Alle Jahre wieder.......da ich schon 2-3 Mal super Hilfe hier bekommen habe, hoffe ich, dass sich auch diesmal jemand findet, der mir hilft, meinen PC wieder gesund zu machen

In C:\WINDOWS\system32\drivers\etc\hosts befindet sich oben gennanter Trojaner...

Hab keine Ahnung wo er herkommt, was er anrichtet und wie ich ihn wegkriege...
Auf jeden Fall löschts bei jedem Neustart die Lesezeichenliste, Formulardaten usw. im Firefox...

So, wer weiß Rat ?!?!?!?

Danke.

hallo,

1.
poste das Log von Combofix
http://www.virus-protect.org/artikel/to ... bofix.html

2.
poste das Log vom HijackThis
http://www.virus-protect.org/hjtkurz.html

bitte schön

Logfile of HijackThis v1.99.1
Scan saved at 22:06:10, on 09.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Dell\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\System32\oodag.exe
C:\WINDOWS\system32\RegSrvc.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\1XConfig.exe
C:\WINDOWS\system32\pctspk.exe
C:\Programme\Apoint\Apoint.exe
C:\WINDOWS\System32\PuXpMan.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Programme\Apoint\Apntex.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Dell\Bluetooth Software\BTTray.exe
C:\PROGRA~1\Dell\BLUETO~1\BTSTAC~1.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\MSN Messenger\livecall.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Besitzer\LOKALE~1\Temp\Rar$EX03.805\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.arcor.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
R3 - URLSearchHook: (no name) - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - (no file)
F2 - REG:system.ini: Shell=Explorer.exe
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - (no file)
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: amazon - {84B94901-3645-4D80-A6B7-4D0050B19455} - C:\Programme\Auktionsfreundin\IEButtonAmazonInterface.dll (file missing)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: eBay - {CD9B7762-DFBC-42B1-BB30-02A78287B456} - C:\Programme\Auktionsfreundin\IEButtonEbayInterface.dll (file missing)
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: (no name) - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - (no file)
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
O4 - HKLM\..\Run: [mspwr] C:\WINDOWS\System32\PuXpMan.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Windows Update] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\Run: [msconfig] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\Run: [icq lite] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\Run: [Update Checker] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\Run: [AntiVir] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\Run: [] C:\WINDOWS\scvhost.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\Dell\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Dell\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Dell\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resourc ... oscan8.cab
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://www.studivz.net/photouploader/ImageUploader4.cab
O16 - DPF: {A8F2B9BD-A6A0-486A-9744-18920D898429} (ScorchPlugin Class) - http://www.sibelius.com/download/softwa ... Plugin.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: Sebring - C:\WINDOWS\system32\LgNotify.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\Dell\Bluetooth Software\bin\btwdins.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\System32\oodag.exe
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\system32\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\system32\S24EvMon.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe

danke schön

luwu

1.
HijackThis
Setze ein Häckchen in das Kästchen vor den genannten Eintrag
und wähle fix checked + starte den Rechner neu.

O4 - HKLM\..\Run: [Windows Update] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\Run: [msconfig] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\Run: [icq lite] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\Run: [Update Checker] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\Run: [AntiVir] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\Run: [] C:\WINDOWS\scvhost.exe

»»
lade sdfix - boote in den abgesicherten Modus + wende es an - poste dann den scanreport
http://www.virus-protect.org/artikel/tools/sdfix.html

««
wende noch mal sdfix an, aber im normalmodus - wähle Sophos - die Option 6 - scanne + poste den scanreport

reinschreiben: 1 oder 2 oder 3

1 : es wird a-squared geladen
2 : wird Norman geladen
3 : wird Sophos geladen

------------------

»»
poste das Log von Combofix
http://www.virus-protect.org/artikel/to ... bofix.html

Soooo, also Punkt 1 mit den Häkchen beim Hijack setzen usw konnte ich noch machen...jetzt gibts schon das erste Problem: Beim Ausführen im abgesicherten Modus kommt nur ein blauer Bildschirm mit Warnung "Technisches Problem, Windows wird heruntergefahren, damit der Computer nicht beschädigt wird. Untersuchen Sie Ihren Computer auf Viren...." usw usw...

»»
poste das Log von Combofix
http://www.virus-protect.org/artikel/to ... bofix.html

ComboFix 08-01-10.2 - Besitzer 2008-01-10 14:31:56.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.120 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Besitzer\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\hidires
F:\Autorun.inf

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\m_hook


((((((((((((((((((((((( Dateien erstellt von 2007-12-10 bis 2008-01-10 ))))))))))))))))))))))))))))))
.

2008-01-10 14:31 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-08 22:39 . 2008-01-09 00:37 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-01-08 21:31 . 2008-01-08 21:31 40,448 --a------ C:\WINDOWS\passview3.dll
2008-01-08 21:31 . 2008-01-08 21:31 0 --a------ C:\data3.pwd
2008-01-08 01:19 . 2008-01-08 01:19 69 --a------ C:\WINDOWS\NeroDigital.ini
2008-01-07 02:37 . 2008-01-07 02:37 45,056 --a------ C:\WINDOWS\passview4.dll
2008-01-07 02:36 . 2008-01-07 02:36 52,736 --a------ C:\WINDOWS\passview.dll
2007-12-24 01:49 . 2007-12-24 01:51 2,359,350 --a------ C:\WINDOWS\screenshot.bmp
2007-12-24 01:49 . 2007-12-24 01:49 71,168 --a------ C:\WINDOWS\ijl11.dll
2007-12-24 01:49 . 2007-12-24 01:49 56,512 --a------ C:\WINDOWS\screenshot.jpg
2007-12-23 19:22 . 2007-12-23 19:22 <DIR> d-------- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Nero
2007-12-23 19:21 . 2007-12-23 19:21 <DIR> d-------- C:\Programme\Nero
2007-12-23 19:21 . 2007-12-23 19:21 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Nero
2007-12-23 19:21 . 2007-12-23 19:21 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nero
2007-12-23 19:21 . 2006-03-17 11:45 1,757,184 --a------ C:\WINDOWS\system32\imagX7.dll
2007-12-23 19:21 . 2006-03-17 11:45 802,816 --a------ C:\WINDOWS\system32\imagXRA7.dll
2007-12-23 19:21 . 2006-03-17 11:45 497,296 --a------ C:\WINDOWS\system32\imagXpr7.dll
2007-12-23 19:21 . 2006-03-17 14:49 368,640 --a------ C:\WINDOWS\system32\TwnLib4.dll
2007-12-23 19:21 . 2006-03-17 11:45 258,048 --a------ C:\WINDOWS\system32\imagXR7.dll
2007-12-23 19:19 . 2007-12-23 19:19 108,336 --a------ C:\WINDOWS\mswinsck.ocx
2007-12-23 15:44 . 2001-08-18 04:20 97,440 --a------ C:\WINDOWS\system32\drivers\b57xp32.sys
2007-12-23 15:44 . 2001-08-18 04:20 97,440 --a--c--- C:\WINDOWS\system32\dllcache\b57xp32.sys
2007-12-22 11:35 . 2007-12-22 11:35 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Azureus
2007-12-22 11:33 . 2008-01-08 01:21 <DIR> d-------- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Azureus
2007-12-22 11:32 . 2007-12-23 10:55 <DIR> d-------- C:\Programme\Azureus
2007-12-21 20:55 . 2005-11-02 13:24 424,320 --a------ C:\WINDOWS\system32\drivers\BCMWL5.SYS

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-12-23 14:33 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-12-23 14:33 --------- d-----w C:\Programme\OO Software
2007-12-23 14:00 --------- d-----w C:\Programme\Dell
2007-12-22 17:57 --------- d-----w C:\Programme\Windows Live Toolbar
2007-12-22 17:55 --------- d-----w C:\Programme\ICQToolbar
2007-11-16 18:43 --------- d-----w C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Sibelius Software
2007-11-16 18:42 1,409 ----a-w C:\WINDOWS\Fonts\RPRSTITL.FOT
2007-11-16 18:42 1,409 ----a-w C:\WINDOWS\Fonts\RPRSTEXT.FOT
2007-11-16 18:42 1,409 ----a-w C:\WINDOWS\Fonts\RPRSSTMP.FOT
2007-11-16 18:42 1,409 ----a-w C:\WINDOWS\Fonts\RPRSSPEC.FOT
2007-11-16 18:42 1,409 ----a-w C:\WINDOWS\Fonts\RPRSSCRP.FOT
2007-11-16 18:42 1,409 ----a-w C:\WINDOWS\Fonts\RPRSREH_.FOT
2007-11-16 18:42 1,409 ----a-w C:\WINDOWS\Fonts\RPRSMET_.FOT
2007-11-16 18:42 1,409 ----a-w C:\WINDOWS\Fonts\RPRSCHOR.FOT
2007-11-16 18:42 1,409 ----a-w C:\WINDOWS\Fonts\RPRS____.FOT
2007-11-16 18:42 1,409 ----a-w C:\WINDOWS\Fonts\OPUSTEXT.FOT
2007-11-16 18:42 1,409 ----a-w C:\WINDOWS\Fonts\OPUSSE__.FOT
2007-11-16 18:42 1,409 ----a-w C:\WINDOWS\Fonts\OPUSS___.FOT
2007-11-16 18:42 1,409 ----a-w C:\WINDOWS\Fonts\OPUSROMC.FOT
2007-11-16 18:42 1,409 ----a-w C:\WINDOWS\Fonts\OPUSPC__.FOT
2007-11-16 18:42 1,409 ----a-w C:\WINDOWS\Fonts\OPUSP___.FOT
2007-11-16 18:42 1,409 ----a-w C:\WINDOWS\Fonts\OPUSO___.FOT
2007-11-16 18:42 1,409 ----a-w C:\WINDOWS\Fonts\OPUSNN__.FOT
2007-11-16 18:42 1,409 ----a-w C:\WINDOWS\Fonts\OPUSM___.FOT
2007-11-16 18:42 1,409 ----a-w C:\WINDOWS\Fonts\OPUSJAPC.FOT
2007-11-16 18:42 1,409 ----a-w C:\WINDOWS\Fonts\OPUSFS__.FOT
2007-11-16 18:42 1,409 ----a-w C:\WINDOWS\Fonts\OPUSFBE_.FOT
2007-11-16 18:42 1,409 ----a-w C:\WINDOWS\Fonts\OPUSFB__.FOT
2007-11-16 18:42 1,409 ----a-w C:\WINDOWS\Fonts\OPUSCSC_.FOT
2007-11-16 18:42 1,409 ----a-w C:\WINDOWS\Fonts\OPUSCS__.FOT
2007-11-16 18:42 1,409 ----a-w C:\WINDOWS\Fonts\OPUSC___.FOT
2007-11-16 18:42 1,409 ----a-w C:\WINDOWS\Fonts\OPUS____.FOT
2007-11-16 18:42 1,409 ----a-w C:\WINDOWS\Fonts\INKPEN2_.FOT
2007-11-16 18:42 1,409 ----a-w C:\WINDOWS\Fonts\INK2TEXT.FOT
2007-11-16 18:42 1,409 ----a-w C:\WINDOWS\Fonts\INK2SPEC.FOT
2007-11-16 18:42 1,409 ----a-w C:\WINDOWS\Fonts\INK2SCRI.FOT
2007-11-16 18:42 1,409 ----a-w C:\WINDOWS\Fonts\INK2METR.FOT
2007-11-16 18:42 1,409 ----a-w C:\WINDOWS\Fonts\INK2CHOR.FOT
2007-11-16 18:42 1,409 ----a-w C:\WINDOWS\Fonts\HELST___.FOT
2007-11-16 18:42 1,409 ----a-w C:\WINDOWS\Fonts\HELSS___.FOT
2007-11-16 18:42 1,409 ----a-w C:\WINDOWS\Fonts\HELSM___.FOT
2007-11-16 18:42 1,409 ----a-w C:\WINDOWS\Fonts\HELSINKI.FOT
2007-11-16 18:42 --------- d-----w C:\Programme\Sibelius Software
2007-11-16 01:14 --------- d-----w C:\Programme\Gemeinsame Dateien\xing shared
2007-11-16 01:14 --------- d-----w C:\Programme\Gemeinsame Dateien\Real
2007-11-16 01:13 --------- d-----w C:\Programme\Real
2007-11-10 11:36 --------- d-----w C:\Programme\iTunes
2007-11-10 11:36 --------- d-----w C:\Programme\iPod
2007-11-10 11:33 --------- d-----w C:\Programme\QuickTime
2003-03-21 11:45 250,544 -c--a-w C:\Programme\Gemeinsame Dateien\keyhelp.ocx
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360]
"msnmsgr"="C:\Programme\MSN Messenger\msnmsgr.exe" [2007-01-19 12:55 5674352]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PCTVOICE"="pctspk.exe" [2003-02-24 15:35 163840 C:\WINDOWS\system32\pctspk.exe]
"Apoint"="C:\Programme\Apoint\Apoint.exe" [2003-06-10 23:07 147456]
"mspwr"="C:\WINDOWS\System32\PuXpMan.exe" [2004-06-12 18:51 102400]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-10 22:29 249896]
"igfxtray"="C:\WINDOWS\system32\igfxtray.exe" [2005-09-20 09:35 94208]
"igfxhkcmd"="C:\WINDOWS\system32\hkcmd.exe" [2005-09-20 09:32 77824]
"igfxpers"="C:\WINDOWS\system32\igfxpers.exe" [2005-09-20 09:36 114688]
"PRONoMgr.exe"="C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe" [2003-05-28 17:32 86016]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2007-10-19 20:16 286720]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2007-11-02 18:36 267048]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-11-16 02:13 185896]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"@"="" []

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\Sebring]
C:\WINDOWS\system32\LgNotify.dll 2003-06-20 07:03 110592 C:\WINDOWS\system32\LgNotify.dll

[color=red]SafeBoot Registrierungsschl

Hallo,

combofix
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"@"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{063626D5-9417-7CB9-0201-020004070004}]
[-HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{DF16EC09-B90B-D55C-E3A0-AD07F921E06D}]

Driver::
vxvetfmf.sys
xfsalekn.sys
pxacaend.sys

File::
C:\WINDOWS\scvhost.exe
C:\WINDOWS\system32\svchot.exe
C:\WINDOWS\system32\drivers\vxvetfmf.sys
C:\WINDOWS\system32\drivers\xfsalekn.sys
C:\WINDOWS\system32\drivers\pxacaend.sys

und mit der rechten Maustaste auf das Symbol von Combofix ziehen



WENDE COMBOFIX NOCH MAL AN - tippe 1 - poste dann den Report, der erscheint

---------------------------

««
HostsXpert
http://www.funkytoad.com/download/HostsXpert.zip
http://virus-protect.org/host.html
Press 'Restore Microstoft's Hosts File' and press 'OK'
Exit Program.

««
scanne mit dem kaspersky-Tool + poste den scanreport
http://virus-protect.org/artikel/tools/kaspersky.html

ComboFix 08-01-10.2 - Besitzer 2008-01-10 20:13:08.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.284 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Besitzer\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Besitzer\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

FILE
C:\WINDOWS\scvhost.exe
C:\WINDOWS\system32\drivers\pxacaend.sys
C:\WINDOWS\system32\drivers\vxvetfmf.sys
C:\WINDOWS\system32\drivers\xfsalekn.sys
C:\WINDOWS\system32\svchot.exe
.

((((((((((((((((((((((( Dateien erstellt von 2007-12-10 bis 2008-01-10 ))))))))))))))))))))))))))))))
.

2008-01-10 14:39 . 2007-07-30 19:18 30,072 --a------ C:\WINDOWS\system32\mucltui.dll.mui
2008-01-10 14:38 . 2008-01-10 14:45 <DIR> d-------- C:\WINDOWS\LastGood
2008-01-10 14:38 . 2007-07-30 19:18 34,136 --a------ C:\WINDOWS\system32\wucltui.dll.mui
2008-01-10 14:38 . 2007-07-30 19:20 30,040 --a------ C:\WINDOWS\system32\wuaucpl.cpl.mui
2008-01-10 14:38 . 2007-07-30 19:20 30,040 --a------ C:\WINDOWS\system32\wuapi.dll.mui
2008-01-10 14:38 . 2007-07-30 19:18 20,824 --a------ C:\WINDOWS\system32\wuaueng.dll.mui
2008-01-10 14:31 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-08 22:39 . 2008-01-09 00:37 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-01-08 21:31 . 2008-01-08 21:31 40,448 --a------ C:\WINDOWS\passview3.dll
2008-01-08 21:31 . 2008-01-08 21:31 0 --a------ C:\data3.pwd
2008-01-08 01:19 . 2008-01-08 01:19 69 --a------ C:\WINDOWS\NeroDigital.ini
2008-01-07 02:37 . 2008-01-07 02:37 45,056 --a------ C:\WINDOWS\passview4.dll
2008-01-07 02:36 . 2008-01-07 02:36 52,736 --a------ C:\WINDOWS\passview.dll
2007-12-24 01:49 . 2007-12-24 01:51 2,359,350 --a------ C:\WINDOWS\screenshot.bmp
2007-12-24 01:49 . 2007-12-24 01:49 71,168 --a------ C:\WINDOWS\ijl11.dll
2007-12-24 01:49 . 2007-12-24 01:49 56,512 --a------ C:\WINDOWS\screenshot.jpg
2007-12-23 19:22 . 2007-12-23 19:22 <DIR> d-------- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Nero
2007-12-23 19:21 . 2007-12-23 19:21 <DIR> d-------- C:\Programme\Nero
2007-12-23 19:21 . 2007-12-23 19:21 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Nero
2007-12-23 19:21 . 2007-12-23 19:21 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nero
2007-12-23 19:21 . 2006-03-17 11:45 1,757,184 --a------ C:\WINDOWS\system32\imagX7.dll
2007-12-23 19:21 . 2006-03-17 11:45 802,816 --a------ C:\WINDOWS\system32\imagXRA7.dll
2007-12-23 19:21 . 2006-03-17 11:45 497,296 --a------ C:\WINDOWS\system32\imagXpr7.dll
2007-12-23 19:21 . 2006-03-17 14:49 368,640 --a------ C:\WINDOWS\system32\TwnLib4.dll
2007-12-23 19:21 . 2006-03-17 11:45 258,048 --a------ C:\WINDOWS\system32\imagXR7.dll
2007-12-23 19:19 . 2007-12-23 19:19 108,336 --a------ C:\WINDOWS\mswinsck.ocx
2007-12-23 15:44 . 2001-08-18 04:20 97,440 --a------ C:\WINDOWS\system32\drivers\b57xp32.sys
2007-12-23 15:44 . 2001-08-18 04:20 97,440 --a--c--- C:\WINDOWS\system32\dllcache\b57xp32.sys
2007-12-22 11:35 . 2007-12-22 11:35 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Azureus
2007-12-22 11:33 . 2008-01-10 18:13 <DIR> d-------- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Azureus
2007-12-22 11:32 . 2007-12-23 10:55 <DIR> d-------- C:\Programme\Azureus
2007-12-21 20:55 . 2005-11-02 13:24 424,320 --a------ C:\WINDOWS\system32\drivers\BCMWL5.SYS

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-12-23 14:33 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-12-23 14:33 --------- d-----w C:\Programme\OO Software
2007-12-23 14:00 --------- d-----w C:\Programme\Dell
2007-12-22 17:57 --------- d-----w C:\Programme\Windows Live Toolbar
2007-12-22 17:55 --------- d-----w C:\Programme\ICQToolbar
2007-11-16 18:43 --------- d-----w C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Sibelius Software
2007-11-16 18:42 1,409 ----a-w C:\WINDOWS\Fonts\RPRSTITL.FOT
2007-11-16 18:42 1,409 ----a-w C:\WINDOWS\Fonts\RPRSTEXT.FOT
2007-11-16 18:42 1,409 ----a-w C:\WINDOWS\Fonts\RPRSSTMP.FOT
2007-11-16 18:42 1,409 ----a-w C:\WINDOWS\Fonts\RPRSSPEC.FOT
2007-11-16 18:42 1,409 ----a-w C:\WINDOWS\Fonts\RPRSSCRP.FOT
2007-11-16 18:42 1,409 ----a-w C:\WINDOWS\Fonts\RPRSREH_.FOT
2007-11-16 18:42 1,409 ----a-w C:\WINDOWS\Fonts\RPRSMET_.FOT
2007-11-16 18:42 1,409 ----a-w C:\WINDOWS\Fonts\RPRSCHOR.FOT
2007-11-16 18:42 1,409 ----a-w C:\WINDOWS\Fonts\RPRS____.FOT
2007-11-16 18:42 1,409 ----a-w C:\WINDOWS\Fonts\OPUSTEXT.FOT
2007-11-16 18:42 1,409 ----a-w C:\WINDOWS\Fonts\OPUSSE__.FOT
2007-11-16 18:42 1,409 ----a-w C:\WINDOWS\Fonts\OPUSS___.FOT
2007-11-16 18:42 1,409 ----a-w C:\WINDOWS\Fonts\OPUSROMC.FOT
2007-11-16 18:42 1,409 ----a-w C:\WINDOWS\Fonts\OPUSPC__.FOT
2007-11-16 18:42 1,409 ----a-w C:\WINDOWS\Fonts\OPUSP___.FOT
2007-11-16 18:42 1,409 ----a-w C:\WINDOWS\Fonts\OPUSO___.FOT
2007-11-16 18:42 1,409 ----a-w C:\WINDOWS\Fonts\OPUSNN__.FOT
2007-11-16 18:42 1,409 ----a-w C:\WINDOWS\Fonts\OPUSM___.FOT
2007-11-16 18:42 1,409 ----a-w C:\WINDOWS\Fonts\OPUSJAPC.FOT
2007-11-16 18:42 1,409 ----a-w C:\WINDOWS\Fonts\OPUSFS__.FOT
2007-11-16 18:42 1,409 ----a-w C:\WINDOWS\Fonts\OPUSFBE_.FOT
2007-11-16 18:42 1,409 ----a-w C:\WINDOWS\Fonts\OPUSFB__.FOT
2007-11-16 18:42 1,409 ----a-w C:\WINDOWS\Fonts\OPUSCSC_.FOT
2007-11-16 18:42 1,409 ----a-w C:\WINDOWS\Fonts\OPUSCS__.FOT
2007-11-16 18:42 1,409 ----a-w C:\WINDOWS\Fonts\OPUSC___.FOT
2007-11-16 18:42 1,409 ----a-w C:\WINDOWS\Fonts\OPUS____.FOT
2007-11-16 18:42 1,409 ----a-w C:\WINDOWS\Fonts\INKPEN2_.FOT
2007-11-16 18:42 1,409 ----a-w C:\WINDOWS\Fonts\INK2TEXT.FOT
2007-11-16 18:42 1,409 ----a-w C:\WINDOWS\Fonts\INK2SPEC.FOT
2007-11-16 18:42 1,409 ----a-w C:\WINDOWS\Fonts\INK2SCRI.FOT
2007-11-16 18:42 1,409 ----a-w C:\WINDOWS\Fonts\INK2METR.FOT
2007-11-16 18:42 1,409 ----a-w C:\WINDOWS\Fonts\INK2CHOR.FOT
2007-11-16 18:42 1,409 ----a-w C:\WINDOWS\Fonts\HELST___.FOT
2007-11-16 18:42 1,409 ----a-w C:\WINDOWS\Fonts\HELSS___.FOT
2007-11-16 18:42 1,409 ----a-w C:\WINDOWS\Fonts\HELSM___.FOT
2007-11-16 18:42 1,409 ----a-w C:\WINDOWS\Fonts\HELSINKI.FOT
2007-11-16 18:42 --------- d-----w C:\Programme\Sibelius Software
2007-11-16 01:14 --------- d-----w C:\Programme\Gemeinsame Dateien\xing shared
2007-11-16 01:14 --------- d-----w C:\Programme\Gemeinsame Dateien\Real
2007-11-16 01:13 --------- d-----w C:\Programme\Real
2007-11-10 11:36 --------- d-----w C:\Programme\iTunes
2007-11-10 11:36 --------- d-----w C:\Programme\iPod
2007-11-10 11:33 --------- d-----w C:\Programme\QuickTime
2003-03-21 11:45 250,544 -c--a-w C:\Programme\Gemeinsame Dateien\keyhelp.ocx
.

((((((((((((((((((((((((((((( snapshot@2008-01-10_14.40.02.32 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-01-10 13:31:32 233,472 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000001\NTUSER.DAT
+ 2008-01-10 19:12:56 233,472 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000001\NTUSER.DAT
- 2008-01-10 13:31:32 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000002\UsrClass.dat
+ 2008-01-10 19:12:56 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000002\UsrClass.dat
- 2008-01-10 13:31:33 229,376 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000003\NTUSER.DAT
+ 2008-01-10 19:12:56 229,376 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000003\NTUSER.DAT
- 2008-01-10 13:31:33 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000004\UsrClass.dat
+ 2008-01-10 19:12:56 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000004\UsrClass.dat
- 2008-01-10 13:31:33 5,906,432 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000005\NTUSER.DAT
+ 2008-01-10 19:12:59 5,910,528 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000005\NTUSER.DAT
- 2008-01-10 13:31:34 212,992 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000006\UsrClass.dat
+ 2008-01-10 19:12:59 212,992 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000006\UsrClass.dat
+ 2005-05-26 03:16:24 75,544 ----a-w C:\WINDOWS\LastGood\system32\cdm.dll
+ 2005-05-26 03:16:22 128,232 ----a-w C:\WINDOWS\LastGood\system32\mucltui.dll
+ 2005-05-26 03:16:24 178,408 ----a-w C:\WINDOWS\LastGood\system32\muweb.dll
+ 2005-05-26 03:16:22 466,200 ----a-w C:\WINDOWS\LastGood\system32\wuapi.dll
+ 2005-05-26 03:16:22 124,696 ----a-w C:\WINDOWS\LastGood\system32\wuauclt.exe
+ 2005-05-26 03:16:30 1,343,768 ----a-w C:\WINDOWS\LastGood\system32\wuaueng.dll
+ 2005-05-26 03:16:22 128,280 ----a-w C:\WINDOWS\LastGood\system32\wucltui.dll
+ 2005-05-26 03:16:30 41,240 ----a-w C:\WINDOWS\LastGood\system32\wups.dll
+ 2005-05-26 03:16:30 18,200 ----a-w C:\WINDOWS\LastGood\system32\wups2.dll
+ 2005-05-26 03:16:30 173,536 ----a-w C:\WINDOWS\LastGood\system32\wuweb.dll
- 2005-05-26 03:16:24 75,544 ----a-w C:\WINDOWS\system32\cdm.dll
+ 2007-07-30 18:19:20 92,504 ----a-w C:\WINDOWS\system32\cdm.dll
- 2005-05-26 03:16:24 75,544 -c--a-w C:\WINDOWS\system32\dllcache\cdm.dll
+ 2007-07-30 18:19:20 92,504 -c--a-w C:\WINDOWS\system32\dllcache\cdm.dll
+ 2007-07-30 18:19:36 549,720 -c--a-w C:\WINDOWS\system32\dllcache\wuapi.dll
- 2005-05-26 03:16:22 124,696 -c--a-w C:\WINDOWS\system32\dllcache\wuauclt.exe
+ 2007-07-30 18:19:16 53,080 -c--a-w C:\WINDOWS\system32\dllcache\wuauclt.exe
- 2005-05-26 03:16:30 1,343,768 -c--a-w C:\WINDOWS\system32\dllcache\wuaueng.dll
+ 2007-07-30 18:19:42 1,712,984 -c--a-w C:\WINDOWS\system32\dllcache\wuaueng.dll
+ 2007-07-30 18:19:32 325,976 -c--a-w C:\WINDOWS\system32\dllcache\wucltui.dll
+ 2007-07-30 18:19:28 203,096 -c--a-w C:\WINDOWS\system32\dllcache\wuweb.dll
- 2005-05-26 03:16:22 128,232 ----a-w C:\WINDOWS\system32\mucltui.dll
+ 2007-07-30 18:19:10 271,224 ----a-w C:\WINDOWS\system32\mucltui.dll
- 2005-05-26 03:16:24 178,408 ----a-w C:\WINDOWS\system32\muweb.dll
+ 2007-07-30 18:19:04 207,736 ----a-w C:\WINDOWS\system32\muweb.dll
- 2008-01-10 12:32:01 76,402 ----a-w C:\WINDOWS\system32\perfc007.dat
+ 2008-01-10 13:41:09 76,402 ----a-w C:\WINDOWS\system32\perfc007.dat
- 2008-01-10 12:32:01 63,464 ----a-w C:\WINDOWS\system32\perfc009.dat
+ 2008-01-10 13:41:09 63,464 ----a-w C:\WINDOWS\system32\perfc009.dat
- 2008-01-10 12:32:01 419,198 ----a-w C:\WINDOWS\system32\perfh007.dat
+ 2008-01-10 13:41:09 419,198 ----a-w C:\WINDOWS\system32\perfh007.dat
- 2008-01-10 12:32:01 403,862 ----a-w C:\WINDOWS\system32\perfh009.dat
+ 2008-01-10 13:41:09 403,862 ----a-w C:\WINDOWS\system32\perfh009.dat
+ 2007-07-30 18:18:40 33,624 ----a-w C:\WINDOWS\system32\SoftwareDistribution\Setup\ServiceStartup\wups.dll\7.0.6000.381\wups.dll
+ 2007-07-30 18:19:12 43,352 ----a-w C:\WINDOWS\system32\SoftwareDistribution\Setup\ServiceStartup\wups2.dll\7.0.6000.381\wups2.dll
- 2005-05-26 03:16:22 466,200 ----a-w C:\WINDOWS\system32\wuapi.dll
+ 2007-07-30 18:19:36 549,720 ----a-w C:\WINDOWS\system32\wuapi.dll
- 2005-05-26 03:16:22 124,696 ----a-w C:\WINDOWS\system32\wuauclt.exe
+ 2007-07-30 18:19:16 53,080 ----a-w C:\WINDOWS\system32\wuauclt.exe
- 2005-05-26 03:16:30 1,343,768 ----a-w C:\WINDOWS\system32\wuaueng.dll
+ 2007-07-30 18:19:42 1,712,984 ----a-w C:\WINDOWS\system32\wuaueng.dll
- 2005-05-26 03:16:22 128,280 ----a-w C:\WINDOWS\system32\wucltui.dll
+ 2007-07-30 18:19:32 325,976 ----a-w C:\WINDOWS\system32\wucltui.dll
- 2005-05-26 03:16:30 173,536 ----a-w C:\WINDOWS\system32\wuweb.dll
+ 2007-07-30 18:19:28 203,096 ----a-w C:\WINDOWS\system32\wuweb.dll
.
-- Snapshot reset to current date --
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360]
"msnmsgr"="C:\Programme\MSN Messenger\msnmsgr.exe" [2007-01-19 12:55 5674352]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PCTVOICE"="pctspk.exe" [2003-02-24 15:35 163840 C:\WINDOWS\system32\pctspk.exe]
"Apoint"="C:\Programme\Apoint\Apoint.exe" [2003-06-10 23:07 147456]
"mspwr"="C:\WINDOWS\System32\PuXpMan.exe" [2004-06-12 18:51 102400]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-10 22:29 249896]
"igfxtray"="C:\WINDOWS\system32\igfxtray.exe" [2005-09-20 09:35 94208]
"igfxhkcmd"="C:\WINDOWS\system32\hkcmd.exe" [2005-09-20 09:32 77824]
"igfxpers"="C:\WINDOWS\system32\igfxpers.exe" [2005-09-20 09:36 114688]
"PRONoMgr.exe"="C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe" [2003-05-28 17:32 86016]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2007-10-19 20:16 286720]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2007-11-02 18:36 267048]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-11-16 02:13 185896]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"@"="" []

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\Sebring]
C:\WINDOWS\system32\LgNotify.dll 2003-06-20 07:03 110592 C:\WINDOWS\system32\LgNotify.dll

SafeBoot Registrierungsschlüssel muss repariert werden. Dieser PC kann nicht im abgesicherten Modus starten.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\File system]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vgasave.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@="DiskDrive"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96A-E325-11CE-BFC1-08002BE10318}]
@="Hdc"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96B-E325-11CE-BFC1-08002BE10318}]
@="Keyboard"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96F-E325-11CE-BFC1-08002BE10318}]
@="Mouse"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E97D-E325-11CE-BFC1-08002BE10318}]
@="System"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{71A27CDD-812A-11D0-BEC7-08002BE2092F}]
@="Volume"

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Acrobat - Schnellstart.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Acrobat - Schnellstart.lnk
backup=C:\WINDOWS\pss\Adobe Acrobat - Schnellstart.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^WinZip Quick Pick.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\WinZip Quick Pick.lnk
backup=C:\WINDOWS\pss\WinZip Quick Pick.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acrobat Assistant 7.0]
--a------ 2006-01-12 20:52 483328 C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Auktionsfreundin]
C:\Programme\Auktionsfreundin\Auktionsfreundin.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BluetoothAuthenticationAgent]
--------- 2004-08-04 00:58 110592 C:\WINDOWS\system32\bthprops.cpl

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ]
--a------ 2007-10-22 16:45 177400 C:\Programme\ICQ6\ICQ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
--a------ 2007-11-02 18:36 267048 C:\Programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
--a------ 2007-01-19 12:55 5674352 C:\Programme\MSN Messenger\msnmsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2007-10-19 20:16 286720 C:\Programme\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
-ra------ 2007-07-02 16:10 23237416 C:\Programme\Skype\Phone\Skype.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sony Ericsson PC Suite]
-ra------ 2005-10-26 17:17 159744 C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2007-03-14 02:43 83608 C:\Programme\Java\jre1.6.0_01\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WEB.DE_WEB.DE MultiMessenger]
C:\Programme\WEB.DE\WEB.DE Messenger\MESSENGR.exe

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2007-09-06 21:50]
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2007-09-06 21:50]
S0 dajxbruh;dajxbruh;C:\WINDOWS\system32\drivers\vxvetfmf.sys []
S0 yiaubrqq;yiaubrqq;C:\WINDOWS\system32\drivers\xfsalekn.sys []
S0 yrhxpxqr;yrhxpxqr;C:\WINDOWS\system32\drivers\pxacaend.sys []
S2 NvNdis;NVIDIA NDIS IO Control Driver;C:\WINDOWS\system32\Drivers\NvNdis.sys []
S3 {E2B953A7-195A-44F9-9BA3-3D5F4E32BB55};AIM 3.0 Part 01 Codec Driver CH-7009-B;C:\WINDOWS\system32\drivers\wA301b.sys [2003-02-15 00:12]
S3 NAL;Nal Service ;C:\WINDOWS\system32\Drivers\iqvw32.sys [2002-11-22 20:01]
S3 PAC207;Trust WB-1200p Mini Webcam;C:\WINDOWS\system32\DRIVERS\pfc027.sys [2005-02-24 12:29]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0274efc2-1387-11dc-bc89-0010c6264b72}]
\Shell\AutoRun\command - G:\START.EXE

.
Inhalt des "geplante Tasks" Ordners
"2007-12-18 14:37:09 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-10 20:16:22
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-01-10 20:17:18
ComboFix-quarantined-files.txt 2008-01-10 19:17:08
ComboFix2.txt 2008-01-10 13:40:27

ich hab jetzt beim kaspersky alles angeklickt zum scannen...ist das richtig ?
jetzt steht da, dass das bis ca. 3 uhr morgen früh dauert :-/

Avenger
http://www.virus-protect.org/artikel/tools/avenger.html

schau, wie man den Avenger anwendet:
kopiere rein:

drivers to unload:
pxacaend
vxvetfmf
xfsalekn

Files to delete:
C:\WINDOWS\system32\drivers\pxacaend.sys
C:\WINDOWS\system32\drivers\vxvetfmf.sys
C:\WINDOWS\system32\drivers\xfsalekn.sys

der Rechner wird neu starten ! - POSTE DEN REPORT

««
scanne mit dem kaspersky-Tool + poste den scanreport - egal, wie lange es dauert
http://virus-protect.org/artikel/tools/kaspersky.html

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\etlbuvql

*******************


Fatal error: integrity of Services key failed verification check! Security may be fatally compromised. Exiting immediately.

Could not open script file! Status: 0xc0000034 Abort!



so, und bei kaspersky jetzt alles anklicken ? oder nur partition c ?

Scan
----
Scanned: 263304
Detected: 2
Untreated: 2
Start time: 10.01.2008 23:26:56
Duration: 04:16:11
Finish time: 11.01.2008 03:43:07


Detected
--------
Status Object
------ ------
detected: adware not-a-virus:AdWare.Win32.SaveNow.bc File: C:\Programme\Save\SaveNowupdate.exe//data0001.cab/Save.exe
detected: adware not-a-virus:AdWare.Win32.SaveNow.bc File: C:\Programme\Save\SaveNowupdate.exe//data0001.cab/SaveUninst.exe

««
Du kannst hier eine Zip Datei Herunterladen:
Starte die im zip enthaltene safeboot.reg und fuege sie der Registrierung hinzu. Dann sollte der Abgesicherte Modus wieder funktionieren.
http://www.virus-protect.org/zip/SafeBoot.zip

oder von hier laden:
http://blog.didierstevens.com/2007/02/1 ... -reg-file/
SafeBoot.zip
««
Den folgenden Text in den Editor kopieren und als fix.bat auf dem Desktop speichern
(Gebe bei Dateityp 'Alle Dateien' an.)

Code: Alles auswählen

sc delete pxacaend
sc delete vxvetfmf
sc delete xfsalekn
attrib -s - h - r C:\WINDOWS\system32\drivers\pxacaend.sys
attrib -s - h - r C:\WINDOWS\system32\drivers\vxvetfmf.sys
attrib -s - h - r C:\WINDOWS\system32\drivers\xfsalekn.sys
del C:\WINDOWS\system32\drivers\pxacaend.sys
del C:\WINDOWS\system32\drivers\vxvetfmf.sys
del C:\WINDOWS\system32\drivers\xfsalekn.sys
dellater C:\WINDOWS\system32\drivers\pxacaend.sys
dellater C:\WINDOWS\system32\drivers\vxvetfmf.sys
dellater C:\WINDOWS\system32\drivers\xfsalekn.sys

Die fix.bat Datei auf dem Desktop doppelklicken.
+ den Rechner neustarten

dann poste:
1.
das neue log von Combofix

2.
klicke sdfix im normalmodus - wähle Sophos - dann die Option 6 , scanne und poste den Report
http://www.virus-protect.org/artikel/tools/sdfix.html

ComboFix 08-01-10.2 - Besitzer 2008-01-11 16:01:36.4 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.56 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Besitzer\Desktop\ComboFix.exe
.

((((((((((((((((((((((( Dateien erstellt von 2007-12-11 bis 2008-01-11 ))))))))))))))))))))))))))))))
.

2008-01-10 20:30 . 2008-01-11 16:04 952,352 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2008-01-10 20:30 . 2008-01-11 13:18 13,196 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2008-01-10 14:52 . 2007-07-09 14:16 582,656 -----c--- C:\WINDOWS\system32\dllcache\rpcrt4.dll
2008-01-10 14:39 . 2007-07-30 19:18 30,072 --a------ C:\WINDOWS\system32\mucltui.dll.mui
2008-01-10 14:38 . 2007-07-30 19:18 34,136 --a------ C:\WINDOWS\system32\wucltui.dll.mui
2008-01-10 14:38 . 2007-07-30 19:20 30,040 --a------ C:\WINDOWS\system32\wuaucpl.cpl.mui
2008-01-10 14:38 . 2007-07-30 19:20 30,040 --a------ C:\WINDOWS\system32\wuapi.dll.mui
2008-01-10 14:38 . 2007-07-30 19:18 20,824 --a------ C:\WINDOWS\system32\wuaueng.dll.mui
2008-01-10 14:31 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-08 22:39 . 2008-01-09 00:37 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-01-08 21:31 . 2008-01-08 21:31 40,448 --a------ C:\WINDOWS\passview3.dll
2008-01-08 21:31 . 2008-01-08 21:31 0 --a------ C:\data3.pwd
2008-01-08 01:19 . 2008-01-08 01:19 69 --a------ C:\WINDOWS\NeroDigital.ini
2008-01-07 02:37 . 2008-01-07 02:37 45,056 --a------ C:\WINDOWS\passview4.dll
2008-01-07 02:36 . 2008-01-07 02:36 52,736 --a------ C:\WINDOWS\passview.dll
2007-12-24 01:49 . 2007-12-24 01:51 2,359,350 --a------ C:\WINDOWS\screenshot.bmp
2007-12-24 01:49 . 2007-12-24 01:49 71,168 --a------ C:\WINDOWS\ijl11.dll
2007-12-24 01:49 . 2007-12-24 01:49 56,512 --a------ C:\WINDOWS\screenshot.jpg
2007-12-23 19:22 . 2007-12-23 19:22 <DIR> d-------- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Nero
2007-12-23 19:21 . 2007-12-23 19:21 <DIR> d-------- C:\Programme\Nero
2007-12-23 19:21 . 2007-12-23 19:21 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Nero
2007-12-23 19:21 . 2007-12-23 19:21 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nero
2007-12-23 19:21 . 2006-03-17 11:45 1,757,184 --a------ C:\WINDOWS\system32\imagX7.dll
2007-12-23 19:21 . 2006-03-17 11:45 802,816 --a------ C:\WINDOWS\system32\imagXRA7.dll
2007-12-23 19:21 . 2006-03-17 11:45 497,296 --a------ C:\WINDOWS\system32\imagXpr7.dll
2007-12-23 19:21 . 2006-03-17 14:49 368,640 --a------ C:\WINDOWS\system32\TwnLib4.dll
2007-12-23 19:21 . 2006-03-17 11:45 258,048 --a------ C:\WINDOWS\system32\imagXR7.dll
2007-12-23 19:19 . 2007-12-23 19:19 108,336 --a------ C:\WINDOWS\mswinsck.ocx
2007-12-23 15:44 . 2001-08-18 04:20 97,440 --a------ C:\WINDOWS\system32\drivers\b57xp32.sys
2007-12-23 15:44 . 2001-08-18 04:20 97,440 --a--c--- C:\WINDOWS\system32\dllcache\b57xp32.sys
2007-12-22 11:35 . 2007-12-22 11:35 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Azureus
2007-12-22 11:33 . 2008-01-11 16:05 <DIR> d-------- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Azureus
2007-12-22 11:32 . 2007-12-23 10:55 <DIR> d-------- C:\Programme\Azureus
2007-12-21 20:55 . 2005-11-02 13:24 424,320 --a------ C:\WINDOWS\system32\drivers\BCMWL5.SYS

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-12-23 14:33 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-12-23 14:33 --------- d-----w C:\Programme\OO Software
2007-12-23 14:00 --------- d-----w C:\Programme\Dell
2007-12-22 17:57 --------- d-----w C:\Programme\Windows Live Toolbar
2007-12-22 17:55 --------- d-----w C:\Programme\ICQToolbar
2007-11-16 18:43 --------- d-----w C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Sibelius Software
2007-11-16 18:42 1,409 ----a-w C:\WINDOWS\Fonts\RPRSTITL.FOT
2007-11-16 18:42 1,409 ----a-w C:\WINDOWS\Fonts\RPRSTEXT.FOT
2007-11-16 18:42 1,409 ----a-w C:\WINDOWS\Fonts\RPRSSTMP.FOT
2007-11-16 18:42 1,409 ----a-w C:\WINDOWS\Fonts\RPRSSPEC.FOT
2007-11-16 18:42 1,409 ----a-w C:\WINDOWS\Fonts\RPRSSCRP.FOT
2007-11-16 18:42 1,409 ----a-w C:\WINDOWS\Fonts\RPRSREH_.FOT
2007-11-16 18:42 1,409 ----a-w C:\WINDOWS\Fonts\RPRSMET_.FOT
2007-11-16 18:42 1,409 ----a-w C:\WINDOWS\Fonts\RPRSCHOR.FOT
2007-11-16 18:42 1,409 ----a-w C:\WINDOWS\Fonts\RPRS____.FOT
2007-11-16 18:42 1,409 ----a-w C:\WINDOWS\Fonts\OPUSTEXT.FOT
2007-11-16 18:42 1,409 ----a-w C:\WINDOWS\Fonts\OPUSSE__.FOT
2007-11-16 18:42 1,409 ----a-w C:\WINDOWS\Fonts\OPUSS___.FOT
2007-11-16 18:42 1,409 ----a-w C:\WINDOWS\Fonts\OPUSROMC.FOT
2007-11-16 18:42 1,409 ----a-w C:\WINDOWS\Fonts\OPUSPC__.FOT
2007-11-16 18:42 1,409 ----a-w C:\WINDOWS\Fonts\OPUSP___.FOT
2007-11-16 18:42 1,409 ----a-w C:\WINDOWS\Fonts\OPUSO___.FOT
2007-11-16 18:42 1,409 ----a-w C:\WINDOWS\Fonts\OPUSNN__.FOT
2007-11-16 18:42 1,409 ----a-w C:\WINDOWS\Fonts\OPUSM___.FOT
2007-11-16 18:42 1,409 ----a-w C:\WINDOWS\Fonts\OPUSJAPC.FOT
2007-11-16 18:42 1,409 ----a-w C:\WINDOWS\Fonts\OPUSFS__.FOT
2007-11-16 18:42 1,409 ----a-w C:\WINDOWS\Fonts\OPUSFBE_.FOT
2007-11-16 18:42 1,409 ----a-w C:\WINDOWS\Fonts\OPUSFB__.FOT
2007-11-16 18:42 1,409 ----a-w C:\WINDOWS\Fonts\OPUSCSC_.FOT
2007-11-16 18:42 1,409 ----a-w C:\WINDOWS\Fonts\OPUSCS__.FOT
2007-11-16 18:42 1,409 ----a-w C:\WINDOWS\Fonts\OPUSC___.FOT
2007-11-16 18:42 1,409 ----a-w C:\WINDOWS\Fonts\OPUS____.FOT
2007-11-16 18:42 1,409 ----a-w C:\WINDOWS\Fonts\INKPEN2_.FOT
2007-11-16 18:42 1,409 ----a-w C:\WINDOWS\Fonts\INK2TEXT.FOT
2007-11-16 18:42 1,409 ----a-w C:\WINDOWS\Fonts\INK2SPEC.FOT
2007-11-16 18:42 1,409 ----a-w C:\WINDOWS\Fonts\INK2SCRI.FOT
2007-11-16 18:42 1,409 ----a-w C:\WINDOWS\Fonts\INK2METR.FOT
2007-11-16 18:42 1,409 ----a-w C:\WINDOWS\Fonts\INK2CHOR.FOT
2007-11-16 18:42 1,409 ----a-w C:\WINDOWS\Fonts\HELST___.FOT
2007-11-16 18:42 1,409 ----a-w C:\WINDOWS\Fonts\HELSS___.FOT
2007-11-16 18:42 1,409 ----a-w C:\WINDOWS\Fonts\HELSM___.FOT
2007-11-16 18:42 1,409 ----a-w C:\WINDOWS\Fonts\HELSINKI.FOT
2007-11-16 18:42 --------- d-----w C:\Programme\Sibelius Software
2007-11-16 01:14 --------- d-----w C:\Programme\Gemeinsame Dateien\xing shared
2007-11-16 01:14 --------- d-----w C:\Programme\Gemeinsame Dateien\Real
2007-11-16 01:13 --------- d-----w C:\Programme\Real
2007-11-13 10:25 20,480 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys
2007-11-07 09:27 729,600 ----a-w C:\WINDOWS\system32\lsasrv.dll
2007-10-29 22:42 1,293,312 ----a-w C:\WINDOWS\system32\quartz.dll
2007-10-25 08:28 222,720 ----a-w C:\WINDOWS\system32\wmasf.dll
2003-03-21 11:45 250,544 -c--a-w C:\Programme\Gemeinsame Dateien\keyhelp.ocx
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360]
"msnmsgr"="C:\Programme\MSN Messenger\msnmsgr.exe" [2007-01-19 12:55 5674352]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PCTVOICE"="pctspk.exe" [2003-02-24 15:35 163840 C:\WINDOWS\system32\pctspk.exe]
"Apoint"="C:\Programme\Apoint\Apoint.exe" [2003-06-10 23:07 147456]
"mspwr"="C:\WINDOWS\System32\PuXpMan.exe" [2004-06-12 18:51 102400]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-10 22:29 249896]
"igfxtray"="C:\WINDOWS\system32\igfxtray.exe" [2005-09-20 09:35 94208]
"igfxhkcmd"="C:\WINDOWS\system32\hkcmd.exe" [2005-09-20 09:32 77824]
"igfxpers"="C:\WINDOWS\system32\igfxpers.exe" [2005-09-20 09:36 114688]
"PRONoMgr.exe"="C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe" [2003-05-28 17:32 86016]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2007-10-19 20:16 286720]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2007-11-02 18:36 267048]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-11-16 02:13 185896]
"AVP"="C:\Dokumente und Einstellungen\All Users\Desktop\Kaspersky Lab Tool\setup_7.0.0.180_09.01.2008_21-50.exe" [2007-10-12 15:29 212992]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"@"="" []

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\Sebring]
C:\WINDOWS\system32\LgNotify.dll 2003-06-20 07:03 110592 C:\WINDOWS\system32\LgNotify.dll

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Acrobat - Schnellstart.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Acrobat - Schnellstart.lnk
backup=C:\WINDOWS\pss\Adobe Acrobat - Schnellstart.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^WinZip Quick Pick.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\WinZip Quick Pick.lnk
backup=C:\WINDOWS\pss\WinZip Quick Pick.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acrobat Assistant 7.0]
--a------ 2006-01-12 20:52 483328 C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Auktionsfreundin]
C:\Programme\Auktionsfreundin\Auktionsfreundin.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BluetoothAuthenticationAgent]
--------- 2004-08-04 00:58 110592 C:\WINDOWS\system32\bthprops.cpl

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ]
--a------ 2007-10-22 16:45 177400 C:\Programme\ICQ6\ICQ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
--a------ 2007-11-02 18:36 267048 C:\Programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
--a------ 2007-01-19 12:55 5674352 C:\Programme\MSN Messenger\msnmsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2007-10-19 20:16 286720 C:\Programme\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
-ra------ 2007-07-02 16:10 23237416 C:\Programme\Skype\Phone\Skype.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sony Ericsson PC Suite]
-ra------ 2005-10-26 17:17 159744 C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2007-03-14 02:43 83608 C:\Programme\Java\jre1.6.0_01\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WEB.DE_WEB.DE MultiMessenger]
C:\Programme\WEB.DE\WEB.DE Messenger\MESSENGR.exe

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2007-09-06 21:50]
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2007-09-06 21:50]
S0 dajxbruh;dajxbruh;C:\WINDOWS\system32\drivers\vxvetfmf.sys []
S0 yiaubrqq;yiaubrqq;C:\WINDOWS\system32\drivers\xfsalekn.sys []
S0 yrhxpxqr;yrhxpxqr;C:\WINDOWS\system32\drivers\pxacaend.sys []
S2 NvNdis;NVIDIA NDIS IO Control Driver;C:\WINDOWS\system32\Drivers\NvNdis.sys []
S2 setup_7.0.0.180_09.01.2008_21-50;setup_7.0.0.180_09.01.2008_21-50;"C:\Dokumente und Einstellungen\All Users\Desktop\Kaspersky Lab Tool\setup_7.0.0.180_09.01.2008_21-50.exe" [2007-10-12 15:29]
S3 {E2B953A7-195A-44F9-9BA3-3D5F4E32BB55};AIM 3.0 Part 01 Codec Driver CH-7009-B;C:\WINDOWS\system32\drivers\wA301b.sys [2003-02-15 00:12]
S3 NAL;Nal Service ;C:\WINDOWS\system32\Drivers\iqvw32.sys [2002-11-22 20:01]
S3 PAC207;Trust WB-1200p Mini Webcam;C:\WINDOWS\system32\DRIVERS\pfc027.sys [2005-02-24 12:29]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0274efc2-1387-11dc-bc89-0010c6264b72}]
\Shell\AutoRun\command - G:\START.EXE

.
Inhalt des "geplante Tasks" Ordners
"2007-12-18 14:37:09 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-11 16:05:20
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-01-11 16:07:14
ComboFix-quarantined-files.txt 2008-01-11 15:07:07
ComboFix2.txt 2008-01-10 19:17:19
ComboFix3.txt 2008-01-10 13:40:27
.
2008-01-11 02:37:21 --- E O F ---