxSbxExw.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.iac2"= C:\PROGRA~1\ACEMEG~1\SystemS\Intel\iac25_32.ax
"msacm.sl_anet"= C:\PROGRA~1\ACEMEG~1\SystemS\sl_anet.acm
"vidc.yv12"= C:\PROGRA~1\ACEMEG~1\SystemS\ATI\atiyuv12.DLL
"vidc.divx"= C:\PROGRA~1\ACEMEG~1\SystemS\DivX\DivX520.dll
"msacm.msaudio1"= C:\PROGRA~1\ACEMEG~1\SystemS\MICROS~1\msaud32.acm
"vidc.ffds"= C:\PROGRA~1\COMBIN~1\Filters\FFDShow\ff_vfw.dll

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Acrobat - Schnellstart.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Acrobat - Schnellstart.lnk
backup=C:\WINDOWS\pss\Adobe Acrobat - Schnellstart.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^ Cisco VPN Client.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Cisco VPN Client.lnk
backup=C:\WINDOWS\pss\Cisco VPN Client.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]
--a------ 2007-02-27 12:34 299048 F:\System\AntiVir PersonalEdition Classic\avgnt.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDElbyCDFL]
--a------ 2002-11-02 08:33 45056 F:\Medien\CloneCD 4.2.0.2\CloneCD\ElbyCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneDVDElbyDelay]
--a------ 2002-11-02 08:33 45056 F:\Medien\CloneDVD\ElbyCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
--a------ 2007-12-11 13:10 267048 C:\Programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2007-12-11 11:56 286720 C:\Programme\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\updateMgr]
--a------ 2006-03-30 17:45 313472 F:\System\AcrobatReader7Pro\Acrobat\AdobeUpdateManager.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\TinyFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"F:\\Web\\ftp\\wsftpgui.exe"=
"F:\\Web\\Firefox\\firefox.exe"=
"F:\\Medien\\Last.fm\\LastFM.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=

R0 ElbyVCD;ElbyVCD;C:\WINDOWS\system32\DRIVERS\ElbyVCD.sys [2002-11-28 12:43]
R0 KmxNdis;KmxNdis;C:\WINDOWS\system32\DRIVERS\kmxndis.sys [2005-08-16 12:42]
R1 KmxAgent;KmxAgent;C:\WINDOWS\system32\DRIVERS\kmxagent.sys [2005-07-11 19:39]
R1 KmxFile;KmxFile;C:\WINDOWS\system32\DRIVERS\KmxFile.sys [2005-07-12 00:20]
R1 KmxFw;KmxFw;C:\WINDOWS\system32\DRIVERS\kmxfw.sys [2005-08-16 12:42]
R1 KmxIds;KmxIds;C:\WINDOWS\system32\DRIVERS\kmxids.sys [2005-08-11 15:31]
R2 acedrv10;acedrv10;C:\WINDOWS\system32\drivers\acedrv10.sys [2007-07-27 10:13]
R2 acehlp10;acehlp10;C:\WINDOWS\system32\drivers\acehlp10.sys [2007-07-27 12:46]
R2 KmxBiG;KmxBiG;C:\WINDOWS\system32\DRIVERS\KmxBiG.sys [2005-07-12 00:21]
R2 KmxSbx;KmxSbx;C:\WINDOWS\system32\DRIVERS\KmxSbx.sys [2005-08-23 23:50]
R2 UmxAgent;FW Event Manager;F:\System\tinyfirewall\UmxAgent.exe [2005-08-22 10:51]
R2 UmxCfg;FW Configuration Interpreter;"C:\Programme\Gemeinsame Dateien\PFShared\UmxCfg.exe" [2005-07-12 17:57]
R2 UmxLU;FW Live Update;"C:\Programme\Gemeinsame Dateien\PFShared\umxlu.exe" [2005-07-12 13:24]
R2 UmxPol;FW Policy Manager;"C:\Programme\Gemeinsame Dateien\PFShared\UmxPol.exe" [2005-07-12 01:21]
R3 HCWBT8XX;Hauppauge WinTV 848/9 WDM Video Driver;C:\WINDOWS\system32\drivers\HCWBT8XX.sys [2006-01-25 17:14]
R3 KmxCfg;KmxCfg;C:\WINDOWS\system32\DRIVERS\kmxcfg.sys [2005-08-23 13:41]
S2 BT848;Conexant's BtPCI WDM Video Capture;C:\WINDOWS\system32\DRIVERS\BT848.sys [2008-03-13 21:37]
S3 VICAMUSB;3Com HomeConnect USB Camera;C:\WINDOWS\system32\drivers\vicamusb.sys []

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{665ab6c2-5eba-11da-8401-806d6172696f}]
\Shell\AutoRun\command - D:\monsetup.exe

.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-28 20:26:17
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-06-28 20:28:18
ComboFix-quarantined-files.txt 2008-06-28 18:27:41
ComboFix2.txt 2008-06-28 11:50:29
ComboFix3.txt 2008-06-28 11:40:55
ComboFix4.txt 2008-06-28 11:02:20

12 Verzeichnis(se), 20,466,597,888 Bytes frei
16 Verzeichnis(se), 20,452,958,208 Bytes frei

168"

:)

Combofix Deinstallieren

Klick auf Start -> Ausführen -> eintippen combofix /U

http://img247.imageshack.us/img247/7...ombofixvs6.jpg

Damit ist Combofix und alle weiteren Programme entfernt wurden.



Wenn keine Probleme mehr bestehen sollte alles wieder in Ordnung sein. ;)

juhu!:party:
vielen dank für die schnelle und nette hilfe!!!
:aplaus:

Bitteschön, gern geschehn.. :daumenhoc