brauche hilfe : vendo und mundor
 

hallo leute!

ich bin neu hier und wollte fragen wie ich die trojaner die ich da eingefangen habe, wieder wegkriege?

grüße und danke im voraus



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:56:52, on 21.06.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Acrobat 8.0\Acrobat\Acrotray.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WinTV\WinTV\Ir.exe
d:\SiSoftware Sandra Lite XII.SP2c\RpcAgentSrv.exe
C:\Sygate Personal Firewall\smc.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Mozilla Firefox\firefox.exe
C:\HijackThis\HijackThis.exe

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {81EA3F36-357A-435A-8741-52C27CCC9F21} - C:\WINDOWS\system32\wvUoLdby.dll
O2 - BHO: (no name) - {A3CCAE56-7667-456E-A9CE-D78FA273193B} - C:\WINDOWS\system32\byXRkHYQ.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [GEST] =
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [SmcService] C:\SYGATE~1\smc.exe -startgui
O4 - HKLM\..\Run: [WinampAgent] C:\Winamp\winampa.exe
O4 - HKLM\..\Run: [LaunchList] C:\Pinnacle PCTV\LaunchList.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: AutoStart IR.lnk = C:\WinTV\WinTV\Ir.exe
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/...an_unicode.cab
O20 - Winlogon Notify: wvUoLdby - C:\WINDOWS\SYSTEM32\wvUoLdby.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: SiSoftware Deployment Agent Service (SandraAgentSrv) - SiSoftware - d:\SiSoftware Sandra Lite XII.SP2c\RpcAgentSrv.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Sygate Personal Firewall\smc.exe

--
End of file - 5262 bytes

Hi und :hallo:

Bitte lass als erstes Malwarebytes laufen, alles löschen was er findet und den Report posten:daumenhoc
Dazu auch ein neues Hijackthis Logfile

ok. wird gemacht :)

also hier der malwarebytes bericht:
c:\windws\system32\byXRkHYQ.dll
und c:\windows\system32\wvUoLdby.dll kann wohl erst nach einem neustart entfernt werden...werde den jetzt durchführen und dann HJT mal wieder laufen lassen.




Malwarebytes' Anti-Malware 1.18
Datenbank Version: 875

21:41:01 21.06.2008
mbam-log-6-21-2008 (21-41-01).txt

Scan Art: Komplett Scan (C:\|D:\|E:\|F:\|I:\|)
Objekte gescannt: 97412
Scan Dauer: 12 minute(s), 16 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 2
Infizierte Registrierungsschlüssel: 9
Infizierte Registrierungswerte: 1
Infizierte Datei Objekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 8

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
C:\WINDOWS\system32\byXRkHYQ.dll (Trojan.Vundo) -> Unloaded module successfully.
C:\WINDOWS\system32\wvUoLdby.dll (Trojan.Vundo) -> Unloaded module successfully.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{f6f978f5-4e67-458d-8f47-53dc76557ae4} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{f6f978f5-4e67-458d-8f47-53dc76557ae4} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{81ea3f36-357a-435a-8741-52c27ccc9f21} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{81ea3f36-357a-435a-8741-52c27ccc9f21} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wvuoldby (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{81ea3f36-357a-435a-8741-52c27ccc9f21} (Trojan.Vundo) -> Quarantined and deleted successfully.

Infizierte Datei Objekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\byxrkhyq -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\byxrkhyq -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\byXRkHYQ.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\QYHkRXyb.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\QYHkRXyb.ini2 (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\wvUoLdby.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\ddcDuSji.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\khfDwWPI.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\opnmmMcy.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\clkcnt.txt (Trojan.Vundo) -> Quarantined and deleted successfully.

und hier der neue hijack-this bericht nach dem neustart:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:49:29, on 21.06.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Acrobat 8.0\Acrobat\Acrotray.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WinTV\WinTV\Ir.exe
d:\SiSoftware Sandra Lite XII.SP2c\RpcAgentSrv.exe
C:\Sygate Personal Firewall\smc.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\HijackThis\HijackThis.exe

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [GEST] =
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [SmcService] C:\SYGATE~1\smc.exe -startgui
O4 - HKLM\..\Run: [WinampAgent] C:\Winamp\winampa.exe
O4 - HKLM\..\Run: [LaunchList] C:\Pinnacle PCTV\LaunchList.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: AutoStart IR.lnk = C:\WinTV\WinTV\Ir.exe
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/...an_unicode.cab
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: SiSoftware Deployment Agent Service (SandraAgentSrv) - SiSoftware - d:\SiSoftware Sandra Lite XII.SP2c\RpcAgentSrv.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Sygate Personal Firewall\smc.exe

--
End of file - 4968 bytes

oki doki

dann lade nun bitte folgende datei bei virustotal hoch und poste das Ergebnis:

d:\SiSoftware Sandra Lite XII.SP2c\RpcAgentSrv.exe

oki... dann hier das ergebnis von dem online scann:
obwohl ich nicht glaube dass an der datei etwas verkehrt ist...aber wer weiß das schon heutzutage :balla:

AhnLab-V3 2008.6.19.0 2008.06.20 -
AntiVir 7.8.0.59 2008.06.21 -
Authentium 5.1.0.4 2008.06.20 -
Avast 4.8.1195.0 2008.06.21 -
AVG 7.5.0.516 2008.06.21 -
BitDefender 7.2 2008.06.21 -
CAT-QuickHeal 9.50 2008.06.20 -
ClamAV 0.93.1 2008.06.21 -
DrWeb 4.44.0.09170 2008.06.21 -
eSafe 7.0.15.0 2008.06.19 -
eTrust-Vet 31.6.5892 2008.06.21 -
Ewido 4.0 2008.06.21 -
F-Prot 4.4.4.56 2008.06.20 -
F-Secure 7.60.13501.0 2008.06.20 -
Fortinet 3.14.0.0 2008.06.21 -
GData 2.0.7306.1023 2008.06.21 -
Ikarus T3.1.1.26.0 2008.06.21 -
Kaspersky 7.0.0.125 2008.06.21 -
McAfee 5322 2008.06.20 -
Microsoft 1.3604 2008.06.21 -
NOD32v2 3206 2008.06.21 -
Norman 5.80.02 2008.06.20 -
Panda 9.0.0.4 2008.06.21 -
Prevx1 V2 2008.06.21 -
Rising 20.49.52.00 2008.06.21 -
Sophos 4.30.0 2008.06.21 -
Sunbelt 3.0.1153.1 2008.06.15 -
Symantec 10 2008.06.21 -
TheHacker 6.2.92.358 2008.06.21 -
TrendMicro 8.700.0.1004 2008.06.20 -
VBA32 3.12.6.7 2008.06.21 -
VirusBuster 4.3.26:9 2008.06.12 -
Webwasher-Gateway 6.6.2 2008.06.21 -
weitere Informationen
File size: 98488 bytes
MD5...: 6cfe2c7e666648083f67ea9a6918cfe4
SHA1..: 4940c300dea8cbbcfedfb3b48d3e7d3d5822abf8
SHA256: 1db46e66f05f65e981ba34cdc9355376b0813538511087c747da3ec650956da3
SHA512: f34b153f8879a7463899bc85ae29ba72b66268ad87346d5bb480328e048b218d
b6f1bf8395eefdd34511cc42912dd38b78db9ae2e1d18b2e0c7057430b845fcc
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x405046
timedatestamp.....: 0x480e1eba (Tue Apr 22 17:22:02 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x47bb 0x5000 5.79 0afab4cbaa8abca5cf13d8dfbcbd5f9f
.rdata 0x6000 0x27d8 0x3000 4.09 b729c09dd1eaad1dd1b65acc1ba1af26
.data 0x9000 0x958 0x1000 3.03 ad47e0d47569e3416bba4957fd1b5058
.rsrc 0xa000 0xcc18 0xd000 6.10 436b2da6cfd412faf615229522ac10a2

( 14 imports )
> RPCRT4.dll: RpcImpersonateClient, RpcMgmtStopServerListening, RpcRevertToSelfEx, RpcServerUseProtseqW, RpcServerRegisterIf2, RpcServerInqBindings, RpcBindingVectorFree, RpcEpUnregister, RpcMgmtWaitServerListen, RpcServerListen, RpcEpRegisterW, RpcServerRegisterAuthInfoW, NdrServerCall2
> Secur32.dll: GetComputerObjectNameW
> WINTRUST.dll: WinVerifyTrust
> NTDSAPI.dll: DsFreeSpnArrayW, DsGetSpnW, DsBindW, DsWriteAccountSpnW, DsUnBindW
> NETAPI32.dll: NetApiBufferFree, DsGetDcNameW
> imagehlp.dll: ImageEnumerateCertificates, ImageGetCertificateData, ImageGetCertificateHeader
> CRYPT32.dll: CryptVerifyMessageSignature, CertFreeCertificateContext, CertComparePublicKeyInfo
> USERENV.dll: DestroyEnvironmentBlock, CreateEnvironmentBlock
> KERNEL32.dll: TerminateProcess, ReleaseMutex, WTSGetActiveConsoleSessionId, lstrcpyW, GetLastError, GetModuleFileNameW, CreateMutexW, lstrlenW, GetTempPathW, CreateDirectoryW, GetVersionExW, CreateFileW, WriteFile, HeapAlloc, GetProcessHeap, HeapFree, CloseHandle, LocalFree, Sleep, SetConsoleCtrlHandler, WaitForSingleObject, ReadFile, DeleteFileW, GetLocalTime, GetDateFormatW, GetTimeFormatW, GetNativeSystemInfo, GetCurrentThreadId, lstrcmpiW, GetSystemTimeAsFileTime, GetCurrentProcessId, GetTickCount, QueryPerformanceCounter, GetCurrentThread, IsDebuggerPresent, SetUnhandledExceptionFilter, UnhandledExceptionFilter, GenerateConsoleCtrlEvent, AttachConsole, GetFileSize, FreeConsole, GetCurrentProcess, InterlockedCompareExchange, InterlockedExchange, FormatMessageW
> USER32.dll: LoadStringW
> ADVAPI32.dll: RegisterEventSourceW, RegQueryValueExW, RegOpenKeyExW, GetUserNameW, RegCloseKey, RegSetValueExW, RegCreateKeyExW, CryptGenRandom, CryptDecrypt, CryptEncrypt, CryptDestroyHash, CryptDeriveKey, CryptHashData, CryptCreateHash, CryptReleaseContext, CryptDestroyKey, CryptGenKey, CryptAcquireContextW, StartServiceCtrlDispatcherW, DeleteService, QueryServiceStatus, ControlService, OpenServiceW, CloseServiceHandle, ChangeServiceConfig2W, CreateServiceW, OpenSCManagerW, DeregisterEventSource, ReportEventW, SetServiceStatus, RegisterServiceCtrlHandlerW, SetSecurityDescriptorDacl, InitializeSecurityDescriptor, RevertToSelf, CreateProcessAsUserW, ImpersonateLoggedOnUser, SetTokenInformation, DuplicateTokenEx, GetTokenInformation, OpenThreadToken
> ole32.dll: CoCreateInstance, CoUninitialize, CoCreateGuid, CoInitializeSecurity, CoInitializeEx
> OLEAUT32.dll: -, -, -, -, -
> MSVCR80.dll: __p__commode, __p__fmode, _encode_pointer, __set_app_type, _crt_debugger_hook, _terminate@@YAXXZ, __type_info_dtor_internal_method@type_info@@QAEXXZ, _unlock, __dllonexit, _lock, _onexit, _decode_pointer, _except_handler4_common, _invoke_watson, _controlfp_s, _adjust_fdiv, __setusermatherr, _configthreadlocale, _initterm_e, _initterm, __winitenv, __wgetmainargs, _cexit, _exit, _XcptFilter, __CxxFrameHandler3, memset, memcpy, _amsg_exit, wcsrchr, _vsnwprintf_s, __3@YAXPAX@Z, wcsncpy_s, __2@YAPAXI@Z, ceil, exit, _wcsicmp, wprintf, _snwprintf_s, wcsncat_s

( 0 exports )

Mmhh irgendwie trau ich der datei nich....(muss mal noch überlegen)

Bitte wende nun ComboFix (signatur) an und poste das Ergebnis:daumenhoc

Wie wäre es google zu bemühen und dann auf dieses Ergebnis zu stoßen:
it's safe to use (unter vielen)

Und somit der Dateien vertrauen zu können.
Du wurdest bereits darauf hingewiesen, dass Combofix nur von Leuten angewendet werden soll, die damit umgehen können. (Das impliziert, dass du das Programm nicht gut genug kennst um es anwenden zu lassen.)

Wenn du die Analysemöglichkeiten, die Combofix bietet nutzen möchtest, nimm doch DSS:

DSS

• Lade dir DSS
• Schließe alle Anwendungen und führe DSS.exe dann mit einem Doppelklick aus
• Führe während DSS arbeitet bitte keine anderen Aktionen durch
• Am Ende öffnen sich 2 Datein main.txt und extra.txt
• Poste den Inhalt beider Dateien hier

lg myrtille

Ich sagte ja ich muss mich zuerst informieren:daumenhoc

Und wo bitteschön?? Weiss auch nicht wie du jetzt darauf kommst das ich das Programm nicht gut genug kenne:confused:
Diejenigen vom Kompetenzzentrum sind nicht die einzigen die ComboFix kennen:aplaus:

Na... dann gut das du uns an all deine Gedanken teilhaben lässt.

Das ist keine Frage von KT oder nicht KT, das in eine Frage von Kenntnissen:
Weißt du wie du fälschlich gelöschte Dateien von CF wiederherstellst?
Weißt du wie du fälschlich gelöschte Registryeinträge von CF wiederherstellst?
Weißt du was zu tun ist, wenn wegen der gelöschten Einträge Windows nicht mehr starten kann?
Weißt du was zu tun ist, wenn sich das Programm aufhängt?
Weißt du wann man CF anwenden muss, wann man es kann und wann man es besser nicht tut? Ganz offensichtlich nicht! Sonst hättest du es hier nicht empfohlen.

und last but not least: Weißt du was der Autor des Programms für Anforderungen an die Nutzer von CF gestellt hat? Nein? Ich weiß es und kann dir daher sagen, dass du nicht qualifiziert bist.

Ich poste sowas in der Regel nicht aus Spass an der Freude, glaub mir.

lg myrtille

Hallo myrtille, ich würde gerne mal mein Wissen bereichern und deshalb frage ich, was ComboFix ist und macht, und weswegen davon gewarnt wird.
Ein Link zu einer Erklärung wär am besten, danke
mfg :)

Schliesse mich an:Boogie:

Alle öffentlich verfügbaren Informationen findet man in der offiziellen Anleitung

Alle weiterführenden Informationen sollen nicht öffentlich gemacht werden, sondern können nach erreichen des entsprechenden Wissenstandes und dem Beitritt eines Teams (entweder Teammitglied oder Lehrling oder ...) eingesehen werden.

Sorry, aber das ist noch ein langer Weg. :p
lg myrtille

Danke dir, myrtille :)

dss funktioniert nicht so ganz. während dem scannen stürzt das programm ab und es kommt die meldung, dass das programm nicht weiter ausgeführt werden kann und beendet werden muss.

grüße

so. hier der combofix log:

ComboFix 08-06-20.4 - Keks 2008-06-24 12:30:31.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.596 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Keks\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\jdoiqmpl.ini
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\qtimllwh.ini

.
((((((((((((((((((((((( Dateien erstellt von 2008-05-24 bis 2008-06-24 ))))))))))))))))))))))))))))))
.

2008-06-21 22:11 . 2008-06-21 22:11 <DIR> d-------- C:\Deckard
2008-06-21 22:05 . 2008-06-21 22:05 <DIR> d-------- C:\CCleaner
2008-06-21 21:08 . 2008-06-21 21:08 <DIR> d-------- C:\Dokumente und Einstellungen\Keks\Anwendungsdaten\FinalBurner DATA
2008-06-21 19:59 . 2008-06-21 19:59 <DIR> d-------- C:\Malwarebytes' Anti-Malware
2008-06-21 19:59 . 2008-06-21 19:59 <DIR> d-------- C:\Dokumente und Einstellungen\Keks\Anwendungsdaten\Malwarebytes
2008-06-21 19:59 . 2008-06-21 19:59 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-06-21 19:59 . 2008-06-19 17:48 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-06-21 19:59 . 2008-06-19 17:47 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-06-21 19:40 . 2008-06-21 22:49 <DIR> d-------- C:\HijackThis
2008-06-18 21:10 . 2008-06-18 21:10 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab
2008-06-18 21:10 . 2008-06-18 21:10 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-06-18 08:35 . 2008-06-18 08:35 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2008-06-18 08:12 . 2008-06-14 18:16 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-06-18 08:12 . 2008-06-14 19:09 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmen�
2008-06-18 08:12 . 2008-06-14 19:09 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-06-18 08:12 . 2008-06-14 19:09 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-06-18 08:12 . 2008-06-14 19:09 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-06-18 08:12 . 2008-06-14 19:09 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-06-18 08:12 . 2008-06-14 19:09 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-06-18 08:12 . 2008-06-18 08:35 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator
2008-06-17 23:42 . 2008-06-17 23:42 <DIR> d-------- C:\VundoFix Backups
2008-06-16 02:12 . 2008-06-16 02:12 262,144 --a------ C:\WINDOWS\system32\wrap_oal.dll
2008-06-16 02:12 . 2008-06-16 02:12 86,016 --a------ C:\WINDOWS\system32\OpenAL32.dll
2008-06-16 02:11 . 2008-06-16 02:11 <DIR> d-------- C:\WINDOWS\system32\Futuremark
2008-06-16 02:11 . 2007-09-07 14:55 27,672 --a------ C:\WINDOWS\system32\drivers\Entech.sys
2008-06-16 02:11 . 2007-09-07 14:55 12,744 --a------ C:\WINDOWS\system32\drivers\Entech64.sys
2008-06-16 02:11 . 2007-09-07 14:55 6,173 --a------ C:\WINDOWS\system32\drivers\Entech.vxd
2008-06-16 02:11 . 2001-11-19 20:05 3,972 --a------ C:\WINDOWS\system32\drivers\PciBus.sys
2008-06-15 14:43 . 2008-06-15 14:43 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ATI
2008-06-15 14:38 . 2008-05-12 10:49 593,920 --------- C:\WINDOWS\system32\ati2sgag.exe
2008-06-15 14:37 . 2008-06-15 14:37 <DIR> d-------- C:\ATI
2008-06-15 14:32 . 2008-06-15 14:32 <DIR> dr------- C:\Dokumente und Einstellungen\LocalService\Eigene Dateien
2008-06-15 14:32 . 2008-06-15 14:35 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\OpenOffice.org2
2008-06-15 14:32 . 2008-06-15 14:32 623 --a------ C:\OpenOffice.org 2.4.lnk
2008-06-15 14:29 . 2008-06-15 14:29 <DIR> dr------- C:\Dokumente und Einstellungen\LocalService\Favoriten
2008-06-15 14:29 . 2008-06-15 14:29 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Talkback
2008-06-15 14:28 . 2008-06-15 14:28 10 --a------ C:\WINDOWS\WININIT.INI
2008-06-15 00:33 . 2008-06-15 00:33 <DIR> d-------- C:\Dokumente und Einstellungen\Keks\Anwendungsdaten\Atari
2008-06-15 00:33 . 2008-06-22 17:45 43,520 --a------ C:\WINDOWS\system32\CmdLineExt03.dll
2008-06-15 00:31 . 2008-06-15 00:31 <DIR> d-------- C:\Programme\Gemeinsame Dateien\PocketSoft
2008-06-15 00:31 . 2002-02-27 17:50 197,120 --a------ C:\WINDOWS\patchw32.dll
2008-06-14 23:08 . 2008-06-14 23:08 <DIR> d-------- C:\Dokumente und Einstellungen\Keks\Anwendungsdaten\Media Player Classic
2008-06-14 22:31 . 2008-06-23 13:05 <DIR> d-------- C:\Dokumente und Einstellungen\Keks\Anwendungsdaten\OpenOffice.org2
2008-06-14 22:12 . 2008-06-14 22:14 <DIR> d-------- C:\WINDOWS\system32\NtmsData
2008-06-14 21:52 . 2008-06-14 21:52 <DIR> d-------- C:\f
2008-06-14 21:18 . 2008-06-23 17:32 1,771 --a------ C:\WINDOWS\HCWPNP.INI
2008-06-14 21:18 . 2008-06-23 23:10 32 --a------ C:\WINDOWS\HCWBTDLG.INI
2008-06-14 21:13 . 2008-06-14 21:13 19,287 --a------ C:\WINDOWS\Irremote.ini
2008-06-14 21:12 . 2008-06-14 21:12 <DIR> d-------- C:\Programme\vtplus
2008-06-14 21:12 . 2003-12-12 10:57 77,824 --a------ C:\WINDOWS\system32\hcwTVDlg.deu
2008-06-14 21:12 . 2004-02-13 15:58 65,536 --a------ C:\WINDOWS\system32\hcwdlg.ocx
2008-06-14 21:12 . 2003-12-12 10:56 65,536 --a------ C:\WINDOWS\system32\hcwDlg.deu
2008-06-14 21:12 . 2004-12-28 14:02 61,440 --a------ C:\WINDOWS\system32\hcwChan.deu
2008-06-14 21:12 . 2008-06-14 21:12 349 --a------ C:\WINDOWS\vtplus32.ini
2008-06-14 19:59 . 2008-06-14 19:59 <DIR> d-------- C:\Winamp
2008-06-14 19:59 . 2008-06-14 19:59 <DIR> d-------- C:\Dokumente und Einstellungen\Keks\Anwendungsdaten\Winamp
2008-06-14 19:57 . 2008-06-14 19:57 <DIR> d-------- C:\OpenOffice.org 2.4
2008-06-14 19:52 . 2008-06-14 19:53 <DIR> d-------- C:\ICQ6
2008-06-14 19:50 . 2008-06-16 11:30 <DIR> d-------- C:\Dokumente und Einstellungen\Keks\Anwendungsdaten\ICQ
2008-06-14 19:44 . 2008-06-24 12:30 <DIR> d-------- C:\Mozilla Firefox
2008-06-14 19:44 . 2008-06-14 19:44 <DIR> d-------- C:\Dokumente und Einstellungen\Keks\Anwendungsdaten\Talkback
2008-06-14 19:44 . 2008-06-14 19:44 0 --a------ C:\WINDOWS\nsreg.dat
2008-06-14 19:40 . 2008-06-18 14:52 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-06-14 19:35 . 2008-06-23 12:23 <DIR> d-------- C:\Sygate Personal Firewall
2008-06-14 19:35 . 2005-09-27 12:15 83,592 --a------ C:\WINDOWS\system32\SSSensor.dll
2008-06-14 19:35 . 2005-09-27 11:43 61,008 --a------ C:\WINDOWS\system32\drivers\Teefer.sys
2008-06-14 19:35 . 2005-09-27 11:44 21,075 --a------ C:\WINDOWS\system32\drivers\wpsdrvnt.sys
2008-06-14 19:35 . 2005-09-27 12:16 14,944 --a------ C:\WINDOWS\system32\drivers\wg6n.sys
2008-06-14 19:35 . 2005-09-27 12:16 14,944 --a------ C:\WINDOWS\system32\drivers\wg5n.sys
2008-06-14 19:35 . 2005-09-27 12:16 14,944 --a------ C:\WINDOWS\system32\drivers\wg4n.sys
2008-06-14 19:35 . 2005-09-27 12:16 14,944 --a------ C:\WINDOWS\system32\drivers\wg3n.sys
2008-06-14 19:34 . 2008-06-14 19:34 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-06-14 19:29 . 2008-06-14 19:29 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Macrovision Shared
2008-06-14 19:29 . 2008-06-14 19:29 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FLEXnet
2008-06-14 19:26 . 2008-06-14 19:29 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Adobe
2008-06-14 19:26 . 2008-06-14 19:28 <DIR> d-------- C:\Acrobat 8.0
2008-06-14 19:17 . 2008-04-14 00:15 26,368 --a--c--- C:\WINDOWS\system32\dllcache\usbstor.sys
2008-06-14 19:14 . 2008-06-14 19:14 4,444 --a------ C:\WINDOWS\system32\pid.PNF
2008-06-14 19:12 . 2008-04-14 08:52 21,504 --a------ C:\WINDOWS\system32\hidserv.dll
2008-06-14 19:12 . 2001-08-17 14:59 3,072 --a------ C:\WINDOWS\system32\drivers\audstub.sys
2008-06-14 19:11 . 2008-04-14 08:22 57,728 --a------ C:\WINDOWS\system32\drivers\redbook.sys
2008-06-14 19:10 . 2008-04-14 08:52 77,312 --a------ C:\WINDOWS\system32\usbui.dll
2008-06-14 19:09 . 2008-06-14 18:16 <DIR> d--h----- C:\Dokumente und Einstellungen\Default User\Vorlagen
2008-06-14 19:09 . 2008-06-14 19:09 <DIR> dr------- C:\Dokumente und Einstellungen\Default User\Startmen�
2008-06-14 19:09 . 2008-06-14 19:09 <DIR> d--h----- C:\Dokumente und Einstellungen\Default User\Netzwerkumgebung
2008-06-14 19:09 . 2008-06-14 19:09 <DIR> dr-h----- C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen
2008-06-14 19:09 . 2008-06-14 19:09 <DIR> d-------- C:\Dokumente und Einstellungen\Default User\Favoriten
2008-06-14 19:09 . 2008-06-14 19:09 <DIR> d--h----- C:\Dokumente und Einstellungen\Default User\Druckumgebung
2008-06-14 19:09 . 2008-06-14 19:57 <DIR> d--h----- C:\Dokumente und Einstellungen\All Users\Vorlagen
2008-06-14 19:09 . 2008-06-14 18:44 <DIR> dr------- C:\Dokumente und Einstellungen\All Users\Startmen�
2008-06-14 19:09 . 2008-06-14 19:09 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Favoriten
2008-06-14 19:09 . 2008-06-14 18:17 <DIR> dr------- C:\Dokumente und Einstellungen\All Users\Dokumente
2008-06-14 19:07 . 2008-06-24 12:30 <DIR> d-------- C:\WINDOWS\system32\CatRoot2
2008-06-14 19:07 . 2008-06-14 19:09 <DIR> dr-h----- C:\Dokumente und Einstellungen\Default User\Anwendungsdaten
2008-06-14 19:07 . 2008-06-21 21:58 <DIR> dr-h----- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-22 10:10 --------- d-----w C:\Dokumente und Einstellungen\Keks\Anwendungsdaten\uTorrent
2008-06-16 00:10 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-06-15 12:40 --------- d-----w C:\Programme\ATI Technologies
2008-06-14 21:26 15,600 ----a-w C:\WINDOWS\gdrv.sys
2008-06-14 18:50 --------- d-----w C:\Programme\uTorrent
2008-06-14 18:29 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2008-06-14 18:04 685,816 ----a-w C:\WINDOWS\system32\drivers\sptd.sys
2008-06-14 16:44 --------- d-----w C:\Programme\Gigabyte
2008-06-14 16:44 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\InstallShield
2008-06-14 16:40 --------- d-----w C:\Programme\Realtek
2008-06-14 16:38 315,392 ----a-w C:\WINDOWS\HideWin.exe
2008-06-14 16:38 --------- d-----w C:\Programme\AMD
2008-06-14 16:38 --------- d-----w C:\Dokumente und Einstellungen\Keks\Anwendungsdaten\InstallShield
2008-06-14 16:37 --------- d-----w C:\Dokumente und Einstellungen\Keks\Anwendungsdaten\ATI
2008-06-14 16:19 --------- d-----w C:\Programme\microsoft frontpage
2008-06-14 16:18 --------- d-----w C:\Programme\Online-Dienste
2008-06-14 16:18 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste
2008-05-12 16:30 3,007,488 ----a-w C:\WINDOWS\system32\drivers\ati2mtag.sys
2008-05-12 15:02 49,152 ----a-w C:\WINDOWS\system32\drivers\ati2erec.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-23 20:00 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2007-12-20 10:47 16860672 C:\WINDOWS\RTHDCPL.exe]
"GEST"="=" []
"Acrobat Assistant 8.0"="C:\Acrobat 8.0\Acrobat\Acrotray.exe" [2007-05-10 22:46 624248]
"SmcService"="C:\SYGATE~1\smc.exe" [2005-09-27 12:16 2635472]
"StartCCC"="C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 12:17 61440]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-23 20:00 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.YV12"= yv12vfw.dll
"VIDC.PIM1"= PCLEPIM1.dll
"msvideo"= o100vc.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"C:\\ICQ6\\ICQ.exe"=
"C:\\uTorrent\\uTorrent.exe"=
"D:\\SiSoftware Sandra Lite XII.SP2c\\RpcAgentSrv.exe"=
"D:\\SiSoftware Sandra Lite XII.SP2c\\WNt500x86\\RpcSandraSrv.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)

R2 SandraAgentSrv;SiSoftware Deployment Agent Service;d:\SiSoftware Sandra Lite XII.SP2c\RpcAgentSrv.exe [2008-04-22 18:23]
R3 HCW848NT;Hauppauge Win/TV;C:\WINDOWS\system32\DRIVERS\hcw848nt.sys [2000-06-12 14:54]
S3 MarkFun_NT;MarkFun_NT;C:\Programme\Gigabyte\@BIOS\markfun.w32 [2007-08-21 19:49]
S3 pctvvbi;PCTVVBI;C:\WINDOWS\system32\DRIVERS\pctvvbi.sys [2002-11-11 19:52]

.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-24 12:32:31
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MarkFun_NT]
"ImagePath"="\??\C:\Programme\Gigabyte\@BIOS\markfun.w32"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\vsdatant]
"ImagePath"=""
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-06-24 12:33:49 - machine was rebooted
ComboFix-quarantined-files.txt 2008-06-24 10:33:46

23 Verzeichnis(se), 4,678,213,632 Bytes frei
25 Verzeichnis(se), 4,627,419,136 Bytes frei

195

Hi

Bitte folgende Dateien bei VirusTotal hochladen und Ergebnis (mit MD5 und SHA1) Angaben posten danke:

C:\WINDOWS\system32\CmdLineExt03.dll

Bitte lass nochmals Malwarebytes laufen und poste den Report:daumenhoc
Dazu bitte auch ein neues Hijackthis Logfile:daumenhoc