Hallo,

nach login auf den Dresdnerbank-Seiten werden TANs abgefragt. Die habe ich natürlich nicht eingegeben und die Bank angerufen. Der Zugang ist erst einmal gesperrt, aber ich finde die Ursache nicht. Nach wie vor kommt diese Seite über den Explorer- egal wie ich mich einlogge. Mozilla zeigt mir sofort an, dass mein Zugang gesperrt ist.

Ich habe AntiVir, Norton, Spybot, Spyware Doctor, Ewido Antispyware und viele Tools online, offline, im abgesichtertern Modus und teilweise von BootCD (auf einem anderen Rechner erstellt) laufen lassen. Diese Programme finden alle nichts. Zusätzlich habe ich manuell alle BHOs im Explorer, auf der Festplatte und in der Registry gelöscht. Ferner habe ich alle nicht zuordbaren Prozesse und Dienste beendet.

Mein HijackThis-Logfile sieht so aus:

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA

[/edit]



COMOFIX hat folgendes Log erstellt:

ComboFix 08-07-19.1 - *** 2008-07-20 17:15:27.1 - NTFSx86
ausgeführt von:: C:\Dokumente und Einstellungen\***\Desktop\ComboFix.exe

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\MSINET.oca
C:\WINDOWS\system32\msvcsv60.dll

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_{DEF85C80-216A-43AB-AF70-1665EDBE2780}
-------\Service_{DEF85C80-216A-43ab-AF70-1665EDBE2780}


((((((((((((((((((((((( Dateien erstellt von 2008-06-20 bis 2008-07-20 ))))))))))))))))))))))))))))))
.

2008-07-20 14:59 . 2008-07-20 15:29 <DIR> d-------- C:\Programme\Spyware Doctor
2008-07-20 14:59 . 2007-12-10 13:53 81,288 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys
2008-07-20 14:59 . 2007-12-10 13:53 66,952 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys
2008-07-20 14:59 . 2008-02-01 11:55 42,376 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys
2008-07-20 14:59 . 2007-12-10 13:53 29,576 --a------ C:\WINDOWS\system32\drivers\kcom.sys
2008-07-20 14:57 . 2008-07-20 14:59 <DIR> d-------- C:\Programme\Spybot - Search & Destroy
2008-07-20 14:57 . 2008-07-20 16:01 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-07-20 10:29 . 2008-07-20 10:30 <DIR> d-------- C:\Programme\BHODemon 2
2008-07-19 12:23 . 2001-06-29 19:40 29,696 --a------ C:\WINDOWS\system32\flcss.exe
2008-07-18 16:17 . 2008-07-18 16:17 <DIR> d-------- C:\Programme\Trend Micro
2008-07-17 07:51 . 2008-07-17 07:51 0 --a------ C:\WINDOWS\nsreg.dat
2008-07-16 23:32 . 2008-07-16 23:32 62 --a------ C:\WINDOWS\ViewNX.INI
2008-07-16 15:42 . 2008-07-16 23:31 20 ---h----- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PKP_DLdw.DAT
2008-07-16 15:41 . 2008-07-16 15:41 <DIR> d-------- C:\Programme\Gemeinsame Dateien\muvee Technologies
2008-07-16 15:40 . 2008-07-16 15:42 <DIR> d-------- C:\Programme\Nikon
2008-07-16 15:40 . 2008-07-16 15:43 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Nikon
2008-07-16 15:40 . 2008-07-16 15:42 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ultima_T15
2008-07-16 15:40 . 2008-07-16 15:40 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nikon
2008-07-16 15:40 . 2008-07-16 15:42 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EnterNHelp
2008-07-16 15:40 . 2008-07-16 23:27 20 ---h----- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PKP_DLdu.DAT
2008-07-13 18:05 . 2008-07-13 18:04 24,885 --a------ C:\1netgear.cfg
2008-07-13 10:26 . 2008-07-20 17:09 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-07-13 10:22 . 2008-07-13 10:22 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Prevx
2008-07-13 10:08 . 2008-07-13 10:08 <DIR> d-------- C:\WINDOWS\system32\GroupPolicy
2008-07-13 10:08 . 2008-07-20 17:08 <DIR> d-------- C:\Programme\Hitman Pro
2008-07-11 16:26 . 2008-04-09 16:48 143,880 --a------ C:\WINDOWS\system32\drivers\mausbms.sys
2008-07-11 16:24 . 2008-07-11 16:24 <DIR> d-------- C:\Programme\M-Audio
2008-07-10 20:33 . 2007-11-14 16:20 20,936 --a------ C:\WINDOWS\system32\drivers\usb22ldr.sys
2008-07-10 17:35 . 2008-04-13 20:45 60,032 --a------ C:\WINDOWS\system32\drivers\USBAUDIO.sys
2008-07-10 17:35 . 2008-04-13 20:45 60,032 --a--c--- C:\WINDOWS\system32\dllcache\usbaudio.sys
2008-06-29 09:48 . 2008-06-09 09:48 124,800 --a------ C:\WINDOWS\system32\drivers\TCNear.sys
2008-06-29 09:48 . 2008-06-09 09:48 106,496 --a------ C:\WINDOWS\system32\TCNearAsio.dll
2008-06-29 09:48 . 2008-06-09 09:48 20,864 --a------ C:\WINDOWS\system32\drivers\TCNearAudio.sys
2008-06-29 09:48 . 2008-06-09 09:48 20,480 --a------ C:\WINDOWS\system32\drivers\TCNearMidi.sys
2008-06-20 19:46 . 2008-06-20 19:46 247,296 -----c--- C:\WINDOWS\system32\dllcache\mswsock.dll
2008-06-20 19:46 . 2008-06-20 19:46 147,968 -----c--- C:\WINDOWS\system32\dllcache\dnsapi.dll
2008-06-20 13:51 . 2008-06-20 13:51 361,600 -----c--- C:\WINDOWS\system32\dllcache\tcpip.sys
2008-06-20 13:40 . 2008-06-20 13:40 138,496 -----c--- C:\WINDOWS\system32\dllcache\afd.sys
2008-06-20 13:08 . 2008-06-20 13:08 225,856 -----c--- C:\WINDOWS\system32\dllcache\tcpip6.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-20 12:56 --------- d-----w C:\Programme\Lavasoft
2008-07-20 12:51 --------- d-----w C:\Programme\GetRight
2008-07-20 08:17 --------- d-----w C:\Programme\Winamp
2008-07-17 19:15 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-07-17 19:13 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-07-16 13:40 106,496 ----a-w C:\WINDOWS\system32\ATL71.DLL
2008-07-13 16:08 --------- d-----w C:\Programme\Hewlett-Packard
2008-07-11 14:26 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-06-29 07:47 --------- d-----w C:\Programme\TC Electronic
2008-06-29 06:27 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\pdf995
2008-06-20 17:46 247,296 ----a-w C:\WINDOWS\system32\mswsock.dll
2008-06-20 11:51 361,600 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
2008-06-20 11:40 138,496 ----a-w C:\WINDOWS\system32\drivers\afd.sys
2008-06-20 11:08 225,856 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys
2008-06-18 18:10 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PACE Anti-Piracy
2008-06-18 17:56 --------- d-----w C:\Programme\PACE Anti-Piracy
2008-06-18 17:54 --------- d-----w C:\Programme\Gemeinsame Dateien\PACE Anti-Piracy
2008-06-18 17:53 --------- d-----w C:\Programme\Sonnox
2008-06-18 17:53 --------- d-----w C:\Programme\Gemeinsame Dateien\Sonnox Oxford
2008-06-14 17:32 273,024 ------w C:\WINDOWS\system32\drivers\bthport.sys
2008-06-10 11:02 163,840 ----a-w C:\WINDOWS\system32\EioPal.dll
2008-06-09 16:35 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec
2008-06-05 09:00 54,256 ----a-w C:\WINDOWS\system32\drivers\iLokDrvr.sys
2008-05-28 18:47 --------- d-----w C:\Programme\Java
2008-05-28 18:39 --------- d-----w C:\Programme\Gemeinsame Dateien\Java
2008-05-28 14:00 --------- d-----w C:\Programme\Sun
2008-05-16 09:58 12,632 ----a-w C:\WINDOWS\system32\lsdelete.exe
2008-05-09 10:54 90,112 ----a-w C:\WINDOWS\system32\wshext.dll
2008-05-09 10:54 430,080 ----a-w C:\WINDOWS\system32\vbscript.dll
2008-05-09 10:54 180,224 ----a-w C:\WINDOWS\system32\scrobj.dll
2008-05-09 10:54 172,032 ----a-w C:\WINDOWS\system32\scrrun.dll
2008-05-08 11:24 155,648 ----a-w C:\WINDOWS\system32\wscript.exe
2008-05-07 09:07 135,168 ----a-w C:\WINDOWS\system32\cscript.exe
2008-05-07 05:10 1,293,824 ----a-w C:\WINDOWS\system32\quartz.dll
2008-04-23 04:16 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="C:\Programme\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 12:34 5724184]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 04:22 15360]
"WMPNSCFG"="C:\Programme\Windows Media Player\WMPNSCFG.exe" [2006-11-03 10:56 204288]
"HijackThis startup scan"="C:\Programme\Trend Micro\HijackThis\HijackThis.exe" [2008-07-18 16:17 396288]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ISUSPM Startup"="C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe" [2005-02-16 17:15 221184]
"TrueImageMonitor.exe"="C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe" [2005-10-14 21:00 1005386]
"Acronis Scheduler2 Service"="C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" [2005-10-14 21:00 118784]
"Windows Media Connect 2"="C:\Programme\Windows Media Connect 2\wmccfg.exe" [2006-10-18 22:58 8704]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-08-11 21:43 7630848]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-18 07:18 266497]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_06\bin\jusched.exe" [2008-03-25 04:28 144784]
"nwiz"="nwiz.exe" [2006-08-11 21:43 1519616 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="NvMCTray.dll" [2006-08-11 21:43 86016 C:\WINDOWS\system32\nvmctray.dll]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2008-04-14 04:22 15360]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"NoConfigPage"= 0 (0x0)
"NoDevMgrPage"= 0 (0x0)
"NoFileSysPage"= 0 (0x0)
"NoVirtMemPage"= 0 (0x0)
"DisableChangePassword"= 0 (0x0)
"NoFolderOptions"= 0 (0x0)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\system]
"NoDispAppearancePage"= 0 (0x0)
"NoDispScrSavPage"= 0 (0x0)
"NoDispSettingsPage"= 0 (0x0)
"NoConfigPage"= 0 (0x0)
"NoDevMgrPage"= 0 (0x0)
"NoFileSysPage"= 0 (0x0)
"NoVirtMemPage"= 0 (0x0)
"DisableChangePassword"= 0 (0x0)
"NoFolderOptions"= 0 (0x0)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoClose"= 0 (0x0)
"NoFind"= 0 (0x0)
"NoRun"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.CLBR"= P1001Dex.ax
"VIDC.MJPG"= Pvmjpg30.dll
"VIDC.PIM1"= pclepim1.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 relog_ap

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Gamma Loader.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma Loader.lnk
backup=C:\WINDOWS\pss\Adobe Gamma Loader.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Iomega Drive Icons

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]
--a------ 2006-09-14 07:55 61440 D:\Programme\Adobe\Photoshop Elements 5.0\apdproxy.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-01-11 23:16 39792 C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]
--a------ 2008-07-18 07:18 266497 C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSPM Startup]
--a------ 2005-02-16 17:15 221184 C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--a------ 2008-04-14 04:22 1695232 C:\Programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 11:50 155648 C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2006-01-28 19:03 155648 C:\Programme\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Share-to-Web Namespace Daemon]
--a------ 2002-04-17 11:42 69632 c:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TomTomHOME.exe]
--a------ 2007-10-31 11:19 378784 D:\Programme\TomTom HOME 2\HOMERunner.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"GEARSecurity"=2 (0x2)
"iPodService"=3 (0x3)
"FirebirdServerMAGIXInstance"=3 (0x3)
"AdobeActiveFileMonitor5.0"=2 (0x2)
"LexBceS"=2 (0x2)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"D:\\Programme\\Yahoo!\\Messenger\\YServer.exe"=
"D:\\Programme\\Mountain Systems, Inc\\Behringer FCB1010 MIDI PC Editor Utility\\FCB1010.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\messenger\\msmsgs.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"1723:TCP"= 1723:TCP:@xpsp2res.dll,-22015
"1701:UDP"= 1701:UDP:@xpsp2res.dll,-22016
"500:UDP"= 500:UDP:@xpsp2res.dll,-22017

R1 SSHDRV64;SSHDRV64;C:\WINDOWS\System32\drivers\SSHDRV64.sys [2004-02-16 19:08]
R2 SVKP;SVKP;C:\WINDOWS\System32\SVKP.sys [2004-04-06 22:11]
R3 iLokDrvr;iLok;C:\WINDOWS\system32\DRIVERS\iLokDrvr.sys [2008-06-05 11:00]
R3 MAUSBMS;Service for M-Audio 2x2 & 4x4 Anniversary Edition;C:\WINDOWS\system32\DRIVERS\mausbms.sys [2008-04-09 16:48]
R3 SynasUSB;SynasUSB;C:\WINDOWS\system32\drivers\SynasUSB.sys [2006-11-23 18:20]
S3 1e62;1e62;C:\WINDOWS\system32\1e62.sys []
S3 2964;2964;C:\WINDOWS\system32\2964.sys []
S3 3163;3163;C:\WINDOWS\system32\3163.sys []
S3 BCORETH5;BCORETH5 NDIS Protocol Driver;C:\WINDOWS\system32\BCORETH5.SYS [2003-12-10 10:40]
S3 dmxfire;DMX6fire WDM Audio;C:\WINDOWS\system32\drivers\dmx6fire.sys []
S3 dmxsens;dmxsens;C:\WINDOWS\system32\drivers\dmxsens.sys []
S3 jfdcd;jfdcd;C:\DOKUME~1\BJRNWA~1\LOKALE~1\Temp\jfdcd.sys []
S3 L6SeaMonkDev;Line 6 Variax USB Service;C:\WINDOWS\system32\Drivers\L6SM.sys [2005-03-21 20:29]
S3 MA_CMIDI;M-Audio USB Driver;C:\WINDOWS\system32\drivers\ma_cmidi.sys []
S3 TCNear;TC Near;C:\WINDOWS\system32\Drivers\TCNear.sys [2008-06-09 09:48]
S3 TCNearAudio;TC Near Audio;C:\WINDOWS\system32\drivers\TCNearAudio.sys [2008-06-09 09:48]
S3 TCNearMidi;TC Near MIDI;C:\WINDOWS\system32\drivers\TCNearMidi.sys [2008-06-09 09:48]
S3 TPP200;USB Storage Adapter V2 (TPP);C:\WINDOWS\system32\DRIVERS\TPP200.SYS [2002-06-24 11:20]
S3 USB22LDR;M-Audio USB MIDISPORT 2x2 Loader;C:\WINDOWS\system32\drivers\usb22ldr.sys [2007-11-14 16:20]
.
- - - - Entfernte verwaiste Registrierungseintr„ge - - - -

HKLM-RunServices-SchedulingAgent - C:\WINDOWS\system32\mstask.exe
MSConfigStartUp-Deskup - C:\Programme\Iomega\DriveIcons\deskup.exe
MSConfigStartUp-iTunesHelper - C:\Programme\iTunes\iTunesHelper.exe
MSConfigStartUp-PinnacleDriverCheck - C:\WINDOWS\system32\\PSDrvCheck.exe
MSConfigStartUp-TkBellExe - C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
MSConfigStartUp-zzzHPSETUP - F:\Setup.exe


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-20 17:19:28
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Iomega Activity Disk2]
"ImagePath"="\"\""
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\UAService7.exe
C:\Programme\Windows Media Player\wmpnetwk.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-07-20 17:23:31 - machine was rebooted [Bj”rn Walde]
ComboFix-quarantined-files.txt 2008-07-20 15:23:27

Pre-Run: 13 Verzeichnis(se), 27,235,381,248 Bytes frei
Post-Run: 15 Verzeichnis(se), 27,162,865,664 Bytes frei

241 --- E O F --- 2008-07-18 14:17:31


Combofix hat folgende Dateien in Quarantäne gestellt:

2003-02-13 15:45 29184 --a--c--- C:\Qoobox\Quarantine\C\WINDOWS\system32\MSINET.oca.vir
2008-07-16 15:08 32 --a--c--- C:\Qoobox\Quarantine\C\WINDOWS\system32\msvcsv60.dll.vir
2008-07-20 17:17 1458 --a------ C:\Qoobox\Quarantine\Registry_backups\Legacy_{DEF85C80-216A-43AB-AF70-1665EDBE2780}.reg.dat
2008-07-20 17:17 2588 --a------ C:\Qoobox\Quarantine\Registry_backups\Service_{DEF85C80-216A-43ab-AF70-1665EDBE2780}.reg.dat
2008-07-20 17:17 54 --a------ C:\Qoobox\Quarantine\catchme.log
2008-07-20 17:23 143 --a------ C:\Qoobox\Quarantine\Registry_backups\HKLM-RunServices-SchedulingAgent.reg.dat
2008-07-20 17:23 526 --a------ C:\Qoobox\Quarantine\Registry_backups\MSConfigStartUp-zzzHPSETUP.reg.dat
2008-07-20 17:23 604 --a------ C:\Qoobox\Quarantine\Registry_backups\MSConfigStartUp-Deskup.reg.dat
2008-07-20 17:23 604 --a------ C:\Qoobox\Quarantine\Registry_backups\MSConfigStartUp-iTunesHelper.reg.dat
2008-07-20 17:23 606 --a------ C:\Qoobox\Quarantine\Registry_backups\MSConfigStartUp-PinnacleDriverCheck.reg.dat
2008-07-20 17:23 662 --a------ C:\Qoobox\Quarantine\Registry_backups\MSConfigStartUp-TkBellExe.reg.dat






WAS KANN ICH NOCH VERSUCHEN??? Ist eine Neuformatierung und -installation unumgänglich?

Halli hallo.

Die logs und die Problembeschreibung lassen auf nichts Gutes schließen.

Ich würde den Rechner formatieren. Liegt aber in deinem ermessen. Wenn wir eine Bereinigung versuchen sollen dann sag bescheid. Ansonsten poste ich dir mal einen kleinen Leitfaden an die Hand um den rechner wieder frisch zu machen.

Bereinigung nach einer Kompromitierung

Leider tauchen momentan immer mehr Schädlinge auf die sich in den Master Boot Record, kurz MBR einschreiben. Dieser wird bei einer herkömmlichen Neuinstallation nicht komplett überschrieben und stellt somit ein erhebliches Sicherheitsrisiko dar. Vor der Neuinstallation sollte daher sichergegangen werden, dass der MBR in Ordnung ist.

Master Boot Record überprüfen:

Lade dir die mbr.exe von GMER auf den Desktop und führe die Datei aus.

Sollte ein MBR Rootkit gefunden worde sein, das wird im log durch den Ausdruck

Zitat:

MBR rootkit code detected !

indiziert, musst du eine Bereinigung vornehmen.

Downloade dir dafür die mbr.bat.txt von BataAlexander und speichere sie neben der mbr.exe auf dem Desktop.
Ändere die Endung der mbr.txt.bat in mbr.bat Eine vernünftige Ordneransicht ist dafür nötig.
Dann führe die mbr.bat. durch einen Doppelklick aus.
Dabei muss sich die mbr.exe von GMER ebenfalls auf dem Desktop befinden!

Der MBR wird bereinigt und es erscheint ein log. Dieses log solltest du hier posten!

Nachdem das O.k. durch deinen Helfer gegeben wurde kannst du mit der sicheren Neuinstallation beginnen.

Lies dir bitte bevor du dich an die Arbeit machst folgende Anleitung ganz genau durch:

Neuaufsetzen des Systems mit abschließender Absicherung.

Wenn du diese Anleitung zum Neuaufsetzen nicht ganz genau befolgst ist das Neuaufsetzen sinnlos!

Alle Festplatten müssen komplett formatiert werden!

Daten solltest du am besten keine sichern.
Wenn du sehr wichtige, unersetzliche Dateien sichern möchtest so musst du dies nach strengen Kriterien tun:

a) Die Datei darf nicht ausführbar sein. Das heisst sie darf keine der hier aufgeführte Dateiendung haben. Beachte bitte, dass einige Schädlinge ihre Dateiendung tarnen. Abhilfe schafft hier eine vernünftige Ordneransicht.

b) Jede Datei sollte, bevor sie wieder auf den frischen Rechner gelangt mit MWAV/eScan durchsucht werden.

c) Auch wenn du die Punkte a) und b) ganz genau einhältst sind die Dateien nicht vertrauenswürdig!!
Schädlinge können auch nicht-ausführbare Dateien wie .mp3 .doc usw. infizieren!! Und MWAV findet nur einen Bruchteil aller infizierten Dateien!

Nachdem du neuaufgesetzt hast musst du unbedingt alle Passwörter und Zugangsaccounts ändern!!!

Hallo Undoreal,

vielen Dank für Deine Mühe.

Sehr gerne würde ich eine Bereinigung probieren. Das MBR log poste ich heute Abend.

Hmmm... ich habe noch 2 Wochen alte images meiner Festplatten. Kann ich die vorher überprüfen? Oder macht das gar keinen Sinn?


Gruß
BJörn

Wenn du Images hast dann spiele die doch einfach zurück..

ich habe nur Bedenken, dass die auch verseucht sind...

Hattest du zu dem Zeitpunkt denn schon Probleme?

Das kann ich halt nicht mit Gewißheit sagen...

Meinst Du, ich kann den MBR einfach so nach Booten einer Windowsstart-CD mit fdisk /mbr oder fixmbr retten? Diese Tipps habe ich auf anderen Seiten gefunden.

Es muss garnicht sein, dass dein MBR verseucht ist aber eine Überprüfung ist seit es den Sinowal gibt immer angebracht bevor man neuaufsetzt. Reine Vorsichtismaßnahme..

MBR gab mir folgenden Text im log:

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
MBR rootkit code detected !
malicious code @ sector 0xe4f8121 size 0x1ca !
copy of MBR has been found in sector 62 !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.
original MBR restored successfully !


Mal 'ne doofe Frage: Muss ich das System neu installieren oder kann ich jetzt Reste des Viruses/Trojaners irgendwie so entfernen?

Du musst nicht neuinstallieren! Wir können auch gerne eine Bereinigung versuchen, dass habe ich dir ja unten schon gepostet.

Allerdings würde ich gerne anders vorgehen um uns beiden eine Menge Arbeit zu ersparen.

Spiele doch bitte das Image von vor zwei Wochen zurück.

Poste dann ein HijackThis und ein Combofix log. Danach sehen wir weiter.

Das mit dem Image habe ich gestern Nacht noch probiert. Der Rechner verhält sich genau so wie vorher und der MBR Code war auch wieder da.

Ich habe heute morgen also wieder den MBR mit MBR.BAT (und MBR.EXE) gefixt und danach Avira Antivir von einer Boot CD (Rescue CD Linux?) laufen lassen. Er hat bislang folgende Codes im Verzeichnis von Mozilla und ComboFix gefunden:

- Tool.PV
- NivCMD.E.1.B
- NivCMD.E.2.B
- NicCMDC
- Radmin.131072

Das Programm läuft noch und ich hoffe, ich kann heute Mittag sagen, ob es die Funde auch reparieren/löschen konnte.

Kann ich sonst noch etwas machen? Ich habe Angst, dass wenn ich Windows starte, sich der Virus/Trojaner wieder aktiviert. Daher hatte ich von CD gebootet.

Soll ich die beiden logfiles trotzdem noch posten? (Dazu müsste ich ja Windows wieder starten.)

Habe mir noch die Computer-Bild gekauft und die Notfall CD laufen lassen, also Kaspersky unter Linux. Es gab einmal Code 10 und einmal Code 15. Leider finde ich nicht, was das bedeutet.

Ich mich jetzt getraut Windows zu starten und AniVir, Mwav, MBR etc... laufen lassen.

Antivir zeigt mir jetzt nur noch einen Fehler im BootSektor an: BOO/Sinolwal.A

MBR findet nichts und das Antivir Bootsektor Rettungstool zeigt auch an, dass der Bootsektor in Ordnung ist.

Soll ich jetzt noch einmal alle Logs posten?

Poste bitte ein frisches HijackThis log und lasse Combofix laufen. Poste auch dieses log.

All das hatte ich dir weiter unten schon gepostet und ich habe wenig Lust dreimal danach zu fragen..

Sorry, ich hatte halt Angst, Windows einfach so wieder zu starten. Ich hoffe, dass ich den BOO/Sinowal.A jetzt entfernen konnte. Anbei aktuelle Log. Ich wäre Dir für ein "Drüberschauen" echt dankbar. Soll ich jetzt noch etwas machen?


COMBOFIX-LOG:

ComboFix 08-07-20.7 - Björn Walde 2008-07-22 20:30:59.4 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.2466 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Björn Walde\Desktop\Aufräumen\Combofix\ComboFix.exe

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\regedit.com
C:\WINDOWS\system32\taskmgr.com

.
((((((((((((((((((((((( Dateien erstellt von 2008-06-22 bis 2008-07-22 ))))))))))))))))))))))))))))))
.

2008-07-22 18:08 . 2008-07-22 18:09 6,506,863 --a------ C:\WINDOWS\REGBK00.ZIP
2008-07-22 18:07 . 2008-07-22 18:07 <DIR> d-a------ C:\WINDOWS\zts2.exe
2008-07-22 18:07 . 2008-07-22 18:07 <DIR> d-a------ C:\WINDOWS\system32\vcmgcd32.dll
2008-07-22 18:07 . 2008-07-22 18:07 <DIR> d-a------ C:\WINDOWS\system32\iifgfgf.dll
2008-07-22 18:07 . 2008-07-22 18:07 <DIR> d-a------ C:\WINDOWS\rundll16.exe
2008-07-22 18:07 . 2008-07-22 18:07 <DIR> d-a------ C:\WINDOWS\rundl132.dll
2008-07-22 18:07 . 2008-07-22 18:07 <DIR> d-a------ C:\WINDOWS\logo1_.exe
2008-07-22 18:05 . 2008-07-22 18:05 26 --a------ C:\WINDOWS\Lic.xxx
2008-07-22 18:04 . 2008-07-22 18:10 <DIR> d-------- C:\escan
2008-07-22 18:04 . 2008-04-14 04:22 153,600 --a------ C:\WINDOWS\R.COM
2008-07-22 18:04 . 2008-04-14 04:23 140,800 --a------ C:\WINDOWS\system32\T.COM
2008-07-22 18:01 . 2008-07-22 18:01 <DIR> d-------- C:\Dokumente und Einstellungen\Björn Walde
2008-07-22 18:01 . <DIR> C:\Dokumente und Einstellungen\Bj÷rn Walde\Lokale Einstellungen
2008-07-22 18:01 . <DIR> C:\Dokumente und Einstellungen\Bj÷rn Walde\Lokale Einstellungen
2008-07-21 15:56 . 2008-07-21 15:56 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-07-21 15:56 . 2008-07-21 15:56 1,409 --a------ C:\WINDOWS\QTFont.for
2008-07-20 18:50 . 2008-07-20 21:05 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan
2008-07-20 14:57 . 2008-07-20 21:17 <DIR> d-------- C:\Programme\Spybot - Search & Destroy
2008-07-20 14:57 . 2008-07-20 21:37 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-07-20 10:29 . 2008-07-20 10:30 <DIR> d-------- C:\Programme\BHODemon 2
2008-07-19 12:23 . 2001-06-29 19:40 29,696 --a------ C:\WINDOWS\system32\flcss.exe
2008-07-18 16:17 . 2008-07-18 16:17 <DIR> d-------- C:\Programme\Trend Micro
2008-07-17 07:51 . 2008-07-17 07:51 0 --a------ C:\WINDOWS\nsreg.dat
2008-07-16 23:32 . 2008-07-16 23:32 62 --a------ C:\WINDOWS\ViewNX.INI
2008-07-16 15:42 . 2008-07-16 23:31 20 ---h----- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PKP_DLdw.DAT
2008-07-16 15:41 . 2008-07-16 15:41 <DIR> d-------- C:\Programme\Gemeinsame Dateien\muvee Technologies
2008-07-16 15:40 . 2008-07-16 15:42 <DIR> d-------- C:\Programme\Nikon
2008-07-16 15:40 . 2008-07-16 15:43 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Nikon
2008-07-16 15:40 . 2008-07-16 15:42 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ultima_T15
2008-07-16 15:40 . 2008-07-16 15:40 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nikon
2008-07-16 15:40 . 2008-07-16 15:42 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EnterNHelp
2008-07-16 15:40 . 2008-07-16 23:27 20 ---h----- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PKP_DLdu.DAT
2008-07-13 18:05 . 2008-07-13 18:04 24,885 --a------ C:\1netgear.cfg
2008-07-13 10:26 . 2008-07-20 21:06 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-07-13 10:22 . 2008-07-13 10:22 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Prevx
2008-07-13 10:08 . 2008-07-13 10:08 <DIR> d-------- C:\WINDOWS\system32\GroupPolicy
2008-07-13 10:08 . 2008-07-20 17:08 <DIR> d-------- C:\Programme\Hitman Pro
2008-07-11 16:26 . 2008-04-09 16:48 143,880 --a------ C:\WINDOWS\system32\drivers\mausbms.sys
2008-07-11 16:24 . 2008-07-11 16:24 <DIR> d-------- C:\Programme\M-Audio
2008-07-10 20:33 . 2007-11-14 16:20 20,936 --a------ C:\WINDOWS\system32\drivers\usb22ldr.sys
2008-07-10 17:35 . 2008-04-13 20:45 60,032 --a------ C:\WINDOWS\system32\drivers\USBAUDIO.sys
2008-07-10 17:35 . 2008-04-13 20:45 60,032 --a--c--- C:\WINDOWS\system32\dllcache\usbaudio.sys
2008-06-29 09:48 . 2008-06-09 09:48 124,800 --a------ C:\WINDOWS\system32\drivers\TCNear.sys
2008-06-29 09:48 . 2008-06-09 09:48 106,496 --a------ C:\WINDOWS\system32\TCNearAsio.dll
2008-06-29 09:48 . 2008-06-09 09:48 20,864 --a------ C:\WINDOWS\system32\drivers\TCNearAudio.sys
2008-06-29 09:48 . 2008-06-09 09:48 20,480 --a------ C:\WINDOWS\system32\drivers\TCNearMidi.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-20 19:03 --------- d-----w C:\Programme\Lavasoft
2008-07-20 19:03 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-07-20 12:51 --------- d-----w C:\Programme\GetRight
2008-07-20 08:17 --------- d-----w C:\Programme\Winamp
2008-07-17 19:13 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-07-13 16:08 --------- d-----w C:\Programme\Hewlett-Packard
2008-07-11 14:26 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-06-29 07:47 --------- d-----w C:\Programme\TC Electronic
2008-06-29 06:27 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\pdf995
2008-06-20 11:51 361,600 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
2008-06-20 11:40 138,496 ----a-w C:\WINDOWS\system32\drivers\afd.sys
2008-06-20 11:08 225,856 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys
2008-06-18 18:10 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PACE Anti-Piracy
2008-06-18 17:56 --------- d-----w C:\Programme\PACE Anti-Piracy
2008-06-18 17:54 --------- d-----w C:\Programme\Gemeinsame Dateien\PACE Anti-Piracy
2008-06-18 17:53 --------- d-----w C:\Programme\Sonnox
2008-06-18 17:53 --------- d-----w C:\Programme\Gemeinsame Dateien\Sonnox Oxford
2008-06-14 17:32 273,024 ------w C:\WINDOWS\system32\drivers\bthport.sys
2008-06-09 16:35 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec
2008-06-05 09:00 54,256 ----a-w C:\WINDOWS\system32\drivers\iLokDrvr.sys
2008-05-28 18:47 --------- d-----w C:\Programme\Java
2008-05-28 18:39 --------- d-----w C:\Programme\Gemeinsame Dateien\Java
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="C:\Programme\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 12:34 5724184]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 04:22 15360]
"WMPNSCFG"="C:\Programme\Windows Media Player\WMPNSCFG.exe" [2006-11-03 10:56 204288]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ISUSPM Startup"="C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe" [2005-02-16 17:15 221184]
"TrueImageMonitor.exe"="C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe" [2005-10-14 21:00 1005386]
"Acronis Scheduler2 Service"="C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" [2005-10-14 21:00 118784]
"Windows Media Connect 2"="C:\Programme\Windows Media Connect 2\wmccfg.exe" [2006-10-18 22:58 8704]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-08-11 21:43 7630848]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-18 07:18 266497]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_06\bin\jusched.exe" [2008-03-25 04:28 144784]
"nwiz"="nwiz.exe" [2006-08-11 21:43 1519616 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="NvMCTray.dll" [2006-08-11 21:43 86016 C:\WINDOWS\system32\nvmctray.dll]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2008-04-14 04:22 15360]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"NoConfigPage"= 0 (0x0)
"NoDevMgrPage"= 0 (0x0)
"NoFileSysPage"= 0 (0x0)
"NoVirtMemPage"= 0 (0x0)
"DisableChangePassword"= 0 (0x0)
"NoFolderOptions"= 0 (0x0)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\system]
"NoDispAppearancePage"= 0 (0x0)
"NoDispScrSavPage"= 0 (0x0)
"NoDispSettingsPage"= 0 (0x0)
"NoConfigPage"= 0 (0x0)
"NoDevMgrPage"= 0 (0x0)
"NoFileSysPage"= 0 (0x0)
"NoVirtMemPage"= 0 (0x0)
"DisableChangePassword"= 0 (0x0)
"NoFolderOptions"= 0 (0x0)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoClose"= 0 (0x0)
"NoFind"= 0 (0x0)
"NoRun"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.CLBR"= P1001Dex.ax
"VIDC.MJPG"= Pvmjpg30.dll
"VIDC.PIM1"= pclepim1.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 relog_ap

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Gamma Loader.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma Loader.lnk
backup=C:\WINDOWS\pss\Adobe Gamma Loader.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Iomega Drive Icons

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]
--a------ 2006-09-14 07:55 61440 D:\Programme\Adobe\Photoshop Elements 5.0\apdproxy.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-01-11 23:16 39792 C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]
--a------ 2008-07-18 07:18 266497 C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSPM Startup]
--a------ 2005-02-16 17:15 221184 C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--a------ 2008-04-14 04:22 1695232 C:\Programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 11:50 155648 C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2006-01-28 19:03 155648 C:\Programme\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Share-to-Web Namespace Daemon]
--a------ 2002-04-17 11:42 69632 c:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TomTomHOME.exe]
--a------ 2007-10-31 11:19 378784 D:\Programme\TomTom HOME 2\HOMERunner.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"GEARSecurity"=2 (0x2)
"iPodService"=3 (0x3)
"FirebirdServerMAGIXInstance"=3 (0x3)
"AdobeActiveFileMonitor5.0"=2 (0x2)
"LexBceS"=2 (0x2)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"D:\\Programme\\Yahoo!\\Messenger\\YServer.exe"=
"D:\\Programme\\Mountain Systems, Inc\\Behringer FCB1010 MIDI PC Editor Utility\\FCB1010.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\messenger\\msmsgs.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"1723:TCP"= 1723:TCP:@xpsp2res.dll,-22015
"1701:UDP"= 1701:UDP:@xpsp2res.dll,-22016
"500:UDP"= 500:UDP:@xpsp2res.dll,-22017

R1 SSHDRV64;SSHDRV64;C:\WINDOWS\System32\drivers\SSHDRV64.sys [2004-02-16 19:08]
R2 SVKP;SVKP;C:\WINDOWS\System32\SVKP.sys [2004-04-06 22:11]
R3 iLokDrvr;iLok;C:\WINDOWS\system32\DRIVERS\iLokDrvr.sys [2008-06-05 11:00]
R3 MAUSBMS;Service for M-Audio 2x2 & 4x4 Anniversary Edition;C:\WINDOWS\system32\DRIVERS\mausbms.sys [2008-04-09 16:48]
R3 SynasUSB;SynasUSB;C:\WINDOWS\system32\drivers\SynasUSB.sys [2006-11-23 18:20]
S3 1e62;1e62;C:\WINDOWS\system32\1e62.sys []
S3 2964;2964;C:\WINDOWS\system32\2964.sys []
S3 3163;3163;C:\WINDOWS\system32\3163.sys []
S3 BCORETH5;BCORETH5 NDIS Protocol Driver;C:\WINDOWS\system32\BCORETH5.SYS [2003-12-10 10:40]
S3 dmxfire;DMX6fire WDM Audio;C:\WINDOWS\system32\drivers\dmx6fire.sys []
S3 dmxsens;dmxsens;C:\WINDOWS\system32\drivers\dmxsens.sys []
S3 jfdcd;jfdcd;C:\DOKUME~1\BJRNWA~1\LOKALE~1\Temp\jfdcd.sys []
S3 L6SeaMonkDev;Line 6 Variax USB Service;C:\WINDOWS\system32\Drivers\L6SM.sys [2005-03-21 20:29]
S3 MA_CMIDI;M-Audio USB Driver;C:\WINDOWS\system32\drivers\ma_cmidi.sys []
S3 TCNear;TC Near;C:\WINDOWS\system32\Drivers\TCNear.sys [2008-06-09 09:48]
S3 TCNearAudio;TC Near Audio;C:\WINDOWS\system32\drivers\TCNearAudio.sys [2008-06-09 09:48]
S3 TCNearMidi;TC Near MIDI;C:\WINDOWS\system32\drivers\TCNearMidi.sys [2008-06-09 09:48]
S3 TPP200;USB Storage Adapter V2 (TPP);C:\WINDOWS\system32\DRIVERS\TPP200.SYS [2002-06-24 11:20]
S3 USB22LDR;M-Audio USB MIDISPORT 2x2 Loader;C:\WINDOWS\system32\drivers\usb22ldr.sys [2007-11-14 16:20]
.
.
------- Supplementary Scan -------
.
R0 -: HKCU-Main,Start Page = about:blank
O17 -: HKLM\CCS\Interface\{44B99DAB-D74F-411E-BB29-31C46458B900}: NameServer = 192.168.0.1

O16 -: Microsoft XML Parser for Java - C:\WINDOWS\Downloaded Program Files\Microsoft XML Parser for Java.osd


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-22 20:34:24
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Iomega Activity Disk2]
"ImagePath"="\"\""
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\UAService7.exe
C:\Programme\Windows Media Player\wmpnetwk.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-07-22 20:37:29 - machine was rebooted [Bj”rn Walde]
ComboFix-quarantined-files.txt 2008-07-22 18:37:25
ComboFix2.txt 2008-07-22 16:01:27
ComboFix3.txt 2008-07-20 19:47:09
ComboFix4.txt 2008-07-20 15:23:32

Pre-Run: 13 Verzeichnis(se), 26,000,850,944 Bytes frei
Post-Run: 15 Verzeichnis(se), 26,090,647,552 Bytes frei

232 --- E O F --- 2008-07-18 14:17:31



HiJack Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:40:27, on 22.07.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_06\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\WINDOWS\system32\UAService7.exe
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [Windows Media Connect 2] "C:\Programme\Windows Media Connect 2\wmccfg.exe" /StartQuiet
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_06\bin\jusched.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1120077196109
O17 - HKLM\System\CCS\Services\Tcpip\..\{44B99DAB-D74F-411E-BB29-31C46458B900}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{44B99DAB-D74F-411E-BB29-31C46458B900}: NameServer = 192.168.0.1
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Unknown owner - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\system32\UAService7.exe

--
End of file - 4935 bytes


MBR-LOG:


Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

Hallo Form-Mitglieder,

ich muss gestehen, dass ich hier neu bin



[edit]

Bitte eröffne, wie jeder andere hier auch, für dein Problem einen eigenen Beitrag.
Nur so wird sichergestellt as jedem User übersichtlich und individuell geholfen werden kann.


Danke.

[/edit]