Hallo,
ich habe mir den Bundespolizeivirus eingefangen.
Ich habe einen etwas älteren Desktop mit einem AMD Semperon 1,61 GHz Prozessor und 512 MB RAM.
Ich habe schon einiges probiert in den letzten Tagen.
Als erstes habe ich Ratschläge von hxxp://www.chip.de/news/Bundespolizei-Virus-So-werden-Sie-ihn-wieder-los_50761972.html befolgt und verdächtige Einträge aus der Registry gelöscht. Hat aber nichts gebracht.
Dann habe ich mit einer Avira Rescue CD den REchner durchsucht. Der Scan hat auch so circa 16 Funde ergeben, die gefixt worden sind. Außerdem einen Fund im Bootsektor, BOO/TDss.M, der nicht gefixt werden konnte.
Irgendwo habe ich dann den Tip glesen, dass man über die Windows CD mit fixmbr den Bootsektor reparieren kann. Habe ich dann auch gemacht und fixboot und bootcfg gleich hinterher. Damit war das Bundespolizei-Fenster zwar weg, das Windowsstartmenü und alle Programmicons aber auch.
Danach habe ich über die Windows Installation das bestehende Windows repariert. Dann lief alles wieder. Sobald ich ins Internet gegangen bin, hat sich der Virus allerdings wieder geladen.
Jetzt sind keine Einträge mehr in den Verzeichnissen der Registry (siehe Chip) zu finden. Avira Rescue findet nichts mehr im Bootsektor aber der Virus ist noch immer da.
Nach Reparatur über die Windows-CD läuft der Rechner, aber ich traue mich nicht mehr ins Internet.
OTL.txt und Extras.txt hänge ich dran. GMER funktioniert nicht, das lässt den Rechner abstürzen. Blue screen mit der Bezeichnung Machine_check_exception. ich soll sicherstellen das neue Hardware oder Software richtig installiert ist. Technische Information Stop:0x00000004, 0x80545FF0, 0xB2000000, 0x00070F0F.
Für Hilfe wäre ich wirklich sehr dankbar.

Hallo und

Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Hallo Arne,

danke für die Antwort.

Ich habe die log-Datei von Malwarebytes angehängt.

Inzwischen war ich allerdings nicht untätig. Habe Sophos statt GMER laufen lassen. Da konnte ich allerdings kein Logfile speichern oder habe nicht begriffen wie das geht. Und ich habe Avira und Zonealarm installiert. Der erste Systemcheck von Avira hat auch einiges gefunden. Willst du die Logdatei auch haben?

Grüße

Zitat:

Und ich habe Avira und Zonealarm installiert

ZoneAlarm ist kontraproduktiver Müll! Bitte umgehend deinstallieren und die Windows-Firewall verwenden!
Und während der Bereinigung hier NICHT mehr einfach irgendwas installieren, weil ich sonst viele Dinge nicht nachvollziehen kann!

Jawoll, mach ich

Nach der ZA-Deinstalltion bitte ESET ausführen und ein neues OTL-CustomLog erstellen:


CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die Textbox.

Code: Alles auswählenAufklappen

ATTFilter

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
         

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf .
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

ESET



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

n.

Hallo Arne,

alles erledigt.

Logs sind angehängt.

Gruss

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code: Alles auswählenAufklappen

ATTFilter

:OTL
FF - prefs.js..browser.search.defaultthis.engineName: "NCH Customized Web Search"
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2117678&SearchSource=3&q={searchTerms}"
[2011.06.23 08:27:00 | 000,000,000 | ---D | M] ("DAEMON Tools Toolbar") -- C:\Dokumente und Einstellungen\Ralph Westermann\Anwendungsdaten\Mozilla\Firefox\Profiles\kvsvyksp.default\extensions\DTToolbar@toolbarnet.com
[2011.06.17 15:24:12 | 000,000,000 | ---D | M] (Yontoo Layers) -- C:\Dokumente und Einstellungen\Ralph Westermann\Anwendungsdaten\Mozilla\Firefox\Profiles\kvsvyksp.default\extensions\plugin@yontoo.com
[2010.06.09 20:26:43 | 000,000,909 | ---- | M] () -- C:\Dokumente und Einstellungen\Ralph Westermann\Anwendungsdaten\Mozilla\Firefox\Profiles\kvsvyksp.default\searchplugins\conduit.xml
O3 - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Programme\DAEMON Tools Toolbar\DTToolbar.dll ()
O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found.
O3 - HKCU\..\Toolbar\ShellBrowser: (Dealio) - {E67C74F4-A00A-4F2C-9FEC-FD9DC004A67F} -  File not found
O3 - HKCU\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Programme\DAEMON Tools Toolbar\DTToolbar.dll ()
O3 - HKCU\..\Toolbar\WebBrowser: (Dealio) - {E67C74F4-A00A-4F2C-9FEC-FD9DC004A67F} -  File not found
O4 - HKLM..\Run: [ZoneAlarm Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe (Check Point Software Technologies LTD)
DRV - (vsdatant) -- C:\WINDOWS\system32\vsdatant.sys (Check Point Software Technologies LTD)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2005.09.25 16:17:34 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O33 - MountPoints2\{02c68f20-d1d5-11de-8a4f-000b6b783a3a}\Shell\AutoRun\command - "" = E:\setup.exe
O33 - MountPoints2\{7b659fe5-73ba-11de-8a0b-000b6b783a3a}\Shell\AutoRun\command - "" = H:\InstallTomTomHOME.exe
O33 - MountPoints2\{d7229b6a-2dd8-11da-994b-806d6172696f}\Shell - "" = AutoRun
O33 - MountPoints2\{d7229b6a-2dd8-11da-994b-806d6172696f}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{d7229b6a-2dd8-11da-994b-806d6172696f}\Shell\AutoRun\command - "" = D:\Setup.EXE
SafeBootNet: vsmon - C:\WINDOWS\System32\ZoneLabs\vsmon.exe (Check Point Software Technologies LTD)
[2011.08.15 16:13:10 | 000,000,000 | ---D | C] -- C:\Programme\CheckPoint
[2011.08.15 16:13:04 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ZoneAlarm
[2011.08.15 16:12:56 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\ZoneLabs
[2011.08.15 14:32:41 | 000,000,000 | ---D | C] -- C:\Programme\Zone Labs
[2011.08.15 14:31:46 | 000,000,000 | ---D | C] -- C:\WINDOWS\Internet Logs
[2011.08.15 16:14:06 | 000,420,800 | ---- | M] () -- C:\WINDOWS\System32\vsconfig.xml
[2011.08.15 16:13:05 | 000,004,212 | -H-- | M] () -- C:\WINDOWS\System32\zllictbl.dat
[2011.08.15 16:13:04 | 000,000,711 | ---- | M] () -- C:\Dokumente und Einstellungen\Ralph Westermann\Desktop\ZoneAlarm Security.lnk
[2011.08.15 11:37:54 | 046,973,440 | ---- | M] () -- C:\Dokumente und Einstellungen\Ralph Westermann\Desktop\zaSetup_92_106_000_en.exe
:Commands
[purity]
[resethosts]
         

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hallo Arno,

besten Dank für deine Hilfe.

Anbei poste ich die OTL-Log.

Gruss

Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Das Tool so einstellen wie unten im Bild angegeben - also beide Haken setzen, auf Start scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.




Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, Verknüpfungen auf dem Desktop oder im Startmenü unter "alle Programme" fehlen, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
Windows-Vista und Windows-7-User müssen das Tool per Rechtsklick als Administrator ausführen!

Hi,

und ich dachte schon wir wären durch.

Anbei das log-file von Kaperski.

Gruss

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop.

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hallo Arne,

auch das ist erledigt.

Combofix Logfile:

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 11-08-23.06 - Ralph Westermann 24.08.2011   0:44.1.1 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.511.202 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Ralph Westermann\Desktop\ComboFix.exe
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
FW: ZoneAlarm Firewall *Disabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\Administrator\WINDOWS
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Tarma Installer
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Tarma Installer\{889DF117-14D1-44EE-9F31-C5FB5D47F68B}\_Setup.dll
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Tarma Installer\{889DF117-14D1-44EE-9F31-C5FB5D47F68B}\_Setupx.dll
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Tarma Installer\{889DF117-14D1-44EE-9F31-C5FB5D47F68B}\Setup.dat
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Tarma Installer\{889DF117-14D1-44EE-9F31-C5FB5D47F68B}\Setup.exe
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Tarma Installer\{889DF117-14D1-44EE-9F31-C5FB5D47F68B}\Setup.ico
c:\dokumente und einstellungen\Ralph Westermann\Anwendungsdaten\Adobe\plugs
c:\dokumente und einstellungen\Ralph Westermann\Anwendungsdaten\Adobe\plugs\mmc116.exe
c:\dokumente und einstellungen\Ralph Westermann\Anwendungsdaten\Adobe\plugs\mmc153.exe
c:\dokumente und einstellungen\Ralph Westermann\Anwendungsdaten\Adobe\plugs\mmc85774406.txt
c:\dokumente und einstellungen\Ralph Westermann\Anwendungsdaten\Adobe\shed
c:\dokumente und einstellungen\Ralph Westermann\Anwendungsdaten\Adobe\shed\thr1.chm
c:\dokumente und einstellungen\Ralph Westermann\Cookies\hpothb07.dat
c:\dokumente und einstellungen\Ralph Westermann\Eigene Dateien\000setup.999
c:\dokumente und einstellungen\Ralph Westermann\Eigene Dateien\DPE.DUS
c:\dokumente und einstellungen\Ralph Westermann\g2mdlhlpx.exe
c:\dokumente und einstellungen\Ralph Westermann\Lokale Einstellungen\Temporary Internet Files\7DA691227E.wmv
c:\dokumente und einstellungen\Ralph Westermann\WINDOWS
c:\windows\IsUn0407.exe
c:\windows\unin0407.exe
.
.
(((((((((((((((((((((((   Dateien erstellt von 2011-07-23 bis 2011-08-23  ))))))))))))))))))))))))))))))
.
.
2011-08-19 21:47 . 2011-08-21 09:31	--------	d-----w-	c:\windows\Internet Logs
2011-08-19 21:42 . 2011-08-19 21:42	--------	d-----w-	C:\_OTL
2011-08-18 09:28 . 2011-08-18 09:28	--------	d-----w-	c:\programme\ESET
2011-08-16 13:42 . 2011-08-16 13:42	--------	d-----w-	c:\dokumente und einstellungen\Ralph Westermann\Anwendungsdaten\Malwarebytes
2011-08-16 13:42 . 2011-07-06 17:52	41272	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2011-08-16 13:42 . 2011-08-16 13:42	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2011-08-16 13:42 . 2011-08-17 06:10	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2011-08-16 13:42 . 2011-07-06 17:52	22712	----a-w-	c:\windows\system32\drivers\mbam.sys
2011-08-15 15:00 . 2011-08-15 15:00	--------	d-----w-	c:\dokumente und einstellungen\LocalService\Startmenü
2011-08-15 14:47 . 2005-07-27 19:15	149392	----a-w-	c:\windows\system32\ar5523.bin
2011-08-15 14:47 . 2005-07-27 19:11	360256	----a-w-	c:\windows\system32\ar5523.sys
2011-08-15 14:36 . 2011-08-15 14:36	--------	d-----w-	c:\dokumente und einstellungen\Ralph Westermann\Anwendungsdaten\Avira
2011-08-15 14:29 . 2011-08-15 14:58	138192	----a-w-	c:\windows\system32\drivers\avipbb.sys
2011-08-15 14:29 . 2011-08-15 14:58	66616	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2011-08-15 14:29 . 2009-09-29 16:12	45416	----a-w-	c:\windows\system32\drivers\avgntdd.sys
2011-08-15 14:29 . 2009-09-29 16:12	22360	----a-w-	c:\windows\system32\drivers\avgntmgr.sys
2011-08-15 14:29 . 2011-08-15 14:29	--------	d-----w-	c:\programme\Avira
2011-08-15 14:29 . 2011-08-15 14:29	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2011-08-15 14:13 . 2011-03-17 23:24	69120	----a-w-	c:\windows\system32\zlcomm.dll
2011-08-15 14:13 . 2011-03-17 23:24	104448	----a-w-	c:\windows\system32\zlcommdb.dll
2011-08-15 14:12 . 2011-08-19 21:47	--------	d-----w-	c:\windows\system32\ZoneLabs
2011-08-15 14:12 . 2011-03-17 23:24	1238528	----a-w-	c:\windows\system32\zpeng25.dll
2011-08-15 13:29 . 2008-04-14 05:52	1306624	-c----w-	c:\windows\system32\dllcache\msxml6.dll
2011-08-15 13:29 . 2008-04-14 05:27	93184	-c----w-	c:\windows\system32\dllcache\msxml6r.dll
2011-08-15 13:24 . 2008-04-14 05:52	294912	------w-	c:\programme\Windows Media Player\dlimport.exe
2011-08-15 13:23 . 2008-04-14 05:52	294912	-c----w-	c:\windows\system32\dllcache\dlimport.exe
2011-08-15 13:18 . 2006-12-28 22:31	19569	----a-w-	c:\windows\003180_.tmp
2011-08-15 12:27 . 2009-06-18 10:55	18816	------w-	c:\windows\system32\SAVRKBootTasks.sys
2011-08-15 10:03 . 2011-08-15 10:03	--------	d-----w-	c:\programme\Sophos
2011-08-14 18:35 . 2004-08-04 12:00	143422	-c--a-w-	c:\windows\system32\dllcache\softkey.dll
2011-08-14 18:34 . 2004-08-04 12:00	70656	-c--a-w-	c:\windows\system32\dllcache\korwbrkr.dll
2011-08-14 18:33 . 2004-08-04 12:00	14848	-c--a-w-	c:\windows\system32\dllcache\flattemp.exe
2011-08-14 18:32 . 2003-03-24 14:52	217088	-c--a-w-	c:\windows\system32\dllcache\fpmmcsat.dll
2011-08-14 18:30 . 2004-08-04 12:00	16384	-c--a-w-	c:\windows\system32\dllcache\isignup.exe
2011-08-14 18:30 . 2004-08-04 12:00	16384	----a-w-	c:\programme\Internet Explorer\Connection Wizard\isignup.exe
2011-08-14 17:38 . 2004-08-04 12:00	24661	-c--a-w-	c:\windows\system32\dllcache\spxcoins.dll
2011-08-14 17:38 . 2004-08-04 12:00	24661	----a-w-	c:\windows\system32\spxcoins.dll
2011-08-14 17:38 . 2004-08-04 12:00	13824	-c--a-w-	c:\windows\system32\dllcache\irclass.dll
2011-08-14 17:38 . 2004-08-04 12:00	13824	----a-w-	c:\windows\system32\irclass.dll
2011-08-14 17:38 . 2004-08-04 12:00	14043	----a-r-	c:\windows\SET66.tmp
2011-08-14 17:38 . 2004-08-04 12:00	1086058	----a-r-	c:\windows\SET5A.tmp
2011-08-14 17:38 . 2004-08-04 12:00	1014663	----a-r-	c:\windows\SET57.tmp
2011-08-12 18:05 . 2004-08-04 12:00	14043	----a-r-	c:\windows\SETFE.tmp
2011-08-12 18:04 . 2004-08-04 12:00	1086058	----a-r-	c:\windows\SETF2.tmp
2011-08-12 18:04 . 2004-08-04 12:00	1014663	----a-r-	c:\windows\SETEF.tmp
2011-08-10 18:47 . 2011-08-10 18:48	--------	d-----w-	c:\dokumente und einstellungen\Administrator.IMPULS-RW
2011-07-26 20:07 . 2010-01-01 08:00	2106216	----a-w-	c:\programme\Mozilla Firefox\D3DCompiler_43.dll
2011-07-26 20:07 . 2010-01-01 08:00	1998168	----a-w-	c:\programme\Mozilla Firefox\d3dx9_43.dll
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2006-03-20 13:37 . 2006-03-20 13:37	5689344	----a-w-	c:\programme\mplayerc.exe
2010-07-15 15:53 . 2010-07-15 15:53	101768	----a-w-	c:\programme\mozilla firefox\plugins\ieatgpc.dll
2011-08-22 16:17 . 2011-06-23 06:25	134104	----a-w-	c:\programme\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-02-22 339968]
"FreePDF Assistant"="c:\programme\FreePDF_XP\fpassist.exe" [2007-06-26 312320]
"ATICCC"="c:\programme\ATI Technologies\ATI.ACE\cli.exe" [2006-01-02 45056]
"WD Drive Manager"="c:\programme\Western Digital\WD Drive Manager\WDBtnMgrUI.exe" [2008-07-24 450560]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2009-11-10 417792]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-06-20 35760]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-21 932288]
"SoundMan"="SOUNDMAN.EXE" [2005-01-20 77824]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2011-04-21 281768]
"Malwarebytes' Anti-Malware"="c:\programme\Malwarebytes' Anti-Malware\mbamgui.exe" [2011-07-06 449584]
.
c:\dokumente und einstellungen\Ralph Westermann\Startmen�\Programme\Autostart\
TimeTool.lnk - c:\daten\RW\FaJo\TimeTool\TimeTool.exe [2006-2-8 889344]
.
c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
InterVideo WinCinema Manager.lnk - c:\programme\InterVideo\Common\Bin\WinCinemaMgr.exe [2005-9-25 61440]
Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^HP Digital Imaging Monitor.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\HP Digital Imaging Monitor.lnk
backup=c:\windows\pss\HP Digital Imaging Monitor.lnkCommon Startup
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^hp psc 2000 Series.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\hp psc 2000 Series.lnk
backup=c:\windows\pss\hp psc 2000 Series.lnkCommon Startup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AppleSyncNotifier]
2009-08-13 14:51	177440	----a-w-	c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2010-02-15 17:07	141608	----a-w-	c:\programme\iTunes\iTunesHelper.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2001-07-09 09:50	155648	----a-w-	c:\windows\system32\NeroCheck.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SNM]
2009-12-14 01:00	1067472	----a-w-	c:\programme\SpyNoMore\SNM.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2010-02-18 09:43	248040	----a-w-	c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TomTomHOME.exe]
2010-06-24 14:41	247144	----a-w-	c:\programme\TomTom HOME 2\TomTomHOMERunner.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Ulead AutoDetector]
2003-11-19 12:03	45056	----a-w-	c:\programme\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\XtrCtrlExEmotion]
2009-10-19 15:30	3261736	----a-w-	c:\programme\Hercules\Dualpix Emotion\XtrCtrlEx.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"DisableNotifications"= 1 (0x1)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Programme\\Hercules\\Webcam Station Evolution\\StationEv.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Hercules\\Dualpix Emotion\\XtrCtrlEx.exe"=
"c:\\Programme\\Hewlett-Packard\\Digital Imaging\\bin\\hpqtra08.exe"=
"c:\\Programme\\Hewlett-Packard\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Programme\\Hewlett-Packard\\Digital Imaging\\bin\\hpofxm08.exe"=
"c:\\Programme\\Hewlett-Packard\\Digital Imaging\\bin\\hposfx08.exe"=
"c:\\Programme\\Hewlett-Packard\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Programme\\Hewlett-Packard\\Digital Imaging\\bin\\hpqscnvw.exe"=
"c:\\Programme\\Hewlett-Packard\\Digital Imaging\\bin\\hpzwiz01.exe"=
"c:\\Programme\\Hewlett-Packard\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"c:\\Programme\\Hewlett-Packard\\Digital Imaging\\bin\\hpoews01.exe"=
"c:\\Programme\\Hewlett-Packard\\Digital Imaging\\bin\\hpiscnapp.exe"=
"c:\\Programme\\Hewlett-Packard\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Programme\\Google\\Google Earth\\client\\googleearth.exe"=
"c:\\Programme\\Google\\Google Earth\\plugin\\geplugin.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3025:TCP"= 3025:TCP:Akamai NetSession Interface
"5000:UDP"= 5000:UDP:Akamai NetSession Interface
.
R1 SAVRKBootTasks;Boot Tasks Driver;c:\windows\system32\SAVRKBootTasks.sys [15.08.2011 14:27 18816]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [15.08.2011 16:29 136360]
R2 litsgt;litsgt;c:\windows\system32\drivers\litsgt.sys [29.08.2009 17:33 137344]
R2 tansgt;tansgt;c:\windows\system32\drivers\tansgt.sys [29.08.2009 17:33 12032]
R2 TomTomHOMEService;TomTomHOMEService;c:\programme\TomTom HOME 2\TomTomHOMEService.exe [24.06.2010 16:41 92008]
R2 WDBtnMgrSvc.exe;WD Drive Manager Service;c:\programme\Western Digital\WD Drive Manager\WDBtnMgrSvc.exe [24.07.2008 16:22 102400]
R3 AVMCOWAN;AVMCOWAN;c:\windows\system32\drivers\avmcowan.sys [24.11.2004 01:00 53248]
R3 AVMWAN;AVM NDIS WAN CAPI-Treiber;c:\windows\system32\drivers\avmwan.sys [02.10.2005 21:28 37568]
R3 fpcibase;AVM ISDN-Controller FRITZ!Card PCI;c:\windows\system32\drivers\fpcibase.sys [02.10.2005 21:28 444416]
R3 hxctlflt;hxctlflt;c:\windows\system32\drivers\hxctlflt.sys [30.10.2009 20:14 99968]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [16.08.2011 15:42 22712]
S0 MFX;MFX; [x]
S2 gupdate1c99f09e5927eb8;Google Update Service (gupdate1c99f09e5927eb8);c:\programme\Google\Update\GoogleUpdate.exe [07.03.2009 11:48 133104]
S2 MBAMService;MBAMService;c:\programme\Malwarebytes' Anti-Malware\mbamservice.exe [16.08.2011 15:42 366640]
S3 DNINDIS5;DNINDIS5 NDIS Protocol Driver;\??\c:\progra~1\Belkin\BELKIN~1.11G\DNINDIS5.SYS --> c:\progra~1\Belkin\BELKIN~1.11G\DNINDIS5.SYS [?]
S3 gupdatem;Google Update-Dienst (gupdatem);c:\programme\Google\Update\GoogleUpdate.exe [07.03.2009 11:48 133104]
S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [16.08.2011 15:42 41272]
S3 MEMSWEEP2;MEMSWEEP2;\??\c:\windows\system32\12.tmp --> c:\windows\system32\12.tmp [?]
S3 NETFRITZ;AVM FRITZ!web PPP over ISDN;c:\windows\system32\DRIVERS\NETFRITZ.SYS --> c:\windows\system32\DRIVERS\NETFRITZ.SYS [?]
S3 Usblink;Usblink Driver;c:\windows\system32\drivers\ulink.sys [08.09.2006 19:48 40060]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [26.07.2010 23:53 691696]
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - 37722297
*Deregistered* - 37722297
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12	REG_MULTI_SZ   	Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt	REG_MULTI_SZ   	hpqcxs08 hpqddsvc
.
Inhalt des "geplante Tasks" Ordners
.
2008-11-13 c:\windows\Tasks\FRU Task 2003-04-06 08:52ewlett-Packard2003-04-06 08:52p psc 2200 series5E771253C1676EBED677BF361FDFC537825E15B8216330438.job
- c:\programme\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe [2003-04-05 22:52]
.
2011-08-23 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-03-07 09:48]
.
2011-08-23 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-03-07 09:48]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
uInternet Connection Wizard,ShellNext = iexplore
uInternet Settings,ProxyOverride = *.local
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.1.1
FF - ProfilePath - c:\dokumente und einstellungen\Ralph Westermann\Anwendungsdaten\Mozilla\Firefox\Profiles\kvsvyksp.default\
FF - prefs.js: browser.search.defaulturl - 
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - user.js: general.useragent.extra.zencast - 
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
HKCU-Run-AdobeBridge - (no file)
HKLM-Run-ZoneAlarm Client - c:\programme\Zone Labs\ZoneAlarm\zlclient.exe
MSConfigStartUp-3480443423 - c:\dokumente und einstellungen\Ralph Westermann\Lokale Einstellungen\Anwendungsdaten\jaj.exe
MSConfigStartUp-updateMgr - c:\programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe
AddRemove-Adobe SVG Viewer - c:\windows\IsUn0407.exe
AddRemove-LdoceDeinstKey - c:\windows\IsUn0407.exe
AddRemove-Redirection Port Monitor - c:\windows\system32\unredmon.exe
AddRemove-ZoneAlarm - c:\programme\Zone Labs\ZoneAlarm\zauninst.exe
AddRemove-{889DF117-14D1-44EE-9F31-C5FB5D47F68B} - c:\dokume~1\ALLUSE~1\ANWEND~1\TARMAI~1\{889DF~1\Setup.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2011-08-24 01:00
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
.
c:\windows\system32\drivers\MFX.sys 49420 bytes executable
C:\SYZ_DAT
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 2
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\System\ControlSet003\Services\MEMSWEEP2]
"ImagePath"="\??\c:\windows\system32\12.tmp"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-73586283-1972579041-725345543-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.*]%8*4*]
@Class="Shell"
.
[HKEY_USERS\S-1-5-21-73586283-1972579041-725345543-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.*]%8*4*\OpenWithList]
@Class="Shell"
.
[HKEY_USERS\S-1-5-21-73586283-1972579041-725345543-1004\Software\SecuROM\License information*]
"datasecu"=hex:c4,da,86,78,a2,0d,43,09,2e,6d,ca,41,1e,ea,70,f0,bc,f5,a9,c5,95,
   fa,88,f8,1e,b5,05,34,a0,de,2b,48,6b,7d,c6,55,cd,81,7f,d0,9e,59,b5,e5,b6,c3,\
"rkeysecu"=hex:cb,bd,f2,61,5a,4e,c6,95,f2,29,8b,82,ba,6b,3d,44
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(736)
c:\windows\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2011-08-24  01:06:48
ComboFix-quarantined-files.txt  2011-08-23 23:06
.
Vor Suchlauf: 19 Verzeichnis(se), 19.826.401.280 Bytes frei
Nach Suchlauf: 21 Verzeichnis(se), 20.492.767.232 Bytes frei
.
WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect
.
Current=3 Default=3 Failed=0 LastKnownGood=6 Sets=1,2,3,4,5,6
- - End Of File - - 83EE51F475EE1ECC34EE3B79A8E6BF4F
         

--- --- ---

Mit Gruß

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code: Alles auswählenAufklappen

ATTFilter

Killall::

File::
c:\windows\system32\drivers\MFX.sys
C:\SYZ_DAT
c:\windows\003180_.tmp
c:\windows\SET66.tmp
c:\windows\SET5A.tmp
c:\windows\SET57.tmp
c:\windows\SETFE.tmp
c:\windows\SETF2.tmp
c:\windows\SETEF.tmp
c:\windows\system32\12.tmp

Folder::
C:\SYZ_DAT
c:\windows\system32\ZoneLabs

Rootkit::
c:\windows\system32\drivers\MFX.sys
C:\SYZ_DAT

Driver::
MFX

Reglockdel::
[HKEY_USERS\S-1-5-21-73586283-1972579041-725345543-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.*]%8*4*]

Regnull::
[HKEY_USERS\S-1-5-21-73586283-1972579041-725345543-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.*]%8*4*]

Registry::
[-HKEY_LOCAL_MACHINE\System\ControlSet003\Services\MEMSWEEP2]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3025:TCP"=-
"5000:UDP"=-
         

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.



6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Hallo,

anbei die combofix.txt.

Danke und Gruß

Ralph