hilfe, mein internet legt meinen pc lahm

hatte ich eig auch schonmal gemacht, aber vllt findest du ja nen programm das highjackthis als kein risiko eingestuft hat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:16:33, on 26.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Programme\Nero 7\InCD\InCDsrv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
I:\Programme\Virtual CD\System\VC8SecS.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Programme\ICQ6\ICQ.exe
I:\Programme\Mozilla Firefox\firefox.exe
I:\Programme\Highjackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.rockstargames.com/register/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = Adrian
O17 - HKLM\Software\..\Telephony: DomainName = Adrian
O17 - HKLM\System\CCS\Services\Tcpip\..\{5BEFCC57-AE9A-4641-8CBB-8C78CEE811AE}: NameServer = 81.14.244.9 81.14.243.9
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = Adrian
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = Adrian
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Nero 7\InCD\InCDsrv.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - Unknown owner - C:\Programme\Spyware Doctor\pctsAuxs.exe (file missing)
O23 - Service: PC Tools Security Service (sdCoreService) - Unknown owner - C:\Programme\Spyware Doctor\pctsSvc.exe (file missing)
O23 - Service: Virtual CD v8 Management Service (VC8SecS) - H+H Software GmbH - I:\Programme\Virtual CD\System\VC8SecS.exe
O24 - Desktop Component 0: Privacy Protection - file:///C:\WINDOWS\privacy_danger\index.htm

--
End of file - 5245 bytes

folgendes fixen / beheben

Code:

- O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOKALER DIENST')
- O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETZWERKDIENST')
- O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
- O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
- O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = Adrian
- O17 - HKLM\Software\..\Telephony: DomainName = Adrian
- O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = Adrian
- O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = Adrian
- O24 - Desktop Component 0: Privacy Protection - file:///C:\WINDOWS\privacy_danger\index.htm

vielen dank.
so wies aussieht hats geholfen.^^

tja leider muss ich letzteres zurrücknehmen.
es ist wieder aufgetreten
hat aber vergleichsweise wirklich verdammt lange gebraucht, bis es aufgetreten ist.
deswegen dacht ich auch es wär weg.
soll ich vllt nochmal ein highjackthis durchführen?

so hier is schon mal das erste.
hätte nich gedacht, dass er so viel findet, weil ich kaspersky benutze.

Malwarebytes' Anti-Malware 1.11
Datenbank Version: 689

Scan Art: Komplett Scan (C:\|D:\|H:\|I:\|)
Objekte gescannt: 208232
Scan Dauer: 2 hour(s), 11 minute(s), 28 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 15
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 7

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\msvps.msvpsapp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{069e8b19-0eac-45d6-a5b3-a10ff9b69f4c} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{b3dce744-06c7-4c09-b99d-f54254c0954f} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{ea8279e1-f6b8-495a-8c6a-cb47bd8356d1} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{c7ccfdab-ccb0-46ad-8bf9-45aff6c7b742} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{7bafe909-2f2d-4da0-a398-d22458caf3dc} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{c93db567-3f35-408f-8de6-2b570db6a5a0} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{bcb2c81b-f0db-4948-b1c2-0a1042008803} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{76e66ff8-22ba-4ecd-bb6b-95f6b33a4b46} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\uninstall (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\mwc (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\vnbptxlf.brkn (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\vnbptxlf.toolbar.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\qtvglped.bvtp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\qtvglped.toolbar.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ynadabqf\wdizsfkh.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\elkpabuj.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\rgvknyja.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\sjehifuj.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Adrian\Favoriten\Error Cleaner.url (Rogue.Link) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Adrian\Favoriten\Privacy Protector.url (Rogue.Link) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Adrian\Favoriten\Spyware&Malware Protection.url (Rogue.Link) -> Quarantined and deleted successfully.

der ccleaner is auch durch:
hat 680 mb freigeschaufelt

so dann hier der fireworkout:
ich hab echt kein plan was das alles zu bedeuten hat.


Username "Adrian" - 27.04.2008 22:20:30 [Fixwareout edited 9/01/2007]

~~~~~ Prerun check

Der DNS-Auflösungscache wurde geleert.


System was rebooted successfully.

~~~~~ Postrun check
HKLM\SOFTWARE\~\Winlogon\ "System"=""
....
....
~~~~~ Misc files.
....
~~~~~ Checking for older varients.
....

~~~~~ Current runs (hklm hkcu "run" Keys Only)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"AVP"="\"C:\\Programme\\Kaspersky Lab\\Kaspersky Internet Security 7.0\\avp.exe\""
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
....
Hosts file was reset, If you use a custom hosts file please replace it...
~~~~~ End report ~~~~~

und last ^^:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:50:35, on 28.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Programme\Nero 7\InCD\InCDsrv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
I:\Programme\Virtual CD\System\VC8SecS.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
I:\Programme\Mozilla Firefox\firefox.exe
I:\Programme\Highjackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.rockstargames.com/register/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = Adrian
O17 - HKLM\Software\..\Telephony: DomainName = Adrian
O17 - HKLM\System\CCS\Services\Tcpip\..\{5BEFCC57-AE9A-4641-8CBB-8C78CEE811AE}: NameServer = 81.14.244.9 81.14.243.9
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = Adrian
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = Adrian
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Nero 7\InCD\InCDsrv.exe
O23 - Service: iPod-Dienst (iPod Service) - Unknown owner - C:\Programme\iPod\bin\iPodService.exe (file missing)
O23 - Service: NBService - Nero AG - C:\Programme\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - Unknown owner - C:\Programme\Spyware Doctor\pctsAuxs.exe (file missing)
O23 - Service: PC Tools Security Service (sdCoreService) - Unknown owner - C:\Programme\Spyware Doctor\pctsSvc.exe (file missing)
O23 - Service: Virtual CD v8 Management Service (VC8SecS) - H+H Software GmbH - I:\Programme\Virtual CD\System\VC8SecS.exe

--
End of file - 4418 bytes

jop

ComboFix 08-04-27.3 - Adrian 2008-04-28 16:35:30.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.228 [GMT 2:00]
ausgeführt von:: I:\download\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader \qmgr0.dat
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader \qmgr1.dat

----- BITS: Possible infected sites -----

hxxp://patch.starwarsgalaxies.com
.
((((((((((((((((((((((( Dateien erstellt von 2008-03-28 bis 2008-04-28 ))))))))))))))))))))))))))))))
.

2008-04-27 21:44 . 2008-04-28 13:47<DIR>d--------C:\fixwareout
2008-04-27 17:52 . 2008-04-27 17:52<DIR>d--------C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-04-27 17:52 . 2008-04-27 17:52<DIR>d--------C:\Dokumente und Einstellungen\Adrian\Anwendungsdaten\Malwarebytes
2008-04-25 15:48 . 2008-04-25 15:56<DIR>d--------C:\WINDOWS\system32\Adobe
2008-04-21 14:01 . 2008-04-21 14:02<DIR>d--------C:\Programme\QuickTime
2008-04-20 21:54 . 2008-04-20 22:02<DIR>d--------C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2008-04-20 21:53 . 2008-04-20 21:53<DIR>d--------C:\Programme\Gemeinsame Dateien\Apple
2008-04-20 21:53 . 2008-04-20 21:53<DIR>d--------C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
2008-04-20 13:53 . 2008-04-20 13:53<DIR>d--------C:\Programme\AcrobatReader
2008-04-19 10:43 . 2008-04-19 10:43<DIR>d--------C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Firefly Studios
2008-04-19 00:14 . 2007-12-10 13:5381,288--a------C:\WINDOWS\system32\drivers\iksyssec.sys
2008-04-19 00:14 . 2007-12-10 13:5366,952--a------C:\WINDOWS\system32\drivers\iksysflt.sys
2008-04-19 00:14 . 2008-02-01 11:5542,376--a------C:\WINDOWS\system32\drivers\ikfilesec.sys
2008-04-19 00:14 . 2007-12-10 13:5329,576--a------C:\WINDOWS\system32\drivers\kcom.sys
2008-04-19 00:13 . 2008-04-19 00:13<DIR>d--------C:\Dokumente und Einstellungen\Adrian\Anwendungsdaten\PC Tools
2008-04-18 23:48 . 2008-04-19 03:05<DIR>d-a------C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-04-17 20:33 . 2008-04-17 20:33<DIR>d--------C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\TuneUp Software
2008-04-17 16:11 . 2008-04-27 21:37<DIR>d--------C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ynadabqf
2008-04-14 17:34 . 2008-04-14 17:34<DIR>d--------C:\Programme\DivXCodec
2008-04-14 17:17 . 2008-04-14 17:17<DIR>d--------C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\InterVideo
2008-04-14 17:17 . 2008-04-14 17:17<DIR>d--------C:\Dokumente und Einstellungen\Adrian\Anwendungsdaten\InterVideo
2008-04-14 17:12 . 2002-01-17 14:2313,924---------C:\WINDOWS\system32\drivers\pfc.sys
2008-04-12 09:32 . 2008-04-12 09:320--ah-----C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT_TU_71318.L OG
2008-04-12 09:32 . 2008-04-12 09:320--ah-----C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT_TU_59301.LOG
2008-04-12 09:32 . 2008-04-12 09:320--ah-----C:\Dokumente und Einstellungen\Adi\NTUSER.DAT_TU_64680.LOG
2008-04-12 08:53 . 2008-04-12 08:53<DIR>d--------C:\Dokumente und Einstellungen\Adi\Anwendungsdaten\vlc
2008-04-12 08:30 . 2008-04-12 08:30<DIR>d--------C:\Dokumente und Einstellungen\Adi\Anwendungsdaten\TuneUp Software
2008-04-12 08:22 . 2007-03-08 15:34<DIR>d--h-----C:\Dokumente und Einstellungen\Adi\Vorlagen
2008-04-12 08:22 . 2007-03-08 15:34<DIR>dr-------C:\Dokumente und Einstellungen\Adi\Startmenü
2008-04-12 08:22 . 2007-03-08 15:34<DIR>d--h-----C:\Dokumente und Einstellungen\Adi\Netzwerkumgebung
2008-04-12 08:22 . 2008-04-28 16:38<DIR>d--h-----C:\Dokumente und Einstellungen\Adi\Lokale Einstellungen
2008-04-12 08:22 . 2008-04-12 08:23<DIR>dr-------C:\Dokumente und Einstellungen\Adi\Favoriten
2008-04-12 08:22 . 2008-04-12 08:22<DIR>dr-------C:\Dokumente und Einstellungen\Adi\Eigene Dateien
2008-04-12 08:22 . 2007-03-08 15:34<DIR>d--h-----C:\Dokumente und Einstellungen\Adi\Druckumgebung
2008-04-12 08:22 . 2008-04-12 08:53<DIR>dr-h-----C:\Dokumente und Einstellungen\Adi\Anwendungsdaten
2008-04-12 08:22 . 2008-04-12 09:32<DIR>d--------C:\Dokumente und Einstellungen\Adi
2008-04-12 08:22 . 2008-04-12 09:34524,288--ah-----C:\Dokumente und Einstellungen\Adi\NTUSER.DAT_BAK_64680
2008-04-12 08:22 . 2008-04-28 16:351,024--ah-----C:\Dokumente und Einstellungen\Adi\NTUSER.DAT.LOG
2008-04-08 19:18 . 2002-12-11 17:349,728--a--c---C:\WINDOWS\system32\dllcache\npwmsdrm.dll
2008-04-07 14:35 . 2008-04-17 16:11<DIR>d--------C:\Dokumente und Einstellungen\Adrian\Anwendungsdaten\TmpRecentIcon s
2008-04-06 22:19 . 2008-04-06 22:19<DIR>d--------C:\WINDOWS\system32\Cleaner Support
2008-04-06 22:19 . 2008-04-06 22:19<DIR>d--------C:\Programme\Windows Media Components
2008-04-06 22:18 . 2008-04-06 22:18<DIR>d--------C:\Programme\Gemeinsame Dateien\Vbox
2008-04-06 22:16 . 2001-01-26 13:09299,520--a------C:\WINDOWS\uninst.exe
2008-04-06 15:28 . 2007-02-27 18:3624,576--a------C:\WINDOWS\system32\msxml3a.dll
2008-04-06 09:41 . 2008-04-06 09:41<DIR>d--------C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AVS4YOU
2008-04-06 09:41 . 2008-04-06 15:30<DIR>d--------C:\Dokumente und Einstellungen\Adrian\Anwendungsdaten\AVS4YOU
2008-04-06 09:32 . 2008-04-06 09:40<DIR>d--------C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Metacafe
2008-04-06 09:18 . 2008-04-06 20:08<DIR>d--------C:\Programme\Gemeinsame Dateien\AVSMedia
2008-04-06 09:18 . 2007-10-25 11:201,700,352--a------C:\WINDOWS\system32\GdiPlus.dll
2008-04-05 10:27 . 2008-04-05 10:27<DIR>d--------C:\Programme\Postal2
2008-04-05 10:26 . 1999-12-17 10:1386,016--a------C:\WINDOWS\unvise32.exe
2008-04-03 13:38 . 2008-04-03 13:38278,984--a------C:\WINDOWS\system32\drivers\atksgt.sys
2008-04-03 13:38 . 2008-04-03 13:3825,416--a------C:\WINDOWS\system32\drivers\lirsgt.sys
2008-03-28 23:37 . 2008-03-28 23:3790,112--a------C:\WINDOWS\system32\QuickTimeVR.qtx
2008-03-28 23:37 . 2008-03-28 23:3757,344--a------C:\WINDOWS\system32\QuickTime.qts
9 Datei(en) . 13,596,022C:\ComboFix\Bytes
8 Datei(en) . 554,004C:\ComboFix\Bytes
8 Datei(en) . 554,004C:\ComboFix\Bytes
5 Datei(en) . 1,049,790C:\ComboFix\Bytes
1 Datei(en) . 62C:\ComboFix\Bytes

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))) ))))
.
2008-04-28 14:3925,964,320--sha-wC:\WINDOWS\system32\drivers\fidbox.dat
2008-04-28 14:392,210,080--sha-wC:\WINDOWS\system32\drivers\fidbox2.dat
2008-04-28 14:38---------d-----wC:\Dokumente und Einstellungen\Adrian\Anwendungsdaten\Hamachi
2008-04-28 13:24---------d-----wC:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-04-28 13:21355,616--sha-wC:\WINDOWS\system32\drivers\fidbox.idx
2008-04-28 13:21214,316--sha-wC:\WINDOWS\system32\drivers\fidbox2.idx
2008-04-19 08:17---------d--h--wC:\Programme\InstallShield Installation Information
2008-04-19 07:34---------d-----wC:\Programme\ICQ6
2008-04-19 00:5725,088----a-wC:\WINDOWS\system32\userinit.exe
2008-04-18 21:1796,645----a-wC:\WINDOWS\system32\drivers\klin.dat
2008-04-18 21:1787,941----a-wC:\WINDOWS\system32\drivers\klick.dat
2008-04-12 06:56---------d-----wC:\Dokumente und Einstellungen\Adrian\Anwendungsdaten\teamspeak2
2008-04-07 16:2598,304----a-wC:\WINDOWS\DUMP65aa.tmp
2008-04-06 20:21---------d-----wC:\Programme\Gemeinsame Dateien\Adobe
2008-04-02 12:2098,304----a-wC:\WINDOWS\system32\CmdLineExt.dll
2008-03-20 17:50---------d-----wC:\Programme\Microsoft Silverlight
2008-03-15 22:38---------d-----wC:\Dokumente und Einstellungen\Adrian\Anwendungsdaten\ICQ
2008-03-05 14:1821,840----atwC:\WINDOWS\system32\SIntfNT.dll
2008-03-05 14:1817,212----atwC:\WINDOWS\system32\SIntf32.dll
2008-03-05 14:1812,067----atwC:\WINDOWS\system32\SIntf16.dll
2008-03-01 20:4994,208----a-wC:\WINDOWS\DIIUnin.exe
2008-03-01 20:492,829----a-wC:\WINDOWS\DIIUnin.pif
2008-02-03 11:1966,872----a-wC:\WINDOWS\system32\PnkBstrA.exe
2008-02-03 11:19103,736----a-wC:\WINDOWS\system32\PnkBstrB.exe
2008-02-01 09:352,323,072----a-wC:\WINDOWS\system32\TUKernel.exe
2008-01-29 10:02107,368----a-wC:\WINDOWS\system32\GEARAspi.dll
2007-08-19 07:2114----a-wC:\Dokumente und Einstellungen\Adrian\getfile.dat
2007-03-14 11:3414----a-wC:\Dokumente und Einstellungen\Administrator\getfile.dat
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"AVP"="C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" [2007-06-20 13:04 218376]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-06-01 17:22 7618560]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 00:57 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\policies\system]
"DisableCAD"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\policies\explorer]
"NoDesktopCleanupWizard"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\policies\explorer]
"NoSMHelp"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\cur rentversion\policies\explorer]
"NoSMHelp"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=C:\PROGRA~1\KASPER~1\KASPER~1.0\adi alhk.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.iv41"= ir41_32.dll

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\run-]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\run-]
"DAEMON Tools"="C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
"InCD"=C:\Programme\Nero 7\InCD\InCD.exe
"NvMediaCenter"=RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
"NeroFilterCheck"=C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_0 3\bin\jusched.exe"
"nwiz"=nwiz.exe /install
"VC8Player"=I:\Programme\Virtual CD\System\VC8Play.exe
"PKR Pal"="H:\Spiele\PKR\pkrpal.exe" -osboot
"NvCplDaemon"=RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
"Adobe Reader Speed Launcher"="C:\Programme\AcrobatReader\Reader\Reade r_sl.exe"
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" -atboottime

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile]
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"H:\\Spiele\\Breed\\Run\\Breed.exe"=
"H:\\Spiele\\CSS an Sven (Sven)\\hl2.exe"=
"H:\\Spiele\\CSS an Sven (Sven)\\srcds.exe"=
"C:\\Programme\\Sony\\Station\\LaunchPad\\LaunchPa d.exe"=
"H:\\Spiele\\Command & Conquer\\3 - Tiberian Sun\\PATCHGET.DAT"=
"H:\\Spiele\\TrackMania United\\TmUnited.exe"=
"H:\\Spiele\\Battle Realms\\Battle_Realms_F.exe"=
"H:\\Spiele\\CS 1.6\\hl.exe"=
"C:\\WINDOWS\\system32\\PnkBstrA.exe"=
"C:\\WINDOWS\\system32\\PnkBstrB.exe"=
"I:\\Programme\\Hamachi\\hamachi.exe"=
"H:\\Spiele\\S.T.A.L.K.E.R. - Shadow of Chernobyl\\bin\\XR_3DA.exe"=
"H:\\Spiele\\S.T.A.L.K.E.R. - Shadow of Chernobyl\\bin\\dedicated\\XR_3DA.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"H:\\Spiele\\Stronghold\\Stronghold 2 Deluxe\\Stronghold2.exe"=
"I:\\Programme\\itunes\\iTunes.exe"=

R1 vdrv8000;vdrv8000;C:\WINDOWS\system32\DRIVERS\vdrv 8000.sys [2006-04-27 16:32]
R2 PStrip;PSTRIP;C:\WINDOWS\system32\DRIVERS\PSTRIP.S YS [2006-09-30 12:35]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 00:58]
R3 AN983;ADMtek AN983/AN985/ADM951X-10/100-MBit/s-Fast Ethernet-Adapter;C:\WINDOWS\system32\DRIVERS\AN983.sys [2004-08-03 23:31]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2007-04-04 14:58]
S3 avmeject;AVM Eject;C:\WINDOWS\system32\drivers\avmeject.sys [2006-12-28 01:02]
S3 FWLANUSB;AVM FRITZ!WLAN;C:\WINDOWS\system32\DRIVERS\fwlanusb.sy s [2006-12-28 01:02]
S3 HHCDHelp.sys;HHCDHelp.sys;C:\WINDOWS\system32\driv ers\HHCDHelp.sys [2006-04-25 17:20]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\M]
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe MS32DLL.dll.vbs

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{6f0894f6-7af1-11dc-8e68-000b2b0be554}]
\Shell\AutoRun\command - L:\pushinst.exe

*Newly Created Service* - CATCHME
.
Inhalt des "geplante Tasks" Ordners
"2008-04-28 14:02:24 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- I:\Programme\TuU\SystemOptimizer.exe
.
************************************************** ************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, https://www.gmer.net
Rootkit scan 2008-04-28 16:39:27
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

************************************************** ************************
.
Zeit der Fertigstellung: 2008-04-28 16:41:06
ComboFix-quarantined-files.txt 2008-04-28 14:41:02

9 Verzeichnis(se), 300,355,584 Bytes frei
12 Verzeichnis(se), 2,038,857,728 Bytes frei

202

tja, auch wenn er viel findet.
mein problem ist immer noch nicht weg.
wenn es auch inzwischen sehr viel länger dauert bis es auftritt....

sorry, aber die erste anweisung hab ich nicht verstanden....

Bitdefender kann nicht durchlaufen, weil die internetverebindung nicht lang genug offen bleib.
was auf mein problem zurrückzuführen ist.


hier erstmal der windows scan:
Die 30 neuesten Dateien im Ordner Windows:

***** ***** ***** ***** *****
***** Scanning C:\WINDOWS *****
***** ***** ***** ***** *****

30.04.2008 0.log 23 39:0
30.04.2008 wiadebug.log 23 39:159
30.04.2008 wiaservc.log 23 39:50
30.04.2008 bootstat.dat 23 37:2.048
30.04.2008 SchedLgU.Txt 14 24:32.542
28.04.2008 setupapi.log 20 58:8.100
28.04.2008 system.ini 16 39:227
28.04.2008 wmsetup.log 14 29:1.439
27.04.2008 NeroDigital.ini 10 00:69
08.04.2008 WMSysPr9.prx 19 18:316.640
07.04.2008 DUMP65aa.tmp 18 25:98.304
05.04.2008 mozver.dat 23 49:2.436
22.03.2008 civ.ini 00 51:184
22.03.2008 win.ini 00 51:617
01.03.2008 DIIUnin.dat 23 54:30.844
01.03.2008 DIIUnin.pif 22 49:2.829
01.03.2008 DIIUnin.exe 22 49:94.208
03.02.2008 PowerReg.dat 00 05:0
09.01.2008 bdoscandellang.ini 15 01:453
09.01.2008 bdoscandel.exe 15 01:53.248
09.11.2007 SFIWIN.INI 21 05:697
09.11.2007 SFIALARM.INI 18 02:90
24.10.2007 hash.dat 00 37:32
11.09.2007 PhotoSnapViewer.INI 22 19:151
30.04.2007 d3dx.dat 20 24:4.096
09.03.2007 nsreg.dat 19 28:0
08.03.2007 REGLOCS.OLD 15 44:8.192

tja, dann wahrscheinlich auch vom ballast, den ich behalten möchte.
ausserdem hab ich guten grund zu glauben, dass es im Bootsektor und somit auch formatieren nichts bringt......

ok, ich hab mir mal mit dem link unten den "eeyebootroot" geladen.
nur weiß ich jetzt leider auch nicht was ich damit anfangen soll....

Oooooppppsss sorry, mein fehler.
aber wenn ich das einfach im "cmd" eingebe sagt der mit ich hätte es irgenwie falsch geschrieben.
er kenne den befehl nicht. was also tun?
wie gesagt hab ich dieses eine programm runtergeladen, weiß aber auch damit nichts anzufangen.

aha, und wo is die?

wenn ich auf "hilfe und Support" klicke sagt der mir das "helpctr" fehlt und das ganze deswegen nicht gestartet werden kann.

so ok,
ich hab immer noch mein problem.
ich bin dringend auf eure hilfe angewiesen und bisher hat mir das viren-scannen nicht sehr viel gebracht.
wie schon gesagt, hat sich nach dem malwarebytes und dem ccleaner die durchschnittszeit bis zum eintritt des auf der 1. seite beschriebenen problems stark erhöht.
wenn sich jemand darauf einen reim machen kann, wär es nett, wenn er/sie es uns mitteilen könnte.
ich hab außerdem gleichzeitig ein bissle bei google gestöbert und scheinbar hat niemand auf der großen weiten welt das gleiche problem hat. wenn dann vllt en änliches, was dann wiederrum auf andere ursachen, die bei mir (eigentlich) ausgeschlossen sind, zurrückzuführen sind.

tja, ganz einfach. ich müsste so viele daten sichern, dass ich gänzlich nicht sagen kann wo, der virus (oder was auch immer) genau ist.
und bevor ich alles platt mache, würde ich schon gern wissen wo er ist, damit ich ihn ggf. ohne neuinstallation entfernen kann.
wenn ich pech hab, ist er sowieso im boot, sodass auch die neuinstallation nicht bringen würden.

ok, zu der ereignissanzeige, hab ich was interessantes.
der zeigt mir (bei system) 27 fehlermeldungen in einer zeitspanne von einer sekunde. der eintrag war unter dem 9. sprich gestern. und es gab um die zeit tatsächlich einen autritt des "problems"
quelle ist bei allen der "service control manager". der hat nach den etwa 27 fehler-einträgen noch 2 informations-einträge und kurze zeit danach. direkt danach kommt eine information von "eventlog" und es folgen noch 2 eine minute später.
so tritt das immerwieder auf im systemeintrag.
ich werde das überprüfen......

auftreten tut es scheinbar nur, wenn ich irgendwas mit dem internett mache, sprich wenn ich mit dem dsl vom htp verbunden bleibe. der schaltet sich bekanntlich nach einiger zeit ab, wenn er nicht benutzt wird. dann kann ich auch solange "Verbunden" bleiben, wie ich will.

ich habe einen router. und im keller einen spltter....