Google sucht nicht

hatschi80 · 10.07.2008, 08:15

Hallo ihr Helfer in der Not

Seit ca. 1 Woche kann ich über google (die anderen Suchmaschinen sind ebenfalls betroffen) nix mehr suchen. Weder über Firefox, noch über'n IE. Die Seite läd zwar jeweils, aber über das Suchfeld geht gar nichts mehr. Egal welcher Suchbegriff, es passiert gar nichts (ganz selten mal sucht er doch, aber das ist vielleicht 1:100 ... vor allem, wenn ich den Browser grade neu gestartet hab klappts eher.)

Hab bereit avast! mehrfach drüber laufen lassen und alles was er gefunden hat entfernen lassen.

In meiner Suche (ist echt hinderlich auf Fehlersuche zu gehen, wenn keine Suchmaschine funktioniert) bin ich dann auf euer Board gestoßen. Die ähnlichen Probleme, die ich gefunden habe, sind aber alle entweder gar nicht (zumindest wurde die Lösung nicht gepostet), oder userspezifisch gelöst worden, so dass ich damit nicht viel anfangen konnte.
Nun hoffe ich, dass ihr mir dennoch irgendwie helfen könnt, denn ich hab wenig Lust, die ganze Kiste platt zu machen...

Hab mir gestern schon mal HJT runtergeladen, würde euch das log helfen?

Liebe Grüße schon mal im Voraus
hatschi80

PS.: Ach so, ich hab XP drauf...

blow-in · 10.07.2008, 09:29

Hallo Hatschi
Poste doch erst einmal ein Log von HijackThis nach Anleitung. Nicht vergessen vorher aktive Links und Klarnamen zu editieren. (http:// durch h**p:// ersetzen)

hatschi80 · 10.07.2008, 13:09

Hallo, hier mein HJT-log ... hoffe ich hab alles richtig editiert...
____________________________________

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:05:00, on 10.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\brsvc01a.exe
C:\WINDOWS\System32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Sitecom\IVT BlueSoleil\BTNtService.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\Rundll32.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://us.rd.yahoo.com/customize/ie/defaults/sb/msgr8/*http://www.yahoo.com/ext/search/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://us.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*http://www.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://us.rd.yahoo.com/customize/ie/defaults/sb/msgr8/*http://www.yahoo.com/ext/search/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://us.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://www.yahoo.com
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Yahoo! IE Services Button - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Programme\Yahoo!\Common\yiesrvc.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [BMcf9d175a] Rundll32.exe "C:\WINDOWS\system32\duoqvfbw.dll",s
O4 - HKCU\..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O8 - Extra context menu item: &Yahoo! Search - file:///C:\Programme\Yahoo!\Common/ycsrch.htm
O8 - Extra context menu item: Yahoo! &Dictionary - file:///C:\Programme\Yahoo!\Common/ycdict.htm
O8 - Extra context menu item: Yahoo! &Maps - file:///C:\Programme\Yahoo!\Common/ycmap.htm
O8 - Extra context menu item: Yahoo! &SMS - file:///C:\Programme\Yahoo!\Common/ycsms.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Yahoo! Services - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Programme\Yahoo!\Common\yiesrvc.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Programme\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Programme\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: winxtx32 - winxtx32.dll (file missing)
O20 - Winlogon Notify: wvUlihFX - wvUlihFX.dll (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\Sitecom\IVT BlueSoleil\BTNtService.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: AVM IGD CTRL Service (IGDCTRL) - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 7245 bytes

blow-in · 10.07.2008, 13:32

Hallo Hatschi
geh mal auf Virustotal und lade die Datei hoch.

Zitat:

C:\WINDOWS\system32\duoqvfbw.dll

Der Scan kann etwas dauern. Poste das Ergebnis dann komplett.
Führe dann noch einmal HJT aus aber Do a system scan only.
Dann einen Haken vor alle Zeilen

Zitat:

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O20 - Winlogon Notify: winxtx32 - winxtx32.dll (file missing)
O20 - Winlogon Notify: wvUlihFX - wvUlihFX.dll (file missing)

Danach auf Fix checked und neu Starten lassen

hatschi80 · 10.07.2008, 14:10

Virus Total liefert das hier...
Ziemlich viel rot, wenn ihr mich fragt *bibber*

Nehme den Rest der "Anweisungen" gleich in Angriff...

___________________________________

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.7.10.0 2008.07.10 -
AntiVir 7.8.0.64 2008.07.10 TR/Crypt.XPACK.Gen
Authentium 5.1.0.4 2008.07.10 -
Avast 4.8.1195.0 2008.07.09 -
AVG 7.5.0.516 2008.07.10 Vundo.U
BitDefender 7.2 2008.07.10 Trojan.Vundo.EWZ
CAT-QuickHeal 9.50 2008.07.09 -
ClamAV 0.93.1 2008.07.10 -
DrWeb 4.44.0.09170 2008.07.10 Trojan.Virtumod.based.21
eSafe 7.0.17.0 2008.07.09 Win32.Monderc.gen
eTrust-Vet 31.6.5943 2008.07.10 Win32/Vundo.AHR
Ewido 4.0 2008.07.10 -
F-Prot 4.4.4.56 2008.07.10 W32/Virtumonde.AB!Eldorado
F-Secure 7.60.13501.0 2008.07.10 -
Fortinet 3.14.0.0 2008.07.10 Generic.A
GData 2.0.7306.1023 2008.07.10 Trojan.Win32.Monderc.gen
Ikarus T3.1.1.26.0 2008.07.10 Virus.Trojan.Win32.Monderc
Kaspersky 7.0.0.125 2008.07.10 Trojan.Win32.Monderc.gen
McAfee 5335 2008.07.09 Vundo
Microsoft 1.3704 2008.07.10 Trojan:Win32/Vundo.gen!R
NOD32v2 3258 2008.07.10 -
Norman 5.80.02 2008.07.10 Vundo.gen192
Panda 9.0.0.4 2008.07.09 Spyware/Virtumonde
Prevx1 V2 2008.07.10 Malicious Software
Rising 20.52.32.00 2008.07.10 -
Sophos 4.31.0 2008.07.10 Mal/Generic-A
Sunbelt 3.1.1509.1 2008.07.04 -
Symantec 10 2008.07.10 Trojan.Vundo
TheHacker 6.2.96.374 2008.07.07 -
TrendMicro 8.700.0.1004 2008.07.10 TROJ_VUNDO.FC
VBA32 3.12.6.9 2008.07.10 Trojan.Win32.Monderc.gen
VirusBuster 4.5.11.0 2008.07.09 -
Webwasher-Gateway 6.6.2 2008.07.10 Trojan.Crypt.XPACK.Gen
weitere Informationen
File size: 90112 bytes
MD5...: 4e0d3a2b878b74f27126bdabcb2519d4
SHA1..: 53d2b35ead7cf0edc0b26ce553542a91b3afb287
SHA256: fdf105973d9b2d701408d971839c49105352f9ec6be4af93e888cb535ec35a22
SHA512: cb42a09382c3d027db165ea28a6e00aaa06e3742de6b69f40da2ae2187c78e7c
ce339323159ec474736d3f02cfadead63c68c75c1992319e3d423b93f5e32a4b
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1002a957
timedatestamp.....: 0x247b9452 (Thu May 25 05:51:14 1989)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.data 0x1000 0x29000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.text 0x2a000 0x109c 0x1200 6.13 c09b727c8ab555b1540e1fe662d5cfc1
.rdata 0x2c000 0x15000 0x14200 8.00 fa7666e4d56f6da0a3f2c61c33140cda
.idata 0x41000 0x1000 0x400 4.59 9ac59bcc24ad2fa823a88f9f080f50b4
.reloc 0x42000 0x1000 0x400 0.90 f28920d279419d1cf2826af282572318

( 4 imports )
> kernel32.dll: lstrcatA, GetEnvironmentStrings, LoadResource, lstrcmpiW, GetEnvironmentVariableA
> gdi32.dll: CreatePalette, CreateDCW, GetTextFaceA, BRUSHOBJ_ulGetBrushColor, EngPaint, CreateHatchBrush, EngAcquireSemaphore, GetTextColor, CloseFigure, GetPixel, CreateRoundRectRgn, CreateDCA
> comctl32.dll: DrawInsert, ImageList_GetImageCount, CreateUpDownControl, ImageList_DragEnter, FlatSB_EnableScrollBar, ImageList_EndDrag, ImageList_SetBkColor, ImageList_Draw, PropertySheet, InitCommonControls, CreatePropertySheetPage, MakeDragList
> user32.dll: SetDlgItemTextA, CallWindowProcA, MsgWaitForMultipleObjects, CascadeWindows, ValidateRect, DrawAnimatedRects, SetRect

( 0 exports )
Prevx info: h**p://info.prevx.com/aboutprogramtext.asp?PX5=34531D0F00329F1B60ED013B3C2E07000F7CC7C4

hatschi80 · 10.07.2008, 14:16

Hab jetzt (hoffe, das hatte ich richtig verstanden?) nur vor die drei angegebenen Zeilen ein Häkchen gesetzt und die fixen lassen...

Soll ich die neue *.log posten? Oder sollte ich vor alle Zeilen des Scans ein Häkchen setzen und fixen lassen? (sorry, hab echt keinen Plan von sowas...)

hatschi80

trojan-death · 10.07.2008, 17:28

Zitat:

Zitat von hatschi80

Hab jetzt (hoffe, das hatte ich richtig verstanden?) nur vor die drei angegebenen Zeilen ein Häkchen gesetzt und die fixen lassen...

Soll ich die neue *.log posten? Oder sollte ich vor alle Zeilen des Scans ein Häkchen setzen und fixen lassen? (sorry, hab echt keinen Plan von sowas...)

hatschi80

Nur kurz einmisch...

Will nicht das hier was böse endet

Auf keinen Fall bei allen Einträgen ein Häcken setzen

Nur bei den die dir blow-in gesagt hast du sollst es tun, sprich:

Zitat:

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O20 - Winlogon Notify: winxtx32 - winxtx32.dll (file missing)
O20 - Winlogon Notify: wvUlihFX - wvUlihFX.dll (file missing)

nun zurück an blow-in

hatschi80 · 10.07.2008, 18:05

Dann hab ich das ja richtig verstanden und gemacht...

Das Problem besteht allerdings immer noch... Weiß ja nicht, bis zu welchen Stand eure Hilfen mich mittlerweile gebracht haben sollten, aber google sucht immer noch nicht...

(Nicht falsch verstehen, das ist keine Motzerei, bloß völlige Planlosigkeit meinerseits *g*)

Hier noch mal die aktuelle HJT-log...

Danke übrigens für eure Hilfe... Bin echt völlig aufgeschmissen...

_____________________

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:01:37, on 10.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\brss01a.exe
C:\Programme\Sitecom\IVT BlueSoleil\BTNtService.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\Rundll32.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://us.rd.yahoo.com/customize/ie/defaults/sb/msgr8/*h**p://www.yahoo.com/ext/search/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://us.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*h**p://www.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://us.rd.yahoo.com/customize/ie/defaults/sb/msgr8/*h**p://www.yahoo.com/ext/search/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://us.rd.yahoo.com/customize/ie/defaults/su/msgr8/*h**p://www.yahoo.com
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Yahoo! IE Services Button - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Programme\Yahoo!\Common\yiesrvc.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [BMcf9d175a] Rundll32.exe "C:\WINDOWS\system32\duoqvfbw.dll",s
O4 - HKCU\..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O8 - Extra context menu item: &Yahoo! Search - file:///C:\Programme\Yahoo!\Common/ycsrch.htm
O8 - Extra context menu item: Yahoo! &Dictionary - file:///C:\Programme\Yahoo!\Common/ycdict.htm
O8 - Extra context menu item: Yahoo! &Maps - file:///C:\Programme\Yahoo!\Common/ycmap.htm
O8 - Extra context menu item: Yahoo! &SMS - file:///C:\Programme\Yahoo!\Common/ycsms.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Yahoo! Services - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Programme\Yahoo!\Common\yiesrvc.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Programme\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Programme\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\Sitecom\IVT BlueSoleil\BTNtService.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: AVM IGD CTRL Service (IGDCTRL) - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 6869 bytes

**Sunny** · 10.07.2008, 18:09

@hatschi

ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)

hatschi80 · 10.07.2008, 19:00

Hi, hab jetzt sowohl CCleaner, als auch combofix drüberlaufen lassen. Die log füge ich unten ein...

Beim Starten von Combofix stand in dem blauen Fenster sowas wie "CScript-Fehler: Der Zugriff auf Windows Script Host wurde deaktiviert. Wenden sie sich an ihren Administrator."
(Das Kursive ist nur sinngemäß, danach scrollte die Anzeige weiter und ich sollte ja weder Maus noch Keyboard benutzen, während combofix läuft)

Hat das was zu bedeuten?

Und beim Hochfahren bekam ich ne Windows-Fehlermeldung:
"Fehler beim Laden von C:\WINDOWS\system32\duoqvfbw.dll. Das angegebene Modul wurde nicht gefunden."

Grund zur Besorgnis?

Hier nun die *.log von ComboFix :

ComboFix 08-07-09.5 - *** 2008-07-10 19:19:17.1 - NTFSx86
ausgeführt von:: C:\Dokumente und Einstellungen\***\Desktop\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\BadgQqru.ini
C:\WINDOWS\system32\BadgQqru.ini2
C:\WINDOWS\system32\btfunc.dll
C:\WINDOWS\system32\cJPrrBeg.ini
C:\WINDOWS\system32\cJPrrBeg.ini2
C:\WINDOWS\system32\duoqvfbw.dll
C:\WINDOWS\system32\lugejwqt.ini
C:\WINDOWS\system32\mcjekdtp.ini
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\sxdobaah.ini
C:\WINDOWS\system32\wddpajmy.ini
C:\WINDOWS\system32\ymjapddw.dll

.
((((((((((((((((((((((( Dateien erstellt von 2008-06-10 bis 2008-07-10 ))))))))))))))))))))))))))))))
.

2021-01-21 21:28 . 2000-01-27 16:17 414,272 --a------ C:\WINDOWS\system32\DIVXc32f.dll
2021-01-21 21:28 . 2000-01-27 16:17 414,272 --a------ C:\WINDOWS\system32\DIVXc32.dll
2021-01-21 21:28 . 2000-01-27 02:11 240,400 --a--c--- C:\WINDOWS\system32\DIVX_c32.ax
2008-07-09 21:35 . 2008-07-09 21:35 307,968 --a------ C:\WINDOWS\system32\TuneUpDefragService.exe
2008-07-09 21:35 . 2008-02-27 13:15 28,416 --a------ C:\WINDOWS\system32\uxtuneup.dll
2008-07-09 17:47 . 2008-07-09 17:47 <DIR> d-------- C:\Programme\Trend Micro
2008-07-07 00:06 . 2008-07-07 00:16 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\SprillBermudeEng
2008-07-06 23:55 . 2008-07-07 00:06 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Zylom
2008-07-06 21:20 . 2008-07-07 18:16 <DIR> d-------- C:\Programme\BSW
2008-06-30 16:44 . 2008-07-10 19:16 110,474 --a------ C:\WINDOWS\BMcf9d175a.xml
2008-06-28 21:54 . 2007-02-05 21:51 437,174 --a------ C:\jv-rudei80t.png
2008-06-28 10:08 . 2008-06-28 10:08 <DIR> d-------- C:\Programme\CyberLink
2008-06-28 10:08 . 2008-06-28 10:08 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CyberLink
2008-06-25 17:11 . 1996-10-15 17:01 298,496 --a------ C:\WINDOWS\uninst.exe
2008-06-22 18:35 . 2008-06-22 18:35 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2008-06-22 11:19 . 2008-06-28 10:12 <DIR> d-------- C:\Downloads
2008-06-19 18:00 . 2008-06-19 18:00 <DIR> d-------- C:\Programme\QuickTime
2008-06-19 18:00 . 2008-06-19 18:01 <DIR> d-------- C:\Programme\DVD Ripper Platinum 4
2008-06-19 17:54 . 2008-07-09 18:18 <DIR> d-------- C:\Programme\Gabest
2008-06-19 17:25 . 2008-06-19 17:25 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\AVS4YOU
2008-06-19 17:25 . 2008-06-19 17:25 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AVS4YOU
2008-06-19 17:24 . 2008-06-19 17:55 <DIR> d-------- C:\Programme\Gemeinsame Dateien\AVSMedia
2008-06-19 17:23 . 2007-02-27 19:36 1,700,352 --a------ C:\WINDOWS\system32\GdiPlus.dll
2008-06-19 17:23 . 2007-02-27 19:36 487,424 --a------ C:\WINDOWS\system32\msvcp70.dll
2008-06-19 17:23 . 2007-02-27 19:36 24,576 --a------ C:\WINDOWS\system32\msxml3a.dll
2008-06-16 18:05 . 2008-06-22 18:35 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-06-16 18:05 . 2008-06-16 18:05 1,409 --a------ C:\WINDOWS\QTFont.for
2008-06-10 22:01 . 2008-06-10 22:01 <DIR> d-------- C:\Programme\7-Zip

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-09 19:39 --------- d-----w C:\Programme\TuneUp Utilities 2008
2008-07-09 16:18 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\FRITZ!
2008-07-07 10:32 --------- d-----w C:\Programme\Zylom Games
2008-07-02 12:47 --------- d-----w C:\Programme\Realtek AC97
2008-06-28 08:08 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-06-19 16:04 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\dvdcss
2008-06-15 07:13 --------- d-----w C:\Programme\audiograbber
2008-06-14 00:18 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\uTorrent
2008-06-13 14:43 --------- d-----w C:\Programme\Free FLV Converter
2008-06-09 14:34 --------- d-----w C:\Programme\Gemeinsame Dateien\Reinhold-IT
2008-06-09 14:04 --------- d---a-w C:\Programme\ZeugnisGrundschule
2008-06-08 17:40 --------- d-----w C:\Programme\ProtectDisc Driver Installer
2008-06-04 08:43 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-05-27 04:34 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-05-27 04:33 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\AdobeUM
2008-05-24 09:36 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\XnView
2008-05-17 13:46 2,073,600 ----a-w C:\WINDOWS\Internet Logs\xDB3B.tmp
2008-05-17 13:18 --------- d-----w C:\Programme\MSBuild
2008-05-17 13:17 --------- d-----w C:\Programme\Reference Assemblies
2007-12-31 12:14 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
2006-11-05 11:58 278,528 ----a-w C:\Programme\xp-AntiSpy.exe
2000-01-01 00:00 23 --sha-r C:\WINDOWS\mtlid64s2.dat
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IncrediMail"="C:\Programme\IncrediMail\bin\IncMail.exe" [2006-12-07 16:11 204843]
"MsnMsgr"="C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 11:34 5724184]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-10-31 08:35 7634944]
"ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2007-03-09 00:02 919280]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-10-31 08:35 86016]
"RTHDCPL"="RTHDCPL.EXE" [2006-08-01 13:10 16049664 C:\WINDOWS\RTHDCPL.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 01:57 15360]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoSMHelp"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,73,79,73,74,65,6d,33,32,\

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.I420"= i420vfw.dll
"vidc.DIV3"= DIVXc32.dll
"vidc.DIV4"= DIVXc32f.dll

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
"Skype"="C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
"Yahoo! Pager"="C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"NvMediaCenter"=RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
"KernelFaultCheck"=%systemroot%\system32\dumprep 0 -k
"SunJavaUpdateSched"=C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
"NeroFilterCheck"=C:\WINDOWS\System32\NeroCheck.exe
"NvCplDaemon"=RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
"SoundMan"=SOUNDMAN.EXE
"nwiz"=nwiz.exe /install
"ControlCenter2.0"=C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
"SetDefPrt"=C:\Programme\Brother\Brmfl05a\BrStDvPt.exe
"PaperPort PTD"=C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
"IndexSearch"=C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
"SSBkgdUpdate"="C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\IncrediMail\\bin\\IncMail.exe"=
"C:\\Programme\\IncrediMail\\bin\\IMApp.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=

R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-05-16 01:20]
R2 acedrv10;acedrv10;C:\WINDOWS\system32\drivers\acedrv10.sys [2007-07-27 10:13]
R2 acehlp10;acehlp10;C:\WINDOWS\system32\drivers\acehlp10.sys [2007-07-27 12:46]
R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-05-16 01:16]
R2 IGDCTRL;AVM IGD CTRL Service;C:\Programme\FRITZ!DSL\IGDCTRL.EXE [2007-09-04 11:14]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 01:58]
S3 FXDRV;FXDRV;D:\Fxdrv.sys []
S3 oflpydin;oflpydin;C:\DOKUME~1\***\LOKALE~1\Temp\oflpydin.sys []
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-07-09 21:35]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

.
Inhalt des "geplante Tasks" Ordners
"2008-07-10 17:29:48 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2008\OneClickStarter.exe
.
- - - - ORPHANS REMOVED - - - -

HKLM-Run-BMcf9d175a - C:\WINDOWS\system32\duoqvfbw.dll
Notify-WgaLogon - (no file)
MSConfigStartUp-AlcoholAutomount - C:\Programme\Alcohol Soft\Alcohol 120\axcmd.exe

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net
Rootkit scan 2008-07-10 19:30:16
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\brss01a.exe
C:\Programme\Sitecom\IVT BlueSoleil\BTNtService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\PROGRA~1\INCRED~1\bin\ImNotfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-07-10 19:39:13 - machine was rebooted
ComboFix-quarantined-files.txt 2008-07-10 17:38:08

28 Verzeichnis(se), 25,426,239,488 Bytes frei
30 Verzeichnis(se), 25,338,802,176 Bytes frei

175 --- E O F --- 2008-04-13 13:11:08

**Sunny** · 10.07.2008, 19:09

So weit, so gut..

Hattest du mal Zonealarm installiert?

nun folgendes:

SDFix

* Lade das SDFix herunter und speichere es auf deinem Desktop.

* Mach einen Doppelklick auf die Datei SDFix.exe, wähle installieren, um das Programm in seinen eigenen Ordner auf deinem Desktop zu entpacken.
* Starte deinen Rechner neu auf, in den abgesicherten Modus

* Öffne den neu entstandenen SDFix Ordner, mach einen Doppelklick auf die RunThis.bat, um das Skript zu starten.
* Gib ein Y ein, um den Reinigungsprozess zu beginnen.
* Das Programm wird alle Trojaner Dienste und die dazugehörigen Registrierungseinträge löschen, die es findet.
* Nun wirst du darum gebeten, eine Taste zu drücken, damit dein Rechner neu aufstarten kann.
* Drücke auf eine Taste. Jetzt wird dein Rechner neu aufgestartet.
* Wenn der Rechner neu aufgestartet ist, wird das Fixtool nocheinmal laufen, um den Reinigungsprozess zu vervollständigen.
* Wenn das Programm angibt, dass es beendet ist (Finished), drücke wieder auf irgendeine Taste, um das Skript zu beenden und deine Desktop Iconen wieder zu laden.
* Wenn die Desktop Icons wieder da sind, wird das Skript ein Fenster öffnen und das Ergebnis als einen Report.txt im Ordner SDFix speichern.
* Kopiere den Inhalt dieses Report.txt und poste ihn, zusammen mit einem neuen HijackThis Logfile in deinem nächsten Posting.

Malwarebytes' Anti-Malware

Lies dir die Entfernungsanleitung durch und lass alles entfernen was gefunden wurde:

Download von Malwarebytes' Anti-Malware

Combofix Deinstallieren

Klick auf Start -> Ausführen -> eintippen combofix /U

Damit ist Combofix und alle weiteren Programme entfernt wurden.

hatschi80 · 10.07.2008, 19:12

Ja, hab ZoneAlarm noch drauf... nicht gut?

Nehme den Rest deiner Vorschläge jetzt in Angriff... *drücke mir selbst die Daumen*

Ähhhh... wie mach ich das mit dem abgesicherten Modus?

Dankbare Grüße
hatschi80

**Sunny** · 10.07.2008, 19:24

Rechner neu starten -> vor dem XP-Logo die Taste F8 drücken -> abgesicherter Modus wählen.

hatschi80 · 10.07.2008, 21:08

Mann mann mann, das hat mich aber jetzt Nerven gekostet... SDFix ließ sich zwar problemlos starten und lief auch ohne Mucken durch, aber dann fuhr der PC nimmer runter... Im Taskmanager hieß es, dass die Restart-Datei keine Rückmeldung gebe... Na ja, hab den PC nach dem dritten Versuch dann manuell neugestartet, ohne den Task vorher zu beenden, dann ging's *g*

Malwarebytes läuft, hierschon mal der SDFix-Report :
_____________________

SDFix: Version 1.204
Run by *** on 10.07.2008 at 20:54

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\DOKUME~1\***\Desktop\SDFix

Checking Services :

Restoring Default Security Values
Restoring Default Hosts File

Rebooting

Checking Files :

No Trojan Files Found

Removing Temp Files

ADS Check :

Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net
Rootkit scan 2008-07-10 21:07:01
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"h0"=dword:00000000
"ujdew"=hex:ce,92,87,25,9a,61,ff,96,a2,af,8b,5a,c7,4d,a9,16,79,92,96,18,f3,..
"p0"="C:\Programme\Alcohol Soft\Alcohol 120\"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000001
"khjeh"=hex:97,a4,98,8b,6a,18,b9,17,15,76,24,81,de,03,5e,1e,c9,36,a3,57,43,..
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"h0"=dword:00000000
"ujdew"=hex:ce,92,87,25,9a,61,ff,96,a2,af,8b,5a,c7,4d,a9,16,79,92,96,18,f3,..
"p0"="C:\Programme\Alcohol Soft\Alcohol 120\"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000001
"khjeh"=hex:97,a4,98,8b,6a,18,b9,17,15,76,24,81,de,03,5e,1e,c9,36,a3,57,43,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"h0"=dword:00000000
"ujdew"=hex:ce,92,87,25,9a,61,ff,96,a2,af,8b,5a,c7,4d,a9,16,79,92,96,18,f3,..
"p0"="C:\Programme\Alcohol Soft\Alcohol 120\"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000001
"khjeh"=hex:97,a4,98,8b,6a,18,b9,17,15,76,24,81,de,03,5e,1e,c9,36,a3,57,43,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"h0"=dword:00000000
"ujdew"=hex:ce,92,87,25,9a,61,ff,96,a2,af,8b,5a,c7,4d,a9,16,79,92,96,18,f3,..
"p0"="C:\Programme\Alcohol Soft\Alcohol 120\"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000001
"khjeh"=hex:97,a4,98,8b,6a,18,b9,17,15,76,24,81,de,03,5e,1e,c9,36,a3,57,43,..

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher]
"TracesProcessed"=dword:00000065
"TracesSuccessful"=dword:00000005

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

Remaining Services :

Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\IncrediMail\\bin\\IncMail.exe"="C:\\Programme\\IncrediMail\\bin\\IncMail.exe:*:Enabled:IncrediMail"
"C:\\Programme\\IncrediMail\\bin\\IMApp.exe"="C:\\Programme\\IncrediMail\\bin\\IMApp.exe:*:Enabled:IncrediMail"
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"

Remaining Files :

Files with Hidden Attributes :

Tue 18 Nov 1997 5,950,976 ...H. --- "C:\Corel\Graphics8\Programs\CNSFlt80.dll"
Tue 3 Oct 2006 50,280 A..H. --- "C:\Programme\Gemeinsame Dateien\Adobe\ESD\DLMCleanup.exe"
Tue 25 Dec 2007 42,496 ...H. --- "C:\Dokumente und Einstellungen\***\Anwendungsdaten\Microsoft\Word\~WRL0270.tmp"
Tue 25 Dec 2007 181,760 ...H. --- "C:\Dokumente und Einstellungen\***\Anwendungsdaten\Microsoft\Word\~WRL0979.tmp"
Tue 25 Dec 2007 347,136 ...H. --- "C:\Dokumente und Einstellungen\***\Anwendungsdaten\Microsoft\Word\~WRL1630.tmp"
Tue 25 Dec 2007 20,992 ...H. --- "C:\Dokumente und Einstellungen\***\Anwendungsdaten\Microsoft\Word\~WRL2371.tmp"

Finished!

hatschi80 · 10.07.2008, 21:17

Hier nun der Malwarebytes-Report

Windows 5.1.2600 Service Pack 2

22:12:31 10.07.2008
mbam-log-7-10-2008 (22-12-31).txt

Scan Art: Komplett Scan (C:\|)
Objekte gescannt: 175977
Scan Dauer: 51 minute(s), 11 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine Malware Objekte gefunden)

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\System Volume Information\_restore{EAE7EC81-484D-4E6D-8BA4-25397DB75780}\RP56\A0027296.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\BMcf9d175a.xml (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\BMcf9d175a.txt (Trojan.Vundo) -> Quarantined and deleted successfully.

________________________

Status-Bericht: Google funktioniert wieder!!!!!! *freu*

Muss ich jetzt noch irgendwas beachten, bzw. veranlassen? Z.B. irgendeins der Programme sicherheitshalber noch mal laufen lassen oder so? Und was war mit der Frage nach ZoneAlarm?

Liebe Grüße und vielen vielen Dank
hatschi80

10.07.2008, 19:24	#13
Sunny Administrator > Competence Manager	Google sucht nicht Rechner neu starten -> vor dem XP-Logo die Taste F8 drücken -> abgesicherter Modus wählen. __________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare.

Google sucht nicht

Plagegeister aller Art und deren Bekämpfung: Google sucht nicht