PC ist wieder komisch :(

[TchilleR]

HI Ihr Helfer

ich hab seit neustem ein problem mit meinem pc...
und zwar ich hab ein converter(für ASF video dateien) gebraucht
eine Freesoftware, weil nur für ein video brauch ich nicht gleich so ein converter kaufen und hab halt gegoogelt
und etwas gefunden... gleihc mal downlaod aber anscheinend war es was unseriöses.
Ich wurde umgeleitet und habs von nen anderen seite gedownloadet.
naja soweit nich so schlimm. aber als ich die exe datei gestartet hab hat PC kurz geladen die exe datei war verschwunden und nix weiter geschah..
naja fast nix... nach 20 min hat er sich angefangen auszuschalten und neuzustarten, meine wiederherstellungspunkte wurden gelöscht und bildschirm wechselt zwischen normalen desktop und nur Hintergrund bild.
ab dem zeitpunkt kann ich den pc nur über Taskmanager steuern

naja viel text

und hier mein hijack logfile:

Code:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:24:48, on 26.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\Programme\Gemeinsame Dateien\AAV\aavus.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\FRITZ!DSL\StCenter.EXE
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\AntiVir PersonalEdition Classic\update.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O3 - Toolbar: (no name) - {F4D76F09-7896-458a-890F-E1F05C46069F} - (no file)
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0B79F48A-E8D6-11DB-9283-E25056D89593} (F-Secure Online Scanner 3.1) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.de/scan_de/scan8/oscan8.cab
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab
O23 - Service: AAV UpdateService - Unknown owner - C:\Programme\Gemeinsame Dateien\AAV\aavus.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 5166 bytes

ich hoff ihr könnt helfen

danke im voraus

[Speedy]

• bitte zuerst diese anleitung lesen, auch downloadslink vorhanden
• lade nun das tool combofix von einem der 3 downloadserver z.b. techsupportforum.com auf deinen desktop
• installiere nach anleitung die windows.systemwiederherstellungsconsole
• schließe alle anwendungen
• nimm der rechner vom netz
• starte das tool mit einem doppelklick auf die datei combofix.exe
• wenn sich das fenster geöffnet hat, bekommst du verschiedene hinweise zu lesen, es geht um die risiken bei der verwendung dieses tools, aufmerksam lesen! (daher mein tipp mit der sicherung deiner persönlichen daten)
• willst du das risiko nicht eingehen, dann beende das tool,
• willst du die reinigung durchziehen, dann starte es mit ja
• die überprüfung beginnt, lass den rechner ohne etwas zu tun laufen
• das tool erstellt ein logfile, das du unter c:\combofix.txt findest
  poste den inhalt
• Achtung: wenn du den scan gestartet hast, lass das tool arbeiten, das kann bis zu 15 minuten dauern, mach nichts anderes, sonst kann dein desktop unter umständen nur mehr blau bleiben.
• nach dem scannen und bereinigen, deine antivirensoftware aktivieren (hier kann es zu einer meldung kommen -->eicar testfile) und erst dann mit dem rechner wieder ins netz gehen

[TchilleR]

Okey
da bin ich wieder :P
um die zeit war ich schon gestern schlafen
aber hier das logfile:

Code:

ComboFix 08-05-26.2 - papa 2008-05-27 13:20:49.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1252.1.1031.18.1559 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\papa\Desktop\ComboFix.exe
 * Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((((((((((((((((   Weitere L”schungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\smp.bat
C:\WINDOWS\system32\drivers\Xprotector.sys
C:\WINDOWS\system32\HNVEfMoq.ini
C:\WINDOWS\system32\HNVEfMoq.ini2
C:\WINDOWS\system32\MSINET.oca
C:\WINDOWS\system32\qoMfEVNH.dll
C:\WINDOWS\system32\vxHklUvw.ini
C:\WINDOWS\system32\vxHklUvw.ini2
C:\WINDOWS\system32\wvUlkHxv.dll

.
(((((((((((((((((((((((((((((((((((((((   Drivers/Services   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_XPROTECTOR
-------\Service_XPROTECTOR


(((((((((((((((((((((((   Dateien erstellt von 2008-04-27 bis 2008-05-27  ))))))))))))))))))))))))))))))
.

2008-05-26 20:24 . 2008-05-26 20:24	<DIR>	d--------	C:\Programme\Trend Micro
2008-05-26 17:22 . 2008-05-26 20:12	<DIR>	d--------	C:\WINDOWS\BDOSCAN8
2008-05-26 16:31 . 2008-05-26 16:31	<DIR>	d--------	C:\WINDOWS\system32\Kaspersky Lab
2008-05-26 16:31 . 2008-05-26 16:31	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-05-26 16:02 . 2008-05-26 16:03	<DIR>	d--------	C:\Programme\Gemeinsame Dateien\Adobe
2008-05-25 19:06 . 2008-05-25 19:06	6,812	--a------	C:\PIC01145.cos2
2008-05-25 19:06 . 2008-05-25 19:06	157	--a------	C:\PIC01145.scn
2008-05-25 19:05 . 2008-05-25 19:05	6,516,113	--a------	C:\PIC01145.wmv
2008-05-25 18:42 . 2008-05-25 19:00	<DIR>	d--------	C:\Programme\XMedia Recode
2008-05-25 17:12 . 2008-05-25 17:12	58,368	---------	C:\WINDOWS\system32\xxyvvSlj.dll
2008-05-25 17:11 . 2008-05-25 17:11	31,232	--a------	C:\WINDOWS\system32\winexz32.dll
2008-05-22 18:22 . 2008-05-22 18:22	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Pinnacle VideoSpin
2008-05-22 18:21 . 2008-05-22 18:21	<DIR>	d--------	C:\Programme\Gemeinsame Dateien\Yahoo!
2008-05-22 18:21 . 2008-05-22 18:21	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\VideoSpin
2008-05-17 13:29 . 2008-05-17 13:29	<DIR>	d--------	C:\OutputFolder

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-27 11:24	---------	d-----w	C:\Dokumente und Einstellungen\papa\Anwendungsdaten\FRITZ!
2008-05-26 14:00	---------	d-----w	C:\Dokumente und Einstellungen\papa\Anwendungsdaten\AdobeUM
2008-05-24 13:35	---------	d-----w	C:\Programme\Magix
2008-05-22 16:21	---------	d-----w	C:\Programme\Pinnacle
2008-05-19 18:54	22,328	----a-w	C:\WINDOWS\system32\drivers\PnkBstrK.sys
2008-05-14 09:35	22,328	----a-w	C:\Dokumente und Einstellungen\papa\Anwendungsdaten\PnkBstrK.sys
2008-05-11 20:25	---------	d-----w	C:\Dokumente und Einstellungen\papa\Anwendungsdaten\LimeWire
2008-05-05 14:03	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\X10 Settings
2008-05-04 17:50	---------	d-----w	C:\Dokumente und Einstellungen\papa\Anwendungsdaten\uTorrent
2008-05-02 19:40	---------	d-----w	C:\Dokumente und Einstellungen\papa\Anwendungsdaten\teamspeak2
2008-04-26 11:54	---------	d-----w	C:\Programme\Java
2008-04-21 18:43	---------	d---a-w	C:\Programme\MSN Messenger
2008-04-17 11:21	---------	d-----w	C:\Programme\ICQ6
2008-03-06 16:14	16,858,112	----a-w	C:\WINDOWS\RTHDCPL(2).exe
2007-08-15 16:29	484	-c--a-w	C:\Dokumente und Einstellungen\papa\Anwendungsdaten\wklnhst.dat
2008-02-09 18:54	251,392	----a-w	C:\Programme\opera\program\plugins\dapop.dll
.

((((((((((((((((((((((((((((   Autostart Punkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{B6E95516-27C0-443D-9BA9-ABD8C12BAE16}]
2008-05-25 17:12	58368	---------	C:\WINDOWS\system32\xxyvvSlj.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-10 21:00 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-15 15:12 262401]
"RTHDCPL"="RTHDCPL.EXE" [2006-06-28 14:54 16248320 C:\WINDOWS\RTHDCPL.EXE]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
"Launch LGDCore"="C:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe" [2006-07-23 03:22 1126400]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-10 21:00 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"InstallVisualStyle"= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"= C:\WINDOWS\Resources\Themes\Royale.theme

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{B6E95516-27C0-443D-9BA9-ABD8C12BAE16}"= C:\WINDOWS\system32\xxyvvSlj.dll [2008-05-25 17:12 58368]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WBSrv]
C:\PROGRA~1\Stardock\OBJECT~1\WINDOW~1\wbsrv.dll 2005-11-28 16:52 176128 C:\PROGRA~1\Stardock\OBJECT~1\WINDOW~1\WbSrv.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winexz32]
winexz32.dll 2008-05-25 17:11 31232 C:\WINDOWS\system32\winexz32.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\xxyvvSlj]
xxyvvSlj.dll 2008-05-25 17:12 58368 C:\WINDOWS\system32\xxyvvSlj.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=wbsys.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.SP54"= SP5X_32.DLL
"VIDC.SP55"= SP5X_32.DLL
"VIDC.SP56"= SP5X_32.DLL
"VIDC.SP57"= SP5X_32.DLL
"VIDC.SP58"= SP5X_32.DLL
"VIDC.SP50"= SP5X_32.DLL
"VIDC.SP51"= SP5X_32.DLL
"VIDC.SP52"= SP5X_32.DLL
"VIDC.SP53"= SP5X_32.DLL
"VIDC.XFR1"= xfcodec.dll
"vidc.mjpg"= pvmjpg30.dll

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^InterVideo WinCinema Manager.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\InterVideo WinCinema Manager.lnk
backup=C:\WINDOWS\pss\InterVideo WinCinema Manager.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AmokRdrSixthWipe]
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DOES DART AMOK RDR\Chin Style.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATIMACE]
C:\Programme\ATI Technologies\ATI.ACE\MACE.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
--a------ 2004-08-10 21:00 15360 C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
--a------ 2006-11-12 12:48 157592 C:\Programme\DAEMON Tools\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\H2O]
--a------ 2005-10-23 01:00 385024 C:\Programme\SyncroSoft\Pos\H2O\cledx.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
C:\Programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Lexmark X1100 Series]
--a------ 2003-08-19 16:51 57344 C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MAgent]
C:\Programme\Mail.Ru\Agent\MAgent.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Muscbrigade]
--a------ 2005-12-20 10:18 40960 c:\Musicbrigade\Musicbrigade.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 11:50 155648 C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2008-02-01 00:13 385024 C:\Programme\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel]
-ra------ 2006-05-16 19:04 2879488 C:\WINDOWS\SkyTel.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
--a------ 2005-05-31 02:04 1415824 C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TuneUp MemOptimizer]
C:\Programme\TuneUp Utilities 2006\MemOptimizer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Uniblue RegistryBooster 2]
C:\Programme\Uniblue\RegistryBooster 2\RegistryBooster.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"StarWindService"=2 (0x2)
"LiveUpdate"=3 (0x3)
"iPod Service"=3 (0x3)
"IDriverT"=3 (0x3)
"FirebirdServerMAGIXInstance"=3 (0x3)
"ATI Smart"=2 (0x2)
"Ati HotKey Poller"=2 (0x2)
"WMPNetworkSvc"=3 (0x3)
"SPTISRV"=3 (0x3)
"PACSPTISVR"=3 (0x3)
"MSCSPTISRV"=3 (0x3)
"Apple Mobile Device"=2 (0x2)
"helpsvc"=2 (0x2)
"usnjsvc"=3 (0x3)
"PnkBstrA"=2 (0x2)
"LexBceS"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"=
"C:\\Dokumente und Einstellungen\\papa\\Desktop\\utorrent.exe"=
"C:\\GAMES\\Warcraft III(2)\\Frozen Throne.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\GAMES\\Warcraft III(2)\\Warcraft III.exe"=
"C:\\Programme\\Xfire\\xfire.exe"=
"C:\\Programme\\FRITZ!DSL\\FBOXUPD.EXE"=
"C:\\Programme\\Internet Explorer\\iexplore.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\GAMES\\ATARI\\Test Drive Unlimited\\TestDriveUnlimited.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
"C:\\WINDOWS\\system32\\PnkBstrA.exe"=
"C:\\WINDOWS\\system32\\PnkBstrB.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\GAMES\\WarRock(2)\\System\\WarRock.exe"=
"C:\\Programme\\Pinnacle\\VideoSpin\\Programs\\RM.exe"=
"C:\\Programme\\Pinnacle\\VideoSpin\\Programs\\PMSRegisterFile.exe"=
"C:\\Programme\\Pinnacle\\VideoSpin\\Programs\\umi.exe"=
"C:\\Programme\\Pinnacle\\VideoSpin\\Programs\\VideoSpin.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"6112:TCP"= 6112:TCP:wc3
"5190:TCP"= 5190:TCP:ICQ send
"5190:UDP"= 5190:UDP:icq6 freigabe

R0 sonyhcb;Sony Digital Imaging Base;C:\WINDOWS\system32\DRIVERS\sonyhcb.sys [2001-11-05 10:23]
R2 AAV UpdateService;AAV UpdateService;C:\Programme\Gemeinsame Dateien\AAV\aavus.exe [2007-10-04 16:32]
R2 ACEDRV06;ACEDRV06;C:\WINDOWS\system32\drivers\ACEDRV06.sys [2006-11-11 09:42]
R3 axsaki;axsaki;C:\WINDOWS\system32\DRIVERS\axsaki.sys [2003-03-30 22:38]
R3 axskbus;axskbus;C:\WINDOWS\system32\DRIVERS\axskbus.sys [2003-03-28 12:58]
R3 CLEDX;Team H2O CLEDX service;C:\WINDOWS\system32\DRIVERS\cledx.sys [2005-05-09 21:08]
R3 X10Hid;X10 Hid Device;C:\WINDOWS\system32\Drivers\x10hid.sys [2005-11-28 10:45]
S2 Ca504av;Mega Camera, WDM Video Capture;C:\WINDOWS\system32\Drivers\Ca504av.sys []
S3 3xHybrid;Pinnacle PCTV 100i-110i-300i-310i;C:\WINDOWS\system32\DRIVERS\3xHybrid.sys [2006-04-28 17:34]
S3 idrmkl;idrmkl;C:\DOKUME~1\papa\LOKALE~1\Temp\idrmkl.sys []
S3 MEMSWEEP2;MEMSWEEP2;C:\WINDOWS\system32\2.tmp []
S3 sonyhcs;Sony Digital Imaging Video;C:\WINDOWS\system32\DRIVERS\sonyhcs.sys [2001-11-05 10:23]
S3 tap0901;TAP-Win32 Adapter V9;C:\WINDOWS\system32\DRIVERS\tap0901.sys [2007-04-26 01:53]
S3 USBCamera;Mega Camera Still Image Capture, Version 1.00;C:\WINDOWS\system32\Drivers\Bulk504.sys []
S4 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;C:\Programme\MAGIX\Common\Database\bin\fbserver.exe [2005-11-17 16:18]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\G]
\Shell\AutoRun\command - G:\start.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\M]
\Shell\AutoRun\command - M:\start.exe

.
Inhalt des "geplante Tasks" Ordners
"2008-02-20 16:03:00 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-27 13:27:24
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet002\Services\MEMSWEEP2]
"ImagePath"="\??\C:\WINDOWS\system32\2.tmp"
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\winexz32.dll
-> C:\WINDOWS\system32\xxyvvSlj.dll
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\ehome\ehrecvr.exe
C:\WINDOWS\ehome\ehSched.exe
C:\Programme\Common Files\X10\Common\X10nets.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\Internet Explorer\iexplore.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-05-27 13:31:49 - machine was rebooted
ComboFix-quarantined-files.txt  2008-05-27 11:31:43

              33 Verzeichnis(se), 230,511,648,768 Bytes frei
              38 Verzeichnis(se), 231,316,094,976 Bytes frei

239	--- E O F ---	2008-05-16 17:48:01

[TchilleR]

und was ich grad noch merk:
mein pc geht wieder "normal"
danke )

[TchilleR]

okey
zu früh gefreut...
es hat wieder angefangen
das switchen zwischen normalen desktop und nur hintergrund bild

[Speedy]

hi, nun kommt ein wenig arbeit auf dich zu

der wurde zuviel gelöscht, aus der qoobox wieder an seinen angestammten platz kopieren
C:\WINDOWS\system32\drivers\Xprotector.sys

• lege folgenden ordner an c:\programme\regsrch
• download von regsrch-zip in den ordner c:\programme\regsrch
• entpacke das programm in diesen ordner.
• starte regsrch.vbs und gib als suchstring "HNVEfMoq " ein (ohne die anführungszeichen).
• der scan beginnt und wenn dieser beendet ist, wird ein editorfenster geöffnet
  a) keine funde -> rückmeldung
  b) es wurde etwas gefunden, dann den inhalt des textfiles hier posten

hier das muster, bei allen anderen einträgen nur den dateinamen mit regsrch suchen (keine doppelten suchen)
C:\WINDOWS\system32\HNVEfMoq.ini
C:\WINDOWS\system32\HNVEfMoq.ini2
C:\WINDOWS\system32\MSINET.oca
C:\WINDOWS\system32\qoMfEVNH.dll
C:\WINDOWS\system32\vxHklUvw.ini
C:\WINDOWS\system32\vxHklUvw.ini2
C:\WINDOWS\system32\wvUlkHxv.dll
C:\WINDOWS\system32\xxyvvSlj.dll
C:\WINDOWS\system32\winexz32.dll

Code:

rem kopier diesen text und füge ihn in ein textprogramm (notepad) ein 
rem speichere nun das textfile als QooBox.bat auf deinem desktop ab  
rem starte das tool mit einem doppelklick
rem du siehst kurz etwas aufflackern, dabei wird ein textfile generiert 
rem poste den inhalt des(der) angeführten logfiles.
rem c:\AQouBox.txt

dir C:\QooBox\  >> c:\AQouBox.txt

[TchilleR]

Hi again

Code:

REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "qoMfEVNH.dll" 28.05.2008 13:33:38

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5115613A-9F56-4A89-9CE4-05CF37389521}\InprocServer32]
@="C:\\WINDOWS\\system32\\qoMfEVNH.dll"

nummer 2:

Code:

REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "xxyvvSlj.dll" 28.05.2008 13:37:55

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B6E95516-27C0-443D-9BA9-ABD8C12BAE16}\InprocServer32]
@="C:\\WINDOWS\\system32\\xxyvvSlj.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\xxyvvSlj]
"DllName"="xxyvvSlj.dll"

und nummer 3

Code:

REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "winexz32.dll" 28.05.2008 13:39:06

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winexz32]
"DllName"="winexz32.dll"

zu den anderen sachen wurde nichts gefunden

post nr.2 kommt gleich

[TchilleR]

so das is von QooBox das logfile

Code:

Datentr„ger in Laufwerk C: ist Festplatte
 Volumeseriennummer: 1465-05F4

 Verzeichnis von C:\QooBox

27.05.2008  13:31    <DIR>          .
27.05.2008  13:31    <DIR>          ..
27.05.2008  13:20    <DIR>          BackEnv
27.05.2008  13:31             1.197 ComboFix-quarantined-files.txt
27.05.2008  13:23    <DIR>          Quarantine
27.05.2008  13:31           806.784 snapshot@2008-05-27_13.31.26.89.dat
27.05.2008  13:31           755.124 snapshot@2008-05-27_13.31.26.89_B.dat
               3 Datei(en)      1.563.105 Bytes
               4 Verzeichnis(se), 231.367.786.496 Bytes frei

welches file muss ich dafür kopieren aus der qoobox? oder wie?
weil das file heißt dann unter C:\qoobox\quarantine\C\Windows\system32\drivers Xprotector.sys.vir

[Speedy]

1. Öffne notepad (Start => Ausführen => notepad (reinschreiben) => ok) oder einen Editor Deiner Wahl und kopiere alles aus der nachfolgenden Codebox in ein leeres Dokument:
   
   Code:

   Registry::
   [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5115613A-9F56-4A89-9CE4-05CF37389521}\InprocServer32]
   [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B6E95516-27C0-443D-9BA9-ABD8C12BAE16}\InprocServer32]
   [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\xxyvvSlj]
   [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winexz32]
   [hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
   "{B6E95516-27C0-443D-9BA9-ABD8C12BAE16}"=-
   File::
   C:\WINDOWS\system32\wvUlkHxv.dll
   C:\WINDOWS\system32\xxyvvSlj.dll
   C:\WINDOWS\system32\winexz32.dll
   C:\WINDOWS\system32\2.tmp
   Driver::
   Ca504av
   idrmkl
   MEMSWEEP2

2. Speichere dies als CFScript.txt auf Deinem Desktop
   
   
   
3. In Bezug auf obiges Bild, ziehe CFScript.txt in die ComboFix.exe
4. Wenn ComboFix fertig ist, wird es ein Log erstellen, C:\ComboFix.txt. Bitte füge es hier als Antwort ein.
   NB: Bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein. Dies kann dazu führen, dass ComboFix sich aufhängt.

Hinweis für Mitleser: Obiges Combofix-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen![/QUOTE]

wiederhole nun mit regsrch die suche, poste auch ein aktuelles hjt logfile

Code:

rem kopier diesen text und füge ihn in ein textprogramm (notepad) ein 
rem speichere nun das textfile als QooBox.bat auf deinem desktop ab  
rem starte das tool mit einem doppelklick
rem du siehst kurz etwas aufflackern, dabei wird ein textfile generiert 
rem poste den inhalt des(der) angeführten logfiles.
rem c:\AQouBox.txt

dir C:\QooBox\Quarantine\  >> c:\AQouBox.txt
dir C:\QooBox\BackEnv\  >> c:\AQouBox.txt

[TchilleR]

Okey hier wieder das logfile von combofix

Code:

ComboFix 08-05-26.2 - papa 2008-05-28 19:50:58.2 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1252.1.1031.18.1605 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\papa\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\papa\Desktop\CFScript.txt
 * Neuer Wiederherstellungspunkt wurde erstellt

FILE ::
C:\WINDOWS\system32\2.tmp
C:\WINDOWS\system32\winexz32.dll
C:\WINDOWS\system32\wvUlkHxv.dll
C:\WINDOWS\system32\xxyvvSlj.dll
.

((((((((((((((((((((((((((((((((((((   Weitere L”schungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\urqNhGxv.dll
C:\WINDOWS\system32\vxGhNqru.ini
C:\WINDOWS\system32\vxGhNqru.ini2
C:\WINDOWS\system32\winexz32.dll
C:\WINDOWS\system32\xxyvvSlj.dll

.
(((((((((((((((((((((((((((((((((((((((   Drivers/Services   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_IDRMKL
-------\Legacy_MEMSWEEP2
-------\Service_Ca504av
-------\Service_idrmkl
-------\Service_MEMSWEEP2


(((((((((((((((((((((((   Dateien erstellt von 2008-04-28 bis 2008-05-28  ))))))))))))))))))))))))))))))
.

2008-05-28 13:25 . 2008-05-28 13:29	<DIR>	d--------	C:\Programme\regsrch
2008-05-27 22:18 . 2008-05-27 22:18	<DIR>	d--------	C:\WINDOWS\Mozilla
2008-05-26 20:24 . 2008-05-26 20:24	<DIR>	d--------	C:\Programme\Trend Micro
2008-05-26 17:22 . 2008-05-26 20:12	<DIR>	d--------	C:\WINDOWS\BDOSCAN8
2008-05-26 16:31 . 2008-05-26 16:31	<DIR>	d--------	C:\WINDOWS\system32\Kaspersky Lab
2008-05-26 16:31 . 2008-05-26 16:31	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-05-26 16:02 . 2008-05-26 16:03	<DIR>	d--------	C:\Programme\Gemeinsame Dateien\Adobe
2008-05-25 19:06 . 2008-05-25 19:06	6,812	--a------	C:\PIC01145.cos2
2008-05-25 19:06 . 2008-05-25 19:06	157	--a------	C:\PIC01145.scn
2008-05-25 19:05 . 2008-05-25 19:05	6,516,113	--a------	C:\PIC01145.wmv
2008-05-25 18:42 . 2008-05-25 19:00	<DIR>	d--------	C:\Programme\XMedia Recode
2008-05-22 18:22 . 2008-05-22 18:22	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Pinnacle VideoSpin
2008-05-22 18:21 . 2008-05-22 18:21	<DIR>	d--------	C:\Programme\Gemeinsame Dateien\Yahoo!
2008-05-22 18:21 . 2008-05-22 18:21	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\VideoSpin
2008-05-17 13:29 . 2008-05-17 13:29	<DIR>	d--------	C:\OutputFolder

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-28 17:55	---------	d-----w	C:\Dokumente und Einstellungen\papa\Anwendungsdaten\FRITZ!
2008-05-26 14:00	---------	d-----w	C:\Dokumente und Einstellungen\papa\Anwendungsdaten\AdobeUM
2008-05-24 13:35	---------	d-----w	C:\Programme\Magix
2008-05-22 16:21	---------	d-----w	C:\Programme\Pinnacle
2008-05-19 18:54	22,328	----a-w	C:\WINDOWS\system32\drivers\PnkBstrK.sys
2008-05-14 09:35	22,328	----a-w	C:\Dokumente und Einstellungen\papa\Anwendungsdaten\PnkBstrK.sys
2008-05-11 20:25	---------	d-----w	C:\Dokumente und Einstellungen\papa\Anwendungsdaten\LimeWire
2008-05-05 14:03	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\X10 Settings
2008-05-04 17:50	---------	d-----w	C:\Dokumente und Einstellungen\papa\Anwendungsdaten\uTorrent
2008-05-02 19:40	---------	d-----w	C:\Dokumente und Einstellungen\papa\Anwendungsdaten\teamspeak2
2008-04-26 11:54	---------	d-----w	C:\Programme\Java
2008-04-21 18:43	---------	d---a-w	C:\Programme\MSN Messenger
2008-04-17 11:21	---------	d-----w	C:\Programme\ICQ6
2008-03-06 16:14	16,858,112	----a-w	C:\WINDOWS\RTHDCPL(2).exe
2007-08-15 16:29	484	-c--a-w	C:\Dokumente und Einstellungen\papa\Anwendungsdaten\wklnhst.dat
2008-02-09 18:54	251,392	----a-w	C:\Programme\opera\program\plugins\dapop.dll
.

(((((((((((((((((((((((((((((   snapshot@2008-05-27_13.31.26.89   )))))))))))))))))))))))))))))))))))))))))
.
- 2008-05-27 11:26:43	2,048	--s-a-w	C:\WINDOWS\bootstat.dat
+ 2008-05-28 17:57:41	2,048	--s-a-w	C:\WINDOWS\bootstat.dat
- 2004-08-10 19:00:00	294,400	-c--a-w	C:\WINDOWS\system32\dllcache\msctf.dll
+ 2008-02-26 11:59:49	294,912	-c--a-w	C:\WINDOWS\system32\dllcache\msctf.dll
- 2004-08-10 19:00:00	294,400	----a-w	C:\WINDOWS\system32\MSCTF.dll
+ 2008-02-26 11:59:49	294,912	----a-w	C:\WINDOWS\system32\msctf.dll
.
((((((((((((((((((((((((((((   Autostart Punkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-10 21:00 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-15 15:12 262401]
"RTHDCPL"="RTHDCPL.EXE" [2006-06-28 14:54 16248320 C:\WINDOWS\RTHDCPL.EXE]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
"Launch LGDCore"="C:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe" [2006-07-23 03:22 1126400]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-02-01 00:13 385024]
"UserFaultCheck"="C:\WINDOWS\system32\dumprep 0 -u" [ ]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-10 21:00 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"InstallVisualStyle"= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"= C:\WINDOWS\Resources\Themes\Royale.theme

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WBSrv]
C:\PROGRA~1\Stardock\OBJECT~1\WINDOW~1\wbsrv.dll 2005-11-28 16:52 176128 C:\PROGRA~1\Stardock\OBJECT~1\WINDOW~1\WbSrv.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=wbsys.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.SP54"= SP5X_32.DLL
"VIDC.SP55"= SP5X_32.DLL
"VIDC.SP56"= SP5X_32.DLL
"VIDC.SP57"= SP5X_32.DLL
"VIDC.SP58"= SP5X_32.DLL
"VIDC.SP50"= SP5X_32.DLL
"VIDC.SP51"= SP5X_32.DLL
"VIDC.SP52"= SP5X_32.DLL
"VIDC.SP53"= SP5X_32.DLL
"VIDC.XFR1"= xfcodec.dll
"vidc.mjpg"= pvmjpg30.dll

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^InterVideo WinCinema Manager.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\InterVideo WinCinema Manager.lnk
backup=C:\WINDOWS\pss\InterVideo WinCinema Manager.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AmokRdrSixthWipe]
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DOES DART AMOK RDR\Chin Style.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATIMACE]
C:\Programme\ATI Technologies\ATI.ACE\MACE.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
--a------ 2004-08-10 21:00 15360 C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
--a------ 2006-11-12 12:48 157592 C:\Programme\DAEMON Tools\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\H2O]
--a------ 2005-10-23 01:00 385024 C:\Programme\SyncroSoft\Pos\H2O\cledx.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
C:\Programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Lexmark X1100 Series]
--a------ 2003-08-19 16:51 57344 C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MAgent]
C:\Programme\Mail.Ru\Agent\MAgent.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Muscbrigade]
--a------ 2005-12-20 10:18 40960 c:\Musicbrigade\Musicbrigade.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 11:50 155648 C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2008-02-01 00:13 385024 C:\Programme\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel]
-ra------ 2006-05-16 19:04 2879488 C:\WINDOWS\SkyTel.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
--a------ 2005-05-31 02:04 1415824 C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TuneUp MemOptimizer]
C:\Programme\TuneUp Utilities 2006\MemOptimizer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Uniblue RegistryBooster 2]
C:\Programme\Uniblue\RegistryBooster 2\RegistryBooster.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"StarWindService"=2 (0x2)
"LiveUpdate"=3 (0x3)
"iPod Service"=3 (0x3)
"IDriverT"=3 (0x3)
"FirebirdServerMAGIXInstance"=3 (0x3)
"ATI Smart"=2 (0x2)
"Ati HotKey Poller"=2 (0x2)
"WMPNetworkSvc"=3 (0x3)
"SPTISRV"=3 (0x3)
"PACSPTISVR"=3 (0x3)
"MSCSPTISRV"=3 (0x3)
"Apple Mobile Device"=2 (0x2)
"helpsvc"=2 (0x2)
"usnjsvc"=3 (0x3)
"PnkBstrA"=2 (0x2)
"LexBceS"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"=
"C:\\Dokumente und Einstellungen\\papa\\Desktop\\utorrent.exe"=
"C:\\GAMES\\Warcraft III(2)\\Frozen Throne.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\GAMES\\Warcraft III(2)\\Warcraft III.exe"=
"C:\\Programme\\Xfire\\xfire.exe"=
"C:\\Programme\\FRITZ!DSL\\FBOXUPD.EXE"=
"C:\\Programme\\Internet Explorer\\iexplore.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\GAMES\\ATARI\\Test Drive Unlimited\\TestDriveUnlimited.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
"C:\\WINDOWS\\system32\\PnkBstrA.exe"=
"C:\\WINDOWS\\system32\\PnkBstrB.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\GAMES\\WarRock(2)\\System\\WarRock.exe"=
"C:\\Programme\\Pinnacle\\VideoSpin\\Programs\\RM.exe"=
"C:\\Programme\\Pinnacle\\VideoSpin\\Programs\\PMSRegisterFile.exe"=
"C:\\Programme\\Pinnacle\\VideoSpin\\Programs\\umi.exe"=
"C:\\Programme\\Pinnacle\\VideoSpin\\Programs\\VideoSpin.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"6112:TCP"= 6112:TCP:wc3
"5190:TCP"= 5190:TCP:ICQ send
"5190:UDP"= 5190:UDP:icq6 freigabe

R0 sonyhcb;Sony Digital Imaging Base;C:\WINDOWS\system32\DRIVERS\sonyhcb.sys [2001-11-05 10:23]
R2 AAV UpdateService;AAV UpdateService;C:\Programme\Gemeinsame Dateien\AAV\aavus.exe [2007-10-04 16:32]
R2 ACEDRV06;ACEDRV06;C:\WINDOWS\system32\drivers\ACEDRV06.sys [2006-11-11 09:42]
R3 axsaki;axsaki;C:\WINDOWS\system32\DRIVERS\axsaki.sys [2003-03-30 22:38]
R3 axskbus;axskbus;C:\WINDOWS\system32\DRIVERS\axskbus.sys [2003-03-28 12:58]
R3 CLEDX;Team H2O CLEDX service;C:\WINDOWS\system32\DRIVERS\cledx.sys [2005-05-09 21:08]
R3 X10Hid;X10 Hid Device;C:\WINDOWS\system32\Drivers\x10hid.sys [2005-11-28 10:45]
S3 3xHybrid;Pinnacle PCTV 100i-110i-300i-310i;C:\WINDOWS\system32\DRIVERS\3xHybrid.sys [2006-04-28 17:34]
S3 sonyhcs;Sony Digital Imaging Video;C:\WINDOWS\system32\DRIVERS\sonyhcs.sys [2001-11-05 10:23]
S3 tap0901;TAP-Win32 Adapter V9;C:\WINDOWS\system32\DRIVERS\tap0901.sys [2007-04-26 01:53]
S3 USBCamera;Mega Camera Still Image Capture, Version 1.00;C:\WINDOWS\system32\Drivers\Bulk504.sys []
S4 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;C:\Programme\MAGIX\Common\Database\bin\fbserver.exe [2005-11-17 16:18]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\G]
\Shell\AutoRun\command - G:\start.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\M]
\Shell\AutoRun\command - M:\start.exe

.
Inhalt des "geplante Tasks" Ordners
"2008-02-20 16:03:00 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-28 19:58:04
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\ehome\ehrecvr.exe
C:\WINDOWS\ehome\ehSched.exe
C:\Programme\Common Files\X10\Common\X10nets.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\Programme\FRITZ!DSL\StCenter.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-05-28 20:02:18 - machine was rebooted
ComboFix-quarantined-files.txt  2008-05-28 18:02:15
ComboFix2.txt  2008-05-27 11:31:50

              33 Verzeichnis(se), 231,324,860,416 Bytes frei
              38 Verzeichnis(se), 231,314,350,080 Bytes frei

237	--- E O F ---	2008-05-28 09:12:59

hier die logfiles von regsearch:

Code:

REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "MSINET" 28.05.2008 20:09:10

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{48E59293-9880-11CF-9754-00AA00C00908}\InprocServer32]
@="C:\\WINDOWS\\system32\\msinet.ocx"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{48E59293-9880-11CF-9754-00AA00C00908}\ToolboxBitmap32]
@="C:\\WINDOWS\\system32\\msinet.ocx, 1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{48E59294-9880-11CF-9754-00AA00C00908}\InprocServer32]
@="C:\\WINDOWS\\system32\\msinet.ocx"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{48E59295-9880-11CF-9754-00AA00C00908}\InprocServer32]
@="C:\\WINDOWS\\system32\\msinet.ocx"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{48E59290-9880-11CF-9754-00AA00C00908}\1.0\0\win32]
@="C:\\WINDOWS\\system32\\msinet.ocx"

nur zu MSINET wurde was gefunden

hier das qoobox logfile

Code:

 Datentr„ger in Laufwerk C: ist Festplatte
 Volumeseriennummer: 1465-05F4

 Verzeichnis von C:\QooBox

27.05.2008  13:31    <DIR>          .
27.05.2008  13:31    <DIR>          ..
27.05.2008  13:20    <DIR>          BackEnv
27.05.2008  13:31             1.197 ComboFix-quarantined-files.txt
27.05.2008  13:23    <DIR>          Quarantine
27.05.2008  13:31           806.784 snapshot@2008-05-27_13.31.26.89.dat
27.05.2008  13:31           755.124 snapshot@2008-05-27_13.31.26.89_B.dat
               3 Datei(en)      1.563.105 Bytes
               4 Verzeichnis(se), 231.367.786.496 Bytes frei
 Datentr„ger in Laufwerk C: ist Festplatte
 Volumeseriennummer: 1465-05F4

 Verzeichnis von C:\QooBox\Quarantine

27.05.2008  13:23    <DIR>          .
27.05.2008  13:23    <DIR>          ..
27.05.2008  13:21    <DIR>          C
28.05.2008  19:55               269 catchme.log
28.05.2008  19:55           362.217 catchme2008-05-28_195521,73.zip
28.05.2008  19:54    <DIR>          Registry_backups
               2 Datei(en)        362.486 Bytes
               4 Verzeichnis(se), 231.335.436.288 Bytes frei
 Datentr„ger in Laufwerk C: ist Festplatte
 Volumeseriennummer: 1465-05F4

 Verzeichnis von C:\QooBox\BackEnv

27.05.2008  13:20    <DIR>          .
27.05.2008  13:20    <DIR>          ..
27.05.2008  13:20               307 appdata.folder.dat
27.05.2008  13:20               367 cache.folder.dat
27.05.2008  13:20               155 desktop.folder.dat
27.05.2008  13:20               161 favorites.folder.dat
27.05.2008  13:20               331 localappdata.folder.dat
27.05.2008  13:20               332 localsettings.folder.dat
27.05.2008  13:20               289 mypictures.folder.dat
27.05.2008  13:20               233 personal.folder.dat
27.05.2008  13:20               304 profiles.folder.dat
27.05.2008  13:20               191 programs.folder.dat
27.05.2008  13:20            11.661 SetPath.bat
27.05.2008  13:20               259 startmenu.folder.dat
27.05.2008  13:20               221 startup.folder.dat
27.05.2008  13:20             4.964 SysPath.dat
27.05.2008  13:20               158 templates.folder.dat
              15 Datei(en)         19.933 Bytes
               2 Verzeichnis(se), 231.335.436.288 Bytes frei

HiJack logfile folgt gleich.