Trojaner-Board - Google Suchergebnisse werden entführt (Virus Restbestände?)

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Google Suchergebnisse werden entführt (Virus Restbestände?) (https://www.trojaner-board.de/61246-google-suchergebnisse-entfuehrt-virus-restbestaende.html)

Google Suchergebnisse werden entführt (Virus Restbestände?)

Hallo zusammen,

ich habe gestern einen miesen Virus gehabt der alle Google / Yahoo Suchen entführt hat, sowie Spybot Updates geblockt hat.

Beim Versuch diesen zu beseitigen (über abgesicherten Modus) kam es zu Komplikationen, so das ich Windows nur noch in der zuletzt bekannten funktionienden Konfiguration gestartet werden konnte.
Seitdem ist das eigentliche Problem behoben, Google geht wieder un gerade läuft ein Spybot Update durch.

Spybot hat auch noch einige Files vom Malwaretypen Smitfraud_C. gefunden und Antivir kotzt sich auch gerade die Seele aus.
Unter anderem betroffen sind die unter Windows/System32 liegenden Dateien tdssadw.dll, tdssinit.dll, TDSSI.dll, tdsslog.dll, tdssmain.dll, tdssserf.dll sowie unter /drivers/ tdssserv.sys.
Gemeldet werden verschiedene Trojaner, ein Backdoorprog sowie ein Rootkit. Zudem wurden auch Probleme mit der smart.dll festgestellt.

Da ich mir jetzt unsicher bin wie ich den Virus bzw. den ganzen Müll, dauerhaft und ohne Rückstände entfernen kann, frage ich euch was ich tun soll. SOll ich die Probleme von Spybot beheben lassen, oder die dll mit AntiVir löschen. was wäre das beste?

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 22:51:40, on 03.10.2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\AntiVir PersonalEdition Classic\sched.exe

C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\System32\CTsvcCDA.exe

C:\PROGRA~1\WinTV\EPG Services\System\EPGService.exe

C:\Programme\Hotspot Shield\bin\openvpnas.exe

C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\wanmpsvc.exe

C:\WINDOWS\System32\MsPMSPSv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\Dit.exe

C:\WINDOWS\Logi_MwX.Exe

C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe

C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE

C:\Programme\SlySoft\AnyDVD\AnyDVD.exe

C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\DitExp.exe

C:\Programme\Logitech\iTouch\iTouch.exe

C:\Programme\Saitek\Software\Profiler.exe

C:\Programme\Saitek\Software\SaiSmart.exe

C:\Programme\Saitek\Software\SaiMfd.exe

C:\Programme\ATI Technologies\ATI.ACE\cli.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\WinTV\Ir.exe

C:\Programme\Logitech\SetPoint\SetPoint.exe

C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE

C:\Programme\ATI Technologies\ATI.ACE\cli.exe

C:\Programme\ATI Technologies\ATI.ACE\cli.exe

D:\Programme\Trillian Astra\trillian.exe

C:\Programme\Mozilla Thunderbird\thunderbird.exe

C:\Programme\Spybot - Search & Destroy\SpybotSD.exe

C:\Programme\Mozilla Firefox\firefox.exe

C:\Dokumente und Einstellungen\Timo\Eigene Dateien\Eigene Downloads\HiJackThis(2).exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Programme\NetTransport 2\NTIEHelper.dll

O4 - HKLM\..\Run: [Dit] Dit.exe

O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe

O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r

O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE

O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r

O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe

O4 - HKLM\..\Run: [CTXFIREG] CTxfiReg.exe

O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile\Application Launcher\Application Launcher.exe" /startoptions

O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe

O4 - HKLM\..\Run: [Profiler] C:\Programme\Saitek\Software\Profiler.exe

O4 - HKLM\..\Run: [SaiSmart] C:\Programme\Saitek\Software\SaiSmart.exe

O4 - HKLM\..\Run: [SaiMfd] C:\Programme\Saitek\Software\SaiMfd.exe

O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe

O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe

O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe

O4 - Global Startup: ZyXEL G-220 Utility GUI.lnk = ?

O8 - Extra context menu item: Alles mit Net Transport herunterladen - C:\Programme\NetTransport 2\NTAddList.html

O8 - Extra context menu item: Herunterladen mit Net Transport - C:\Programme\NetTransport 2\NTAddLink.html

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll

O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL

O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe

O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O14 - IERESET.INF: START_PAGE_URL=http://www.medion.de

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1138310814046

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1138310807218

O16 - DPF: {D1E7CBDA-E60E-4970-A01C-37301EF7BF98} (Measurement Services Client v.3.11) - http://gameadvisor.futuremark.com/global/msc311.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{480E1472-B959-4335-A36E-8B973463ECDE}: NameServer = 10.111.176.1

O17 - HKLM\System\CS1\Services\Tcpip\..\{480E1472-B959-4335-A36E-8B973463ECDE}: NameServer = 10.111.176.1

O17 - HKLM\System\CS2\Services\Tcpip\..\{480E1472-B959-4335-A36E-8B973463ECDE}: NameServer = 10.111.176.1

O17 - HKLM\System\CS4\Services\Tcpip\..\{480E1472-B959-4335-A36E-8B973463ECDE}: NameServer = 10.111.176.1

O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe

O23 - Service: EPGService - Hauppauge Computer Works - C:\PROGRA~1\WinTV\EPG Services\System\EPGService.exe

O23 - Service: HauppaugeTVServer - Hauppauge Computer Works - C:\PROGRA~1\WinTV\HCWTVS~1.EXE

O23 - Service: Hotspot Shield Service (HotspotShieldService) - Unknown owner - C:\Programme\Hotspot Shield\bin\openvpnas.exe

O23 - Service: Hotspot Shield Tray Service (HssTrayService) - Unknown owner - C:\Programme\Hotspot Shield\bin\HssTrayService.EXE

O23 - Service: iPod Service - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe

O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR2a\RpcDataSrv.exe

O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR2a\RpcSandraSrv.exe

O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe
 

--

End of file - 8951 bytes

Spybot läuft gerade wie gesagt, und nen Malwarebytes Bericht reiche ich dann nach sobald der fertig ist. Vielleich hat ja jemand schon eine Idee.

Vielen Dank für eure Hilfe!

hi KennyRie und :hallo:

spybot kannste knicken, malwarebytes machen wir später.

SDFix

* Lade das SDFix herunter und speichere es auf deinem Desktop.

* Mach einen Doppelklick auf die Datei SDFix.exe, wähle installieren, um das Programm in seinen eigenen Ordner auf deinem Desktop zu entpacken.
* Starte deinen Rechner neu auf, in den abgesicherten Modus

* Öffne den neu entstandenen SDFix Ordner, mach einen Doppelklick auf die RunThis.bat, um das Skript zu starten.
* Gib ein Y ein, um den Reinigungsprozess zu beginnen.
* Das Programm wird alle Trojaner Dienste und die dazugehörigen Registrierungseinträge löschen, die es findet.
* Nun wirst du darum gebeten, eine Taste zu drücken, damit dein Rechner neu aufstarten kann.
* Drücke auf eine Taste. Jetzt wird dein Rechner neu aufgestartet.
* Wenn der Rechner neu aufgestartet ist, wird das Fixtool nocheinmal laufen, um den Reinigungsprozess zu vervollständigen.
* Wenn das Programm angibt, dass es beendet ist (Finished), drücke wieder auf irgendeine Taste, um das Skript zu beenden und deine Desktop Iconen wieder zu laden.
* Wenn die Desktop Icons wieder da sind, wird das Skript ein Fenster öffnen und das Ergebnis als einen Report.txt im Ordner SDFix speichern.
* Kopiere den Inhalt dieses Report.txt und poste ihn, zusammen mit einem neuen HijackThis Logfile in deinem nächsten Posting.

===

ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)

Hallo Schrauber und Danke für deine Antwort.

Direkt im Voraus, ich komm bei meinem Rechner nicht in den abgesicherten Modus rein, es kommt dann zu einem BlueScreen mit Hinweiß auf den Graphiktreiber, danach ist auch ein normaler Systemstart mit nem Absturz verbunden. (Daher hat sich das Problem mit den Google Suchen, auch gelöst, weil ich mit der zuletzt bekannt funktionierenden Konfiguration starten MUSSTE).

Deswegen weiß ich nicht inwiefern sowas wie SDFix funktioniert, wie gesagt, abgesicherter Modus geht leider nicht.

Grüße!
KennyRie

nimm zuerst combofix bitte.

Hallo Schrauber,

so hab ComboFix jetzt 2 mal laufen lassen, beim ersten mal wurden auch Dateien gelöscht, glücklichweise steht das auch im Log.

Der Grund warum ich Combofix 2x hab laufen lassen liegt darin, das beim neustarten über Kombofix, der Boot fehlgeschlagen ist mit der Begründung : Invalid_Kernel_Handle
Danach folgte ein normaler Bootvorgang, auch problemlos, jedoch wurde kein Log erstellt.
Deshalb der 2. Durchgang, diesmal erfolgreicher, hier der Log:

Code:

ComboFix 08-10-04.01 - *** 2008-10-04 19:31:03.2 - NTFSx86

Microsoft Windows XP Home Edition  5.1.2600.2.1252.1.1031.18.1570 [GMT 2:00]

ausgeführt von:: C:\Dokumente und Einstellungen\***\Desktop\ComboFix.exe
 
 Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!

.
 

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

---- Previous Run -------

.

C:\WINDOWS\system32\disk.dll

C:\WINDOWS\system32\MSINET.oca

C:\WINDOWS\system32\tdssadw.dll

C:\WINDOWS\system32\TDSSerrors.log

C:\WINDOWS\system32\tdssinit.dll

C:\WINDOWS\system32\tdssl.dll

C:\WINDOWS\system32\tdsslog.dll

C:\WINDOWS\system32\tdssmain.dll

C:\WINDOWS\system32\tdssserf.dll

C:\WINDOWS\system32\tdssservers.dat
 

.

(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))

.
 

-------\Legacy_NPF

-------\Service_NPF
 
 

(((((((((((((((((((((((   Dateien erstellt von 2008-09-04 bis 2008-10-04  ))))))))))))))))))))))))))))))

.
 

2008-10-03 23:21 . 2008-10-03 23:22        <DIR>        d--------        C:\Programme\Malwarebytes Anti-Malware

2008-10-03 23:21 . 2008-10-03 23:21        <DIR>        d--------        C:\Dokumente und Einstellungen\***\Anwendungsdaten\Malwarebytes

2008-10-03 23:21 . 2008-10-03 23:21        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes

2008-10-03 23:21 . 2008-09-10 00:04        38,528        --a------        C:\WINDOWS\system32\drivers\mbamswissarmy.sys

2008-10-03 23:21 . 2008-09-10 00:03        17,200        --a------        C:\WINDOWS\system32\drivers\mbam.sys

2008-10-02 15:14 . 2008-10-02 15:14        <DIR>        d--------        C:\Dokumente und Einstellungen\***\dwhelper

2008-10-02 13:56 . 2008-10-02 13:56        3,386        --a------        C:\WINDOWS\system32\tmp.reg

2008-10-02 09:31 . 2008-10-02 09:31        8,192        --a------        C:\WINDOWS\system32\tdssserf1.dll

2008-09-29 17:36 . 2008-09-29 17:44        <DIR>        d--------        C:\Dokumente und Einstellungen\***\Anwendungsdaten\Broken Sword 2.5

2008-09-23 12:45 . 2008-09-23 12:45        <DIR>        d--------        C:\Programme\eXpress TimeStamp Toucher
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-10-04 17:28        ---------        d-----w        C:\Programme\WinTV

2008-10-03 20:46        ---------        d-----w        C:\Programme\Spybot - Search & Destroy

2008-10-03 20:15        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic

2008-10-03 09:41        ---------        d-----w        C:\Programme\Mozilla Sunbird

2008-10-02 12:37        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy

2008-10-02 12:12        98,304        ----a-w        C:\WINDOWS\DUMP5b3f.tmp

2008-09-27 08:02        ---------        d-----w        C:\Programme\IKEA HomePlanner

2008-09-27 07:33        ---------        d-----w        C:\Programme\Gemeinsame Dateien\Wise Installation Wizard

2008-09-22 15:07        ---------        d-----w        C:\Dokumente und Einstellungen\***\Anwendungsdaten\Skype

2008-08-28 14:23        278,984        ----a-w        C:\WINDOWS\system32\drivers\atksgt.sys

2008-08-28 14:18        ---------        d--h--w        C:\Programme\InstallShield Installation Information

2008-08-28 14:17        ---------        d-----w        C:\Dokumente und Einstellungen\***\Anwendungsdaten\InstallShield

2008-08-09 22:31        ---------        d-----w        C:\Programme\Gemeinsame Dateien\IviSDK

2008-08-09 22:30        ---------        d-----w        C:\Programme\vtplus

2008-07-06 22:17        2,322,432        ----a-w        C:\WINDOWS\system32\TUKernel.exe

2008-07-06 08:38        691,545        ----a-w        C:\WINDOWS\unins000.exe

2008-07-06 08:33        36,864        ----a-w        C:\WINDOWS\system32\smart.dll

2008-01-25 15:36        61        --sh--w        C:\WINDOWS\cnerolf.dat

2005-08-06 15:52        56        --sh--r        C:\WINDOWS\system32\D52A533F4D.sys

2007-07-31 15:56        5,642        --sha-w        C:\WINDOWS\system32\KGyGaAvL.sys

.
 

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.

REGEDIT4
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360]

"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-09-16 1833296]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTSysVol"="C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe" [2003-07-02 57344]

"CTDVDDET"="C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE" [2003-06-18 45056]

"SBDrvDet"="C:\Programme\Creative\SB Drive Det\SBDrvDet.exe" [2002-12-03 45056]

"AnyDVD"="C:\Programme\SlySoft\AnyDVD\AnyDVD.exe" [2005-06-03 456192]

"Sony Ericsson PC Suite"="C:\Programme\Sony Ericsson\Mobile\Application Launcher\Application Launcher.exe" [2005-10-26 159744]

"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-19 266497]

"zBrowser Launcher"="C:\Programme\Logitech\iTouch\iTouch.exe" [2004-03-18 892928]

"Profiler"="C:\Programme\Saitek\Software\Profiler.exe" [2004-10-20 159744]

"SaiSmart"="C:\Programme\Saitek\Software\SaiSmart.exe" [2004-10-20 98304]

"SaiMfd"="C:\Programme\Saitek\Software\SaiMfd.exe" [2004-10-20 135168]

"ATICCC"="C:\Programme\ATI Technologies\ATI.ACE\cli.exe" [2006-01-02 45056]

"Dit"="Dit.exe" [2002-08-28 C:\WINDOWS\Dit.exe]

"Logitech Utility"="Logi_MwX.Exe" [2003-12-17 C:\WINDOWS\LOGI_MWX.EXE]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 15360]
 

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\

AutoStart IR.lnk - C:\Programme\WinTV\Ir.exe [2008-08-10 110647]

Logitech Desktop Messenger.lnk - C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe [2005-11-05 196608]

Logitech SetPoint.lnk - C:\Programme\Logitech\SetPoint\SetPoint.exe [2005-11-06 532480]

ZyXEL G-220 Utility GUI.lnk - C:\Programme\ZyXEL Communications Corporation\ZyXEL G-220 Utility\ZyXEL_G-220_GUI.exe [2007-03-28 1318912]
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]

"UIHost"="C:\\WINDOWS\\system32\\logonui.exe"
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"vidc.yv12"= yv12vfw.dll
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]

path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk

backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader Speed Launch.lnk]

path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader Speed Launch.lnk

backup=C:\WINDOWS\pss\Adobe Reader Speed Launch.lnkCommon Startup
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader Synchronizer.lnk]

path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader Synchronizer.lnk

backup=C:\WINDOWS\pss\Adobe Reader Synchronizer.lnkCommon Startup
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^WinZip Quick Pick.lnk]

path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\WinZip Quick Pick.lnk

backup=C:\WINDOWS\pss\WinZip Quick Pick.lnkCommon Startup
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^ZDWlan.lnk]

path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\ZDWlan.lnk

backup=C:\WINDOWS\pss\ZDWlan.lnkCommon Startup
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Agent]

--a------ 2002-09-26 16:49 69632 C:\Programme\Medion\PowerCinema\My_TV\Agent.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]

--a------ 2008-07-19 10:21 266497 C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CapFax]

--a------ 2001-12-10 17:34 20739 C:\Programme\Classic PhoneTools\capFax.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDTray]

--a------ 2005-05-19 15:47 57344 C:\Programme\SlySoft\CloneCD\CloneCDTray.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneDVDElbyDelay]

--a------ 2002-11-02 08:33 45056 C:\Programme\Elaborate Bytes\CloneDVD\ElbyCheck.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Microsoft Works Update Detection]

--a------ 2002-07-24 19:43 28672 C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\mmtask]

--a------ 2004-03-31 18:21 53248 C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MMTray]

--a------ 2004-03-31 18:21 114688 C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]

--a------ 2001-07-09 11:50 155648 C:\WINDOWS\system32\NeroCheck.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PhonostarTimer]

--a------ 2005-07-13 12:02 122880 C:\Programme\phonostar\ps_timer.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]

--a------ 2007-10-19 21:16 286720 C:\Programme\QuickTime\QTTask.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteCenter]

--a------ 2003-06-12 09:47 135168 C:\Programme\Creative\MediaSource\RemoteControl\RcMan.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]

--a------ 2005-01-12 04:01 32768 C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]

--a------ 2006-05-22 13:43 20440616 C:\Programme\Skype\Phone\Skype.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]

--a------ 2004-12-06 21:31 36975 C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]

--a------ 2005-10-26 22:37 180269 C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UpdReg]

--------- 2000-05-11 01:00 90112 C:\WINDOWS\Updreg.EXE
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WLAN Quick-Starter]

--------- 2005-01-19 10:51 909312 C:\Programme\WLAN Quick-Starter\WLAN Quick-Starter.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTHelper]

--a------ 2005-12-08 12:06 16384 C:\WINDOWS\CTHELPER.EXE
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]

--a------ 2002-08-15 12:46 46592 C:\WINDOWS\SOUNDMAN.EXE
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"iPod Service"=3 (0x3)

"HotspotShieldService"=2 (0x2)
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]

"AccG160"=C:\PROGRA~1\WLANQU~1\AccG160.exe
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"C:\\Programme\\Trillian\\trillian.exe"=

"D:\\Programme\\iTunes\\iTunes.exe"=

"C:\\Programme\\Skype\\Phone\\Skype.exe"=
 

R2 EPGService;EPGService;C:\PROGRA~1\WinTV\EPG Services\System\EPGService.exe [2007-09-05 374272]

R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 14336]

R3 Cap7134;MEDION (7134) WDM Video Capture;C:\WINDOWS\system32\DRIVERS\Cap7134.sys [2002-07-29 424704]

R3 hcw95bda;Hauppauge MOD7700 Tuner Driver;C:\WINDOWS\system32\Drivers\hcw95bda.sys [2007-06-04 467456]

R3 hcw95rc;Hauppauge MOD7700 IR Driver;C:\WINDOWS\system32\DRIVERS\hcw95rc.sys [2007-06-04 15488]

R3 PhTVTune;MEDION TV-TUNER 7134 MK2/3;C:\WINDOWS\system32\DRIVERS\PhTVTune.sys [2002-07-29 24288]

R3 tapvpn;TAP VPN Adapter;C:\WINDOWS\system32\DRIVERS\tapvpn.sys [2008-01-23 27136]

S3 gsplittm;gsplittm;C:\DOKUME~1\***\LOKALE~1\Temp\gsplittm.sys [ ]

S3 HauppaugeTVServer;HauppaugeTVServer;C:\PROGRA~1\WinTV\HCWTVS~1.EXE [2007-02-20 815104]

S3 HssTrayService;Hotspot Shield Tray Service;C:\Programme\Hotspot Shield\bin\HssTrayService.EXE [2008-07-24 30168]

S3 IIUSBISP;USB Mass Storage for USB ISP;C:\WINDOWS\system32\Drivers\iiusbisp.sys [ ]

S3 MXBULK;DualCam Still, MXBulk3.Sys;C:\WINDOWS\system32\Drivers\MXBulk3.sys [2002-01-22 50688]

S3 MXCap;DSC-06 Video Camera;C:\WINDOWS\system32\DRIVERS\MXCap3.sys [2002-04-17 63104]

S3 NSNDIS5;NSNDIS5 NDIS Protocol Driver;C:\WINDOWS\system32\NSNDIS5.SYS [2004-03-24 17280]

S3 SaiH0255;SaiH0255;C:\WINDOWS\system32\DRIVERS\SaiH0255.sys [2004-10-22 121984]

S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-05-27 354560]

S3 wsmclib;wsmclib;C:\DOKUME~1\***\LOKALE~1\Temp\wsmclib.sys [ ]

S3 ZD1211U(ZyXEL);ZyAIR G-220 IEEE 802.11b+g Wireless LAN Driver (USB)(ZyXEL);C:\WINDOWS\system32\DRIVERS\zd1211u.sys [2005-08-16 278016]
 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs

UxTuneUp

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -
 

HKLM-Run-CTXFIREG - CTxfiReg.exe

MSConfigStartUp-pccguide - C:\Programme\Trend Micro\Internet Security 14\pccguide.exe

MSConfigStartUp-WinampAgent - C:\Programme\Winamp\winampa.exe
 
 

.

------- Zusätzlicher Suchlauf -------

.

FireFox -: Profile - C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\1l5futue.default\

FireFox -: prefs.js - STARTUP.HOMEPAGE - www.google.de

FF -: plugin - C:\Programme\Java\jre1.5.0_01\bin\NPJava11.dll

FF -: plugin - C:\Programme\Java\jre1.5.0_01\bin\NPJava12.dll

FF -: plugin - C:\Programme\Java\jre1.5.0_01\bin\NPJava13.dll

FF -: plugin - C:\Programme\Java\jre1.5.0_01\bin\NPJava14.dll

FF -: plugin - C:\Programme\Java\jre1.5.0_01\bin\NPJava32.dll

FF -: plugin - C:\Programme\Java\jre1.5.0_01\bin\NPJPI150_01.dll

FF -: plugin - C:\Programme\Java\jre1.5.0_01\bin\NPOJI610.dll

FF -: plugin - C:\Programme\Mozilla Firefox\plugins\npmozax.dll

FF -: plugin - C:\Programme\VLC Player\npvlc.dll

FF -: plugin - D:\Programme\iTunes\Mozilla Plugins\npitunes.dll

.
 

**************************************************************************
 

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-10-04 19:34:56

Windows 5.1.2600 Service Pack 2 NTFS
 

Scanne versteckte Prozesse...
 

Scanne versteckte Autostarteinträge...
 

Scanne versteckte Dateien...
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************

.

Zeit der Fertigstellung: 2008-10-04 19:40:22

ComboFix-quarantined-files.txt  2008-10-04 17:39:52
 

Vor Suchlauf: 6,002,032,640 Bytes frei

Nach Suchlauf: 5,969,788,928 Bytes frei
 

217

Ich hoffe damit kannst Du was anfangen.

Grüße!
KennyRie

Achso, noch eine Frage aus Interesse, Du schriebst (bzw. ich hab es im Zusammenhang gelesen) dass ComboFix die Autostart Funktionen meiner CD-Laufwerke, USB-Massenspeicher deaktiviert, wie kann ich diese denn wieder im Nachhinein aktivieren?

Hier übrigens auch nochmal ein aktualisierte HJT-Log

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 19:54:28, on 04.10.2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\Programme\AntiVir PersonalEdition Classic\sched.exe

C:\WINDOWS\Dit.exe

C:\WINDOWS\Logi_MwX.Exe

C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe

C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\System32\CTsvcCDA.exe

C:\Programme\SlySoft\AnyDVD\AnyDVD.exe

C:\PROGRA~1\WinTV\EPG Services\System\EPGService.exe

C:\WINDOWS\DitExp.exe

C:\Programme\Logitech\iTouch\iTouch.exe

C:\Programme\Saitek\Software\Profiler.exe

C:\Programme\Saitek\Software\SaiSmart.exe

C:\Programme\Saitek\Software\SaiMfd.exe

C:\Programme\Hotspot Shield\bin\openvpnas.exe

C:\Programme\ATI Technologies\ATI.ACE\cli.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe

C:\Programme\WinTV\Ir.exe

C:\Programme\Logitech\SetPoint\SetPoint.exe

C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\wanmpsvc.exe

C:\WINDOWS\System32\MsPMSPSv.exe

C:\Programme\ATI Technologies\ATI.ACE\cli.exe

C:\Programme\ATI Technologies\ATI.ACE\cli.exe

C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

C:\WINDOWS\explorer.exe

C:\Dokumente und Einstellungen\Timo\Eigene Dateien\Eigene Downloads\HiJackThis(2).exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Programme\NetTransport 2\NTIEHelper.dll

O4 - HKLM\..\Run: [Dit] Dit.exe

O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe

O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r

O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE

O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r

O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe

O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile\Application Launcher\Application Launcher.exe" /startoptions

O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe

O4 - HKLM\..\Run: [Profiler] C:\Programme\Saitek\Software\Profiler.exe

O4 - HKLM\..\Run: [SaiSmart] C:\Programme\Saitek\Software\SaiSmart.exe

O4 - HKLM\..\Run: [SaiMfd] C:\Programme\Saitek\Software\SaiMfd.exe

O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe

O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe

O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe

O4 - Global Startup: ZyXEL G-220 Utility GUI.lnk = ?

O8 - Extra context menu item: Alles mit Net Transport herunterladen - C:\Programme\NetTransport 2\NTAddList.html

O8 - Extra context menu item: Herunterladen mit Net Transport - C:\Programme\NetTransport 2\NTAddLink.html

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll

O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL

O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe

O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O14 - IERESET.INF: START_PAGE_URL=http://www.medion.de

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1138310814046

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1138310807218

O16 - DPF: {D1E7CBDA-E60E-4970-A01C-37301EF7BF98} (Measurement Services Client v.3.11) - http://gameadvisor.futuremark.com/global/msc311.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{480E1472-B959-4335-A36E-8B973463ECDE}: NameServer = 10.111.176.1

O17 - HKLM\System\CS1\Services\Tcpip\..\{480E1472-B959-4335-A36E-8B973463ECDE}: NameServer = 10.111.176.1

O17 - HKLM\System\CS2\Services\Tcpip\..\{480E1472-B959-4335-A36E-8B973463ECDE}: NameServer = 10.111.176.1

O17 - HKLM\System\CS4\Services\Tcpip\..\{480E1472-B959-4335-A36E-8B973463ECDE}: NameServer = 10.111.176.1

O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe

O23 - Service: EPGService - Hauppauge Computer Works - C:\PROGRA~1\WinTV\EPG Services\System\EPGService.exe

O23 - Service: HauppaugeTVServer - Hauppauge Computer Works - C:\PROGRA~1\WinTV\HCWTVS~1.EXE

O23 - Service: Hotspot Shield Service (HotspotShieldService) - Unknown owner - C:\Programme\Hotspot Shield\bin\openvpnas.exe

O23 - Service: Hotspot Shield Tray Service (HssTrayService) - Unknown owner - C:\Programme\Hotspot Shield\bin\HssTrayService.EXE

O23 - Service: iPod Service - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe

O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR2a\RpcDataSrv.exe

O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR2a\RpcSandraSrv.exe

O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe
 

--

End of file - 8936 bytes

dann jetzt bitte sdfix aus obiger anleitung.

ohne abgesicherten Modus dann also?
Weil der macht wie gesagt Probleme.

nach combofix immer noch probs mit dem abgesicherten modus? dürfte eigentlich nicht sein....

Hallo Schrauber,

hattest Recht, der Abgesicherte Modus funktioniert wieder, das ist schonmal super (entschuldige Bitte meine Skepsis von vorhin)

hier schonmal der SDFix Log:

Code:

SDFix: Version 1.231 

Run by *** on 04.10.2008 at 20:24
 

Microsoft Windows XP [Version 5.1.2600]

Running From: C:\DOKUME~1\***\Desktop\SDFix\SDFix
 
 Checking Services :
 
 

Restoring Default Security Values

Restoring Default Hosts File
 

Rebooting
 
 
 Checking Files : 
 

Trojan Files Found:
 

C:\WINDOWS\system32\tdssserf1.dll  - Deleted
 
 
 
 
 

Removing Temp Files
 
 ADS Check :

 
 
 

                                 Final Check :
 

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-10-04 20:42:39

Windows 5.1.2600 Service Pack 2 NTFS
 

scanning hidden processes ...
 

scanning hidden services & system hive ...
 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]

"h0"=dword:00000001

"ujdew"=hex:0b,e9,f4,11,97,7d,0b,0d,60,d5,8c,7d,cb,67,66,75,33,79,98,4c,aa,..

"p0"="C:\Programme\Alcohol Soft\Alcohol 120\"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]

"p0"="C:\Programme\DAEMON Tools\"

"h0"=dword:00000000

"khjeh"=hex:fd,ce,7d,c2,a9,b8,a6,39,81,d1,82,ed,4a,51,71,c3,09,df,95,f6,48,..
 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]

"a0"=hex:20,01,00,00,ca,3b,96,c1,83,69,d2,de,ce,a2,b4,f9,ba,75,64,f5,ec,..

"khjeh"=hex:5b,4f,96,06,04,4b,d4,de,a8,6d,a8,32,45,a3,59,57,3e,d9,71,0e,40,..
 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]

"khjeh"=hex:da,af,92,d4,79,a2,99,9e,c8,53,94,df,18,14,ea,49,e7,8e,4c,04,23,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]

"s1"=dword:80024f06

"s2"=dword:dd8e4ccb

"h0"=dword:00000002
 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]

"h0"=dword:00000001

"ujdew"=hex:0b,e9,f4,11,97,7d,0b,0d,60,d5,8c,7d,cb,67,66,75,33,79,98,4c,aa,..

"p0"="C:\Programme\Alcohol Soft\Alcohol 120\"
 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]

"p0"="C:\Programme\DAEMON Tools\"

"h0"=dword:00000000

"khjeh"=hex:fd,ce,7d,c2,a9,b8,a6,39,81,d1,82,ed,4a,51,71,c3,09,df,95,f6,48,..
 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]

"a0"=hex:20,01,00,00,ca,3b,96,c1,83,69,d2,de,ce,a2,b4,f9,ba,75,64,f5,ec,..

"khjeh"=hex:5b,4f,96,06,04,4b,d4,de,a8,6d,a8,32,45,a3,59,57,3e,d9,71,0e,40,..
 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]

"khjeh"=hex:da,af,92,d4,79,a2,99,9e,c8,53,94,df,18,14,ea,49,e7,8e,4c,04,23,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]

"p0"="C:\Programme\DAEMON Tools\"

"h0"=dword:00000000

"khjeh"=hex:fd,ce,7d,c2,a9,b8,a6,39,81,d1,82,ed,4a,51,71,c3,09,df,95,f6,48,..
 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]

"a0"=hex:20,01,00,00,ca,3b,96,c1,83,69,d2,de,ce,a2,b4,f9,ba,75,64,f5,ec,..

"khjeh"=hex:5b,4f,96,06,04,4b,d4,de,a8,6d,a8,32,45,a3,59,57,3e,d9,71,0e,40,..
 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]

"khjeh"=hex:da,af,92,d4,79,a2,99,9e,c8,53,94,df,18,14,ea,49,e7,8e,4c,04,23,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]

"h0"=dword:00000001

"ujdew"=hex:0b,e9,f4,11,97,7d,0b,0d,60,d5,8c,7d,cb,67,66,75,33,79,98,4c,aa,..

"p0"="C:\Programme\Alcohol Soft\Alcohol 120\"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]

"p0"="C:\Programme\DAEMON Tools\"

"h0"=dword:00000000

"khjeh"=hex:fd,ce,7d,c2,a9,b8,a6,39,81,d1,82,ed,4a,51,71,c3,09,df,95,f6,48,..
 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]

"a0"=hex:20,01,00,00,ca,3b,96,c1,83,69,d2,de,ce,a2,b4,f9,ba,75,64,f5,ec,..

"khjeh"=hex:5b,4f,96,06,04,4b,d4,de,a8,6d,a8,32,45,a3,59,57,3e,d9,71,0e,40,..
 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]

"khjeh"=hex:da,af,92,d4,79,a2,99,9e,c8,53,94,df,18,14,ea,49,e7,8e,4c,04,23,..
 

scanning hidden registry entries ...
 

scanning hidden files ...
 

scan completed successfully

hidden processes: 0

hidden services: 0

hidden files: 0
 
 
 Remaining Services :
 
 
 
 

Authorized Application Key Export:
 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\\Programme\\Trillian\\trillian.exe"="C:\\Programme\\Trillian\\trillian.exe:*:Enabled:Trillian"

"D:\\Programme\\iTunes\\iTunes.exe"="D:\\Programme\\iTunes\\iTunes.exe:*:Enabled:iTunes"

"C:\\Programme\\Skype\\Phone\\Skype.exe"="C:\\Programme\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"
 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
 
 Remaining Files :
 
 

File Backups: - C:\DOKUME~1\***\Desktop\SDFix\SDFix\backups\backups.zip
 
 Files with Hidden Attributes :
 

Thu 14 Aug 2008     1,429,840 A.SHR --- "C:\Programme\Spybot - Search & Destroy\SDUpdate.exe"

Wed 30 Jul 2008     4,891,984 A.SHR --- "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe"

Thu 12 Jun 2003        68,608 ..SHR --- "C:\Programme\You Don't Know Jack 4\Setup.exe"

Thu 12 Jun 2003        17,920 A..HR --- "C:\Programme\You Don't Know Jack 4\_Setup.dll"

Sat  6 Aug 2005            56 ..SHR --- "C:\WINDOWS\system32\D52A533F4D.sys"

Tue 31 Jul 2007         5,642 A.SH. --- "C:\WINDOWS\system32\KGyGaAvL.sys"

Mon  4 Jul 2005         4,348 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\DRMv1.bak"

Fri 25 Aug 2006        28,160 ...H. --- "C:\Dokumente und Einstellungen\***\Eigene Dateien\~WRL0002.tmp"

Fri 29 Dec 2006             0 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\Cache\Indiv01.tmp"
 
 Finished!

sowie der neue HJT-Log

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 20:53:03, on 04.10.2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\AntiVir PersonalEdition Classic\sched.exe

C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\System32\CTsvcCDA.exe

C:\PROGRA~1\WinTV\EPG Services\System\EPGService.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Programme\Hotspot Shield\bin\openvpnas.exe

C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\wanmpsvc.exe

C:\WINDOWS\System32\MsPMSPSv.exe

C:\WINDOWS\Dit.exe

C:\WINDOWS\Logi_MwX.Exe

C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe

C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE

C:\Programme\SlySoft\AnyDVD\AnyDVD.exe

C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe

C:\Programme\Logitech\iTouch\iTouch.exe

C:\Programme\Saitek\Software\Profiler.exe

C:\Programme\Saitek\Software\SaiSmart.exe

C:\Programme\Saitek\Software\SaiMfd.exe

C:\Programme\ATI Technologies\ATI.ACE\cli.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

C:\Programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe

C:\WINDOWS\DitExp.exe

C:\Programme\WinTV\Ir.exe

C:\Programme\Logitech\SetPoint\SetPoint.exe

C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE

C:\Programme\ATI Technologies\ATI.ACE\cli.exe

C:\Programme\ATI Technologies\ATI.ACE\cli.exe

C:\Programme\Mozilla Firefox\firefox.exe

C:\Dokumente und Einstellungen\***\Eigene Dateien\Eigene Downloads\HiJackThis(2).exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Programme\NetTransport 2\NTIEHelper.dll

O4 - HKLM\..\Run: [Dit] Dit.exe

O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe

O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r

O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE

O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r

O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe

O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile\Application Launcher\Application Launcher.exe" /startoptions

O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe

O4 - HKLM\..\Run: [Profiler] C:\Programme\Saitek\Software\Profiler.exe

O4 - HKLM\..\Run: [SaiSmart] C:\Programme\Saitek\Software\SaiSmart.exe

O4 - HKLM\..\Run: [SaiMfd] C:\Programme\Saitek\Software\SaiMfd.exe

O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe

O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe

O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe

O4 - Global Startup: ZyXEL G-220 Utility GUI.lnk = ?

O8 - Extra context menu item: Alles mit Net Transport herunterladen - C:\Programme\NetTransport 2\NTAddList.html

O8 - Extra context menu item: Herunterladen mit Net Transport - C:\Programme\NetTransport 2\NTAddLink.html

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll

O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL

O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe

O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O14 - IERESET.INF: START_PAGE_URL=http://www.medion.de

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1138310814046

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1138310807218

O16 - DPF: {D1E7CBDA-E60E-4970-A01C-37301EF7BF98} (Measurement Services Client v.3.11) - http://gameadvisor.futuremark.com/global/msc311.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{480E1472-B959-4335-A36E-8B973463ECDE}: NameServer = 10.111.176.1

O17 - HKLM\System\CS1\Services\Tcpip\..\{480E1472-B959-4335-A36E-8B973463ECDE}: NameServer = 10.111.176.1

O17 - HKLM\System\CS2\Services\Tcpip\..\{480E1472-B959-4335-A36E-8B973463ECDE}: NameServer = 10.111.176.1

O17 - HKLM\System\CS4\Services\Tcpip\..\{480E1472-B959-4335-A36E-8B973463ECDE}: NameServer = 10.111.176.1

O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe

O23 - Service: EPGService - Hauppauge Computer Works - C:\PROGRA~1\WinTV\EPG Services\System\EPGService.exe

O23 - Service: HauppaugeTVServer - Hauppauge Computer Works - C:\PROGRA~1\WinTV\HCWTVS~1.EXE

O23 - Service: Hotspot Shield Service (HotspotShieldService) - Unknown owner - C:\Programme\Hotspot Shield\bin\openvpnas.exe

O23 - Service: Hotspot Shield Tray Service (HssTrayService) - Unknown owner - C:\Programme\Hotspot Shield\bin\HssTrayService.EXE

O23 - Service: iPod Service - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe

O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR2a\RpcDataSrv.exe

O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR2a\RpcSandraSrv.exe

O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe
 

--

End of file - 9160 bytes

Ich hoffe jetzt ist das System clean ;)

Kaspersky - Onlinescanner

Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware.

---> hier herunterladen => Kaspersky Online-Scanner
=> Hinweise zu älteren Versionen beachten!
=> Voraussetzung: Internet Explorer 6.0 oder höher
=> die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter
=> Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken
=> Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als
=> Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten
=> Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen

So einmal der Kaspersky-Log:

So wie es aussieht, sind die Files in Quarantäne vom ComboFix gefunden worden und noch ein Problem mit der smart.dll

Code:

-------------------------------------------------------------------------------

 PROTOKOLL FÜR KASPERSKY ONLINE SCANNER

 Sonntag, 5. Oktober 2008 11:35:25

 Betriebssystem: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)

 Version von Kaspersky Online Scanner: 5.0.98.1

 Letztes Update der Antiviren-Datenbanken:  4/10/2008

 Anzahl der Einträge in den Antiviren-Datenbanken: 1289890

-------------------------------------------------------------------------------
 

Scan-Einstellungen:

        Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Erweiterte

        Archive untersuchen: ja

        Mail-Datenbanken untersuchen: ja
 

Untersuchungsobjekt - Arbeitsplatz:

        C:\

        D:\

        E:\

        F:\

        G:\

        H:\

        I:\

        J:\

        K:\

        L:\
 

Untersuchungsergebnisse:

        Untersuchte Objekte insgesamt: 242003

        Viren gefunden: 7

        Infizierte Objekte gefunden: 10

        Verdächtige Objekte gefunden: 0

        Untersuchungszeit: 13:54:12
 

Name des infizierten Objekts / Virusname / Letzte Aktion

C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\1l5futue.default\cert8.db        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\1l5futue.default\content-prefs.sqlite        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\1l5futue.default\cookies.sqlite        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\1l5futue.default\downloads.sqlite        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\1l5futue.default\formhistory.sqlite        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\1l5futue.default\key3.db        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\1l5futue.default\parent.lock        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\1l5futue.default\permissions.sqlite        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\1l5futue.default\places.sqlite        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\1l5futue.default\places.sqlite-journal        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\1l5futue.default\search.sqlite        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\***\Anwendungsdaten\Thunderbird\Profiles\phq2zy0k.default\abook.mab        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\***\Anwendungsdaten\Thunderbird\Profiles\phq2zy0k.default\cert8.db        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\***\Anwendungsdaten\Thunderbird\Profiles\phq2zy0k.default\key3.db        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\***\Anwendungsdaten\Thunderbird\Profiles\phq2zy0k.default\Mail\Local Folders\Inbox.msf        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\***\Anwendungsdaten\Trillian\users\***\logs\ICQ\Query\158905.log        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\***\Cookies\index.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\***\Eigene Dateien\SmitfraudFix\Reboot.exe        Infizierte Objekte: not-a-virus:RiskTool.Win32.Reboot.f        übersprungen

C:\Dokumente und Einstellungen\***\Eigene Dateien\SmitfraudFix\SmitfraudFix.exe/SmitfraudFix/Reboot.exe        Infizierte Objekte: not-a-virus:RiskTool.Win32.Reboot.f        übersprungen

C:\Dokumente und Einstellungen\***\Eigene Dateien\SmitfraudFix\SmitfraudFix.exe        RAR: infiziert - 1        übersprungen

C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\ApplicationHistory\cli.exe.da01c7d0.ini.inuse        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\1l5futue.default\Cache\_CACHE_001_        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\1l5futue.default\Cache\_CACHE_002_        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\1l5futue.default\Cache\_CACHE_003_        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\1l5futue.default\Cache\_CACHE_MAP_        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\1l5futue.default\urlclassifier3.sqlite        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\etilqs_3at4rxZDE3CMjijBiBbg        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\Perflib_Perfdata_6e8.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\Perflib_Perfdata_d1c.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\Perflib_Perfdata_d24.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Verlauf\History.IE5\index.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\***\ntuser.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\***\ntuser.dat.LOG        Das Objekt ist gesperrt        übersprungen

C:\itouch_crash_info.txt        Das Objekt ist gesperrt        übersprungen

C:\Programme\DLH98\0299.DLM/deo/deotrn.exe        Infizierte Objekte: Backdoor.Win32.Bifrose.tbd        übersprungen

C:\Programme\DLH98\0299.DLM        RAR: infiziert - 1        übersprungen

C:\Programme\Gamers.IRC\mirc.exe        Infizierte Objekte: not-a-virus:Client-IRC.Win32.mIRC.603        übersprungen

C:\QooBox\Quarantine\C\WINDOWS\system32\tdssadw.dll.vir        Infizierte Objekte: Rootkit.Win32.Clbd.ks        übersprungen

C:\QooBox\Quarantine\C\WINDOWS\system32\tdsslog.dll.vir        Infizierte Objekte: Backdoor.Win32.Agent.rfv        übersprungen

C:\QooBox\Quarantine\C\WINDOWS\system32\tdssserf.dll.vir        Infizierte Objekte: Trojan-Downloader.Win32.FraudLoad.vbxt        übersprungen

C:\System Volume Information\MountPointManagerRemoteDatabase        Das Objekt ist gesperrt        übersprungen

C:\System Volume Information\_restore{F46281DD-8EA4-4ECC-BE7B-60F8962ED634}\RP1328\change.log        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\$NtUninstallApplication Compatibility Update$\acgenral.dll        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\$NtUninstallApplication Compatibility Update$\aclayers.dll        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\$NtUninstallApplication Compatibility Update$\aclua.dll        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\$NtUninstallApplication Compatibility Update$\acspecfc.dll        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\$NtUninstallApplication Compatibility Update$\acverfyr.dll        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\$NtUninstallApplication Compatibility Update$\acxtrnal.dll        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\$NtUninstallApplication Compatibility Update$\apphelp.sdb        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\$NtUninstallApplication Compatibility Update$\apps.chm        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\$NtUninstallApplication Compatibility Update$\d3d8.dll        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\$NtUninstallApplication Compatibility Update$\drvmain.sdb        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\$NtUninstallApplication Compatibility Update$\msimain.sdb        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\$NtUninstallApplication Compatibility Update$\qdvd.dll        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\$NtUninstallApplication Compatibility Update$\spuninst\spuninst.exe        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\$NtUninstallApplication Compatibility Update$\spuninst\spuninst.inf        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\$NtUninstallApplication Compatibility Update$\sysmain.sdb        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\$NtUninstallApplication Compatibility Update$\udfs.sys        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\$NtUninstallApplication Compatibility Update$\vbscript.dll        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\$NtUninstallQ307274$\shgina.dll        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\$NtUninstallQ307274$\spuninst\spuninst.exe        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\$NtUninstallQ307274$\spuninst\spuninst.inf        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\$NtUninstallQ307869$\guitrn.dll        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\$NtUninstallQ307869$\guitrn_a.dll        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\$NtUninstallQ307869$\migapp.inf        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\$NtUninstallQ307869$\migwiz.exe        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\$NtUninstallQ307869$\migwiz_a.exe        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\$NtUninstallQ307869$\script.dll        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\$NtUninstallQ307869$\script_a.dll        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\$NtUninstallQ307869$\spuninst\spuninst.exe        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\$NtUninstallQ307869$\spuninst\spuninst.inf        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\$NtUninstallQ307869$\sysmod.dll        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\$NtUninstallQ307869$\sysmod_a.dll        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\$NtUninstallQ308210$\rdchost.dll        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\$NtUninstallQ308210$\sessmgr.exe        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\$NtUninstallQ308210$\spuninst\spuninst.exe        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\$NtUninstallQ308210$\spuninst\spuninst.inf        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\$NtUninstallQ308276$\smlogsvc.exe        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\$NtUninstallQ308276$\spuninst\spuninst.exe        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\$NtUninstallQ308276$\spuninst\spuninst.inf        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\$NtUninstallQ308677$\spuninst\spuninst.exe        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\$NtUninstallQ308677$\spuninst\spuninst.inf        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\$NtUninstallQ308677$\userenv.dll        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\$NtUninstallQ309376$\rdbss.sys        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\$NtUninstallQ309376$\spuninst\spuninst.exe        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\$NtUninstallQ309376$\spuninst\spuninst.inf        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\$NtUninstallQ309495$\msi.dll        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\$NtUninstallQ309495$\spuninst\spuninst.exe        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\$NtUninstallQ309495$\spuninst\spuninst.inf        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\$NtUninstallQ309521$\dxmasf.dll        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\$NtUninstallQ309521$\lsasrv.dll        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\$NtUninstallQ309521$\msdxm.ocx        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\$NtUninstallQ309521$\sfcfiles.dll        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\$NtUninstallQ309521$\spuninst\spuninst.exe        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\$NtUninstallQ309521$\spuninst\spuninst.inf        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\$NtUninstallQ309521$\ssdpapi.dll        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\$NtUninstallQ309521$\ssdpsrv.dll        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\$NtUninstallQ309521$\url.dll        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\$NtUninstallQ309521$\wininet.dll        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\$NtUninstallQ310437$\spuninst\spuninst.exe        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\$NtUninstallQ310437$\spuninst\spuninst.inf        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\$NtUninstallQ310437$\ups.exe        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\$NtUninstallQ310507$\aec.sys        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\$NtUninstallQ310507$\dxmrtp.dll        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\$NtUninstallQ310507$\splitter.sys        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\$NtUninstallQ310507$\spuninst\spuninst.exe        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\$NtUninstallQ310507$\spuninst\spuninst.inf        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\$NtUninstallQ311889$\spuninst\spuninst.exe        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\$NtUninstallQ311889$\spuninst\spuninst.inf        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\$NtUninstallQ311889$\termsrv.dll        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\$NtUninstallQ312368$\spuninst\spuninst.exe        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\$NtUninstallQ312368$\spuninst\spuninst.inf        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\$NtUninstallQ312368$\syssetup.dll        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\$NtUninstallQ312370$\spuninst\spuninst.exe        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\$NtUninstallQ312370$\spuninst\spuninst.inf        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\$NtUninstallQ312370$\usbhub.sys        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\$NtUninstallQ312370$\usbport.sys        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\$NtUninstallQ314862$\qmgr.dll        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\$NtUninstallQ314862$\spuninst\spuninst.exe        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\$NtUninstallQ314862$\spuninst\spuninst.inf        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\$NtUninstallQ315000$\netsetup.exe        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\$NtUninstallQ315000$\spuninst\spuninst.exe        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\$NtUninstallQ315000$\spuninst\spuninst.inf        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\$NtUninstallQ315000$\ssdpapi.dll        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\$NtUninstallQ315000$\ssdpsrv.dll        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\$NtUninstallQ315000$\upnp.dll        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\$NtUninstallQ318966$\spuninst\Q318966.log        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\Debug\PASSWD.LOG        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\SchedLgU.Txt        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\Sti_Trace.log        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\CatRoot2\edb.log        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\CatRoot2\tmp.edb        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\config\ACEEvent.evt        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\config\AppEvent.Evt        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\config\default        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\config\default.LOG        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\config\NetLimit.evt        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\config\SAM        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\config\SAM.LOG        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\config\SecEvent.Evt        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\config\SECURITY        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\config\SECURITY.LOG        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\config\software        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\config\software.LOG        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\config\SysEvent.Evt        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\config\system        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\config\system.LOG        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\drivers\dtscsi.sys        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\drivers\sptd.sys        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\h323log.txt        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\smart.dll        Infizierte Objekte: Trojan-GameThief.Win32.WOW.bht        übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\wiadebug.log        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\wiaservc.log        Das Objekt ist gesperrt        übersprungen

D:\Programme\Hotspot Shield\log\oas.log        Das Objekt ist gesperrt        übersprungen

D:\System Volume Information\MountPointManagerRemoteDatabase        Das Objekt ist gesperrt        übersprungen
 

Die Untersuchung wurde abgeschlossen.

Aber da kennst Du dich denke ich besser aus ;)

Scripten mit Combofix

Öffne den Editor ( Start -> Zubehör -> Editor ) kopiere nun folgenden Text in das weiße Feld:

Zitat:

KILLALL::

File::
C:\WINDOWS\system32\smart.dll
C:\Programme\DLH98\0299.DLM
C:\Programme\DLH98\0299.DLM/deo/deotrn.exe

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann

====

Malwarebytes' Anti-Malware

Lies dir die Entfernungsanleitung durch und lass alles entfernen was gefunden wurde:

Download von Malwarebytes' Anti-Malware

http://saved.im/ndc5njj4d2lr/entfernen.png
(nach dem scannen auf den Button klicken und Funde löschen lassen!)

====

ATF - Cleaner

Download Atf Cleaner Windows

Setze Häkchen in alle Fächer, wie du es hier siehst:

http://image.hijackthis.eu/atf/atf-main.jpg und http://image.hijackthis.eu/atf/atf-browser.jpg
Leere damit die temporären Ordner unter den Benutzer Accounts und im Administrator Account.

Leere die temporären Ordner in Firefox und/oder Opera, wenn vorhanden.

Wiederhole den Vorgang solange, bis 0 Funde angezeigt werden.

Wiederhole diesen Vorgang nach jedem Besuch im Netz, unter dem Account, mit dem du im Netz warst.

====

F-Secure Support-Seiten: F-Secure Online-Virenscanner

diesen onlinescan machen.

Hier schonmal der neue ComboFix Report,

Malware und Online-Scan wird ja wieder etwas dauern, die resultate geb ich dann bescheid:

Code:

ComboFix 08-10-04.01 - *** 2008-10-05 15:53:36.3 - NTFSx86

ausgeführt von:: C:\Dokumente und Einstellungen\***\Desktop\ComboFix.exe

Benutzte Befehlsschalter :: C:\Dokumente und Einstellungen\***\Desktop\cfscript.txt
 
 Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
 

FILE ::

C:\Programme\DLH98\0299.DLM

C:\Programme\DLH98\0299.DLM/deo/deotrn.exe

C:\WINDOWS\system32\smart.dll

.
 

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.
 

C:\Programme\DLH98\0299.DLM

C:\WINDOWS\system32\smart.dll
 

.

(((((((((((((((((((((((   Dateien erstellt von 2008-09-05 bis 2008-10-05  ))))))))))))))))))))))))))))))

.
 

2008-10-04 21:31 . 2008-10-04 21:31        <DIR>        d--------        C:\WINDOWS\system32\Kaspersky Lab

2008-10-04 21:31 . 2008-10-04 21:31        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab

2008-10-04 20:22 . 2008-10-04 20:22        578,560        --a--c---        C:\WINDOWS\system32\dllcache\user32.dll

2008-10-04 20:17 . 2008-10-04 20:18        <DIR>        d--------        C:\WINDOWS\ERUNT

2008-10-03 23:21 . 2008-10-03 23:22        <DIR>        d--------        C:\Programme\Malwarebytes Anti-Malware

2008-10-03 23:21 . 2008-10-03 23:21        <DIR>        d--------        C:\Dokumente und Einstellungen\***\Anwendungsdaten\Malwarebytes

2008-10-03 23:21 . 2008-10-03 23:21        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes

2008-10-03 23:21 . 2008-09-10 00:04        38,528        --a------        C:\WINDOWS\system32\drivers\mbamswissarmy.sys

2008-10-03 23:21 . 2008-09-10 00:03        17,200        --a------        C:\WINDOWS\system32\drivers\mbam.sys

2008-10-02 15:14 . 2008-10-02 15:14        <DIR>        d--------        C:\Dokumente und Einstellungen\***\dwhelper

2008-10-02 13:56 . 2008-10-02 13:56        3,386        --a------        C:\WINDOWS\system32\tmp.reg

2008-09-29 17:36 . 2008-09-29 17:44        <DIR>        d--------        C:\Dokumente und Einstellungen\***\Anwendungsdaten\Broken Sword 2.5

2008-09-23 12:45 . 2008-09-23 12:45        <DIR>        d--------        C:\Programme\eXpress TimeStamp Toucher
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-10-05 13:59        ---------        d-----w        C:\Programme\WinTV

2008-10-05 13:54        ---------        d-----w        C:\Programme\DLH98

2008-10-04 20:15        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic

2008-10-03 20:46        ---------        d-----w        C:\Programme\Spybot - Search & Destroy

2008-10-03 09:41        ---------        d-----w        C:\Programme\Mozilla Sunbird

2008-10-02 12:37        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy

2008-10-02 12:12        98,304        ----a-w        C:\WINDOWS\DUMP5b3f.tmp

2008-09-27 08:02        ---------        d-----w        C:\Programme\IKEA HomePlanner

2008-09-27 07:33        ---------        d-----w        C:\Programme\Gemeinsame Dateien\Wise Installation Wizard

2008-09-22 15:07        ---------        d-----w        C:\Dokumente und Einstellungen\***\Anwendungsdaten\Skype

2008-08-28 14:23        278,984        ----a-w        C:\WINDOWS\system32\drivers\atksgt.sys

2008-08-28 14:18        ---------        d--h--w        C:\Programme\InstallShield Installation Information

2008-08-28 14:17        ---------        d-----w        C:\Dokumente und Einstellungen\***\Anwendungsdaten\InstallShield

2008-08-09 22:31        ---------        d-----w        C:\Programme\Gemeinsame Dateien\IviSDK

2008-08-09 22:30        ---------        d-----w        C:\Programme\vtplus

2008-07-06 22:17        2,322,432        ----a-w        C:\WINDOWS\system32\TUKernel.exe

2008-07-06 08:38        691,545        ----a-w        C:\WINDOWS\unins000.exe

2008-01-25 15:36        61        --sh--w        C:\WINDOWS\cnerolf.dat

2005-08-06 15:52        56        --sh--r        C:\WINDOWS\system32\D52A533F4D.sys

2007-07-31 15:56        5,642        --sha-w        C:\WINDOWS\system32\KGyGaAvL.sys

.
 

(((((((((((((((((((((((((((((   snapshot@2008-10-04_19.39.25.90   )))))))))))))))))))))))))))))))))))))))))

.

+ 2008-08-07 14:27:04        163,328        ----a-w        C:\WINDOWS\ERUNT\SDFIX\ERDNT.EXE

+ 2008-10-04 18:18:33        13,250,560        ----a-w        C:\WINDOWS\ERUNT\SDFIX\Users\00000001\ntuser.dat

+ 2008-10-04 18:18:33        61,440        ----a-w        C:\WINDOWS\ERUNT\SDFIX\Users\00000002\UsrClass.dat

+ 2008-08-07 14:27:04        163,328        ----a-w        C:\WINDOWS\ERUNT\SDFIX_First_Run\ERDNT.EXE

+ 2008-10-04 18:18:14        13,250,560        ----a-w        C:\WINDOWS\ERUNT\SDFIX_First_Run\Users\00000001\ntuser.dat

+ 2008-10-04 18:18:14        61,440        ----a-w        C:\WINDOWS\ERUNT\SDFIX_First_Run\Users\00000002\UsrClass.dat

+ 2005-05-24 10:27:16        213,048        ----a-w        C:\WINDOWS\system32\Kaspersky Lab\Kaspersky Online Scanner\kavss.dll

+ 2007-10-21 19:40:14        94,208        ----a-w        C:\WINDOWS\system32\Kaspersky Lab\Kaspersky Online Scanner\kavuninstall.exe

+ 2007-10-21 19:40:16        950,272        ----a-w        C:\WINDOWS\system32\Kaspersky Lab\Kaspersky Online Scanner\kavwebscan.dll

- 2008-10-04 17:32:04        72,512        ----a-w        C:\WINDOWS\system32\perfc007.dat

+ 2008-10-04 19:04:37        72,512        ----a-w        C:\WINDOWS\system32\perfc007.dat

- 2008-10-04 17:32:04        60,112        ----a-w        C:\WINDOWS\system32\perfc009.dat

+ 2008-10-04 19:04:37        60,112        ----a-w        C:\WINDOWS\system32\perfc009.dat

- 2008-10-04 17:32:04        408,686        ----a-w        C:\WINDOWS\system32\perfh007.dat

+ 2008-10-04 19:04:37        408,686        ----a-w        C:\WINDOWS\system32\perfh007.dat

- 2008-10-04 17:32:05        394,778        ----a-w        C:\WINDOWS\system32\perfh009.dat

+ 2008-10-04 19:04:37        394,778        ----a-w        C:\WINDOWS\system32\perfh009.dat

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.

REGEDIT4
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360]

"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-09-16 1833296]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTSysVol"="C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe" [2003-07-02 57344]

"CTDVDDET"="C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE" [2003-06-18 45056]

"SBDrvDet"="C:\Programme\Creative\SB Drive Det\SBDrvDet.exe" [2002-12-03 45056]

"AnyDVD"="C:\Programme\SlySoft\AnyDVD\AnyDVD.exe" [2005-06-03 456192]

"Sony Ericsson PC Suite"="C:\Programme\Sony Ericsson\Mobile\Application Launcher\Application Launcher.exe" [2005-10-26 159744]

"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-19 266497]

"zBrowser Launcher"="C:\Programme\Logitech\iTouch\iTouch.exe" [2004-03-18 892928]

"Profiler"="C:\Programme\Saitek\Software\Profiler.exe" [2004-10-20 159744]

"SaiSmart"="C:\Programme\Saitek\Software\SaiSmart.exe" [2004-10-20 98304]

"SaiMfd"="C:\Programme\Saitek\Software\SaiMfd.exe" [2004-10-20 135168]

"ATICCC"="C:\Programme\ATI Technologies\ATI.ACE\cli.exe" [2006-01-02 45056]

"Dit"="Dit.exe" [2002-08-28 C:\WINDOWS\Dit.exe]

"Logitech Utility"="Logi_MwX.Exe" [2003-12-17 C:\WINDOWS\LOGI_MWX.EXE]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 15360]
 

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\

AutoStart IR.lnk - C:\Programme\WinTV\Ir.exe [2008-08-10 110647]

Logitech Desktop Messenger.lnk - C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe [2005-11-05 196608]

Logitech SetPoint.lnk - C:\Programme\Logitech\SetPoint\SetPoint.exe [2005-11-06 532480]

ZyXEL G-220 Utility GUI.lnk - C:\Programme\ZyXEL Communications Corporation\ZyXEL G-220 Utility\ZyXEL_G-220_GUI.exe [2007-03-28 1318912]
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]

"UIHost"="C:\\WINDOWS\\system32\\logonui.exe"
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"vidc.yv12"= yv12vfw.dll
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]

path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk

backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader Speed Launch.lnk]

path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader Speed Launch.lnk

backup=C:\WINDOWS\pss\Adobe Reader Speed Launch.lnkCommon Startup
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader Synchronizer.lnk]

path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader Synchronizer.lnk

backup=C:\WINDOWS\pss\Adobe Reader Synchronizer.lnkCommon Startup
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^WinZip Quick Pick.lnk]

path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\WinZip Quick Pick.lnk

backup=C:\WINDOWS\pss\WinZip Quick Pick.lnkCommon Startup
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^ZDWlan.lnk]

path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\ZDWlan.lnk

backup=C:\WINDOWS\pss\ZDWlan.lnkCommon Startup
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Agent]

--a------ 2002-09-26 16:49 69632 C:\Programme\Medion\PowerCinema\My_TV\Agent.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]

--a------ 2008-07-19 10:21 266497 C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CapFax]

--a------ 2001-12-10 17:34 20739 C:\Programme\Classic PhoneTools\capFax.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDTray]

--a------ 2005-05-19 15:47 57344 C:\Programme\SlySoft\CloneCD\CloneCDTray.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneDVDElbyDelay]

--a------ 2002-11-02 08:33 45056 C:\Programme\Elaborate Bytes\CloneDVD\ElbyCheck.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Microsoft Works Update Detection]

--a------ 2002-07-24 19:43 28672 C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\mmtask]

--a------ 2004-03-31 18:21 53248 C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MMTray]

--a------ 2004-03-31 18:21 114688 C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]

--a------ 2001-07-09 11:50 155648 C:\WINDOWS\system32\NeroCheck.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PhonostarTimer]

--a------ 2005-07-13 12:02 122880 C:\Programme\phonostar\ps_timer.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]

--a------ 2007-10-19 21:16 286720 C:\Programme\QuickTime\QTTask.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteCenter]

--a------ 2003-06-12 09:47 135168 C:\Programme\Creative\MediaSource\RemoteControl\RcMan.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]

--a------ 2005-01-12 04:01 32768 C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]

--a------ 2006-05-22 13:43 20440616 C:\Programme\Skype\Phone\Skype.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]

--a------ 2004-12-06 21:31 36975 C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]

--a------ 2005-10-26 22:37 180269 C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UpdReg]

--------- 2000-05-11 01:00 90112 C:\WINDOWS\Updreg.EXE
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WLAN Quick-Starter]

--------- 2005-01-19 10:51 909312 C:\Programme\WLAN Quick-Starter\WLAN Quick-Starter.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTHelper]

--a------ 2005-12-08 12:06 16384 C:\WINDOWS\CTHELPER.EXE
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]

--a------ 2002-08-15 12:46 46592 C:\WINDOWS\SOUNDMAN.EXE
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"iPod Service"=3 (0x3)

"HotspotShieldService"=2 (0x2)
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]

"AccG160"=C:\PROGRA~1\WLANQU~1\AccG160.exe
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"C:\\Programme\\Trillian\\trillian.exe"=

"D:\\Programme\\iTunes\\iTunes.exe"=

"C:\\Programme\\Skype\\Phone\\Skype.exe"=
 

R2 EPGService;EPGService;C:\PROGRA~1\WinTV\EPG Services\System\EPGService.exe [2007-09-05 374272]

R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 14336]

R3 Cap7134;MEDION (7134) WDM Video Capture;C:\WINDOWS\system32\DRIVERS\Cap7134.sys [2002-07-29 424704]

R3 hcw95bda;Hauppauge MOD7700 Tuner Driver;C:\WINDOWS\system32\Drivers\hcw95bda.sys [2007-06-04 467456]

R3 hcw95rc;Hauppauge MOD7700 IR Driver;C:\WINDOWS\system32\DRIVERS\hcw95rc.sys [2007-06-04 15488]

R3 PhTVTune;MEDION TV-TUNER 7134 MK2/3;C:\WINDOWS\system32\DRIVERS\PhTVTune.sys [2002-07-29 24288]

R3 tapvpn;TAP VPN Adapter;C:\WINDOWS\system32\DRIVERS\tapvpn.sys [2008-01-23 27136]

S3 gsplittm;gsplittm;C:\DOKUME~1\***\LOKALE~1\Temp\gsplittm.sys [ ]

S3 HauppaugeTVServer;HauppaugeTVServer;C:\PROGRA~1\WinTV\HCWTVS~1.EXE [2007-02-20 815104]

S3 HssTrayService;Hotspot Shield Tray Service;C:\Programme\Hotspot Shield\bin\HssTrayService.EXE [2008-07-24 30168]

S3 IIUSBISP;USB Mass Storage for USB ISP;C:\WINDOWS\system32\Drivers\iiusbisp.sys [ ]

S3 MXBULK;DualCam Still, MXBulk3.Sys;C:\WINDOWS\system32\Drivers\MXBulk3.sys [2002-01-22 50688]

S3 MXCap;DSC-06 Video Camera;C:\WINDOWS\system32\DRIVERS\MXCap3.sys [2002-04-17 63104]

S3 NSNDIS5;NSNDIS5 NDIS Protocol Driver;C:\WINDOWS\system32\NSNDIS5.SYS [2004-03-24 17280]

S3 SaiH0255;SaiH0255;C:\WINDOWS\system32\DRIVERS\SaiH0255.sys [2004-10-22 121984]

S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-05-27 354560]

S3 wsmclib;wsmclib;C:\DOKUME~1\***\LOKALE~1\Temp\wsmclib.sys [ ]

S3 ZD1211U(ZyXEL);ZyAIR G-220 IEEE 802.11b+g Wireless LAN Driver (USB)(ZyXEL);C:\WINDOWS\system32\DRIVERS\zd1211u.sys [2005-08-16 278016]
 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs

UxTuneUp

.
 

**************************************************************************
 

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-10-05 16:00:22

Windows 5.1.2600 Service Pack 2 NTFS
 

Scanne versteckte Prozesse...
 

Scanne versteckte Autostarteinträge...
 

Scanne versteckte Dateien...
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************

.

------------------------ Weitere laufende Prozesse ------------------------

.

C:\WINDOWS\system32\ati2evxx.exe

C:\Programme\AntiVir PersonalEdition Classic\sched.exe

C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\system32\CTSVCCDA.EXE

C:\Programme\Hotspot Shield\bin\openvpnas.exe

C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\MDM.EXE

C:\WINDOWS\system32\ati2evxx.exe

C:\WINDOWS\wanmpsvc.exe

C:\WINDOWS\system32\MsPMSPSv.exe

C:\WINDOWS\DitExp.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE

.

**************************************************************************

.

Zeit der Fertigstellung: 2008-10-05 16:12:23 - PC wurde neu gestartet

ComboFix-quarantined-files.txt  2008-10-05 14:12:16

ComboFix2.txt  2008-10-04 17:40:26
 

Vor Suchlauf: 7.526.342.656 Bytes frei

Nach Suchlauf: 7,494,791,168 Bytes frei
 

227

So Malwarebytes und F-Secure haben gescannt:

Malwarebytes (1 Fund, bereinigt)

Code:

Malwarebytes' Anti-Malware 1.28

Datenbank Version: 1226

Windows 5.1.2600 Service Pack 2
 

05.10.2008 18:45:51

mbam-log-2008-10-05 (18-45-51).txt
 

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)

Durchsuchte Objekte: 281082

Laufzeit: 2 hour(s), 21 minute(s), 32 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 1
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

C:\Programme\Gamers.IRC\mirc.exe (Backdoor.Bot) -> Quarantined and deleted successfully.

F-Secure (3 Funde, desinfiziert)

Code:

Scanning Report

Sunday, October 05, 2008 18:50:10 - 21:20:23
 

Computer name: ***

Scanning type: Scan system for malware, rootkits

Target: C:\ D:\ E:\

Result: 3 malware found

W32/Packed/FSG_2.A (virus)
 

    * C:\PROGRAMME\DLH98\DLH_OUT\GTASA_TRAINER.EXE (Submitted) 
 

W32/Packed_Exe32Pack.A (virus)
 

    * C:\PROGRAMME\NETTRANSPORT 2\LIBSSL.DLL (Submitted) 
 

W32/Packed_Mew.C (virus)
 

    * C:\PROGRAMME\DLH98\DLH_OUT\PZTRAIN.EXE (Submitted) 
 

Statistics

Scanned:
 

    * Files: 91076

    * System: 6811

    * Not scanned: 89 
 

Actions:
 

    * Disinfected: 0

    * Renamed: 0

    * Deleted: 0

    * None: 3

    * Submitted: 3 
 

Files not scanned:
 

      x�H
 

Options

Scanning engines:
 

    * F-Secure USS: 2.30.0

    * F-Secure Hydra: 2.8.8110, 2008-10-05

    * F-Secure AVP: 7.0.171, 2008-10-04

    * F-Secure Pegasus: 1.20.0, 2008-09-02

    * F-Secure Blacklight: 1.0.68 
 

Scanning options:
 

    * Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML ZIP XXX ANI AVB BAT CMD JPG LSP MAP MHT MIF PHP POT SWF WMF NWS TAR

    * Use Advanced heuristics 
 

      Copyright © 1998-2007 Product support |Send virus sample to F-Secure

      F-Secure assumes no responsibility for material created or published by third parties that F-Secure World Wide Web pages have a link to. Unless you have clearly stated otherwise, by submitting material to any of our servers, for example by E-mail or via our F-Secure's CGI E-mail, you agree that the material you make available may be published in the F-Secure World Wide Pages or hard-copy publications. You will reach F-Secure public web site by clicking on underlined links. While doing this, your access will be logged to our private access statistics with your domain name.This information will not be given to any third party. You agree not to take action against us in relation to material that you submit. Unless you have clearly stated otherwise, by submitting material you warrant that F-Secure may incorporate any concepts described in it in the F-Secure products/publications without liability.

war's das jetzt? ;)

Combofix Deinstallieren

Klick auf Start -> Ausführen -> eintippen combofix /U

http://img247.imageshack.us/img247/7...ombofixvs6.jpg

Damit ist Combofix und alle weiteren Programme entfernt wurden.

====

Tool-Bereinigung mit OTMoveIt2
Bitte lade Dir OTMoveIt von OldTimer herunter.

Speichere es auf Deinem Desktop.
Doppelklick auf OTMoveIt2.exe um das Programm auszuführen.
Klicke auf den Button "CleanUp!"
Eine Datei* sollte nun heruntergeladen werden.
*Das ist eine Datei mit einer Liste von Helferprogrammen, die dann automatisch von Deinem System entfernt werden.
OTMoveit fragt eventuell nach einem Neustart.
Sollte es dies tun, so lasse dies bitte zu.

Anmerkung: Nach dem Neustart werden OTMoveIt2 und andere Helferprogramme, die Du im Laufe der Bereinigung heruntergeladen hast, nicht mehr vorhanden sein. Sie wurden entfernt. Es ist daher Ok, wenn diese Programme nicht mehr vorhanden sind.

====

Schädlinge im Ordner der Systemwiederherstellung:

Deaktiviere die Systemwiederherstellung -> So wird es gemacht.

(Systemwiederherstellung kann nun wieder aktiviert werden.)

====

Free ESET Online Antivirus Scanner

diesen onlinescan machen.

====

neues hjt-log posten.

Gemacht ;)

hier der HJT-Log:

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 11:49:40, on 06.10.2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\AntiVir PersonalEdition Classic\sched.exe

C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\System32\CTsvcCDA.exe

C:\PROGRA~1\WinTV\EPG Services\System\EPGService.exe

C:\Programme\Hotspot Shield\bin\openvpnas.exe

C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\wanmpsvc.exe

C:\WINDOWS\System32\MsPMSPSv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\Dit.exe

C:\WINDOWS\Logi_MwX.Exe

C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe

C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE

C:\Programme\SlySoft\AnyDVD\AnyDVD.exe

C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe

C:\Programme\Logitech\iTouch\iTouch.exe

C:\Programme\Saitek\Software\Profiler.exe

C:\Programme\Saitek\Software\SaiSmart.exe

C:\Programme\Saitek\Software\SaiMfd.exe

C:\Programme\ATI Technologies\ATI.ACE\cli.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

C:\WINDOWS\DitExp.exe

C:\Programme\WinTV\Ir.exe

C:\Programme\Logitech\SetPoint\SetPoint.exe

C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE

C:\Programme\ATI Technologies\ATI.ACE\cli.exe

C:\Programme\ATI Technologies\ATI.ACE\cli.exe

C:\Dokumente und Einstellungen\***\Eigene Dateien\Eigene Downloads\HiJackThis(2).exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Programme\NetTransport 2\NTIEHelper.dll

O4 - HKLM\..\Run: [Dit] Dit.exe

O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe

O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r

O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE

O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r

O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe

O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile\Application Launcher\Application Launcher.exe" /startoptions

O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe

O4 - HKLM\..\Run: [Profiler] C:\Programme\Saitek\Software\Profiler.exe

O4 - HKLM\..\Run: [SaiSmart] C:\Programme\Saitek\Software\SaiSmart.exe

O4 - HKLM\..\Run: [SaiMfd] C:\Programme\Saitek\Software\SaiMfd.exe

O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [Eraser] C:\Programme\Eraser\Eraser.exe -hide

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe

O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe

O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe

O4 - Global Startup: ZyXEL G-220 Utility GUI.lnk = ?

O8 - Extra context menu item: Alles mit Net Transport herunterladen - C:\Programme\NetTransport 2\NTAddList.html

O8 - Extra context menu item: Herunterladen mit Net Transport - C:\Programme\NetTransport 2\NTAddLink.html

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll

O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL

O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe

O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O14 - IERESET.INF: START_PAGE_URL=http://www.medion.de

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - http://www.eset.eu/buxus/docs/OnlineScanner.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1138310814046

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1138310807218

O16 - DPF: {D1E7CBDA-E60E-4970-A01C-37301EF7BF98} (Measurement Services Client v.3.11) - http://gameadvisor.futuremark.com/global/msc311.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{480E1472-B959-4335-A36E-8B973463ECDE}: NameServer = 10.111.176.1

O17 - HKLM\System\CS1\Services\Tcpip\..\{480E1472-B959-4335-A36E-8B973463ECDE}: NameServer = 10.111.176.1

O17 - HKLM\System\CS2\Services\Tcpip\..\{480E1472-B959-4335-A36E-8B973463ECDE}: NameServer = 10.111.176.1

O17 - HKLM\System\CS4\Services\Tcpip\..\{480E1472-B959-4335-A36E-8B973463ECDE}: NameServer = 10.111.176.1

O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe

O23 - Service: EPGService - Hauppauge Computer Works - C:\PROGRA~1\WinTV\EPG Services\System\EPGService.exe

O23 - Service: HauppaugeTVServer - Hauppauge Computer Works - C:\PROGRA~1\WinTV\HCWTVS~1.EXE

O23 - Service: Hotspot Shield Service (HotspotShieldService) - Unknown owner - C:\Programme\Hotspot Shield\bin\openvpnas.exe

O23 - Service: Hotspot Shield Tray Service (HssTrayService) - Unknown owner - C:\Programme\Hotspot Shield\bin\HssTrayService.EXE

O23 - Service: iPod Service - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe

O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR2a\RpcDataSrv.exe

O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR2a\RpcSandraSrv.exe

O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe
 

--

End of file - 9239 bytes

Super Danke Dir für die ganze Hilfe :singsing:

Nurnoch ein kurze Frage, ComboFix hat ja die ganzen Autostart Funktionen deaktiviert (also für CD/DVD und USB-Massenspeicher) weißt Du wo ich die wieder aktivieren kann?

Danke nochmal =)
KennyRie

müssten normal wieder an sein mit dem deinstallieren von combofix, probiers aus ;).

ich würd sie auch aus lassen....

Hmm ne ist noch aus,

aber eigentlich hast Du Recht, wenn ich ins Autoplay-Menü will, dann kann ich da ja immernoch über den Arbeitsplatz rein.

Also werd ich es so lassen.

Nun gut, dann vielen vielen Dank nochmal deine Hilfe :dankeschoen:
und einen schönen Abend noch!