Absicherung machen wir am Schluss, wir sind noch lange nicht durch


Hinweis für Mitleser:
Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm vom folgenden Download-Spiegel neu herunter:

BleepingComputer.com

und speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)!

Drücke die Windows + R Taste --> Notepad (hinein schreiben) --> OK

Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument.

Code: Alles auswählenAufklappen

ATTFilter

Folder::
c:\dokumente und einstellungen\All Users\Anwendungsdaten\nxqaolvxefropsv
DDS::
uInternet Settings,ProxyOverride = *.local;127.0.0.1:9421;<local>
         

Speichere dies als CFScript.txt auf Deinem Desktop.

Wichtig:

• Stelle deine Anti Viren Software temprär ab. Dies kann ComboFix nämlich bei der Arbeit behindern.
  Danach wieder anstellen nicht vergessen!
• Bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein.
  Dies kann dazu führen, dass ComboFix sich aufhängt.
• Schließe alle laufenden Programme. Gehe sicher das ComboFix ungehindert arbeiten kann.
• Mache nichts am PC solange ComboFix läuft.

• In Bezug auf obiges Bild, ziehe CFScript.txt in die ComboFix.exe
• Wenn ComboFix fertig ist, wird es ein Log erstellen, C:\ComboFix.txt. Bitte füge es hier als Antwort ein.

Falls im Skript die Anweisung Suspect:: oder Collect:: enthalten ist, wird eine Message-Box erscheinen, nachdem Combofix fertig ist. Klicke OK und folge den Aufforderungen/Anweisungen, um die Dateien hochzuladen.





Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Suche.
• Nach Ende des Suchlaufs öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[R1].txt.

• Schließe alle offenen Programme und Browser.
• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Löschen.
• Bestätige jeweils mit Ok.
• Dein Rechner wird neu gestartet. Nach dem Neustart öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt.

Malwarebytes' Anti-Malware

• Lies dir die Entfernungsanleitung durch und lass alles entfernen was gefunden wurde:

• Download von Malwarebytes' Anti-Malware

(nach dem scannen auf den Button klicken und Funde löschen lassen!)



Und ein frisches OTL logfile bitte.

Ich hoffe, dieses Mal passt alles beim Combofix, ich habe die per drag and drop reinzuschiebende txt ein wenig früh losgelassen. Nicht dass es ohne den Code gelaufen ist.

Bitte kurz O.K. sagen für den nächsten Schritt (NOCHMAL adwcleaner??).
Combofix Logfile:

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 12-10-09.01 - xxx 09.10.2012  22:23:10.2.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.3062.2564 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\xxx\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\xxx\Desktop\CFScript.txt
AV: G Data AntiVirus 2013 *Disabled/Updated* {71310606-6F3B-49F2-9A81-8315AA75FBB3}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\All Users\Anwendungsdaten\nxqaolvxefropsv
c:\dokumente und einstellungen\All Users\Anwendungsdaten\nxqaolvxefropsv\btn-green.png
c:\dokumente und einstellungen\All Users\Anwendungsdaten\nxqaolvxefropsv\corners-btn.png
c:\dokumente und einstellungen\All Users\Anwendungsdaten\nxqaolvxefropsv\corners1.png
c:\dokumente und einstellungen\All Users\Anwendungsdaten\nxqaolvxefropsv\corners2.png
c:\dokumente und einstellungen\All Users\Anwendungsdaten\nxqaolvxefropsv\corners3.png
c:\dokumente und einstellungen\All Users\Anwendungsdaten\nxqaolvxefropsv\corners4.png
c:\dokumente und einstellungen\All Users\Anwendungsdaten\nxqaolvxefropsv\de-flag.png
c:\dokumente und einstellungen\All Users\Anwendungsdaten\nxqaolvxefropsv\de-image.png
c:\dokumente und einstellungen\All Users\Anwendungsdaten\nxqaolvxefropsv\ie6-7.css
c:\dokumente und einstellungen\All Users\Anwendungsdaten\nxqaolvxefropsv\jquery.main.js
c:\dokumente und einstellungen\All Users\Anwendungsdaten\nxqaolvxefropsv\McAfee.png
c:\dokumente und einstellungen\All Users\Anwendungsdaten\nxqaolvxefropsv\pays-de.png
c:\dokumente und einstellungen\All Users\Anwendungsdaten\nxqaolvxefropsv\steps-de.png
c:\dokumente und einstellungen\All Users\Anwendungsdaten\nxqaolvxefropsv\steps-en.png
c:\dokumente und einstellungen\All Users\Anwendungsdaten\nxqaolvxefropsv\style.css
c:\dokumente und einstellungen\All Users\Anwendungsdaten\nxqaolvxefropsv\tabs.png
c:\dokumente und einstellungen\All Users\Anwendungsdaten\nxqaolvxefropsv\wait.html
c:\windows\TEMP\logishrd\LVPrcInj01.dll
.
.
(((((((((((((((((((((((   Dateien erstellt von 2012-09-09 bis 2012-10-09  ))))))))))))))))))))))))))))))
.
.
2012-09-28 19:41 . 2012-09-28 19:41    --------    d-sh--w-    c:\dokumente und einstellungen\NetworkService\IETldCache
2012-09-12 09:54 . 2012-09-12 09:54    73696    ----a-w-    c:\programme\Mozilla Firefox\breakpadinjector.dll
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-10-07 10:50 . 2012-04-05 10:10    696240    ----a-w-    c:\windows\system32\FlashPlayerApp.exe
2012-10-07 10:50 . 2011-05-27 20:04    73136    ----a-w-    c:\windows\system32\FlashPlayerCPLApp.cpl
2012-10-02 09:20 . 2012-06-05 22:23    53536    ----a-w-    c:\windows\system32\drivers\GDTdiIcpt.sys
2012-10-02 09:20 . 2012-06-05 22:23    93728    ----a-w-    c:\windows\system32\drivers\MiniIcpt.sys
2012-10-02 09:20 . 2012-06-05 22:23    41888    ----a-w-    c:\windows\system32\drivers\GDBehave.sys
2012-09-07 15:04 . 2011-12-25 21:57    22856    ----a-w-    c:\windows\system32\drivers\mbam.sys
2009-07-27 17:46 . 2009-07-27 17:44    17828326    ----a-w-    c:\programme\vlc-1.0.0-win32.exe
2012-09-12 09:54 . 2011-06-11 15:37    266720    ----a-w-    c:\programme\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Akamai NetSession Interface"="c:\dokumente und einstellungen\Martin\Lokale Einstellungen\Anwendungsdaten\Akamai\netsession_win.exe" [2012-08-10 4440896]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CFSServ.exe"="CFSServ.exe -NoClient" [X]
"T-DSL SpeedMgr"="c:\programme\T-DSL SpeedManager\SpeedMgr.exe" [2006-02-09 765952]
"SSBkgdUpdate"="c:\programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2006-10-25 210472]
"ISUSPM Startup"="c:\progra~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2005-02-16 221184]
"ISUSScheduler"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2005-02-16 81920]
"DNS7reminder"="c:\programme\Nuance\NaturallySpeaking10\Ereg\Ereg.exe" [2007-04-16 259624]
"TPSMain"="TPSMain.exe" [2007-10-15 266240]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-10-25 185896]
"THotkey"="c:\programme\Toshiba\Toshiba Applet\thotkey.exe" [2008-03-04 360448]
"TFncKy"="TFncKy.exe" [BU]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2007-12-06 1024000]
"SmoothView"="c:\programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe" [2007-05-11 143360]
"RTHDCPL"="RTHDCPL.EXE" [2008-01-29 16859648]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-02-05 137752]
"NDSTray.exe"="NDSTray.exe" [BU]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-02-05 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-02-05 162328]
"DDWMon"="c:\programme\TOSHIBA\TOSHIBA Direct Disc Writer\\ddwmon.exe" [2007-04-26 495616]
"Camera Assistant Software"="c:\program files\Camera Assistant Software for Toshiba\traybar.exe" [2007-10-25 413696]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"LogitechQuickCamRibbon"="c:\programme\Logitech\Logitech WebCam Software\LWS.exe" [2009-10-14 2793304]
"APSDaemon"="c:\programme\Gemeinsame Dateien\Apple\Apple Application Support\APSDaemon.exe" [2011-09-27 59240]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2011-11-12 421736]
"G Data AntiVirus Tray Application"="c:\programme\G Data\AntiVirus\AVKTray\AVKTray.exe" [2012-09-17 995352]
"ControlCenter3"="c:\programme\Brother\ControlCenter3\brctrcen.exe" [2008-12-24 114688]
"BrStsMon00"="c:\programme\Browny02\Brother\BrStMonW.exe" [2010-02-09 2621440]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\SmartFTP Client\\SmartFTP.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Apple\\Apple Application Support\\WebKit2WebProcess.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"54925:UDP"= 54925:UDP:BrotherNetwork Scanner
"1044:TCP"= 1044:TCP:Akamai NetSession Interface
"5000:UDP"= 5000:UDP:Akamai NetSession Interface
.
R0 GDBehave;GDBehave;c:\windows\system32\drivers\GDBehave.sys [06.06.2012 00:23 41888]
R1 GDMnIcpt;GDMnIcpt;c:\windows\system32\drivers\MiniIcpt.sys [06.06.2012 00:23 93728]
R1 HookCentre;HookCentre;c:\windows\system32\drivers\HookCentre.sys [06.06.2012 00:23 46840]
R2 AVKProxy;G Data AntiVirus Proxy;c:\programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe [02.02.2012 12:21 1542680]
R2 AVKService;G Data Scheduler;c:\programme\G DATA\AntiVirus\AVK\AVKService.exe [27.01.2012 04:43 468472]
R2 AVKWCtl;G Data Dateisystem Wächter;c:\programme\G DATA\AntiVirus\AVK\AVKWCtl.exe [27.01.2012 05:00 1584112]
R2 GDTdiInterceptor;GDTdiInterceptor;c:\windows\system32\drivers\GDTdiIcpt.sys [06.06.2012 00:23 53536]
R2 tdudf;TOSHIBA UDF File System Driver;c:\windows\system32\drivers\tdudf.sys [26.03.2007 12:22 105856]
R2 trudf;TOSHIBA DVD-RAM UDF File System Driver;c:\windows\system32\drivers\trudf.sys [19.02.2007 12:15 134016]
R3 BrYNSvc;BrYNSvc;c:\programme\Browny02\BrYNSvc.exe [15.08.2012 17:06 245760]
R3 FwLnk;FwLnk Driver;c:\windows\system32\drivers\FwLnk.sys [10.04.2008 08:42 5888]
R3 GDScan;G Data Scanner;c:\programme\Gemeinsame Dateien\G DATA\GDScan\GDScan.exe [27.01.2012 15:01 470008]
R3 TSMPacket;T-DSL SpeedManager Service;c:\windows\system32\drivers\tsmpkt.sys [01.12.2005 14:38 13184]
S3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [05.04.2012 12:10 250288]
S3 MozillaMaintenance;Mozilla Maintenance Service;c:\programme\Mozilla Maintenance Service\maintenanceservice.exe [21.07.2012 13:16 114144]
.
Inhalt des "geplante Tasks" Ordners
.
2012-10-07 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-05 10:50]
.
2011-11-20 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2011-06-01 16:57]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.der-weg-nach-hause.de/
uInternet Settings,ProxyOverride = <local>
IE: An vorhandene PDF-Datei anfügen - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
IE: In Adobe PDF konvertieren - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
IE: Linkziel an vorhandene PDF-Datei anhängen - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Linkziel in Adobe PDF konvertieren - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Mit dem LeechGet Wizard laden - file://c:\programme\LeechGet 2007\\Wizard.html
IE: Mit LeechGet herunterladen - file://c:\programme\LeechGet 2007\\AddUrl.html
IE: Mit LeechGet parsen - file://c:\programme\LeechGet 2007\\Parser.html
TCP: DhcpNameServer = 192.168.2.1
FF - ProfilePath - c:\dokumente und einstellungen\Martin\Anwendungsdaten\Mozilla\Firefox\Profiles\c3k68aro.default\
FF - prefs.js: browser.search.selectedEngine - foxsearch
FF - prefs.js: browser.startup.homepage - hxxp://www.astrologie-mit-herz.de
FF - prefs.js: keyword.URL - hxxp://www.finduny.com?client=mozilla-firefox&cd=UTF-8&search=1&q=
FF - user.js: browser.search.selectedEngine - foxsearch
FF - user.js: browser.search.order.1 - foxsearch
FF - user.js: browser.search.defaultenginename - foxsearch
FF - user.js: keyword.URL - hxxp://www.finduny.com?client=mozilla-firefox&cd=UTF-8&search=1&q=
FF - user.js: privacy.item.cookies - false
FF - user.js: privacy.sanitize.promptOnSanitize - false
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-10-09 22:32
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'explorer.exe'(5960)
c:\windows\TEMP\logishrd\LVPrcInj01.dll
c:\windows\system32\ieframe.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\TPwrCfg.DLL
c:\windows\system32\TPwrReg.dll
c:\windows\system32\TPSTrace.DLL
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\agrsmsvc.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\windows\system32\TPSMain.exe
c:\programme\TOSHIBA\TOSHIBA Controls\TFncKy.exe
c:\windows\RTHDCPL.EXE
c:\windows\system32\TPSBattM.exe
c:\programme\TOSHIBA\ConfigFree\NDSTray.exe
c:\windows\system32\igfxsrvc.exe
c:\programme\TOSHIBA\TOSHIBA Direct Disc Writer\ddwmon.exe
c:\programme\TOSHIBA\ConfigFree\CFSServ.exe
c:\program files\Camera Assistant Software for Toshiba\CEC_MAIN.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\programme\TOSHIBA\ConfigFree\CFSvcs.exe
c:\programme\Brother\ControlCenter3\brccMCtl.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
c:\programme\Gemeinsame Dateien\Logishrd\LQCVFX\COCIManager.exe
c:\programme\CDBurnerXP\NMSAccessU.exe
c:\programme\TOSHIBA\TOSHIBA Applet\TAPPSRV.exe
c:\windows\system32\TODDSrv.exe
c:\windows\system32\wdfmgr.exe
c:\programme\T-DSL SpeedManager\TSMSvc.exe
c:\programme\iPod\bin\iPodService.exe
c:\windows\system32\wbem\wmiapsrv.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2012-10-09  22:34:39 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2012-10-09 20:34
ComboFix2.txt  2012-10-09 15:30
.
Vor Suchlauf: 15 Verzeichnis(se), 200.484.147.200 Bytes frei
Nach Suchlauf: 16 Verzeichnis(se), 200.476.696.576 Bytes frei
.
- - End Of File - - A37F3502E55044DBCBF1BFA190A7D9A9
         

--- --- ---