Aufforderung 10 TANs einzugeben auf Online-Banking Sparkasse - Problem auf meinem PC?
 

... oder vielleicht doch auf dem Sparkassen-Server?

Hi Community,

wir hatten auf einem PC - ganz normal auf der Sparkassen-OnlineBanking-Seite die Meldung, daß das Kennwort zu oft eingegeben worden ist und nun 10 TAN-Nummern als Bestätigung einzugeben seien. Die Anmeldung dauerte auch ungewöhnlich lange.

Nachdem ich einige Tools (adaware, mbam, f-secure, combofix, usw) über den PC gejagt habe, sind nun einige Dinge wie Vundo und andere Malware vermeintlich gelöscht worden.

Meine Frage ist, ob an den folgenden Logs (hijack this und combofix) noch irgendwelche Auffälligkeiten zu sehen sind und ob ich weitere Probleme zu befürchten habe.

Btw, TAN-Liste ist inzwischen gesperrt, der Account ist erneut worden und auch sonst haben wir erstmal alle Passwörter geändert.

Hier nun die Logs, bin schon sehr gespannt auf Eure Antworten, Tipps und Vorschläge zum weiteren Vorgehen.

Gruß,
Christian alias NoXpert



########## HIJACK LOG ####

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:43:09, on 24.10.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\sm56hlpr.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
C:\Programme\F-Secure\Common\FSM32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\F-Secure\Anti-Virus\fsgk32st.exe
C:\Programme\F-Secure\Common\FSMA32.EXE
C:\Programme\F-Secure\Anti-Virus\FSGK32.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
C:\Programme\F-Secure\Common\FSMB32.EXE
C:\WINDOWS\system32\o2flash.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\F-Secure\Common\FCH32.EXE
C:\Programme\F-Secure\Anti-Virus\fsqh.exe
C:\Programme\F-Secure\Common\FAMEH32.EXE
C:\Programme\F-Secure\FSPC\fspc.exe
C:\Programme\F-Secure\FSGUI\fsguidll.exe
C:\Programme\F-Secure\FSAUA\program\fsaua.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Programme\F-Secure\Anti-Virus\fssm32.exe
C:\Programme\F-Secure\FWES\Program\fsdfwd.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\F-Secure\FSAUA\program\fsus.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/fuji/defaults/su/*http://www.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://de.yahoo.com/fsc/
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (file missing)
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [Muscbrigade] c:\Musicbrigade\Musicbrigade.exe check
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\F-Secure\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ZDF.nachrichtenkurier] C:\Programme\ZDFnachrichtenkurier\0,5587,2003873,00[1].exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: VPN Client.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Erwachsene... - {200DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Programme\F-Secure\FSPC\fspcmsie.dll
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\Programme\F-Secure\FSPC\fspcmsie.dll
O9 - Extra 'Tools' menuitem: Erwachsene... - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\Programme\F-Secure\FSPC\fspcmsie.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - C:\Programme\PokerStars.NET\PokerStarsUpdate.exe
O9 - Extra button: @c:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @c:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\Programme\Messenger\msmsgs.exe
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://go.divx.com/plugin/DivXBrowserPlugin.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Programme\F-Secure\Anti-Virus\fsgk32st.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - The Firebird Project - C:\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: F-Secure Automatic Update Agent (FSAUA) - F-Secure Corporation - C:\Programme\F-Secure\FSAUA\program\fsaua.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Programme\F-Secure\FWES\Program\fsdfwd.exe
O23 - Service: FSMA - F-Secure Corporation - C:\Programme\F-Secure\Common\FSMA32.EXE
O23 - Service: F-Secure ORSP Client (FSORSPClient) - F-Secure Corporation - C:\Programme\F-Secure\ORSP Client\fsorsp.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: O2Micro Flash Memory (O2Flash) - Unknown owner - C:\WINDOWS\system32\o2flash.exe

--
End of file - 9541 bytes




########## COMBO FIX ####


ComboFix 08-10-23.03 - Luy 2008-10-24 0:36:13.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.421 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Luy\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\ehkmp.bak2
C:\WINDOWS\system32\ehkmp.ini
C:\WINDOWS\system32\ehkmp.ini2
C:\WINDOWS\system32\ehkmp.tmp
C:\WINDOWS\system32\nscsksja.ini

.
((((((((((((((((((((((( Dateien erstellt von 2008-09-23 bis 2008-10-23 ))))))))))))))))))))))))))))))
.

2008-10-24 00:25 . 2008-10-24 00:25 61,440 --a------ C:\WINDOWS\system32\drivers\lvxfvmvg.sys
2008-10-24 00:19 . 2008-10-24 00:19 <DIR> d-------- C:\Programme\Trend Micro
2008-10-23 23:37 . 2008-10-23 23:37 <DIR> d-------- C:\Dokumente und Einstellungen\Luy\Anwendungsdaten\Malwarebytes
2008-10-23 23:36 . 2008-10-23 23:38 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-10-23 23:36 . 2008-10-23 23:36 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-10-23 23:36 . 2008-10-22 16:10 38,496 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-10-23 23:36 . 2008-10-22 16:10 15,504 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-10-22 18:05 . 2008-10-22 18:05 <DIR> d-------- C:\Programme\Lavasoft
2008-10-22 18:05 . 2008-10-22 18:09 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-10-22 18:04 . 2008-10-22 18:04 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-10-21 21:10 . 2008-10-21 21:10 <DIR> d-------- C:\WINDOWS\system32\de-de
2008-10-21 21:10 . 2008-10-21 21:10 <DIR> d-------- C:\WINDOWS\system32\de
2008-10-21 21:10 . 2008-10-21 21:10 <DIR> d-------- C:\WINDOWS\system32\bits
2008-10-21 21:10 . 2008-10-21 21:10 <DIR> d-------- C:\WINDOWS\l2schemas
2008-10-21 21:07 . 2008-10-21 21:07 <DIR> d-------- C:\WINDOWS\ServicePackFiles
2008-10-14 19:08 . 2008-08-14 15:19 2,191,488 -----c--- C:\WINDOWS\system32\dllcache\ntoskrnl.exe
2008-10-14 19:08 . 2008-08-14 15:19 2,147,840 -----c--- C:\WINDOWS\system32\dllcache\ntkrnlmp.exe
2008-10-14 19:08 . 2008-08-14 15:19 2,068,352 -----c--- C:\WINDOWS\system32\dllcache\ntkrnlpa.exe
2008-10-14 19:08 . 2008-08-14 15:19 2,026,496 -----c--- C:\WINDOWS\system32\dllcache\ntkrpamp.exe
2008-10-14 19:08 . 2008-09-15 17:24 1,846,528 -----c--- C:\WINDOWS\system32\dllcache\win32k.sys
2008-10-14 19:08 . 2008-09-08 12:41 333,824 -----c--- C:\WINDOWS\system32\dllcache\srv.sys
2008-10-11 14:01 . 2008-10-11 14:01 117,248 --a------ C:\WINDOWS\system32\11.CPX
2008-10-11 14:01 . 2008-10-11 14:01 422 --a------ C:\WINDOWS\system32\121.CPX
2008-10-11 14:01 . 2008-10-11 14:01 292 --a------ C:\WINDOWS\system32\112.CPX
2008-10-08 22:45 . 2008-10-08 22:45 <DIR> d-------- C:\Programme\DivX
2008-10-06 19:22 . 2008-10-06 19:22 <DIR> d-------- C:\Dokumente und Einstellungen\Luy\Anwendungsdaten\Stellarium
2008-10-06 19:17 . 2008-10-06 19:18 <DIR> d-------- C:\Programme\Stellarium
2008-10-05 15:24 . 2008-10-05 15:24 <DIR> d-------- C:\WINDOWS\system32\Adobe
2008-10-01 19:14 . 2008-10-01 19:14 <DIR> d-------- C:\Programme\Catan GmbH
2008-09-30 20:12 . 2008-09-30 20:12 134 --a------ C:\WINDOWS\system32\CTSTATUS.FCS
2008-09-24 21:46 . 2008-04-14 04:22 4,274,816 --------- C:\WINDOWS\system32\nv4_disp.dll
2008-09-24 21:45 . 2008-04-14 04:22 1,737,856 --------- C:\WINDOWS\system32\mtxparhd.dll
2008-09-24 21:44 . 2004-08-03 22:41 1,041,536 --------- C:\WINDOWS\system32\drivers\hsfdpsp2.sys
2008-09-24 21:43 . 2008-04-14 04:22 1,888,992 --------- C:\WINDOWS\system32\ati3duag.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-23 22:25 260 ----a-w C:\Programme\sjmq.txt
2008-10-23 09:49 --------- d-----w C:\Programme\F-Secure
2008-10-23 08:23 --------- d-----w C:\Dokumente und Einstellungen\Luy\Anwendungsdaten\Skype
2008-10-23 08:22 --------- d-----w C:\Dokumente und Einstellungen\Luy\Anwendungsdaten\skypePM
2008-10-22 16:11 --------- d-----w C:\Programme\Spybot - Search & Destroy
2008-10-22 16:08 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-10-21 19:25 --------- d---a-w C:\Programme\MSN Messenger
2008-10-21 09:02 --------- d-----w C:\Programme\Weight Watchers FlexPoints
2008-09-30 18:24 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\F-Secure
2008-09-30 18:23 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\fssg
2008-09-25 20:59 --------- d-----w C:\Programme\ICQ6
2008-09-16 00:12 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
2008-09-16 00:12 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
2008-09-15 15:24 1,846,528 ----a-w C:\WINDOWS\system32\win32k.sys
2008-09-08 10:41 333,824 ----a-w C:\WINDOWS\system32\drivers\srv.sys
2008-08-20 05:08 671,744 ----a-w C:\WINDOWS\system32\wininet.dll
2008-08-14 13:19 2,147,840 ----a-w C:\WINDOWS\system32\ntoskrnl.exe
2008-08-14 13:19 2,026,496 ----a-w C:\WINDOWS\system32\ntkrnlpa.exe
2008-03-09 13:18 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ZDF.nachrichtenkurier"="C:\Programme\ZDFnachrichtenkurier\0" [X]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]
"MsnMsgr"="C:\Programme\MSN Messenger\MsnMsgr.Exe" [2007-01-19 5674352]
"Skype"="C:\Programme\Skype\Phone\Skype.exe" [2008-02-01 21898024]
"ICQ"="C:\Programme\ICQ6\ICQ.exe" [2008-09-01 173304]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="C:\WINDOWS\ehome\ehtray.exe" [2005-08-05 64512]
"igfxtray"="C:\WINDOWS\system32\igfxtray.exe" [2006-03-23 94208]
"igfxhkcmd"="C:\WINDOWS\system32\hkcmd.exe" [2006-03-23 77824]
"igfxpers"="C:\WINDOWS\system32\igfxpers.exe" [2006-03-23 118784]
"Muscbrigade"="c:\Musicbrigade\Musicbrigade.exe" [2005-12-20 40960]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 155648]
"RemoteControl"="C:\Programme\CyberLink\PowerDVD\PDVDServ.exe" [2005-04-15 45056]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 132496]
"Symantec PIF AlertEng"="C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" [2007-03-12 517768]
"F-Secure Manager"="C:\Programme\F-Secure\Common\FSM32.EXE" [2008-06-25 182936]
"F-Secure TNB"="C:\Programme\F-Secure\FSGUI\TNBUtil.exe" [2008-06-25 957024]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-12-11 286720]
"Malwarebytes Anti-Malware (reboot)"="C:\Programme\Malwarebytes' Anti-Malware\mbam.exe" [2008-10-22 1261200]
"RTHDCPL"="RTHDCPL.EXE" [2006-09-06 C:\WINDOWS\RTHDCPL.EXE]
"SkyTel"="SkyTel.EXE" [2006-05-16 C:\WINDOWS\SkyTel.exe]
"SMSERIAL"="sm56hlpr.exe" [2006-01-20 C:\WINDOWS\sm56hlpr.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 15360]

C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 29696]
VPN Client.lnk - C:\WINDOWS\Installer\{871DF2BE-41D2-4334-AC33-839AF16FC8FE}\Icon3E5562ED7.ico [2008-06-18 6144]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"InstallVisualStyle"= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"= C:\WINDOWS\Resources\Themes\Royale.theme

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"wave1"= c_396273.nls
"aux1"= c_396273.nls
"wave2"= c_396273.nls
"mixer2"= c_396273.nls
"midi1"= c_396273.nls
"aux2"= c_396273.nls
"mixer1"= c_396273.nls
"midi2"= c_396273.nls

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AOLMIcon]
--a------ 2006-01-25 13:28 737792 C:\ISP\AOL\AolMIcon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\T-Online Hinweis]
--a------ 2006-02-27 15:14 458752 c:\T-Online_Hinweis\T-Online_FS2.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Yahoo! Pager]
--a------ 2004-08-06 16:33 2502656 C:\Programme\Yahoo!\Messenger\YPager.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Yahoo!\\Messenger\\YPager.exe"=
"C:\\Programme\\Yahoo!\\Messenger\\YServer.exe"=
"C:\\Programme\\Messenger\\Msmsgs.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Mozilla Firefox\\firefox.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"C:\\Programme\\MSN Messenger\\livecall.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

R0 FSFW;F-Secure Firewall Driver;C:\WINDOWS\system32\drivers\fsdfw.sys [2008-06-25 79904]
R0 O2MDRDR;O2MDRDR;C:\WINDOWS\system32\DRIVERS\o2media.sys [2006-02-27 34880]
R0 O2SDRDR;O2SDRDR;C:\WINDOWS\system32\DRIVERS\o2sd.sys [2006-02-20 29056]
R1 F-Secure HIPS;F-Secure HIPS;C:\Programme\F-Secure\HIPS\drivers\fshs.sys [2008-06-25 66720]
R2 Automatisches LiveUpdate - Scheduler;Automatisches LiveUpdate - Scheduler;C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe [2006-08-03 100032]
R3 F-Secure Gatekeeper;F-Secure Gatekeeper;C:\Programme\F-Secure\Anti-Virus\minifilter\fsgk.sys [2008-06-25 72288]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;C:\MAGIX\Common\Database\bin\fbserver.exe [2005-08-10 1527900]
S3 FSORSPClient;F-Secure ORSP Client;C:\Programme\F-Secure\ORSP Client\fsorsp.exe [2008-06-25 55904]
S4 F-Secure Filter;F-Secure File System Filter;C:\Programme\F-Secure\Anti-Virus\Win2K\FSfilter.sys [2008-06-25 39776]
S4 F-Secure Recognizer;F-Secure File System Recognizer;C:\Programme\F-Secure\Anti-Virus\Win2K\FSrec.sys [2008-06-25 25184]

*Newly Created Service* - PROCEXP90
.
Inhalt des "geplante Tasks" Ordners

2008-10-23 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- C:\Programme\Apple Software Update\SoftwareUpdate.exe [2007-08-29 15:57]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

BHO-{1266C882-BA7D-40D9-8305-5DA11A4B670A} - (no file)
BHO-{50D3193B-9C64-4972-B8B8-28A4AA41A237} - (no file)
BHO-{81E4876D-A6DF-45FA-8F7D-700F7D9B7D1C} - (no file)
BHO-{FCC8E27A-A8DA-460A-8E53-52B8B3ADEA1E} - (no file)


.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Luy\Anwendungsdaten\Mozilla\Firefox\Profiles\cfvdegxu.default\
FF -: plugin - C:\Programme\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-24 00:37:55
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-10-24 0:39:00
ComboFix-quarantined-files.txt 2008-10-23 22:38:54

Vor Suchlauf: 8.141.959.168 Bytes frei
Nach Suchlauf: 8,360,148,992 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Windows XP Media Center Edition" /noexecute=optin /fastdetect

185 --- E O F --- 2008-10-22 19:37:39

hier noch der Inhalt des o.g. Files ComboFix-quarantined-files.txt:

2007-09-11 09:49:35 A------- 976,947 C:\Qoobox\Quarantine\C\WINDOWS\system32\ehkmp.bak2.vir
2007-09-14 15:16:56 A------- 965,115 C:\Qoobox\Quarantine\C\WINDOWS\system32\ehkmp.tmp.vir
2007-09-14 15:37:33 A------- 953,040 C:\Qoobox\Quarantine\C\WINDOWS\system32\ehkmp.ini2.vir
2007-09-14 15:37:33 A------- 970,238 C:\Qoobox\Quarantine\C\WINDOWS\system32\ehkmp.ini.vir
2007-09-14 15:38:29 A------- 694,312 C:\Qoobox\Quarantine\C\WINDOWS\system32\nscsksja.ini.vir
2008-10-24 00:31:48 A------- 54 C:\Qoobox\Quarantine\catchme.log
2008-10-24 00:36:58 A------- 10,945 C:\Qoobox\Quarantine\Registry_backups\tcpip.reg
2008-10-24 00:38:38 A------- 2 C:\Qoobox\Quarantine\Registry_backups\HKLM-Run-CFSServ.exe.reg.dat
2008-10-24 00:38:38 A------- 2 C:\Qoobox\Quarantine\Registry_backups\HKLM-Run-NDSTray.exe.reg.dat
2008-10-24 00:38:38 A------- 2 C:\Qoobox\Quarantine\Registry_backups\HKLM-Run-TFncKy.reg.dat
2008-10-24 00:38:39 A------- 157 C:\Qoobox\Quarantine\Registry_backups\BHO-{1266C882-BA7D-40D9-8305-5DA11A4B670A}.reg.dat
2008-10-24 00:38:39 A------- 157 C:\Qoobox\Quarantine\Registry_backups\BHO-{50D3193B-9C64-4972-B8B8-28A4AA41A237}.reg.dat
2008-10-24 00:38:39 A------- 157 C:\Qoobox\Quarantine\Registry_backups\BHO-{81E4876D-A6DF-45FA-8F7D-700F7D9B7D1C}.reg.dat
2008-10-24 00:38:39 A------- 157 C:\Qoobox\Quarantine\Registry_backups\BHO-{FCC8E27A-A8DA-460A-8E53-52B8B3ADEA1E}.reg.dat