Hi,

vor kurzem hatte ich das Problem, dass ich beim anklicken von links oder eingeben von url's auf andere seiten weitergeleitet wurde. daraufhin hat antivir einen trojaner gefunden (name leider vergessen) den ich entfernt habe. eigentlich lief danach wieder alles normal und ich habe mir keine sorgen gemacht, heute trat das Phänomen aber wieder auf. Ein kompletter Scan hat nichts ergeben.

Nun habe ich diesen Thread gelesen und mache mir ernsthaft sorgen...
http://www.trojaner-board.de/74332-falsche-internetseiten-werden-geoeffnet.html

Ich habe HijackThis runtergeladen und wollte das HJ-file posten, aber ich kann das programm nicht öffen (auch nicht im abgesicherten modus). Gibt es noch eine andere Möglichkeit ein HJ-file zu erstellen?

BS: Windows Vista Basic
Virenprogramm: AntiVir Professional

Danke für eure Hilfe

Hi,

versuche HJ umzubennen z. B. auf test.com...

Sonst:
RSIT
Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile.
Lade Random's System Information Tool (RSIT) herunter http://filepony.de/download-rsit/
speichere es auf Deinem Desktop.
Starte mit Doppelklick die RSIT.exe.
Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren.
In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept".
Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen.
Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread

Was passiert wenn Du versuchst MAM zu installieren und zu starten?
Malwarebytes Antimalware (MAM).
Anleitung&Download hier: http://www.trojaner-board.de/51187-malwarebytes-anti-malware.html
Fullscan und alles bereinigen lassen! Log posten.
Alternativer Download: http://filepony.de/download-malwarebytes_anti_malware/, http://www.gt500.org/malwarebytes/mbam.jsp

Gmer:
http://www.trojaner-board.de/74908-anleitung-gmer-rootkit-scanner.html
Den Downloadlink findest Du links oben (www.gmer.net/files), dort dann
auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken).
Starte GMER und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein.

chris

Hallo Chris4you,

vielen Dank für die schnelle Antwort. Das Umbenennen hat geklappt. Ich glaube Antivir hatte die Installation blockiert.


Das ist mein HJ-File:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:28:26, on 22.06.2009
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16386)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Lion\Lion.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Users\amueller\AppData\Local\Google\Update\GoogleUpdate.exe
C:\Windows\system32\taskeng.exe
C:\Users\amueller\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Users\amueller\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Program Files\Mozilla Thunderbird\thunderbird.exe
C:\Users\amueller\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Program Files\Last.fm\LastFM.exe
C:\Users\amueller\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Program Files\Capture-A-ScreenShot\Capture-A-ScreenShot.exe
C:\Program Files\Microsoft Office\OFFICE11\EXCEL.EXE
C:\Users\amueller\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Program Files\Trend Micro\HijackThis\test.com.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?

LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6

\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6

\bin\jp2ssv.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [Lion] "C:\Program Files\Lion\Lion.exe"
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [Google Update] "C:\Users\amueller\AppData\Local\Google\Update\GoogleUpdate.exe" /c
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER

DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11

\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11

\REFIEBAR.DLL
O13 - Gopher Prefix:
O15 - Trusted Zone: *.registration.sonystyle-europe.com (HKLM)
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) -

http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} -

http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{175723C1-79B4-4B75-886B-7624A3107214}: NameServer =

85.255.112.79,85.255.112.213
O17 - HKLM\System\CCS\Services\Tcpip\..\{23701ABC-4500-4D5A-AC27-E0ACC125DA56}: NameServer =

85.255.112.79,85.255.112.213
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.79,85.255.112.213
O17 - HKLM\System\CS1\Services\Tcpip\..\{175723C1-79B4-4B75-886B-7624A3107214}: NameServer =

85.255.112.79,85.255.112.213
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.79,85.255.112.213
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir MailGuard (AntiVirMailService) - Avira GmbH - C:\Program Files\Avira\AntiVir

Desktop\avmailc.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir

Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir

Desktop\avguard.exe
O23 - Service: Avira AntiVir WebGuard (AntiVirWebService) - Avira GmbH - C:\Program Files\Avira\AntiVir

Desktop\AVWEBGRD.EXE

--
End of file - 5080 bytes

Diese Einträge beenden wahrscheinlich jegliche weiteren Versuche das system zu retten oder?!

O17 - HKLM\System\CCS\Services\Tcpip\..\{175723C1-79B4-4B75-886B-7624A3107214}: NameServer =

85.255.112.79,85.255.112.213
O17 - HKLM\System\CCS\Services\Tcpip\..\{23701ABC-4500-4D5A-AC27-E0ACC125DA56}: NameServer =

85.255.112.79,85.255.112.213
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.79,85.255.112.213
O17 - HKLM\System\CS1\Services\Tcpip\..\{175723C1-79B4-4B75-886B-7624A3107214}: NameServer =

85.255.112.79,85.255.112.213
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.79,85.255.112.213


Zumindest war es in einem anderen Thread so

Falls ich nicht recht haben sollte folge ich natürlich gern deinen anderen Anweisungen.

Vielleicht noch ein paar allgemeine Fragen: Ich hänge mit mehreren Rechner an einer externen Festplatte als "Server" dran. Besteht Gefahr das diese auch verseucht ist? Welche Gefahr besteht für das Online Banking, welches ich in den letzten Tagen noch durchgeführt habe?

Danke dir für die Infos und Hilfe

VG aus Berlin

Hi,

sofort das Bankkonto sperren lassen.
Deine gesamte Internetverbindung wird in die Ukraine umgeleitet!

Ob es zu retten ist, sehen wir noch (ist erstmal "nur" ein DNS-Changer);

Sofort bitte das beschriebene weitere Vorgehen abfahren (RSIT, dann MAM und zuletzt Gmer);
Dann sehen wir weiter!

chris

puh das ist ja eine schlechte Nachricht :-( erstmal danke für die schnelle und kompetente Hilfe. Ich frage mich, wie ich mir sowas einfangen konnte....
Ich habe ehrlich noch Angst, dass sich die malware ohne mein zutun auch auf andere Systeme ausbreiten kann!?

ok zu deinen Anweisungen:

1) Konten sind gesperrt
2) rsit:

info.txt logfile of random's system information tool 1.06 2009-06-22 19:34:50

======Uninstall list======

Avira AntiVir Professional-->C:\Program Files\Avira\AntiVir Desktop\setup.exe /REMOVE
Capture-A-ScreenShot-->"C:\Program Files\Capture-A-ScreenShot\unins000.exe"
DocuCom PDF Gold 8.1-->MsiExec.exe /I{A0CCCBC7-8B52-439F-89D8-91535859C9BB}
HijackThis 2.0.2-->"C:\Program Files\Trend Micro\HijackThis\HijackThis.exe" /uninstall
Java(TM) 6 Update 13-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216012FF}
Last.fm 1.5.4.24567-->"C:\Program Files\Last.fm\unins000.exe"
Lion 3.0.2-->"C:\Program Files\Lion\unins000.exe"
Microsoft Office Small Business Edition 2003-->MsiExec.exe /I{91CA0407-6000-11D3-8CFE-0150048383C9}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}
Mozilla Thunderbird (2.0.0.21)-->C:\Program Files\Mozilla Thunderbird\uninstall\helper.exe
Palm Desktop-->MsiExec.exe /X{E89D78B8-28F7-412F-8B26-C684739CBBDC}
PocketMirror (Standard Trial Edition) 4.3.0-->"C:\Program Files\Chapura\PocketMirror\unins000.exe"
Skype™ 4.0-->MsiExec.exe /X{24D753CA-6AE9-4E30-8F5F-EFC93E08BF3D}
SoulSeek 157 NS 13c-->"C:\Program Files\SoulseekNS\uninstall.exe"
VLC media player 0.9.8a-->C:\Program Files\VideoLAN\VLC\uninstall.exe
WinRAR-->C:\Program Files\WinRAR\uninstall.exe
WinSCP 3.8 beta-->"C:\Program Files\WinSCP3\unins000.exe"
XnView 1.96-->"C:\Program Files\XnView\unins000.exe"

======Security center information======

AV: AntiVir Desktop
AS: Windows-Defender (outdated)
AS: AntiVir Desktop

======System event log======

Computer Name: amueller-PC
Event Code: 104
Message: Der Dienst veröffentlicht in das Netzwerk.
Record Number: 15599
Source Name: Microsoft-Windows-ResourcePublication
Time Written: 20090622153342.969328-000
Event Type: Informationen
User: NT-AUTORITÄT\LOKALER DIENST

Computer Name: amueller-PC
Event Code: 7036
Message: Dienst "Volumeschattenkopie" befindet sich jetzt im Status "Beendet".
Record Number: 15600
Source Name: Service Control Manager
Time Written: 20090622153849.000000-000
Event Type: Informationen
User:

Computer Name: amueller-PC
Event Code: 7036
Message: Dienst "Microsoft-Softwareschattenkopie-Anbieter" befindet sich jetzt im Status "Beendet".
Record Number: 15601
Source Name: Service Control Manager
Time Written: 20090622154149.000000-000
Event Type: Informationen
User:

Computer Name: amueller-PC
Event Code: 7036
Message: Dienst "WinHTTP-Web Proxy Auto-Discovery-Dienst" befindet sich jetzt im Status "Beendet".
Record Number: 15602
Source Name: Service Control Manager
Time Written: 20090622154229.000000-000
Event Type: Informationen
User:

Computer Name: amueller-PC
Event Code: 4226
Message: TCP/IP hat das Sicherheitslimit erreicht, das für die Anzahl gleichzeitiger TCP-Verbindungsversuche festgelegt wurde.
Record Number: 15603
Source Name: Tcpip
Time Written: 20090622162420.477328-000
Event Type: Warnung
User:

=====Application event log=====

Computer Name: amueller-PC
Event Code: 8210
Message: Der geplante Wiederherstellungspunkt konnte nicht erstellt werden. Zusätzliche Informationen: (0x81000109).
Record Number: 1941
Source Name: System Restore
Time Written: 20090622152401.000000-000
Event Type: Fehler
User:

Computer Name: amueller-PC
Event Code: 8224
Message: Der VSS-Dienst wird aufgrund eines Leerlaufzeitlimits heruntergefahren.
Record Number: 1942
Source Name: VSS
Time Written: 20090622153849.000000-000
Event Type: Informationen
User:

Computer Name: amueller-PC
Event Code: 4120
Message: AntiVir hat auf Computer AMUELLER-PC (192.168.255.40) ein Update geladen und installiert!
Aktualisierte Dateien:
antivir3.vdf 7.1.4.125;
Record Number: 1943
Source Name: Avira AntiVir
Time Written: 20090622154547.000000-000
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

Computer Name: amueller-PC
Event Code: 4120
Message: AntiVir hat auf Computer AMUELLER-PC (192.168.255.40) ein Update geladen und installiert!
Aktualisierte Dateien:
webcat1.dat; webcat2.dat;
webcat3.dat; webcat4.dat;

Record Number: 1944
Source Name: Avira AntiVir
Time Written: 20090622164540.000000-000
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

Computer Name: amueller-PC
Event Code: 4113
Message: AntiVir erkannte in der Datei C:\Program Files\Trend Micro\HijackThis\test.com.exe verdächtigen Code mit der Bezeichnung 'HIDDENEXT/Crypted'!
Record Number: 1945
Source Name: Avira AntiVir
Time Written: 20090622173436.000000-000
Event Type: Warnung
User: NT-AUTORITÄT\SYSTEM

=====Security event log=====

Computer Name: amueller-PC
Event Code: 5032
Message: Der Windows-Firewalldienst konnte den Benutzer nicht darüber benachrichtigen, dass eine Anwendung blockiert wurde und keine eingehenden Verbindungen im Netzwerk annehmen kann.

Fehlercode: 2
Record Number: 6824
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090622153050.068328-000
Event Type: Überwachung gescheitert
User:

Computer Name: amueller-PC
Event Code: 5032
Message: Der Windows-Firewalldienst konnte den Benutzer nicht darüber benachrichtigen, dass eine Anwendung blockiert wurde und keine eingehenden Verbindungen im Netzwerk annehmen kann.

Fehlercode: 2
Record Number: 6825
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090622153050.068328-000
Event Type: Überwachung gescheitert
User:

Computer Name: amueller-PC
Event Code: 5032
Message: Der Windows-Firewalldienst konnte den Benutzer nicht darüber benachrichtigen, dass eine Anwendung blockiert wurde und keine eingehenden Verbindungen im Netzwerk annehmen kann.

Fehlercode: 2
Record Number: 6826
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090622153334.981328-000
Event Type: Überwachung gescheitert
User:

Computer Name: amueller-PC
Event Code: 5032
Message: Der Windows-Firewalldienst konnte den Benutzer nicht darüber benachrichtigen, dass eine Anwendung blockiert wurde und keine eingehenden Verbindungen im Netzwerk annehmen kann.

Fehlercode: 2
Record Number: 6827
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090622153334.981328-000
Event Type: Überwachung gescheitert
User:

Computer Name: amueller-PC
Event Code: 5032
Message: Der Windows-Firewalldienst konnte den Benutzer nicht darüber benachrichtigen, dass eine Anwendung blockiert wurde und keine eingehenden Verbindungen im Netzwerk annehmen kann.

Fehlercode: 2
Record Number: 6828
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090622153334.981328-000
Event Type: Überwachung gescheitert
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
"PROCESSOR_ARCHITECTURE"=x86
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"USERNAME"=SYSTEM
"windir"=%SystemRoot%
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 14 Stepping 12, GenuineIntel
"PROCESSOR_REVISION"=0e0c
"NUMBER_OF_PROCESSORS"=2

-----------------EOF-----------------

Logfile of random's system information tool 1.06 (written by random/random)
Run by amueller at 2009-06-22 19:34:36
Microsoft® Windows Vista™ Home Basic
System drive C: has 47 GB (60%) free of 79 GB
Total RAM: 2037 MB (53% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:34:49, on 22.06.2009
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16386)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Lion\Lion.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Users\amueller\AppData\Local\Google\Update\GoogleUpdate.exe
C:\Windows\system32\taskeng.exe
C:\Users\amueller\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Users\amueller\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Program Files\Mozilla Thunderbird\thunderbird.exe
C:\Users\amueller\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Program Files\Last.fm\LastFM.exe
C:\Program Files\Capture-A-ScreenShot\Capture-A-ScreenShot.exe
C:\Program Files\Microsoft Office\OFFICE11\EXCEL.EXE
C:\Program Files\Lion\browser.exe
C:\Program Files\Zeon\DocuCom\PDF Gold 8\bin\PDFPlus.exe
C:\Users\amueller\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\amueller\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\amueller\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\amueller\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\amueller\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\amueller\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\amueller\Documents\Downloads\RSIT.exe
C:\Program Files\Trend Micro\HijackThis\amueller.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [Lion] "C:\Program Files\Lion\Lion.exe"
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [Google Update] "C:\Users\amueller\AppData\Local\Google\Update\GoogleUpdate.exe" /c
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O13 - Gopher Prefix:
O15 - Trusted Zone: *.registration.sonystyle-europe.com (HKLM)
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{175723C1-79B4-4B75-886B-7624A3107214}: NameServer = 85.255.112.79,85.255.112.213
O17 - HKLM\System\CCS\Services\Tcpip\..\{23701ABC-4500-4D5A-AC27-E0ACC125DA56}: NameServer = 85.255.112.79,85.255.112.213
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.79,85.255.112.213
O17 - HKLM\System\CS1\Services\Tcpip\..\{175723C1-79B4-4B75-886B-7624A3107214}: NameServer = 85.255.112.79,85.255.112.213
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.79,85.255.112.213
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir MailGuard (AntiVirMailService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avmailc.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Avira AntiVir WebGuard (AntiVirWebService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\AVWEBGRD.EXE

--
End of file - 5501 bytes

======Scheduled tasks folder======

C:\Windows\tasks\GoogleUpdateTaskUserS-1-5-21-1455154888-4151250377-1015525046-1000.job
C:\Windows\tasks\{5B57CF47-0BFA-43c6-ACF9-3B3653DCADBA}.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
Java(tm) Plug-In SSV Helper - C:\Program Files\Java\jre6\bin\ssv.dll [2009-03-09 320920]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper - C:\Program Files\Java\jre6\bin\jp2ssv.dll [2009-03-09 35840]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"=C:\Program Files\Windows Defender\MSASCui.exe [2006-11-02 1004136]
"SunJavaUpdateSched"=C:\Program Files\Java\jre6\bin\jusched.exe [2009-03-09 148888]
"avgnt"=C:\Program Files\Avira\AntiVir Desktop\avgnt.exe [2009-06-19 209153]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Lion"=C:\Program Files\Lion\Lion.exe [2009-02-09 227429]
"WMPNSCFG"=C:\Program Files\Windows Media Player\WMPNSCFG.exe [2006-11-02 201728]
"Google Update"=C:\Users\amueller\AppData\Local\Google\Update\GoogleUpdate.exe [2009-01-25 133104]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Update]
C:\Users\amueller\AppData\Local\Google\Update\GoogleUpdate.exe [2009-01-25 133104]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
C:\Program Files\Skype\Phone\Skype.exe [2009-02-04 23975720]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WMPNSCFG]
C:\Program Files\Windows Media Player\WMPNSCFG.exe [2006-11-02 201728]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"EnableLUA"=0
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

======List of files/folders created in the last 1 months======

2009-06-22 19:34:36 ----D---- C:\rsit
2009-06-22 13:48:25 ----A---- C:\Windows\ntbtlog.txt
2009-06-22 13:05:21 ----D---- C:\Program Files\Trend Micro
2009-06-19 15:58:14 ----D---- C:\Users\amueller\AppData\Roaming\Avira
2009-06-19 15:52:25 ----D---- C:\ProgramData\Avira
2009-06-19 15:52:25 ----D---- C:\Program Files\Avira
2009-06-19 14:02:19 ----D---- C:\Users\amueller\AppData\Roaming\AntiVir Workstation
2009-06-19 14:01:26 ----A---- C:\Windows\system32\avsda.dll
2009-06-19 14:01:23 ----D---- C:\ProgramData\AntiVir Workstation
2009-06-19 14:01:23 ----D---- C:\Program Files\AntiVir Workstation

======List of files/folders modified in the last 1 months======

2009-06-22 19:34:49 ----D---- C:\Windows\Temp
2009-06-22 19:34:49 ----D---- C:\Windows\Prefetch
2009-06-22 14:30:05 ----D---- C:\Program Files\Capture-A-ScreenShot
2009-06-22 13:55:48 ----D---- C:\Windows\System32
2009-06-22 13:55:48 ----A---- C:\Windows\system32\PerfStringBackup.INI
2009-06-22 13:55:47 ----D---- C:\Windows\inf
2009-06-22 13:48:25 ----D---- C:\Windows
2009-06-22 13:05:21 ----RD---- C:\Program Files
2009-06-19 16:22:05 ----D---- C:\Windows\SoftwareDistribution
2009-06-19 15:52:45 ----D---- C:\Windows\system32\drivers
2009-06-19 15:52:25 ----HD---- C:\ProgramData
2009-06-19 15:39:59 ----HD---- C:\Config.Msi
2009-06-19 15:39:58 ----D---- C:\Windows\winsxs
2009-06-19 15:39:38 ----SHD---- C:\Windows\Installer
2009-06-19 15:39:34 ----D---- C:\Program Files\Common Files\microsoft shared
2009-06-19 15:18:33 ----D---- C:\Windows\Tasks
2009-06-19 15:15:26 ----D---- C:\Program Files\Common Files
2009-06-19 15:15:21 ----D---- C:\ProgramData\Adobe
2009-06-17 10:42:55 ----SHD---- C:\System Volume Information
2009-06-08 15:07:40 ----D---- C:\Windows\system32\Tasks

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 avgio;avgio; \??\C:\Program Files\Avira\AntiVir Desktop\avgio.sys [2009-06-19 11608]
R1 avipbb;avipbb; C:\Windows\system32\DRIVERS\avipbb.sys [2009-06-19 96104]
R1 ssmdrv;ssmdrv; C:\Windows\system32\DRIVERS\ssmdrv.sys [2009-06-19 28520]
R2 avgntflt;avgntflt; C:\Windows\system32\DRIVERS\avgntflt.sys [2009-06-19 55640]
R3 AgereSoftModem;Agere Systems-Softmodem; C:\Windows\system32\DRIVERS\AGRSM.sys [2006-11-02 983552]
R3 CmBatt;Treiber für Microsoft-ACPI-Kontrollmethodenkompatible Batterie; C:\Windows\system32\DRIVERS\CmBatt.sys [2006-11-02 14208]
R3 E100B;Intel(R) PRO-Adaptertreiber; C:\Windows\system32\DRIVERS\e100b325.sys [2006-11-02 163328]
R3 HdAudAddService;Microsoft 1.1 UAA-Funktionstreiber für High Definition Audio-Dienst; C:\Windows\system32\drivers\HdAudio.sys [2006-11-02 235520]
R3 HdAudAddService;Microsoft 1.1 UAA-Funktionstreiber für High Definition Audio-Dienst; C:\Windows\system32\drivers\HdAudio.sys [2006-11-02 235520]
R3 ialm;ialm; C:\Windows\system32\DRIVERS\igdkmd32.sys [2006-10-19 1380864]
R3 NETw3v32;Intel(R) PRO/Wireless 3945ABG-Adaptertreiber für Windows Vista 32 Bit; C:\Windows\system32\DRIVERS\NETw3v32.sys [2006-11-02 1781760]
R3 sdbus;sdbus; C:\Windows\system32\DRIVERS\sdbus.sys [2006-11-02 82432]
S3 drmkaud;Microsoft Kernel-DRM-Audioentschlüsselung; C:\Windows\system32\drivers\drmkaud.sys [2006-11-02 5632]
S3 MSKSSRV;Microsoft Streaming Service Proxy; C:\Windows\system32\drivers\MSKSSRV.sys [2006-11-02 8192]
S3 MSPCLOCK;Microsoft Proxy für Streaming Clock; C:\Windows\system32\drivers\MSPCLOCK.sys [2006-11-02 5888]
S3 MSPQM;Microsoft Proxy für Streaming Quality Manager; C:\Windows\system32\drivers\MSPQM.sys [2006-11-02 5504]
S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\Windows\system32\drivers\MSTEE.sys [2006-11-02 6016]
S3 PalmUSBD;PalmUSBD; C:\Windows\system32\drivers\PalmUSBD.sys []
S3 WUDFRd;WUDFRd; C:\Windows\system32\DRIVERS\WUDFRd.sys [2006-11-02 82560]
S4 WmiAcpi;Microsoft Windows Management Interface for ACPI; C:\Windows\system32\drivers\wmiacpi.sys [2006-11-02 11264]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AntiVirMailService;Avira AntiVir MailGuard; C:\Program Files\Avira\AntiVir Desktop\avmailc.exe [2009-06-19 194817]
R2 AntiVirSchedulerService;Avira AntiVir Planer; C:\Program Files\Avira\AntiVir Desktop\sched.exe [2009-06-19 108289]
R2 AntiVirService;Avira AntiVir Guard; C:\Program Files\Avira\AntiVir Desktop\avguard.exe [2009-06-19 185089]
R2 AntiVirWebService;Avira AntiVir WebGuard; C:\Program Files\Avira\AntiVir Desktop\AVWEBGRD.EXE [2009-06-19 434945]
S3 ose;Office Source Engine; C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE [2003-07-28 89136]

-----------------EOF-----------------

3) Malwarebytes: konnte ich ebenfalls erst nach Umbennung starten, so wie bei HJ-This...

log:Malwarebytes' Anti-Malware 1.38
Datenbank Version: 2297
Windows 6.0.6000

22.06.2009 20:31:27
mbam-log-2009-06-22 (20-31-27).txt

Scan-Methode: Vollständiger Scan (C:\|F:\|)
Durchsuchte Objekte: 152779
Laufzeit: 27 minute(s), 7 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 9
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\ColdWare (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\gxvxc (Rootkit.Agent) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.79,85.255.112.213 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{175723c1-79b4-4b75-886b-7624a3107214}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.79,85.255.112.213 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{23701abc-4500-4d5a-ac27-e0acc125da56}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.79,85.255.112.213 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.79,85.255.112.213 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{175723c1-79b4-4b75-886b-7624a3107214}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.79,85.255.112.213 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{23701abc-4500-4d5a-ac27-e0acc125da56}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.79,85.255.112.213 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.79,85.255.112.213 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\Interfaces\{175723c1-79b4-4b75-886b-7624a3107214}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.79,85.255.112.213 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\Interfaces\{23701abc-4500-4d5a-ac27-e0acc125da56}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.79,85.255.112.213 -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\Windows\Tasks\{5B57CF47-0BFA-43c6-ACF9-3B3653DCADBA}.job (Trojan.FakeAlert) -> Quarantined and deleted successfully.


4) gmer: bei dem link der downloadlink ging nicht auf anhieb. ich glaube da fehlt noch die raute --> http://www.gmer.net/#files

log:

GMER 1.0.15.14972 - http://www.gmer.net
Rootkit scan 2009-06-22 20:51:35
Windows 6.0.6000


---- System - GMER 1.0.15 ----

Code 86935388 ZwEnumerateKey
Code 869377E8 ZwFlushInstructionCache
Code 8693ADB5 IofCallDriver
Code 86933CCE IofCompleteRequest

---- Services - GMER 1.0.15 ----

Service C:\Windows\system32\drivers\gxvxcuhtidsxaorltqspnitgwwxiqdnwffslb.sys (*** hidden *** ) [SYSTEM] gxvxcserv.sys <-- ROOTKIT !!!

---- EOF - GMER 1.0.15 ----


log nach scan:
GMER 1.0.15.14972 - http://www.gmer.net
Rootkit scan 2009-06-22 21:07:33
Windows 6.0.6000


---- System - GMER 1.0.15 ----

SSDT 8C46C6D4 ZwCreateThread
SSDT 8C46C6C0 ZwOpenProcess
SSDT 8C46C6C5 ZwOpenThread
SSDT 8C46C6CF ZwTerminateProcess

Code 86935388 ZwEnumerateKey
Code 869377E8 ZwFlushInstructionCache
Code 8693ADB5 IofCallDriver
Code 86933CCE IofCompleteRequest

---- Kernel code sections - GMER 1.0.15 ----

.text ntoskrnl.exe!_alloca_probe + 164 818561B4 4 Bytes [D4, C6, 46, 8C]
.text ntoskrnl.exe!_alloca_probe + 334 81856384 4 Bytes [C0, C6, 46, 8C]
.text ntoskrnl.exe!_alloca_probe + 350 818563A0 4 Bytes [C5, C6, 46, 8C]
.text ntoskrnl.exe!_alloca_probe + 574 818565C4 4 Bytes [CF, C6, 46, 8C]
.text ntoskrnl.exe!IofCallDriver 81867C65 5 Bytes JMP 8693ADBA
.text ntoskrnl.exe!IofCompleteRequest 81867CD2 5 Bytes JMP 86933CD3
PAGE ntoskrnl.exe!ZwFlushInstructionCache 819A910C 5 Bytes JMP 869377EC
PAGE ntoskrnl.exe!ZwEnumerateKey 819F0F94 5 Bytes JMP 8693538C
? system32\drivers\jehs.sys Das System kann den angegebenen Pfad nicht finden. !

---- User code sections - GMER 1.0.15 ----

.text C:\Users\amueller\AppData\Local\Google\Chrome\Application\chrome.exe[2464] ntdll.dll!NtCreateFile + 6 775FF41A 4 Bytes [28, 00, 05, 00]
.text C:\Users\amueller\AppData\Local\Google\Chrome\Application\chrome.exe[2464] ntdll.dll!NtCreateFile + B 775FF41F 1 Byte [E2]
.text C:\Users\amueller\AppData\Local\Google\Chrome\Application\chrome.exe[2464] ntdll.dll!NtOpenFile + 6 775FFBFA 4 Bytes [68, 00, 05, 00]
.text C:\Users\amueller\AppData\Local\Google\Chrome\Application\chrome.exe[2464] ntdll.dll!NtOpenFile + B 775FFBFF 1 Byte [E2]
.text C:\Users\amueller\AppData\Local\Google\Chrome\Application\chrome.exe[2464] ntdll.dll!NtOpenProcess + 6 775FFC7A 4 Bytes [A8, 01, 05, 00]
.text C:\Users\amueller\AppData\Local\Google\Chrome\Application\chrome.exe[2464] ntdll.dll!NtOpenProcess + B 775FFC7F 1 Byte [E2]
.text C:\Users\amueller\AppData\Local\Google\Chrome\Application\chrome.exe[2464] ntdll.dll!NtOpenProcessToken + 6 775FFC8A 4 Bytes CALL 76600190 C:\Windows\system32\RPCRT4.dll (Remoteprozeduraufruf-Laufzeitumgebung/Microsoft Corporation)
.text C:\Users\amueller\AppData\Local\Google\Chrome\Application\chrome.exe[2464] ntdll.dll!NtOpenProcessToken + B 775FFC8F 1 Byte [E2]
.text C:\Users\amueller\AppData\Local\Google\Chrome\Application\chrome.exe[2464] ntdll.dll!NtOpenProcessTokenEx + 6 775FFC9A 4 Bytes [A8, 02, 05, 00]
.text C:\Users\amueller\AppData\Local\Google\Chrome\Application\chrome.exe[2464] ntdll.dll!NtOpenProcessTokenEx + B 775FFC9F 1 Byte [E2]
.text C:\Users\amueller\AppData\Local\Google\Chrome\Application\chrome.exe[2464] ntdll.dll!NtOpenThread + 6 775FFCEA 4 Bytes [68, 01, 05, 00]
.text C:\Users\amueller\AppData\Local\Google\Chrome\Application\chrome.exe[2464] ntdll.dll!NtOpenThread + B 775FFCEF 1 Byte [E2]
.text C:\Users\amueller\AppData\Local\Google\Chrome\Application\chrome.exe[2464] ntdll.dll!NtOpenThreadToken + 6 775FFCFA 4 Bytes [68, 02, 05, 00]
.text C:\Users\amueller\AppData\Local\Google\Chrome\Application\chrome.exe[2464] ntdll.dll!NtOpenThreadToken + B 775FFCFF 1 Byte [E2]
.text C:\Users\amueller\AppData\Local\Google\Chrome\Application\chrome.exe[2464] ntdll.dll!NtOpenThreadTokenEx + 6 775FFD0A 4 Bytes CALL 76600211 C:\Windows\system32\RPCRT4.dll (Remoteprozeduraufruf-Laufzeitumgebung/Microsoft Corporation)
.text C:\Users\amueller\AppData\Local\Google\Chrome\Application\chrome.exe[2464] ntdll.dll!NtOpenThreadTokenEx + B 775FFD0F 1 Byte [E2]
.text C:\Users\amueller\AppData\Local\Google\Chrome\Application\chrome.exe[2464] ntdll.dll!NtQueryAttributesFile + 6 775FFD9A 4 Bytes [A8, 00, 05, 00]
.text C:\Users\amueller\AppData\Local\Google\Chrome\Application\chrome.exe[2464] ntdll.dll!NtQueryAttributesFile + B 775FFD9F 1 Byte [E2]
.text C:\Users\amueller\AppData\Local\Google\Chrome\Application\chrome.exe[2464] ntdll.dll!NtQueryFullAttributesFile + 6 775FFE4A 4 Bytes CALL 7660034F C:\Windows\system32\RPCRT4.dll (Remoteprozeduraufruf-Laufzeitumgebung/Microsoft Corporation)
.text C:\Users\amueller\AppData\Local\Google\Chrome\Application\chrome.exe[2464] ntdll.dll!NtQueryFullAttributesFile + B 775FFE4F 1 Byte [E2]
.text C:\Users\amueller\AppData\Local\Google\Chrome\Application\chrome.exe[2464] ntdll.dll!NtSetInformationFile + 6 7760036A 4 Bytes [28, 01, 05, 00]
.text C:\Users\amueller\AppData\Local\Google\Chrome\Application\chrome.exe[2464] ntdll.dll!NtSetInformationFile + B 7760036F 1 Byte [E2]
.text C:\Users\amueller\AppData\Local\Google\Chrome\Application\chrome.exe[2464] ntdll.dll!NtSetInformationThread + 6 776003BA 4 Bytes [28, 02, 05, 00]
.text C:\Users\amueller\AppData\Local\Google\Chrome\Application\chrome.exe[2464] ntdll.dll!NtSetInformationThread + B 776003BF 1 Byte [E2]
.text C:\Users\amueller\AppData\Local\Google\Chrome\Application\chrome.exe[3740] ntdll.dll!NtCreateFile + 6 775FF41A 4 Bytes [28, 00, 05, 00]
.text C:\Users\amueller\AppData\Local\Google\Chrome\Application\chrome.exe[3740] ntdll.dll!NtCreateFile + B 775FF41F 1 Byte [E2]
.text C:\Users\amueller\AppData\Local\Google\Chrome\Application\chrome.exe[3740] ntdll.dll!NtOpenFile + 6 775FFBFA 4 Bytes [68, 00, 05, 00]
.text C:\Users\amueller\AppData\Local\Google\Chrome\Application\chrome.exe[3740] ntdll.dll!NtOpenFile + B 775FFBFF 1 Byte [E2]
.text C:\Users\amueller\AppData\Local\Google\Chrome\Application\chrome.exe[3740] ntdll.dll!NtOpenProcess + 6 775FFC7A 4 Bytes [A8, 01, 05, 00]
.text C:\Users\amueller\AppData\Local\Google\Chrome\Application\chrome.exe[3740] ntdll.dll!NtOpenProcess + B 775FFC7F 1 Byte [E2]
.text C:\Users\amueller\AppData\Local\Google\Chrome\Application\chrome.exe[3740] ntdll.dll!NtOpenProcessToken + 6 775FFC8A 4 Bytes CALL 76600190 C:\Windows\system32\RPCRT4.dll (Remoteprozeduraufruf-Laufzeitumgebung/Microsoft Corporation)
.text C:\Users\amueller\AppData\Local\Google\Chrome\Application\chrome.exe[3740] ntdll.dll!NtOpenProcessToken + B 775FFC8F 1 Byte [E2]
.text C:\Users\amueller\AppData\Local\Google\Chrome\Application\chrome.exe[3740] ntdll.dll!NtOpenProcessTokenEx + 6 775FFC9A 4 Bytes [A8, 02, 05, 00]
.text C:\Users\amueller\AppData\Local\Google\Chrome\Application\chrome.exe[3740] ntdll.dll!NtOpenProcessTokenEx + B 775FFC9F 1 Byte [E2]
.text C:\Users\amueller\AppData\Local\Google\Chrome\Application\chrome.exe[3740] ntdll.dll!NtOpenThread + 6 775FFCEA 4 Bytes [68, 01, 05, 00]
.text C:\Users\amueller\AppData\Local\Google\Chrome\Application\chrome.exe[3740] ntdll.dll!NtOpenThread + B 775FFCEF 1 Byte [E2]
.text C:\Users\amueller\AppData\Local\Google\Chrome\Application\chrome.exe[3740] ntdll.dll!NtOpenThreadToken + 6 775FFCFA 4 Bytes [68, 02, 05, 00]
.text C:\Users\amueller\AppData\Local\Google\Chrome\Application\chrome.exe[3740] ntdll.dll!NtOpenThreadToken + B 775FFCFF 1 Byte [E2]
.text C:\Users\amueller\AppData\Local\Google\Chrome\Application\chrome.exe[3740] ntdll.dll!NtOpenThreadTokenEx + 6 775FFD0A 4 Bytes CALL 76600211 C:\Windows\system32\RPCRT4.dll (Remoteprozeduraufruf-Laufzeitumgebung/Microsoft Corporation)
.text C:\Users\amueller\AppData\Local\Google\Chrome\Application\chrome.exe[3740] ntdll.dll!NtOpenThreadTokenEx + B 775FFD0F 1 Byte [E2]
.text C:\Users\amueller\AppData\Local\Google\Chrome\Application\chrome.exe[3740] ntdll.dll!NtQueryAttributesFile + 6 775FFD9A 4 Bytes [A8, 00, 05, 00]
.text C:\Users\amueller\AppData\Local\Google\Chrome\Application\chrome.exe[3740] ntdll.dll!NtQueryAttributesFile + B 775FFD9F 1 Byte [E2]
.text C:\Users\amueller\AppData\Local\Google\Chrome\Application\chrome.exe[3740] ntdll.dll!NtQueryFullAttributesFile + 6 775FFE4A 4 Bytes CALL 7660034F C:\Windows\system32\RPCRT4.dll (Remoteprozeduraufruf-Laufzeitumgebung/Microsoft Corporation)
.text C:\Users\amueller\AppData\Local\Google\Chrome\Application\chrome.exe[3740] ntdll.dll!NtQueryFullAttributesFile + B 775FFE4F 1 Byte [E2]
.text C:\Users\amueller\AppData\Local\Google\Chrome\Application\chrome.exe[3740] ntdll.dll!NtSetInformationFile + 6 7760036A 4 Bytes [28, 01, 05, 00]
.text C:\Users\amueller\AppData\Local\Google\Chrome\Application\chrome.exe[3740] ntdll.dll!NtSetInformationFile + B 7760036F 1 Byte [E2]
.text C:\Users\amueller\AppData\Local\Google\Chrome\Application\chrome.exe[3740] ntdll.dll!NtSetInformationThread + 6 776003BA 4 Bytes [28, 02, 05, 00]
.text C:\Users\amueller\AppData\Local\Google\Chrome\Application\chrome.exe[3740] ntdll.dll!NtSetInformationThread + B 776003BF 1 Byte [E2]

---- User IAT/EAT - GMER 1.0.15 ----

IAT C:\Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXE[3680] @ C:\Windows\system32\ole32.dll [USER32.dll!GetSystemMetrics] [6CA711C2] C:\Windows\AppPatch\AcSpecfc.DLL (Windows Compatibility DLL/Microsoft Corporation)
---- Processes - GMER 1.0.15 ----

Library \\?\globalroot\systemroot\system32\gxvxcxxlhxukkeyfexxmkbqwsjshtorjhwdcv.dll (*** hidden *** ) @ C:\Windows\system32\svchost.exe [812] 0x10000000

---- Services - GMER 1.0.15 ----

Service C:\Windows\system32\drivers\gxvxcuhtidsxaorltqspnitgwwxiqdnwffslb.sys (*** hidden *** ) [SYSTEM] gxvxcserv.sys <-- ROOTKIT !!!

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\gxvxcserv.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\gxvxcserv.sys@start 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\gxvxcserv.sys@type 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\gxvxcserv.sys@imagepath \systemroot\system32\drivers\gxvxcuhtidsxaorltqspnitgwwxiqdnwffslb.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\gxvxcserv.sys@group file system
Reg HKLM\SYSTEM\CurrentControlSet\Services\gxvxcserv.sys\modules
Reg HKLM\SYSTEM\CurrentControlSet\Services\gxvxcserv.sys\modules@gxvxcserv \\?\globalroot\systemroot\system32\drivers\gxvxcuhtidsxaorltqspnitgwwxiqdnwffslb.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\gxvxcserv.sys\modules@gxvxcl \\?\globalroot\systemroot\system32\gxvxcxxlhxukkeyfexxmkbqwsjshtorjhwdcv.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\gxvxcserv.sys\modules@gxvxcclk \\?\globalroot\systemroot\system32\gxvxcyxsafiafqhccwmbljbpbmlakqdykgggl.dll
Reg HKLM\SYSTEM\ControlSet003\Services\gxvxcserv.sys
Reg HKLM\SYSTEM\ControlSet003\Services\gxvxcserv.sys@start 1
Reg HKLM\SYSTEM\ControlSet003\Services\gxvxcserv.sys@type 1
Reg HKLM\SYSTEM\ControlSet003\Services\gxvxcserv.sys@imagepath \systemroot\system32\drivers\gxvxcuhtidsxaorltqspnitgwwxiqdnwffslb.sys
Reg HKLM\SYSTEM\ControlSet003\Services\gxvxcserv.sys@group file system
Reg HKLM\SYSTEM\ControlSet003\Services\gxvxcserv.sys\modules
Reg HKLM\SYSTEM\ControlSet003\Services\gxvxcserv.sys\modules@gxvxcserv \\?\globalroot\systemroot\system32\drivers\gxvxcuhtidsxaorltqspnitgwwxiqdnwffslb.sys
Reg HKLM\SYSTEM\ControlSet003\Services\gxvxcserv.sys\modules@gxvxcl \\?\globalroot\systemroot\system32\gxvxcxxlhxukkeyfexxmkbqwsjshtorjhwdcv.dll
Reg HKLM\SYSTEM\ControlSet003\Services\gxvxcserv.sys\modules@gxvxcclk \\?\globalroot\systemroot\system32\gxvxcyxsafiafqhccwmbljbpbmlakqdykgggl.dll

---- Files - GMER 1.0.15 ----

File C:\Windows\System32\drivers\gxvxcuhtidsxaorltqspnitgwwxiqdnwffslb.sys 48128 bytes executable <-- ROOTKIT !!!
File C:\Windows\System32\gxvxccount 4 bytes
File C:\Windows\System32\gxvxcxxlhxukkeyfexxmkbqwsjshtorjhwdcv.dll 22529 bytes executable
File C:\Windows\System32\gxvxcyxsafiafqhccwmbljbpbmlakqdykgggl.dll 27649 bytes executable

---- EOF - GMER 1.0.15 ----


So das hat jetzt ein Weilchen gedauert....

alle drei tools haben also was gefunden. unter anderem auch ein Rootkit wie es aussieht.....

Selbstverständlich vertraue ich deiner Kompetenz, jetzt bin ich aber gerade an dem Punkt, wo ich denke es wäre wahrscheinlich sicherer und auch unkomplizierter das System neu aufzusetzen. Mein Problem ist momentan, dass ich erstens sicher gehen muss, dass ich keine anderen Systeme kompromittiert habe und zweitens, dass es nicht nochmal passiert.

Vista war auf meinem Laptop vorinstalliert. Eine CD ("anytime upgrade") wurde mitgeliefert. Kriege ich mit dieser "recovery" Variante meine Festplatte sauber, oder besteht die Gefahr, dass ich dasselbe Problem im Nachhinein immernoch habe?
Ich werde einige Daten vorher sicher müssen, wie meine outlook pst usw. Muss ich was beachten?

Auf jeden Fall vielen Dank für die Unterstützung, allein wär ich ziemlich aufgeschmissen....

Hi,

eine Verseuchung der anderen Rechner wäre möglich, allerdings kann das erst gesagt werden, wenn der Rootkit weg ist.

Daher alle "angehängten" Rechner ebenfalls prüfen (MAM und GMER).

So, versuchen wir den Rechner mal wieder "frei" zu bekommen, damit wir sehen können was dass Rootkit so alles unter seinem Tarnmäntelchen versteckt...

ComboFix sollte das Teil eigentlich schaffen, vorher MAM updaten, ComboFix runterladen und dann offline gehen und beide Tools "rennen" lassen:
(Sonst machen wir eine Bereinigung über Avenger...)

Combofix
Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.
Weitere Anleitung unter:http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird
Hinweis: unter : C:\WINDOWS\erdnt
wird ein Backup angelegt.
Alternative downloads: http://subs.geekstogo.com/ComboFix.exe

Beide Logs posten.

Wenn von der Anytime DVD installiert wird, dann müsste eine erneute Aktivierung anstehen (da kenne ich mich leider nicht so gut aus...)...

chris

Hallo Chris,

ich werde den scan erst heute nachmittag bzw abend schaffen. Soll ich vor combofix noch den CCleaner drüberlaufen lassen?
Das mit dem Anytime DVD habe ich nicht verstanden. Eigentlich habe ich das nicht installiert....

Danke schonmal

Guten Abend Chris,

anbei die Protokolle der letzten beiden Scans.

MAM:

Malwarebytes' Anti-Malware 1.38
Datenbank Version: 2325
Windows 6.0.6000

23.06.2009 18:42:05
mbam-log-2009-06-23 (18-42-05).txt

Scan-Methode: Vollständiger Scan (C:\|F:\|H:\|)
Durchsuchte Objekte: 203265
Laufzeit: 1 hour(s), 13 minute(s), 5 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


Combofix:
ComboFix 09-06-22.08 - amueller 24.06.2009 18:38.1 - NTFSx86
Microsoft® Windows Vista™ Home Basic 6.0.6000.0.1252.49.1031.18.2037.1269 [GMT 2:00]
ausgeführt von:: c:\users\amueller\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {B02B524A-0C22-45DD-A6D1-70C7010CE58E}
SP: AntiVir Desktop *disabled* (Updated) {B02B524A-0C22-45DD-A6D1-70C7010CE58E}
SP: Windows-Defender *enabled* (Outdated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\$recycle.bin\S-1-5-21-2365545147-1999384947-2466353664-500
c:\$recycle.bin\S-1-5-21-2365545147-1999384947-2466353664-500\desktop.ini
c:\users\amueller\AppData\Local\Temp\install_flash_player.exe
c:\windows\system32\drivers\gxvxcuhtidsxaorltqspnitgwwxiqdnwffslb.sys
c:\windows\system32\gxvxccount
c:\windows\system32\gxvxcxxlhxukkeyfexxmkbqwsjshtorjhwdcv.dll
c:\windows\system32\gxvxcyxsafiafqhccwmbljbpbmlakqdykgggl.dll

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_gxvxcserv.sys


((((((((((((((((((((((( Dateien erstellt von 2009-05-24 bis 2009-06-24 ))))))))))))))))))))))))))))))
.

2009-06-24 16:44 . 2009-06-24 16:45 -------- d-----w- c:\users\amueller\AppData\Local\temp
2009-06-23 07:48 . 2009-06-23 07:48 51224 ----a-w- c:\windows\system32\wuauclt.exe
2009-06-23 07:48 . 2009-06-23 07:48 43544 ----a-w- c:\windows\system32\wups2.dll
2009-06-23 07:48 . 2009-06-23 07:48 1809944 ----a-w- c:\windows\system32\wuaueng.dll
2009-06-23 07:48 . 2009-06-23 07:48 1524736 ----a-w- c:\windows\system32\wucltux.dll
2009-06-23 07:48 . 2009-06-23 07:48 83456 ----a-w- c:\windows\system32\wudriver.dll
2009-06-23 07:48 . 2009-06-23 07:48 561688 ----a-w- c:\windows\system32\wuapi.dll
2009-06-23 07:48 . 2009-06-23 07:48 34328 ----a-w- c:\windows\system32\wups.dll
2009-06-23 07:47 . 2009-06-23 07:47 31232 ----a-w- c:\windows\system32\wuapp.exe
2009-06-23 07:47 . 2009-06-23 07:47 162064 ----a-w- c:\windows\system32\wuwebv.dll
2009-06-22 17:51 . 2009-06-22 17:51 -------- d-----w- c:\users\amueller\AppData\Roaming\Malwarebytes
2009-06-22 17:48 . 2009-06-17 09:27 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-06-22 17:48 . 2009-06-22 17:48 -------- d-----w- c:\programdata\Malwarebytes
2009-06-22 17:48 . 2009-06-22 17:51 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-06-22 17:48 . 2009-06-17 09:27 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-06-22 17:34 . 2009-06-22 17:34 -------- d-----w- C:\rsit
2009-06-22 11:05 . 2009-06-22 11:05 -------- d-----w- c:\program files\Trend Micro
2009-06-19 13:58 . 2009-06-19 13:58 -------- d-----w- c:\users\amueller\AppData\Roaming\Avira
2009-06-19 13:52 . 2009-06-19 13:39 55640 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-06-19 13:52 . 2009-06-19 13:52 -------- d-----w- c:\programdata\Avira
2009-06-19 13:52 . 2009-06-19 13:52 -------- d-----w- c:\program files\Avira
2009-06-19 13:09 . 2009-06-19 13:09 18689 ----a-w- c:\programdata\AntiVir Workstation\UPDATE\AVUPDATE_4a3b8db9\winwks\en\prof-nt\rcnwload_en.dll
2009-06-19 13:08 . 2009-06-19 13:08 53505 ----a-w- c:\programdata\AntiVir Workstation\UPDATE\AVUPDATE_4a3b8db9\winwks\en\basic-nt\guardgui.exe
2009-06-19 12:12 . 2009-06-19 12:12 13569 ----a-w- c:\programdata\AntiVir Workstation\UPDATE\AVUPDATE_4a3b805b\winwks\en\basic-nt\msgclient.dll
2009-06-19 12:12 . 2009-06-19 12:12 258305 ----a-w- c:\programdata\AntiVir Workstation\UPDATE\AVUPDATE_4a3b805b\winwks\en\basic-nt\mgrs.dll
2009-06-19 12:12 . 2009-06-19 12:12 164097 ----a-w- c:\programdata\AntiVir Workstation\UPDATE\AVUPDATE_4a3b805b\winwks\en\basic-nt\luke.dll
2009-06-19 12:12 . 2009-06-19 12:12 12033 ----a-w- c:\programdata\AntiVir Workstation\UPDATE\AVUPDATE_4a3b805b\winwks\en\basic-nt\lukeres.dll
2009-06-19 12:12 . 2009-06-19 12:12 9985 ----a-w- c:\programdata\AntiVir Workstation\UPDATE\AVUPDATE_4a3b805b\winwks\en\basic-nt\licmgr.dll
2009-06-19 12:12 . 2009-06-19 12:12 123137 ----a-w- c:\programdata\AntiVir Workstation\UPDATE\AVUPDATE_4a3b805b\winwks\en\basic-nt\licmgr.exe
2009-06-19 12:12 . 2009-06-19 12:12 46337 ----a-w- c:\programdata\AntiVir Workstation\UPDATE\AVUPDATE_4a3b805b\winwks\en\basic-nt\guardmsg.dll
2009-06-19 12:07 . 2009-06-19 12:07 94465 ----a-w- c:\programdata\AntiVir Workstation\UPDATE\AVUPDATE_4a3b7ef5\winwks\en\basic-nt\avsda.dll
2009-06-19 12:06 . 2009-06-19 12:06 18689 ----a-w- c:\programdata\AntiVir Workstation\UPDATE\AVUPDATE_4a3b7ef5\winwks\en\prof-nt\rcnwload_en.dll
2009-06-19 12:05 . 2009-06-19 12:05 12545 ----a-w- c:\programdata\AntiVir Workstation\UPDATE\AVUPDATE_4a3b7ef5\winwks\en\basic-nt\ccupdrc.dll
2009-06-19 12:03 . 2009-06-19 12:03 18689 ----a-w- c:\programdata\AntiVir Workstation\UPDATE\AVUPDATE_4a3b7e3b\winwks\en\prof-nt\rcnwload_en.dll
2009-06-19 12:02 . 2009-06-19 12:02 5889 ----a-w- c:\programdata\AntiVir Workstation\UPDATE\AVUPDATE_4a3b7e3b\winwks\en\basic-nt\cclicrc.dll
2009-06-19 12:01 . 2007-02-27 13:18 40000 ----a-w- c:\windows\system32\drivers\avgntdd.sys
2009-06-19 12:01 . 2006-11-22 12:30 14848 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
2009-06-19 12:01 . 2009-06-19 13:39 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
2009-06-19 12:01 . 2009-06-19 13:20 -------- d-----w- c:\program files\AntiVir Workstation
2009-06-19 12:01 . 2009-06-19 12:01 -------- d-----w- c:\programdata\AntiVir Workstation

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-06-24 16:44 . 2006-11-02 15:38 644844 ----a-w- c:\windows\system32\perfh007.dat
2009-06-24 16:44 . 2006-11-02 15:38 117724 ----a-w- c:\windows\system32\perfc007.dat
2009-06-24 13:57 . 2008-12-04 12:32 -------- d-----w- c:\program files\Capture-A-ScreenShot
2009-06-19 13:09 . 2009-06-19 13:09 106753 ----a-w- c:\programdata\AntiVir Workstation\UPDATE\AVUPDATE_4a3b8db9\winwks\en\prof-nt\rchelp.dll
2009-06-19 13:08 . 2009-06-19 13:08 23297 ----a-w- c:\programdata\AntiVir Workstation\UPDATE\AVUPDATE_4a3b8db9\winwks\en\basic-nt\factrc.dll
2009-06-19 12:11 . 2009-06-19 12:11 53505 ----a-w- c:\programdata\AntiVir Workstation\UPDATE\AVUPDATE_4a3b805b\winwks\en\basic-nt\guardgui.exe
2009-06-19 12:07 . 2009-06-19 12:07 75096 ----a-w- c:\programdata\AntiVir Workstation\UPDATE\AVUPDATE_4a3b7ef5\winwks\en\basic-nt\avipbb.sys
2009-06-19 12:06 . 2009-06-19 12:06 106753 ----a-w- c:\programdata\AntiVir Workstation\UPDATE\AVUPDATE_4a3b7ef5\winwks\en\prof-nt\rchelp.dll
2009-06-19 12:05 . 2009-06-19 12:05 110849 ----a-w- c:\programdata\AntiVir Workstation\UPDATE\AVUPDATE_4a3b7ef5\winwks\en\basic-nt\ccupdate.dll
2009-06-19 12:03 . 2009-06-19 12:03 106753 ----a-w- c:\programdata\AntiVir Workstation\UPDATE\AVUPDATE_4a3b7e3b\winwks\en\prof-nt\rchelp.dll
2009-06-19 12:02 . 2009-06-19 12:02 20737 ----a-w- c:\programdata\AntiVir Workstation\UPDATE\AVUPDATE_4a3b7e3b\winwks\en\basic-nt\ccmainrc.dll
2009-06-19 12:01 . 2009-06-19 12:01 117284 ----a-w- c:\programdata\firstlsp.reg.dat
2009-05-08 10:05 . 2009-02-27 17:06 -------- d-----w- c:\users\amueller\AppData\Roaming\Skype
2009-05-08 09:45 . 2009-02-27 17:08 -------- d-----w- c:\users\amueller\AppData\Roaming\skypePM
2009-03-30 13:42 . 2009-03-30 13:42 54 ----a-w- c:\programdata\Last.fm\Client\uninst2.bat
2009-03-30 13:42 . 2009-03-30 13:42 683801 ----a-w- c:\programdata\Last.fm\Client\UninstWMP\unins000.exe
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Lion"="c:\program files\Lion\Lion.exe" [2009-02-09 227429]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2006-11-02 201728]
"Google Update"="c:\users\amueller\AppData\Local\Google\Update\GoogleUpdate.exe" [2009-01-25 133104]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-03-09 148888]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-06-19 209153]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{96744A12-EF47-492B-A26E-E10F2FE61455}"= UDP:c:\program files\uTorrent\uTorrent.exe:µTorrent (TCP-In)
"{912F19AA-2AD6-4B75-97E6-B4AF94F25251}"= TCP:c:\program files\uTorrent\uTorrent.exe:µTorrent (UDP-In)
"TCP Query User{6C71C942-1173-405A-81CC-C174340FE2DA}c:\\program files\\sony handheld\\hotsync.exe"= UDP:c:\program files\sony handheld\hotsync.exe:HotSync® Manager Application
"UDP Query User{B8523725-E0B3-49D6-B571-44D03994BC42}c:\\program files\\sony handheld\\hotsync.exe"= TCP:c:\program files\sony handheld\hotsync.exe:HotSync® Manager Application
"TCP Query User{1928E562-71BD-412E-ACA9-B5B587964629}c:\\users\\amueller\\appdata\\local\\google\\chrome\\application\\chrome.exe"= UDP:c:\users\amueller\appdata\local\google\chrome\application\chrome.exe:chrome.exe
"UDP Query User{4FE7CDBF-3B48-4B17-B6E5-8631464AED36}c:\\users\\amueller\\appdata\\local\\google\\chrome\\application\\chrome.exe"= TCP:c:\users\amueller\appdata\local\google\chrome\application\chrome.exe:chrome.exe
"TCP Query User{02A2E34E-AC53-457F-AB1C-E41D03603A86}c:\\program files\\sony handheld\\hotsync.exe"= UDP:c:\program files\sony handheld\hotsync.exe:HotSync® Manager Application
"UDP Query User{CFDA3250-E20B-43DC-8FD8-2F28D17CC435}c:\\program files\\sony handheld\\hotsync.exe"= TCP:c:\program files\sony handheld\hotsync.exe:HotSync® Manager Application
"TCP Query User{535A83F2-A4A0-47DC-9F1D-242A55097DCD}c:\\program files\\soulseekns\\slsk.exe"= UDP:c:\program files\soulseekns\slsk.exe:SoulSeek
"UDP Query User{564FE6D9-1525-4726-9912-E0F0706A3381}c:\\program files\\soulseekns\\slsk.exe"= TCP:c:\program files\soulseekns\slsk.exe:SoulSeek
"{B34238AF-11E1-4F2B-A494-E4162ABB0E9E}"= c:\program files\Skype\Phone\Skype.exe:Skype
"{8CEF7521-D7BB-495B-9819-697C5B8D9C65}"= c:\program files\Skype\Phone\Skype.exe:Skype
"{ECE87647-B533-4AA2-803C-B7AB982D94C4}"= c:\program files\Skype\Phone\Skype.exe:Skype
"{5E892050-2C0F-4AF7-9B66-23D7F7349708}"= c:\program files\Skype\Phone\Skype.exe:Skype
"{773DCAD2-85EC-4117-B3B6-15BF31BC5FF3}"= c:\program files\Skype\Phone\Skype.exe:Skype
"{335B5509-534C-440F-8B17-B23CA8062CE0}"= c:\program files\Skype\Phone\Skype.exe:Skype
"TCP Query User{51B2747D-3997-45EE-9E9F-E8CC1230B995}c:\\program files\\java\\jre6\\bin\\java.exe"= UDP:c:\program files\java\jre6\bin\java.exe:Java(TM) Platform SE binary
"UDP Query User{4F71EB62-D630-4C92-BDEB-594136BBAC5A}c:\\program files\\java\\jre6\\bin\\java.exe"= TCP:c:\program files\java\jre6\bin\java.exe:Java(TM) Platform SE binary

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\RestrictedServices\Static\System]
"DFSR-1"= RPort=5722|UDP:%SystemRoot%\system32\svchost.exe|Svc=DFSR:Allow inbound TCP traffic|

R2 AntiVirMailService;Avira AntiVir MailGuard;c:\program files\Avira\AntiVir Desktop\avmailc.exe [19.06.2009 15:52 194817]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [19.06.2009 15:52 108289]
R2 AntiVirWebService;Avira AntiVir WebGuard;c:\program files\Avira\AntiVir Desktop\avwebgrd.exe [19.06.2009 15:52 434945]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceNoNetwork REG_MULTI_SZ PLA DPS BFE mpssvc
.
Inhalt des "geplante Tasks" Ordners

2009-06-24 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1455154888-4151250377-1015525046-1000.job
- c:\users\amueller\AppData\Local\Google\Update\GoogleUpdate.exe [2009-01-25 12:29]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
LSP: c:\program files\Avira\AntiVir Desktop\avsda.dll
Trusted Zone: registration.sonystyle-europe.com
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-06-24 18:45
Windows 6.0.6000 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
"MSCurrentCountry"=dword:000000b5
.
Zeit der Fertigstellung: 2009-06-24 18:46
ComboFix-quarantined-files.txt 2009-06-24 16:46

Vor Suchlauf: 14 Verzeichnis(se), 49.533.202.432 Bytes frei
Nach Suchlauf: 14 Verzeichnis(se), 50.276.716.544 Bytes frei

161


Viele Grüße aus Berlin

Hallo,

da war tatsächlich ein Rootkit auf dem Rechner, CF hat es entfernt...

Stelle Avira wie folgt ein: http://www.trojaner-board.de/54192-anleitung-avira-antivir-agressive-einstellungen.htm
Führe einen Systemscan durch und poste das Ergebnis!

chris

Ps.: Bin morgen den Tag unterwegs, daher nicht erreichbar...

Hi Chris,

kein Problem, du musst ja nebenbei auch noch Geld verdienen

hier ist das antivir log:

Avira AntiVir Professional
Erstellungsdatum der Reportdatei: Donnerstag, 25. Juni 2009 11:44

Es wird nach 1425786 Virenstämmen gesucht.

Lizenznehmer : ...
Seriennummer : 2100133908-ADJIE-0001
Plattform : Windows Vista
Windowsversion : (plain) [6.0.6000]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : AMUELLER-PC

Versionsinformationen:
BUILD.DAT : 9.0.0.726 22407 Bytes 09.06.2009 16:44:00
AVSCAN.EXE : 9.0.3.6 466689 Bytes 19.06.2009 13:38:59
AVSCAN.DLL : 9.0.3.0 49409 Bytes 19.06.2009 13:38:59
LUKE.DLL : 9.0.3.2 209665 Bytes 19.06.2009 13:39:10
LUKERES.DLL : 9.0.2.0 13569 Bytes 19.06.2009 13:39:10
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 13:38:36
ANTIVIR1.VDF : 7.1.4.132 5707264 Bytes 24.06.2009 09:38:13
ANTIVIR2.VDF : 7.1.4.133 2048 Bytes 24.06.2009 09:38:13
ANTIVIR3.VDF : 7.1.4.138 29696 Bytes 25.06.2009 09:28:47
Engineversion : 8.2.0.196
AEVDF.DLL : 8.1.1.1 106868 Bytes 19.06.2009 13:38:53
AESCRIPT.DLL : 8.1.2.10 418171 Bytes 24.06.2009 13:36:27
AESCN.DLL : 8.1.2.3 127347 Bytes 19.06.2009 13:38:52
AERDL.DLL : 8.1.1.3 438645 Bytes 19.06.2009 13:38:52
AEPACK.DLL : 8.1.3.18 401783 Bytes 19.06.2009 13:38:51
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 19.06.2009 13:38:51
AEHEUR.DLL : 8.1.0.134 1802616 Bytes 24.06.2009 13:36:27
AEHELP.DLL : 8.1.3.6 205174 Bytes 19.06.2009 13:38:49
AEGEN.DLL : 8.1.1.46 348533 Bytes 19.06.2009 14:53:19
AEEMU.DLL : 8.1.0.9 393588 Bytes 19.06.2009 13:38:48
AECORE.DLL : 8.1.6.12 180599 Bytes 19.06.2009 13:38:47
AEBB.DLL : 8.1.0.3 53618 Bytes 19.06.2009 13:38:47
AVWINLL.DLL : 9.0.0.3 18177 Bytes 19.06.2009 13:39:01
AVPREF.DLL : 9.0.0.1 43777 Bytes 19.06.2009 13:38:59
AVREP.DLL : 8.0.0.3 155905 Bytes 19.06.2009 13:38:53
AVREG.DLL : 9.0.0.0 36609 Bytes 19.06.2009 13:38:59
AVARKT.DLL : 9.0.0.3 292609 Bytes 19.06.2009 13:38:54
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 19.06.2009 13:38:56
SQLITE3.DLL : 3.6.1.0 326401 Bytes 19.06.2009 13:39:13
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 19.06.2009 13:39:12
NETNT.DLL : 9.0.0.0 11521 Bytes 19.06.2009 13:39:10
RCIMAGE.DLL : 9.0.0.27 2493185 Bytes 19.06.2009 13:38:05
RCTEXT.DLL : 9.0.35.0 90881 Bytes 19.06.2009 13:38:05

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\program files\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, F:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: ein
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Donnerstag, 25. Juni 2009 11:44

Untersuchung der Systemdateien wird begonnen:
Signiert -> 'C:\Windows\system32\svchost.exe'
Signiert -> 'C:\Windows\system32\winlogon.exe'
Signiert -> 'C:\Windows\explorer.exe'
Signiert -> 'C:\Windows\system32\smss.exe'
Signiert -> 'C:\Windows\system32\wininet.DLL'
Signiert -> 'C:\Windows\system32\wsock32.DLL'
Signiert -> 'C:\Windows\system32\ws2_32.DLL'
Signiert -> 'C:\Windows\system32\services.exe'
Signiert -> 'C:\Windows\system32\lsass.exe'
Signiert -> 'C:\Windows\system32\csrss.exe'
Signiert -> 'C:\Windows\system32\drivers\kbdclass.sys'
Signiert -> 'C:\Windows\system32\spoolsv.exe'
Signiert -> 'C:\Windows\system32\alg.exe'
Signiert -> 'C:\Windows\system32\wuauclt.exe'
Signiert -> 'C:\Windows\system32\advapi32.DLL'
Signiert -> 'C:\Windows\system32\user32.DLL'
Signiert -> 'C:\Windows\system32\gdi32.DLL'
Signiert -> 'C:\Windows\system32\kernel32.DLL'
Signiert -> 'C:\Windows\system32\ntdll.DLL'
Signiert -> 'C:\Windows\system32\ntoskrnl.exe'
Signiert -> 'C:\Windows\system32\ctfmon.exe'
Die Systemdateien wurden durchsucht ('21' Dateien)

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '66598' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'OUTLOOK.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleUpdate.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnscfg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Lion.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dwm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avwebgrd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avmailc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SLsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'audiodg.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '46' Prozesse mit '46' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'F:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '33' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <Vista>
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\Program Files\Trend Micro\HijackThis\test.com.exe
[FUND] Die Datei enthält ein ausführbares Programm. Dies wird jedoch durch eine harmlose Dateierweiterung verschleiert (HIDDENEXT/Crypted)
C:\Qoobox\Quarantine\C\Windows\System32\gxvxcxxlhxukkeyfexxmkbqwsjshtorjhwdcv.dll.vir
[FUND] Ist das Trojanische Pferd TR/Obfuscator.ER
C:\Qoobox\Quarantine\C\Windows\System32\gxvxcyxsafiafqhccwmbljbpbmlakqdykgggl.dll.vir
[FUND] Ist das Trojanische Pferd TR/Alureon.BU.1
C:\Qoobox\Quarantine\C\Windows\System32\drivers\_gxvxcuhtidsxaorltqspnitgwwxiqdnwffslb_.sys.zip
[0] Archivtyp: ZIP
--> gxvxcuhtidsxaorltqspnitgwwxiqdnwffslb.sys
[FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
Beginne mit der Suche in 'F:\' <Daten>

Beginne mit der Desinfektion:
C:\Program Files\Trend Micro\HijackThis\test.com.exe
[FUND] Die Datei enthält ein ausführbares Programm. Dies wird jedoch durch eine harmlose Dateierweiterung verschleiert (HIDDENEXT/Crypted)
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4ab653e2.qua' verschoben!
C:\Qoobox\Quarantine\C\Windows\System32\gxvxcxxlhxukkeyfexxmkbqwsjshtorjhwdcv.dll.vir
[FUND] Ist das Trojanische Pferd TR/Obfuscator.ER
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4ab953f5.qua' verschoben!
C:\Qoobox\Quarantine\C\Windows\System32\gxvxcyxsafiafqhccwmbljbpbmlakqdykgggl.dll.vir
[FUND] Ist das Trojanische Pferd TR/Alureon.BU.1
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c0c1966.qua' verschoben!
C:\Qoobox\Quarantine\C\Windows\System32\drivers\_gxvxcuhtidsxaorltqspnitgwwxiqdnwffslb_.sys.zip
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4abb53e4.qua' verschoben!


Ende des Suchlaufs: Donnerstag, 25. Juni 2009 12:37
Benötigte Zeit: 45:36 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

10083 Verzeichnisse wurden überprüft
141362 Dateien wurden geprüft
4 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
4 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
141356 Dateien ohne Befall
1649 Archive wurden durchsucht
2 Warnungen
6 Hinweise
66598 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden


Der oder die Rootkits scheinen weg zu sein...
Während des MAM scans hat mir antivir noch einen Fund gemeldet (siehe Anhang). MAM selbst hatte ihn aber nicht gefunden. Wie geht es jetzt weiter? Meinst du wir konnten den rechner tatsächlich säubern?

grüße
Andreas

Hi,

das sieht schon recht ordentlich aus...

Combofix entfernen und aufräumen:

Start->Ausführen combofix /u

Aufräumen:
Backups von Avenger&Co (falls vorhanden) löschen:
Falls der Rechner einwandfrei läuft, können die Backups der
Bereinigungstools gelöscht werden (soweit vorhanden):

C:\Qoobox - loeschen und Papierkorb leeren (ComboFix Backups)
C:\avenger\backup.zip - loeschen und Papierkorb leeren (Avenger)
C:\VundoFix Backups - loeschen und Papierkorb leeren
C:\RVAXO-results.log -->Papierkorb leeren
Backupfiles von HJ liegen im HJ-Ordner


Prevx:
http://www.prevx.com/freescan.asp
Falls das Tool was findet, nicht das Log posten sondern einen Screenshot des dann angezeigten Fensters...

chris

Hi Chris,

prevx hat nichts gefunden. zur sicherheit hier nochmal ein hjt scan:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:01:08, on 26.06.2009
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16386)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Lion\Lion.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Users\amueller\AppData\Local\Google\Update\GoogleUpdate.exe
C:\Users\amueller\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\wuauclt.exe
C:\Program Files\Last.fm\LastFM.exe
C:\Users\amueller\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Windows\system32\conime.exe
C:\Users\amueller\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\amueller\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Program Files\Prevx\prevx.exe
C:\Program Files\Capture-A-ScreenShot\Capture-A-ScreenShot.exe
C:\Program Files\Trend Micro\HijackThis\amueller.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [Lion] "C:\Program Files\Lion\Lion.exe"
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [Google Update] "C:\Users\amueller\AppData\Local\Google\Update\GoogleUpdate.exe" /c
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O13 - Gopher Prefix:
O15 - Trusted Zone: *.registration.sonystyle-europe.com (HKLM)
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir MailGuard (AntiVirMailService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avmailc.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Avira AntiVir WebGuard (AntiVirWebService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\AVWEBGRD.EXE
O23 - Service: CSIScanner - Prevx - C:\Program Files\Prevx\prevx.exe

--
End of file - 3716 bytes


Meinst du mein rechner ist jetzt wieder sauber und online-banking-fähig?

Wünsch dir ein schönes wochenende!

Hi,

sicher kann man sich nie sein, im Augenblick ist nichts mehr zu erkennen...
Einen hohen Grad an Sicherheit erreichst Du durch Neuaufsetzen ;o)...

chris & out