Trojaner-Board - Trojaner Virtumonde.24576 läßt sich nicht entfernen! Bitte um hilfe!

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Trojaner Virtumonde.24576 läßt sich nicht entfernen! Bitte um hilfe! (https://www.trojaner-board.de/54270-trojaner-virtumonde-24576-laesst-entfernen-bitte-um-hilfe.html)

Trojaner Virtumonde.24576 läßt sich nicht entfernen! Bitte um hilfe!

Hallo erstmal!
Mein Problem ist folgendes:
Habe vor 2 Tagen von einem Bekannten folgenden link:

hahahahahha ;-pp h**p://ImageShaeck.us/photo53.php?=***@hotmail.de

via MSN zugesandt bekommen und ihn dummerweise geöffnet! Habe mir ja auch nichts böses bei gedacht!
Mein bekannter schrieb mir noch ich solle das nicht öffnen nur leider zu spät!
Dann trat das Problm auf das sich sämtliche Unterhaltungsfenter schlossen und sich nicht mehr öffnen ließen!
Habe den Messi dann deinstalliert und wieder neu drauf gemacht!
Klappte alles wieder wie vorher!
Als ich am nächsten Tag denRechner anmachte ging es dann richtig los!
Mein IE öffnet einfach so irgendwelche Werbung!
Mein Windows Sicherheitscenter zeigt mir and as die automatischen updates deaktiviert sind!
Antivir bombadiert mich mit der meldung:
Fund:
C:\WINDOWS\system32\xxyaawtt.dll der Trojaner TR/Virtumonde.24576
Und das Proble ist das Sch....... viech läßt sic durch nichts entfernen! Ha schon einiges versucht!
Formatieren brachte nichts sobald ich den messi gestartet hatte und die erste Nachricht versenden wollte war er wieder da!
Mit Adaware ging er nicht weg auch nicht mit Spywarefighter!
Habe mir eben dieses Hijack This geholt und daskam dabei raus :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:41:36, on 19.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\SPYWAREfighter\spfprc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Apoint2K\Apntex.exe
C:\dokumente und einstellungen\edelzicke\lokale einstellungen\anwendungsdaten\frdfqcd.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\Programme\Lavasoft\Ad-Aware\Ad-Aware.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O2 - BHO: (no name) - {04EFDBB1-2058-4999-A83D-EBB74D5543D4} - C:\WINDOWS\system32\vtUkjGwT.dll
O2 - BHO: (no name) - {728AAF16-F1AF-4C45-8B1E-45C0F8519A28} - C:\WINDOWS\system32\xxyaawtt.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: {cd0f0b86-b551-a21a-00a4-9b927fb05ddc} - {cdd50bf7-29b9-4a00-a12a-155b68b0f0dc} - C:\WINDOWS\system32\bxmoxkia.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [Windows Acer Service ] acersv.exe
O4 - HKLM\..\Run: [543c5706] rundll32.exe "C:\WINDOWS\system32\bhxsdfpj.dll",b
O4 - HKLM\..\Run: [spywarefighterguard] C:\Programme\SPYWAREfighter\spftray.exe
O4 - HKLM\..\Run: [BM570f649a] Rundll32.exe "C:\WINDOWS\system32\lkduasla.dll",s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_1_0
O4 - HKCU\..\Run: [frdfqcd] c:\dokumente und einstellungen\xxx\lokale einstellungen\anwendungsdaten\frdfqcd.exe frdfqcd
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: (no name) - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1211276601665
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O20 - Winlogon Notify: xxyaawtt - C:\WINDOWS\SYSTEM32\xxyaawtt.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: SPYWAREfighterRP - SpamFighter APS - C:\Programme\SPYWAREfighter\spfprc.exe

--
End of file - 6254 bytes

Hoffe ihr könnt mir helfen hab nämlch keine Ahnung was das alles bedeutet!
Bin noch ziemliche Anfängerin was Computer betrifft!

Ich danke schon mal im vorraus für eure antworten!

ComboFix

Download ComboFix von hier oder hier auf Deinen Desktop.
Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen!)
Doppelklicke die combofix.exe.
Wenn Combofix fertig ist, legt es ein Logfile an. Poste dieses Logfile und ein neues HJT Logfile als nächste Antwort

Wichtige Hinweise:

Combofix darf ausschließlich ausgeführt werden wenn ein erfahrener Helfer dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden. Eine falsche Benutzung kann ernsthalfte Computerprobleme nach sich ziehen.
Während Combofix läuft klicke nichts an, und benutze den Rechner nicht.
Alle Guards der Antivirenprogramme sollten wie beschrieben deaktiviert sein.
Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.
Combofix leert die Liste der für das Internet autorisierten Anwendungen. Die meisten Fragen im Folgenden nach einer Erneuten Aufnahme, einige nicht. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.
Combofix ändert den Standardbrowser auf den Internet Explorer. Diese Änderung nach der Anwendung ggf. manuel wieder ändern.
Der Desktop wird während Combofix blau werden, die Icons verschinden. Dies Verhalten ist gewollt und bedeutet keine Gefahr.

Ergänzend lies Dir diese Anleitung durch, drucke sie ggf. aus.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Cobofix Logfile

ComboFix 08-06-16.5 - Edelzicke 2008-06-19 14:08:12.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.185 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\***\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\frdfqcd.dat
c:\dokumente und einstellungen\***\lokale einstellungen\anwendungsdaten\frdfqcd.exe
c:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\frdfqcd_nav.dat
c:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\frdfqcd_navps.dat
C:\Programme\AntiSpywareExpert
C:\Programme\AntiSpywareExpert\ase_de.exe
C:\WINDOWS\BM570f649a.xml
C:\WINDOWS\cookies.ini
C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\bhxsdfpj.dll
C:\WINDOWS\system32\bxmoxkia.dll
C:\WINDOWS\system32\dxigubfe.dll
C:\WINDOWS\system32\jpfdsxhb.ini
C:\WINDOWS\system32\kjxspewp.ini
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\nvs2.inf
C:\WINDOWS\system32\pwepsxjk.dll
C:\WINDOWS\system32\qbwewnat.ini
C:\WINDOWS\system32\rlqgunjj.dll
C:\WINDOWS\system32\tanwewbq.dll
C:\WINDOWS\system32\TwGjkUtv.ini
C:\WINDOWS\system32\TwGjkUtv.ini2
C:\WINDOWS\system32\vtUkjGwT.dll

.
((((((((((((((((((((((( Dateien erstellt von 2008-05-19 bis 2008-06-19 ))))))))))))))))))))))))))))))
.

2008-06-19 12:40 . 2008-06-19 12:40 <DIR> d-------- C:\Programme\Trend Micro
2008-06-19 12:23 . 2008-06-19 12:23 <DIR> d-------- C:\Programme\Lavasoft
2008-06-19 12:23 . 2008-06-19 12:26 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-06-19 12:21 . 2008-06-19 12:21 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-06-18 21:08 . 2008-06-18 21:08 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Application
2008-06-18 21:07 . 2008-06-18 21:10 <DIR> d-------- C:\Programme\SPYWAREfighter
2008-06-18 19:34 . 2008-06-18 19:34 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\AdobeUM
2008-06-17 14:14 . 2008-06-17 14:14 24,576 --a------ C:\WINDOWS\system32\xxyaawtt.VIR
2008-06-17 10:37 . 2008-06-17 11:44 2,231 --a------ C:\iss.exe
2008-06-16 18:10 . 2008-06-16 18:10 5,457 --a------ C:\a.exe
2008-06-15 23:53 . 2008-06-15 23:53 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\ICQ Toolbar
2008-06-15 23:30 . 2008-06-16 10:58 <DIR> d-------- C:\Programme\ICQToolbar
2008-06-15 23:29 . 2008-06-15 23:33 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\ICQ
2008-06-14 21:56 . 2008-04-23 06:16 6,066,176 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll
2008-06-14 21:56 . 2007-04-17 11:32 2,455,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dat
2008-06-14 21:56 . 2007-03-08 07:09 1,040,384 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll.mui
2008-06-14 21:56 . 2008-04-23 06:16 459,264 -----c--- C:\WINDOWS\system32\dllcache\msfeeds.dll
2008-06-14 21:56 . 2008-04-23 06:16 383,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dll
2008-06-14 21:56 . 2008-04-23 06:16 267,776 -----c--- C:\WINDOWS\system32\dllcache\iertutil.dll
2008-06-14 21:56 . 2008-04-23 06:16 63,488 -----c--- C:\WINDOWS\system32\dllcache\icardie.dll
2008-06-14 21:56 . 2008-04-23 06:16 52,224 -----c--- C:\WINDOWS\system32\dllcache\msfeedsbs.dll
2008-06-14 21:56 . 2008-04-22 09:39 13,824 -----c--- C:\WINDOWS\system32\dllcache\ieudinit.exe
2008-06-14 21:53 . 2008-06-14 21:57 <DIR> d-------- C:\WINDOWS\system32\de-de
2008-06-14 20:29 . 2008-06-14 20:29 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SweetIM
2008-06-13 18:37 . 2008-06-13 18:37 <DIR> d-------- C:\WINDOWS\Sun
2008-06-13 12:28 . 2008-06-16 11:00 <DIR> d-------- C:\Programme\Windows Live Toolbar
2008-06-13 11:34 . 2008-06-19 05:23 <DIR> d-------- C:\WINDOWS\SxsCaPendDel
2008-06-12 16:20 . 2007-07-30 19:19 271,224 --a------ C:\WINDOWS\system32\mucltui.dll
2008-06-12 16:20 . 2007-07-30 19:19 207,736 --a------ C:\WINDOWS\system32\muweb.dll
2008-06-12 16:20 . 2007-07-30 19:18 30,072 --a------ C:\WINDOWS\system32\mucltui.dll.mui
2008-06-12 14:36 . 2008-06-18 22:57 <DIR> d-------- C:\Programme\Windows Live
2008-06-12 14:36 . 2008-06-13 12:24 <DIR> d--hsc--- C:\Programme\Gemeinsame Dateien\WindowsLiveInstaller
2008-06-12 14:35 . 2008-06-13 12:20 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WLInstaller
2008-06-12 13:52 . 2008-06-12 13:52 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\vlc
2008-06-12 13:51 . 2008-06-18 22:58 <DIR> d-------- C:\Programme\VideoLAN
2008-06-05 22:04 . 2008-06-05 22:04 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\InterVideo
2008-06-01 23:20 . 2008-06-01 23:20 268 --ah----- C:\sqmdata15.sqm
2008-06-01 23:20 . 2008-06-01 23:20 244 --ah----- C:\sqmnoopt15.sqm
2008-06-01 10:51 . 2008-06-12 15:03 <DIR> d-------- C:\Programme\McDonaldsDragons
2008-06-01 10:50 . 2008-06-01 10:50 <DIR> d--hs---- C:\WINDOWS\ftpcache
2008-06-01 10:48 . 2008-06-01 10:48 268 --ah----- C:\sqmdata14.sqm
2008-06-01 10:48 . 2008-06-01 10:48 244 --ah----- C:\sqmnoopt14.sqm
2008-05-31 22:17 . 2008-05-31 22:17 268 --ah----- C:\sqmdata13.sqm
2008-05-31 22:17 . 2008-05-31 22:17 244 --ah----- C:\sqmnoopt13.sqm
2008-05-30 09:20 . 2008-05-30 09:20 268 --ah----- C:\sqmdata12.sqm
2008-05-30 09:20 . 2008-05-30 09:20 244 --ah----- C:\sqmnoopt12.sqm
2008-05-30 09:09 . 2008-05-30 09:09 268 --ah----- C:\sqmdata11.sqm
2008-05-30 09:09 . 2008-05-30 09:09 244 --ah----- C:\sqmnoopt11.sqm
2008-05-29 22:25 . 2008-05-29 22:25 268 --ah----- C:\sqmdata10.sqm
2008-05-29 22:25 . 2008-05-29 22:25 244 --ah----- C:\sqmnoopt10.sqm
2008-05-28 19:10 . 2008-05-28 19:10 268 --ah----- C:\sqmdata09.sqm
2008-05-28 19:10 . 2008-05-28 19:10 244 --ah----- C:\sqmnoopt09.sqm
2008-05-27 21:49 . 2008-05-27 21:49 268 --ah----- C:\sqmdata08.sqm
2008-05-27 21:49 . 2008-05-27 21:49 244 --ah----- C:\sqmnoopt08.sqm
2008-05-27 13:17 . 2008-05-27 13:17 0 --a------ C:\ss_router.cfg
2008-05-27 09:23 . 2008-05-27 09:23 268 --ah----- C:\sqmdata07.sqm
2008-05-27 09:23 . 2008-05-27 09:23 244 --ah----- C:\sqmnoopt07.sqm
2008-05-26 21:42 . 2008-05-26 21:42 <DIR> d-------- C:\WINDOWS\system32\LogFiles
2008-05-26 11:10 . 2008-06-11 23:16 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\AdobeUM
2008-05-25 19:41 . 2008-05-25 19:41 268 --ah----- C:\sqmdata06.sqm
2008-05-25 19:41 . 2008-05-25 19:41 244 --ah----- C:\sqmnoopt06.sqm
2008-05-22 20:51 . 2008-05-22 20:51 268 --ah----- C:\sqmdata05.sqm
2008-05-22 20:51 . 2008-05-22 20:51 244 --ah----- C:\sqmnoopt05.sqm
2008-05-22 18:14 . 2008-06-05 22:05 116 --a------ C:\WINDOWS\NeroDigital.ini
2008-05-22 18:03 . 2004-08-03 23:10 38,016 --a------ C:\WINDOWS\system32\drivers\bthmodem.sys
2008-05-22 18:03 . 2004-08-03 23:10 38,016 --a--c--- C:\WINDOWS\system32\dllcache\bthmodem.sys
2008-05-22 18:02 . 2004-08-03 22:58 100,992 --a------ C:\WINDOWS\system32\drivers\bthpan.sys
2008-05-22 18:02 . 2004-08-03 22:58 100,992 --a--c--- C:\WINDOWS\system32\dllcache\bthpan.sys
2008-05-22 18:02 . 2008-05-22 18:02 268 --ah----- C:\sqmdata04.sqm
2008-05-22 18:02 . 2008-05-22 18:02 244 --ah----- C:\sqmnoopt04.sqm
2008-05-22 10:31 . 2008-05-22 10:31 268 --ah----- C:\sqmdata03.sqm
2008-05-22 10:31 . 2008-05-22 10:31 244 --ah----- C:\sqmnoopt03.sqm
2008-05-22 07:58 . 2008-05-22 07:58 268 --ah----- C:\sqmdata02.sqm
2008-05-22 07:58 . 2008-05-22 07:58 244 --ah----- C:\sqmnoopt02.sqm
2008-05-22 07:43 . 2008-05-22 07:43 268 --ah----- C:\sqmdata01.sqm
2008-05-22 07:43 . 2008-05-22 07:43 244 --ah----- C:\sqmnoopt01.sqm
2008-05-21 22:36 . 2008-05-21 22:36 268 --ah----- C:\sqmdata00.sqm
2008-05-21 22:36 . 2008-05-21 22:36 244 --ah----- C:\sqmnoopt00.sqm
2008-05-20 11:52 . 2008-05-20 21:20 <DIR> d-------- C:\Dokumente und Einstellungen\***\Contacts
2008-05-20 11:51 . 2008-06-12 14:37 <DIR> d----c--- C:\WINDOWS\system32\DRVSTORE
2008-05-20 11:44 . 2007-07-30 19:19 43,352 --a------ C:\WINDOWS\system32\wups2.dll
2008-05-20 11:44 . 2007-07-30 19:18 34,136 --a------ C:\WINDOWS\system32\wucltui.dll.mui
2008-05-20 11:44 . 2007-07-30 19:20 30,040 --a------ C:\WINDOWS\system32\wuaucpl.cpl.mui
2008-05-20 11:44 . 2007-07-30 19:20 30,040 --a------ C:\WINDOWS\system32\wuapi.dll.mui
2008-05-20 11:44 . 2007-07-30 19:18 20,824 --a------ C:\WINDOWS\system32\wuaueng.dll.mui
2008-05-20 11:34 . 2008-05-20 11:34 <DIR> d--hs---- C:\Dokumente und Einstellungen\***\UserData
2008-05-20 11:27 . 2008-05-20 11:27 <DIR> d-------- C:\Programme\Avira
2008-05-20 11:27 . 2008-05-20 11:27 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-05-19 22:08 . 2008-05-19 22:08 <DIR> d-------- C:\Programme\Kaspersky Lab
2008-05-19 22:06 . 2008-05-19 22:06 <DIR> d-------- C:\kav
2008-05-19 22:05 . 2008-06-05 23:03 169 --a------ C:\WINDOWS\RtlRack.ini
2008-05-19 21:50 . 2000-08-19 19:29 268,048 --a------ C:\WINDOWS\system32\dxtmeta2.dll
2008-05-19 21:47 . 2008-05-19 21:47 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Nero
2008-05-19 21:44 . 2008-05-19 21:44 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Ahead
2008-05-19 21:44 . 2008-05-19 21:44 <DIR> d-------- C:\Programme\Ahead
2008-05-19 21:44 . 2004-07-26 16:16 1,568,768 --------- C:\WINDOWS\system32\ImagX7.dll
2008-05-19 21:44 . 2004-07-26 16:16 476,320 --------- C:\WINDOWS\system32\ImagXpr7.dll
2008-05-19 21:44 . 2004-07-26 16:16 471,040 --------- C:\WINDOWS\system32\ImagXRA7.dll
2008-05-19 21:44 . 2004-07-26 16:16 262,144 --------- C:\WINDOWS\system32\ImagXR7.dll
2008-05-19 21:44 . 2001-07-09 10:50 155,648 --a------ C:\WINDOWS\system32\NeroCheck.exe
2008-05-19 21:44 . 2000-06-26 10:45 106,496 --a------ C:\WINDOWS\system32\TwnLib20.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-18 20:55 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-06-18 18:51 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-05-16 09:58 12,632 ----a-w C:\WINDOWS\system32\lsdelete.exe
2008-05-14 07:24 --------- d-----w C:\Programme\MSBuild
2008-05-14 07:24 --------- d-----w C:\Programme\Microsoft Works
2008-05-14 07:22 --------- d-----w C:\Programme\Microsoft.NET
2008-05-13 08:30 --------- d-----w C:\Programme\Apoint2K
2008-05-13 08:29 --------- d-----w C:\Programme\Realtek Sound Manager
2008-05-13 08:29 --------- d-----w C:\Programme\AvRack
2008-05-13 08:25 --------- d-----w C:\Programme\InterVideo
2008-05-13 08:25 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2008-05-13 08:15 --------- d-----w C:\Programme\microsoft frontpage
2008-05-13 08:14 --------- d-----w C:\Programme\Java
2008-05-13 08:14 --------- d-----w C:\Programme\Gemeinsame Dateien\Java
2008-05-13 08:09 --------- d-----w C:\Programme\Online-Dienste
2008-05-13 08:08 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste
2008-05-08 12:28 202,752 ----a-w C:\WINDOWS\system32\drivers\rmcast.sys
2008-05-07 05:14 1,293,312 ----a-w C:\WINDOWS\system32\quartz.dll
2008-04-29 09:20 15,648 ----a-w C:\WINDOWS\system32\drivers\NSDriver.sys
2008-04-29 09:19 15,648 ----a-w C:\WINDOWS\system32\drivers\Awrtrd.sys
2008-04-29 09:19 12,960 ----a-w C:\WINDOWS\system32\drivers\Awrtpd.sys
2008-04-23 04:16 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-03-25 04:51 621,344 ----a-w C:\WINDOWS\system32\mswstr10.dll
2008-03-25 04:51 187,168 ----a-w C:\WINDOWS\system32\msjint40.dll
2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{728AAF16-F1AF-4C45-8B1E-45C0F8519A28}]
C:\WINDOWS\system32\xxyaawtt.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360]
"MsnMsgr"="C:\Programme\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 11:34 5724184]
"updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [ ]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0\bin\jusched.exe" [2008-05-13 10:14 36972]
"VTTimer"="VTTimer.exe" [2004-11-12 12:28 53248 C:\WINDOWS\system32\VTTimer.exe]
"SoundMan"="SOUNDMAN.EXE" [2004-11-12 12:17 73728 C:\WINDOWS\SOUNDMAN.EXE]
"AGRSMMSG"="AGRSMMSG.exe" [2004-06-07 10:15 88363 C:\WINDOWS\AGRSMMSG.exe]
"Apoint"="C:\Programme\Apoint2K\Apoint.exe" [2003-12-05 14:22 159744]
"GrooveMonitor"="C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-27 00:47 31016]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50 155648]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-04 14:00 110592 C:\WINDOWS\system32\bthprops.cpl]
"Windows Acer Service "="acersv.exe" []
"spywarefighterguard"="C:\Programme\SPYWAREfighter\spftray.exe" [2008-02-21 15:37 115344]
"BM570f649a"="C:\WINDOWS\system32\lkduasla.dll" [ ]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{728AAF16-F1AF-4C45-8B1E-45C0F8519A28}"= C:\WINDOWS\system32\xxyaawtt.dll [ ]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\xxyaawtt]
xxyaawtt.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"C:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"C:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\WINDOWS\\system32\\sessmgr.exe"=
"C:\\WINDOWS\\system32\\dpvsetup.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=

R3 EKBfltr;ENE Keyboard Controller;C:\WINDOWS\system32\DRIVERS\EKBfltr.sys [2003-10-24 16:04]
S3 SpyFighter;SpyFighter Guard Device;C:\Programme\SPYWAREfighter\spyfighter.sys [2008-02-21 15:38]
Start Pending3 SPYWAREfighterRP;SPYWAREfighterRP;"C:\Programme\SPYWAREfighter\spfprc.exe" [2008-02-21 15:37]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6f544850-2185-11dd-8c50-0014a5437de2}]
\shell\verb1\command - desktop.exe

.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-19 14:19:19
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Apoint2K\ApntEx.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-06-19 14:23:43 - machine was rebooted [Edelzicke]
ComboFix-quarantined-files.txt 2008-06-19 12:23:29

8 Verzeichnis(se), 52,231,536,640 Bytes frei
11 Verzeichnis(se), 52,305,399,808 Bytes frei

235 --- E O F --- 2008-06-15 17:25:08

Logfile Hijack This

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:32:18, on 19.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\SPYWAREfighter\spftray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Apoint2K\Apntex.exe
C:\Programme\SPYWAREfighter\spfprc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: (no name) - {728AAF16-F1AF-4C45-8B1E-45C0F8519A28} - C:\WINDOWS\system32\xxyaawtt.dll (file missing)
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [Windows Acer Service ] acersv.exe
O4 - HKLM\..\Run: [spywarefighterguard] C:\Programme\SPYWAREfighter\spftray.exe
O4 - HKLM\..\Run: [BM570f649a] Rundll32.exe "C:\WINDOWS\system32\lkduasla.dll",s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_1_0
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: (no name) - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1211276601665
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O20 - Winlogon Notify: xxyaawtt - xxyaawtt.dll (file missing)
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: SPYWAREfighterRP - SpamFighter APS - C:\Programme\SPYWAREfighter\spfprc.exe

--
End of file - 5534 bytes

Eine frage noch bevor Combofix die Logdatei erstellt hat kam folgende meldung:

RUNDLL
Fehler beim Laden von
C:\WINDOWS\system32\lkduasla.dll
Das angegebene Modul wurde nicht gefunden

Ist das normal?

Ja, die Meldung ist normal und gleich weg. :)

Zwischenfrage:
Was für einen Router hast Du und sind an diesem die Standart Kennwörter geändert worden?

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:

http://www.trojaner-board.de/54270-trojaner-virtumonde-24576-laesst-sich-nicht-entfernen-bitte-um-hilfe.html
 

Collect::

C:\WINDOWS\system32\xxyaawtt.dll

C:\WINDOWS\system32\xxyaawtt.VIR

C:\iss.exe

C:\a.exe

C:\WINDOWS\system32\lkduasla.dll
 

Folder::

C:\WINDOWS\SxsCaPendDel
 
 

FileLook::

C:\WINDOWS\system32\lsdelete.exe
 

Registry::

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{728AAF16-F1AF-4C45-8B1E-45C0F8519A28}]

                        
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Windows Acer Service "=-

"BM570f649a"=-
 

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]

"{728AAF16-F1AF-4C45-8B1E-45C0F8519A28}"=-

[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\xxyaawtt]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6f544850-2185-11dd-8c50-0014a5437de2}]

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer!)

5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

7. Nachdem das Log im Notepad aufgegenagen ist, erscheint ein Popup
http://saved.im/mjk4ndz0cty0_vs/cfcollect.jpg
Dies mit Ok wegklicken und es öffnet sich Dein Browser. In diesem Browser Fenster "Durchsuchen" auswählen und dann auf Deinem Desktop die neue .Zip Datei ([4]-Submit_Jahr-Monat-Tag_Uhrzeit.71.zip) auswählen. Dann mit Klick auf "Send" senden. So kann der Author die Erkennungsroutine des Programms verbessern.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann

Also wir haben von Freenet diesen Router Samsung 3010Phone SL
und an den hat mein Mann noch einen von Syslinh rangeklemmt wegen WLAN!
Aber wie das mit den Passwörtern ist das weiß ich nicht und ich kann ihn auch nicht fragen da er beruflich im Ausland ist!

Warum ? Hat das mit dem Router zu tun?

Ich frage wegen dieser Meldung.
Kannst Du ermitteln, um welches Modell es sich bei Syslinh handelt?

Sorry nicht so schnell ich verstehe punkt 3 nicht so ganz!
Also habe jetzt das alles in die kleine Leiste beim Notepad reinkopiert! Aber wie mache ich das was du unter 3. angegeben hast?

Du musst den Inhalt jetzt als cfscript.txt auf Deinem Desktop speichern. :)

Besser erklärt?

Also ich hab das jetzt aufm Desktop gepackt und in ins Combo gezogen der hat dann wieder son Log erstellt aber mich nicht nmach neustart gefragt!
Was muß ich jetzt machen?

Ich poste mal was bei dem Scan rausgekommen ist!

ComboFix 08-06-16.5 - *** 2008-06-19 17:36:35.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.203 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\***\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\***\Desktop\CFScript.txt.txt
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\a.exe

.
((((((((((((((((((((((( Dateien erstellt von 2008-05-19 bis 2008-06-19 ))))))))))))))))))))))))))))))
.

2008-06-19 12:40 . 2008-06-19 12:40 <DIR> d-------- C:\Programme\Trend Micro
2008-06-19 12:23 . 2008-06-19 12:23 <DIR> d-------- C:\Programme\Lavasoft
2008-06-19 12:23 . 2008-06-19 12:26 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-06-19 12:21 . 2008-06-19 12:21 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-06-18 21:08 . 2008-06-18 21:08 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Application
2008-06-18 21:07 . 2008-06-18 21:10 <DIR> d-------- C:\Programme\SPYWAREfighter
2008-06-18 19:34 . 2008-06-18 19:34 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\AdobeUM
2008-06-17 14:14 . 2008-06-17 14:14 24,576 --a------ C:\WINDOWS\system32\xxyaawtt.VIR
2008-06-17 10:37 . 2008-06-17 11:44 2,231 --a------ C:\iss.exe
2008-06-15 23:53 . 2008-06-15 23:53 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\ICQ Toolbar
2008-06-15 23:30 . 2008-06-16 10:58 <DIR> d-------- C:\Programme\ICQToolbar
2008-06-15 23:29 . 2008-06-15 23:33 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\ICQ
2008-06-14 21:56 . 2008-04-23 06:16 6,066,176 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll
2008-06-14 21:56 . 2007-04-17 11:32 2,455,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dat
2008-06-14 21:56 . 2007-03-08 07:09 1,040,384 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll.mui
2008-06-14 21:56 . 2008-04-23 06:16 459,264 -----c--- C:\WINDOWS\system32\dllcache\msfeeds.dll
2008-06-14 21:56 . 2008-04-23 06:16 383,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dll
2008-06-14 21:56 . 2008-04-23 06:16 267,776 -----c--- C:\WINDOWS\system32\dllcache\iertutil.dll
2008-06-14 21:56 . 2008-04-23 06:16 63,488 -----c--- C:\WINDOWS\system32\dllcache\icardie.dll
2008-06-14 21:56 . 2008-04-23 06:16 52,224 -----c--- C:\WINDOWS\system32\dllcache\msfeedsbs.dll
2008-06-14 21:56 . 2008-04-22 09:39 13,824 -----c--- C:\WINDOWS\system32\dllcache\ieudinit.exe
2008-06-14 21:53 . 2008-06-14 21:57 <DIR> d-------- C:\WINDOWS\system32\de-de
2008-06-14 20:29 . 2008-06-14 20:29 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SweetIM
2008-06-13 18:37 . 2008-06-13 18:37 <DIR> d-------- C:\WINDOWS\Sun
2008-06-13 12:28 . 2008-06-16 11:00 <DIR> d-------- C:\Programme\Windows Live Toolbar
2008-06-13 11:34 . 2008-06-19 05:23 <DIR> d-------- C:\WINDOWS\SxsCaPendDel
2008-06-12 16:20 . 2007-07-30 19:19 271,224 --a------ C:\WINDOWS\system32\mucltui.dll
2008-06-12 16:20 . 2007-07-30 19:19 207,736 --a------ C:\WINDOWS\system32\muweb.dll
2008-06-12 16:20 . 2007-07-30 19:18 30,072 --a------ C:\WINDOWS\system32\mucltui.dll.mui
2008-06-12 14:36 . 2008-06-18 22:57 <DIR> d-------- C:\Programme\Windows Live
2008-06-12 14:36 . 2008-06-13 12:24 <DIR> d--hsc--- C:\Programme\Gemeinsame Dateien\WindowsLiveInstaller
2008-06-12 14:35 . 2008-06-13 12:20 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WLInstaller
2008-06-12 13:52 . 2008-06-12 13:52 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\vlc
2008-06-12 13:51 . 2008-06-18 22:58 <DIR> d-------- C:\Programme\VideoLAN
2008-06-05 22:04 . 2008-06-05 22:04 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\InterVideo
2008-06-01 23:20 . 2008-06-01 23:20 268 --ah----- C:\sqmdata15.sqm
2008-06-01 23:20 . 2008-06-01 23:20 244 --ah----- C:\sqmnoopt15.sqm
2008-06-01 10:51 . 2008-06-12 15:03 <DIR> d-------- C:\Programme\McDonaldsDragons
2008-06-01 10:50 . 2008-06-01 10:50 <DIR> d--hs---- C:\WINDOWS\ftpcache
2008-06-01 10:48 . 2008-06-01 10:48 268 --ah----- C:\sqmdata14.sqm
2008-06-01 10:48 . 2008-06-01 10:48 244 --ah----- C:\sqmnoopt14.sqm
2008-05-31 22:17 . 2008-05-31 22:17 268 --ah----- C:\sqmdata13.sqm
2008-05-31 22:17 . 2008-05-31 22:17 244 --ah----- C:\sqmnoopt13.sqm
2008-05-30 09:20 . 2008-05-30 09:20 268 --ah----- C:\sqmdata12.sqm
2008-05-30 09:20 . 2008-05-30 09:20 244 --ah----- C:\sqmnoopt12.sqm
2008-05-30 09:09 . 2008-05-30 09:09 268 --ah----- C:\sqmdata11.sqm
2008-05-30 09:09 . 2008-05-30 09:09 244 --ah----- C:\sqmnoopt11.sqm
2008-05-29 22:25 . 2008-05-29 22:25 268 --ah----- C:\sqmdata10.sqm
2008-05-29 22:25 . 2008-05-29 22:25 244 --ah----- C:\sqmnoopt10.sqm
2008-05-28 19:10 . 2008-05-28 19:10 268 --ah----- C:\sqmdata09.sqm
2008-05-28 19:10 . 2008-05-28 19:10 244 --ah----- C:\sqmnoopt09.sqm
2008-05-27 21:49 . 2008-05-27 21:49 268 --ah----- C:\sqmdata08.sqm
2008-05-27 21:49 . 2008-05-27 21:49 244 --ah----- C:\sqmnoopt08.sqm
2008-05-27 13:17 . 2008-05-27 13:17 0 --a------ C:\ss_router.cfg
2008-05-27 09:23 . 2008-05-27 09:23 268 --ah----- C:\sqmdata07.sqm
2008-05-27 09:23 . 2008-05-27 09:23 244 --ah----- C:\sqmnoopt07.sqm
2008-05-26 21:42 . 2008-05-26 21:42 <DIR> d-------- C:\WINDOWS\system32\LogFiles
2008-05-26 11:10 . 2008-06-11 23:16 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\AdobeUM
2008-05-25 19:41 . 2008-05-25 19:41 268 --ah----- C:\sqmdata06.sqm
2008-05-25 19:41 . 2008-05-25 19:41 244 --ah----- C:\sqmnoopt06.sqm
2008-05-22 20:51 . 2008-05-22 20:51 268 --ah----- C:\sqmdata05.sqm
2008-05-22 20:51 . 2008-05-22 20:51 244 --ah----- C:\sqmnoopt05.sqm
2008-05-22 18:14 . 2008-06-05 22:05 116 --a------ C:\WINDOWS\NeroDigital.ini
2008-05-22 18:03 . 2004-08-03 23:10 38,016 --a------ C:\WINDOWS\system32\drivers\bthmodem.sys
2008-05-22 18:03 . 2004-08-03 23:10 38,016 --a--c--- C:\WINDOWS\system32\dllcache\bthmodem.sys
2008-05-22 18:02 . 2004-08-03 22:58 100,992 --a------ C:\WINDOWS\system32\drivers\bthpan.sys
2008-05-22 18:02 . 2004-08-03 22:58 100,992 --a--c--- C:\WINDOWS\system32\dllcache\bthpan.sys
2008-05-22 18:02 . 2008-05-22 18:02 268 --ah----- C:\sqmdata04.sqm
2008-05-22 18:02 . 2008-05-22 18:02 244 --ah----- C:\sqmnoopt04.sqm
2008-05-22 10:31 . 2008-05-22 10:31 268 --ah----- C:\sqmdata03.sqm
2008-05-22 10:31 . 2008-05-22 10:31 244 --ah----- C:\sqmnoopt03.sqm
2008-05-22 07:58 . 2008-05-22 07:58 268 --ah----- C:\sqmdata02.sqm
2008-05-22 07:58 . 2008-05-22 07:58 244 --ah----- C:\sqmnoopt02.sqm
2008-05-22 07:43 . 2008-05-22 07:43 268 --ah----- C:\sqmdata01.sqm
2008-05-22 07:43 . 2008-05-22 07:43 244 --ah----- C:\sqmnoopt01.sqm
2008-05-21 22:36 . 2008-05-21 22:36 268 --ah----- C:\sqmdata00.sqm
2008-05-21 22:36 . 2008-05-21 22:36 244 --ah----- C:\sqmnoopt00.sqm
2008-05-20 11:52 . 2008-05-20 21:20 <DIR> d-------- C:\Dokumente und Einstellungen\***\Contacts
2008-05-20 11:51 . 2008-06-12 14:37 <DIR> d----c--- C:\WINDOWS\system32\DRVSTORE
2008-05-20 11:44 . 2007-07-30 19:19 43,352 --a------ C:\WINDOWS\system32\wups2.dll
2008-05-20 11:44 . 2007-07-30 19:18 34,136 --a------ C:\WINDOWS\system32\wucltui.dll.mui
2008-05-20 11:44 . 2007-07-30 19:20 30,040 --a------ C:\WINDOWS\system32\wuaucpl.cpl.mui
2008-05-20 11:44 . 2007-07-30 19:20 30,040 --a------ C:\WINDOWS\system32\wuapi.dll.mui
2008-05-20 11:44 . 2007-07-30 19:18 20,824 --a------ C:\WINDOWS\system32\wuaueng.dll.mui
2008-05-20 11:34 . 2008-05-20 11:34 <DIR> d--hs---- C:\Dokumente und Einstellungen\***\UserData
2008-05-20 11:27 . 2008-05-20 11:27 <DIR> d-------- C:\Programme\Avira
2008-05-20 11:27 . 2008-05-20 11:27 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-05-19 22:08 . 2008-05-19 22:08 <DIR> d-------- C:\Programme\Kaspersky Lab
2008-05-19 22:06 . 2008-05-19 22:06 <DIR> d-------- C:\kav
2008-05-19 22:05 . 2008-06-05 23:03 169 --a------ C:\WINDOWS\RtlRack.ini
2008-05-19 21:50 . 2000-08-19 19:29 268,048 --a------ C:\WINDOWS\system32\dxtmeta2.dll
2008-05-19 21:47 . 2008-05-19 21:47 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Nero
2008-05-19 21:44 . 2008-05-19 21:44 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Ahead
2008-05-19 21:44 . 2008-05-19 21:44 <DIR> d-------- C:\Programme\Ahead
2008-05-19 21:44 . 2004-07-26 16:16 1,568,768 --------- C:\WINDOWS\system32\ImagX7.dll
2008-05-19 21:44 . 2004-07-26 16:16 476,320 --------- C:\WINDOWS\system32\ImagXpr7.dll
2008-05-19 21:44 . 2004-07-26 16:16 471,040 --------- C:\WINDOWS\system32\ImagXRA7.dll
2008-05-19 21:44 . 2004-07-26 16:16 262,144 --------- C:\WINDOWS\system32\ImagXR7.dll
2008-05-19 21:44 . 2001-07-09 10:50 155,648 --a------ C:\WINDOWS\system32\NeroCheck.exe
2008-05-19 21:44 . 2000-06-26 10:45 106,496 --a------ C:\WINDOWS\system32\TwnLib20.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-18 20:55 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-06-18 18:51 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-05-16 09:58 12,632 ----a-w C:\WINDOWS\system32\lsdelete.exe
2008-05-14 07:24 --------- d-----w C:\Programme\MSBuild
2008-05-14 07:24 --------- d-----w C:\Programme\Microsoft Works
2008-05-14 07:22 --------- d-----w C:\Programme\Microsoft.NET
2008-05-13 08:30 --------- d-----w C:\Programme\Apoint2K
2008-05-13 08:29 --------- d-----w C:\Programme\Realtek Sound Manager
2008-05-13 08:29 --------- d-----w C:\Programme\AvRack
2008-05-13 08:25 --------- d-----w C:\Programme\InterVideo
2008-05-13 08:25 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2008-05-13 08:15 --------- d-----w C:\Programme\microsoft frontpage
2008-05-13 08:14 --------- d-----w C:\Programme\Java
2008-05-13 08:14 --------- d-----w C:\Programme\Gemeinsame Dateien\Java
2008-05-13 08:09 --------- d-----w C:\Programme\Online-Dienste
2008-05-13 08:08 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste
2008-05-08 12:28 202,752 ----a-w C:\WINDOWS\system32\drivers\rmcast.sys
2008-05-07 05:14 1,293,312 ----a-w C:\WINDOWS\system32\quartz.dll
2008-04-29 09:20 15,648 ----a-w C:\WINDOWS\system32\drivers\NSDriver.sys
2008-04-29 09:19 15,648 ----a-w C:\WINDOWS\system32\drivers\Awrtrd.sys
2008-04-29 09:19 12,960 ----a-w C:\WINDOWS\system32\drivers\Awrtpd.sys
2008-04-23 04:16 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-03-25 04:51 621,344 ----a-w C:\WINDOWS\system32\mswstr10.dll
2008-03-25 04:51 187,168 ----a-w C:\WINDOWS\system32\msjint40.dll
2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{728AAF16-F1AF-4C45-8B1E-45C0F8519A28}]
C:\WINDOWS\system32\xxyaawtt.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360]
"MsnMsgr"="C:\Programme\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 11:34 5724184]
"updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [ ]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0\bin\jusched.exe" [2008-05-13 10:14 36972]
"VTTimer"="VTTimer.exe" [2004-11-12 12:28 53248 C:\WINDOWS\system32\VTTimer.exe]
"SoundMan"="SOUNDMAN.EXE" [2004-11-12 12:17 73728 C:\WINDOWS\SOUNDMAN.EXE]
"AGRSMMSG"="AGRSMMSG.exe" [2004-06-07 10:15 88363 C:\WINDOWS\AGRSMMSG.exe]
"Apoint"="C:\Programme\Apoint2K\Apoint.exe" [2003-12-05 14:22 159744]
"GrooveMonitor"="C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-27 00:47 31016]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50 155648]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-04 14:00 110592 C:\WINDOWS\system32\bthprops.cpl]
"Windows Acer Service "="acersv.exe" []
"spywarefighterguard"="C:\Programme\SPYWAREfighter\spftray.exe" [2008-02-21 15:37 115344]
"BM570f649a"="C:\WINDOWS\system32\lkduasla.dll" [ ]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360]

C:\Dokumente und Einstellungen\Edelzicke\Startmen\Programme\Autostart\
OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk - C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE [2006-10-26 20:24:54 98632]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{728AAF16-F1AF-4C45-8B1E-45C0F8519A28}"= C:\WINDOWS\system32\xxyaawtt.dll [ ]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\xxyaawtt]
xxyaawtt.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"C:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"C:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\WINDOWS\\system32\\sessmgr.exe"=
"C:\\WINDOWS\\system32\\dpvsetup.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=

R3 EKBfltr;ENE Keyboard Controller;C:\WINDOWS\system32\DRIVERS\EKBfltr.sys [2003-10-24 16:04]
R3 SpyFighter;SpyFighter Guard Device;C:\Programme\SPYWAREfighter\spyfighter.sys [2008-02-21 15:38]
R3 SPYWAREfighterRP;SPYWAREfighterRP;"C:\Programme\SPYWAREfighter\spfprc.exe" [2008-02-21 15:37]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6f544850-2185-11dd-8c50-0014a5437de2}]
\shell\verb1\command - desktop.exe

.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-19 17:39:01
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-06-19 17:40:21
ComboFix-quarantined-files.txt 2008-06-19 15:40:18
ComboFix2.txt 2008-06-19 12:23:46

8 Verzeichnis(se), 52,433,604,608 Bytes frei
11 Verzeichnis(se), 52,438,876,160 Bytes frei

206 --- E O F --- 2008-06-15 17:25:08

Oh neeeeeeeee ich glaub ich habe was falsch gemacht die Symbole auf meinem Desktop sind jetzt bei der Schrift alle grau unterlegt!

der Router ist übrigens ein Linksys WRT54GC Compact Wireless-G-Broadband Router!

Das hat nicht so ganz geklappt, lade bitte die Datei die ich angehängt habe und ziehe diese dann auf die combofix.exe Datei.
Sollte aber nichts mit CF zu tun haben, du hast nur die CFScript.txt in CFScript.txt.txt benannt.

Lass es bitte nocheinmal laufen, es kann sein, dass das Verhalten dann verschwindet.

So habe das auf meinem Desktop gespeichert und dann ins Combofix gezogen!

Das kam dann raus

ComboFix 08-06-16.5 - *** 2008-06-19 19:08:54.3 - NTFSx86
ausgeführt von:: C:\Dokumente und Einstellungen\***\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\***\Desktop\CFScript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

FILE ::
C:\a.exe
C:\iss.exe
C:\WINDOWS\system32\lkduasla.dll
C:\WINDOWS\system32\xxyaawtt.dll
C:\WINDOWS\system32\xxyaawtt.VIR
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\iss.exe
C:\WINDOWS\SxsCaPendDel
C:\WINDOWS\system32\xxyaawtt.VIR

.
((((((((((((((((((((((( Dateien erstellt von 2008-05-19 bis 2008-06-19 ))))))))))))))))))))))))))))))
.

2008-06-19 12:40 . 2008-06-19 12:40 <DIR> d-------- C:\Programme\Trend Micro
2008-06-19 12:23 . 2008-06-19 12:23 <DIR> d-------- C:\Programme\Lavasoft
2008-06-19 12:23 . 2008-06-19 12:26 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-06-19 12:21 . 2008-06-19 12:21 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-06-18 21:08 . 2008-06-18 21:08 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Application
2008-06-18 21:07 . 2008-06-18 21:10 <DIR> d-------- C:\Programme\SPYWAREfighter
2008-06-18 19:34 . 2008-06-18 19:34 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\AdobeUM
2008-06-15 23:53 . 2008-06-15 23:53 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\ICQ Toolbar
2008-06-15 23:30 . 2008-06-16 10:58 <DIR> d-------- C:\Programme\ICQToolbar
2008-06-15 23:29 . 2008-06-15 23:33 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\ICQ
2008-06-14 21:56 . 2008-04-23 06:16 6,066,176 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll
2008-06-14 21:56 . 2007-04-17 11:32 2,455,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dat
2008-06-14 21:56 . 2007-03-08 07:09 1,040,384 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll.mui
2008-06-14 21:56 . 2008-04-23 06:16 459,264 -----c--- C:\WINDOWS\system32\dllcache\msfeeds.dll
2008-06-14 21:56 . 2008-04-23 06:16 383,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dll
2008-06-14 21:56 . 2008-04-23 06:16 267,776 -----c--- C:\WINDOWS\system32\dllcache\iertutil.dll
2008-06-14 21:56 . 2008-04-23 06:16 63,488 -----c--- C:\WINDOWS\system32\dllcache\icardie.dll
2008-06-14 21:56 . 2008-04-23 06:16 52,224 -----c--- C:\WINDOWS\system32\dllcache\msfeedsbs.dll
2008-06-14 21:56 . 2008-04-22 09:39 13,824 -----c--- C:\WINDOWS\system32\dllcache\ieudinit.exe
2008-06-14 21:53 . 2008-06-14 21:57 <DIR> d-------- C:\WINDOWS\system32\de-de
2008-06-14 20:29 . 2008-06-14 20:29 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SweetIM
2008-06-13 18:37 . 2008-06-13 18:37 <DIR> d-------- C:\WINDOWS\Sun
2008-06-13 12:28 . 2008-06-16 11:00 <DIR> d-------- C:\Programme\Windows Live Toolbar
2008-06-12 16:20 . 2007-07-30 19:19 271,224 --a------ C:\WINDOWS\system32\mucltui.dll
2008-06-12 16:20 . 2007-07-30 19:19 207,736 --a------ C:\WINDOWS\system32\muweb.dll
2008-06-12 16:20 . 2007-07-30 19:18 30,072 --a------ C:\WINDOWS\system32\mucltui.dll.mui
2008-06-12 14:36 . 2008-06-18 22:57 <DIR> d-------- C:\Programme\Windows Live
2008-06-12 14:36 . 2008-06-13 12:24 <DIR> d--hsc--- C:\Programme\Gemeinsame Dateien\WindowsLiveInstaller
2008-06-12 14:35 . 2008-06-13 12:20 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WLInstaller
2008-06-12 13:52 . 2008-06-12 13:52 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\vlc
2008-06-12 13:51 . 2008-06-18 22:58 <DIR> d-------- C:\Programme\VideoLAN
2008-06-05 22:04 . 2008-06-05 22:04 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\InterVideo
2008-06-01 23:20 . 2008-06-01 23:20 268 --ah----- C:\sqmdata15.sqm
2008-06-01 23:20 . 2008-06-01 23:20 244 --ah----- C:\sqmnoopt15.sqm
2008-06-01 10:51 . 2008-06-12 15:03 <DIR> d-------- C:\Programme\McDonaldsDragons
2008-06-01 10:50 . 2008-06-01 10:50 <DIR> d--hs---- C:\WINDOWS\ftpcache
2008-06-01 10:48 . 2008-06-01 10:48 268 --ah----- C:\sqmdata14.sqm
2008-06-01 10:48 . 2008-06-01 10:48 244 --ah----- C:\sqmnoopt14.sqm
2008-05-31 22:17 . 2008-05-31 22:17 268 --ah----- C:\sqmdata13.sqm
2008-05-31 22:17 . 2008-05-31 22:17 244 --ah----- C:\sqmnoopt13.sqm
2008-05-30 09:20 . 2008-05-30 09:20 268 --ah----- C:\sqmdata12.sqm
2008-05-30 09:20 . 2008-05-30 09:20 244 --ah----- C:\sqmnoopt12.sqm
2008-05-30 09:09 . 2008-05-30 09:09 268 --ah----- C:\sqmdata11.sqm
2008-05-30 09:09 . 2008-05-30 09:09 244 --ah----- C:\sqmnoopt11.sqm
2008-05-29 22:25 . 2008-05-29 22:25 268 --ah----- C:\sqmdata10.sqm
2008-05-29 22:25 . 2008-05-29 22:25 244 --ah----- C:\sqmnoopt10.sqm
2008-05-28 19:10 . 2008-05-28 19:10 268 --ah----- C:\sqmdata09.sqm
2008-05-28 19:10 . 2008-05-28 19:10 244 --ah----- C:\sqmnoopt09.sqm
2008-05-27 21:49 . 2008-05-27 21:49 268 --ah----- C:\sqmdata08.sqm
2008-05-27 21:49 . 2008-05-27 21:49 244 --ah----- C:\sqmnoopt08.sqm
2008-05-27 13:17 . 2008-05-27 13:17 0 --a------ C:\ss_router.cfg
2008-05-27 09:23 . 2008-05-27 09:23 268 --ah----- C:\sqmdata07.sqm
2008-05-27 09:23 . 2008-05-27 09:23 244 --ah----- C:\sqmnoopt07.sqm
2008-05-26 21:42 . 2008-05-26 21:42 <DIR> d-------- C:\WINDOWS\system32\LogFiles
2008-05-26 11:10 . 2008-06-11 23:16 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\AdobeUM
2008-05-25 19:41 . 2008-05-25 19:41 268 --ah----- C:\sqmdata06.sqm
2008-05-25 19:41 . 2008-05-25 19:41 244 --ah----- C:\sqmnoopt06.sqm
2008-05-22 20:51 . 2008-05-22 20:51 268 --ah----- C:\sqmdata05.sqm
2008-05-22 20:51 . 2008-05-22 20:51 244 --ah----- C:\sqmnoopt05.sqm
2008-05-22 18:14 . 2008-06-05 22:05 116 --a------ C:\WINDOWS\NeroDigital.ini
2008-05-22 18:03 . 2004-08-03 23:10 38,016 --a------ C:\WINDOWS\system32\drivers\bthmodem.sys
2008-05-22 18:03 . 2004-08-03 23:10 38,016 --a--c--- C:\WINDOWS\system32\dllcache\bthmodem.sys
2008-05-22 18:02 . 2004-08-03 22:58 100,992 --a------ C:\WINDOWS\system32\drivers\bthpan.sys
2008-05-22 18:02 . 2004-08-03 22:58 100,992 --a--c--- C:\WINDOWS\system32\dllcache\bthpan.sys
2008-05-22 18:02 . 2008-05-22 18:02 268 --ah----- C:\sqmdata04.sqm
2008-05-22 18:02 . 2008-05-22 18:02 244 --ah----- C:\sqmnoopt04.sqm
2008-05-22 10:31 . 2008-05-22 10:31 268 --ah----- C:\sqmdata03.sqm
2008-05-22 10:31 . 2008-05-22 10:31 244 --ah----- C:\sqmnoopt03.sqm
2008-05-22 07:58 . 2008-05-22 07:58 268 --ah----- C:\sqmdata02.sqm
2008-05-22 07:58 . 2008-05-22 07:58 244 --ah----- C:\sqmnoopt02.sqm
2008-05-22 07:43 . 2008-05-22 07:43 268 --ah----- C:\sqmdata01.sqm
2008-05-22 07:43 . 2008-05-22 07:43 244 --ah----- C:\sqmnoopt01.sqm
2008-05-21 22:36 . 2008-05-21 22:36 268 --ah----- C:\sqmdata00.sqm
2008-05-21 22:36 . 2008-05-21 22:36 244 --ah----- C:\sqmnoopt00.sqm
2008-05-20 11:52 . 2008-05-20 21:20 <DIR> d-------- C:\Dokumente und Einstellungen\***\Contacts
2008-05-20 11:51 . 2008-06-12 14:37 <DIR> d----c--- C:\WINDOWS\system32\DRVSTORE
2008-05-20 11:44 . 2007-07-30 19:19 43,352 --a------ C:\WINDOWS\system32\wups2.dll
2008-05-20 11:44 . 2007-07-30 19:18 34,136 --a------ C:\WINDOWS\system32\wucltui.dll.mui
2008-05-20 11:44 . 2007-07-30 19:20 30,040 --a------ C:\WINDOWS\system32\wuaucpl.cpl.mui
2008-05-20 11:44 . 2007-07-30 19:20 30,040 --a------ C:\WINDOWS\system32\wuapi.dll.mui
2008-05-20 11:44 . 2007-07-30 19:18 20,824 --a------ C:\WINDOWS\system32\wuaueng.dll.mui
2008-05-20 11:34 . 2008-05-20 11:34 <DIR> d--hs---- C:\Dokumente und Einstellungen\***\UserData
2008-05-20 11:27 . 2008-05-20 11:27 <DIR> d-------- C:\Programme\Avira
2008-05-20 11:27 . 2008-05-20 11:27 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-05-19 22:08 . 2008-05-19 22:08 <DIR> d-------- C:\Programme\Kaspersky Lab
2008-05-19 22:06 . 2008-05-19 22:06 <DIR> d-------- C:\kav
2008-05-19 22:05 . 2008-06-05 23:03 169 --a------ C:\WINDOWS\RtlRack.ini
2008-05-19 21:50 . 2000-08-19 19:29 268,048 --a------ C:\WINDOWS\system32\dxtmeta2.dll
2008-05-19 21:47 . 2008-05-19 21:47 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Nero
2008-05-19 21:44 . 2008-05-19 21:44 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Ahead
2008-05-19 21:44 . 2008-05-19 21:44 <DIR> d-------- C:\Programme\Ahead
2008-05-19 21:44 . 2004-07-26 16:16 1,568,768 --------- C:\WINDOWS\system32\ImagX7.dll
2008-05-19 21:44 . 2004-07-26 16:16 476,320 --------- C:\WINDOWS\system32\ImagXpr7.dll
2008-05-19 21:44 . 2004-07-26 16:16 471,040 --------- C:\WINDOWS\system32\ImagXRA7.dll
2008-05-19 21:44 . 2004-07-26 16:16 262,144 --------- C:\WINDOWS\system32\ImagXR7.dll
2008-05-19 21:44 . 2001-07-09 10:50 155,648 --a------ C:\WINDOWS\system32\NeroCheck.exe
2008-05-19 21:44 . 2000-06-26 10:45 106,496 --a------ C:\WINDOWS\system32\TwnLib20.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-18 20:55 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-06-18 18:51 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-05-16 09:58 12,632 ----a-w C:\WINDOWS\system32\lsdelete.exe
2008-05-14 07:24 --------- d-----w C:\Programme\MSBuild
2008-05-14 07:24 --------- d-----w C:\Programme\Microsoft Works
2008-05-14 07:22 --------- d-----w C:\Programme\Microsoft.NET
2008-05-13 08:30 --------- d-----w C:\Programme\Apoint2K
2008-05-13 08:29 --------- d-----w C:\Programme\Realtek Sound Manager
2008-05-13 08:29 --------- d-----w C:\Programme\AvRack
2008-05-13 08:25 --------- d-----w C:\Programme\InterVideo
2008-05-13 08:25 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2008-05-13 08:15 --------- d-----w C:\Programme\microsoft frontpage
2008-05-13 08:14 --------- d-----w C:\Programme\Java
2008-05-13 08:14 --------- d-----w C:\Programme\Gemeinsame Dateien\Java
2008-05-13 08:09 --------- d-----w C:\Programme\Online-Dienste
2008-05-13 08:08 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste
2008-05-08 12:28 202,752 ----a-w C:\WINDOWS\system32\drivers\rmcast.sys
2008-05-07 05:14 1,293,312 ----a-w C:\WINDOWS\system32\quartz.dll
2008-04-29 09:20 15,648 ----a-w C:\WINDOWS\system32\drivers\NSDriver.sys
2008-04-29 09:19 15,648 ----a-w C:\WINDOWS\system32\drivers\Awrtrd.sys
2008-04-29 09:19 12,960 ----a-w C:\WINDOWS\system32\drivers\Awrtpd.sys
2008-04-23 04:16 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-03-25 04:51 621,344 ----a-w C:\WINDOWS\system32\mswstr10.dll
2008-03-25 04:51 187,168 ----a-w C:\WINDOWS\system32\msjint40.dll
2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
.

(((((((((((((((((((((((((((((((((((((((((((( Look )))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\lsdelete.exe -- Unable to find Resource table header.
MD5: e32670083f792c1db5fd7571daf15f7b

((((((((((((((((((((((((((((( snapshot@2008-06-19_14.23.02.55 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-06-19 12:18:43 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-06-19 15:56:23 2,048 --s-a-w C:\WINDOWS\bootstat.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360]
"MsnMsgr"="C:\Programme\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 11:34 5724184]
"updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [ ]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0\bin\jusched.exe" [2008-05-13 10:14 36972]
"VTTimer"="VTTimer.exe" [2004-11-12 12:28 53248 C:\WINDOWS\system32\VTTimer.exe]
"SoundMan"="SOUNDMAN.EXE" [2004-11-12 12:17 73728 C:\WINDOWS\SOUNDMAN.EXE]
"AGRSMMSG"="AGRSMMSG.exe" [2004-06-07 10:15 88363 C:\WINDOWS\AGRSMMSG.exe]
"Apoint"="C:\Programme\Apoint2K\Apoint.exe" [2003-12-05 14:22 159744]
"GrooveMonitor"="C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-27 00:47 31016]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50 155648]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-04 14:00 110592 C:\WINDOWS\system32\bthprops.cpl]
"Windows Acer Service "="acersv.exe" []
"spywarefighterguard"="C:\Programme\SPYWAREfighter\spftray.exe" [2008-02-21 15:37 115344]
"BM570f649a"="C:\WINDOWS\system32\lkduasla.dll" [ ]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360]

C:\Dokumente und Einstellungen\Edelzicke\Startmen\Programme\Autostart\
OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk - C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE [2006-10-26 20:24:54 98632]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\xxyaawtt]
xxyaawtt.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"C:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"C:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\WINDOWS\\system32\\sessmgr.exe"=
"C:\\WINDOWS\\system32\\dpvsetup.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=

R3 EKBfltr;ENE Keyboard Controller;C:\WINDOWS\system32\DRIVERS\EKBfltr.sys [2003-10-24 16:04]
R3 SpyFighter;SpyFighter Guard Device;C:\Programme\SPYWAREfighter\spyfighter.sys [2008-02-21 15:38]
R3 SPYWAREfighterRP;SPYWAREfighterRP;"C:\Programme\SPYWAREfighter\spfprc.exe" [2008-02-21 15:37]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6f544850-2185-11dd-8c50-0014a5437de2}]
\shell\verb1\command - desktop.exe

*Newly Created Service* - CATCHME
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-19 19:11:00
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-06-19 19:12:22
ComboFix-quarantined-files.txt 2008-06-19 17:12:19
ComboFix2.txt 2008-06-19 15:40:22
ComboFix3.txt 2008-06-19 12:23:46

8 Verzeichnis(se), 52,426,940,416 Bytes frei
11 Verzeichnis(se), 52,424,781,824 Bytes frei

217 --- E O F --- 2008-06-15 17:25:08

Die Texte sind immer noch grau unterlegt und es wurde auch wieder nicht nach neustart gefragt!

Wir müssen prüfen, ob Dein Router übernommen wurde!

Öffne ein Browserfenster
Gib die Zeile 192.168.1.1 ein
http://saved.im/mziymtjydjfk/ip.jpg
Ein Anmeldefenster poppt auf. Lass den Benutzernamen frei und nimm "admin" als Kennwort
http://saved.im/mziymtnsyza5/login.jpg
Erscheint eine Webseite? Kommst Du nun auf die Benutzeroberfläche wie auf dem Bild unten?
http://www.saved.im/mziymtfhemnu/frontend.jpg

Um Combofix zu loeschen(den qoobox ordner) gebe unter Start /Ausführen "combofix /u" ein. Ohne die " natürlich.

http://img247.imageshack.us/img247/7...ombofixvs6.jpg

Du meinst die Linktexte? Die sind grau unterlegt? Poste bitte ein neues HiJackThis Logfile.

Also ich glaub ich bin echt zu doof oder so!
Habe das so eingegeben wie Du das beschrieben hast aber da poppt nix auf!
Was da erscheint sieht so aus!

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA http://www.smilies.4-user.de/include...lie_be_027.gif
[/edit]