MS Antivir hat sich eingenistet
 

Hallo,

ich habe dummerweise eine .exe Datei beim vermeintlichen Aktualisieren des FlashPlayers geöffnet. Seitdem erscheinen immer wieder Fenster im Stile vom Sicherheitscenter XP (habe selber Win2000), die mich vor Angriffen warnen. Auf dem Desktop und der Taskleiste erscheinen Symbole, die sich nur teilweise löschen lassen, aber immer wieder kommen.

Ich habe, nachdem mir Spybot und Adaware nicht weiter halfen, Malwarebytes laufen und die Ergebnisse löschen lassen. Eines sollte erst bei einem Neustart gelöscht werden. Da kamn aber die Meldung "Zugriff verweigert". Jetzt kommen die Meldungen immer hartnäckiger. Heute morgen lief ein auf Antivirenprogramm gemachtes Ding (MS Antivirus), das ich mit dem Taskmananger stoppen konnte.

Hier die Logfiles:

erstmal Hijackthis von heute morgen

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:35:55, on 05.09.2008
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINNT\System32\drivers\CDAC11BA.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\uxudyvyj\kfehspsb.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Programme\TuneUp Utilities 2006\MemOptimizer.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINNT\system32\kjkpgvwt.exe
C:\Programme\TEXTware\HotKey\TWALINK.EXE
C:\Programme\ScanWizard 5\ScannerFinder.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINNT\system32\kjkpgvwt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
O2 - BHO: (no name) - {01E4741A-6484-9498-78DC-00FBB9716AA1} - C:\Programme\fajhsd\AplSysSrv.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Programme\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Programme\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [] exe
O4 - HKLM\..\Run: [wù] exe
O4 - HKLM\..\Run: [Antivirus] C:\Programme\MSA\MSA.exe
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2006\MemOptimizer.exe" autostart
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ShChkHlp] C:\WINNT\system32\kjkpgvwt.exe
O4 - HKCU\..\Run: [dbchk] C:\WINNT\system32\hajqfelu.exe
O4 - HKCU\..\Run: [Antivirus] C:\Programme\MSA\MSA.exe
O4 - HKLM\..\Policies\Explorer\Run: [DyqekvcvSU] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\uxudyvyj\kfehspsb.exe
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: HotKey.lnk = C:\Programme\TEXTware\HotKey\TWALINK.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Scanner Finder.lnk = C:\Programme\ScanWizard 5\ScannerFinder.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=58813
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1133705718945
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1152625534172
O18 - Protocol: haufereader - (no CLSID) - (no file)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINNT\System32\drivers\CDAC11BA.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: O&O Defrag 2000 (OOD2000) - O&O Software GmbH - C:\WINNT\system32\OOD2000.exe

--
End of file - 6048 bytes


Und hier von Malwarebytes, nachdem es die Ergebnisse bis auf eines gestern gelöscht hatte.

Malwarebytes' Anti-Malware 1.26
Datenbank Version: 1112
Windows 5.0.2195 Service Pack 4

04.09.2008 15:08:14
mbam-log-2008-09-04 (15-08-14).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 96188
Laufzeit: 37 minute(s), 57 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 6
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 2
Infizierte Dateien: 49

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\logons (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\typelib (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SYSTEM\currentcontrolset\Services\iTunesMusic (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SYSTEM\currentcontrolset\Services\rdriv (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\wkey (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\mwc (Malware.Trace) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\SystemCheck2 (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\Programme\PCHealthCenter (Trojan.Fakealert) -> Delete on reboot.
C:\WINNT\system32\smp (Fake.Dropped.Malware) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\Programme\PCHealthCenter\0.gif (Trojan.Fakealert) -> Quarantined and deleted successfully.
C:\Programme\PCHealthCenter\1.gif (Trojan.Fakealert) -> Quarantined and deleted successfully.
C:\Programme\PCHealthCenter\1.ico (Trojan.Fakealert) -> Quarantined and deleted successfully.
C:\Programme\PCHealthCenter\2.gif (Trojan.Fakealert) -> Quarantined and deleted successfully.
C:\Programme\PCHealthCenter\2.ico (Trojan.Fakealert) -> Quarantined and deleted successfully.
C:\Programme\PCHealthCenter\3.gif (Trojan.Fakealert) -> Quarantined and deleted successfully.
C:\Programme\PCHealthCenter\5.exe (Trojan.Fakealert) -> Quarantined and deleted successfully.
C:\Programme\PCHealthCenter\cccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccc ccccccccccccccexe (Trojan.Fakealert) -> Delete on reboot.
C:\Programme\PCHealthCenter\sc.html (Trojan.Fakealert) -> Quarantined and deleted successfully.
C:\WINNT\system32\smp\msrc.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINNT\system32\akttzn.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINNT\system32\anticipator.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINNT\system32\awtoolb.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINNT\system32\bdn.com (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINNT\system32\bsva-egihsg52.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINNT\system32\dpcproxy.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINNT\system32\hoproxy.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINNT\system32\hxiwlgpm.dat (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINNT\system32\hxiwlgpm.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINNT\system32\msgp.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINNT\system32\msnbho.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINNT\system32\mssecu.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINNT\system32\msvchost.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINNT\system32\mtr2.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINNT\system32\mwin32.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINNT\system32\netode.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINNT\system32\newsd32.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINNT\system32\ps1.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINNT\system32\psof1.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINNT\system32\psoft1.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINNT\system32\regc64.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINNT\system32\regm64.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINNT\system32\Rundl1.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINNT\system32\sncntr.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINNT\system32\ssurf022.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINNT\system32\ssvchost.com (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINNT\system32\ssvchost.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINNT\system32\sysreq.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINNT\system32\taack.dat (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINNT\system32\taack.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINNT\system32\temp#01.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINNT\system32\thun.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINNT\system32\thun32.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINNT\system32\VBIEWER.OCX (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINNT\system32\vcatchpi.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINNT\system32\winlogonpc.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINNT\system32\winsystem.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINNT\system32\WINWGPX.EXE (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINNT\system32\vbsys2.dll (Trojan.Clicker) -> Quarantined and deleted successfully.

Ich muss jetzt leider zur Arbeit; bin ab ca 19:30 Uhr wieder online.

Hallo Peregrino und

http://www.mysmilie.de/generator/ablage/156/257.png


Es wird sich wahrscheinlich um diese Datei hier handeln die nicht gelöscht werden konnte:


Es ist aber scheinbar noch mehr im System, daher folgendes:


ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)

Hallo Sunny,

vielen Dank für den herzlichen Empfang und die wirklich super schnelle Hilfe...

Kann grad nur kurz von der Arbeit aus schreiben.

Hab mir kurz eine Anleitung für Combofix durchgelesen. Da steht, ich brauche erst eine Wiederherstellungskonsole für Win2000. Hab mal geforscht, aber nix wirklich brauchbares dazu wie man die im Ernstfall bedient Hast du da einen Link oder ähnliches??

vielen Dank

Es ist keine Pflicht diese Konsole zu nutzen, jedoch, falls etwas schief geht, ist es besser für dein System. ;)

Hier eine Anleitung für Windows2000:

Beschreibung der Windows 2000-Wiederherstellungskonsole

Hallo Sunny,

hat alles wunderbar geklappt mit dem ComboFix. Das Programm hat lediglich während des Suchlaufes zwei mal den Computer neu gestartet und es erschien mehrmals das Fenster: "creg.dat kann nicht importiert werden. Fehler beim Zugriff auf die Registrierung"

Ach ja, nach dem Neustart kam gleich wieder ein altbekanntes Fenster meines unheimlichen Gastes.

Jetzt aber das Log:

ComboFix 08-09-04.09 - Administrator 05.09.2008 19:24:07.1 - NTFSx86
Microsoft Windows 2000 Professional 5.0.2195.4.1252.1.1031.18.692 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Administrator\Desktop\ComboFix.exe

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Programme\akl
C:\Programme\akl\akl.dll
C:\Programme\akl\akl.exe
C:\Programme\akl\uninstall.exe
C:\Programme\akl\unsetup.exe
C:\Programme\Inet Delivery
C:\Programme\Inet Delivery\inetdl.exe
C:\Programme\Inet Delivery\intdel.exe
C:\Programme\PCHealthCenter\0.gif
C:\Programme\PCHealthCenter\1.exe
C:\Programme\PCHealthCenter\1.gif
C:\Programme\PCHealthCenter\1.ico
C:\Programme\PCHealthCenter\2.exe
C:\Programme\PCHealthCenter\2.gif
C:\Programme\PCHealthCenter\2.ico
C:\Programme\PCHealthCenter\3.exe
C:\Programme\PCHealthCenter\3.gif
C:\Programme\PCHealthCenter\4.exe
C:\Programme\PCHealthCenter\5.exe
C:\Programme\PCHealthCenter\7.exe
C:\Programme\PCHealthCenter\exe
C:\Programme\PCHealthCenter\sc.html
C:\WINNT\a.bat
C:\WINNT\base64.tmp
C:\WINNT\bdn.com
C:\WINNT\FVProtect.exe
C:\WINNT\iTunesMusic.exe
C:\WINNT\mslagent
C:\WINNT\mslagent\2_mslagent.dll
C:\WINNT\mslagent\mslagent.exe
C:\WINNT\mslagent\uninstall.exe
C:\WINNT\mssecu.exe
C:\WINNT\regedit.com
C:\WINNT\system32\akttzn.exe
C:\WINNT\system32\anticipator.dll
C:\WINNT\system32\awtoolb.dll
C:\WINNT\system32\bdn.com
C:\WINNT\system32\bsva-egihsg52.exe
C:\WINNT\system32\config\SAM.SAV
C:\WINNT\system32\dpcproxy.exe
C:\WINNT\system32\emesx.dll
C:\WINNT\system32\h@tkeysh@@k.dll
C:\WINNT\system32\hoproxy.dll
C:\WINNT\system32\hxiwlgpm.dat
C:\WINNT\system32\hxiwlgpm.exe
C:\WINNT\system32\medup012.dll
C:\WINNT\system32\medup020.dll
C:\WINNT\system32\msgp.exe
C:\WINNT\system32\msnbho.dll
C:\WINNT\system32\mssecu.exe
C:\WINNT\system32\msvchost.exe
C:\WINNT\system32\mtr2.exe
C:\WINNT\system32\mwin32.exe
C:\WINNT\system32\netode.exe
C:\WINNT\system32\newsd32.exe
C:\WINNT\system32\ps1.exe
C:\WINNT\system32\psof1.exe
C:\WINNT\system32\psoft1.exe
C:\WINNT\system32\regc64.dll
C:\WINNT\system32\regm64.dll
C:\WINNT\system32\rtl60.bpl
C:\WINNT\system32\Rundl1.exe
C:\WINNT\system32\smp
C:\WINNT\system32\smp\msrc.exe
C:\WINNT\system32\sncntr.exe
C:\WINNT\system32\ssurf022.dll
C:\WINNT\system32\ssvchost.com
C:\WINNT\system32\ssvchost.exe
C:\WINNT\system32\sysreq.exe
C:\WINNT\system32\taack.dat
C:\WINNT\system32\taack.exe
C:\WINNT\system32\taskmgr.com
C:\WINNT\system32\tdssl.dll
C:\WINNT\system32\temp#01.exe
C:\WINNT\system32\thun.dll
C:\WINNT\system32\thun32.dll
C:\WINNT\system32\VBIEWER.OCX
C:\WINNT\system32\vbsys2.dll
C:\WINNT\system32\vcatchpi.dll
C:\WINNT\system32\winlogonpc.exe
C:\WINNT\system32\winsystem.exe
C:\WINNT\system32\WINWGPX.EXE
C:\WINNT\userconfig9x.dll
C:\WINNT\Web\default.htt
C:\WINNT\winsystem.exe
C:\WINNT\zip1.tmp
C:\WINNT\zip2.tmp
C:\WINNT\zip3.tmp
C:\WINNT\zipped.tmp

.
((((((((((((((((((((((( Dateien erstellt von 2008-08-05 bis 2008-09-05 ))))))))))))))))))))))))))))))
.

2008-09-04 19:30 . 08-09-04 19:30 1,220,215 --a------ C:\winlo.exe
2008-09-04 19:24 . 08-09-05 08:15 <DIR> d-------- C:\Programme\MSA
2008-09-04 19:24 . 08-09-04 19:24 <DIR> d-------- C:\Programme\fajhsd
2008-09-04 19:24 . 08-08-28 14:57 167,424 --a------ C:\WINNT\system32\MSA.cpl
2008-09-04 19:24 . 08-09-04 19:24 90,112 --a------ C:\WINNT\system32\zklgdezy.exe
2008-09-04 15:11 . 08-09-05 19:27 <DIR> d-------- C:\Programme\PCHealthCenter
2008-09-04 15:11 . 08-09-04 15:11 86,016 --a------ C:\WINNT\system32\hajqfelu.exe
2008-09-04 14:21 . 08-09-04 14:21 <DIR> d-------- C:\Programme\Neuer Ordner
2008-09-04 14:20 . 08-09-04 14:20 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-09-04 14:20 . 08-09-04 14:20 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-09-04 14:20 . 08-09-04 14:20 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2008-09-04 14:20 . 08-09-02 00:16 38,528 --a------ C:\WINNT\system32\drivers\mbamswissarmy.sys
2008-09-04 14:20 . 08-09-02 00:16 17,200 --a------ C:\WINNT\system32\drivers\mbam.sys
2008-09-04 13:31 . 08-06-19 17:24 28,544 --a------ C:\WINNT\system32\drivers\pavboot.sys
2008-09-04 13:30 . 08-09-04 13:30 <DIR> d-------- C:\Programme\Panda Security
2008-09-04 04:27 . 08-08-28 15:57 3,262 --a------ C:\WINNT\system32\2.ico
2008-09-04 04:23 . 08-09-04 04:23 102,400 --a------ C:\WINNT\system32\kjkpgvwt.exe
2008-09-04 04:23 . 08-08-28 15:57 3,262 --a------ C:\WINNT\system32\1.ico
2008-09-04 01:32 . 08-09-04 01:32 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\uxudyvyj
2008-09-04 01:32 . 08-09-04 01:32 106,496 --------- C:\WINNT\system32\xspwtizq.exe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-04 12:22 --------- d-----w C:\Programme\Trend Micro
2008-09-04 02:23 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-09-04 02:17 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\avg7
2008-09-04 00:41 --------- d-----w C:\Programme\Spybot - Search & Destroy
2008-09-03 23:35 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\AVG7
2008-07-31 15:58 --------- d-----w C:\Programme\FRITZ!DSL
2008-01-21 15:07 5,032,810 ------w C:\Programme\njass_1.1.exe
2006-10-03 21:09 466 ------w C:\Programme\Verknüpfung mit NewName V1_02f.lnk
2006-01-04 17:45 271 ---h--w C:\Programme\desktop.ini
2006-01-04 17:45 22,080 ---h--w C:\Programme\folder.htt
2004-03-11 11:27 40,960 ------w C:\Programme\Uninstall_CDS.exe
2000-06-16 20:42 343,040 ------r C:\Programme\NewName V1_02f.exe
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{01E4741A-6484-9498-78DC-00FBB9716AA1}]
08-09-04 19:24 126976 --a------ C:\Programme\fajhsd\AplSysSrv.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TuneUp MemOptimizer"="C:\Programme\TuneUp Utilities 2006\MemOptimizer.exe" [06-10-02 18:58 305152]
"updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [06-03-30 16:45 313472]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [08-08-18 18:41 1832272]
"ShChkHlp"="C:\WINNT\system32\kjkpgvwt.exe" [08-09-04 04:23 102400]
"dbchk"="C:\WINNT\system32\hajqfelu.exe" [08-09-04 15:11 86016]
"DscStrCmd"="C:\WINNT\system32\fwbuvunk.exe" [08-09-05 19:29 94208]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"wù"="exe" [X]
"AVG7_CC"="C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe" [08-04-15 18:48 579584]
"Antivirus"="C:\Programme\MSA\MSA.exe" [08-08-30 01:15 412160]
"Synchronization Manager"="mobsync.exe" [03-06-19 21:05 112400 C:\WINNT\system32\mobsync.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"AVG7_Run"="C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe" [07-10-25 12:05 219136]
"internat.exe"="internat.exe" [99-12-10 14:00 20752 C:\WINNT\system32\internat.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"^SetupICWDesktop"="C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe" [03-06-19 21:05 189712]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\Currentversion\policies\explorer\Run]
"DyqekvcvSU"="C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\uxudyvyj\kfehspsb.exe" [08-09-04 01:32 73728]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"internat.exe"=internat.exe
"gencom"=C:\WINNT\system32\xspwtizq.exe
"cccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccexe"=ccccccccccccccccccccccccccc cccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccexe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Ulead AutoDetector"=C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe
"NeroFilterCheck"=C:\WINNT\system32\NeroCheck.exe
"SunJavaUpdateSched"=C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
"ATICCC"="C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
"SoundMan"=SOUNDMAN.EXE
"cccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccexe"=ccccccccccccccccccccccccccc cccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccexe

R0 pavboot;pavboot;C:\WINNT\system32\drivers\pavboot.sys [08-06-19 17:24 28544]
R1 Avg7RsNT;AVG7 Resident Driver NT;C:\WINNT\system32\Drivers\avg7rsnt.sys [07-02-24 20:21 26944]
R3 usbhub20;USB 2.0-Root-Hub-Support;C:\WINNT\system32\DRIVERS\usbhub20.sys [03-06-19 21:05 49776]
S1 sglfb;sglfb;C:\WINNT\system32\drivers\sglfb.sys [99-12-10 14:00 6992]
S3 openhci;Microsoft USB-Open Host-Controllertreiber;C:\WINNT\system32\DRIVERS\openhci.sys [03-06-19 21:05 24784]
S3 SiS630;SiS630;C:\WINNT\system32\DRIVERS\sis630p.sys [01-08-17 13:00 105595]

*Newly Created Service* - IPNAT
*Newly Created Service* - RASAUTO
*Newly Created Service* - SHAREDACCESS
.
Inhalt des "geplante Tasks" Ordners
.
.
------- Zus„tzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\9y9cimy9.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - about:blank
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-05 19:28:56
Windows 5.0.2195 Service Pack 4 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...


C:\WINNT\system32\fwbuvunk.exe 94208 bytes executable
C:\WINNT\system32\Perflib_Perfdata_3ac.dat 16384 bytes

Scan erfolgreich abgeschlossen
versteckte Dateien: 2

**************************************************************************
.
Zeit der Fertigstellung: 2008-09-05 19:35:00 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-09-05 17:34:56

Pre-Run: 59,302,039,552 Bytes frei
Post-Run: 59,425,906,688 Bytes frei

207 --- E O F --- 2008-08-14 08:52:14


viele Grüße

Da steckt noch einiges ziemlich tief im System: :killpc:


das bitte ausführen:


Scripten mit Combofix

• Öffne den Editor ( Start -> Zubehör -> Editor ) kopiere nun folgenden Text in das weiße Feld:

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

• Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

• Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann

Hallo Sunny,

hier das neue Log von ComboFix. Ich bin echt baff, wie schnell hier die Hilfe funktioniert.. Kann man euch etwas Gutes tun?? z.B. Spende oder ähnliches?

Die Meldung "creg.dat kann nicht importiert werden. Fehler beim zugriff auf die Registrierung erschien". Ebenfalls kam eine Meldung "Twatimer hat einen Fehler verursacht und wird geschlossen"

viele Grüße

ComboFix 08-09-04.09 - Administrator 05.09.2008 21:42:40.2 - NTFSx86
Microsoft Windows 2000 Professional 5.0.2195.4.1252.1.1031.18.700 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Administrator\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Administrator\Desktop\cfscript.txt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\uxudyvyj
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\uxudyvyj\kfehspsb.exe
C:\Programme\fajhsd
C:\Programme\fajhsd\AplSysSrv.dll
C:\Programme\MSA
C:\Programme\MSA\MSA.cpl
C:\Programme\MSA\msa0.dat
C:\Programme\MSA\msa1.dat
C:\Programme\PCHealthCenter
C:\winlo.exe
C:\WINNT\system32\1.ico
C:\WINNT\system32\fwbuvunk.exe
C:\WINNT\system32\hajqfelu.exe
C:\WINNT\system32\kjkpgvwt.exe
C:\WINNT\system32\MSA.cpl
C:\WINNT\system32\xspwtizq.exe
C:\WINNT\system32\zklgdezy.exe

.
((((((((((((((((((((((( Dateien erstellt von 2008-08-05 bis 2008-09-05 ))))))))))))))))))))))))))))))
.

2008-09-05 21:42 . 08-09-05 21:42 16,384 --a----t- C:\WINNT\system32\Perflib_Perfdata_348.dat
2008-09-04 14:21 . 08-09-04 14:21 <DIR> d-------- C:\Programme\Neuer Ordner
2008-09-04 14:20 . 08-09-04 14:20 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-09-04 14:20 . 08-09-04 14:20 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-09-04 14:20 . 08-09-04 14:20 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2008-09-04 14:20 . 08-09-02 00:16 38,528 --a------ C:\WINNT\system32\drivers\mbamswissarmy.sys
2008-09-04 14:20 . 08-09-02 00:16 17,200 --a------ C:\WINNT\system32\drivers\mbam.sys
2008-09-04 13:31 . 08-06-19 17:24 28,544 --a------ C:\WINNT\system32\drivers\pavboot.sys
2008-09-04 13:30 . 08-09-04 13:30 <DIR> d-------- C:\Programme\Panda Security
2008-09-04 04:27 . 08-08-28 15:57 3,262 --a------ C:\WINNT\system32\2.ico

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-04 12:22 --------- d-----w C:\Programme\Trend Micro
2008-09-04 02:23 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-09-04 02:17 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\avg7
2008-09-04 00:41 --------- d-----w C:\Programme\Spybot - Search & Destroy
2008-09-03 23:35 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\AVG7
2008-07-31 15:58 --------- d-----w C:\Programme\FRITZ!DSL
2008-07-18 20:10 94,920 ----a-w C:\WINNT\system32\cdm.dll
2008-07-18 20:10 53,448 ----a-w C:\WINNT\system32\wuauclt.exe
2008-07-18 20:10 45,768 ----a-w C:\WINNT\system32\wups2.dll
2008-07-18 20:10 36,552 ----a-w C:\WINNT\system32\wups.dll
2008-07-18 20:09 563,912 ----a-w C:\WINNT\system32\wuapi.dll
2008-07-18 20:09 325,832 ----a-w C:\WINNT\system32\wucltui.dll
2008-07-18 20:09 205,000 ----a-w C:\WINNT\system32\wuweb.dll
2008-07-18 20:09 1,811,656 ----a-w C:\WINNT\system32\wuaueng.dll
2008-07-18 20:07 270,880 ----a-w C:\WINNT\system32\mucltui.dll
2008-07-18 20:07 210,976 ----a-w C:\WINNT\system32\muweb.dll
2008-07-10 10:00 251,664 ----a-w C:\WINNT\system32\es.dll
2008-06-25 14:30 50,688 ----a-w C:\WINNT\system32\INETRES.DLL
2008-06-25 14:30 44,032 ----a-w C:\WINNT\system32\MSIDENT.DLL
2008-06-25 14:30 229,376 ----a-w C:\WINNT\system32\MSOEACCT.DLL
2008-06-25 13:35 91,136 ----a-w C:\WINNT\system32\MSOERT2.DLL
2008-06-25 13:35 601,088 ----a-w C:\WINNT\system32\INETCOMM.DLL
2008-06-25 12:51 69,904 ----a-w C:\WINNT\system32\mscms.dll
2008-06-25 09:41 66,832 ----a-w C:\WINNT\system32\mswsock.dll
2008-06-25 09:41 105,744 ----a-w C:\WINNT\system32\msafd.dll
2008-06-20 10:15 582,144 ----a-w C:\WINNT\system32\WININET.DLL
2008-01-21 15:07 5,032,810 ------w C:\Programme\njass_1.1.exe
2006-10-03 21:09 466 ------w C:\Programme\Verknüpfung mit NewName V1_02f.lnk
2006-01-04 17:45 271 ---h--w C:\Programme\desktop.ini
2006-01-04 17:45 22,080 ---h--w C:\Programme\folder.htt
2004-03-11 11:27 40,960 ------w C:\Programme\Uninstall_CDS.exe
2000-06-16 20:42 343,040 ------r C:\Programme\NewName V1_02f.exe
1999-12-10 12:00 32,528 ----a-w C:\WINNT\inf\wbfirdma.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TuneUp MemOptimizer"="C:\Programme\TuneUp Utilities 2006\MemOptimizer.exe" [06-10-02 18:58 305152]
"updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [06-03-30 16:45 313472]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [08-08-18 18:41 1832272]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"wù"="exe" [X]
"AVG7_CC"="C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe" [08-04-15 18:48 579584]
"Synchronization Manager"="mobsync.exe" [03-06-19 21:05 112400 C:\WINNT\system32\mobsync.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"AVG7_Run"="C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe" [07-10-25 12:05 219136]
"internat.exe"="internat.exe" [99-12-10 14:00 20752 C:\WINNT\system32\internat.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"^SetupICWDesktop"="C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe" [03-06-19 21:05 189712]

C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\
Adobe Gamma Loader.exe.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2005-10-12 110592]
Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 29696]
HotKey.lnk - C:\Programme\TEXTware\HotKey\TWALINK.EXE [2007-09-13 19968]
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office\OSA9.EXE [2000-01-21 65588]
Scanner Finder.lnk - C:\Programme\ScanWizard 5\ScannerFinder.exe [2006-01-19 315392]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"internat.exe"=internat.exe
"gencom"=C:\WINNT\system32\xspwtizq.exe
"cccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccexe"=ccccccccccccccccccccccccccc cccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccexe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Ulead AutoDetector"=C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe
"NeroFilterCheck"=C:\WINNT\system32\NeroCheck.exe
"SunJavaUpdateSched"=C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
"ATICCC"="C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
"SoundMan"=SOUNDMAN.EXE
"cccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccexe"=ccccccccccccccccccccccccccc cccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccexe

R0 pavboot;pavboot;C:\WINNT\system32\drivers\pavboot.sys [08-06-19 17:24 28544]
R1 Avg7RsNT;AVG7 Resident Driver NT;C:\WINNT\system32\Drivers\avg7rsnt.sys [07-02-24 20:21 26944]
R3 usbhub20;USB 2.0-Root-Hub-Support;C:\WINNT\system32\DRIVERS\usbhub20.sys [03-06-19 21:05 49776]
S1 sglfb;sglfb;C:\WINNT\system32\drivers\sglfb.sys [99-12-10 14:00 6992]
S3 openhci;Microsoft USB-Open Host-Controllertreiber;C:\WINNT\system32\DRIVERS\openhci.sys [03-06-19 21:05 24784]
S3 SiS630;SiS630;C:\WINNT\system32\DRIVERS\sis630p.sys [01-08-17 13:00 105595]

*Newly Created Service* - IPNAT
*Newly Created Service* - RASAUTO
*Newly Created Service* - SHAREDACCESS
.
Inhalt des "geplante Tasks" Ordners
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-Antivirus - C:\Programme\MSA\MSA.exe



**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-05 21:44:09
Windows 5.0.2195 Service Pack 4 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-09-05 21:45:26
ComboFix-quarantined-files.txt 2008-09-05 19:45:16
ComboFix2.txt 2008-09-05 17:35:01

Pre-Run: 59,455,639,552 Bytes frei
Post-Run: 59,446,575,104 Bytes frei

140 --- E O F --- 2008-08-14 08:52:14

Die Malware ist hartnäckiger als ich dachte, bitte folgende Datei überprüfen:
(sofern vorhanden!)



Dateien Online überprüfen lassen:

• Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

• Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

• Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

• Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

• Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Außerdem ist die ccccccccccc.exe immer noch aktiv, aber darum kümmern wir uns später. ;)

Sunny

Hallo Sunny,

ich kann die beiden Dateien nicht finden. Bei meinen Ordneroptionen gibt es bloß die Möglichkeit: Hidden - show all anzuklicken oder superhidden.
Versteckte systemdateien anzeigen gibt es bei mir nicht.

Wat nu??

Grüße

Die Dateien sind auf defintiv auf dem System, sie sind jedoch getarnt..

Versuch es mal so, klich den Link zu Virustotal, gehe zum Ordner C:\WINNT\system32\ hier gibst nun den Dateinamen eintippen -> Perflib_Perfdata_348.dat (auch wenn dieser nicht existiert!) -> "Sender der Datei". ;)

Das gleiche machst du mit der anderen Datei -> C:\WINNT\system32\xspwtizq.exe

Hallo Sunny,

hat nichts geholfen. Soll ich ComboFix nochmal durchlaufen lassen und den Log schicken?

Wenn der Computer nach ComboFix neu startet, meckert Spybot und fragt, ob ich die Registrieeinträge verändern möchte. Ich habe immer auf ja getippt. Liegt´s vielleicht daran?

Is schon spät. Ich melde mich morgen im Laufe des Tages wieder.

auf jeden Fall vielen Dank bis hierher

viele Grüße

Sorry, das hab ich selbst total übersehen mit Spybot, bitte deaktiviere den Tea Timer bis auf weiteres, und lass dann nochmal Combofix durchlaufen! ;)

Gruß
Sunny

Hallo Sunny,

hier der aktuelle Logfile von ComboFix. Es kam wieder die Meldung "creg.dat kann nicht importiert werden Zugriff auf Registrierung verweigert"

ComboFix 08-09-05.02 - Administrator 06.09.2008 14:13:15.3 - NTFSx86
Microsoft Windows 2000 Professional 5.0.2195.4.1252.1.1031.18.718 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Administrator\Desktop\ComboFix.exe

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((( Dateien erstellt von 2008-08-06 bis 2008-09-06 ))))))))))))))))))))))))))))))
.

2008-09-06 14:13 . 08-09-06 14:13 16,384 --a----t- C:\WINNT\system32\Perflib_Perfdata_36c.dat
2008-09-04 14:21 . 08-09-04 14:21 <DIR> d-------- C:\Programme\Neuer Ordner
2008-09-04 14:20 . 08-09-04 14:20 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-09-04 14:20 . 08-09-04 14:20 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-09-04 14:20 . 08-09-04 14:20 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2008-09-04 14:20 . 08-09-02 00:16 38,528 --a------ C:\WINNT\system32\drivers\mbamswissarmy.sys
2008-09-04 14:20 . 08-09-02 00:16 17,200 --a------ C:\WINNT\system32\drivers\mbam.sys
2008-09-04 13:31 . 08-06-19 17:24 28,544 --a------ C:\WINNT\system32\drivers\pavboot.sys
2008-09-04 13:30 . 08-09-04 13:30 <DIR> d-------- C:\Programme\Panda Security
2008-09-04 04:27 . 08-08-28 15:57 3,262 --a------ C:\WINNT\system32\2.ico

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-04 12:22 --------- d-----w C:\Programme\Trend Micro
2008-09-04 02:23 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-09-04 02:17 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\avg7
2008-09-04 00:41 --------- d-----w C:\Programme\Spybot - Search & Destroy
2008-09-03 23:35 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\AVG7
2008-07-31 15:58 --------- d-----w C:\Programme\FRITZ!DSL
2008-07-18 20:10 94,920 ----a-w C:\WINNT\system32\cdm.dll
2008-07-18 20:10 53,448 ----a-w C:\WINNT\system32\wuauclt.exe
2008-07-18 20:10 45,768 ----a-w C:\WINNT\system32\wups2.dll
2008-07-18 20:10 36,552 ----a-w C:\WINNT\system32\wups.dll
2008-07-18 20:09 563,912 ----a-w C:\WINNT\system32\wuapi.dll
2008-07-18 20:09 325,832 ----a-w C:\WINNT\system32\wucltui.dll
2008-07-18 20:09 205,000 ----a-w C:\WINNT\system32\wuweb.dll
2008-07-18 20:09 1,811,656 ----a-w C:\WINNT\system32\wuaueng.dll
2008-07-18 20:07 270,880 ----a-w C:\WINNT\system32\mucltui.dll
2008-07-18 20:07 210,976 ----a-w C:\WINNT\system32\muweb.dll
2008-07-10 10:00 251,664 ----a-w C:\WINNT\system32\es.dll
2008-06-25 14:30 50,688 ----a-w C:\WINNT\system32\INETRES.DLL
2008-06-25 14:30 44,032 ----a-w C:\WINNT\system32\MSIDENT.DLL
2008-06-25 14:30 229,376 ----a-w C:\WINNT\system32\MSOEACCT.DLL
2008-06-25 13:35 91,136 ----a-w C:\WINNT\system32\MSOERT2.DLL
2008-06-25 13:35 601,088 ----a-w C:\WINNT\system32\INETCOMM.DLL
2008-06-25 12:51 69,904 ----a-w C:\WINNT\system32\mscms.dll
2008-06-25 09:41 66,832 ----a-w C:\WINNT\system32\mswsock.dll
2008-06-25 09:41 105,744 ----a-w C:\WINNT\system32\msafd.dll
2008-06-20 10:15 582,144 ----a-w C:\WINNT\system32\WININET.DLL
2008-01-21 15:07 5,032,810 ------w C:\Programme\njass_1.1.exe
2006-10-03 21:09 466 ------w C:\Programme\Verknüpfung mit NewName V1_02f.lnk
2006-01-04 17:45 271 ---h--w C:\Programme\desktop.ini
2006-01-04 17:45 22,080 ---h--w C:\Programme\folder.htt
2004-03-11 11:27 40,960 ------w C:\Programme\Uninstall_CDS.exe
2000-06-16 20:42 343,040 ------r C:\Programme\NewName V1_02f.exe
1999-12-10 12:00 32,528 ----a-w C:\WINNT\inf\wbfirdma.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TuneUp MemOptimizer"="C:\Programme\TuneUp Utilities 2006\MemOptimizer.exe" [06-10-02 18:58 305152]
"updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [06-03-30 16:45 313472]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"wù"="exe" [X]
"Synchronization Manager"="mobsync.exe" [03-06-19 21:05 112400 C:\WINNT\system32\mobsync.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"AVG7_Run"="C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe" [07-10-25 12:05 219136]
"internat.exe"="internat.exe" [99-12-10 14:00 20752 C:\WINNT\system32\internat.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"^SetupICWDesktop"="C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe" [03-06-19 21:05 189712]

C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\
Adobe Gamma Loader.exe.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2005-10-12 110592]
Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 29696]
HotKey.lnk - C:\Programme\TEXTware\HotKey\TWALINK.EXE [2007-09-13 19968]
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office\OSA9.EXE [2000-01-21 65588]
Scanner Finder.lnk - C:\Programme\ScanWizard 5\ScannerFinder.exe [2006-01-19 315392]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"internat.exe"=internat.exe
"gencom"=C:\WINNT\system32\xspwtizq.exe
"cccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccexe"=ccccccccccccccccccccccccccc cccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccexe
"SpybotSD TeaTimer"=C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Ulead AutoDetector"=C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe
"NeroFilterCheck"=C:\WINNT\system32\NeroCheck.exe
"SunJavaUpdateSched"=C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
"ATICCC"="C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
"SoundMan"=SOUNDMAN.EXE
"cccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccexe"=ccccccccccccccccccccccccccc cccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccexe
"AVG7_CC"=C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

R0 pavboot;pavboot;C:\WINNT\system32\drivers\pavboot.sys [08-06-19 17:24 28544]
R1 Avg7RsNT;AVG7 Resident Driver NT;C:\WINNT\system32\Drivers\avg7rsnt.sys [07-02-24 20:21 26944]
R3 usbhub20;USB 2.0-Root-Hub-Support;C:\WINNT\system32\DRIVERS\usbhub20.sys [03-06-19 21:05 49776]
S1 sglfb;sglfb;C:\WINNT\system32\drivers\sglfb.sys [99-12-10 14:00 6992]
S3 openhci;Microsoft USB-Open Host-Controllertreiber;C:\WINNT\system32\DRIVERS\openhci.sys [03-06-19 21:05 24784]
S3 SiS630;SiS630;C:\WINNT\system32\DRIVERS\sis630p.sys [01-08-17 13:00 105595]
.
Inhalt des "geplante Tasks" Ordners
.
.
------- Zusätzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\9y9cimy9.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - about:blank
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-06 14:15:19
Windows 5.0.2195 Service Pack 4 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-09-06 14:17:12
ComboFix-quarantined-files.txt 2008-09-06 12:16:42
ComboFix2.txt 2008-09-05 19:45:26
ComboFix3.txt 2008-09-05 17:35:01

Pre-Run: 59,572,494,336 Bytes frei
Post-Run: 59,563,094,016 Bytes frei

121 --- E O F --- 2008-08-14 08:52:14


viele Grüße

Ok, versuchen wir es nochmal die restlichen Dateien vom System zu putzen!


Scripten mit Combofix

• Öffne den Editor ( Start -> Zubehör -> Editor ) kopiere nun folgenden Text in das weiße Feld:

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

• Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

• Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann

Hallo Sunny,

hier der neuerliche Log von ComboFix:

ComboFix 08-09-05.02 - Administrator 06.09.2008 22:45:15.4 - NTFSx86
Microsoft Windows 2000 Professional 5.0.2195.4.1252.1.1031.18.724 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Administrator\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Administrator\Desktop\cfscript.txt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINNT\system32\2.ico

.
((((((((((((((((((((((( Dateien erstellt von 2008-08-06 bis 2008-09-06 ))))))))))))))))))))))))))))))
.

2008-09-04 14:21 . 08-09-04 14:21 <DIR> d-------- C:\Programme\Neuer Ordner
2008-09-04 14:20 . 08-09-04 14:20 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-09-04 14:20 . 08-09-04 14:20 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-09-04 14:20 . 08-09-04 14:20 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2008-09-04 14:20 . 08-09-02 00:16 38,528 --a------ C:\WINNT\system32\drivers\mbamswissarmy.sys
2008-09-04 14:20 . 08-09-02 00:16 17,200 --a------ C:\WINNT\system32\drivers\mbam.sys
2008-09-04 13:31 . 08-06-19 17:24 28,544 --a------ C:\WINNT\system32\drivers\pavboot.sys
2008-09-04 13:30 . 08-09-04 13:30 <DIR> d-------- C:\Programme\Panda Security

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-04 12:22 --------- d-----w C:\Programme\Trend Micro
2008-09-04 02:23 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-09-04 02:17 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\avg7
2008-09-04 00:41 --------- d-----w C:\Programme\Spybot - Search & Destroy
2008-09-03 23:35 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\AVG7
2008-07-31 15:58 --------- d-----w C:\Programme\FRITZ!DSL
2008-07-18 20:10 94,920 ----a-w C:\WINNT\system32\cdm.dll
2008-07-18 20:10 53,448 ----a-w C:\WINNT\system32\wuauclt.exe
2008-07-18 20:10 45,768 ----a-w C:\WINNT\system32\wups2.dll
2008-07-18 20:10 36,552 ----a-w C:\WINNT\system32\wups.dll
2008-07-18 20:09 563,912 ----a-w C:\WINNT\system32\wuapi.dll
2008-07-18 20:09 325,832 ----a-w C:\WINNT\system32\wucltui.dll
2008-07-18 20:09 205,000 ----a-w C:\WINNT\system32\wuweb.dll
2008-07-18 20:09 1,811,656 ----a-w C:\WINNT\system32\wuaueng.dll
2008-07-18 20:07 270,880 ----a-w C:\WINNT\system32\mucltui.dll
2008-07-18 20:07 210,976 ----a-w C:\WINNT\system32\muweb.dll
2008-07-10 10:00 251,664 ----a-w C:\WINNT\system32\es.dll
2008-06-25 14:30 50,688 ----a-w C:\WINNT\system32\INETRES.DLL
2008-06-25 14:30 44,032 ----a-w C:\WINNT\system32\MSIDENT.DLL
2008-06-25 14:30 229,376 ----a-w C:\WINNT\system32\MSOEACCT.DLL
2008-06-25 13:35 91,136 ----a-w C:\WINNT\system32\MSOERT2.DLL
2008-06-25 13:35 601,088 ----a-w C:\WINNT\system32\INETCOMM.DLL
2008-06-25 12:51 69,904 ----a-w C:\WINNT\system32\mscms.dll
2008-06-25 09:41 66,832 ----a-w C:\WINNT\system32\mswsock.dll
2008-06-25 09:41 105,744 ----a-w C:\WINNT\system32\msafd.dll
2008-06-20 10:15 582,144 ----a-w C:\WINNT\system32\WININET.DLL
2008-01-21 15:07 5,032,810 ------w C:\Programme\njass_1.1.exe
2006-10-03 21:09 466 ------w C:\Programme\Verknüpfung mit NewName V1_02f.lnk
2006-01-04 17:45 271 ---h--w C:\Programme\desktop.ini
2006-01-04 17:45 22,080 ---h--w C:\Programme\folder.htt
2004-03-11 11:27 40,960 ------w C:\Programme\Uninstall_CDS.exe
2000-06-16 20:42 343,040 ------r C:\Programme\NewName V1_02f.exe
1999-12-10 12:00 32,528 ----a-w C:\WINNT\inf\wbfirdma.sys
.

((((((((((((((((((((((((((((( snapshot@Fr 2008-09-05_19.34.38.15 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-09-06 20:51:10 16,384 ----atw C:\WINNT\system32\Perflib_Perfdata_53c.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TuneUp MemOptimizer"="C:\Programme\TuneUp Utilities 2006\MemOptimizer.exe" [06-10-02 18:58 305152]
"updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [06-03-30 16:45 313472]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Synchronization Manager"="mobsync.exe" [03-06-19 21:05 112400 C:\WINNT\system32\mobsync.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"AVG7_Run"="C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe" [07-10-25 12:05 219136]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"^SetupICWDesktop"="C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe" [03-06-19 21:05 189712]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"internat.exe"=internat.exe
"gencom"=C:\WINNT\system32\xspwtizq.exe
"cccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccexe"=ccccccccccccccccccccccccccc cccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccexe
"SpybotSD TeaTimer"=C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Ulead AutoDetector"=C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe
"NeroFilterCheck"=C:\WINNT\system32\NeroCheck.exe
"SunJavaUpdateSched"=C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
"ATICCC"="C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
"SoundMan"=SOUNDMAN.EXE
"cccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccexe"=ccccccccccccccccccccccccccc cccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccexe
"AVG7_CC"=C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

R0 pavboot;pavboot;C:\WINNT\system32\drivers\pavboot.sys [08-06-19 17:24 28544]
R1 Avg7RsNT;AVG7 Resident Driver NT;C:\WINNT\system32\Drivers\avg7rsnt.sys [07-02-24 20:21 26944]
R3 usbhub20;USB 2.0-Root-Hub-Support;C:\WINNT\system32\DRIVERS\usbhub20.sys [03-06-19 21:05 49776]
S1 sglfb;sglfb;C:\WINNT\system32\drivers\sglfb.sys [99-12-10 14:00 6992]
S3 openhci;Microsoft USB-Open Host-Controllertreiber;C:\WINNT\system32\DRIVERS\openhci.sys [03-06-19 21:05 24784]
S3 SiS630;SiS630;C:\WINNT\system32\DRIVERS\sis630p.sys [01-08-17 13:00 105595]
.
Inhalt des "geplante Tasks" Ordners
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-06 22:49:48
Windows 5.0.2195 Service Pack 4 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...


C:\WINNT\system32\Perflib_Perfdata_53c.dat 16384 bytes

Scan erfolgreich abgeschlossen
versteckte Dateien: 1

**************************************************************************
.
Zeit der Fertigstellung: 2008-09-06 22:55:39 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-09-06 20:55:36
ComboFix2.txt 2008-09-06 12:17:13
ComboFix3.txt 2008-09-05 19:45:26
ComboFix4.txt 2008-09-05 17:35:01

Pre-Run: 59,574,910,976 Bytes frei
Post-Run: 59,565,629,440 Bytes frei

116 --- E O F --- 2008-08-14 08:52:14


einen schönen Abend

Hallo Sunny,

bist du noch da? Bitte melde dich kurz, damit ich weiß, ob es weiter gehen kann.

Danke

Hallo,

kann mir irgendjemand weiter helfen. Habe bisher alle vorgeschlagenen Schritte beherzigt und würde das Problem gerne abschliessen. Kann mal jemand über den letzte Log drüber schauen? Das wäre sehr nett.

viele Grüße

Sorry, hatte wenig Zeit in den letzten Stunden.

Jetzt gehts weiter:



Dateien Online überprüfen lassen:

• Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

• Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

• Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

• Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

• Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

(Ein Dank an Myrtille für die Verstärkung :bussi: )

Hallo Sunny,

schön wieder von dir zu hören. Ich hab schon gemerkt, dass ganz schön viel los ist...

Hier das Ergebnis von Virustotal:

Datei Uninstall_CDS.exe empfangen 2008.09.08 20:46:40 (CET)
Status: Beendet
Ergebnis: 0/36 (0%)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.9.6.0 2008.09.08 -
AntiVir 7.8.1.28 2008.09.08 -
Authentium 5.1.0.4 2008.09.08 -
Avast 4.8.1195.0 2008.09.08 -
AVG 8.0.0.161 2008.09.08 -
BitDefender 7.2 2008.09.08 -
CAT-QuickHeal 9.50 2008.09.06 -
ClamAV 0.93.1 2008.09.08 -
DrWeb 4.44.0.09170 2008.09.08 -
eSafe 7.0.17.0 2008.09.07 -
eTrust-Vet 31.6.6077 2008.09.08 -
Ewido 4.0 2008.09.08 -
F-Prot 4.4.4.56 2008.09.08 -
F-Secure 8.0.14332.0 2008.09.08 -
Fortinet 3.112.0.0 2008.09.08 -
GData 19 2008.09.08 -
Ikarus T3.1.1.34.0 2008.09.08 -
K7AntiVirus 7.10.446 2008.09.08 -
Kaspersky 7.0.0.125 2008.09.08 -
McAfee 5379 2008.09.08 -
Microsoft 1.3903 2008.09.08 -
NOD32v2 3426 2008.09.08 -
Norman 5.80.02 2008.09.08 -
Panda 9.0.0.4 2008.09.08 -
PCTools 4.4.2.0 2008.09.08 -
Prevx1 V2 2008.09.08 -
Rising 20.61.02.00 2008.09.08 -
Sophos 4.33.0 2008.09.08 -
Sunbelt 3.1.1616.1 2008.09.07 -
Symantec 10 2008.09.08 -
TheHacker 6.3.0.8.075 2008.09.06 -
TrendMicro 8.700.0.1004 2008.09.08 -
VBA32 3.12.8.5 2008.09.08 -
ViRobot 2008.9.8.1367 2008.09.08 -
VirusBuster 4.5.11.0 2008.09.08 -
Webwasher-Gateway 6.6.2 2008.09.08 -
weitere Informationen
File size: 40960 bytes
MD5...: ab485c92592a3ee01572910e3cb26243
SHA1..: e745ce993bc829e045ff84fb61a2cf34221ccc9b
SHA256: 31356ad2c96230999e078f747b137a6bcb4105840abcc6b5cdecbee18530bce7
SHA512: 398ab0411aa326e85b48923f59c70b54c01c4747ea554afc11a22e4b9d012b1fc87f627b76272bdd845b63831bd4addd5468d11cafb391949ce3a162f6e08c57
PEiD..: Armadillo v1.71
TrID..: File type identificationWin64 Executable Generic (59.6%)Win32 Executable MS Visual C++ (generic) (26.2%)Win32 Executable Generic (5.9%)Win32 Dynamic Link Library (generic) (5.2%)Generic Win/DOS Executable (1.3%)
PEInfo: PE Structure information( base data )entrypointaddress.: 0x401dd0timedatestamp.....: 0x404ff8b9 (Thu Mar 11 05:27:21 2004)machinetype.......: 0x14c (I386)( 4 sections )name viradd virsiz rawdsiz ntrpy md5.text 0x1000 0x47d4 0x5000 6.17 d2c028ec6e5dabed76fd60424bb693cc.rdata 0x6000 0x998 0x1000 3.71 a9b275ffd086301fd91dfe940edf99ab.data 0x7000 0x221c 0x1000 3.14 2bd2989cee70d2788ce5250e7524abc1.rsrc 0xa000 0x1be0 0x2000 4.12 513abc3f245ad9abf5dc00b39b6e9553( 3 imports ) > KERNEL32.dll: GetLastError, GetSystemDirectoryA, GetWindowsDirectoryA, CreateProcessA, GetVersionExA, GetEnvironmentStringsW, VirtualFree, HeapCreate, CloseHandle, GetModuleHandleA, GetStartupInfoA, GetCommandLineA, GetVersion, ExitProcess, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, GetModuleFileNameA, FreeEnvironmentStringsA, FreeEnvironmentStringsW, WideCharToMultiByte, GetEnvironmentStrings, WaitForSingleObject, SetHandleCount, GetStdHandle, GetFileType, HeapDestroy, FlushFileBuffers, HeapReAlloc, HeapFree, RtlUnwind, WriteFile, SetFilePointer, GetCPInfo, GetACP, GetOEMCP, HeapAlloc, VirtualAlloc, MultiByteToWideChar, GetProcAddress, LoadLibraryA, SetStdHandle, LCMapStringA, LCMapStringW, GetStringTypeA, GetStringTypeW> USER32.dll: SendMessageA, FindWindowA> ADVAPI32.dll: RegFlushKey, RegCloseKey, RegOpenKeyExA, RegQueryValueExA( 0 exports )


Datei NewName_V1_02f.exe empfangen 2008.09.08 20:51:54 (CET)
Status: Beendet
Ergebnis: 0/36 (0%)
Filter
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.9.6.0 2008.09.08 -
AntiVir 7.8.1.28 2008.09.08 -
Authentium 5.1.0.4 2008.09.08 -
Avast 4.8.1195.0 2008.09.08 -
AVG 8.0.0.161 2008.09.08 -
BitDefender 7.2 2008.09.08 -
CAT-QuickHeal 9.50 2008.09.06 -
ClamAV 0.93.1 2008.09.08 -
DrWeb 4.44.0.09170 2008.09.08 -
eSafe 7.0.17.0 2008.09.07 -
eTrust-Vet 31.6.6077 2008.09.08 -
Ewido 4.0 2008.09.08 -
F-Prot 4.4.4.56 2008.09.08 -
F-Secure 8.0.14332.0 2008.09.08 -
Fortinet 3.112.0.0 2008.09.08 -
GData 19 2008.09.08 -
Ikarus T3.1.1.34.0 2008.09.08 -
K7AntiVirus 7.10.446 2008.09.08 -
Kaspersky 7.0.0.125 2008.09.08 -
McAfee 5379 2008.09.08 -
Microsoft 1.3903 2008.09.08 -
NOD32v2 3426 2008.09.08 -
Norman 5.80.02 2008.09.08 -
Panda 9.0.0.4 2008.09.08 -
PCTools 4.4.2.0 2008.09.08 -
Prevx1 V2 2008.09.08 -
Rising 20.61.02.00 2008.09.08 -
Sophos 4.33.0 2008.09.08 -
Sunbelt 3.1.1616.1 2008.09.07 -
Symantec 10 2008.09.08 -
TheHacker 6.3.0.8.075 2008.09.06 -
TrendMicro 8.700.0.1004 2008.09.08 -
VBA32 3.12.8.5 2008.09.08 -
ViRobot 2008.9.8.1367 2008.09.08 -
VirusBuster 4.5.11.0 2008.09.08 -
Webwasher-Gateway 6.6.2 2008.09.08 -
weitere Informationen
File size: 343040 bytes
MD5...: ef65c5c6866de46f1ff5858de0e574c8
SHA1..: f008b6fc918492e83cc65b00323540b20dd7cee5
SHA256: 1d949d00a65c14eac58cf99b5e5c26f5deb732dae0fec69e2db0ea61c5a6442c
SHA512: f1e98d936d8041ccaf968aab26d8a6f9ed3943d8a1577b9d98bcc58f13301df262849352c43ae1b65563dcd49c61f61b7bda59e20c6be34a9b91d018a19ffaf8
PEiD..: -
TrID..: File type identificationWin32 Executable Borland Delphi 5 (60.1%)Win32 Executable Borland Delphi 3 (34.9%)Win32 Executable Delphi generic (1.9%)Win32 Executable Generic (1.1%)Win32 Dynamic Link Library (generic) (1.0%)
PEInfo: PE Structure information( base data )entrypointaddress.: 0x4441f4timedatestamp.....: 0x2a425e19 (Fri Jun 19 22:22:17 1992)machinetype.......: 0x14c (I386)( 8 sections )name viradd virsiz rawdsiz ntrpy md5CODE 0x1000 0x43254 0x43400 6.43 02a850d50d2bb4a90fdd98ebe4a5d348DATA 0x45000 0xc58 0xe00 3.63 dc1f16640194accf010540574b9f001fBSS 0x46000 0x7a9 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e.idata 0x47000 0x1ef6 0x2000 4.91 b523c0cd5bb76d51f9bc54ca4f157eae.tls 0x49000 0x8 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e.rdata 0x4a000 0x18 0x200 0.20 bd7af56433f89d291414f31524da051e.reloc 0x4b000 0x4f88 0x5000 6.65 07eb58b0a4429f77392d98f577317e7c.rsrc 0x50000 0x8400 0x8400 4.80 93ccbae2f8d9d7e165267752418afca9( 12 imports ) > kernel32.dll: DeleteCriticalSection, LeaveCriticalSection, EnterCriticalSection, InitializeCriticalSection, VirtualFree, VirtualAlloc, LocalFree, LocalAlloc, VirtualQuery, WideCharToMultiByte, SetCurrentDirectoryA, MultiByteToWideChar, lstrlenA, lstrcpyA, LoadLibraryExA, GetThreadLocale, GetStartupInfoA, GetModuleFileNameA, GetLocaleInfoA, GetLastError, GetCurrentDirectoryA, GetCommandLineA, FreeLibrary, ExitProcess, WriteFile, SetFilePointer, SetEndOfFile, RtlUnwind, ReadFile, RaiseException, GetStdHandle, GetFileSize, GetFileType, CreateFileA, CloseHandle> user32.dll: GetKeyboardType, LoadStringA, MessageBoxA> advapi32.dll: RegQueryValueExA, RegOpenKeyExA, RegCloseKey> oleaut32.dll: VariantChangeTypeEx, VariantCopyInd, VariantClear, SysStringLen, SysFreeString, SysReAllocStringLen, SysAllocStringLen> kernel32.dll: TlsSetValue, TlsGetValue, LocalAlloc, GetModuleHandleA, GetModuleFileNameA> advapi32.dll: RegQueryValueExA, RegOpenKeyExA, RegCloseKey> kernel32.dll: WriteFile, WaitForSingleObject, VirtualQuery, VirtualAlloc, SizeofResource, SetThreadLocale, SetFilePointer, SetEvent, SetErrorMode, SetEndOfFile, ReadFile, MulDiv, MoveFileA, LockResource, LoadResource, LoadLibraryA, LeaveCriticalSection, InitializeCriticalSection, GlobalUnlock, GlobalReAlloc, GlobalHandle, GlobalLock, GlobalFree, GlobalDeleteAtom, GlobalAlloc, GlobalAddAtomA, GetVolumeInformationA, GetVersionExA, GetVersion, GetThreadLocale, GetSystemInfo, GetProcAddress, GetModuleHandleA, GetModuleFileNameA, GetLogicalDrives, GetLocaleInfoA, GetLastError, GetDriveTypeA, GetCurrentThreadId, GetCurrentProcessId, GetCPInfo, FreeResource, FreeLibrary, FormatMessageA, FindResourceA, FindNextFileA, FindFirstFileA, FindClose, FileTimeToLocalFileTime, FileTimeToDosDateTime, EnterCriticalSection, DeleteCriticalSection, CreateThread, CreateFileA, CreateEventA, CopyFileA, CompareStringA, CloseHandle> mpr.dll: WNetGetConnectionA> gdi32.dll: UnrealizeObject, TextOutA, StretchBlt, SetWindowOrgEx, SetWinMetaFileBits, SetViewportOrgEx, SetTextColor, SetStretchBltMode, SetROP2, SetPixel, SetEnhMetaFileBits, SetDIBColorTable, SetBrushOrgEx, SetBkMode, SetBkColor, SelectPalette, SelectObject, SaveDC, RestoreDC, Rectangle, RectVisible, RealizePalette, Polyline, PlayEnhMetaFile, PatBlt, MoveToEx, MaskBlt, LineTo, IntersectClipRect, GetWindowOrgEx, GetWinMetaFileBits, GetTextMetricsA, GetTextExtentPointA, GetSystemPaletteEntries, GetStockObject, GetPixel, GetPaletteEntries, GetObjectA, GetEnhMetaFilePaletteEntries, GetEnhMetaFileHeader, GetEnhMetaFileBits, GetDeviceCaps, GetDIBits, GetDIBColorTable, GetCurrentPositionEx, GetClipBox, GetBrushOrgEx, GetBitmapBits, ExcludeClipRect, EnumFontsA, EnumFontFamiliesExA, DeleteObject, DeleteEnhMetaFile, DeleteDC, CreateSolidBrush, CreateRectRgn, CreatePenIndirect, CreatePalette, CreateHalftonePalette, CreateFontIndirectA, CreateDIBitmap, CreateDIBSection, CreateCompatibleDC, CreateCompatibleBitmap, CreateBrushIndirect, CreateBitmap, CopyEnhMetaFileA, BitBlt> user32.dll: WindowFromPoint, WinHelpA, WaitMessage, UpdateWindow, UnregisterClassA, UnhookWindowsHookEx, TranslateMessage, TranslateMDISysAccel, TrackPopupMenu, SystemParametersInfoA, ShowWindow, ShowOwnedPopups, ShowCursor, SetWindowRgn, SetWindowsHookExA, SetWindowTextA, SetWindowPos, SetWindowPlacement, SetWindowLongA, SetTimer, SetScrollPos, SetScrollInfo, SetRect, SetPropA, SetMenu, SetForegroundWindow, SetFocus, SetCursor, SetCapture, SetActiveWindow, SendMessageA, ScrollWindow, ScreenToClient, RemovePropA, RemoveMenu, ReleaseDC, ReleaseCapture, RegisterWindowMessageA, RegisterClassA, RedrawWindow, PtInRect, PostQuitMessage, PostMessageA, PeekMessageA, OffsetRect, OemToCharA, MessageBoxA, MessageBeep, MapWindowPoints, MapVirtualKeyA, LoadStringA, LoadIconA, LoadCursorA, LoadBitmapA, KillTimer, IsZoomed, IsWindowVisible, IsWindowEnabled, IsWindow, IsRectEmpty, IsIconic, IsDialogMessageA, IsChild, InvalidateRect, IntersectRect, InsertMenuItemA, InsertMenuA, InflateRect, GetWindowThreadProcessId, GetWindowTextA, GetWindowRgn, GetWindowRect, GetWindowPlacement, GetWindowLongA, GetWindowDC, GetSystemMetrics, GetSystemMenu, GetSysColor, GetSubMenu, GetScrollPos, GetPropA, GetParent, GetWindow, GetMenuStringA, GetMenuState, GetMenuItemCount, GetMenu, GetLastActivePopup, GetKeyboardLayoutList, GetKeyboardLayout, GetKeyState, GetKeyNameTextA, GetIconInfo, GetForegroundWindow, GetFocus, GetDesktopWindow, GetDCEx, GetDC, GetCursorPos, GetCursor, GetClipboardData, GetClientRect, GetClassInfoA, GetCapture, GetActiveWindow, FrameRect, FillRect, EqualRect, EnumWindows, EnumThreadWindows, EndPaint, EndDeferWindowPos, EnableWindow, EnableMenuItem, DrawTextA, DrawMenuBar, DrawIcon, DrawFrameControl, DrawFocusRect, DrawEdge, DispatchMessageA, DestroyWindow, DestroyMenu, DestroyIcon, DestroyCursor, DeleteMenu, DeferWindowPos, DefWindowProcA, DefMDIChildProcA, DefFrameProcA, CreateWindowExA, CreatePopupMenu, CreateMenu, CreateIcon, ClientToScreen, CheckMenuItem, CallWindowProcA, CallNextHookEx, BeginPaint, BeginDeferWindowPos, CharLowerBuffA, CharLowerA, CharUpperBuffA, AdjustWindowRectEx, ActivateKeyboardLayout> comctl32.dll: ImageList_SetIconSize, ImageList_GetIconSize, ImageList_Write, ImageList_Read, ImageList_GetDragImage, ImageList_DragShowNolock, ImageList_SetDragCursorImage, ImageList_DragMove, ImageList_DragLeave, ImageList_DragEnter, ImageList_EndDrag, ImageList_BeginDrag, ImageList_Remove, ImageList_DrawEx, ImageList_Replace, ImageList_Draw, ImageList_GetBkColor, ImageList_SetBkColor, ImageList_ReplaceIcon, ImageList_Add, ImageList_GetImageCount, ImageList_Destroy, ImageList_Create, InitCommonControls> shell32.dll: ShellExecuteA( 0 exports )

viele Grüße

Bitte nochmal Spybot und den Teatimer deaktivieren, ganz wichtig!!!

Dann die Datei im Anhang herunterladen und auf dem Desktop speichern!
Dann die Datei wie beschrieben auf die combofix.exe ziehen und danach starten.

Hallo Sunny,

alles wie beschrieben. Ich wußte nicht genau wie ich den Teatimer ausstellen kann. Deswegen habe ich Spybot deinstalliert.

Hier das Log von ComboFix:

ComboFix 08-09-05.02 - Administrator 08.09.2008 22:49:46.5 - NTFSx86
Microsoft Windows 2000 Professional 5.0.2195.4.1252.1.1031.18.721 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Administrator\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Administrator\Desktop\cfscript.txt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((( Dateien erstellt von 2008-08-08 bis 2008-09-08 ))))))))))))))))))))))))))))))
.

2008-09-08 22:54 . 08-09-08 22:54 16,384 --a----t- C:\WINNT\system32\Perflib_Perfdata_4d8.dat
2008-09-04 14:21 . 08-09-04 14:21 <DIR> d-------- C:\Programme\Neuer Ordner
2008-09-04 14:20 . 08-09-04 14:20 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-09-04 14:20 . 08-09-04 14:20 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-09-04 14:20 . 08-09-04 14:20 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2008-09-04 14:20 . 08-09-02 00:16 38,528 --a------ C:\WINNT\system32\drivers\mbamswissarmy.sys
2008-09-04 14:20 . 08-09-02 00:16 17,200 --a------ C:\WINNT\system32\drivers\mbam.sys
2008-09-04 13:31 . 08-06-19 17:24 28,544 --a------ C:\WINNT\system32\drivers\pavboot.sys
2008-09-04 13:30 . 08-09-04 13:30 <DIR> d-------- C:\Programme\Panda Security

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-08 20:15 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-09-08 20:15 --------- d-----w C:\Programme\Spybot - Search & Destroy
2008-09-04 12:22 --------- d-----w C:\Programme\Trend Micro
2008-09-04 02:17 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\avg7
2008-09-03 23:35 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\AVG7
2008-07-31 15:58 --------- d-----w C:\Programme\FRITZ!DSL
2008-01-21 15:07 5,032,810 ------w C:\Programme\njass_1.1.exe
2006-10-03 21:09 466 ------w C:\Programme\Verknüpfung mit NewName V1_02f.lnk
2006-01-04 17:45 271 ---h--w C:\Programme\desktop.ini
2006-01-04 17:45 22,080 ---h--w C:\Programme\folder.htt
2004-03-11 11:27 40,960 ------w C:\Programme\Uninstall_CDS.exe
2000-06-16 20:42 343,040 ------r C:\Programme\NewName V1_02f.exe
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TuneUp MemOptimizer"="C:\Programme\TuneUp Utilities 2006\MemOptimizer.exe" [06-10-02 18:58 305152]
"updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [06-03-30 16:45 313472]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AVG7_CC"="C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe" [08-04-15 18:48 579584]
"Synchronization Manager"="mobsync.exe" [03-06-19 21:05 112400 C:\WINNT\system32\mobsync.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"AVG7_Run"="C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe" [07-10-25 12:05 219136]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"^SetupICWDesktop"="C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe" [03-06-19 21:05 189712]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"internat.exe"=internat.exe
"gencom"=C:\WINNT\system32\xspwtizq.exe
"cccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccexe"=ccccccccccccccccccccccccccc cccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccexe
"SpybotSD TeaTimer"=C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Ulead AutoDetector"=C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe
"NeroFilterCheck"=C:\WINNT\system32\NeroCheck.exe
"SunJavaUpdateSched"=C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
"ATICCC"="C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
"SoundMan"=SOUNDMAN.EXE
"cccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccexe"=ccccccccccccccccccccccccccc cccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccexe

R0 pavboot;pavboot;C:\WINNT\system32\drivers\pavboot.sys [08-06-19 17:24 28544]
R1 Avg7RsNT;AVG7 Resident Driver NT;C:\WINNT\system32\Drivers\avg7rsnt.sys [07-02-24 20:21 26944]
R3 usbhub20;USB 2.0-Root-Hub-Support;C:\WINNT\system32\DRIVERS\usbhub20.sys [03-06-19 21:05 49776]
S1 sglfb;sglfb;C:\WINNT\system32\drivers\sglfb.sys [99-12-10 14:00 6992]
S3 openhci;Microsoft USB-Open Host-Controllertreiber;C:\WINNT\system32\DRIVERS\openhci.sys [03-06-19 21:05 24784]
S3 SiS630;SiS630;C:\WINNT\system32\DRIVERS\sis630p.sys [01-08-17 13:00 105595]
.
Inhalt des "geplante Tasks" Ordners
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-08 22:54:33
Windows 5.0.2195 Service Pack 4 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-09-08 23:00:29 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-09-08 21:00:27
ComboFix2.txt 2008-09-06 20:55:40
ComboFix3.txt 2008-09-06 12:17:13
ComboFix4.txt 2008-09-05 19:45:26
ComboFix5.txt 2008-09-08 20:49:33

Pre-Run: 59,645,177,856 Bytes frei
Post-Run: 59,636,056,064 Bytes frei

viele Grüße

Hi,

führe bitte die angehängte Datei aus und poste den Inhalt der sich öffnenden Datei dann hier.

lg myrtille

Hallo Myrtille,

danke für deine Hilfe.

Hier der Inhalt der Datei:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Ulead AutoDetector"="C:\\Programme\\Ulead Systems\\Ulead Photo Explorer 8.0 SE Basic\\Monitor.exe"
"NeroFilterCheck"="C:\\WINNT\\system32\\NeroCheck.exe"
"SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_06\\bin\\jusched.exe"
"ATICCC"="\"C:\\Programme\\ATI Technologies\\ATI.ACE\\cli.exe\" runtime -Delay"
"SoundMan"="SOUNDMAN.EXE"
"cccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccexe"="cccccccccccccccccccccccccc ccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccexe"

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"internat.exe"="internat.exe"
"gencom"="C:\\WINNT\\system32\\xspwtizq.exe"
"cccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccexe"="cccccccccccccccccccccccccc ccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccexe"
"SpybotSD TeaTimer"="C:\\Programme\\Spybot - Search & Destroy\\TeaTimer.exe"

viele Grüße

Hi,

Erstell ein neues Log mit Malwarebytes. (Malwarebytes vorher aktualisieren)

Erstelle bitte auch ein Log mit RSIT. Es werden 2 Dateien erstellt (log.txt und info.txt). Poste den Inhalt beider Dateien hier

Hallo,

hier erst einmal die Log von RSIT:
info.txt:

info.txt logfile of random's system information tool 2008-09-09 17:07:31

Uninstall list

(Not) Just another Space Shooter-->C:\Programme\(Not) Just another Space Shooter\Uninstal.exe
-->C:\Programme\Ahead\nero\uninstall\UNNERO.exe /UNINSTALL
-->C:\WINNT\$NtServicePackUninstall$\spuninst\spuninst.exe
-->C:\WINNT\UNNeroVision.exe /UNINSTALL
-->C:\WINNT\UNNMP.exe /UNINSTALL
123 Free Solitaire-->C:\PROGRA~1\123FRE~1\UNWISE.EXE C:\PROGRA~1\123FRE~1\INSTALL.LOG
3DMark03-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{FF35F637-72B9-43BE-A281-06EB2854393A}\Setup.exe" -l0x9
ABBYY FineReader 5.0 Sprint-->MsiExec.exe /X{D1696920-9794-4BBC-8A30-7A88763DE5A2}
ABBYY FineReader 6.0-->MsiExec.exe /I{AF600F7B-67A7-48D9-BA3B-0FF97F35F970}
ABBYY FineReader OCR Engine-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{345C90FB-FA10-11D5-9C2A-0080C85A0C2D}\setup.exe"
Ad-Aware SE Personal-->C:\PROGRA~1\Lavasoft\AD-AWA~1\UNWISE.EXE C:\PROGRA~1\Lavasoft\AD-AWA~1\INSTALL.LOG
Adobe Flash Player ActiveX-->C:\WINNT\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Photoshop 6.0-->C:\WINNT\ISUN0407.EXE -f"C:\Programme\Adobe\Photoshop 6.0\Uninst.isu" -c"C:\Programme\Adobe\Photoshop 6.0\Uninst.dll"
Adobe Reader 7.0.9 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A70900000002}
Adobe SVG Viewer-->C:\WINNT\IsUn0407.exe -f"C:\WINNT\System32\Adobe\SVG Viewer\Uninst.isu"
Adressen-->C:\Programme\Adressen\Setup\setup.exe
ANNO 1602-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{84F7CAD9-2316-4701-B5CA-E90FD60029E9}\SETUP.exe"
ATI - Software Uninstall Utility-->C:\Programme\ATI Technologies\UninstallAll\AtiCimUn.exe
ATI Catalyst Control Center-->MsiExec.exe /I{8270831B-8F2F-4B65-8E2C-9712054C38D1}
ATI Display Driver-->rundll32 C:\WINNT\system32\atiiiexx.dll,_InfEngUnInstallINFFile_RunDLL@16 -force_restart -flags:0x2010001 -inf_class:DISPLAY -clean
ATITool Overclocking Utility-->"C:\Programme\ATITool\Uninstall.exe"
AVG Free Edition-->C:\Programme\Grisoft\AVG Free\setup.exe /UNINSTALL
BeepFighter-->C:\WINNT\BeepFighter Uninstaller.exe
CCleaner (remove only)-->"C:\Programme\CCleaner\uninst.exe"
Deluxe Pacman (1.69b)-->"C:\Spiele 2\Deluxe Pacman\unins000.exe"
Doom Shareware for Windows 95-->C:\Programme\Doom\uninstl.exe /S C:\Programme\Doom
DVD Solution-->C:\Programme\Uninstall_CDS.exe
FireTune-->C:\WINNT\iun6002.exe "C:\Programme\FireTune\irunin.ini"
Free FLV Converter V 1.9-->"C:\Programme\Free FLV Converter\unins000.exe"
FRITZ!Box-->C:\Programme\FRITZ!Box\install.exe -d
Google Earth-->MsiExec.exe /I{1E04F83B-2AB9-4301-9EF7-E86307F79C72}
Haufe iDesk-Browser-->MsiExec.exe /X{043671DC-DE3A-4A5B-B7A2-34F7DF6F5523}
Haufe iDesk-Service-->MsiExec.exe /X{A4E86B6A-6EEC-41FD-8960-26947F0E3353}
HaufeReader-->C:\WINNT\IsUn0407.exe -fC:\Programme\Haufe\HaufeReader\HaufeReader.isu
HijackThis 2.0.2-->"C:\Programme\Trend Micro\HijackThis\HijackThis.exe" /uninstall
Hotfix for MDAC 2.80 (KB911562)-->"C:\WINNT\$SQLUninstallMDAC28-KB911562-x86-DEU$\spuninst\spuninst.exe"
Hotfix for MDAC 2.80 (KB927779)-->"C:\WINNT\$SQLUninstallMDAC28-KB927779-x86-DEU$\spuninst\spuninst.exe"
HotKey-->C:\WINNT\IsUn0406.exe -fC:\Programme\TEXTware\HotKey\Uninst.isu
J2SE Runtime Environment 5.0 Update 5-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150050}
J2SE Runtime Environment 5.0 Update 6-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150060}
Java 2 Runtime Environment, SE v1.4.1_06-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{6B2F032F-CC54-11D7-9D67-00010240CE95}\setup.exe" Anytext
Java Web Start-->"C:\Programme\Java Web Start\uninst-javaws.exe"
Kaspersky Online Scanner-->C:\WINNT\system32\KASPER~1\KASPER~1\kavuninstall.exe
Magix Samplitude Professional v7.02-->C:\PROGRA~1\Magix\SAMPLI~1\UNWISE.EXE C:\PROGRA~1\Magix\SAMPLI~1\INSTALL.LOG
Malwarebytes' Anti-Malware-->"C:\Programme\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft .NET Framework 1.1 German Language Pack-->MsiExec.exe /X{E78BFA60-5393-4C38-82AB-E8019E464EB4}
Microsoft .NET Framework 1.1 Hotfix (KB928366)-->"C:\WINNT\Microsoft.NET\Framework\v1.1.4322\Updates\hotfix.exe" "C:\WINNT\Microsoft.NET\Framework\v1.1.4322\Updates\M928366\M928366Uninstall.msp"
Microsoft .NET Framework 1.1-->msiexec.exe /X {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 1.1-->MsiExec.exe /X{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 2.0 Language Pack - DEU-->C:\WINNT\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0 Language Pack - DEU\install.exe
Microsoft .NET Framework 2.0 Service Pack 1-->MsiExec.exe /I{B508B3F1-A24A-32C0-B310-85786919EF28}
Microsoft Internet Explorer 6 SP1-->rundll32 C:\WINNT\system32\setupwbv.dll,IE6Maintenance C:\Programme\Internet Explorer\Deinstallation von Internet Explorer\W2KEXCP.EXE /u
Microsoft Office 2000 SR-1 Premium-->MsiExec.exe /I{00000407-78E1-11D2-B60F-006097C998E7}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{A49F249F-0C91-497F-86DF-B2585E8E76B7}
Microsoft XML Parser und SDK-->MsiExec.exe /I{3E908702-AF35-4611-9518-955DA24B7E07}
Microsoft-Basissmartcard-Kryptografiedienstanbieterpaket-->"C:\WINNT\$NtUninstallbasecsp$\spuninst\spuninst.exe"
Mindgames Sudoku-->"C:\Programme\Mindgames\Sudoku\unins000.exe"
Mozilla Firefox (2.0.0.16)-->C:\Programme\Mozilla Firefox\uninstall\helper.exe
MSXML 4.0 SP2 (KB927978)-->MsiExec.exe /I{37477865-A3F1-4772-AD43-AAFC6BCFF99F}
MSXML 4.0 SP2 (KB936181)-->MsiExec.exe /I{C04E32E0-0416-434D-AFB9-6969D703A9EF}
Multimedia Launcher-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{1FBF6C24-C1FD-4101-A42B-0C564F9E8E79}\setup.exe" -uninstall
Nero Suite-->C:\Programme\Gemeinsame Dateien\Ahead\Uninstall\Setup.exe /uninstall
NetObjects Fusion 7-->C:\WINNT\IsUn0407.exe -f"c:\programme\NetObjects Fusion 7\Uninst.isu" -c"c:\programme\NetObjects Fusion 7\uninst.dll"
Nudansk med etymologi-->C:\WINNT\unin0406.exe -fC:\Polob32\Etym1\DeIsL1.isu
O&O Defrag 2000 Freeware Edition-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{E86E5246-AA7E-11D4-88C9-00105ADBE398}\Setup.exe"
Panda ActiveScan 2.0-->C:\Programme\Panda Security\ActiveScan 2.0\as2uninst.exe
PDFCreator Toolbar-->"C:\WINNT\PDFCreator_Toolbar_Uninstaller_9578.exe" _?=C:\Programme\PDFCreator Toolbar
PDFCreator-->"C:\WINNT\PDFCreator_Toolbar_Uninstaller_9578.exe" -hu _?=C:\Programme\PDFCreator Toolbar
PowerDirector-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{CB099890-1D5F-11D5-9EA9-0050BAE317E1}\setup.exe" -uninstall
Quicksteuer-Wissens-Center 2006-->C:\WINNT\IsUn0407.exe -fC:\PROGRAMME\DATA_BECKER\SSP2005_2006\QS3_06\QS3_06.isu
Realtek AC'97 Audio-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{FB08F381-6533-4108-B7DD-039E11FBC27E}\setup.exe" REMOVE
ScanWizard 5-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{B08D262E-D902-11D5-9C28-0080C85A0C2D}\setup.exe"
SHARP AL-1000 Serie-->C:\WINNT\IsUn0407.exe -fC:\Programmdateien\AL-1000\UninAl1k.isu -cC:\Programmdateien\AL-1000\_ISUSR32.DLL
Sicherheitsupdate for DirectX 9 (KB941568)-->"C:\WINNT\$NtUninstallKB941568_DX9$\spuninst\spuninst.exe"
Sicherheitsupdate for DirectX 9 (KB951698)-->"C:\WINNT\$NtUninstallKB951698_DX9$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows 2000 (KB904706)-->"C:\WINNT\$NtUninstallKB904706$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows 2000 (KB923689)-->"C:\WINNT\$NtUninstallKB923689$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows 2000 (KB941569)-->"C:\WINNT\$NtUninstallKB941569$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player (KB911564)-->"C:\WINNT\$NtUninstallKB911564$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player 6.4 (KB925398)-->"C:\WINNT\$NtUninstallKB925398_WMP64$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player 7.1 (KB911565)-->"C:\WINNT\$NtUninstallKB911565$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player 7.1 (KB917734)-->"C:\WINNT\$NtUninstallKB917734_WMP7$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player 9 (KB917734)-->"C:\WINNT\$NtUninstallKB917734_WMP9$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player 9 (KB936782)-->"C:\WINNT\$NtUninstallKB936782_WMP9$\spuninst\spuninst.exe"
SiS 900 PCI Fast Ethernet Adapter Driver-->C:\Progra~1\SiSLan\Uninst.exe
SiS Audio Driver-->C:\Progra~1\SiS7018\Uninst\uninst2k.exe PCI\VEN_1039&DEV_7018
Spiel für Excel97 2000-->C:\WINNT\uninstall\Spiel für Excel97 2000\setup.exe
Steuer 2006-->C:\Programme\InstallShield Installation Information\{123D40B5-66EF-4F41-A2BA-0B74D0D1C8B3}\Setup.exe -runfromtemp -l0x0007 -removeonly
Steuer 2007-->C:\Programme\InstallShield Installation Information\{5E8C42DD-7E43-462C-84CC-99E5BBE3E101}\Setup.exe -runfromtemp -l0x0007 -removeonly
Steuer Hilfesammlung-->MsiExec.exe /X{B754B683-E23C-4583-9312-50AD86836B42}
Steuer Hilfesammlung-->MsiExec.exe /X{D777130E-86A9-428C-B7E6-9EFBCAB4E4CC}
TrueCrypt-->"C:\Programme\TrueCrypt2\TrueCrypt Setup.exe" /u C:\Programme\TrueCrypt2\
TuneUp Utilities 2006-->MsiExec.exe /I{868D7896-99D4-4513-BC62-2B3AD3E24926}
Ulead Photo Explorer 8.0 SE Basic-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0700\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{D271DAE0-8D68-4C97-8356-A126D48A1D8C}\Setup.exe" -l0x7
Updaterollup 1 für Windows 2000 SP4-->"C:\WINNT\$NtUpdateRollupPackUninstall$\spuninst\spuninst.exe"
VideoLAN VLC media player 0.8.6c-->C:\Programme\VideoLAN\VLC\uninstall.exe
Westwood Gemeinsam benutzte Internet-Komponenten-->C:\Westwood\Internet\UNINSTAP.EXE
Windows 2000-Hotfix - KB908519-->"C:\WINNT\$NtUninstallKB908519$\spuninst\spuninst.exe"
Windows 2000-Hotfix - KB908531-->"C:\WINNT\$NtUninstallKB908531$\spuninst\spuninst.exe"
Windows 2000-Hotfix - KB911280-->"C:\WINNT\$NtUninstallKB911280$\spuninst\spuninst.exe"
Windows 2000-Hotfix - KB911567-->"C:\WINNT\$NtUninstallKB911567-OE6SP1-20060316.165634$\spuninst\spuninst.exe"
Windows 2000-Hotfix - KB912812-->"C:\WINNT\$NtUninstallKB912812-IE6SP1-20060322.182418$\spuninst\spuninst.exe"
Windows 2000-Hotfix - KB912919-->"C:\WINNT\$NtUninstallKB912919$\spuninst\spuninst.exe"
Windows 2000-Hotfix - KB913580-->"C:\WINNT\$NtUninstallKB913580$\spuninst\spuninst.exe"
Windows 2000-Hotfix - KB914388-->"C:\WINNT\$NtUninstallKB914388$\spuninst\spuninst.exe"
Windows 2000-Hotfix - KB914389-->"C:\WINNT\$NtUninstallKB914389$\spuninst\spuninst.exe"
Windows 2000-Hotfix - KB916281-->"C:\WINNT\$NtUninstallKB916281-IE6SP1-20060526.162249$\spuninst\spuninst.exe"
Windows 2000-Hotfix - KB917008-->"C:\WINNT\$NtUninstallKB917008$\spuninst\spuninst.exe"
Windows 2000-Hotfix - KB917159-->"C:\WINNT\$NtUninstallKB917159$\spuninst\spuninst.exe"
Windows 2000-Hotfix - KB917422-->"C:\WINNT\$NtUninstallKB917422$\spuninst\spuninst.exe"
Windows 2000-Hotfix - KB917537-->"C:\WINNT\$NtUninstallKB917537$\spuninst\spuninst.exe"
Windows 2000-Hotfix - KB917736-->"C:\WINNT\$NtUninstallKB917736$\spuninst\spuninst.exe"
Windows 2000-Hotfix - KB917953-->"C:\WINNT\$NtUninstallKB917953$\spuninst\spuninst.exe"
Windows 2000-Hotfix - KB918118-->"C:\WINNT\$NtUninstallKB918118$\spuninst\spuninst.exe"
Windows 2000-Hotfix - KB918899-->"C:\WINNT\$NtUninstallKB918899-IE6SP1-20060725.123917$\spuninst\spuninst.exe"
Windows 2000-Hotfix - KB920213-->"C:\WINNT\$NtUninstallKB920213$\spuninst\spuninst.exe"
Windows 2000-Hotfix - KB920670-->"C:\WINNT\$NtUninstallKB920670$\spuninst\spuninst.exe"
Windows 2000-Hotfix - KB920683-->"C:\WINNT\$NtUninstallKB920683$\spuninst\spuninst.exe"
Windows 2000-Hotfix - KB920685-->"C:\WINNT\$NtUninstallKB920685$\spuninst\spuninst.exe"
Windows 2000-Hotfix - KB920958-->"C:\WINNT\$NtUninstallKB920958$\spuninst\spuninst.exe"
Windows 2000-Hotfix - KB921398-->"C:\WINNT\$NtUninstallKB921398$\spuninst\spuninst.exe"
Windows 2000-Hotfix - KB921503-->"C:\WINNT\$NtUninstallKB921503$\spuninst\spuninst.exe"
Windows 2000-Hotfix - KB921883-->"C:\WINNT\$NtUninstallKB921883$\spuninst\spuninst.exe"
Windows 2000-Hotfix - KB922582-->"C:\WINNT\$NtUninstallKB922582$\spuninst\spuninst.exe"
Windows 2000-Hotfix - KB922616-->"C:\WINNT\$NtUninstallKB922616$\spuninst\spuninst.exe"
Windows 2000-Hotfix - KB922760-->"C:\WINNT\$NtUninstallKB922760-IE6SP1-20061018.120000$\spuninst\spuninst.exe"
Windows 2000-Hotfix - KB923191-->"C:\WINNT\$NtUninstallKB923191$\spuninst\spuninst.exe"
Windows 2000-Hotfix - KB923414-->"C:\WINNT\$NtUninstallKB923414$\spuninst\spuninst.exe"
Windows 2000-Hotfix - KB923694-->"C:\WINNT\$NtUninstallKB923694-OE6SP1-20061106.120000$\spuninst\spuninst.exe"
Windows 2000-Hotfix - KB923810-->"C:\WINNT\$NtUninstallKB923810$\spuninst\spuninst.exe"
Windows 2000-Hotfix - KB923980-->"C:\WINNT\$NtUninstallKB923980$\spuninst\spuninst.exe"
Windows 2000-Hotfix - KB924191-->"C:\WINNT\$NtUninstallKB924191$\spuninst\spuninst.exe"
Windows 2000-Hotfix - KB924270-->"C:\WINNT\$NtUninstallKB924270$\spuninst\spuninst.exe"
Windows 2000-Hotfix - KB924667-->"C:\WINNT\$NtUninstallKB924667$\spuninst\spuninst.exe"
Windows 2000-Hotfix - KB925454-->"C:\WINNT\$NtUninstallKB925454-IE6SP1-20061116.120000$\spuninst\spuninst.exe"
Windows 2000-Hotfix - KB925486-->"C:\WINNT\$NtUninstallKB925486-IE6SP1-20060918.120000$\spuninst\spuninst.exe"
Windows 2000-Hotfix - KB925902-->"C:\WINNT\$NtUninstallKB925902$\spuninst\spuninst.exe"
Windows 2000-Hotfix - KB926122-->"C:\WINNT\$NtUninstallKB926122$\spuninst\spuninst.exe"
Windows 2000-Hotfix - KB926436-->"C:\WINNT\$NtUninstallKB926436$\spuninst\spuninst.exe"
Windows 2000-Hotfix - KB927891-->"C:\WINNT\$NtUninstallKB927891$\spuninst\spuninst.exe"
Windows 2000-Hotfix - KB928090-->"C:\WINNT\$NtUninstallKB928090-IE6SP1-20070125.120000$\spuninst\spuninst.exe"
Windows 2000-Hotfix - KB928843-->"C:\WINNT\$NtUninstallKB928843$\spuninst\spuninst.exe"
Windows 2000-Hotfix - KB929969-->"C:\WINNT\$NtUninstallKB929969-IE6SP1-20061220.120000$\spuninst\spuninst.exe"
Windows 2000-Hotfix - KB930178-->"C:\WINNT\$NtUninstallKB930178$\spuninst\spuninst.exe"
Windows 2000-Hotfix - KB931768-->"C:\WINNT\$NtUninstallKB931768-IE6SP1-20070219.120000$\spuninst\spuninst.exe"
Windows 2000-Hotfix - KB931784-->"C:\WINNT\$NtUninstallKB931784$\spuninst\spuninst.exe"
Windows 2000-Hotfix - KB932168-->"C:\WINNT\$NtUninstallKB932168$\spuninst\spuninst.exe"
Windows 2000-Hotfix - KB933566-->"C:\WINNT\$NtUninstallKB933566-IE6SP1-20070417.120000$\spuninst\spuninst.exe"
Windows 2000-Hotfix - KB933729-->"C:\WINNT\$NtUninstallKB933729$\spuninst\spuninst.exe"
Windows 2000-Hotfix - KB935839-->"C:\WINNT\$NtUninstallKB935839$\spuninst\spuninst.exe"
Windows 2000-Hotfix - KB935840-->"C:\WINNT\$NtUninstallKB935840$\spuninst\spuninst.exe"
Windows 2000-Hotfix - KB936021-->"C:\WINNT\$NtUninstallKB936021$\spuninst\spuninst.exe"
Windows 2000-Hotfix - KB937143-->"C:\WINNT\$NtUninstallKB937143-IE6SP1-20070717.120000$\spuninst\spuninst.exe"
Windows 2000-Hotfix - KB937894-->"C:\WINNT\$NtUninstallKB937894$\spuninst\spuninst.exe"
Windows 2000-Hotfix - KB938127-->"C:\WINNT\$NtUninstallKB938127-IE6SP1-20070626.120000$\spuninst\spuninst.exe"
Windows 2000-Hotfix - KB938827-->"C:\WINNT\$NtUninstallKB938827$\spuninst\spuninst.exe"
Windows 2000-Hotfix - KB938829-->"C:\WINNT\$NtUninstallKB938829$\spuninst\spuninst.exe"
Windows 2000-Hotfix - KB939653-->"C:\WINNT\$NtUninstallKB939653-IE6SP1-20070817.120000$\spuninst\spuninst.exe"
Windows 2000-Hotfix - KB941202-->"C:\WINNT\$NtUninstallKB941202-OE6SP1-20070820.120000$\spuninst\spuninst.exe"
Windows 2000-Hotfix - KB941644-->"C:\WINNT\$NtUninstallKB941644$\spuninst\spuninst.exe"
Windows 2000-Hotfix - KB941693-->"C:\WINNT\$NtUninstallKB941693$\spuninst\spuninst.exe"
Windows 2000-Hotfix - KB942615-->"C:\WINNT\$NtUninstallKB942615-IE6SP1-20071029.120000$\spuninst\spuninst.exe"
Windows 2000-Hotfix - KB943055-->"C:\WINNT\$NtUninstallKB943055$\spuninst\spuninst.exe"
Windows 2000-Hotfix - KB943485-->"C:\WINNT\$NtUninstallKB943485$\spuninst\spuninst.exe"
Windows 2000-Hotfix - KB944338-->"C:\WINNT\$NtUninstallKB944338$\spuninst\spuninst.exe"
Windows 2000-Hotfix - KB944533-->"C:\WINNT\$NtUninstallKB944533-IE6SP1-20071210.120000$\spuninst\spuninst.exe"
Windows 2000-Hotfix - KB945553-->"C:\WINNT\$NtUninstallKB945553$\spuninst\spuninst.exe"
Windows 2000-Hotfix - KB947864-->"C:\WINNT\$NtUninstallKB947864-IE6SP1-20080215.120000$\spuninst\spuninst.exe"
Windows 2000-Hotfix - KB948590-->"C:\WINNT\$NtUninstallKB948590$\spuninst\spuninst.exe"
Windows 2000-Hotfix - KB948881-->"C:\WINNT\$NtUninstallKB948881-IE6SP1-20080313.120000$\spuninst\spuninst.exe"
Windows 2000-Hotfix - KB950749-->"C:\WINNT\$NtUninstallKB950749$\spuninst\spuninst.exe"
Windows 2000-Hotfix - KB950759-->"C:\WINNT\$NtUninstallKB950759-IE6SP1-20080418.120000$\spuninst\spuninst.exe"
Windows 2000-Hotfix - KB950760-->"C:\WINNT\$NtUninstallKB950760$\spuninst\spuninst.exe"
Windows 2000-Hotfix - KB950974-->"C:\WINNT\$NtUninstallKB950974$\spuninst\spuninst.exe"
Windows 2000-Hotfix - KB951066-->"C:\WINNT\$NtUninstallKB951066-OE6SP1-20080625.120000$\spuninst\spuninst.exe"
Windows 2000-Hotfix - KB951748-->"C:\WINNT\$NtUninstallKB951748$\spuninst\spuninst.exe"
Windows 2000-Hotfix - KB952954-->"C:\WINNT\$NtUninstallKB952954$\spuninst\spuninst.exe"
Windows 2000-Hotfix - KB953838-->"C:\WINNT\$NtUninstallKB953838-IE6SP1-20080620.120000$\spuninst\spuninst.exe"
Windows 2000-Hotfix - KB953839-->"C:\WINNT\$NtUninstallKB953839$\spuninst\spuninst.exe"
Windows Genuine Advantage v1.3.0254.0-->MsiExec.exe /I{63569CE9-FA00-469C-AF5C-E5D4D93ACF91}
Windows Installer 3.1 (KB893803)-->"C:\WINNT\$MSI31Uninstall_KB893803v2$\spuninst\spuninst.exe"
Windows Media Player-Hotfix [Weitere Informationen finden Sie in Q828026]-->C:\WINNT\$NtUninstallQ828026$\spuninst\spuninst.exe
Windows Media Player-Systemupdate (9-Reihe)-->C:\PROGRA~1\WINDOW~2\setup_wm.exe /Uninstall
WinRAR Archivierer-->C:\Programme\WinRAR\uninstall.exe
WinZip-->"C:\WINZIP\WINZIP32.EXE" /uninstall

Environment variables

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Os2LibPath"=%SystemRoot%\system32\os2\dll;
"Path"=%systemroot%\system32;%systemroot%;%systemroot%\system32\wbem;C:\Programme\Gemeinsame Dateien\Ulead Systems\MPEG;C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD;C:\Programme\Haufe\iDesk\iDeskService;C:\Programme\ATI Technologies\ATI.ACE
"windir"=%SystemRoot%
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=15
"PROCESSOR_IDENTIFIER"=x86 Family 15 Model 4 Stepping 9, GenuineIntel
"PROCESSOR_REVISION"=0409
"NUMBER_OF_PROCESSORS"=1
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP

-----------------EOF-----------------


ganz schön viel Text

viele Grüße

und jetzt log.txt von RSIT:

Logfile of random's system information tool (written by random/random)
Run by Administrator at 2008-09-09 17:07:25
Microsoft Windows 2000 Professional Service Pack 4
System drive C: has 57 GB (75%) free of 76 GB
Total RAM: 1023 MB (72% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:07:29, on 09.09.2008
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINNT\System32\drivers\CDAC11BA.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\Programme\ScanWizard 5\ScannerFinder.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\RSIT.exe
C:\Programme\Trend Micro\HijackThis\Administrator.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Programme\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Programme\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2006\MemOptimizer.exe" autostart
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKUS\.DEFAULT\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: HotKey.lnk = C:\Programme\TEXTware\HotKey\TWALINK.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Scanner Finder.lnk = C:\Programme\ScanWizard 5\ScannerFinder.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=58813
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1133705718945
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1152625534172
O18 - Protocol: haufereader - (no CLSID) - (no file)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINNT\System32\drivers\CDAC11BA.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: O&O Defrag 2000 (OOD2000) - O&O Software GmbH - C:\WINNT\system32\OOD2000.exe

--
End of file - 4953 bytes

Scheduled tasks folder

C:\WINNT\tasks\1-Klick-Wartung.job

Registry dump

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
Adobe PDF Reader Link Helper - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll [2006-12-18 59032]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
SSVHelper Class - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll [2005-11-10 184423]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C451C08A-EC37-45DF-AAAD-18B51AB5E837}]
PDFCreator Toolbar Helper - C:\Programme\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll [2006-09-08 757760]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{8E718888-423F-11D2-876E-00A0C9082467} - @msdxmLC.dll,-1@1031,&Radio - C:\WINNT\system32\msdxm.ocx [2005-06-03 848144]
{31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - PDFCreator Toolbar - C:\Programme\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll [2006-09-08 757760]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Synchronization Manager"=C:\WINNT\system32\mobsync.exe [2003-06-19 112400]
"AVG7_CC"=C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe [2008-04-15 579584]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"TuneUp MemOptimizer"=C:\Programme\TuneUp Utilities 2006\MemOptimizer.exe [2006-10-02 305152]
"updateMgr"=C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe [2006-03-30 313472]

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
Adobe Gamma Loader.exe.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
HotKey.lnk - C:\Programme\TEXTware\HotKey\TWALINK.EXE
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office\OSA9.EXE
Scanner Finder.lnk - C:\Programme\ScanWizard 5\ScannerFinder.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent]
C:\WINNT\system32\Ati2evxx.dll [2006-01-25 61440]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

List of files/folders created in the last three months

2008-09-09 17:07:25 ----D---- C:\rsit
2008-09-09 17:06:50 ----SHD---- C:\RECYCLER
2008-09-08 23:00:33 ----D---- C:\WINNT\temp
2008-09-08 23:00:31 ----A---- C:\ComboFix.txt
2008-09-05 19:23:45 ----D---- C:\WINNT\erdnt
2008-09-05 19:22:27 ----A---- C:\WINNT\zip.exe
2008-09-05 19:22:27 ----A---- C:\WINNT\VFind.exe
2008-09-05 19:22:27 ----A---- C:\WINNT\swxcacls.exe
2008-09-05 19:22:27 ----A---- C:\WINNT\swsc.exe
2008-09-05 19:22:27 ----A---- C:\WINNT\swreg.exe
2008-09-05 19:22:27 ----A---- C:\WINNT\sed.exe
2008-09-05 19:22:27 ----A---- C:\WINNT\Nircmd.exe
2008-09-05 19:22:27 ----A---- C:\WINNT\grep.exe
2008-09-05 19:22:27 ----A---- C:\WINNT\fdsv.exe
2008-09-05 19:20:19 ----D---- C:\Qoobox
2008-09-04 14:21:41 ----D---- C:\Programme\Neuer Ordner
2008-09-04 14:20:10 ----D---- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2008-09-04 14:20:07 ----D---- C:\Programme\Malwarebytes' Anti-Malware
2008-09-04 14:20:07 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-09-04 13:30:49 ----D---- C:\Programme\Panda Security
2008-08-14 10:52:08 ----HDC---- C:\WINNT\$NtUninstallKB951066-OE6SP1-20080625.120000$
2008-08-14 10:50:46 ----HDC---- C:\WINNT\$NtUninstallKB952954$
2008-08-14 10:50:29 ----HDC---- C:\WINNT\$NtUninstallKB953838-IE6SP1-20080620.120000$
2008-08-14 10:50:16 ----HDC---- C:\WINNT\$NtUninstallKB953839$
2008-08-14 10:50:08 ----HDC---- C:\WINNT\$NtUninstallKB950974$
2008-07-10 12:00:06 ----A---- C:\WINNT\system32\es.dll
2008-07-09 20:35:56 ----HDC---- C:\WINNT\$NtUninstallKB951748$
2008-06-25 11:41:44 ----A---- C:\WINNT\system32\mswsock.dll
2008-06-25 11:41:44 ----A---- C:\WINNT\system32\msafd.dll
2008-06-25 11:41:44 ----A---- C:\WINNT\system32\dnsapi.dll
2008-06-20 12:15:52 ----A---- C:\WINNT\system32\WININET.DLL
2008-06-20 12:15:52 ----A---- C:\WINNT\system32\URLMON.DLL
2008-06-20 12:15:50 ----A---- C:\WINNT\system32\SHLWAPI.DLL
2008-06-20 12:15:48 ----A---- C:\WINNT\system32\SHDOCVW.DLL
2008-06-20 12:15:44 ----A---- C:\WINNT\system32\MSHTML.DLL
2008-06-20 12:15:40 ----A---- C:\WINNT\system32\BROWSEUI.DLL
2008-06-11 20:03:30 ----HDC---- C:\WINNT\$NtUninstallKB950760$
2008-06-11 20:02:16 ----HDC---- C:\WINNT\$NtUninstallKB950759-IE6SP1-20080418.120000$
2008-06-11 20:02:03 ----HDC---- C:\WINNT\$NtUninstallKB951698_DX9$

List of drivers

R1 ATITool;ATITool Overclocking Utility; C:\WINNT\system32\DRIVERS\ATITool.sys [2005-05-31 28160]
R1 Avg7Core;AVG7 Kernel; C:\WINNT\system32\System32\Drivers\avg7core.sys []
R1 Avg7RsNT;AVG7 Resident Driver NT; C:\WINNT\system32\System32\Drivers\avg7rsnt.sys []
R1 Avg7RsW;AVG7 Wrap Driver; C:\WINNT\system32\System32\Drivers\avg7rsw.sys []
R1 AvgClean;AVG7 Clean Driver; C:\WINNT\system32\System32\Drivers\avgclean.sys []
R1 Cdr4_2K;Cdr4_2K; C:\WINNT\system32\drivers\Cdr4_2K.sys [2006-07-11 58000]
R1 Cdralw2k;Cdralw2k; C:\WINNT\system32\drivers\Cdralw2k.sys [2006-07-11 23420]
R1 truecrypt;truecrypt; C:\WINNT\System32\drivers\truecrypt.sys [2007-05-03 188672]
R2 CdaC15BA;CdaC15BA; \??\C:\WINNT\System32\drivers\CDAC15BA.SYS []
R2 VSP1284D;VSP1284D; \??\C:\WINNT\System32\vsp1284d.sys []
R3 ALCXSENS;Service for WDM 3D Audio Driver; C:\WINNT\system32\drivers\ALCXSENS.SYS [2004-02-24 400384]
R3 ALCXWDM;Service for Realtek AC97 Audio (WDM); C:\WINNT\system32\drivers\ALCXWDM.SYS [2004-08-30 637713]
R3 ati2mtag;ati2mtag; C:\WINNT\system32\DRIVERS\ati2mtag.sys [2006-01-25 1478656]
R3 rtl8139;NT-Treiber für Realtek RTL8139-basierten PCI-Fast Ethernet-Adapter; C:\WINNT\System32\DRIVERS\RTL8139.SYS [1999-09-24 18704]
R3 uhcd;Universeller Microsoft USB-Hostcontrollertreiber; C:\WINNT\System32\DRIVERS\uhcd.sys [2003-06-19 32848]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINNT\System32\DRIVERS\usbehci.sys [2003-06-19 19728]
R3 usbhub;Microsoft USB-Standardhubtreiber; C:\WINNT\System32\DRIVERS\usbhub.sys [2003-06-19 40176]
R3 usbhub20;USB 2.0-Root-Hub-Support; C:\WINNT\System32\DRIVERS\usbhub20.sys [2003-06-19 49776]
R3 USBSTOR;USB-Massenspeichertreiber; C:\WINNT\System32\DRIVERS\USBSTOR.SYS [2003-06-19 21552]
S3 catchme;catchme; \??\C:\ComboFix\catchme.sys []
S3 CCDECODE;Closed Caption Decoder; C:\WINNT\System32\DRIVERS\CCDECODE.sys [2004-07-09 16384]
S3 ENTECH;ENTECH; \??\C:\WINNT\system32\DRIVERS\ENTECH.sys []
S3 MPE;BDA MPE Filter; C:\WINNT\System32\DRIVERS\MPE.sys [2004-07-09 15104]
S3 ms_mpu401;Microsoft MPU-401 MIDI UART-Treiber; C:\WINNT\system32\drivers\msmpu401.sys [1999-12-10 2832]
S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink Converter; C:\WINNT\system32\drivers\MSTEE.sys [2002-12-12 5504]
S3 NABTSFEC;NABTS/FEC VBI Codec; C:\WINNT\System32\DRIVERS\NABTSFEC.sys [2004-07-09 83968]
S3 openhci;Microsoft USB-Open Host-Controllertreiber; C:\WINNT\System32\DRIVERS\openhci.sys [2003-06-19 24784]
S3 Secdrv;Secdrv; \??\C:\WINNT\system32\drivers\SECDRV.SYS []
S3 SiS630;SiS630; C:\WINNT\System32\DRIVERS\sis630p.sys [2001-08-17 105595]
S3 SiS7018;Service for SiS7018 Driver (WDM); C:\WINNT\system32\drivers\sis7018.sys [2002-04-15 397934]
S3 SISNIC;SiS PCI Fast Ethernet Adapter Driver; C:\WINNT\System32\DRIVERS\sisnic.sys [2001-09-14 34915]
S3 SLIP;BDA Slip De-Framer; C:\WINNT\System32\DRIVERS\SLIP.sys [2004-07-09 10880]
S3 streamip;BDA IPSink; C:\WINNT\System32\DRIVERS\StreamIP.sys [2004-07-09 14976]
S3 usbscan;USB-Scannertreiber; C:\WINNT\System32\DRIVERS\usbscan.sys [2003-06-19 12592]
S3 WSTCODEC;World Standard Teletext Codec; C:\WINNT\System32\DRIVERS\WSTCODEC.SYS [2004-07-09 18688]
S4 WS2IFSL;Windows-Socket 2.0 Non-IFS-Dienstanbieter-Unterstützungsumgebung; C:\WINNT\system32\System32\drivers\ws2ifsl.sys []

List of services

R2 Ati HotKey Poller;Ati HotKey Poller; C:\WINNT\system32\Ati2evxx.exe [2006-01-25 405504]
R2 Avg7Alrt;AVG7 Alert Manager Server; C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe [2007-10-25 418816]
R2 Avg7UpdSvc;AVG7 Update Service; C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe [2007-01-04 49664]
R2 C-DillaCdaC11BA;C-DillaCdaC11BA; C:\WINNT\System32\drivers\CDAC11BA.EXE [2005-11-17 39936]
R2 StiSvc;Still Image Service; C:\WINNT\system32\stisvc.exe [2003-06-19 62224]
R2 WMDM PMSP Service;WMDM PMSP Service; C:\WINNT\system32\mspmspsv.exe [2001-10-01 53248]
S2 ATI Smart;ATI Smart; C:\WINNT\system32\ati2sgag.exe [2006-01-26 520192]
S2 OOD2000;O&O Defrag 2000; C:\WINNT\system32\OOD2000.exe [2001-04-06 238080]
S3 aspnet_state;ASP.NET-Zustandsdienst; C:\WINNT\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2007-10-24 33800]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINNT\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2007-10-24 70144]
S3 de_serv;AVM FRITZ!web Routing Service; C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe [2005-03-04 315392]
S3 IDriverT;InstallDriver Table Manager; C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe [2004-10-22 73728]
S3 WmdmPmSN;Dienst für Seriennummern der tragbaren Medien; C:\WINNT\System32\svchost.exe [1999-12-10 7952]

-----------------EOF-----------------

und zum Schluss Malewarebytes:

Malwarebytes' Anti-Malware 1.27
Datenbank Version: 1132
Windows 5.0.2195 Service Pack 4

09.09.2008 17:45:35
mbam-log-2008-09-09 (17-45-35).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 94522
Laufzeit: 35 minute(s), 19 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Qoobox\Quarantine\C\Programme\PCHealthCenter\1.exe.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\Programme\PCHealthCenter\3.exe.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\Programme\PCHealthCenter\4.exe.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully.


uff

viele Grüße

Hi,

das sieht alles recht gut aus. :)

Hast du noch Probleme?

lg myrtille

Hallo Myrtille,

na da kommt ja echt Freude auf. Probleme habe ich aktuell keine mehr. Es kam keine Meldung oder sonstiges Unkontrolliertes.

Heisst das, alles ist wieder heile?

Wenn dem so ist, so gib mir doch Bescheid wie man euch was Gutes tun kann. Gern auch eine Spende, wenn das in eurem Kreis üblich oder gern gesehen ist.

Eine so schnelle Hilfe ist wirklich eine grosse Erleichterung.

vielen Dank

Hi,
wenn du keine Probleme mehr hast, tue bitte Folgendes:

deinstallier bitte Combofix, indem du unter Start->Ausführen-> "%userprofile%\Desktop\combofix.exe" /u eingibst.
RSIT und Tb.bat kannst du einfach so löschen.

Ich würde dir empfehlen Malwarebytes zu behalten. :)

Deinstallier bitte über Start->Systemsteuerung->Software alle installierten Javaversionen und lade dir danach, wenn nötig, die neueste Javaversion von Sun herunter.

lg myrtille

Hallo Myrtille,

habe alle Anweisungen befolgt. Java ist neu installiert. Bisher funktioniert alles auf den ersten Blick ganz okay.

Wenn ich richtig verstehe, ist mein Computer damit clean...

wow, was eine Erleichterung.

Gibt es denn eine Möglichkeit, sich bei euch zu bedanken? Oder ist euch der Jubel am Schluss Dank genug?

Mein Angebot gilt...

viele Grüße

Peregrino

Heya,

wir sind mit dem Trubel am Schluss glücklich. :D

Deine Logs sind soweit sauber und wenn du keine Probleme mehr hast, dann sollte es das gewesen sein. :)

lg myrtille

Und ich danke myrtille das sie mir etwas unter die Arme gegriffen hat, hatte keine Zeit in den letzten Tagen.

Also myrtille -> :bussi: Danke!

Hey Leute

ich habe zur Zeit genau das gleiche Problem wie Peregrino.



[edit]
Bitte editiere zukünftig deine Links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

Danke.
Sunny
[/edit]

Hi Numen21, :)

Erstell bitte einen eigenes Thema. Nenne dort dein Betriebssystem, dein Antivirenprogramm, die Funde des Antivirenprogramm, sowie etwaige Probleme die du mit deinem Rechner derzeit hast.

lg myrtille