Trojaner-Board - Virtumonde! Bekomme es nicht weg

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Virtumonde! Bekomme es nicht weg (https://www.trojaner-board.de/53601-virtumonde-bekomme-weg.html)

Virtumonde! Bekomme es nicht weg

Moin,
auf Wunsch eröffne ich einen eigenen Thread.
Ich habe mir Virtumonde eingefangen und bekomme ihn nicht weg.
Ad-Aware, Spybot, Antivir und Smitfraufix konnten das Problem nicht beheben.
Hier die Hijack Logfile

Logfile of Trend Micro HijackThis v2.0.2

[edit]
Bitte editiere zukünftig deine Links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

Danke. :)
Sunny
[/edit]

Boerdy wie schon gesagt, Du hast da mehr im System, so viel das ein Neuaufsetzen von Windows richtig wäre.

Eine andere Möglichkeit als neu aufsetzen gibt es nicht?

Versuchen kann man es, eine Garantie das es funktioniert gibt es nicht.

ComboFix

Download ComboFix von hier oder hier auf Deinen Desktop.
Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen!)
Doppelklicke die combofix.exe.
Wenn Combofix fertig ist, legt es ein Logfile an. Poste dieses Logfile und ein neues HJT Logfile als nächste Antwort

Wichtige Hinweise:

Combofix darf ausschließlich ausgeführt werden wenn ein erfahrener Helfer dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden. Eine falsche Benutzung kann ernsthalfte Computerprobleme nach sich ziehen.
Während Combofix läuft klicke nichts an, und benutze den Rechner nicht.
Alle Guards der Antivirenprogramme sollten wie beschrieben deaktiviert sein.
Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.
Combofix leert die Liste der für das Internet autorisierten Anwendungen. Die meisten Fragen im Folgenden nach einer Erneuten Aufnahme, einige nicht. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.
Combofix ändert den Standardbrowser auf den Internet Explorer. Diese Änderung nach der Anwendung ggf. manuel wieder ändern.
Der Desktop wird während Combofix blau werden, die Icons verschinden. Dies Verhalten ist gewollt und bedeutet keine Gefahr.

Ergänzend lies Dir diese Anleitung durch, drucke sie ggf. aus.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Hi,
also habe combofix verwendet. Der Rechner hat dann neugestartet und als er die Logdatei erstellen wollte kam folgende Meldung bei combofix:

Das System konnte die angegebene Datei nicht finden.

Somit habe ich keine Logdatei bekommen. Das Programm hat sich dann beendet.

Mein Rechner meldete mir auch, dass einige dll Dateien nicht da wären.
Man soll auch keine anderen Programme starten aber einige starten automatisch mit autostart, soll ich diese abstellen und es noch einmal versuchen?

Gruß

Björn

Bitte Combofix noch einmal laufen lassen.

ComboFix 08-06-06.6 - Björn 2008-06-07 16:30:09.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.244 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Björn\Desktop\ComboFix.exe
WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Dokumente und Einstellungen\Bj”rn\Desktop\Musik\pg.lost-yes i am-2007\Desktop_.ini
.
---- Previous Run -------
.
C:\WINDOWS\BMaf86e78c.xml
C:\WINDOWS\cookies.ini
C:\WINDOWS\pskt.ini
C:\WINDOWS\start.exe
C:\WINDOWS\system32\AJQqBJlm.ini
C:\WINDOWS\SYSTEM32\AJQqBJlm.ini2
C:\WINDOWS\system32\bdKlkUtv.ini
C:\WINDOWS\SYSTEM32\bdKlkUtv.ini2
C:\WINDOWS\SYSTEM32\bLkUwGgh.ini
C:\WINDOWS\SYSTEM32\bLkUwGgh.ini2
C:\WINDOWS\system32\bseyhcwe.ini
C:\WINDOWS\system32\laywahtp.ini
C:\WINDOWS\system32\ldcksmmu.dll
C:\WINDOWS\system32\lofqgwkn.dll
C:\WINDOWS\system32\lxsgofxm.ini
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\mifwoohl.ini
C:\WINDOWS\SYSTEM32\mlTwyGgh.ini
C:\WINDOWS\SYSTEM32\mlTwyGgh.ini2
C:\WINDOWS\SYSTEM32\PsBbayxx.ini
C:\WINDOWS\SYSTEM32\PsBbayxx.ini2
C:\WINDOWS\system32\pvltbsok.dll
C:\WINDOWS\system32\vcqmnetc.ini
C:\WINDOWS\system32\xkhiyxta.dll
C:\WINDOWS\system32\yobkadaf.dll
C:\WINDOWS\Web\default.htt

.
((((((((((((((((((((((( Dateien erstellt von 2008-05-07 bis 2008-06-07 ))))))))))))))))))))))))))))))
.

2008-06-07 15:15 . 2007-07-30 19:18 34,136 --a------ C:\WINDOWS\SYSTEM32\wucltui.dll.mui
2008-06-07 15:15 . 2007-07-30 19:20 30,040 --a------ C:\WINDOWS\SYSTEM32\wuaucpl.cpl.mui
2008-06-07 15:15 . 2007-07-30 19:20 30,040 --a------ C:\WINDOWS\SYSTEM32\wuapi.dll.mui
2008-06-07 15:15 . 2007-07-30 19:18 20,824 --a------ C:\WINDOWS\SYSTEM32\wuaueng.dll.mui
2008-06-07 15:13 . 2008-06-07 15:15 <DIR> d-------- C:\WINDOWS\LastGood
2008-06-05 18:11 . 2008-06-06 10:58 <DIR> d-------- C:\Programme\Spyware Doctor
2008-06-05 18:11 . 2008-06-05 18:11 <DIR> d-------- C:\Dokumente und Einstellungen\Björn\Anwendungsdaten\PC Tools
2008-06-05 18:11 . 2007-12-10 13:53 81,288 --a------ C:\WINDOWS\SYSTEM32\DRIVERS\iksyssec.sys
2008-06-05 18:11 . 2007-12-10 13:53 66,952 --a------ C:\WINDOWS\SYSTEM32\DRIVERS\iksysflt.sys
2008-06-05 18:11 . 2008-02-01 11:55 42,376 --a------ C:\WINDOWS\SYSTEM32\DRIVERS\ikfilesec.sys
2008-06-05 18:11 . 2007-12-10 13:53 29,576 --a------ C:\WINDOWS\SYSTEM32\DRIVERS\kcom.sys
2008-06-05 13:38 . 2008-06-07 16:29 <DIR> d-------- C:\Programme\TheWorld 2.0
2008-06-05 13:11 . 2008-06-05 13:11 <DIR> d-------- C:\Dokumente und Einstellungen\Björn\Anwendungsdaten\MSN6
2008-06-05 13:11 . 2008-06-05 13:11 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MSN6
2008-06-04 12:23 . 2007-09-06 00:22 289,144 --a------ C:\WINDOWS\SYSTEM32\VCCLSID.exe
2008-06-04 12:23 . 2006-04-27 17:49 288,417 --a------ C:\WINDOWS\SYSTEM32\SrchSTS.exe
2008-06-04 12:23 . 2008-05-29 09:35 86,528 --a------ C:\WINDOWS\SYSTEM32\VACFix.exe
2008-06-04 12:23 . 2008-05-18 21:40 82,944 --a------ C:\WINDOWS\SYSTEM32\IEDFix.exe
2008-06-04 12:23 . 2008-05-18 21:40 82,944 --a------ C:\WINDOWS\SYSTEM32\404Fix.exe
2008-06-04 12:23 . 2003-06-05 21:13 53,248 --a------ C:\WINDOWS\SYSTEM32\Process.exe
2008-06-04 12:23 . 2004-07-31 18:50 51,200 --a------ C:\WINDOWS\SYSTEM32\dumphive.exe
2008-06-04 12:23 . 2007-10-04 00:36 25,600 --a------ C:\WINDOWS\SYSTEM32\WS2Fix.exe
2008-06-04 12:23 . 2008-06-05 11:27 3,342 --a------ C:\WINDOWS\SYSTEM32\tmp.reg
2008-06-04 12:09 . 2008-06-04 12:09 <DIR> d-------- C:\Programme\Multi-Browser XP Trial
2008-06-04 11:44 . 2008-06-04 11:44 0 --------- C:\WINDOWS\SYSTEM32\HFXA1.tmp
2008-06-04 11:38 . 2008-06-04 11:42 <DIR> d--h-c--- C:\WINDOWS\ie8
2008-06-04 11:37 . 2008-06-04 11:44 <DIR> d-------- C:\b20df040bc52e72feb9261
2008-06-03 20:12 . 2008-06-03 20:12 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\AdobeUM
2008-06-03 20:10 . 2008-06-03 20:10 90,624 --------- C:\WINDOWS\SYSTEM32\ggg
2008-06-03 18:19 . 2008-06-03 18:19 <DIR> d-------- C:\Programme\Trend Micro
2008-06-03 17:42 . 2008-06-03 17:42 280,576 --a------ C:\WINDOWS\SYSTEM32\fucker.dgg
2008-06-03 17:07 . 2008-06-03 17:10 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-06-03 17:06 . 2008-06-03 17:06 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-06-02 22:04 . 2008-06-02 22:04 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DFX
2008-06-02 20:50 . 2008-06-02 20:50 <DIR> d-------- C:\Programme\DFX
2008-05-29 23:45 . 2008-05-29 23:45 <DIR> d-------- C:\Programme\Ultra Fractal 4
2008-05-29 23:45 . 2008-05-29 23:46 <DIR> d-------- C:\Dokumente und Einstellungen\Björn\Anwendungsdaten\Ultra Fractal 4
2008-05-29 23:24 . 2008-05-29 23:46 <DIR> d-------- C:\Programme\Apophysis 2.0
2008-05-29 23:06 . 2008-05-29 23:06 <DIR> d-------- C:\Programme\Gamers.IRC
2008-05-29 23:06 . 2008-05-29 23:08 <DIR> d-------- C:\Dokumente und Einstellungen\Björn\Anwendungsdaten\mIRC
2008-05-19 20:44 . 2008-05-19 20:44 <DIR> d-------- C:\Programme\Network Stumbler
2008-05-18 20:50 . 2008-06-04 19:09 <DIR> d-------- C:\Programme\Zattoo
2008-05-16 11:58 . 2008-05-16 11:58 12,632 --a------ C:\WINDOWS\SYSTEM32\lsdelete.exe
2008-05-07 21:55 . 2008-05-07 21:55 <DIR> d-------- C:\Dokumente und Einstellungen\Björn\Anwendungsdaten\MAGIX
2008-05-07 21:55 . 2008-05-07 21:56 28 --a------ C:\WINDOWS\Robota.INI
2008-05-07 21:53 . 2001-05-11 13:18 420,240 --a------ C:\WINDOWS\SYSTEM32\mpg4c32.dll
2008-05-07 21:53 . 2001-03-26 04:41 245,760 --a------ C:\WINDOWS\SYSTEM32\mp4sds32.ax
2008-05-07 21:49 . 2007-04-18 22:07 53,248 --a------ C:\WINDOWS\SYSTEM32\mgxasio2.dll
2008-05-07 21:45 . 2008-05-07 22:04 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MAGIX
2008-05-07 21:44 . 2008-05-07 22:00 <DIR> d-------- C:\Programme\MAGIX
2008-05-07 21:44 . 2007-04-27 09:43 120,200 --a------ C:\WINDOWS\SYSTEM32\DLLDEV32i.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-07 13:37 --------- d-----w C:\Programme\Mozilla Thunderbird
2008-06-07 12:17 --------- d-----w C:\Programme\Trillian
2008-06-07 08:31 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-06-06 21:17 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
2008-06-03 15:07 --------- d-----w C:\Programme\Lavasoft
2008-06-03 14:59 --------- d-----w C:\Programme\Last.fm
2008-06-02 20:15 --------- d-----w C:\Programme\Winamp
2008-06-02 19:32 --------- d-----w C:\Dokumente und Einstellungen\Björn\Anwendungsdaten\uTorrent
2008-05-27 08:51 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-05-27 08:48 --------- d-----w C:\Dokumente und Einstellungen\Björn\Anwendungsdaten\AdobeUM
2008-05-21 09:40 --------- d-----w C:\Programme\OpenOffice.org 2.0
2008-05-20 22:35 --------- d-----w C:\Dokumente und Einstellungen\Björn\Anwendungsdaten\Skype
2008-05-20 21:31 --------- d-----w C:\Dokumente und Einstellungen\Björn\Anwendungsdaten\skypePM
2008-05-18 10:03 --------- d-----w C:\Programme\DivX
2008-05-15 09:47 --------- d-----w C:\Dokumente und Einstellungen\Björn\Anwendungsdaten\OpenOffice.org2
2008-05-02 23:27 --------- d-----w C:\Programme\Coolstreaming_Tool-Bar_v1.0
2008-05-02 23:27 --------- d-----w C:\Programme\a-squared Free
2008-05-02 13:08 --------- d-----w C:\Programme\Windows Media Connect 2
2008-05-02 13:05 --------- d-----w C:\Programme\Nero
2008-05-02 13:05 --------- d-----w C:\Programme\Gemeinsame Dateien\Nero
2008-05-02 13:04 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-05-02 13:03 --------- d-----w C:\Dokumente und Einstellungen\Björn\Anwendungsdaten\COWON
2008-05-02 13:02 --------- d-----w C:\Programme\Google
2008-05-02 12:55 --------- d-----w C:\Programme\Hamachi
2008-04-29 22:31 --------- d-----w C:\Programme\AskPBar
2008-04-29 22:26 --------- d-----w C:\Dokumente und Einstellungen\Björn\Anwendungsdaten\Trillian
2008-04-29 09:20 15,648 ----a-w C:\WINDOWS\system32\drivers\NSDriver.sys
2008-04-29 09:19 15,648 ----a-w C:\WINDOWS\system32\drivers\Awrtrd.sys
2008-04-29 09:19 12,960 ----a-w C:\WINDOWS\system32\drivers\Awrtpd.sys
2008-04-28 19:56 --------- d-----w C:\Dokumente und Einstellungen\Björn\Anwendungsdaten\Hamachi
2008-04-26 11:40 --------- d-----w C:\Dokumente und Einstellungen\Björn\Anwendungsdaten\TVU Networks
2008-04-26 11:40 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TVU Networks
2008-04-26 11:39 --------- d-----w C:\Programme\TVUPlayer
2008-04-24 22:08 --------- d-----w C:\Programme\Picasa2
2008-04-18 12:48 --------- d-----w C:\Dokumente und Einstellungen\Björn\Anwendungsdaten\Ashampoo
2008-04-18 12:45 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ashampoo
2008-04-18 12:44 --------- d-----w C:\Programme\Ashampoo
2008-04-16 09:32 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-04-12 19:27 --------- d-----w C:\Programme\ANSTOSS 3
2008-04-10 20:43 25,280 ----a-w C:\WINDOWS\system32\drivers\hamachi.sys
2008-04-10 20:43 --------- d-----w C:\Dokumente und Einstellungen\Björn\Anwendungsdaten\Hamachi-Backup
2008-03-31 09:16 86,016 ----a-w C:\WINDOWS\SYSTEM32\OpenAL32.dll
2008-03-31 09:16 262,144 ----a-w C:\WINDOWS\SYSTEM32\wrap_oal.dll
2008-03-20 22:08 1,159,168 ------w C:\WINDOWS\SYSTEM32\SET8E.tmp
2008-03-20 22:07 39,258 ------w C:\WINDOWS\inf\IEM\0407\SET64.tmp
2008-03-20 22:07 2,661,220 ----a-w C:\WINDOWS\inf\SET62.tmp
2008-03-20 22:07 14,460 ------w C:\WINDOWS\inf\IEM\0407\SET63.tmp
2008-03-20 22:07 12,800 ------w C:\WINDOWS\SYSTEM32\SET7E.tmp
2008-03-04 21:55 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
2006-03-15 13:19 280,576 ----a-w C:\WINDOWS\inf\WG311v3\WG311v3XP.sys
2006-03-15 13:19 280,576 ----a-w C:\WINDOWS\inf\WG311v3\WG311v3.sys
2006-03-15 13:19 212,992 ----a-w C:\WINDOWS\inf\WG311v3\CopyWHQLDriver.exe
2004-07-11 11:57 13,195 ----a-w C:\Dokumente und Einstellungen\Administrator\ZGUICFGW.DAT
2002-09-09 11:10 266 --sh--w C:\Programme\desktop.ini
2002-09-09 11:10 11,253 ---ha-w C:\Programme\folder.htt
2001-11-23 04:08 712,704 ----a-w C:\WINDOWS\inf\OTHER\AUDIO3D.DLL
2004-08-20 15:55 56 --sha-r C:\WINDOWS\SYSTEM32\C0BC4D3316.sys
2004-08-20 15:59 848 --sha-w C:\WINDOWS\SYSTEM32\KGyGaAvL.sys
.

------- Sigcheck -------

2006-06-13 21:32 360576 b2220c618b42a2212a59d91ebd6fc4b4 C:\WINDOWS\$hf_mig$\KB917953\SP2QFE\tcpip.sys
2004-08-04 12:00 359040 9f4b36614a0fc234525ba224957de55c C:\WINDOWS\$NtUninstallKB917953$\tcpip.sys
2006-06-13 21:32 359808 1dbf125862891817f374f407626967f4 C:\WINDOWS\SYSTEM32\dllcache\tcpip.sys
2006-06-13 21:32 359808 cee1276a4a71e3f8545d97c1aad2a6b0 C:\WINDOWS\SYSTEM32\DRIVERS\tcpip.sys
.
((((((((((((((((((((((((((((( snapshot@2008-06-07_15.21.53.79 )))))))))))))))))))))))))))))))))))))))))
.
+ 2005-05-26 02:16:24 75,544 ----a-w C:\WINDOWS\LastGood\system32\cdm.dll
+ 2005-05-26 02:16:22 466,200 ----a-w C:\WINDOWS\LastGood\system32\wuapi.dll
+ 2005-05-26 02:16:22 124,696 ----a-w C:\WINDOWS\LastGood\system32\wuauclt.exe
+ 2005-05-26 02:16:30 1,343,768 ----a-w C:\WINDOWS\LastGood\system32\wuaueng.dll
+ 2005-05-26 02:16:22 128,280 ----a-w C:\WINDOWS\LastGood\system32\wucltui.dll
+ 2005-05-26 02:16:30 41,240 ----a-w C:\WINDOWS\LastGood\system32\wups.dll
+ 2005-05-26 02:16:30 18,200 ----a-w C:\WINDOWS\LastGood\system32\wups2.dll
+ 2005-05-26 02:19:32 173,536 ----a-w C:\WINDOWS\LastGood\system32\wuweb.dll
- 2005-05-26 02:16:24 75,544 ----a-w C:\WINDOWS\SYSTEM32\cdm.dll
+ 2007-07-30 17:19:20 92,504 ----a-w C:\WINDOWS\SYSTEM32\cdm.dll
- 2005-05-26 02:16:24 75,544 -c--a-w C:\WINDOWS\SYSTEM32\dllcache\cdm.dll
+ 2007-07-30 17:19:20 92,504 -c--a-w C:\WINDOWS\SYSTEM32\dllcache\cdm.dll
- 2005-05-26 02:16:22 466,200 -c--a-w C:\WINDOWS\SYSTEM32\dllcache\wuapi.dll
+ 2007-07-30 17:19:36 549,720 -c--a-w C:\WINDOWS\SYSTEM32\dllcache\wuapi.dll
- 2005-05-26 02:16:22 124,696 -c--a-w C:\WINDOWS\SYSTEM32\dllcache\wuauclt.exe
+ 2007-07-30 17:19:16 53,080 -c--a-w C:\WINDOWS\SYSTEM32\dllcache\wuauclt.exe
- 2005-05-26 02:16:30 1,343,768 -c--a-w C:\WINDOWS\SYSTEM32\dllcache\wuaueng.dll
+ 2007-07-30 17:19:42 1,712,984 -c--a-w C:\WINDOWS\SYSTEM32\dllcache\wuaueng.dll
- 2005-05-26 02:16:22 128,280 -c--a-w C:\WINDOWS\SYSTEM32\dllcache\wucltui.dll
+ 2007-07-30 17:19:32 325,976 -c--a-w C:\WINDOWS\SYSTEM32\dllcache\wucltui.dll
- 2005-05-26 02:19:32 173,536 -c--a-w C:\WINDOWS\SYSTEM32\dllcache\wuweb.dll
+ 2007-07-30 17:19:28 203,096 -c--a-w C:\WINDOWS\SYSTEM32\dllcache\wuweb.dll
+ 2007-07-30 17:18:40 33,624 ----a-w C:\WINDOWS\SYSTEM32\SoftwareDistribution\Setup\ServiceStartup\wups.dll\7.0.6000.381\wups.dll
+ 2007-07-30 17:19:12 43,352 ----a-w C:\WINDOWS\SYSTEM32\SoftwareDistribution\Setup\ServiceStartup\wups2.dll\7.0.6000.381\wups2.dll
- 2005-05-26 02:16:22 466,200 ----a-w C:\WINDOWS\SYSTEM32\wuapi.dll
+ 2007-07-30 17:19:36 549,720 ----a-w C:\WINDOWS\SYSTEM32\wuapi.dll
- 2005-05-26 02:16:22 124,696 ----a-w C:\WINDOWS\SYSTEM32\wuauclt.exe
+ 2007-07-30 17:19:16 53,080 ----a-w C:\WINDOWS\SYSTEM32\wuauclt.exe
- 2005-05-26 02:16:30 1,343,768 ----a-w C:\WINDOWS\SYSTEM32\wuaueng.dll
+ 2007-07-30 17:19:42 1,712,984 ----a-w C:\WINDOWS\SYSTEM32\wuaueng.dll
- 2005-05-26 02:16:22 128,280 ----a-w C:\WINDOWS\SYSTEM32\wucltui.dll
+ 2007-07-30 17:19:32 325,976 ----a-w C:\WINDOWS\SYSTEM32\wucltui.dll
- 2005-05-26 02:19:32 173,536 ----a-w C:\WINDOWS\SYSTEM32\wuweb.dll
+ 2007-07-30 17:19:28 203,096 ----a-w C:\WINDOWS\SYSTEM32\wuweb.dll
.
-- Snapshot reset to current date --
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{246B9A47-2166-4750-BC1E-382FBF4D72A5}]
C:\WINDOWS\system32\hgGwUkLb.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{2B0067BB-58B3-4CFC-A4AB-463D65047E9B}]
C:\WINDOWS\system32\xxyabBsP.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{5ABCF450-8B50-457B-9AB0-DEE6FD88E0ED}]
C:\WINDOWS\system32\hgGywTlm.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6276DCEC-45AE-4216-90CB-FEEA3E4F81DE}]
C:\WINDOWS\System32\aclui32.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{83551D90-D29E-4258-8990-31B7A4DA99B8}]
C:\WINDOWS\system32\mlJBqQJA.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{85BB352E-E6F5-4AF2-874B-569BADEC8896}]
C:\WINDOWS\system32\vtUklKdb.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{FEAF2780-1A5F-6A4A-D236-FF7F9CB58578}]
C:\DOKUME~1\BJRN~1\ANWEND~1\OPENSO~1\draw film.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\MyOverlayIcon1]
@={F6C95B20-E9D5-4927-8C00-2B03B554417D}

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\SlowFile Icon Overlay]
@={7D688A77-C613-11D0-999B-00C04FD655E1}

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 12:00 15360]
"Windows Workstation Service"="wkssvc.exe" []
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [ ]
"pollfour"="C:\DOKUME~1\BJRN~1\ANWEND~1\PLAYLO~1\save vga.exe" [ ]
"PnPUI Registrator"="C:\Programme\Common Files\Sitecom Shared\PnP Universal Installer\PnPUIReg.exe" [2004-11-22 22:04 163840]
"PhonostarAgent"="C:\Programme\phonostar\ps_agent.exe" [2007-06-18 16:49 98304]
"PhonostarTimer"="C:\Programme\phonostar\ps_timer.exe" [2007-06-18 16:59 126976]
"Screenshot Captor"="C:\Programme\ScreenshotCaptor\ScreenshotCaptor.exe" [ ]
"Veoh"="C:\Programme\Veoh Networks\Veoh\VeohClient.exe" [2008-04-01 18:35 3587120]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 12:43 2097488]
"ares"="C:\Programme\Ares\Ares.exe" [ ]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-04-17 13:57 68856]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"Windows Workstation Service"="wkssvc.exe" []

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SiS Tray"="C:\WINDOWS\System32\sistray.EXE" [2001-12-24 09:31 327680]
"SiS KHooker"="C:\WINDOWS\System32\khooker.exe" [2002-01-24 18:30 290816]
"Cmaudio"="cmicnfg.cpl" []
"HTpatch"="C:\WINDOWS\htpatch.exe" [2002-10-30 11:40 28672]
"SiSUSBRG"="C:\WINDOWS\SiSUSBrg.exe" [2002-07-12 12:15 106496]
"EM_EXEC"="C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE" [2002-07-01 09:50 28672]
"Realtime Audio Engine"="mmrtkrnl.exe" []
"Windows Workstation Service"="wkssvc.exe" []
"gencroot"="C:\WINDOWS\gencroot.exe" [ ]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-06-06 21:31 282624]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-15 04:02 262401]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2006-07-17 18:00 180269]
"C-Media Mixer"="Mixer.exe" [2003-03-20 08:21 1855488 C:\WINDOWS\mixer.exe]
"real axis ooze style"="C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Vgaextrarealaxis\delete itch.exe" [ ]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-10-22 13:22 7700480]
"nwiz"="nwiz.exe" [2006-10-22 13:22 1622016 C:\WINDOWS\SYSTEM32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-10-22 13:22 86016]
"WinampAgent"="C:\Programme\Winamp\winampa.exe" [2008-01-16 00:54 37376]
"Waiting1690"="C:\Windows\stid1690.exe" [ ]
"acb5d410"="C:\WINDOWS\system32\mxfogsxl.dll" [ ]
"BMaf86e78c"="C:\WINDOWS\system32\puqhprja.dll" [ ]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"Windows Workstation Service"="wkssvc.exe" []

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 12:00 15360]
"Windows Workstation Service"="wkssvc.exe" []

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunServices]
"Windows Workstation Service"="wkssvc.exe" []

C:\Dokumente und Einstellungen\Wibke\Startmen\Programme\Autostart\
Last.fm Helper.lnk - C:\Programme\Last.fm\LastFMHelper.exe [2008-01-10 19:17:51 106496]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-04-23 03:38:16 29696]
NETGEAR WG311v3 Smart Wizard.lnk - C:\WINDOWS\Installer\{70014586-7BBA-4A92-A610-CDC896C48F8F}\NewShortcut1_1.exe [2006-11-21 18:48:09 1078]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableLockWorkstation"= 0 (0x0)
"NoClose"= 0 (0x0)
"DisableChangePassword"= 0 (0x0)
"NoShutDown"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"EditLevel"= 0 (0x0)
"NoLogOff"= 0 (0x0)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"EditLevel"= 0 (0x0)
"NoRun"= 0 (0x0)
"NoClose"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\rqRjiheE]
rqRjiheE.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.l3acm"= l3codecp.acm
"VIDC.VDOM"= vdowave.drv
"vidc.DIV3"= DivXc32.dll
"vidc.DIV4"= DivXc32f.dll
"vidc.3ivx"= 3ivxVfWCodec.dll
"msacm.divxa32"= divxa32.acm
"VIDC.i263"= i263_32.drv
"msacm.imc"= imc32.acm
"msacm.thx32"= thx32.acm
"wave.dvaudio"= dvaudio.drv
"vidc.ffds"= ffdshow.ax
"vidc.yv12"= yv12vfw.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Windows Workstation Service]
@="Service"

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Google Updater.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Google Updater.lnk
backup=C:\WINDOWS\pss\Google Updater.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Björn^Startmenü^Programme^Autostart^OpenOffice.org 2.0.lnk]
path=C:\Dokumente und Einstellungen\Björn\Startmenü\Programme\Autostart\OpenOffice.org 2.0.lnk
backup=C:\WINDOWS\pss\OpenOffice.org 2.0.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AnyDVD]
--a------ 2006-08-18 12:15 471040 C:\Programme\SlySoft\AnyDVD\AnyDVD.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ares]
C:\Programme\Ares\Ares.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BearShare]
C:\Programme\BearShare\BearShare.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BlazeServoTool]
C:\Programme\BlazeVideo\BlazeDVD\MediaDetector.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
C:\Programme\DAEMON Tools\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\eMuleAutoStart]
C:\Programme\eMule\emule.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
C:\Programme\ICQLite\ICQLite.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KAZAA]
C:\Programme\Kazaa Lite\kpp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NetPumper]
C:\Programme\NetPumper\NetPumperIEProxy.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Picasa Media Detector]
--a------ 2008-02-26 03:23 443968 C:\Programme\Picasa2\PicasaMediaDetector.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ppmate]
--a------ 2006-11-03 11:50 1527879 C:\Programme\PPMate\PPMate\ppmate.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2006-06-06 21:31 282624 C:\Programme\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Screenshot Captor]
C:\Programme\ScreenshotCaptor\ScreenshotCaptor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
-ra------ 2008-02-01 18:22 21898024 C:\Programme\Skype\Phone\Skype.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
--a------ 2008-04-17 13:57 68856 C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VirtualCloneDrive]
--a------ 2006-04-29 15:21 94208 C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
--a------ 2008-01-16 00:54 37376 C:\Programme\Winamp\winampa.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\zango]
c:\programme\zango\zango.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"LoadPowerProfile"=Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\setup\disabledrunkeys]
"SiS Tray"=C:\WINDOWS\SYSTEM32\sistray.exe
"SiS KHooker"=C:\WINDOWS\SYSTEM32\KHOOKER.EXE
"Cmaudio"=RunDll32 cmicnfg.cpl,CMICtrlWnd
"DownloadAccelerator"=C:\PROGRA~1\DAP\DAP.EXE /STARTUP
"SENTRY"=C:\WINDOWS\SENTRY.exe
"Goldensoft_MndlSvr"=C:\PROGRA~1\GOLDEN~1\CDGHOS~1\MndlSvr.exe
"VCDTower"=C:\PROGRA~1\GOLDEN~1\CDGHOS~1\VCDTower.exe
"LWBMOUSE"=C:\Programme\Browser Mouse\Browser Mouse\1.1\MOUSE32A.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices-]
"SchedulingAgent"=C:\WINDOWS\SYSTEM\mstask.exe
"LoadPowerProfile"=Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\Programme\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"=
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\PPLive\\PPLive.exe"=
"C:\\Programme\\SopCast\\SopCast.exe"=
"C:\\Programme\\PPStream\\PPStream.exe"=
"C:\\Programme\\Internet Explorer\\IEXPLORE.EXE"=
"C:\\Programme\\tvants\\Tvants.exe"=
"C:\\Programme\\PPMate\\PPMate\\ppmate.exe"=
"C:\\Programme\\21cn\\VGO\\Clt.exe"=
"C:\\Programme\\Veoh Networks\\Veoh\\VeohClient.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
"C:\\Programme\\Trillian\\trillian.exe"=
"C:\\Programme\\Zattoo\\zattood.exe"=
"C:\\Programme\\Zattoo\\Zattoo.exe"=
R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2008-04-15 04:02]
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2008-04-15 04:02]
R1 SSHDRV82;SSHDRV82;C:\WINDOWS\System32\drivers\SSHDRV82.sys [2004-11-05 15:36]
R2 MarxDev1;MarxDev1;C:\WINDOWS\system32\drivers\MarxDev1.sys [2001-05-28 15:30]
R2 MarxDev2;MarxDev2;C:\WINDOWS\system32\drivers\MarxDev2.sys [2001-05-28 15:30]
R2 MarxDev3;MarxDev3;C:\WINDOWS\system32\drivers\MarxDev3.sys [2001-05-28 15:30]
R3 CAM1690;USB PC Camera;C:\WINDOWS\system32\Drivers\cam1690.sys [2007-11-21 18:37]
S1 hidfltr;HID Filter Driver;C:\WINDOWS\system32\drivers\MWhid.sys [2005-07-29 05:07]
S2 UMAXPCLS;Scannertreiber (Druckeranschluss);C:\WINDOWS\system32\DRIVERS\umaxpcls.sys [2001-08-17 13:58]
S2 Windows Workstation Service;Windows Workstation Service;C:\WINDOWS\gencroot.exe []
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;C:\Programme\MAGIX\Common\Database\bin\fbserver.exe [2005-11-17 14:18]
S3 jgameenp;jgameenp;C:\DOKUME~1\BJRN~1\LOKALE~1\Temp\jgameenp.sys []
S3 msloop;Microsoft Loopbackadaptertreiber;C:\WINDOWS\system32\DRIVERS\loop.sys [2001-08-17 13:53]
S3 NSNDIS5;NSNDIS5 NDIS Protocol Driver;C:\WINDOWS\system32\NSNDIS5.SYS [2004-03-24 04:12]
S3 VNICPKT5;VNICPKT5 Protocol Driver;C:\WINDOWS\system32\VNICPKT5.SYS [2002-08-16 13:30]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]
\Shell\AutoRun\command - D:\SETUP.EXE

*Newly Created Service* - SISPORT
.
Inhalt des "geplante Tasks" Ordners
"2006-06-29 19:12:00 C:\WINDOWS\Tasks\Erinnerung für den Deinstallationsablauf.job"
- C:\WINDOWS\System32\OOBE\oobebaln.exe
"2006-06-07 21:00:02 C:\WINDOWS\Tasks\Programmstart beschleunigen.job"
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net
Rootkit scan 2008-06-07 16:34:19
Windows 5.1.2600 Service Pack 2 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostart Einträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.Zeit der Fertigstellung: 2008-06-07 16:37:40
ComboFix-quarantined-files.txt 2008-06-07 14:37:27

17 Verzeichnis(se), 3,708,518,400 Bytes frei
39 Verzeichnis(se), 3,703,840,768 Bytes frei
413

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:

http://www.trojaner-board.de/53601-virtumonde-bekomme-es-nicht-weg.html
 

KILLALL::
 

Driver::

Windows Workstation Service
 

Collect::

C:\windows\system32\rqRjiheE.dll

C:\windows\system32\wkssvc.exe

C:\WINDOWS\gencroot.exe

C:\Windows\stid1690.exe

C:\WINDOWS\system32\mxfogsxl.dll

C:\WINDOWS\system32\puqhprja.dll

C:\WINDOWS\system32\vtUklKdb.dll

C:\WINDOWS\system32\hgGwUkLb.dll

C:\WINDOWS\system32\xxyabBsP.dll

C:\WINDOWS\system32\hgGywTlm.dll

C:\WINDOWS\System32\aclui32.dll

C:\WINDOWS\system32\mlJBqQJA.dll
 

Folder::

c:\programme\zango

C:\Programme\NetPumper

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Vgaextrarealaxis

C:\DOKUME~1\BJRN~1\ANWEND~1\PLAYLO~1

C:\DOKUME~1\BJRN~1\ANWEND~1\OPENSO~1

C:\Programme\AskPBar
 

Registry::

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Windows Workstation Service]

[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NetPumper]

[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\zango]

[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\rqRjiheE]

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{246B9A47-2166-4750-BC1E-382FBF4D72A5}]

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{2B0067BB-58B3-4CFC-A4AB-463D65047E9B}]

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{5ABCF450-8B50-457B-9AB0-DEE6FD88E0ED}]

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6276DCEC-45AE-4216-90CB-FEEA3E4F81DE}]

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{83551D90-D29E-4258-8990-31B7A4DA99B8}]

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{85BB352E-E6F5-4AF2-874B-569BADEC8896}]

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{FEAF2780-1A5F-6A4A-D236-FF7F9CB58578}]
 
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Windows Workstation Service"=-

"pollfour"=-
 
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

"Windows Workstation Service"=-
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Windows Workstation Service"=-

"gencroot"=-

"real axis ooze style"=-

"Waiting1690"=-

"acb5d410"=-

"BMaf86e78c"=-
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

"Windows Workstation Service"=-
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"Windows Workstation Service"=-
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunServices]

"Windows Workstation Service"=-

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer!)

5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

7. Nachdem das Log im Notepad aufgegenagen ist, erscheint ein Popup
http://saved.im/mjk4ndz0cty0_vs/cfcollect.jpg
Dies mit Ok wegklicken und es öffnet sich Dein Browser. In diesem Browser Fenster "Durchsuchen" auswählen und dann auf Deinem Desktop die neue .Zip Datei ([4]-Submit_Jahr-Monat-Tag_Uhrzeit.71.zip) auswählen. Dann mit Klick auf "Send" senden. So kann der Author die Erkennungsroutine des Programms verbessern.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann

Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)

Zitat:

C:\WINDOWS\SYSTEM32\ggg
C:\WINDOWS\SYSTEM32\fucker.dgg
C:\WINDOWS\SYSTEM32\SET8E.tmp
C:\WINDOWS\inf\IEM\0407\SET64.tmp
C:\WINDOWS\inf\SET62.tmp
C:\WINDOWS\inf\IEM\0407\SET63.tmp
C:\WINDOWS\SYSTEM32\SET7E.tmp

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
Wenn die Meldung kommt, dass diese Datei schon geprüft wurde, lasse die betreffende Datei dennoch noch einmal prüfen.
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den SHA1 /MD5 und dem Kopf kopieren!)

WICHTIG:
Wenn Du einen anderen Rechner zur Verfügung hast ändere dort die Zugangsdaten für:

Webmail Account
Spiele Accounts
Pay Pal
Ebay und andere Auktionshäuser
einfach alle auf diesem Rechner genutzten Logins
Wenn Du OnlineBanking auf dem Rechner betrieben hast, prüfe die Kontobewegung auf Unregelmäßigkeiten

Wichtig 2: Anwendungen wie

Zitat:

Ares
BearShare
emule
kpp.exe
HamaChi
Utorrent

sind zwar als Programm an sich keine Bedrohung, allerdings ziehen Downloads aus derlei Börsen Infektionen wie bei Dir nach sich!
Deinstalliere am besten alle!

Ich habe es nun schon 2 mal probiert aber er erstellt einfach keine Logdatei.
Nach dem neustart kommt das blaue Fenster keine Programme starten usw.
und nach ca. 10 in. kommt "konnte Datei nicht finden"

Ich probiers nun noch mal ein 3. mal

Wenn combofix eine Datei nicht findet arbeitet es weiter. Was passiert bei Dir?

So habs ein drittes mal gemacht. Wieder das gleiche es kommt keine Log Datei und irgendwann beendet sich dann combofix

Bitte starte Combofix ohne Script erneut und poste diese dann erstellte Logfile.

ComboFix 08-06-06.6 - Björn 2008-06-08 13:25:15.6 - NTFSx86
ausgeführt von:: C:\Dokumente und Einstellungen\Björn\Desktop\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Dokumente und Einstellungen\Bj”rn\Desktop\Musik\pg.lost-yes i am-2007\Desktop_.ini
.
---- Previous Run -------
.
C:\DOKUME~1\BJRN~1\ANWEND~1\PLAYLO~1
C:\DOKUME~1\BJRN~1\ANWEND~1\PLAYLO~1\D9BE706E
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Vgaextrarealaxis
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Vgaextrarealaxis\magsscrford
C:\Dokumente und Einstellungen\Bj”rn\Desktop\Musik\pg.lost-yes i am-2007\Desktop_.ini
C:\Programme\AskPBar
C:\Programme\AskPBar\bar\1.bin\ASKPBAR.DLL
C:\Programme\AskPBar\bar\Cache\13185005
C:\Programme\AskPBar\bar\Cache\131858DE.bin
C:\Programme\AskPBar\bar\Cache\13185B30.bin
C:\Programme\AskPBar\bar\Cache\13185DB1.bin
C:\Programme\AskPBar\bar\Cache\13186012.bin
C:\Programme\AskPBar\bar\Cache\1318613B.bin
C:\Programme\AskPBar\bar\Cache\files.ini
C:\Programme\AskPBar\bar\History\search2
C:\Programme\AskPBar\bar\Settings\prevcfg2.htm
C:\Programme\AskPBar\SrchAstt\1.bin\A9SRCHAS.DLL
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.-------\Legacy_WINDOWS_WORKSTATION_SERVICE
-------\Service_Windows Workstation Service
((((((((((((((((((((((( Dateien erstellt von 2008-05-08 bis 2008-06-08 ))))))))))))))))))))))))))))))
.2008-06-07 15:15 . 2007-07-30 19:18 34,136 --a------ C:\WINDOWS\SYSTEM32\wucltui.dll.mui
2008-06-07 15:15 . 2007-07-30 19:20 30,040 --a------ C:\WINDOWS\SYSTEM32\wuaucpl.cpl.mui
2008-06-07 15:15 . 2007-07-30 19:20 30,040 --a------ C:\WINDOWS\SYSTEM32\wuapi.dll.mui
2008-06-07 15:15 . 2007-07-30 19:18 20,824 --a------ C:\WINDOWS\SYSTEM32\wuaueng.dll.mui
2008-06-05 18:11 . 2008-06-06 10:58 <DIR> d-------- C:\Programme\Spyware Doctor
2008-06-05 18:11 . 2008-06-05 18:11 <DIR> d-------- C:\Dokumente und Einstellungen\Björn\Anwendungsdaten\PC Tools
2008-06-05 18:11 . 2007-12-10 13:53 81,288 --a------ C:\WINDOWS\SYSTEM32\DRIVERS\iksyssec.sys
2008-06-05 18:11 . 2007-12-10 13:53 66,952 --a------ C:\WINDOWS\SYSTEM32\DRIVERS\iksysflt.sys
2008-06-05 18:11 . 2008-02-01 11:55 42,376 --a------ C:\WINDOWS\SYSTEM32\DRIVERS\ikfilesec.sys
2008-06-05 18:11 . 2007-12-10 13:53 29,576 --a------ C:\WINDOWS\SYSTEM32\DRIVERS\kcom.sys
2008-06-05 13:38 . 2008-06-08 13:24 <DIR> d-------- C:\Programme\TheWorld 2.0
2008-06-05 13:11 . 2008-06-05 13:11 <DIR> d-------- C:\Dokumente und Einstellungen\Björn\Anwendungsdaten\MSN6
2008-06-05 13:11 . 2008-06-05 13:11 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MSN6
2008-06-04 12:23 . 2007-09-06 00:22 289,144 --a------ C:\WINDOWS\SYSTEM32\VCCLSID.exe
2008-06-04 12:23 . 2006-04-27 17:49 288,417 --a------ C:\WINDOWS\SYSTEM32\SrchSTS.exe
2008-06-04 12:23 . 2008-05-29 09:35 86,528 --a------ C:\WINDOWS\SYSTEM32\VACFix.exe
2008-06-04 12:23 . 2008-05-18 21:40 82,944 --a------ C:\WINDOWS\SYSTEM32\IEDFix.exe
2008-06-04 12:23 . 2008-05-18 21:40 82,944 --a------ C:\WINDOWS\SYSTEM32\404Fix.exe
2008-06-04 12:23 . 2003-06-05 21:13 53,248 --a------ C:\WINDOWS\SYSTEM32\Process.exe
2008-06-04 12:23 . 2004-07-31 18:50 51,200 --a------ C:\WINDOWS\SYSTEM32\dumphive.exe
2008-06-04 12:23 . 2007-10-04 00:36 25,600 --a------ C:\WINDOWS\SYSTEM32\WS2Fix.exe
2008-06-04 12:23 . 2008-06-05 11:27 3,342 --a------ C:\WINDOWS\SYSTEM32\tmp.reg
2008-06-04 12:09 . 2008-06-04 12:09 <DIR> d-------- C:\Programme\Multi-Browser XP Trial
2008-06-04 11:44 . 2008-06-04 11:44 0 --------- C:\WINDOWS\SYSTEM32\HFXA1.tmp
2008-06-04 11:38 . 2008-06-04 11:42 <DIR> d--h-c--- C:\WINDOWS\ie8
2008-06-04 11:37 . 2008-06-04 11:44 <DIR> d-------- C:\b20df040bc52e72feb9261
2008-06-03 20:12 . 2008-06-03 20:12 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\AdobeUM
2008-06-03 20:10 . 2008-06-03 20:10 90,624 --------- C:\WINDOWS\SYSTEM32\ggg
2008-06-03 18:19 . 2008-06-03 18:19 <DIR> d-------- C:\Programme\Trend Micro
2008-06-03 17:42 . 2008-06-03 17:42 280,576 --a------ C:\WINDOWS\SYSTEM32\fucker.dgg
2008-06-03 17:07 . 2008-06-03 17:10 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-06-03 17:06 . 2008-06-03 17:06 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-06-02 22:04 . 2008-06-02 22:04 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DFX
2008-06-02 20:50 . 2008-06-02 20:50 <DIR> d-------- C:\Programme\DFX
2008-05-29 23:45 . 2008-05-29 23:45 <DIR> d-------- C:\Programme\Ultra Fractal 4
2008-05-29 23:45 . 2008-05-29 23:46 <DIR> d-------- C:\Dokumente und Einstellungen\Björn\Anwendungsdaten\Ultra Fractal 4
2008-05-29 23:24 . 2008-05-29 23:46 <DIR> d-------- C:\Programme\Apophysis 2.0
2008-05-29 23:06 . 2008-05-29 23:06 <DIR> d-------- C:\Programme\Gamers.IRC
2008-05-29 23:06 . 2008-05-29 23:08 <DIR> d-------- C:\Dokumente und Einstellungen\Björn\Anwendungsdaten\mIRC
2008-05-19 20:44 . 2008-05-19 20:44 <DIR> d-------- C:\Programme\Network Stumbler
2008-05-18 20:50 . 2008-06-04 19:09 <DIR> d-------- C:\Programme\Zattoo
2008-05-16 11:58 . 2008-05-16 11:58 12,632 --a------ C:\WINDOWS\SYSTEM32\lsdelete.exe
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-08 11:20 --------- d-----w C:\Programme\Mozilla Thunderbird
2008-06-07 12:17 --------- d-----w C:\Programme\Trillian
2008-06-07 08:31 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-06-06 21:17 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
2008-06-03 15:07 --------- d-----w C:\Programme\Lavasoft
2008-06-03 14:59 --------- d-----w C:\Programme\Last.fm
2008-06-02 20:15 --------- d-----w C:\Programme\Winamp
2008-06-02 19:32 --------- d-----w C:\Dokumente und Einstellungen\Björn\Anwendungsdaten\uTorrent
2008-05-27 08:51 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-05-27 08:48 --------- d-----w C:\Dokumente und Einstellungen\Björn\Anwendungsdaten\AdobeUM
2008-05-21 09:40 --------- d-----w C:\Programme\OpenOffice.org 2.0
2008-05-20 22:35 --------- d-----w C:\Dokumente und Einstellungen\Björn\Anwendungsdaten\Skype
2008-05-20 21:31 --------- d-----w C:\Dokumente und Einstellungen\Björn\Anwendungsdaten\skypePM
2008-05-18 10:03 --------- d-----w C:\Programme\DivX
2008-05-15 09:47 --------- d-----w C:\Dokumente und Einstellungen\Björn\Anwendungsdaten\OpenOffice.org2
2008-05-07 20:04 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MAGIX
2008-05-07 20:00 --------- d-----w C:\Programme\MAGIX
2008-05-07 19:55 --------- d-----w C:\Dokumente und Einstellungen\Björn\Anwendungsdaten\MAGIX
2008-05-02 23:27 --------- d-----w C:\Programme\Coolstreaming_Tool-Bar_v1.0
2008-05-02 23:27 --------- d-----w C:\Programme\a-squared Free
2008-05-02 13:08 --------- d-----w C:\Programme\Windows Media Connect 2
2008-05-02 13:05 --------- d-----w C:\Programme\Nero
2008-05-02 13:05 --------- d-----w C:\Programme\Gemeinsame Dateien\Nero
2008-05-02 13:04 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-05-02 13:03 --------- d-----w C:\Dokumente und Einstellungen\Björn\Anwendungsdaten\COWON
2008-05-02 13:02 --------- d-----w C:\Programme\Google
2008-04-29 22:26 --------- d-----w C:\Dokumente und Einstellungen\Björn\Anwendungsdaten\Trillian
2008-04-29 09:20 15,648 ----a-w C:\WINDOWS\system32\drivers\NSDriver.sys
2008-04-29 09:19 15,648 ----a-w C:\WINDOWS\system32\drivers\Awrtrd.sys
2008-04-29 09:19 12,960 ----a-w C:\WINDOWS\system32\drivers\Awrtpd.sys
2008-04-28 19:56 --------- d-----w C:\Dokumente und Einstellungen\Björn\Anwendungsdaten\Hamachi
2008-04-26 11:40 --------- d-----w C:\Dokumente und Einstellungen\Björn\Anwendungsdaten\TVU Networks
2008-04-26 11:40 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TVU Networks
2008-04-26 11:39 --------- d-----w C:\Programme\TVUPlayer
2008-04-24 22:08 --------- d-----w C:\Programme\Picasa2
2008-04-18 12:48 --------- d-----w C:\Dokumente und Einstellungen\Björn\Anwendungsdaten\Ashampoo
2008-04-18 12:45 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ashampoo
2008-04-18 12:44 --------- d-----w C:\Programme\Ashampoo
2008-04-16 09:32 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-04-12 19:27 --------- d-----w C:\Programme\ANSTOSS 3
2008-04-10 20:43 25,280 ----a-w C:\WINDOWS\system32\drivers\hamachi.sys
2008-04-10 20:43 --------- d-----w C:\Dokumente und Einstellungen\Björn\Anwendungsdaten\Hamachi-Backup
2008-03-31 09:16 86,016 ----a-w C:\WINDOWS\SYSTEM32\OpenAL32.dll
2008-03-31 09:16 262,144 ----a-w C:\WINDOWS\SYSTEM32\wrap_oal.dll
2008-03-20 22:08 1,159,168 ------w C:\WINDOWS\SYSTEM32\SET8E.tmp
2008-03-20 22:07 39,258 ------w C:\WINDOWS\inf\IEM\0407\SET64.tmp
2008-03-20 22:07 2,661,220 ----a-w C:\WINDOWS\inf\SET62.tmp
2008-03-20 22:07 14,460 ------w C:\WINDOWS\inf\IEM\0407\SET63.tmp
2008-03-20 22:07 12,800 ------w C:\WINDOWS\SYSTEM32\SET7E.tmp
2008-03-04 21:55 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
2006-03-15 13:19 280,576 ----a-w C:\WINDOWS\inf\WG311v3\WG311v3XP.sys
2006-03-15 13:19 280,576 ----a-w C:\WINDOWS\inf\WG311v3\WG311v3.sys
2006-03-15 13:19 212,992 ----a-w C:\WINDOWS\inf\WG311v3\CopyWHQLDriver.exe
2004-07-11 11:57 13,195 ----a-w C:\Dokumente und Einstellungen\Administrator\ZGUICFGW.DAT
2002-09-09 11:10 266 --sh--w C:\Programme\desktop.ini
2002-09-09 11:10 11,253 ---ha-w C:\Programme\folder.htt
2001-11-23 04:08 712,704 ----a-w C:\WINDOWS\inf\OTHER\AUDIO3D.DLL
2004-08-20 15:55 56 --sha-r C:\WINDOWS\SYSTEM32\C0BC4D3316.sys
2004-08-20 15:59 848 --sha-w C:\WINDOWS\SYSTEM32\KGyGaAvL.sys
.------- Sigcheck -------
2006-06-13 21:32 360576 b2220c618b42a2212a59d91ebd6fc4b4 C:\WINDOWS\$hf_mig$\KB917953\SP2QFE\tcpip.sys
2004-08-04 12:00 359040 9f4b36614a0fc234525ba224957de55c C:\WINDOWS\$NtUninstallKB917953$\tcpip.sys
2006-06-13 21:32 359808 1dbf125862891817f374f407626967f4 C:\WINDOWS\SYSTEM32\dllcache\tcpip.sys
2006-06-13 21:32 359808 cee1276a4a71e3f8545d97c1aad2a6b0 C:\WINDOWS\SYSTEM32\DRIVERS\tcpip.sys
.
((((((((((((((((((((((((((((( snapshot_2008-06-07_16.36.57.26 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-06-07 12:58:42 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-06-08 10:15:07 2,048 --s-a-w C:\WINDOWS\bootstat.dat
- 2005-05-26 02:16:30 41,240 -c--a-w C:\WINDOWS\SYSTEM32\dllcache\wups.dll
+ 2007-07-30 17:18:40 33,624 -c--a-w C:\WINDOWS\SYSTEM32\dllcache\wups.dll
- 2005-05-26 02:16:30 41,240 ----a-w C:\WINDOWS\SYSTEM32\wups.dll
+ 2007-07-30 17:18:40 33,624 ----a-w C:\WINDOWS\SYSTEM32\wups.dll
- 2005-05-26 02:16:30 18,200 ----a-w C:\WINDOWS\SYSTEM32\wups2.dll
+ 2007-07-30 17:19:12 43,352 ----a-w C:\WINDOWS\SYSTEM32\wups2.dll
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\MyOverlayIcon1]
@={F6C95B20-E9D5-4927-8C00-2B03B554417D}

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\SlowFile Icon Overlay]
@={7D688A77-C613-11D0-999B-00C04FD655E1}

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 12:00 15360]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [ ]
"PnPUI Registrator"="C:\Programme\Common Files\Sitecom Shared\PnP Universal Installer\PnPUIReg.exe" [2004-11-22 22:04 163840]
"PhonostarAgent"="C:\Programme\phonostar\ps_agent.exe" [2007-06-18 16:49 98304]
"PhonostarTimer"="C:\Programme\phonostar\ps_timer.exe" [2007-06-18 16:59 126976]
"Veoh"="C:\Programme\Veoh Networks\Veoh\VeohClient.exe" [2008-04-01 18:35 3587120]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-04-17 13:57 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SiS Tray"="C:\WINDOWS\System32\sistray.EXE" [2001-12-24 09:31 327680]
"SiS KHooker"="C:\WINDOWS\System32\khooker.exe" [2002-01-24 18:30 290816]
"Cmaudio"="cmicnfg.cpl" []
"HTpatch"="C:\WINDOWS\htpatch.exe" [2002-10-30 11:40 28672]
"SiSUSBRG"="C:\WINDOWS\SiSUSBrg.exe" [2002-07-12 12:15 106496]
"EM_EXEC"="C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE" [2002-07-01 09:50 28672]
"Realtime Audio Engine"="mmrtkrnl.exe" []
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-06-06 21:31 282624]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2006-07-17 18:00 180269]
"C-Media Mixer"="Mixer.exe" [2003-03-20 08:21 1855488 C:\WINDOWS\mixer.exe]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-10-22 13:22 7700480]
"nwiz"="nwiz.exe" [2006-10-22 13:22 1622016 C:\WINDOWS\SYSTEM32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-10-22 13:22 86016]
"WinampAgent"="C:\Programme\Winamp\winampa.exe" [2008-01-16 00:54 37376]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 12:00 15360]

C:\Dokumente und Einstellungen\Wibke\Startmen\Programme\Autostart\
Last.fm Helper.lnk - C:\Programme\Last.fm\LastFMHelper.exe [2008-01-10 19:17:51 106496]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-04-23 03:38:16 29696]
NETGEAR WG311v3 Smart Wizard.lnk - C:\WINDOWS\Installer\{70014586-7BBA-4A92-A610-CDC896C48F8F}\NewShortcut1_1.exe [2006-11-21 18:48:09 1078]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableLockWorkstation"= 0 (0x0)
"NoClose"= 0 (0x0)
"DisableChangePassword"= 0 (0x0)
"NoShutDown"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"EditLevel"= 0 (0x0)
"NoLogOff"= 0 (0x0)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"EditLevel"= 0 (0x0)
"NoRun"= 0 (0x0)
"NoClose"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.l3acm"= l3codecp.acm
"VIDC.VDOM"= vdowave.drv
"vidc.DIV3"= DivXc32.dll
"vidc.DIV4"= DivXc32f.dll
"vidc.3ivx"= 3ivxVfWCodec.dll
"msacm.divxa32"= divxa32.acm
"VIDC.i263"= i263_32.drv
"msacm.imc"= imc32.acm
"msacm.thx32"= thx32.acm
"wave.dvaudio"= dvaudio.drv
"vidc.ffds"= ffdshow.ax
"vidc.yv12"= yv12vfw.dll

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Google Updater.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Google Updater.lnk
backup=C:\WINDOWS\pss\Google Updater.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Björn^Startmenü^Programme^Autostart^OpenOffice.org 2.0.lnk]
path=C:\Dokumente und Einstellungen\Björn\Startmenü\Programme\Autostart\OpenOffice.org 2.0.lnk
backup=C:\WINDOWS\pss\OpenOffice.org 2.0.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AnyDVD]
--a------ 2006-08-18 12:15 471040 C:\Programme\SlySoft\AnyDVD\AnyDVD.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ares]
C:\Programme\Ares\Ares.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]
--a------ 2008-04-15 04:02 262401 C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BearShare]
C:\Programme\BearShare\BearShare.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BlazeServoTool]
C:\Programme\BlazeVideo\BlazeDVD\MediaDetector.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
C:\Programme\DAEMON Tools\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\eMuleAutoStart]
C:\Programme\eMule\emule.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
C:\Programme\ICQLite\ICQLite.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KAZAA]
C:\Programme\Kazaa Lite\kpp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Picasa Media Detector]
--a------ 2008-02-26 03:23 443968 C:\Programme\Picasa2\PicasaMediaDetector.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ppmate]
--a------ 2006-11-03 11:50 1527879 C:\Programme\PPMate\PPMate\ppmate.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2006-06-06 21:31 282624 C:\Programme\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Screenshot Captor]
C:\Programme\ScreenshotCaptor\ScreenshotCaptor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
-ra------ 2008-02-01 18:22 21898024 C:\Programme\Skype\Phone\Skype.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
-rahs---- 2008-01-28 12:43 2097488 C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
--a------ 2008-04-17 13:57 68856 C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VirtualCloneDrive]
--a------ 2006-04-29 15:21 94208 C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
--a------ 2008-01-16 00:54 37376 C:\Programme\Winamp\winampa.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"LoadPowerProfile"=Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\setup\disabledrunkeys]
"SiS Tray"=C:\WINDOWS\SYSTEM32\sistray.exe
"SiS KHooker"=C:\WINDOWS\SYSTEM32\KHOOKER.EXE
"Cmaudio"=RunDll32 cmicnfg.cpl,CMICtrlWnd
"DownloadAccelerator"=C:\PROGRA~1\DAP\DAP.EXE /STARTUP
"SENTRY"=C:\WINDOWS\SENTRY.exe
"Goldensoft_MndlSvr"=C:\PROGRA~1\GOLDEN~1\CDGHOS~1\MndlSvr.exe
"VCDTower"=C:\PROGRA~1\GOLDEN~1\CDGHOS~1\VCDTower.exe
"LWBMOUSE"=C:\Programme\Browser Mouse\Browser Mouse\1.1\MOUSE32A.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices-]
"SchedulingAgent"=C:\WINDOWS\SYSTEM\mstask.exe
"LoadPowerProfile"=Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\Programme\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"=
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\PPLive\\PPLive.exe"=
"C:\\Programme\\SopCast\\SopCast.exe"=
"C:\\Programme\\PPStream\\PPStream.exe"=
"C:\\Programme\\Internet Explorer\\IEXPLORE.EXE"=
"C:\\Programme\\tvants\\Tvants.exe"=
"C:\\Programme\\PPMate\\PPMate\\ppmate.exe"=
"C:\\Programme\\21cn\\VGO\\Clt.exe"=
"C:\\Programme\\Veoh Networks\\Veoh\\VeohClient.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
"C:\\Programme\\Trillian\\trillian.exe"=
"C:\\Programme\\Zattoo\\zattood.exe"=
"C:\\Programme\\Zattoo\\Zattoo.exe"=

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2008-04-15 04:02]
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2008-04-15 04:02]
R1 SSHDRV82;SSHDRV82;C:\WINDOWS\System32\drivers\SSHDRV82.sys [2004-11-05 15:36]
R2 MarxDev1;MarxDev1;C:\WINDOWS\system32\drivers\MarxDev1.sys [2001-05-28 15:30]
R2 MarxDev2;MarxDev2;C:\WINDOWS\system32\drivers\MarxDev2.sys [2001-05-28 15:30]
R2 MarxDev3;MarxDev3;C:\WINDOWS\system32\drivers\MarxDev3.sys [2001-05-28 15:30]
R3 CAM1690;USB PC Camera;C:\WINDOWS\system32\Drivers\cam1690.sys [2007-11-21 18:37]
S1 hidfltr;HID Filter Driver;C:\WINDOWS\system32\drivers\MWhid.sys [2005-07-29 05:07]
S2 UMAXPCLS;Scannertreiber (Druckeranschluss);C:\WINDOWS\system32\DRIVERS\umaxpcls.sys [2001-08-17 13:58]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;C:\Programme\MAGIX\Common\Database\bin\fbserver.exe [2005-11-17 14:18]
S3 jgameenp;jgameenp;C:\DOKUME~1\BJRN~1\LOKALE~1\Temp\jgameenp.sys []
S3 msloop;Microsoft Loopbackadaptertreiber;C:\WINDOWS\system32\DRIVERS\loop.sys [2001-08-17 13:53]
S3 NSNDIS5;NSNDIS5 NDIS Protocol Driver;C:\WINDOWS\system32\NSNDIS5.SYS [2004-03-24 04:12]
S3 VNICPKT5;VNICPKT5 Protocol Driver;C:\WINDOWS\system32\VNICPKT5.SYS [2002-08-16 13:30]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]
\Shell\AutoRun\command - D:\SETUP.EXE

*Newly Created Service* - WINIO.
Inhalt des "geplante Tasks" Ordners
"2006-06-29 19:12:00 C:\WINDOWS\Tasks\Erinnerung für den Deinstallationsablauf.job"
- C:\WINDOWS\System32\OOBE\oobebaln.exe
"2006-06-07 21:00:02 C:\WINDOWS\Tasks\Programmstart beschleunigen.job"
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net
Rootkit scan 2008-06-08 13:30:31
Windows 5.1.2600 Service Pack 2 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostart Einträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.Zeit der Fertigstellung: 2008-06-08 13:33:52
ComboFix-quarantined-files.txt 2008-06-08 11:33:47
ComboFix2.txt 2008-06-07 14:37:41
17 Verzeichnis(se), 3,592,380,416 Bytes frei
39 Verzeichnis(se), 3,586,748,416 Bytes frei
334

Soweit ist es durchgelaufen, jetzt arbeite bitte den zweiten Teil meines Posts ab.

Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Zitat:

(lass auch die versteckten Dateien anzeigen!)

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
Wenn die Meldung kommt, dass diese Datei schon geprüft wurde, lasse die betreffende Datei dennoch noch einmal prüfen.
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den SHA1 /MD5 und dem Kopf kopieren!)

WICHTIG:
Wenn Du einen anderen Rechner zur Verfügung hast ändere dort die Zugangsdaten für:

Webmail Account
Spiele Accounts
Pay Pal
Ebay und andere Auktionshäuser
einfach alle auf diesem Rechner genutzten Logins
Wenn Du OnlineBanking auf dem Rechner betrieben hast, prüfe die Kontobewegung auf Unregelmäßigkeiten

Wichtig 2: Anwendungen wie

Zitat:

Ares
BearShare
emule
kpp.exe
HamaChi
Utorrent

sind zwar als Programm an sich keine Bedrohung, allerdings ziehen Downloads aus derlei Börsen Infektionen wie bei Dir nach sich!
Deinstalliere am besten alle!