Hallo leute, ich habe auch dieses problem gehabt das sich die festplatten nicht mehr öffnen ließen, ich habe mich daraufhin an die anweisungen die hier in einem anderen thread stehen gehalten und habe jetzt das combofix log...
ich selber kann das leider nicht auswerten aber ich hoffe hier kann das jemand und kann mir dann auch sagen was weiterhin zu tun ist...

Zitat:

ComboFix 09-03-19.02 - Günter 2009-03-21 1:08:55.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.1534.1248 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Günter\Desktop\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\autorun.inf
c:\dokumente und einstellungen\Günter\Anwendungsdaten\DriveCleaner 2006 Free
c:\dokumente und einstellungen\Günter\Anwendungsdaten\DriveCleaner 2006 Free\Logs\update.log
c:\dokumente und einstellungen\Günter\err.log
c:\dokumente und einstellungen\Günter\Lokale Einstellungen\Anwendungsdaten\wqiso.dat
c:\dokumente und einstellungen\Günter\Lokale Einstellungen\Anwendungsdaten\wqiso.exe
c:\dokumente und einstellungen\Günter\Lokale Einstellungen\Anwendungsdaten\wqiso_nav.dat
c:\dokumente und einstellungen\Günter\Lokale Einstellungen\Anwendungsdaten\wqiso_navps.dat
c:\programme\INSTALL.LOG
c:\recycler\S-2-5-36-100009386-100001447-100023677-4163.com
c:\windows\pi.exe
c:\windows\system32\Cache
c:\windows\system32\drivers\gaopdxlmxisyounlmkrydh txeqkcjaqxuehbdf.sys
c:\windows\system32\drivers\gaopdxrvefeivflnnwohrw dfusbodsbniuvdlu.sys
c:\windows\system32\gaopdxcounter
c:\windows\system32\gaopdxjuhvjwybluppiwllgklcweyk yaoyuqfv.dll
D:\Autorun.inf
d:\recycler\S-0-4-13-100015965-100017277-100030741-5031.com
d:\recycler\S-2-5-36-100009386-100001447-100023677-4163.com
d:\recycler\S-6-0-68-100025764-100018999-100014965-7734.com
F:\Autorun.inf
f:\recycler\S-0-4-13-100015965-100017277-100030741-5031.com
f:\recycler\S-2-5-36-100009386-100001447-100023677-4163.com
f:\recycler\S-6-0-68-100025764-100018999-100014965-7734.com
L:\autorun.inf
l:\recycler\S-0-4-13-100015965-100017277-100030741-5031.com
l:\recycler\S-2-5-36-100009386-100001447-100023677-4163.com
l:\recycler\S-6-0-68-100025764-100018999-100014965-7734.com

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_gaopdxserv.sys


((((((((((((((((((((((( Dateien erstellt von 2009-02-21 bis 2009-03-21 ))))))))))))))))))))))))))))))
.

2009-03-21 00:12 . 2009-03-21 00:12 <DIR> d-------- c:\programme\CCleaner
2009-03-20 15:56 . 2009-03-20 18:52 54,156 --ah----- c:\windows\QTFont.qfn
2009-03-20 15:56 . 2009-03-20 15:56 1,409 --a------ c:\windows\QTFont.for
2009-03-18 20:34 . 2009-03-18 20:35 <DIR> d-------- c:\programme\Gemeinsame Dateien\Adobe
2009-03-16 20:44 . 2006-06-20 16:53 100,352 --a------ c:\windows\system32\drivers\vdrv8000.sys
2009-03-16 20:44 . 2006-04-25 17:20 11,520 --a------ c:\windows\system32\drivers\HHCDHelp.sys
2009-03-16 20:43 . 2009-03-16 20:43 <DIR> d-------- c:\programme\Virtual CD v8
2009-03-16 20:43 . 2004-07-13 11:57 1,843,200 --a------ c:\windows\system32\NCTAudioFile2.dll
2009-03-16 20:43 . 2003-07-24 18:01 1,044,480 --------- c:\windows\system32\ROBOEX32.DLL
2009-03-16 20:43 . 2004-07-06 11:52 811,008 --a------ c:\windows\system32\NCTAudioCDGrabber2.dll
2009-03-16 20:43 . 2005-04-26 14:17 643,072 --a------ c:\windows\system32\DVDProX2.dll
2009-03-16 20:43 . 2004-07-13 11:58 315,392 --a------ c:\windows\system32\NCTAudioPlayer2.dll
2009-03-16 16:50 . 2009-03-16 16:50 271,360 --a------ c:\windows\system32\drivers\atksgt.sys
2009-03-16 16:50 . 2009-03-16 16:50 18,048 --a------ c:\windows\system32\drivers\lirsgt.sys
2009-03-13 15:04 . 2009-03-13 15:04 <DIR> d-------- C:\BlueByte
2009-02-27 23:12 . 2009-02-27 23:12 <DIR> d-------- c:\windows\uninstall\Free Metronome
2009-02-27 23:12 . 2009-02-27 23:12 <DIR> d-------- c:\programme\Free Metronome
2009-02-23 20:21 . 2009-02-23 20:21 <DIR> d-------- c:\programme\Java
2009-02-23 20:21 . 2009-02-23 20:21 410,984 --a------ c:\windows\system32\deploytk.dll
2009-02-23 20:21 . 2009-02-23 20:21 73,728 --a------ c:\windows\system32\javacpl.cpl
2009-02-23 20:14 . 2009-02-23 20:14 <DIR> d-------- c:\dokumente und einstellungen\Günter\Anwendungsdaten\OpenOffice.o rg
2009-02-23 19:02 . 2009-02-23 19:02 <DIR> d-------- c:\programme\OpenOffice.org 3

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))) ))))
.
2009-03-20 22:31 --------- d-----w c:\programme\WinClamAVShield
2009-03-20 22:28 --------- d-----w c:\programme\Spyware Terminator
2009-03-20 22:28 --------- d-----w c:\dokumente und einstellungen\Günter\Anwendungsdaten\Spyware Terminator
2009-03-16 20:56 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\TrackMania
2009-03-16 19:43 --------- d--h--w c:\programme\InstallShield Installation Information
2009-03-14 14:45 21,840 ----atw c:\windows\system32\SIntfNT.dll
2009-03-14 14:45 17,212 ----atw c:\windows\system32\SIntf32.dll
2009-03-14 14:45 12,067 ----atw c:\windows\system32\SIntf16.dll
2009-03-14 00:15 --------- d-----w c:\dokumente und einstellungen\Günter\Anwendungsdaten\Skype
2009-03-13 17:21 --------- d-----w c:\programme\ICQ6
2009-03-13 16:43 --------- d-----w c:\programme\PokerStars.NET
2009-03-08 13:03 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2009-02-19 20:18 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2009-02-19 18:52 --------- d-----w c:\programme\MSECache
2009-02-09 14:04 1,846,912 ----a-w c:\windows\system32\win32k.sys
2009-01-31 00:38 202,040 ----a-w c:\windows\system32\PnkBstrB.exe
2009-01-31 00:38 137,688 ----a-w c:\windows\system32\drivers\PnkBstrK.sys
2009-01-30 18:15 --------- d-----w c:\dokumente und einstellungen\Günter\Anwendungsdaten\Leadertech
2009-01-28 15:00 --------- d-----w c:\programme\Activision
2008-12-29 19:15 107,888 ----a-w c:\windows\system32\CmdLineExt.dll
2008-12-29 19:13 66,872 ----a-w c:\windows\system32\PnkBstrA.exe
2008-12-29 19:13 22,328 ----a-w c:\dokumente und einstellungen\Günter\Anwendungsdaten\PnkBstrK.sys
2008-12-29 19:13 2,250,024 ----a-w c:\windows\system32\pbsvc.exe
2006-12-14 12:48 2,816,584 ----a-w c:\programme\vb_distrib.exe
2006-05-03 10:06 163,328 --sh--r c:\windows\system32\flvDX.dll
2007-02-21 11:47 31,232 --sh--r c:\windows\system32\msfDX.dll
2007-12-17 13:43 27,648 --sh--w c:\windows\system32\Smab0.dll
2008-12-09 13:35 32,768 --sha-w c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist0120081209 20081210\index.dat
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"MSConfig"="c:\windows\PCHealth\HelpCtr\Binaries\M SConfig.exe" [2008-04-14 172544]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.I420"= i420vfw.dll
"vidc.iv31"= c:\windows\system32\ir32_32.dll
"vidc.iv32"= c:\windows\system32\ir32_32.dll
"wave1"= c:\dokume~1\NETWOR~1\ANWEND~1\MACROM~1\Common\69e4 801a1.dll
"midi1"= c:\dokume~1\LOCALS~1\ANWEND~1\MACROM~1\Common\69e4 801a1.dll
"wave2"= c:\dokume~1\GNTER~1\ANWEND~1\MACROM~1\Common\69e48 01a1.dll
"aux2"= c:\dokume~1\GNTER~1\ANWEND~1\MACROM~1\Common\69e48 01a1.dll
"mixer1"= c:\dokume~1\GNTER~1\ANWEND~1\MACROM~1\Common\69e48 01a1.dll
"aux1"= c:\dokume~1\LOCALS~1\ANWEND~1\MACROM~1\Common\69e4 801a1.dll
"midi2"= c:\dokume~1\GNTER~1\ANWEND~1\MACROM~1\Common\69e48 01a1.dll
"mixer2"= c:\dokume~1\LOCALS~1\ANWEND~1\MACROM~1\Common\69e4 801a1.dll

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^ATI CATALYST-Infobereich.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\ATI CATALYST-Infobereich.lnk
backup=c:\windows\pss\ATI CATALYST-Infobereich.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^InterVideo WinCinema Manager.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\InterVideo WinCinema Manager.lnk
backup=c:\windows\pss\InterVideo WinCinema Manager.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Status Monitor.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Status Monitor.lnk
backup=c:\windows\pss\Status Monitor.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Günter^Startmenü^Programme^Autosta rt^OpenOffice.org 3.0.lnk]
path=c:\dokumente und einstellungen\Günter\Startmenü\Programme\Autosta rt\OpenOffice.org 3.0.lnk
backup=c:\windows\pss\OpenOffice.org 3.0.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2009-02-27 17:10 35696 c:\programme\Adobe\Reader 9.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATICCC]
--a------ 2005-08-06 01:07 61440 c:\programme\ATI Technologies\ATI.ACE\CLI.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]
--a------ 2008-08-11 09:11 266497 c:\programme\AntiVir PersonalEdition Classic\avgnt.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AVMWlanClient]
--------- 2006-04-20 15:47 323584 c:\programme\avmwlanstick\FRITZWLANMini.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ControlCenter2.0]
--------- 2005-05-17 16:42 933888 c:\programme\Brother\ControlCenter2\brctrcen.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
--a------ 2008-04-14 03:22 15360 c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
--a------ 2007-09-18 15:16 171464 c:\programme\DAEMON Tools\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Easy-PrintToolBox]
--a------ 2004-01-14 02:10 409600 c:\programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\H/PC Connection Agent]
--a------ 2006-11-13 13:50 1289000 c:\programme\Microsoft ActiveSync\wcescomm.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ]
--a------ 2008-09-01 16:08 173304 c:\programme\ICQ6\ICQ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IndexSearch]
--a------ 2005-03-17 16:01 40960 c:\programme\ScanSoft\PaperPort\IndexSearch.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\mmtask]
--a------ 2005-03-29 07:47 53248 c:\programme\Musicmatch\Musicmatch Jukebox\mmtask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MMTray]
--a------ 2005-03-29 07:47 135168 c:\programme\Musicmatch\Musicmatch Jukebox\mm_tray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--a------ 2008-04-14 03:22 1695232 c:\programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\mxomssmenu]
--a------ 2007-09-06 14:53 169264 c:\programme\Maxtor\OneTouch Status\MaxMenuMgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 10:50 155648 c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PaperPort PTD]
--a------ 2005-03-17 15:39 57393 c:\programme\ScanSoft\PaperPort\pptd40nt.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PhonostarAgent]
--a------ 2007-03-19 16:31 98304 c:\programme\phonostar\ps_agent.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PhonostarTimer]
--a------ 2007-03-19 16:37 126976 c:\programme\phonostar\ps_timer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RaidTool]
-ra------ 2004-10-11 07:54 589824 c:\programme\VIA\RAID\raid_tool.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RegClean]
--a------ 2008-06-27 15:16 8471784 c:\programme\RegClean\RegClean.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpywareTerminator]
--a------ 2008-08-19 14:18 1783808 c:\programme\Spyware Terminator\SpywareTerminatorShield.Exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SSBkgdUpdate]
-ra------ 2003-10-14 09:22 155648 c:\programme\Gemeinsame Dateien\ScanSoft Shared\SSBkgdUpdate\SSBkgdUpdate.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2009-02-23 20:21 148888 c:\programme\Java\jre6\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VC8Player]
--a------ 2006-09-01 10:32 289912 c:\programme\Virtual CD v8\System\VC8Play.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
--a------ 2005-04-15 04:01 77824 c:\windows\SOUNDMAN.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"sp_rssrv"=2 (0x2)
"SLService"=2 (0x2)
"ose"=3 (0x3)
"Maxtor Sync Service"=2 (0x2)
"IDriverT"=3 (0x3)
"ICQ Service"=2 (0x2)
"HRService"=3 (0x3)
"gusvc"=3 (0x3)
"Brother XP spl Service"=2 (0x2)
"ATI Smart"=2 (0x2)
"Ati HotKey Poller"=2 (0x2)
"xmlprov"=3 (0x3)
"WZCSVC"=2 (0x2)
"wuauserv"=2 (0x2)
"wscsvc"=2 (0x2)
"WmiApSrv"=3 (0x3)
"WmdmPmSN"=3 (0x3)
"winmgmt"=2 (0x2)
"WebClient"=2 (0x2)
"W32Time"=2 (0x2)
"VSS"=3 (0x3)
"VC8SecS"=2 (0x2)
"UPS"=3 (0x3)
"upnphost"=3 (0x3)
"UMWdf"=2 (0x2)
"TrkWks"=2 (0x2)
"Themes"=2 (0x2)
"TermService"=3 (0x3)
"TapiSrv"=3 (0x3)
"SysmonLog"=3 (0x3)
"SwPrv"=3 (0x3)
"stisvc"=2 (0x2)
"SSDPSRV"=3 (0x3)
"srservice"=2 (0x2)
"Spooler"=2 (0x2)
"ShellHWDetection"=2 (0x2)
"SharedAccess"=2 (0x2)
"SENS"=2 (0x2)
"seclogon"=2 (0x2)
"Schedule"=2 (0x2)
"SCardSvr"=3 (0x3)
"SamSs"=2 (0x2)
"RSVP"=3 (0x3)
"RDSessMgr"=3 (0x3)
"RasMan"=3 (0x3)
"RasAuto"=3 (0x3)
"ProtectedStorage"=2 (0x2)
"PolicyAgent"=2 (0x2)
"PnkBstrB"=2 (0x2)
"PnkBstrA"=2 (0x2)
"PlugPlay"=2 (0x2)
"NtmsSvc"=3 (0x3)
"NtLmSsp"=3 (0x3)
"Nla"=3 (0x3)
"Netman"=3 (0x3)
"Netlogon"=3 (0x3)
"napagent"=3 (0x3)
"MSIServer"=3 (0x3)
"MSDTC"=3 (0x3)
"mnmsrvc"=3 (0x3)
"LmHosts"=2 (0x2)
"lanmanworkstation"=2 (0x2)
"lanmanserver"=2 (0x2)
"JavaQuickStarterService"=2 (0x2)
"ImapiService"=3 (0x3)
"HTTPFilter"=3 (0x3)
"hkmsvc"=3 (0x3)
"helpsvc"=2 (0x2)
"FastUserSwitchingCompatibility"=3 (0x3)
"EventSystem"=3 (0x3)
"Eventlog"=2 (0x2)
"ERSvc"=2 (0x2)
"EapHost"=3 (0x3)
"Dot3svc"=3 (0x3)
"Dnscache"=2 (0x2)
"dmserver"=3 (0x3)
"dmadmin"=3 (0x3)
"Dhcp"=2 (0x2)
"CryptSvc"=2 (0x2)
"COMSysApp"=3 (0x3)
"clr_optimization_v2.0.50727_32"=3 (0x3)
"CiSvc"=3 (0x3)
"Browser"=2 (0x2)
"BITS"=3 (0x3)
"AudioSrv"=2 (0x2)
"aspnet_state"=3 (0x3)
"AppMgmt"=3 (0x3)
"AntiVirService"=2 (0x2)
"AntiVirScheduler"=2 (0x2)
"ALG"=3 (0x3)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\LucasArts\\Star Wars JK II Jedi Outcast\\GameData\\jk2mp.exe"=
"c:\\Programme\\PATRIZIER II\\Patrizier 2.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Haufe\\iDesk\\iDeskService\\python w.exe"=
"c:\\Dokumente und Einstellungen\\Günter\\Anwendungsdaten\\SopCast\\ adv\\SopAdver.exe"=
"c:\\Programme\\SopCast\\SopCast.exe"=
"c:\\Programme\\ICQ6\\ICQ.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\programme\Microsoft ActiveSync\rapimgr.exe"= c:\programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\programme\Microsoft ActiveSync\wcescomm.exe"= c:\programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\programme\Microsoft ActiveSync\WCESMgr.exe"= c:\programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"c:\\Programme\\SopCast\\adv\\SopAdver.exe"=
"d:\\Cs source\\hl2.exe"=
"c:\\Programme\\TmNationsForever\\TmForever.ex e"=
"d:\\sw\\Star Wars Republic Commando\\GameData\\System\\SWRepublicCommando (2).exe"=
"d:\\TrackMania United\\TmUnited.exe"=
"c:\\Programme\\LucasArts\\Star Wars Battlefront II\\GameData\\battlefrontII.1.exe"=
"c:\\Programme\\LucasArts\\Star Wars Battlefront II\\GameData\\BattlefrontII.exe"=
"d:\\Renegade\\Game.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"f:\\D\\Spiele\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"d:\\Unreal Tournament\\UT2004\\System\\UT2004.exe"=
"f:\\D\\Spiele\\anno\\Anno1701.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

R1 vdrv8000;vdrv8000;c:\windows\system32\drivers\vdrv 8000.sys [2009-03-16 100352]
R3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\drivers\fwlanusb.sy s [2006-12-06 264704]
S3 gUSBSTOi;gUSBSTOi;\??\c:\dokume~1\GNTER~1\LOKALE~1 \Temp\gUSBSTOi.sys --> c:\dokume~1\GNTER~1\LOKALE~1\Temp\gUSBSTOi.sys [?]
S3 HHCDHelp.sys;HHCDHelp.sys;c:\windows\system32\driv ers\HHCDHelp.sys [2009-03-16 11520]
S4 HRService;Haufe iDesk-Service in c:\programme\Haufe\iDesk\iDeskService\Zope;c:\prog ramme\Haufe\iDesk\iDeskService\ideskservice.exe [2006-10-23 71072]
S4 ICQ Service;ICQ Service;c:\programme\ICQ6Toolbar\ICQ Service.exe [2008-07-01 222456]

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{626cc9c6-855c-11db-a657-0013d361a5c2}]
\Shell\AutoRun\command - N:\pushinst.exe

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{9c4298ea-1176-11dd-ab2e-00040ec9b6a5}]
\shell\verb1\command - desktop.exe

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{b6c2340a-42ae-11dd-ab95-00040ec9b6a5}]
\shell\verb1\command - desktop.exe
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

WebBrowser-{5D4831E0-5A7C-4A46-AFD5-A79AB8CE36C2} - (no file)
WebBrowser-{07AA283A-43D7-4CBE-A064-32A21112D94D} - (no file)
HKCU-Run-wqiso - c:\dokumente und einstellungen\günter\lokale einstellungen\anwendungsdaten\wqiso.exe
SharedTaskScheduler-{01b55afa-f451-474b-9e91-c35b24d02641} - (no file)
MSConfigStartUp-MsgCenterExe - c:\programme\Gemeinsame Dateien\Real\Update_OB\RealOneMessageCenter.exe
MSConfigStartUp-wqiso - c:\dokumente und einstellungen\günter\lokale einstellungen\anwendungsdaten\wqiso.exe


.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.sat1.de/index.php?icqpath=icq
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.micros oft:en-US&ie=utf8&oe=utf8
uInternet Settings,ProxyOverride = fritz.box
IE: Easy-WebPrint - Drucken - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
IE: Easy-WebPrint - Schnelldruck - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
IE: Easy-WebPrint - Vorschau - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
IE: Easy-WebPrint - Zu Druckliste hinzufügen - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: {{8B69DB2E-015D-4c4f-B97E-95EF5326BDA8} - http://adfarm.mediaplex.com/ad/ck/70.../pages.ebay.de
IE: {{FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - c:\programme\PokerStars.NET\PokerStarsUpdate.exe
Handler: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - c:\programme\Haufe\HaufeReader\HRInstmon.dll
FF - ProfilePath - c:\dokumente und einstellungen\Günter\Anwendungsdaten\Mozilla\Fire fox\Profiles\n7o2og6n.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - ICQ Search
FF - prefs.js: browser.startup.homepage - Google
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&q=
FF - plugin: c:\programme\Mozilla Firefox\plugins\np-mswmp.dll
.

************************************************** ************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-21 01:11:04
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

************************************************** ************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-117609710-630328440-725345543-1004\Software\SecuROM\License information*]
"datasecu"=hex:f5,fc,45,fb,46,c6,dd,63,cc,cd,b6,48 ,41,8e,ce,34,9f,dc,06,c5,c0,
55,9c,b8,b8,a7,a7,a6,64,ee,e3,da,7f,00,94,32,f1,f0 ,3e,bd,20,34,46,cb,ec,51,\
"rkeysecu"=hex:24,f1,bb,7f,bc,99,b0,15,d9,e2,3c,7b ,c9,eb,d2,e9
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(992)
c:\windows\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2009-03-21 1:13:05
ComboFix-quarantined-files.txt 2009-03-21 00:12:13

Vor Suchlauf: 20 Verzeichnis(se), 11,784,519,680 Bytes frei
Nach Suchlauf: 20 Verzeichnis(se), 11,845,079,040 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOW S
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Micro soft Windows XP Home Edition" /noexecute=optin /fastdetect

Current=2 Default=2 Failed=1 LastKnownGood=4 Sets=1,2,3,4
377 --- E O F --- 2009-03-17 17:14:05

vielen dank schonmal im voraus!

Werbung

Moin Günter,

ich hoffe du machst mit dem Rechner kein Onlinebanking. Du hast noch immer den hier laufen: Silent Banker: Online-Bankraub in aller Stille - PC-WELT

Eigentlich sollte unbedingt neuinstalliert werden. Das ist der schnellste und sicherste Weg. Falls du doch bereinigen möchtest, dann stelle dich schon einmal darauf ein, dass du die nächsten drei Tage nur am Scannen sein wirst.

Deine Entscheidung.

ciao, andreas

meinst du mit neuinstalliert komplett formatieren??

Ja. Hier findest du eine ausführliche Anleitung: Anleitung: Neuaufsetzen des Systems + Absicherung

ciao, andreas

kannste du aus dem obigen erkennen für welche programme ich treiber oder sonstige wichtige sachen sichern muss oder bruachst du dazu ne ausführliche programmliste ich weiß nämlich nicht genau was ich jetzt sichern muss...

OK. Ich bastel jetzt erstmal ein Script um den Silentbanker zu killen, das dauert etwas. Lies in der Zwischenzeit die Informationen, die du bekommst, wenn du auf den Link klickst, dort werden alle deine Fragen beantwortet.

ciao, andreas

-----Doppelpost zusammengeführt am 22.3.2009 um 15:19:47-----

Scripten mit Combofix

• Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code:

KILLALL::

Driver::
gUSBSTOi
ICQ Service

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b6c2340a-42ae-11dd-ab95-00040ec9b6a5}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9c4298ea-1176-11dd-ab2e-00040ec9b6a5}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{626cc9c6-855c-11db-a657-0013d361a5c2}]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RegClean]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IndexSearch]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"wave1"=-
"midi1"=-
"wave2"=-
"aux2"=-
"mixer1"=-
"aux1"=-
"midi2"=-
"mixer2"=-
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"=-

Folder::
c:\dokume~1\NETWOR~1\ANWEND~1\MACROM~1\
c:\dokume~1\LOCALS~1\ANWEND~1\MACROM~1\
c:\dokume~1\GNTER~1\ANWEND~1\MACROM~1\
c:\dokume~1\GNTER~1\ANWEND~1\MACROM~1\

File::
c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist0120081209 20081210\index.dat
c:\windows\system32\Smab0.dll

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

• Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

• Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

so das ist das log

Zitat:

ComboFix 09-03-19.02 - Günter 2009-03-22 16:15:11.3 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.1534.1222 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Günter\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Günter\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

FILE ::
c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist0120081209 20081210\index.dat
c:\windows\system32\Smab0.dll
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

F:\Autorun.inf
.
---- Vorheriger Suchlauf -------
.
c:\dokume~1\GNTER~1\ANWEND~1\MACROM~1\
c:\dokume~1\GNTER~1\ANWEND~1\MACROM~1\\Shockwave Player\dirapi.mch
c:\dokume~1\GNTER~1\ANWEND~1\MACROM~1\\Shockwave Player\Shockwave Log
c:\dokume~1\GNTER~1\ANWEND~1\MACROM~1\\Shockwave Player\xtras\download\MacromediaInc\DirectSound\Di rectSound.x32
c:\dokume~1\GNTER~1\ANWEND~1\MACROM~1\\Shockwave Player\xtras\download\MacromediaInc\FontXtra\Font Xtra.x32
c:\dokume~1\GNTER~1\ANWEND~1\MACROM~1\\Shockwave Player\xtras\download\MacromediaInc\MacroMix\Macro Mix.x32
c:\dokume~1\GNTER~1\ANWEND~1\MACROM~1\\Shockwave Player\xtras\download\MacromediaInc\SoundControl\S ound Control.x32
c:\dokume~1\GNTER~1\ANWEND~1\MACROM~1\\Shockwave Player\xtras\download\MacromediaInc\SWA\swadcmpr.x 32
c:\dokume~1\GNTER~1\ANWEND~1\MACROM~1\\Shockwave Player\xtras\download\MacromediaInc\SWA\SWASTRM.X3 2
c:\dokume~1\GNTER~1\ANWEND~1\MACROM~1\\Shockwave Player\xtras\download\MacromediaInc\TextAsset\Text Asset.x32
c:\dokume~1\GNTER~1\ANWEND~1\MACROM~1\\Shockwave Player\xtras\download\MacromediaInc\TextXtra\TextX tra.x32
c:\dokume~1\LOCALS~1\ANWEND~1\MACROM~1\
c:\dokume~1\NETWOR~1\ANWEND~1\MACROM~1\
c:\windows\system32\Smab0.dll

.
((((((((((((((((((((((( Dateien erstellt von 2009-02-22 bis 2009-03-22 ))))))))))))))))))))))))))))))
.

2009-03-21 00:12 . 2009-03-21 00:12 <DIR> d-------- c:\programme\CCleaner
2009-03-20 15:56 . 2009-03-20 18:52 54,156 --ah----- c:\windows\QTFont.qfn
2009-03-20 15:56 . 2009-03-20 15:56 1,409 --a------ c:\windows\QTFont.for
2009-03-18 20:34 . 2009-03-18 20:35 <DIR> d-------- c:\programme\Gemeinsame Dateien\Adobe
2009-03-16 20:44 . 2006-06-20 16:53 100,352 --a------ c:\windows\system32\drivers\vdrv8000.sys
2009-03-16 20:44 . 2006-04-25 17:20 11,520 --a------ c:\windows\system32\drivers\HHCDHelp.sys
2009-03-16 20:43 . 2009-03-16 20:43 <DIR> d-------- c:\programme\Virtual CD v8
2009-03-16 20:43 . 2004-07-13 11:57 1,843,200 --a------ c:\windows\system32\NCTAudioFile2.dll
2009-03-16 20:43 . 2003-07-24 18:01 1,044,480 --------- c:\windows\system32\ROBOEX32.DLL
2009-03-16 20:43 . 2004-07-06 11:52 811,008 --a------ c:\windows\system32\NCTAudioCDGrabber2.dll
2009-03-16 20:43 . 2005-04-26 14:17 643,072 --a------ c:\windows\system32\DVDProX2.dll
2009-03-16 20:43 . 2004-07-13 11:58 315,392 --a------ c:\windows\system32\NCTAudioPlayer2.dll
2009-03-16 16:50 . 2009-03-16 16:50 271,360 --a------ c:\windows\system32\drivers\atksgt.sys
2009-03-16 16:50 . 2009-03-16 16:50 18,048 --a------ c:\windows\system32\drivers\lirsgt.sys
2009-03-13 15:04 . 2009-03-13 15:04 <DIR> d-------- C:\BlueByte
2009-02-27 23:12 . 2009-02-27 23:12 <DIR> d-------- c:\windows\uninstall\Free Metronome
2009-02-27 23:12 . 2009-02-27 23:12 <DIR> d-------- c:\programme\Free Metronome
2009-02-23 20:21 . 2009-02-23 20:21 <DIR> d-------- c:\programme\Java
2009-02-23 20:21 . 2009-02-23 20:21 410,984 --a------ c:\windows\system32\deploytk.dll
2009-02-23 20:21 . 2009-02-23 20:21 73,728 --a------ c:\windows\system32\javacpl.cpl
2009-02-23 20:14 . 2009-02-23 20:14 <DIR> d-------- c:\dokumente und einstellungen\Günter\Anwendungsdaten\OpenOffice.o rg
2009-02-23 19:02 . 2009-02-23 19:02 <DIR> d-------- c:\programme\OpenOffice.org 3

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))) ))))
.
2009-03-20 22:31 --------- d-----w c:\programme\WinClamAVShield
2009-03-20 22:28 --------- d-----w c:\programme\Spyware Terminator
2009-03-20 22:28 --------- d-----w c:\dokumente und einstellungen\Günter\Anwendungsdaten\Spyware Terminator
2009-03-16 20:56 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\TrackMania
2009-03-16 19:43 --------- d--h--w c:\programme\InstallShield Installation Information
2009-03-14 00:15 --------- d-----w c:\dokumente und einstellungen\Günter\Anwendungsdaten\Skype
2009-03-13 17:21 --------- d-----w c:\programme\ICQ6
2009-03-13 16:43 --------- d-----w c:\programme\PokerStars.NET
2009-03-08 13:03 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2009-02-19 20:18 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2009-02-19 18:52 --------- d-----w c:\programme\MSECache
2009-01-31 00:38 137,688 ----a-w c:\windows\system32\drivers\PnkBstrK.sys
2009-01-30 18:15 --------- d-----w c:\dokumente und einstellungen\Günter\Anwendungsdaten\Leadertech
2009-01-28 15:00 --------- d-----w c:\programme\Activision
2008-12-29 19:13 22,328 ----a-w c:\dokumente und einstellungen\Günter\Anwendungsdaten\PnkBstrK.sys
2006-12-14 12:48 2,816,584 ----a-w c:\programme\vb_distrib.exe
2006-05-03 10:06 163,328 --sh--r c:\windows\system32\flvDX.dll
2007-02-21 11:47 31,232 --sh--r c:\windows\system32\msfDX.dll
2008-12-09 13:35 32,768 --sha-w c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist0120081209 20081210\index.dat
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"MSConfig"="c:\windows\pchealth\helpctr\Binaries\M SCONFIG.EXE" [2008-04-14 172544]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.I420"= i420vfw.dll
"vidc.iv31"= c:\windows\system32\ir32_32.dll
"vidc.iv32"= c:\windows\system32\ir32_32.dll

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^ATI CATALYST-Infobereich.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\ATI CATALYST-Infobereich.lnk
backup=c:\windows\pss\ATI CATALYST-Infobereich.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^InterVideo WinCinema Manager.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\InterVideo WinCinema Manager.lnk
backup=c:\windows\pss\InterVideo WinCinema Manager.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Status Monitor.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Status Monitor.lnk
backup=c:\windows\pss\Status Monitor.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Günter^Startmenü^Programme^Autosta rt^OpenOffice.org 3.0.lnk]
path=c:\dokumente und einstellungen\Günter\Startmenü\Programme\Autosta rt\OpenOffice.org 3.0.lnk
backup=c:\windows\pss\OpenOffice.org 3.0.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2009-02-27 17:10 35696 c:\programme\Adobe\Reader 9.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATICCC]
--a------ 2005-08-06 01:07 61440 c:\programme\ATI Technologies\ATI.ACE\CLI.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]
--a------ 2008-08-11 09:11 266497 c:\programme\AntiVir PersonalEdition Classic\avgnt.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AVMWlanClient]
--------- 2006-04-20 15:47 323584 c:\programme\avmwlanstick\FRITZWLANMini.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ControlCenter2.0]
--------- 2005-05-17 16:42 933888 c:\programme\Brother\ControlCenter2\brctrcen.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
--a------ 2008-04-14 03:22 15360 c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
--a------ 2007-09-18 15:16 171464 c:\programme\DAEMON Tools\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Easy-PrintToolBox]
--a------ 2004-01-14 02:10 409600 c:\programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\H/PC Connection Agent]
--a------ 2006-11-13 13:50 1289000 c:\programme\Microsoft ActiveSync\wcescomm.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\mmtask]
--a------ 2005-03-29 07:47 53248 c:\programme\Musicmatch\Musicmatch Jukebox\mmtask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MMTray]
--a------ 2005-03-29 07:47 135168 c:\programme\Musicmatch\Musicmatch Jukebox\mm_tray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\mxomssmenu]
--a------ 2007-09-06 14:53 169264 c:\programme\Maxtor\OneTouch Status\MaxMenuMgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 10:50 155648 c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PaperPort PTD]
--a------ 2005-03-17 15:39 57393 c:\programme\ScanSoft\PaperPort\pptd40nt.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PhonostarAgent]
--a------ 2007-03-19 16:31 98304 c:\programme\phonostar\ps_agent.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PhonostarTimer]
--a------ 2007-03-19 16:37 126976 c:\programme\phonostar\ps_timer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RaidTool]
-ra------ 2004-10-11 07:54 589824 c:\programme\VIA\RAID\raid_tool.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpywareTerminator]
--a------ 2008-08-19 14:18 1783808 c:\programme\Spyware Terminator\SpywareTerminatorShield.Exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SSBkgdUpdate]
-ra------ 2003-10-14 09:22 155648 c:\programme\Gemeinsame Dateien\ScanSoft Shared\SSBkgdUpdate\SSBkgdUpdate.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VC8Player]
--a------ 2006-09-01 10:32 289912 c:\programme\Virtual CD v8\System\VC8Play.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"sp_rssrv"=2 (0x2)
"SLService"=2 (0x2)
"ICQ Service"=2 (0x2)
"gusvc"=3 (0x3)
"VC8SecS"=2 (0x2)
"PnkBstrB"=2 (0x2)
"PnkBstrA"=2 (0x2)
"xmlprov"=3 (0x3)
"WZCSVC"=2 (0x2)
"wuauserv"=2 (0x2)
"wscsvc"=2 (0x2)
"WmiApSrv"=3 (0x3)
"WmdmPmSN"=3 (0x3)
"winmgmt"=2 (0x2)
"WebClient"=2 (0x2)
"W32Time"=2 (0x2)
"VSS"=3 (0x3)
"UPS"=3 (0x3)
"upnphost"=3 (0x3)
"UMWdf"=2 (0x2)
"TrkWks"=2 (0x2)
"Themes"=2 (0x2)
"TermService"=3 (0x3)
"TapiSrv"=3 (0x3)
"SysmonLog"=3 (0x3)
"SwPrv"=3 (0x3)
"stisvc"=2 (0x2)
"SSDPSRV"=3 (0x3)
"srservice"=2 (0x2)
"Spooler"=2 (0x2)
"ShellHWDetection"=2 (0x2)
"SharedAccess"=2 (0x2)
"SENS"=2 (0x2)
"seclogon"=2 (0x2)
"Schedule"=2 (0x2)
"SCardSvr"=3 (0x3)
"SamSs"=2 (0x2)
"RSVP"=3 (0x3)
"RDSessMgr"=3 (0x3)
"RasMan"=3 (0x3)
"RasAuto"=3 (0x3)
"ProtectedStorage"=2 (0x2)
"PolicyAgent"=2 (0x2)
"PlugPlay"=2 (0x2)
"ose"=3 (0x3)
"NtmsSvc"=3 (0x3)
"NtLmSsp"=3 (0x3)
"Nla"=3 (0x3)
"Netman"=3 (0x3)
"Netlogon"=3 (0x3)
"napagent"=3 (0x3)
"MSIServer"=3 (0x3)
"MSDTC"=3 (0x3)
"mnmsrvc"=3 (0x3)
"Maxtor Sync Service"=2 (0x2)
"LmHosts"=2 (0x2)
"lanmanworkstation"=2 (0x2)
"lanmanserver"=2 (0x2)
"JavaQuickStarterService"=2 (0x2)
"ImapiService"=3 (0x3)
"IDriverT"=3 (0x3)
"HTTPFilter"=3 (0x3)
"HRService"=3 (0x3)
"hkmsvc"=3 (0x3)
"helpsvc"=2 (0x2)
"FastUserSwitchingCompatibility"=3 (0x3)
"EventSystem"=3 (0x3)
"Eventlog"=2 (0x2)
"ERSvc"=2 (0x2)
"EapHost"=3 (0x3)
"Dot3svc"=3 (0x3)
"Dnscache"=2 (0x2)
"dmserver"=3 (0x3)
"dmadmin"=3 (0x3)
"Dhcp"=2 (0x2)
"CryptSvc"=3 (0x3)
"COMSysApp"=3 (0x3)
"clr_optimization_v2.0.50727_32"=3 (0x3)
"CiSvc"=3 (0x3)
"Browser"=2 (0x2)
"Brother XP spl Service"=2 (0x2)
"BITS"=3 (0x3)
"AudioSrv"=2 (0x2)
"ATI Smart"=2 (0x2)
"Ati HotKey Poller"=2 (0x2)
"aspnet_state"=3 (0x3)
"AppMgmt"=3 (0x3)
"AntiVirService"=2 (0x2)
"AntiVirScheduler"=2 (0x2)
"ALG"=3 (0x3)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\LucasArts\\Star Wars JK II Jedi Outcast\\GameData\\jk2mp.exe"=
"c:\\Programme\\PATRIZIER II\\Patrizier 2.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Haufe\\iDesk\\iDeskService\\python w.exe"=
"c:\\Dokumente und Einstellungen\\Günter\\Anwendungsdaten\\SopCast\\ adv\\SopAdver.exe"=
"c:\\Programme\\SopCast\\SopCast.exe"=
"c:\\Programme\\ICQ6\\ICQ.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\programme\Microsoft ActiveSync\rapimgr.exe"= c:\programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\programme\Microsoft ActiveSync\wcescomm.exe"= c:\programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\programme\Microsoft ActiveSync\WCESMgr.exe"= c:\programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"c:\\Programme\\SopCast\\adv\\SopAdver.exe"=
"d:\\Cs source\\hl2.exe"=
"c:\\Programme\\TmNationsForever\\TmForever.ex e"=
"d:\\sw\\Star Wars Republic Commando\\GameData\\System\\SWRepublicCommando (2).exe"=
"d:\\TrackMania United\\TmUnited.exe"=
"c:\\Programme\\LucasArts\\Star Wars Battlefront II\\GameData\\battlefrontII.1.exe"=
"c:\\Programme\\LucasArts\\Star Wars Battlefront II\\GameData\\BattlefrontII.exe"=
"d:\\Renegade\\Game.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"f:\\D\\Spiele\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"d:\\Unreal Tournament\\UT2004\\System\\UT2004.exe"=
"f:\\D\\Spiele\\anno\\Anno1701.exe"=

R1 vdrv8000;vdrv8000;c:\windows\system32\drivers\vdrv 8000.sys [2009-03-16 100352]
R3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\drivers\fwlanusb.sy s [2006-12-06 264704]
S3 gUSBSTOi;gUSBSTOi;\??\c:\dokume~1\GNTER~1\LOKALE~1 \Temp\gUSBSTOi.sys --> c:\dokume~1\GNTER~1\LOKALE~1\Temp\gUSBSTOi.sys [?]
S3 HHCDHelp.sys;HHCDHelp.sys;c:\windows\system32\driv ers\HHCDHelp.sys [2009-03-16 11520]
S4 HRService;Haufe iDesk-Service in c:\programme\Haufe\iDesk\iDeskService\Zope;c:\prog ramme\Haufe\iDesk\iDeskService\ideskservice.exe [2006-10-23 71072]
S4 ICQ Service;ICQ Service;c:\programme\ICQ6Toolbar\ICQ Service.exe [2008-07-01 222456]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.sat1.de/index.php?icqpath=icq
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.micros oft:en-US&ie=utf8&oe=utf8
uInternet Settings,ProxyOverride = fritz.box
IE: Easy-WebPrint - Drucken - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
IE: Easy-WebPrint - Schnelldruck - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
IE: Easy-WebPrint - Vorschau - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
IE: Easy-WebPrint - Zu Druckliste hinzufügen - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: {{8B69DB2E-015D-4c4f-B97E-95EF5326BDA8} - http://adfarm.mediaplex.com/ad/ck/70.../pages.ebay.de
IE: {{FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - c:\programme\PokerStars.NET\PokerStarsUpdate.exe
Handler: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - c:\programme\Haufe\HaufeReader\HRInstmon.dll
FF - ProfilePath - c:\dokumente und einstellungen\Günter\Anwendungsdaten\Mozilla\Fire fox\Profiles\n7o2og6n.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - ICQ Search
FF - prefs.js: browser.startup.homepage - Google
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&q=
FF - plugin: c:\programme\Mozilla Firefox\plugins\np-mswmp.dll
.

************************************************** ************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-22 16:27:34
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

************************************************** ************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-117609710-630328440-725345543-1004\Software\SecuROM\License information*]
"datasecu"=hex:f5,fc,45,fb,46,c6,dd,63,cc,cd,b6,48 ,41,8e,ce,34,9f,dc,06,c5,c0,
55,9c,b8,b8,a7,a7,a6,64,ee,e3,da,7f,00,94,32,f1,f0 ,3e,bd,20,34,46,cb,ec,51,\
"rkeysecu"=hex:24,f1,bb,7f,bc,99,b0,15,d9,e2,3c,7b ,c9,eb,d2,e9
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(992)
c:\windows\system32\Ati2evxx.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\SOUNDMAN.EXE
c:\programme\Messenger\msmsgs.exe
.
************************************************** ************************
.
Zeit der Fertigstellung: 2009-03-22 16:30:34 - PC wurde neu gestartet [Günter]
ComboFix-quarantined-files.txt 2009-03-22 15:30:07
ComboFix2.txt 2009-03-21 00:13:06

Vor Suchlauf: 20 Verzeichnis(se), 11,845,709,824 Bytes frei
Nach Suchlauf: 20 Verzeichnis(se), 11,829,166,080 Bytes frei

Current=2 Default=2 Failed=1 LastKnownGood=4 Sets=1,2,3,4
324 --- E O F --- 2009-03-17 17:14:05

Schon besser, aber noch lange nicht gut. Gleich noch einmal.

Scripten mit Combofix

• Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code:

KILLALL::

Driver::
gUSBSTOi

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2009-02-27 17:10 35696 c:\programme\Adobe\Reader 9.0\Reader\reader_sl.exe

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

• Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

• Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

hier das log:

Zitat:

ComboFix 09-03-19.02 - Günter 2009-03-22 17:02:09.4 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.1534.1224 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Günter\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Günter\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

F:\Autorun.inf

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_GUSBSTOI
-------\Service_gUSBSTOi


((((((((((((((((((((((( Dateien erstellt von 2009-02-22 bis 2009-03-22 ))))))))))))))))))))))))))))))
.

2009-03-21 00:12 . 2009-03-21 00:12 <DIR> d-------- c:\programme\CCleaner
2009-03-20 15:56 . 2009-03-20 18:52 54,156 --ah----- c:\windows\QTFont.qfn
2009-03-20 15:56 . 2009-03-20 15:56 1,409 --a------ c:\windows\QTFont.for
2009-03-18 20:34 . 2009-03-18 20:35 <DIR> d-------- c:\programme\Gemeinsame Dateien\Adobe
2009-03-16 20:44 . 2006-06-20 16:53 100,352 --a------ c:\windows\system32\drivers\vdrv8000.sys
2009-03-16 20:44 . 2006-04-25 17:20 11,520 --a------ c:\windows\system32\drivers\HHCDHelp.sys
2009-03-16 20:43 . 2009-03-16 20:43 <DIR> d-------- c:\programme\Virtual CD v8
2009-03-16 20:43 . 2004-07-13 11:57 1,843,200 --a------ c:\windows\system32\NCTAudioFile2.dll
2009-03-16 20:43 . 2003-07-24 18:01 1,044,480 --------- c:\windows\system32\ROBOEX32.DLL
2009-03-16 20:43 . 2004-07-06 11:52 811,008 --a------ c:\windows\system32\NCTAudioCDGrabber2.dll
2009-03-16 20:43 . 2005-04-26 14:17 643,072 --a------ c:\windows\system32\DVDProX2.dll
2009-03-16 20:43 . 2004-07-13 11:58 315,392 --a------ c:\windows\system32\NCTAudioPlayer2.dll
2009-03-16 16:50 . 2009-03-16 16:50 271,360 --a------ c:\windows\system32\drivers\atksgt.sys
2009-03-16 16:50 . 2009-03-16 16:50 18,048 --a------ c:\windows\system32\drivers\lirsgt.sys
2009-03-13 15:04 . 2009-03-13 15:04 <DIR> d-------- C:\BlueByte
2009-02-27 23:12 . 2009-02-27 23:12 <DIR> d-------- c:\windows\uninstall\Free Metronome
2009-02-27 23:12 . 2009-02-27 23:12 <DIR> d-------- c:\programme\Free Metronome
2009-02-23 20:21 . 2009-02-23 20:21 <DIR> d-------- c:\programme\Java
2009-02-23 20:21 . 2009-02-23 20:21 410,984 --a------ c:\windows\system32\deploytk.dll
2009-02-23 20:21 . 2009-02-23 20:21 73,728 --a------ c:\windows\system32\javacpl.cpl
2009-02-23 20:14 . 2009-02-23 20:14 <DIR> d-------- c:\dokumente und einstellungen\Günter\Anwendungsdaten\OpenOffice.o rg
2009-02-23 19:02 . 2009-02-23 19:02 <DIR> d-------- c:\programme\OpenOffice.org 3

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))) ))))
.
2009-03-20 22:31 --------- d-----w c:\programme\WinClamAVShield
2009-03-20 22:28 --------- d-----w c:\programme\Spyware Terminator
2009-03-20 22:28 --------- d-----w c:\dokumente und einstellungen\Günter\Anwendungsdaten\Spyware Terminator
2009-03-16 20:56 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\TrackMania
2009-03-16 19:43 --------- d--h--w c:\programme\InstallShield Installation Information
2009-03-14 00:15 --------- d-----w c:\dokumente und einstellungen\Günter\Anwendungsdaten\Skype
2009-03-13 17:21 --------- d-----w c:\programme\ICQ6
2009-03-13 16:43 --------- d-----w c:\programme\PokerStars.NET
2009-03-08 13:03 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2009-02-19 20:18 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2009-02-19 18:52 --------- d-----w c:\programme\MSECache
2009-01-31 00:38 137,688 ----a-w c:\windows\system32\drivers\PnkBstrK.sys
2009-01-30 18:15 --------- d-----w c:\dokumente und einstellungen\Günter\Anwendungsdaten\Leadertech
2009-01-28 15:00 --------- d-----w c:\programme\Activision
2008-12-29 19:13 22,328 ----a-w c:\dokumente und einstellungen\Günter\Anwendungsdaten\PnkBstrK.sys
2006-12-14 12:48 2,816,584 ----a-w c:\programme\vb_distrib.exe
2006-05-03 10:06 163,328 --sh--r c:\windows\system32\flvDX.dll
2007-02-21 11:47 31,232 --sh--r c:\windows\system32\msfDX.dll
2008-12-09 13:35 32,768 --sha-w c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist0120081209 20081210\index.dat
.

((((((((((((((((((((((((((((( SnapShot@2009-03-21_ 1.11.30.51 )))))))))))))))))))))))))))))))))))))))))
.
+ 2005-10-20 19:02:28 163,328 ----a-w c:\windows\ERDNT\subs\ERDNT.EXE
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.I420"= i420vfw.dll
"vidc.iv31"= c:\windows\system32\ir32_32.dll
"vidc.iv32"= c:\windows\system32\ir32_32.dll

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^ATI CATALYST-Infobereich.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\ATI CATALYST-Infobereich.lnk
backup=c:\windows\pss\ATI CATALYST-Infobereich.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^InterVideo WinCinema Manager.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\InterVideo WinCinema Manager.lnk
backup=c:\windows\pss\InterVideo WinCinema Manager.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Status Monitor.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Status Monitor.lnk
backup=c:\windows\pss\Status Monitor.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Günter^Startmenü^Programme^Autosta rt^OpenOffice.org 3.0.lnk]
path=c:\dokumente und einstellungen\Günter\Startmenü\Programme\Autosta rt\OpenOffice.org 3.0.lnk
backup=c:\windows\pss\OpenOffice.org 3.0.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATICCC]
--a------ 2005-08-06 01:07 61440 c:\programme\ATI Technologies\ATI.ACE\CLI.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]
--a------ 2008-08-11 09:11 266497 c:\programme\AntiVir PersonalEdition Classic\avgnt.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AVMWlanClient]
--------- 2006-04-20 15:47 323584 c:\programme\avmwlanstick\FRITZWLANMini.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ControlCenter2.0]
--------- 2005-05-17 16:42 933888 c:\programme\Brother\ControlCenter2\brctrcen.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
--a------ 2008-04-14 03:22 15360 c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
--a------ 2007-09-18 15:16 171464 c:\programme\DAEMON Tools\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Easy-PrintToolBox]
--a------ 2004-01-14 02:10 409600 c:\programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\H/PC Connection Agent]
--a------ 2006-11-13 13:50 1289000 c:\programme\Microsoft ActiveSync\wcescomm.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\mmtask]
--a------ 2005-03-29 07:47 53248 c:\programme\Musicmatch\Musicmatch Jukebox\mmtask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MMTray]
--a------ 2005-03-29 07:47 135168 c:\programme\Musicmatch\Musicmatch Jukebox\mm_tray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\mxomssmenu]
--a------ 2007-09-06 14:53 169264 c:\programme\Maxtor\OneTouch Status\MaxMenuMgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 10:50 155648 c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PaperPort PTD]
--a------ 2005-03-17 15:39 57393 c:\programme\ScanSoft\PaperPort\pptd40nt.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PhonostarAgent]
--a------ 2007-03-19 16:31 98304 c:\programme\phonostar\ps_agent.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PhonostarTimer]
--a------ 2007-03-19 16:37 126976 c:\programme\phonostar\ps_timer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RaidTool]
-ra------ 2004-10-11 07:54 589824 c:\programme\VIA\RAID\raid_tool.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpywareTerminator]
--a------ 2008-08-19 14:18 1783808 c:\programme\Spyware Terminator\SpywareTerminatorShield.Exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SSBkgdUpdate]
-ra------ 2003-10-14 09:22 155648 c:\programme\Gemeinsame Dateien\ScanSoft Shared\SSBkgdUpdate\SSBkgdUpdate.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VC8Player]
--a------ 2006-09-01 10:32 289912 c:\programme\Virtual CD v8\System\VC8Play.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"sp_rssrv"=2 (0x2)
"SLService"=2 (0x2)
"ICQ Service"=2 (0x2)
"gusvc"=3 (0x3)
"PnkBstrB"=2 (0x2)
"PnkBstrA"=2 (0x2)
"xmlprov"=3 (0x3)
"WZCSVC"=2 (0x2)
"wuauserv"=2 (0x2)
"wscsvc"=2 (0x2)
"WmiApSrv"=3 (0x3)
"WmdmPmSN"=3 (0x3)
"winmgmt"=2 (0x2)
"WebClient"=2 (0x2)
"W32Time"=2 (0x2)
"VSS"=3 (0x3)
"VC8SecS"=2 (0x2)
"UPS"=3 (0x3)
"upnphost"=3 (0x3)
"UMWdf"=2 (0x2)
"TrkWks"=2 (0x2)
"Themes"=2 (0x2)
"TermService"=3 (0x3)
"TapiSrv"=3 (0x3)
"SysmonLog"=3 (0x3)
"SwPrv"=3 (0x3)
"stisvc"=2 (0x2)
"SSDPSRV"=3 (0x3)
"srservice"=2 (0x2)
"Spooler"=2 (0x2)
"ShellHWDetection"=2 (0x2)
"SharedAccess"=2 (0x2)
"SENS"=2 (0x2)
"seclogon"=2 (0x2)
"Schedule"=2 (0x2)
"SCardSvr"=3 (0x3)
"SamSs"=2 (0x2)
"RSVP"=3 (0x3)
"RDSessMgr"=3 (0x3)
"RasMan"=3 (0x3)
"RasAuto"=3 (0x3)
"ProtectedStorage"=2 (0x2)
"PolicyAgent"=2 (0x2)
"PlugPlay"=2 (0x2)
"ose"=3 (0x3)
"NtmsSvc"=3 (0x3)
"NtLmSsp"=3 (0x3)
"Nla"=3 (0x3)
"Netman"=3 (0x3)
"Netlogon"=3 (0x3)
"napagent"=3 (0x3)
"MSIServer"=3 (0x3)
"MSDTC"=3 (0x3)
"mnmsrvc"=3 (0x3)
"Maxtor Sync Service"=2 (0x2)
"LmHosts"=2 (0x2)
"lanmanworkstation"=2 (0x2)
"lanmanserver"=2 (0x2)
"JavaQuickStarterService"=2 (0x2)
"ImapiService"=3 (0x3)
"IDriverT"=3 (0x3)
"HTTPFilter"=3 (0x3)
"HRService"=3 (0x3)
"hkmsvc"=3 (0x3)
"helpsvc"=2 (0x2)
"FastUserSwitchingCompatibility"=3 (0x3)
"EventSystem"=3 (0x3)
"Eventlog"=2 (0x2)
"ERSvc"=2 (0x2)
"EapHost"=3 (0x3)
"Dot3svc"=3 (0x3)
"Dnscache"=2 (0x2)
"dmserver"=3 (0x3)
"dmadmin"=3 (0x3)
"Dhcp"=2 (0x2)
"CryptSvc"=3 (0x3)
"COMSysApp"=3 (0x3)
"clr_optimization_v2.0.50727_32"=3 (0x3)
"CiSvc"=3 (0x3)
"Browser"=2 (0x2)
"Brother XP spl Service"=2 (0x2)
"BITS"=3 (0x3)
"AudioSrv"=2 (0x2)
"ATI Smart"=2 (0x2)
"Ati HotKey Poller"=2 (0x2)
"aspnet_state"=3 (0x3)
"AppMgmt"=3 (0x3)
"AntiVirService"=2 (0x2)
"AntiVirScheduler"=2 (0x2)
"ALG"=3 (0x3)

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\LucasArts\\Star Wars JK II Jedi Outcast\\GameData\\jk2mp.exe"=
"c:\\Programme\\PATRIZIER II\\Patrizier 2.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Haufe\\iDesk\\iDeskService\\python w.exe"=
"c:\\Dokumente und Einstellungen\\Günter\\Anwendungsdaten\\SopCast\\ adv\\SopAdver.exe"=
"c:\\Programme\\SopCast\\SopCast.exe"=
"c:\\Programme\\ICQ6\\ICQ.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\programme\Microsoft ActiveSync\rapimgr.exe"= c:\programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\programme\Microsoft ActiveSync\wcescomm.exe"= c:\programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\programme\Microsoft ActiveSync\WCESMgr.exe"= c:\programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"c:\\Programme\\SopCast\\adv\\SopAdver.exe"=
"d:\\Cs source\\hl2.exe"=
"c:\\Programme\\TmNationsForever\\TmForever.ex e"=
"d:\\sw\\Star Wars Republic Commando\\GameData\\System\\SWRepublicCommando (2).exe"=
"d:\\TrackMania United\\TmUnited.exe"=
"c:\\Programme\\LucasArts\\Star Wars Battlefront II\\GameData\\battlefrontII.1.exe"=
"c:\\Programme\\LucasArts\\Star Wars Battlefront II\\GameData\\BattlefrontII.exe"=
"d:\\Renegade\\Game.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"f:\\D\\Spiele\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"d:\\Unreal Tournament\\UT2004\\System\\UT2004.exe"=
"f:\\D\\Spiele\\anno\\Anno1701.exe"=

R1 vdrv8000;vdrv8000;c:\windows\system32\drivers\vdrv 8000.sys [2009-03-16 100352]
R3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\drivers\fwlanusb.sy s [2006-12-06 264704]
S3 HHCDHelp.sys;HHCDHelp.sys;c:\windows\system32\driv ers\HHCDHelp.sys [2009-03-16 11520]
S4 HRService;Haufe iDesk-Service in c:\programme\Haufe\iDesk\iDeskService\Zope;c:\prog ramme\Haufe\iDesk\iDeskService\ideskservice.exe [2006-10-23 71072]
S4 ICQ Service;ICQ Service;c:\programme\ICQ6Toolbar\ICQ Service.exe [2008-07-01 222456]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.sat1.de/index.php?icqpath=icq
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.micros oft:en-US&ie=utf8&oe=utf8
uInternet Settings,ProxyOverride = fritz.box
IE: Easy-WebPrint - Drucken - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
IE: Easy-WebPrint - Schnelldruck - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
IE: Easy-WebPrint - Vorschau - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
IE: Easy-WebPrint - Zu Druckliste hinzufügen - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: {{8B69DB2E-015D-4c4f-B97E-95EF5326BDA8} - http://adfarm.mediaplex.com/ad/ck/70.../pages.ebay.de
IE: {{FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - c:\programme\PokerStars.NET\PokerStarsUpdate.exe
Handler: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - c:\programme\Haufe\HaufeReader\HRInstmon.dll
FF - ProfilePath - c:\dokumente und einstellungen\Günter\Anwendungsdaten\Mozilla\Fire fox\Profiles\n7o2og6n.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - ICQ Search
FF - prefs.js: browser.startup.homepage - Google
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&q=
FF - plugin: c:\programme\Mozilla Firefox\plugins\np-mswmp.dll
.

************************************************** ************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-22 17:05:48
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

************************************************** ************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-117609710-630328440-725345543-1004\Software\SecuROM\License information*]
"datasecu"=hex:f5,fc,45,fb,46,c6,dd,63,cc,cd,b6,48 ,41,8e,ce,34,9f,dc,06,c5,c0,
55,9c,b8,b8,a7,a7,a6,64,ee,e3,da,7f,00,94,32,f1,f0 ,3e,bd,20,34,46,cb,ec,51,\
"rkeysecu"=hex:24,f1,bb,7f,bc,99,b0,15,d9,e2,3c,7b ,c9,eb,d2,e9
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(992)
c:\windows\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2009-03-22 17:09:11 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-03-22 16:08:46
ComboFix2.txt 2009-03-22 15:30:35
ComboFix3.txt 2009-03-21 00:13:06

Vor Suchlauf: 20 Verzeichnis(se), 11.845.726.208 Bytes frei
Nach Suchlauf: 20 Verzeichnis(se), 11,754,401,792 Bytes frei

Current=2 Default=2 Failed=1 LastKnownGood=4 Sets=1,2,3,4
301 --- E O F --- 2009-03-17 17:14:05

GMER - Rootkit Detection

• Lade Tralala von File-Upload.net - Tralala.exe
• Klick auf Download (rechts in der Mitte) und speichere es auf den Desktop
• Beende alle Programme
• Doppelklick auf Tralala.exe
• Der Reiter Rootkit oben ist schon angewählt

• Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
• nach Beendigung des Scan, drücke "Copy"
• nun kannst Du das Ergebnis hier einfügen. Sollte das Log zu lang sein, dann lade es bei einem Filehoster wie z.B. Materialordner hoch und poste den Link.
• Sollte Gmer sagen "Gmer hasen´t found any System Modifikation", so hat Gmer keine Einträge gefunden.

ciao, andreas

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2009-03-22 18:00:48
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.14 ----

SSDT sptd.sys ZwCreateKey [0xB9EBE0D0]
SSDT B42C70A4 ZwCreateThread
SSDT sptd.sys ZwEnumerateKey [0xB9EC3FB2]
SSDT sptd.sys ZwEnumerateValueKey [0xB9EC4340]
SSDT sptd.sys ZwOpenKey [0xB9EBE0B0]
SSDT B42C7090 ZwOpenProcess
SSDT B42C7095 ZwOpenThread
SSDT sptd.sys ZwQueryKey [0xB9EC4418]
SSDT sptd.sys ZwQueryValueKey [0xB9EC4298]
SSDT sptd.sys ZwSetValueKey [0xB9EC44AA]
SSDT B42C709F ZwTerminateProcess
SSDT B42C709A ZwWriteVirtualMemory

---- Kernel code sections - GMER 1.0.14 ----

? C:\WINDOWS\system32\drivers\sptd.sys Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
.text USBPORT.SYS!DllUnload B94038AC 5 Bytes JMP 8A1BF540
? System32\Drivers\as1w3sx8.SYS Das System kann den angegebenen Pfad nicht finden. !

---- Kernel IAT/EAT - GMER 1.0.14 ----

IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [B9EBEAD4] sptd.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [B9EBEC1A] sptd.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [B9EBEB9C] sptd.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [B9EBF748] sptd.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [B9EBF61E] sptd.sys
IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [B9ED429A] sptd.sys

---- Devices - GMER 1.0.14 ----

Device \FileSystem\Ntfs \Ntfs 8A4A41E8
Device \FileSystem\Fastfat \FatCdrom 8A119628
Device \Driver\usbuhci \Device\USBPDO-0 8A1BE1E8
Device \Driver\NetBT \Device\NetBT_Tcpip_{123704CA-616C-45C8-8922-6BCD20E664C9} 89A221E8
Device \Driver\usbuhci \Device\USBPDO-1 8A1BE1E8
Device \Driver\usbuhci \Device\USBPDO-2 8A1BE1E8
Device \Driver\NetBT \Device\NetBT_Tcpip_{56073AEB-DF63-4A2A-89EE-8A122F4FB895} 89A221E8
Device \Driver\usbuhci \Device\USBPDO-3 8A1BE1E8
Device \Driver\usbehci \Device\USBPDO-4 8A1911E8
Device \Driver\PCI_NTPNP2348 \Device\00000048 sptd.sys
Device \Driver\usbstor \Device\00000070 89FF2538
Device \Driver\Ftdisk \Device\HarddiskVolume1 8A4A61E8
Device \Driver\Cdrom \Device\CdRom0 8A1C21E8
Device \Driver\Ftdisk \Device\HarddiskVolume2 8A4A61E8
Device \Driver\usbstor \Device\00000072 89FF2538
Device \Driver\Ftdisk \Device\HarddiskVolume3 8A4A61E8
Device \Driver\Cdrom \Device\CdRom1 8A1C21E8
Device \Driver\usbstor \Device\00000073 89FF2538
Device \Driver\Cdrom \Device\CdRom2 8A1C21E8
Device \Driver\usbstor \Device\00000074 89FF2538
Device \Driver\Cdrom \Device\CdRom3 8A1C21E8
Device \Driver\usbstor \Device\00000075 89FF2538
Device \Driver\NetBT \Device\NetBt_Wins_Export 89A221E8
Device \Driver\NetBT \Device\NetBT_Tcpip_{C34B2301-F075-43E0-8871-B620D65D06F4} 89A221E8
Device \Driver\NetBT \Device\NetbiosSmb 89A221E8
Device \Driver\usbuhci \Device\USBFDO-0 8A1BE1E8
Device \Driver\usbuhci \Device\USBFDO-1 8A1BE1E8
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 898671E8
Device \Driver\usbstor \Device\0000006e 89FF2538
Device \Driver\usbuhci \Device\USBFDO-2 8A1BE1E8
Device \FileSystem\MRxSmb \Device\LanmanRedirector 898671E8
Device \Driver\usbstor \Device\0000006f 89FF2538
Device \Driver\usbuhci \Device\USBFDO-3 8A1BE1E8
Device \Driver\usbehci \Device\USBFDO-4 8A1911E8
Device \Driver\Ftdisk \Device\FtControl 8A4A61E8
Device \Driver\as1w3sx8 \Device\Scsi\as1w3sx81Port4Path0Target0Lun0 8A1635F8
Device \Driver\vdrv8000 \Device\Scsi\vdrv80001Port3Path0Target1Lun0 89F941E8
Device \Driver\viamraid \Device\Scsi\viamraid1 8A4A51E8
Device \Driver\as1w3sx8 \Device\Scsi\as1w3sx81 8A1635F8
Device \Driver\vdrv8000 \Device\Scsi\vdrv80001 89F941E8
Device \Driver\viamraid \Device\Scsi\viamraid1Port2Path0Target0Lun0 8A4A51E8
Device \Driver\vdrv8000 \Device\Scsi\vdrv80001Port3Path0Target0Lun0 89F941E8
Device \FileSystem\Fastfat \Fat 8A119628

AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

Device \FileSystem\Cdfs \Cdfs 89D2E460

---- Registry - GMER 1.0.14 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19 659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19 659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19 659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19 659239224E364682FA4BAF72C53EA4@khjeh 0x04 0xB7 0xC1 0x2A ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19 659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19 659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19 659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xD1 0x0E 0xB8 0x50 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19 659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19 659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khje h 0xC5 0xF9 0x4F 0xA8 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19 659239224E364682FA4BAF72C53EA4\00000001\0Jf41
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19 659239224E364682FA4BAF72C53EA4\00000001\0Jf41@khje h 0x93 0x6D 0x75 0xD7 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\196592 39224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\196592 39224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools\
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\196592 39224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\196592 39224E364682FA4BAF72C53EA4@khjeh 0x72 0x97 0x92 0xA7 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\196592 39224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\196592 39224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\196592 39224E364682FA4BAF72C53EA4\00000001@khjeh 0xD1 0x0E 0xB8 0x50 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\196592 39224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\196592 39224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0xE5 0x39 0x2B 0x79 ...
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\196592 39224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\196592 39224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools\
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\196592 39224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\196592 39224E364682FA4BAF72C53EA4@khjeh 0x04 0xB7 0xC1 0x2A ...
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\196592 39224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\196592 39224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\196592 39224E364682FA4BAF72C53EA4\00000001@khjeh 0xD1 0x0E 0xB8 0x50 ...
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\196592 39224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\196592 39224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0xC5 0xF9 0x4F 0xA8 ...
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\196592 39224E364682FA4BAF72C53EA4\00000001\0Jf41
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\196592 39224E364682FA4BAF72C53EA4\00000001\0Jf41@khjeh 0x93 0x6D 0x75 0xD7 ...

---- EOF - GMER 1.0.14 ----

1.) Lasse folgende Scanner laufen und poste jeweils das Log.

• Anleitung: Malwarebytes Anti-Malware
• Anleitung: SuperAntiSpyware

2.) Lade dir Lop S&D herunter.

Führe Lop S&D.exe per Doppelklick aus.
Wähle die Sprache deiner Wahl und anschließend die Option 2 (Suche)
Warte bis der Scanbericht erstellt wird (Du findest ihn unter C:\lopR.txt, sollte der Bericht nicht erscheinen)

(Sollte dein Desktop verschwinden, drücke bitte Ctrl + Alt + Entf um den Taskmanager zu starten. Wähle unter Datei, neuen Task aus und gib dort explorer.exe ein)

ciao, andreas

erstmal malwarebytes, das andere folgt dann:

Zitat:

Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1884
Windows 5.1.2600 Service Pack 3

22.03.2009 20:03:58
mbam-log-2009-03-22 (20-03-5.txt

Scan-Methode: Vollständiger Scan (C:\|D:\|F:\|L:\|)
Durchsuchte Objekte: 332774
Laufzeit: 1 hour(s), 34 minute(s), 27 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 6
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Ext\Stats\{54a3f8b7-228e-4ed8-895b-de832b2c3959} (Adware.Zango) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Ext\Stats\{bfc08cff-c737-4433-bd5a-0ee7efcfee54} (Adware.Zango) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Ext\Stats\{1f158a1e-a687-4a11-9679-b3ac64b86a1c} (Adware.Seekmo) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\Cerberus.EXE (Rogue.Antivirus.Gold) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Browser Helper Objects\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
D:\craagle_1.91\Craagle.exe (Adware.Craagle) -> Quarantined and deleted successfully.
C:\Programme\ICQToolbar\toolbaru.dll (Adware.BHO) -> Quarantined and deleted successfully.

edit: wenn ich superantispyware installieren will tritt diese fehlermeldung auf:

auf windows installer-dienst kann nicht zugegriffen werden. DIes kann auftreten wenn windows im abgesicherten modus ausgeführt wird oder wenn der windows installer nicht korrekt installiert wurde.

also mein pc ist nicht im abgesicherten modus und der installer, davon hab ich keine ahnung wird der mit dem system installiert????

das log von superantispyware:

Zitat:

SUPERAntiSpyware Scan Log
SUPERAntiSpyware.com - AntiAdware, AntiSpyware, AntiMalware!

Generated 03/23/2009 at 00:09 AM

Application Version : 4.25.1014

Core Rules Database Version : 3808
Trace Rules Database Version: 1763

Scan type : Complete Scan
Total Scan Time : 02:39:18

Memory items scanned : 609
Memory threats detected : 0
Registry items scanned : 6219
Registry threats detected : 25
File items scanned : 254952
File threats detected : 5

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\Günter\Cookies\günter@sevenoneinte rmedia.112.2o7[1].txt
C:\Dokumente und Einstellungen\Günter\Cookies\günter@adserver.71i[1].txt
C:\Dokumente und Einstellungen\Günter\Cookies\günter@atwola[1].txt
C:\Dokumente und Einstellungen\Günter\Cookies\günter@doubleclick[1].txt

Trojan.MalwareWipe
HKCR\CLSID\{9DFD0A51-6176-5770-217C-A5BCD7E6F3E2}
HKCR\CLSID\{9DFD0A51-6176-5770-217C-A5BCD7E6F3E2}\fWgb
HKCR\CLSID\{9DFD0A51-6176-5770-217C-A5BCD7E6F3E2}\hkhOuwnyKcmj
HKCR\CLSID\{9DFD0A51-6176-5770-217C-A5BCD7E6F3E2}\hmFuVgongeyle
HKCR\CLSID\{9DFD0A51-6176-5770-217C-A5BCD7E6F3E2}\IghgeDqcqj
HKCR\CLSID\{9DFD0A51-6176-5770-217C-A5BCD7E6F3E2}\InprocServer32
HKCR\CLSID\{9DFD0A51-6176-5770-217C-A5BCD7E6F3E2}\InprocServer32#ThreadingModel
HKCR\CLSID\{9DFD0A51-6176-5770-217C-A5BCD7E6F3E2}\Mgyvjqdq
HKCR\CLSID\{9DFD0A51-6176-5770-217C-A5BCD7E6F3E2}\nukWjps
HKCR\CLSID\{9DFD0A51-6176-5770-217C-A5BCD7E6F3E2}\ProgID
HKCR\CLSID\{9DFD0A51-6176-5770-217C-A5BCD7E6F3E2}\synvpmpsni
HKCR\CLSID\{9DFD0A51-6176-5770-217C-A5BCD7E6F3E2}\TypeLib
HKCR\CLSID\{9DFD0A51-6176-5770-217C-A5BCD7E6F3E2}\VersionIndependentProgID
HKCR\CLSID\{9DFD0A51-6176-5770-217C-A5BCD7E6F3E2}\zxivyHvmrmn

Trojan.ErrorSafe
HKCR\typelib\{1b197c22-561f-455f-8511-35b1a45c5c9f}
HKCR\typelib\{1b197c22-561f-455f-8511-35b1a45c5c9f}\1.0
HKCR\typelib\{1b197c22-561f-455f-8511-35b1a45c5c9f}\1.0\0
HKCR\typelib\{1b197c22-561f-455f-8511-35b1a45c5c9f}\1.0\0\win32
HKCR\typelib\{1b197c22-561f-455f-8511-35b1a45c5c9f}\1.0\FLAGS
HKCR\typelib\{1b197c22-561f-455f-8511-35b1a45c5c9f}\1.0\HELPDIR
HKCR\Interface\{94DBDB63-5F05-4C51-8B14-DE0CA12EF4CA}
HKCR\Interface\{94DBDB63-5F05-4C51-8B14-DE0CA12EF4CA}\ProxyStubClsid
HKCR\Interface\{94DBDB63-5F05-4C51-8B14-DE0CA12EF4CA}\ProxyStubClsid32
HKCR\Interface\{94DBDB63-5F05-4C51-8B14-DE0CA12EF4CA}\TypeLib
HKCR\Interface\{94DBDB63-5F05-4C51-8B14-DE0CA12EF4CA}\TypeLib#Version

Malware.VirusBurst
C:\PROGRAMME\VB_DISTRIB.EXE

und das letzte log so jetzt muss ich aber erstma ins bett vielen dank andreas dass du mir dabei hilfst allein wär ich wohl verloren...

Zitat:

--------------------\\ Lop S&D 4.2.5-0 XP/Vista

Microsoft Windows XP Home Edition ( v5.1.2600 ) Service Pack 3
X86-based PC ( Uniprocessor Free : AMD Athlon(tm) 64 Processor 3200+ )
BIOS : Phoenix - AwardBIOS v6.00PG
USER : Günter ( Administrator )
BOOT : Normal boot
Antivirus : Avira AntiVir PersonalEdition 8.0.1.30 (Activated)
A:\ (USB)
C:\ (Local Disk) - NTFS - Total:48 Go (Free:10 Go)
D:\ (Local Disk) - NTFS - Total:100 Go (Free:38 Go)
E:\ (CD or DVD)
F:\ (Local Disk) - NTFS - Total:465 Go (Free:210 Go)
G:\ (USB)
H:\ (USB)
I:\ (CD or DVD)
J:\ (CD or DVD)
K:\ (USB)
L:\ (USB) - FAT - Total:246 Mo (Free:0 Go)
M:\ (CD or DVD)

"C:\Lop SD" ( MAJ : 19-12-2008|23:40 )
Option : [1] ( 23.03.2009| 0:44 )

--------------------\\ Ordner Verzeichnis unter ANWEND~1

[18.03.2009|20:35] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Adobe
[22.12.2005|04:05] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Ahead
[08.03.2009|14:03] C:\DOKUME~1\ALLUSE~1\ANWEND~1\AntiVir PersonalEdition Classic
[27.05.2006|16:20] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Brother
[12.04.2007|12:00] C:\DOKUME~1\ALLUSE~1\ANWEND~1\BTrieve
[27.05.2006|17:42] C:\DOKUME~1\ALLUSE~1\ANWEND~1\CanonBJ
[26.03.2008|01:35] C:\DOKUME~1\ALLUSE~1\ANWEND~1\DVD Shrink
[12.12.2006|17:28] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Google
[12.04.2007|09:05] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Haufe
[01.07.2008|18:10] C:\DOKUME~1\ALLUSE~1\ANWEND~1\ICQ
[27.05.2006|16:21] C:\DOKUME~1\ALLUSE~1\ANWEND~1\InstallShield
[12.04.2007|09:06] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Lexware
[16.02.2008|19:17] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Lionhead Studios
[22.03.2009|18:16] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Malwarebytes
[02.03.2008|15:16] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Maxtor
[17.06.2008|18:11] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Microsoft
[19.02.2009|21:18] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Microsoft Help
[07.01.2006|22:49] C:\DOKUME~1\ALLUSE~1\ANWEND~1\NFS Underground
[29.12.2005|12:31] C:\DOKUME~1\ALLUSE~1\ANWEND~1\QuickTime
[27.05.2006|16:21] C:\DOKUME~1\ALLUSE~1\ANWEND~1\ScanSoft
[10.02.2007|14:00] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Skype
[19.08.2008|16:09] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Spyware Terminator
[22.03.2009|21:19] C:\DOKUME~1\ALLUSE~1\ANWEND~1\SUPERAntiSpyware.com
[04.07.2008|23:03] C:\DOKUME~1\ALLUSE~1\ANWEND~1\TEMP
[28.12.2005|22:20] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Terzio
[16.03.2009|21:56] C:\DOKUME~1\ALLUSE~1\ANWEND~1\TrackMania
[10.10.2008|19:01] C:\DOKUME~1\ALLUSE~1\ANWEND~1\TrackMania United
[18.12.2006|15:47] C:\DOKUME~1\ALLUSE~1\ANWEND~1\VUG
[11.01.2007|22:21] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Windows Genuine Advantage
[0|Datei(en)] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Bytes
[31|Verzeichnis(se),] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Bytes frei

[22.12.2005|03:04] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Microsoft
[0|Datei(en)] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Bytes
[3|Verzeichnis(se),] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Bytes frei

[02.07.2008|20:14] C:\DOKUME~1\GNTER~1\ANWEND~1\Adobe
[04.07.2008|17:58] C:\DOKUME~1\GNTER~1\ANWEND~1\AdobeUM
[31.12.2005|14:33] C:\DOKUME~1\GNTER~1\ANWEND~1\Ahead
[22.12.2005|03:55] C:\DOKUME~1\GNTER~1\ANWEND~1\ATI
[28.05.2006|13:58] C:\DOKUME~1\GNTER~1\ANWEND~1\CD-LabelPrint
[27.11.2008|21:37] C:\DOKUME~1\GNTER~1\ANWEND~1\ChessBase
[28.12.2005|19:37] C:\DOKUME~1\GNTER~1\ANWEND~1\Corel
[19.11.2007|19:34] C:\DOKUME~1\GNTER~1\ANWEND~1\fretsonfire
[09.01.2007|17:28] C:\DOKUME~1\GNTER~1\ANWEND~1\Google
[05.02.2008|17:40] C:\DOKUME~1\GNTER~1\ANWEND~1\GoPal Assistant
[06.01.2008|16:03] C:\DOKUME~1\GNTER~1\ANWEND~1\Hamachi
[13.04.2007|11:02] C:\DOKUME~1\GNTER~1\ANWEND~1\Haufe
[11.11.2006|11:42] C:\DOKUME~1\GNTER~1\ANWEND~1\Help
[13.12.2008|14:16] C:\DOKUME~1\GNTER~1\ANWEND~1\ICQ
[11.12.2006|20:48] C:\DOKUME~1\GNTER~1\ANWEND~1\ICQ Toolbar
[06.01.2006|19:55] C:\DOKUME~1\GNTER~1\ANWEND~1\ICQLite
[22.12.2005|03:07] C:\DOKUME~1\GNTER~1\ANWEND~1\Identities
[12.04.2007|09:06] C:\DOKUME~1\GNTER~1\ANWEND~1\InstallShield
[28.12.2005|17:46] C:\DOKUME~1\GNTER~1\ANWEND~1\InterVideo
[30.01.2009|19:15] C:\DOKUME~1\GNTER~1\ANWEND~1\Leadertech
[16.02.2008|19:23] C:\DOKUME~1\GNTER~1\ANWEND~1\Lionhead Studios
[22.03.2009|16:38] C:\DOKUME~1\GNTER~1\ANWEND~1\Macromedia
[22.03.2009|18:16] C:\DOKUME~1\GNTER~1\ANWEND~1\Malwarebytes
[19.02.2009|19:55] C:\DOKUME~1\GNTER~1\ANWEND~1\Microsoft
[14.09.2008|18:21] C:\DOKUME~1\GNTER~1\ANWEND~1\Mozilla
[28.01.2006|11:19] C:\DOKUME~1\GNTER~1\ANWEND~1\Musicmatch
[23.02.2009|20:14] C:\DOKUME~1\GNTER~1\ANWEND~1\OpenOffice.org
[21.06.2007|20:02] C:\DOKUME~1\GNTER~1\ANWEND~1\phonostar-Player
[30.04.2007|11:34] C:\DOKUME~1\GNTER~1\ANWEND~1\ppstream
[11.12.2006|17:15] C:\DOKUME~1\GNTER~1\ANWEND~1\Real
[03.07.2008|23:00] C:\DOKUME~1\GNTER~1\ANWEND~1\RegClean
[07.12.2006|20:34] C:\DOKUME~1\GNTER~1\ANWEND~1\RTPlayer
[29.12.2008|20:23] C:\DOKUME~1\GNTER~1\ANWEND~1\SecuROM
[14.03.2009|01:15] C:\DOKUME~1\GNTER~1\ANWEND~1\Skype
[26.04.2008|22:17] C:\DOKUME~1\GNTER~1\ANWEND~1\SopCast
[20.03.2009|23:28] C:\DOKUME~1\GNTER~1\ANWEND~1\Spyware Terminator
[08.02.2007|20:37] C:\DOKUME~1\GNTER~1\ANWEND~1\Sun
[22.03.2009|21:18] C:\DOKUME~1\GNTER~1\ANWEND~1\SUPERAntiSpyware.com
[03.09.2008|14:15] C:\DOKUME~1\GNTER~1\ANWEND~1\Teeworlds
[28.12.2006|17:10] C:\DOKUME~1\GNTER~1\ANWEND~1\The Hobbit
[05.07.2007|14:08] C:\DOKUME~1\GNTER~1\ANWEND~1\Thunderbird
[26.02.2008|20:18] C:\DOKUME~1\GNTER~1\ANWEND~1\vlc
[20.12.2007|18:42] C:\DOKUME~1\GNTER~1\ANWEND~1\WinRAR
[0|Datei(en)] C:\DOKUME~1\GNTER~1\ANWEND~1\Bytes
[45|Verzeichnis(se),] C:\DOKUME~1\GNTER~1\ANWEND~1\Bytes frei

[15.12.2006|21:18] C:\DOKUME~1\LOCALS~1\ANWEND~1\Microsoft
[0|Datei(en)] C:\DOKUME~1\LOCALS~1\ANWEND~1\Bytes
[3|Verzeichnis(se),] C:\DOKUME~1\LOCALS~1\ANWEND~1\Bytes frei

[22.12.2005|03:04] C:\DOKUME~1\NETWOR~1\ANWEND~1\Microsoft
[0|Datei(en)] C:\DOKUME~1\NETWOR~1\ANWEND~1\Bytes
[3|Verzeichnis(se),] C:\DOKUME~1\NETWOR~1\ANWEND~1\Bytes frei

--------------------\\ Geplante Aufgaben unter C:\WINDOWS\Tasks

[23.03.2009 00:38][--ah-----] C:\WINDOWS\tasks\SA.DAT
[04.08.2004 13:00][-r-h-----] C:\WINDOWS\tasks\desktop.ini

--------------------\\ Ordner Verzeichnis unter C:\Programme

[02.02.2008|18:25] C:\Programme\25 Megastarke Spiele
[28.01.2009|16:00] C:\Programme\Activision
[18.03.2009|20:34] C:\Programme\Adobe
[22.12.2005|04:20] C:\Programme\Ahead
[08.03.2009|14:03] C:\Programme\AntiVir PersonalEdition Classic
[02.07.2008|12:10] C:\Programme\Antivirus-Golden
[26.01.2007|14:15] C:\Programme\Atari
[22.12.2005|03:48] C:\Programme\ATI Technologies
[06.12.2006|20:03] C:\Programme\avmwlanstick
[11.05.2006|15:28] C:\Programme\Bethesda Softworks
[29.12.2005|15:10] C:\Programme\Biathlon 2005
[28.02.2008|20:04] C:\Programme\BitComet FLV Converter
[01.12.2008|18:48] C:\Programme\Bradbury
[27.05.2006|16:24] C:\Programme\Brother
[27.05.2006|17:49] C:\Programme\Canon
[21.03.2009|00:12] C:\Programme\CCleaner
[27.05.2006|16:24] C:\Programme\Common Files
[22.12.2005|03:01] C:\Programme\ComPlus Applications
[28.12.2005|19:32] C:\Programme\Corel
[20.12.2007|18:57] C:\Programme\DAEMON Tools
[28.12.2006|16:44] C:\Programme\directx
[02.02.2008|18:28] C:\Programme\EA GAMES
[06.01.2009|19:50] C:\Programme\EA SPORTS
[04.07.2008|22:04] C:\Programme\ElcomSoft
[24.09.2006|19:39] C:\Programme\eLexikon
[08.01.2006|13:21] C:\Programme\Empire Interactive
[25.03.2008|00:51] C:\Programme\eRightSoft
[29.12.2005|15:04] C:\Programme\FireFly Studios
[27.02.2009|23:12] C:\Programme\Free Metronome
[19.11.2007|19:34] C:\Programme\Frets on Fire
[02.02.2008|18:21] C:\Programme\GameSpy Arcade
[22.03.2009|17:03] C:\Programme\Gemeinsame Dateien
[08.02.2008|13:09] C:\Programme\Google
[16.11.2007|23:26] C:\Programme\Hamachi
[02.07.2008|12:07] C:\Programme\Hasbro Interactive
[12.04.2007|09:05] C:\Programme\Haufe
[18.12.2006|15:48] C:\Programme\ICQ
[11.07.2007|16:27] C:\Programme\ICQ Password Recovery 2005
[13.03.2009|18:21] C:\Programme\ICQ6
[01.07.2008|20:49] C:\Programme\ICQ6Toolbar
[26.04.2008|22:10] C:\Programme\ICQToolbar
[07.08.2007|16:24] C:\Programme\Infogrames
[16.03.2009|20:43] C:\Programme\InstallShield Installation Information
[11.02.2009|18:01] C:\Programme\Internet Explorer
[22.12.2005|04:25] C:\Programme\InterVideo
[17.01.2006|19:26] C:\Programme\ITE
[23.02.2009|20:21] C:\Programme\Java
[02.07.2008|12:17] C:\Programme\Kate's Video Converter
[12.04.2007|09:06] C:\Programme\LEXWARE
[10.01.2008|21:14] C:\Programme\LSB-Bestandserhebung
[10.10.2008|18:33] C:\Programme\LucasArts
[22.03.2009|18:16] C:\Programme\Malwarebytes' Anti-Malware
[02.03.2008|15:11] C:\Programme\Maxtor
[09.12.2008|08:28] C:\Programme\Messenger
[05.02.2008|17:39] C:\Programme\Microsoft ActiveSync
[05.07.2008|00:29] C:\Programme\Microsoft DirectX SDK (June 200
[22.12.2005|03:04] C:\Programme\microsoft frontpage
[19.02.2009|19:52] C:\Programme\Microsoft Office
[28.12.2005|17:07] C:\Programme\Microsoft.NET
[09.12.2008|08:25] C:\Programme\Movie Maker
[23.03.2009|00:39] C:\Programme\Mozilla Firefox
[19.02.2009|19:52] C:\Programme\MSECache
[22.12.2005|03:01] C:\Programme\MSN
[22.12.2005|03:01] C:\Programme\MSN Gaming Zone
[22.11.2006|22:02] C:\Programme\MSXML 4.0
[02.03.2008|15:10] C:\Programme\MSXML 6.0
[28.01.2006|11:19] C:\Programme\Musicmatch
[08.12.2006|11:09] C:\Programme\neoSoftware
[09.12.2008|08:21] C:\Programme\NetMeeting
[26.06.2007|12:36] C:\Programme\No23 Recorder
[22.12.2005|03:01] C:\Programme\Online Services
[22.12.2005|03:03] C:\Programme\Online-Dienste
[17.12.2008|23:46] C:\Programme\OO Software
[23.02.2009|19:02] C:\Programme\OpenOffice.org 3
[09.12.2008|08:21] C:\Programme\Outlook Express
[30.01.2007|13:45] C:\Programme\PantsOff
[18.03.2007|16:14] C:\Programme\PATRIZIER II
[07.12.2006|19:21] C:\Programme\phenomedia
[26.04.2007|16:03] C:\Programme\phonostar
[13.03.2009|17:43] C:\Programme\PokerStars.NET
[24.09.2006|20:21] C:\Programme\PyraPhy
[11.12.2006|16:38] C:\Programme\QuickTime
[11.12.2006|17:03] C:\Programme\Real
[29.12.2006|17:28] C:\Programme\Red Clash '93
[19.03.2008|17:03] C:\Programme\Red Storm Entertainment
[03.07.2008|23:01] C:\Programme\RegClean
[17.12.2008|23:48] C:\Programme\RegCleaner
[26.12.2007|14:52] C:\Programme\Samsung
[27.05.2006|16:21] C:\Programme\ScanSoft
[03.07.2008|17:27] C:\Programme\Screendragon VS4
[24.12.2006|21:27] C:\Programme\Sierra
[10.02.2007|14:00] C:\Programme\Skype
[26.04.2008|22:55] C:\Programme\SopCast
[03.07.2008|17:48] C:\Programme\Spiele für Kinder
[20.03.2009|23:28] C:\Programme\Spyware Terminator
[22.03.2009|21:18] C:\Programme\SUPERAntiSpyware
[01.03.2006|15:11] C:\Programme\TEDI
[03.07.2008|17:23] C:\Programme\THQ
[09.03.2006|19:13] C:\Programme\TI Education
[19.08.2008|16:09] C:\Programme\TmNationsForever
[29.12.2008|20:31] C:\Programme\Ubisoft
[12.01.2006|18:15] C:\Programme\Uninstall Information
[22.12.2005|03:18] C:\Programme\VIA
[26.02.2008|20:08] C:\Programme\VideoLAN
[16.03.2009|20:43] C:\Programme\Virtual CD v8
[28.12.2005|21:30] C:\Programme\Vivendi Universal Games
[20.03.2009|23:31] C:\Programme\WinClamAVShield
[09.12.2008|08:25] C:\Programme\Windows Media Player
[09.12.2008|08:21] C:\Programme\Windows NT
[22.12.2005|03:03] C:\Programme\WindowsUpdate
[20.12.2007|18:30] C:\Programme\WinRAR
[22.12.2005|03:04] C:\Programme\xerox
[03.01.2006|15:26] C:\Programme\YDKJ
[0|Datei(en)] C:\Programme\Bytes
[115|Verzeichnis(se),] C:\Programme\Bytes frei

--------------------\\ Ordner Verzeichnis unter C:\Programme\Gemeinsame Dateien

[18.03.2009|20:35] C:\Programme\Gemeinsame Dateien\Adobe
[22.12.2005|04:05] C:\Programme\Gemeinsame Dateien\Ahead
[27.06.2006|19:20] C:\Programme\Gemeinsame Dateien\Borland Shared
[28.12.2005|19:32] C:\Programme\Gemeinsame Dateien\Corel
[28.12.2005|17:08] C:\Programme\Gemeinsame Dateien\DESIGNER
[22.12.2005|03:02] C:\Programme\Gemeinsame Dateien\Dienste
[07.01.2006|18:09] C:\Programme\Gemeinsame Dateien\DirectX
[01.10.2006|19:33] C:\Programme\Gemeinsame Dateien\InstallShield
[12.04.2007|09:06] C:\Programme\Gemeinsame Dateien\Lexware
[19.02.2009|19:52] C:\Programme\Gemeinsame Dateien\Microsoft Shared
[22.12.2005|03:02] C:\Programme\Gemeinsame Dateien\MSSoap
[22.12.2005|04:18] C:\Programme\Gemeinsame Dateien\Nero
[22.12.2005|02:32] C:\Programme\Gemeinsame Dateien\ODBC
[11.12.2006|17:16] C:\Programme\Gemeinsame Dateien\Real
[27.05.2006|16:21] C:\Programme\Gemeinsame Dateien\ScanSoft Shared
[10.02.2007|14:00] C:\Programme\Gemeinsame Dateien\Skype
[22.12.2005|02:32] C:\Programme\Gemeinsame Dateien\SpeechEngines
[09.12.2008|08:21] C:\Programme\Gemeinsame Dateien\System
[09.03.2006|19:12] C:\Programme\Gemeinsame Dateien\TI Shared
[28.12.2005|21:14] C:\Programme\Gemeinsame Dateien\VUG
[22.03.2009|20:09] C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
[0|Datei(en)] C:\Programme\Gemeinsame Dateien\Bytes
[23|Verzeichnis(se),] C:\Programme\Gemeinsame Dateien\Bytes frei

--------------------\\ Process

( 38 Processes )

... OK !

--------------------\\ Ueberpruefung mit S_Lop

Kein Lop Ordner gefunden !

--------------------\\ Suche nach Lop Dateien - Ordnern

Kein Lop Ordner gefunden !

--------------------\\ Suche innerhalb der Registry

..... OK !

--------------------\\ Ueberpruefung der Hosts Datei

Hosts Datei SAUBER


--------------------\\ Suche nach verborgenen Dateien mit Catchme

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-23 00:45:23
Windows 5.1.2600 Service Pack 3 NTFS
scanning hidden processes ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden files: 0

--------------------\\ Suche nach anderen Infektionen

--------------------\\ ROGUES ..

C:\PROGRA~1\Antivirus-Golden



[F:8][D:6]-> C:\DOKUME~1\GNTER~1\LOKALE~1\Temp
[F:10][D:0]-> C:\DOKUME~1\GNTER~1\Cookies
[F:189][D:4]-> C:\DOKUME~1\GNTER~1\LOKALE~1\TEMPOR~1\content.IE5

1 - "C:\Lop SD\LopR_1.txt" - 23.03.2009| 0:46 - Option : [1]

--------------------\\ Scan beendet um 0:46:04

1.) Panda Active Scan

Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation

Drücke auf Jetzt Scannen!

Eine Registrierung ist nicht erforderlich!

Nachdem der Scan abgeschlossen ist drücke auf das Text-Icon Export und speichere das log auf dem Desktop.
Öffne die Datei ActiveScan.txt die sich nun auf deinem Desktop befindet und poste uns den Inhalt.

2.) Überprüfe den Rechner mit dem AVP-Tool

3.) CureIT Dr.Web

• Downloade Dr.Web CureIt!
• Speichere es auf deinem Desktop.
• Entpacke es in einen eigenen Ordner.
• Lies nun zuerst die deutsche Anleitung und drucke sie dir aus.

• Lass alle Malware in den Quarantaene Ordner verschieben.
• Ignoriere eventuelle Warnungen seitens deines AV Programms, du kannst auch offline gehen und -> dann dein AV Programm während des Scannens mit Dr.Web CureIt! abstellen.
• Vergiss bitte nicht, dein AV Programm nach dem Scan wieder anzustellen.

• Speichere das Logfile - siehe Anleitung - und poste es.

4.) Start => Ausführen => mrt (eintippeln) => OK
Falls die Meldung kommt, dass es nicht gefunden wird, dann lade dir den hier:
Downloaddetails: Windows-Tool zum Entfernen bösartiger Software

5.) Scanne mit Prevx: Prevx CSI Download

ciao, andreas

bevor ich die sachen mache eine kurze zwischenfrage ist das ganze um diesen einen virus zu killen oder um alles zu vernichten, weil ansonten kann ich auch genausogut formatieren, das will ich jetzt sowieso also wenn ich besser gleich formatieren kann dann sag das bitte, sonst machst du ja auch die ganze arbeit umsonst(vielen vielen dank übrigens dafür)...

das erste log von diesem pandavirenscaner oder wie der hieß:

Zitat:

;************************************************* ************************************************** ************************************************** ******************************
ANALYSIS: 2009-03-24 08:16:11
PROTECTIONS: 1
MALWARE: 13
SUSPECTS: 11
;************************************************* ************************************************** ************************************************** ******************************
PROTECTIONS
Description Version Active Updated
;================================================= ================================================== ================================================== ==============================
Avira AntiVir PersonalEdition 8.0.1.30 Yes No
;================================================= ================================================== ================================================== ==============================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;================================================= ================================================== ================================================== ==============================
00049146 Joke/Bean Jokes No 0 Yes No F:\D\ICQ Lite\409808487\Schute_237027185\bean\bean.exe
00049146 Joke/Bean Jokes No 0 Yes No D:\ICQ Lite\409808487\Schute_237027185\bean\bean.exe
00262020 Cookie/Atwola TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Günter\Cookies\günter@atwola[1].txt
00332736 Application/VirusBursters HackTools No 0 No No C:\System Volume Information\_restore{F6B051B4-0576-4DBA-87A9-275721107FFB}\RP3\A0000102.exe[VirusBurster.exe]
00349310 Application/VirusBursters HackTools No 0 Yes No C:\System Volume Information\_restore{F6B051B4-0576-4DBA-87A9-275721107FFB}\RP3\A0000102.exe
01185375 Application/Psexec.A HackTools No 0 Yes No C:\System Volume Information\_restore{F6B051B4-0576-4DBA-87A9-275721107FFB}\RP2\A0000040.EXE
01648769 HackTool/Finder.B HackTools No 0 Yes No C:\Programme\PantsOff\PantsOffHk.dll
01761059 Rootkit/Fu.C HackTools No 1 Yes No C:\Programme\ICQ Password Recovery 2005\MSPIntercept64.dll
01895149 Malicious Packer SecRisk No 0 Yes No C:\Programme\No23 Recorder\No23Recorder.exe
02885963 Rootkit/Booto.C Virus/Worm No 0 Yes No C:\System Volume Information\_restore{F6B051B4-0576-4DBA-87A9-275721107FFB}\RP2\A0000021.sys
03074964 Trj/CI.A Virus/Trojan No 0 Yes No C:\Qoobox\Quarantine\C\WINDOWS\system32\gaopdxjuhv jwybluppiwllgklcweykyaoyuqfv.dll.vir
04465476 Trj/Downloader.MDW Virus/Trojan No 0 Yes No F:\D\ICQ Lite\409808487\Schute_237027185\alkomat\alkomat.ex e
04465476 Trj/Downloader.MDW Virus/Trojan No 0 Yes No D:\ICQ Lite\409808487\Schute_237027185\alkomat\alkomat.ex e
04893769 Generic Trojan Virus/Trojan No 0 Yes No C:\Phenomedia AG\Moorhuhn 4 Teile\Moorhuhn 3\Moorhuhn3.exe
05194621 Bck/Ciadoor.FQ Virus/Trojan No 1 Yes No F:\Eigene Dateien\ICQ Password Recovery.exe
05194621 Bck/Ciadoor.FQ Virus/Trojan No 1 Yes No F:\Maxtor backup\SCHROEDER1\History\Level2\C\Dokumente und Einstellungen\Günter\Eigene Dateien\ICQ Password Recovery.exe
05194621 Bck/Ciadoor.FQ Virus/Trojan No 1 Yes No D:\EIGENE DATEIEN\verschiedene dokumente\ICQ Password Recovery.exe
;================================================= ================================================== ================================================== ==============================
SUSPECTS
Sent Location
;================================================= ================================================== ================================================== ==============================
No C:\Dokumente und Einstellungen\Günter\Desktop\ComboFix.exe
No C:\Qoobox\Quarantine\C\RECYCLER\S-2-5-36-100009386-100001447-100023677-4163.com.vir
No C:\Qoobox\Quarantine\D\RECYCLER\S-0-4-13-100015965-100017277-100030741-5031.com.vir
No C:\Qoobox\Quarantine\D\RECYCLER\S-2-5-36-100009386-100001447-100023677-4163.com.vir
No C:\Qoobox\Quarantine\D\RECYCLER\S-6-0-68-100025764-100018999-100014965-7734.com.vir
No C:\Qoobox\Quarantine\F\RECYCLER\S-0-4-13-100015965-100017277-100030741-5031.com.vir
No C:\Qoobox\Quarantine\F\RECYCLER\S-2-5-36-100009386-100001447-100023677-4163.com.vir
No C:\Qoobox\Quarantine\F\RECYCLER\S-6-0-68-100025764-100018999-100014965-7734.com.vir
No C:\Qoobox\Quarantine\L\RECYCLER\S-0-4-13-100015965-100017277-100030741-5031.com.vir
No C:\Qoobox\Quarantine\L\RECYCLER\S-2-5-36-100009386-100001447-100023677-4163.com.vir
No C:\Qoobox\Quarantine\L\RECYCLER\S-6-0-68-100025764-100018999-100014965-7734.com.vir
;================================================= ================================================== ================================================== ==============================
VULNERABILITIES
Id Severity Description
;================================================= ================================================== ================================================== ==============================
;================================================= ================================================== ================================================== ==============================

Zitat:

ist das ganze um diesen einen virus zu killen oder um alles zu vernichten, weil ansonten kann ich auch genausogut formatieren, das will ich jetzt sowieso also wenn ich besser gleich formatieren kann dann sag das bitte, sonst machst du ja auch die ganze arbeit umsonst

Das sagte ich dir doch gleich zu Anfang, s. Combofix log auswerten!

Interessant sind die Funde allemal:

Zitat:

Trj/Downloader.MDW F:\D\ICQ Lite\409808487\Schute_237027185\alkomat\alkomat.exe

Man sollte nicht auf alles klicken, das man über ICQ bekommt.

Zitat:

Bck/Ciadoor.FQ Virus/Trojan No 1 Yes No F:\Eigene Dateien\ICQ Password Recovery.exe
Bck/Ciadoor.FQ Virus/Trojan No 1 Yes No F:\Maxtor backup\SCHROEDER1\History\Level2\C\Dokumente und Einstellungen\Günter\Eigene Dateien\ICQ Password Recovery.exe
Bck/Ciadoor.FQ Virus/Trojan No 1 Yes No D:\EIGENE DATEIEN\verschiedene dokumente\ICQ Password Recovery.exe

Wie man von einem Backdoor auch noch zwei Sicherheitskopien erstellen kann, möchte mir im Moment so gar nicht einleuchten.

OK, dann formatiere alle Platten, installiere neu, dann bist du sauber. Vielleicht solltest du mal hier vorbeischauen: Der beste kostenlose Virenschutz

ciao, andreas

ok dann werde ich das machen, dieses eine was auf der externen ist, war mir gar nicht bewusst das zu haben, und auf der externen möchte ich nicht alles löschen, würde es sich lohnen nur dort die virenscanner drüberlaufen zu lassen?
da die infizierten dateien zu löschen, dann den rechner formatieren, und dann die externe wieder anschließen? oder bekomme ich die so nicht sauber?

vielen dank für deine hilfe nochmal, werde die seite beherzigen...

Zitat:

auf der externen möchte ich nicht alles löschen,

Ursprünglich wollte ich eigentlich nur den Silent Banker killen, damit du in Ruhe deine Daten sichern kannst. Als relativ sicher gelten Bilder, Musik und Videos oder grundsätzlich nicht ausführbare Dateien. Du möchtest jedoch auch Programme sichern und das ist gefährlich.

Deine Anfrage ist etwa in der Art: Wasch mich, aber mach mich nicht nass.

Entweder du formatierst alles oder du bereinigst komplett. Da nur noch wenige Scanner anstehen, würde ich dir mittlerweile die zweite Alternative vorschlagen.

ciao, andreas