Keine http Seiten mehr aufrufbar

HugoIsland · 31.08.2008, 19:09

Guten Abend,

ich habe folgendes Problem auf dem Laptop meines Schwiegervaters.
Ich kann keine Internetseiten mit http mehr aufrufen. Andere Onlinedienste wie FTP, Email oder auch https funktionieren einwandfrei. Aber alles was http betrifft wird nicht aufgerufen. Ich habe schon dazu gegoogelt, aber leider keine Lösung gefunden.
Ein Router/verbindungsproblem liegt definitv nicht vor. Egal ob per LAN oder WLAN der Computer baut keine Verbindung zu http Seiten auf. Ich habe den Laptop auch an anderen WLANs getestet, dort das selbe Problem.

Der Rechner ist/war zudem vom Smitfraud Schädling befallen. Dies hat sich in einer immer wiederkehrenden Meldung beim Start von jeglichen Browsern geäußert. Der text lautete etwa wie folgt "das system ist von einem Virus befallen, klicken sie hier um eine anti virus software zu lade"
Diesen habe ich mit Smitfraudfix bekämpft. Seit dem taucht diese Meldung nicht mehr auf.

Hier das aktuelle Hijack Protokoll des Rechners:

Code:

ATTFilter

 Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:24:10, on 31.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Launch Manager\Wbutton.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\LVCOMSX.EXE
C:\WINDOWS\system32\ElkCtrl.exe
C:\Programme\Launch Manager\OSD.exe
C:\Programme\Launch Manager\LaunchAp.exe
C:\Programme\Launch Manager\HotkeyApp.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer bereitgestellt von Yahoo! Deutschland
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Windows Live OneCare Family Safety Browser Helper - {4f3ed5cd-0726-42a9-87f5-d13f3d2976ac} - C:\Programme\Windows Live\Family Safety\fssbho.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechCameraService(E)] C:\WINDOWS\system32\ElkCtrl.exe /automation
O4 - HKLM\..\Run: [LMgrOSD] "C:\Programme\Launch Manager\OSD.exe"
O4 - HKLM\..\Run: [LaunchAp] "C:\Programme\Launch Manager\LaunchAp.exe"
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [HotkeyApp] "C:\Programme\Launch Manager\HotkeyApp.exe"
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [CtrlVol] "C:\Programme\Launch Manager\CtrlVol.exe"
O4 - HKLM\..\Run: [AzMixerSel] C:\Programme\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Programme\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Programme\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {DAA3903C-AC88-4D16-B050-F21EB1F79BE6} - hXXp://www
.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=hXXp://www.aldi.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1126091180221
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 6581 bytes

Leider bin ich mit meinem Latein soweit am Ende. Vielleicht kann mir ja jemand hier weiterhelfen.
Im vorraus vielen Dank.

Grüße
Hugo

undoreal · 31.08.2008, 21:15

Halli hallo HugoIsland

Um alle weiteren Hilfeleistungen zu erleichtern und deine Systemsicherheit zu erhöhen arbeite bitte folgendes gründlich ab:

Software Updates aller installierten Programme auf die neueste Version (Secunia PSI kann hier wertvolle Hilfe leisten).
.
Update der Viren-Signaturen deines Anti-Viren Programmes.
.
Treiberupdate der Hardware (Grafikkarte, Soundkarte).
.
Windows Update -> Der Frischmacher.
.
Installation des aktuellen ServicePacks:
- XP_ ServicePack3
- Vista_ ServicePack1
.
Vernünftige Ordneransicht -> Einstellungen.
.
Abschalten unnötiger Dienste:
- XP_ dingens.org
- Vista_ TechNET
.
Firewall aktivieren: (Wenn beim installiertem AV-Prog eine Firewall dabei ist so kann diese verwendet werden!)
- XP_ Firewall
- Vista_ Firewall
.
Internetoptionen sicher gestallten: Start->Systemsteuerung->Internetoptionen
- Sicherheit: -> höchste Stufe
- Datenschutz: -> alle Cookies blockieren
Nutze nicht den MS-InternetExplorer sondern einen alternativen Browser wie FireFox, Opera o.ä..
.
Räume mit cCleaner auf; Punkte 1&2.
.
Oben genannte Konfigurationen sind grundlegend wichtig! Führe sie also gewissenhaft durch und poste wenn es zu Problemen gekommen ist die du nicht selbstständig mit Hilfe der Boardsuche, Google oder Freunden lösen konntest.

Häufig gestellte Fragen: XP | Vista

Tritt das Problem danach immer noch auf?

HugoIsland · 01.09.2008, 16:16

Software Updates - soweit es ging alle durchgeführt. Manche Programme brauchen wohl eine http Verbindung um sich upzudaten.

Update der Viren-Signaturen - Ich benutze nun AVG Free Anti Virus 8.0. Leider das selbe Problem beim Updaten dass keine http Verbindung zu stande kommt. Die Signatur die ich benutze ist ca. 10 Tage alt.

Treiberupdate der Hardware - die Treiber sind auf dem neusten Stand, habe das mit den Treibern auf der Herstellerseite abgeglichen.

Windows Update - leider das selbe Problem. Bei der Updatesuche muss erstmal eine http Verbindung zu stande kommen.

Service Pack3 - das hab ich von einer CD installiert.

Ordneransicht - alles so eingestellt wie im Link beschrieben.

Abschalten unötiger Dienste - im Link den du gepostet hast, stand man soll das Programm ab SP2 + Windows Firewall nicht mehr nutzen

Firewall - Windows Firewall nun aktiviert

Internetoptionen - alles abegändert wie im Link beschrieben. Zusätzlich noch den neusten Firefox installiert, leider mit dem Fuchs das selbe Problem.

cCleaner - hatte och bereits auf dem Rechner. Habe nach der SP3 Installation nochmals die beschriebenen Schritte durchgeführt.

Leider konnte dadurch der Fehler nicht behoben werden.
Anbei nochmal ein aktuelles Logile:

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:02:33, on 01.09.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Launch Manager\Wbutton.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\LVCOMSX.EXE
C:\WINDOWS\system32\ElkCtrl.exe
C:\Programme\Launch Manager\OSD.exe
C:\Programme\Launch Manager\LaunchAp.exe
C:\Programme\Launch Manager\HotkeyApp.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\AGRSMMSG.exe
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer bereitgestellt von Yahoo! Deutschland
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG8\avgssie.dll
O2 - BHO: Windows Live OneCare Family Safety Browser Helper - {4f3ed5cd-0726-42a9-87f5-d13f3d2976ac} - C:\Programme\Windows Live\Family Safety\fssbho.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechCameraService(E)] C:\WINDOWS\system32\ElkCtrl.exe /automation
O4 - HKLM\..\Run: [LMgrOSD] "C:\Programme\Launch Manager\OSD.exe"
O4 - HKLM\..\Run: [LaunchAp] "C:\Programme\Launch Manager\LaunchAp.exe"
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [HotkeyApp] "C:\Programme\Launch Manager\HotkeyApp.exe"
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [CtrlVol] "C:\Programme\Launch Manager\CtrlVol.exe"
O4 - HKLM\..\Run: [AzMixerSel] C:\Programme\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Programme\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Programme\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {DAA3903C-AC88-4D16-B050-F21EB1F79BE6} - h**p://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=h**p://www.aldi.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1126091180221
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**ps://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1220258548031
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG8\avgpp.dll
O20 - AppInit_DLLs: avgrsstx.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 7310 bytes

Nee Idee was ich noch machen könnte ?

undoreal · 01.09.2008, 16:53

O.k. dann holen wir wesentlich weiter aus.

1) Deaktiviere die Systemwiederherstellung auf allen Laufwerken. Nachdem die Bereinigung KOMPLETT beendet ist kann sie wieder aktiviert werden.

2) Deinstalliere Java über die Systemsteuerung.

3) Blacklight bitte laufen lassen und das log posten.. evtl. Funde bitte umbennen/beheben lassen!

4) Run Combofix. Poste den erscheinenden Text.

5) Überprüfe dein System mit SASW.

6) Mache einen letzten Maleware-Check mit Malewarebytes.

7) Räume mit cCleaner auf. (Punkt 1 und 2)

8) Poste ein frisches HijackThis log sowie einen iClean Bericht (Prog in eigenem Ordner öffnen->"Yes"->File->Report).
Hinweis zum iClean Bericht: Sollten extrem viele 032 und 033 redirected Einträge im log auftauchen so kürze diese bitte damit das log nicht zu lang wird.

9) Systemanalyse:
Deaktiviere den Wächter/On-Access-Modul (Echtzeit-Scanner) deines AntiViren Programmes.

Downloade AVZ und speichere es in einen eigenen Ordner auf dem Desktop.

Entpacke es in diesem Ordner und starte die Anwendung durch einen Doppelklick auf die AVZ.exe.

Unter File -> Database Update Start drücken.

Unter File -> System Analys, die Option Attach System Analysis log to ZIP anhaken und Start drücken. Wähle als Speicherort den von dir erstellten AVZ-Ordner.

Nachdem der Scan beendet ist lade die avz_sysinfo.zip bei Rapidshare hoch und poste den Download-Link.

HugoIsland · 02.09.2008, 13:57

Hallo undoreal,

ich habe nun folgendes durchgeführt:

1) Systemwiederherstellung - wurde von mir deaktiviert

2) JAVA (von Sun) habe ich deinstalliert

3) Blacklight hab ich laufen lassen, hier der Report:

Code:

ATTFilter

09/01/08 18:37:22 [Info]: BlackLight Engine 1.0.70 initialized
09/01/08 18:37:22 [Info]: OS: 5.1 build 2600 (Service Pack 3)
09/01/08 18:37:22 [Note]: 7019 4
09/01/08 18:37:22 [Note]: 7005 0
09/01/08 18:37:34 [Note]: 7006 0
09/01/08 18:37:34 [Note]: 7011 2068
09/01/08 18:37:34 [Note]: 7035 0
09/01/08 18:37:34 [Note]: 7026 0
09/01/08 18:37:34 [Note]: 7026 0
09/01/08 18:37:39 [Note]: FSRAW library version 1.7.1024
09/01/08 18:42:06 [Note]: 2000 1012
09/01/08 18:42:27 [Note]: 7007 0

4) Combofix laufen lassen, hier der Text dazu:

Code:

ATTFilter

ComboFix 08-08-31.01 - MEIN NAME 2008-09-01 18:45:27.1 - NTFSx86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.1.1031.18.595 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\MEIN NAME\Desktop\ComboFix.exe
 * Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\smp.bat
C:\WINDOWS\system32\url(3).dll
G:\Autorun.inf

.
(((((((((((((((((((((((   Dateien erstellt von 2008-08-01 bis 2008-09-01  ))))))))))))))))))))))))))))))
.

2008-09-01 15:37 . 2008-09-01 15:37	<DIR>	d--------	C:\WINDOWS\ServicePackFiles
2008-09-01 15:31 . 2006-12-29 00:31	19,569	--a------	C:\WINDOWS\003078_.tmp
2008-09-01 15:28 . 2008-09-01 15:28	<DIR>	d--------	C:\WINDOWS\EHome
2008-09-01 11:06 . 2008-09-01 12:18	<DIR>	d--h-----	C:\$AVG8.VAULT$
2008-09-01 10:55 . 2008-09-01 10:55	<DIR>	d--------	C:\WINDOWS\system32\drivers\Avg
2008-09-01 10:55 . 2008-09-01 10:55	<DIR>	d--------	C:\Programme\AVG
2008-09-01 10:55 . 2008-09-01 10:55	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\avg8
2008-09-01 10:55 . 2008-09-01 10:55	97,928	--a------	C:\WINDOWS\system32\drivers\avgldx86.sys
2008-09-01 10:55 . 2008-09-01 10:55	76,040	--a------	C:\WINDOWS\system32\drivers\avgtdix.sys
2008-09-01 10:55 . 2008-09-01 10:55	10,520	--a------	C:\WINDOWS\system32\avgrsstx.dll
2008-08-31 19:23 . 2008-08-31 19:23	<DIR>	d--------	C:\Programme\Trend Micro
2008-08-31 19:14 . 2008-08-31 19:14	<DIR>	d--------	C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\T-Online
2008-08-31 19:13 . 2005-08-18 19:25	<DIR>	d--h-----	C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-08-31 19:13 . 2005-09-07 13:05	<DIR>	d---s----	C:\Dokumente und Einstellungen\Administrator\UserData
2008-08-31 19:13 . 2005-08-18 20:21	<DIR>	dr-------	C:\Dokumente und Einstellungen\Administrator\Startmenü
2008-08-31 19:13 . 2005-08-18 20:21	<DIR>	d--h-----	C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-08-31 19:13 . 2008-09-01 18:48	<DIR>	d--h-----	C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-08-31 19:13 . 2005-09-21 15:21	<DIR>	dr-------	C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-08-31 19:13 . 2005-09-21 15:21	<DIR>	dr-------	C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2008-08-31 19:13 . 2005-08-18 20:21	<DIR>	d--h-----	C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-08-31 19:13 . 2005-09-11 06:31	<DIR>	d--------	C:\Dokumente und Einstellungen\Administrator\Bluetooth Software
2008-08-31 19:13 . 2005-09-07 15:58	<DIR>	d--------	C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\You've Got Pictures Screensaver
2008-08-31 19:13 . 2005-09-20 16:35	<DIR>	d--------	C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\CyberLink
2008-08-31 19:13 . 2005-09-11 06:23	<DIR>	d--------	C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ATI
2008-08-31 19:13 . 2007-04-29 21:41	<DIR>	d--------	C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\AOL
2008-08-31 19:13 . 2008-08-31 19:14	<DIR>	dr-h-----	C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-08-31 19:13 . 2008-09-01 10:56	<DIR>	d--------	C:\Dokumente und Einstellungen\Administrator
2008-08-31 19:13 . 2005-09-12 16:23	156	--a------	C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\wklnhst.dat
2008-08-31 19:03 . 2008-08-31 19:04	<DIR>	d--------	C:\Programme\Wise Registry Cleaner 3
2008-08-31 18:45 . 2008-08-31 19:02	<DIR>	d--------	C:\Programme\Enigma Software Group
2008-08-31 17:34 . 2008-08-31 17:34	<DIR>	d--------	C:\Programme\Lavasoft
2008-08-31 17:34 . 2008-08-31 17:35	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-08-31 17:33 . 2008-08-31 17:33	<DIR>	d--------	C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-08-31 13:17 . 2008-08-31 13:17	824	--a------	C:\WINDOWS\uninst.ini
2008-08-24 15:21 . 2008-08-31 19:15	2,810	--a------	C:\WINDOWS\system32\tmp.reg
2008-08-24 15:20 . 2007-09-06 00:22	289,144	--a------	C:\WINDOWS\system32\VCCLSID.exe
2008-08-24 15:20 . 2006-04-27 17:49	288,417	--a------	C:\WINDOWS\system32\SrchSTS.exe
2008-08-24 15:20 . 2008-08-23 19:06	89,600	--a------	C:\WINDOWS\system32\AntiXPVSTFix.exe
2008-08-24 15:20 . 2008-05-29 09:35	86,528	--a------	C:\WINDOWS\system32\VACFix.exe
2008-08-24 15:20 . 2008-08-14 21:52	82,432	--a------	C:\WINDOWS\system32\IEDFix.C.exe
2008-08-24 15:20 . 2008-08-18 12:19	82,432	--a------	C:\WINDOWS\system32\404Fix.exe
2008-08-24 15:20 . 2003-06-05 21:13	53,248	--a------	C:\WINDOWS\system32\Process.exe
2008-08-24 15:20 . 2004-07-31 18:50	51,200	--a------	C:\WINDOWS\system32\dumphive.exe
2008-08-24 15:20 . 2007-10-04 00:36	25,600	--a------	C:\WINDOWS\system32\WS2Fix.exe

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-31 14:23	---------	d-----w	C:\Programme\SandBoxie
2008-08-31 13:39	---------	d-----w	C:\Programme\Gemeinsame Dateien\Symantec Shared
2008-08-31 13:39	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec
2008-08-31 12:31	---------	d-----w	C:\Dokumente und Einstellungen\MEIN NAME\Anwendungsdaten\Skype
2008-08-31 11:32	---------	d--h--w	C:\Programme\InstallShield Installation Information
2008-08-31 11:30	---------	d-----w	C:\Programme\Home Cinema
2008-08-31 11:30	---------	d-----w	C:\Programme\CyberLink
2008-08-31 11:26	---------	d-----w	C:\Programme\Google
2008-08-31 11:17	---------	d-----w	C:\Programme\Logitech
2008-08-31 11:17	---------	d-----w	C:\Programme\LetsTrade
2008-03-02 14:04	11,220	----a-w	C:\Dokumente und Einstellungen\MEIN NAME\Anwendungsdaten\wklnhst.dat
2005-09-07 15:59	8	--sh--r	C:\WINDOWS\system32\31961103D8.sys
2005-09-07 15:59	4,704	--sha-w	C:\WINDOWS\system32\KGyGaAvL.sys
.

((((((((((((((((((((((((((((   Autostart Punkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 07:52 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Wbutton"="C:\Programme\Launch Manager\Wbutton.exe" [2005-09-02 15:14 81920]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2005-08-25 15:25 737369]
"LVCOMSX"="C:\WINDOWS\system32\LVCOMSX.EXE" [2005-12-09 15:32 225280]
"LogitechCameraService(E)"="C:\WINDOWS\system32\ElkCtrl.exe" [2004-11-01 17:22 262144]
"LMgrOSD"="C:\Programme\Launch Manager\OSD.exe" [2005-03-16 13:52 204800]
"LaunchAp"="C:\Programme\Launch Manager\LaunchAp.exe" [2005-07-25 13:36 32768]
"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" [2004-08-04 14:00 208952]
"HotkeyApp"="C:\Programme\Launch Manager\HotkeyApp.exe" [2005-08-17 10:05 61440]
"CtrlVol"="C:\Programme\Launch Manager\CtrlVol.exe" [2003-09-16 14:28 20480]
"AzMixerSel"="C:\Programme\Realtek\InstallShield\AzMixerSel.exe" [2005-06-11 19:51 53248]
"ATICCC"="C:\Programme\ATI Technologies\ATI.ACE\cli.exe" [2005-08-31 00:40 57344]
"AVG8_TRAY"="C:\PROGRA~1\AVG\AVG8\avgtray.exe" [2008-09-01 10:55 1235736]
"RTHDCPL"="RTHDCPL.EXE" [2005-08-18 07:20 14820864 C:\WINDOWS\RTHDCPL.EXE]
"High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2005-01-07 17:07 61952 C:\WINDOWS\system32\HdAShCut.exe]
"AGRSMMSG"="AGRSMMSG.exe" [2005-05-11 13:12 88204 C:\WINDOWS\AGRSMMSG.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 07:52 15360]
"InfoCockpit"="C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE" [2007-07-30 14:27 176128]

C:\Dokumente und Einstellungen\Administrator\Startmen\Programme\Autostart\
DSL-Manager.lnk - C:\Programme\T-Online\DSL-Manager\DslMgr.exe [2007-09-16 19:02:57 1085440]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=avgrsstx.dll

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^MEIN NAME^Startmenü^Programme^Autostart^DSL-Manager.lnk]
path=C:\Dokumente und Einstellungen\MEIN NAME\Startmenü\Programme\Autostart\DSL-Manager.lnk
backup=C:\WINDOWS\pss\DSL-Manager.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATSwpNav]
C:\Programme\Fingerprint Sensor\ATSwpNav -run [X]
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\T-Online_Software_6

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\fssui]
--a------ 2007-10-17 14:53 243240 C:\Programme\Windows Live\Family Safety\fssui.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IncrediMail]
--a------ 2007-04-04 15:14 208946 C:\Programme\IncrediMail\bin\IncMail.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\InfoCockpit]
--a------ 2007-07-30 14:27 176128 C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\ic_start.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechCameraAssistant]
--a------ 2005-12-07 10:26 489472 C:\Programme\Logitech\Video\CameraAssistant.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideo[inspector]]
--a------ 2005-12-07 10:33 73728 C:\Programme\Logitech\Video\InstallHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--------- 2008-04-14 07:52 1695232 C:\Programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSPY2002]
--a------ 2004-08-04 14:00 59392 C:\WINDOWS\system32\IME\PINTLGNT\IMSCINST.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 11:50 155648 C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCMService]
--------- 2005-09-15 17:02 139264 C:\Programme\Home Cinema\PowerCinema\PCMService.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002A]
--a------ 2004-08-04 14:00 455168 C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002ASync]
--a------ 2004-08-04 14:00 455168 C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2005-09-07 15:58 98304 C:\Programme\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
--a------ 2004-11-02 20:24 32768 C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RoxioDragToDisc]
--a------ 2003-06-27 01:21 868352 C:\Programme\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RoxioEngineUtility]
--a------ 2003-05-01 19:44 65536 C:\Programme\Gemeinsame Dateien\Roxio Shared\System\EngUtil.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
--a------ 2007-07-26 20:01 68856 C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\T-Online_Software_6\WLAN-Access Finder]
--a------ 2007-07-25 18:50 671796 C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WMPNSCFG]
--------- 2006-11-03 10:56 204288 C:\Programme\Windows Media Player\wmpnscfg.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"WMPNetworkSvc"=2 (0x2)
"WLSetupSvc"=3 (0x3)
"usnjsvc"=3 (0x3)
"TDslMgrService"=3 (0x3)
"MZCCntrl"=2 (0x2)
"LVPrcSrv"=2 (0x2)
"LiveUpdate Notice Service"=2 (0x2)
"LiveUpdate Notice Ex"=2 (0x2)
"LiveUpdate"=3 (0x3)
"GoogleDesktopManager-010108-205858"=3 (0x3)
"fsssvc"=2 (0x2)
"CyberLink Media Library Service"=2 (0x2)
"CLSched"=2 (0x2)
"CLCapSvc"=2 (0x2)
"SymAppCore"=2 (0x2)
"Symantec Core LC"=3 (0x3)
"SbieSvc"=2 (0x2)
"RichVideo"=2 (0x2)
"ISPwdSvc"=3 (0x3)
"HotSpotFSvc"=3 (0x3)
"CLTNetCnService"=2 (0x2)
"ccSetMgr"=2 (0x2)
"ccEvtMgr"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%ProgramFiles%\\Messenger\\msmsgs.exe"=
"%ProgramFiles%\\Microsoft Games\\Flight Simulator 9\\fs9.exe"=
"%WinDir%\\system32\\fxsclnt.exe"=
"%ProgramFiles%\\CA\\eTrust Antivirus\\InocIT.exe"=
"%ProgramFiles%\\CA\\eTrust Antivirus\\Realmon.exe"=
"%ProgramFiles%\\CA\\eTrust Antivirus\\InoRpc.exe"=
"%ProgramFiles%\\WIDCOMM\\Bluetooth Software\\BTTray.exe"=
"C:\\Programme\\Home Cinema\\PowerCinema\\PowerCinema.exe"=
"C:\\Programme\\Home Cinema\\PowerCinema\\PCMService.exe"=
"C:\\Programme\\T-Online\\T-Online_Software_6\\Internet-Telefon\\Phone.exe"=
"C:\\Programme\\AOL 9.0\\WAOL.exe"=
"C:\\Programme\\AOL 9.0\\AOL.exe"=
"C:\\Programme\\T-Online\\T-Online_Software_6\\Browser\\browser.exe"=
"C:\\Programme\\IncrediMail\\bin\\IMApp.exe"=
"C:\\Programme\\IncrediMail\\bin\\IncMail.exe"=
"C:\\Programme\\IncrediMail\\bin\\ImpCnt.exe"=
"C:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe"=
"C:\\Programme\\Yahoo!\\Messenger\\YServer.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
"C:\\Programme\\AVG\\AVG8\\avgemc.exe"=
"C:\\Programme\\AVG\\AVG8\\avgupd.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"80:TCP"= 80:TCP:internet

R0 hotcore2;hotcore2;C:\WINDOWS\system32\drivers\hotcore2.sys [2007-01-16 06:29]
R1 AvgLdx86;AVG Free AVI Loader Driver x86;C:\WINDOWS\system32\Drivers\avgldx86.sys [2008-09-01 10:55]
R1 Hotkey;Hotkey;C:\WINDOWS\system32\drivers\Hotkey.sys [2003-04-28 11:27]
R2 avg8emc;AVG Free8 E-mail Scanner;C:\PROGRA~1\AVG\AVG8\avgemc.exe [2008-09-01 10:55]
R2 avg8wd;AVG Free8 WatchDog;C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe [2008-09-01 10:55]
R2 AvgTdiX;AVG Free8 Network Redirector;C:\WINDOWS\system32\Drivers\avgtdix.sys [2008-09-01 10:55]
R2 fssfltr;FssFltr;C:\WINDOWS\system32\DRIVERS\fssfltr.sys [2007-10-17 14:53]
R3 TSMPacket;DSL-Manager Service;C:\WINDOWS\system32\DRIVERS\tsmpkt.sys [2007-06-26 12:53]
S1 M9207;ULi M9207 USB DVB-T / TV BOX;C:\WINDOWS\system32\DRIVERS\M9207BDA.sys []
S1 Wbutton;Wbutton;C:\WINDOWS\system32\drivers\Wbutton.sys []
S3 3xHybrid;3xHybrid service;C:\WINDOWS\system32\DRIVERS\3xHybrid.sys [2005-06-08 03:35]
S3 dsltestSp5;dsltestSp5 NDIS Protocol Driver;C:\WINDOWS\system32\Drivers\dsltestSp5.sys [2007-09-12 18:24]
S3 LVPrcMon;Logitech LVPrcMon Driver;C:\WINDOWS\system32\drivers\LVPrcMon.sys [2005-12-09 15:37]
S3 MACNDIS5;MACNDIS5 NDIS Protocol Driver;C:\PROGRA~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS [2006-10-04 10:14]
S3 MIINPazX;MIINPazX NDIS Protocol Driver;C:\PROGRA~1\GEMEIN~1\MARMIK~1\MInfraIS\MIINPazX.SYS [2006-10-09 16:03]
S3 MTOnlPktAlyX;MTOnlPktAlyX NDIS Protocol Driver;C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis1\MTOnlPktAlyX.SYS [2006-10-09 14:46]
S3 SipIMNDI;T-Online Dialerschutz VoIP Service;C:\WINDOWS\system32\DRIVERS\SipIMNDI.sys []
S3 ss_bus;Samsung Mobile USB Device 1.0 driver (WDM);C:\WINDOWS\system32\DRIVERS\ss_bus.sys [2005-01-24 16:38]
S3 ss_mdfl;SAMSUNG Mobile USB Modem 1.0 Filter;C:\WINDOWS\system32\DRIVERS\ss_mdfl.sys [2005-01-24 16:38]
S3 ss_mdm;SAMSUNG Mobile USB Modem 1.0 Drivers;C:\WINDOWS\system32\DRIVERS\ss_mdm.sys [2005-01-24 16:38]
S3 ULiM9205;TVBOX service;C:\WINDOWS\system32\Drivers\M9205.sys []
S4 fsssvc;Windows Live OneCare Family Safety;C:\Programme\Windows Live\Family Safety\fsssvc.exe [2007-10-17 14:53]
S4 HotSpotFSvc;Hotspot Manager;C:\Programme\Gemeinsame Dateien\T-COM\HotspotMgr\HotSpotFSvc.exe []
S4 MZCCntrl;T-Online WLAN Adapter Steuerungsdienst;C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe [2007-01-09 18:16]
S4 TDslMgrService;DSL-Manager;C:\Programme\T-Online\DSL-Manager\DslMgrSvc.exe [2007-11-26 15:50]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2e7c0b78-2a44-11da-901b-00038a000015}]
\Shell\AutoRun\command - appsetup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{71ed4c93-1fad-11da-870b-00038a000015}]
\Shell\AutoRun\command - appsetup.exe

*Newly Created Service* - CATCHME
*Newly Created Service* - PROCEXP90
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

MSConfigStartUp-Google Desktop Search - C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
MSConfigStartUp-InstantOn - C:\Programme\CyberLink\PowerCinema Linux\ion_install.exe
MSConfigStartUp-LDM - C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
MSConfigStartUp-osCheck - C:\Programme\Norton Internet Security\osCheck.exe


.
------- Zusätzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\MEIN NAME\Anwendungsdaten\Mozilla\Firefox\Profiles\sc2sau53.default\
FF -: plugin - C:\PROGRA~1\Yahoo!\Common\npyaxmpb.dll
FF -: plugin - C:\Programme\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll
FF -: plugin - C:\Programme\Java\jre1.5.0_04\bin\NPJava11.dll
FF -: plugin - C:\Programme\Java\jre1.5.0_04\bin\NPJava12.dll
FF -: plugin - C:\Programme\Java\jre1.5.0_04\bin\NPJava13.dll
FF -: plugin - C:\Programme\Java\jre1.5.0_04\bin\NPJava14.dll
FF -: plugin - C:\Programme\Java\jre1.5.0_04\bin\NPJava32.dll
FF -: plugin - C:\Programme\Java\jre1.5.0_04\bin\NPJPI150_04.dll
FF -: plugin - C:\Programme\Java\jre1.5.0_04\bin\NPOJI610.dll
FF -: plugin - C:\Programme\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll
FF -: plugin - C:\Programme\Yahoo!\Shared\npYState.dll
.

**************************************************************************

disk not found C:\

please note that you need administrator rights to perform deep scan
Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 

**************************************************************************
.
Zeit der Fertigstellung: 2008-09-01 18:49:04
ComboFix-quarantined-files.txt  2008-09-01 16:49:00

Pre-Run: 8 Verzeichnis(se), 28,439,478,272 Bytes frei
Post-Run: 11 Verzeichnis(se), 28,462,960,640 Bytes frei

272	--- E O F ---	2007-10-12 23:23:20

Aus Platzgründen Vortsetzung in neuem Posting.

HugoIsland · 02.09.2008, 14:00

Und weiter gehts:

5) Scannen mit SASW - durchgeführt und nix gefunden

6) Malewarebytes - hat 5 kritische Registry Einträge gefunden, diese habe ich gelöscht

7) cCleaner hat wieder aufgeräumt

8) Hijack Log

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:33:57, on 02.09.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Launch Manager\Wbutton.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\LVCOMSX.EXE
C:\WINDOWS\system32\ElkCtrl.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\Programme\Launch Manager\OSD.exe
C:\Programme\Launch Manager\LaunchAp.exe
C:\Programme\Launch Manager\HotkeyApp.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\AGRSMMSG.exe
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 88.80.194.14:3128
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG8\avgssie.dll
O2 - BHO: Windows Live OneCare Family Safety Browser Helper - {4f3ed5cd-0726-42a9-87f5-d13f3d2976ac} - C:\Programme\Windows Live\Family Safety\fssbho.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechCameraService(E)] C:\WINDOWS\system32\ElkCtrl.exe /automation
O4 - HKLM\..\Run: [LMgrOSD] "C:\Programme\Launch Manager\OSD.exe"
O4 - HKLM\..\Run: [LaunchAp] "C:\Programme\Launch Manager\LaunchAp.exe"
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [HotkeyApp] "C:\Programme\Launch Manager\HotkeyApp.exe"
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [CtrlVol] "C:\Programme\Launch Manager\CtrlVol.exe"
O4 - HKLM\..\Run: [AzMixerSel] C:\Programme\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Programme\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Programme\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {DAA3903C-AC88-4D16-B050-F21EB1F79BE6} - h**p://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=h**p://www.aldi.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1126091180221
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**ps://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1220258548031
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG8\avgpp.dll
O20 - AppInit_DLLs: avgrsstx.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 6998 bytes

und hier noch der Report von iClean

Code:

ATTFilter

iclean log 02.09.2008 10:22:21

Windows XP SP3, Using advanced Kernel functions

Processes
---------
1136 - \SystemRoot\System32\smss.exe - \SystemRoot\System32\smss.exe
1280 - \??\C:\WINDOWS\system32\csrss.exe - \??\C:\WINDOWS\system32\csrss.exe
1320 - \??\C:\WINDOWS\system32\winlogon.exe - \??\C:\WINDOWS\system32\winlogon.exe
1372 - C:\WINDOWS\system32\services.exe - Anwendung für Dienste und Controller
1384 - C:\WINDOWS\system32\lsass.exe - LSA Shell (Export Version)
1564 - C:\WINDOWS\system32\Ati2evxx.exe - ATI External Event Utility EXE Module
1596 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1688 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1744 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1856 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1976 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
424 - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe - Ad-Aware Service (Signed)
828 - C:\WINDOWS\system32\spoolsv.exe - Spooler SubSystem App
936 - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe - AVG Watchdog Service (Signed)
956 - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe - Bluetooth Support Server
1028 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1116 - C:\WINDOWS\system32\MsPMSPSv.exe - WMDM PMSP Service
1180 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe - X10 Module
792 - C:\PROGRA~1\AVG\AVG8\avgrsx.exe - AVG Resident Shield Service (Signed)
1684 - C:\PROGRA~1\AVG\AVG8\avgemc.exe - AVG E-Mail Scanner (Signed)
576 - C:\WINDOWS\System32\alg.exe - Application Layer Gateway Service
2348 - C:\WINDOWS\system32\wscntfy.exe - Windows Security Center Notification App
2372 - C:\WINDOWS\system32\Ati2evxx.exe - ATI External Event Utility EXE Module
2588 - C:\WINDOWS\Explorer.EXE - Windows Explorer
3136 - C:\Programme\Launch Manager\Wbutton.exe - WButton MFC Application
3144 - C:\Programme\Synaptics\SynTP\SynTPEnh.exe - Synaptics TouchPad Enhancements
3152 - C:\WINDOWS\RTHDCPL.EXE - Realtek HD Audio Control Panel
3160 - C:\WINDOWS\system32\LVCOMSX.EXE - LVCom Server
3168 - C:\WINDOWS\system32\ElkCtrl.exe - Logitech Camera Service(E)
3180 - C:\Programme\Launch Manager\OSD.exe - On Screen Display
3188 - C:\Programme\Launch Manager\LaunchAp.exe - LaunchAp MFC Application
3204 - C:\Programme\Launch Manager\HotkeyApp.exe - HotkeyApp
3348 - C:\Programme\ATI Technologies\ATI.ACE\cli.exe - CLI Application (Command Line Interface)
3360 - C:\WINDOWS\AGRSMMSG.exe - SoftModem Messaging Applet
3456 - C:\PROGRA~1\AVG\AVG8\avgtray.exe - AVG Tray Monitor (Signed)
3476 - C:\WINDOWS\system32\ctfmon.exe - CTF Loader
2708 - C:\Programme\ATI Technologies\ATI.ACE\cli.exe - CLI Application (Command Line Interface)
3316 - C:\Dokumente und Einstellungen\MEIN NAME\Desktop\iclean\iclean.exe - Interactive Cleaner

Services
--------
c:\programme\lavasoft\ad-aware\aawservice.exe=aawservice
C:\WINDOWS\system32\alg.exe=ALG
C:\WINDOWS\system32\ati2evxx.exe=Ati HotKey Poller
C:\WINDOWS\system32\svchost.exe=AudioSrv
c:\progra~1\avg\avg8\avgemc.exe=avg8emc
c:\progra~1\avg\avg8\avgwdsvc.exe=avg8wd
c:\programme\widcomm\bluetooth software\bin\btwdins.exe=btwdins
C:\WINDOWS\system32\svchost.exe=CryptSvc
C:\WINDOWS\system32\svchost.exe=DcomLaunch
C:\WINDOWS\system32\svchost.exe=Dhcp
C:\WINDOWS\system32\svchost.exe=Dnscache
C:\WINDOWS\system32\svchost.exe=ERSvc
C:\WINDOWS\system32\services.exe=Eventlog
c:\windows\system32\svchost.exe=EventSystem
C:\WINDOWS\system32\svchost.exe=FastUserSwitchingCompatibility
C:\WINDOWS\system32\svchost.exe=helpsvc
C:\WINDOWS\system32\svchost.exe=Irmon
C:\WINDOWS\system32\svchost.exe=lanmanserver
C:\WINDOWS\system32\svchost.exe=lanmanworkstation
C:\WINDOWS\system32\svchost.exe=LmHosts
C:\WINDOWS\system32\svchost.exe=Netman
C:\WINDOWS\system32\svchost.exe=Nla
C:\WINDOWS\system32\services.exe=PlugPlay
C:\WINDOWS\system32\lsass.exe=PolicyAgent
C:\WINDOWS\system32\lsass.exe=ProtectedStorage
C:\WINDOWS\system32\svchost.exe=RasMan
C:\WINDOWS\system32\svchost.exe=RpcSs
C:\WINDOWS\system32\lsass.exe=SamSs
C:\WINDOWS\system32\svchost.exe=Schedule
C:\WINDOWS\system32\svchost.exe=seclogon
C:\WINDOWS\system32\svchost.exe=SENS
C:\WINDOWS\system32\svchost.exe=SharedAccess
C:\WINDOWS\system32\svchost.exe=ShellHWDetection
C:\WINDOWS\system32\spoolsv.exe=Spooler
C:\WINDOWS\system32\svchost.exe=srservice
C:\WINDOWS\system32\svchost.exe=SSDPSRV
C:\WINDOWS\system32\svchost.exe=stisvc
C:\WINDOWS\system32\svchost.exe=TapiSrv
C:\WINDOWS\system32\svchost.exe=TermService
C:\WINDOWS\system32\svchost.exe=Themes
C:\WINDOWS\system32\svchost.exe=TrkWks
C:\WINDOWS\system32\svchost.exe=W32Time
C:\WINDOWS\system32\svchost.exe=WebClient
C:\WINDOWS\system32\svchost.exe=winmgmt
c:\windows\system32\mspmspsv.exe=WMDM PMSP Service
C:\WINDOWS\system32\svchost.exe=wscsvc
C:\WINDOWS\system32\svchost.exe=wuauserv
C:\WINDOWS\system32\svchost.exe=WZCSVC
c:\progra~1\common~1\x10\common\x10nets.exe=x10nets

Registry
--------
000=HKCU\Run: ctfmon.exe=c:\windows\system32\ctfmon.exe
000=HKLM\Run: AGRSMMSG=c:\windows\agrsmmsg.exe
000=HKLM\Run: ATICCC="c:\programme\ati technologies\ati.ace\cli.exe" runtime
000=HKLM\Run: AVG8_TRAY=c:\progra~1\avg\avg8\avgtray.exe
000=HKLM\Run: AzMixerSel=c:\programme\realtek\installshield\azmixersel.exe
000=HKLM\Run: CtrlVol="c:\programme\launch manager\ctrlvol.exe"
000=HKLM\Run: High Definition Audio Property Page Shortcut=c:\windows\system32\hdashcut.exe
000=HKLM\Run: HotkeyApp="c:\programme\launch manager\hotkeyapp.exe"
000=HKLM\Run: IMJPMIG8.1="c:\windows\ime\imjp8_1\imjpmig.exe" /spoil /remadvdef /migration32
000=HKLM\Run: LaunchAp="c:\programme\launch manager\launchap.exe"
000=HKLM\Run: LMgrOSD="c:\programme\launch manager\osd.exe"
000=HKLM\Run: LogitechCameraService(E)=c:\windows\system32\elkctrl.exe
000=HKLM\Run: LVCOMSX=c:\windows\system32\lvcomsx.exe
000=HKLM\Run: RTHDCPL=c:\windows\rthdcpl.exe
000=HKLM\Run: SynTPEnh=c:\programme\synaptics\syntp\syntpenh.exe
000=HKLM\Run: Wbutton="c:\programme\launch manager\wbutton.exe"
001=Firewall bypass: %ProgramFiles%\CA\eTrust Antivirus\InocIT.exe=c:\programme\ca\etrust antivirus\inocit.exe
001=Firewall bypass: %ProgramFiles%\CA\eTrust Antivirus\InoRpc.exe=c:\programme\ca\etrust antivirus\inorpc.exe
001=Firewall bypass: %ProgramFiles%\CA\eTrust Antivirus\Realmon.exe=c:\programme\ca\etrust antivirus\realmon.exe
001=Firewall bypass: %ProgramFiles%\Messenger\msmsgs.exe=c:\programme\messenger\msmsgs.exe
001=Firewall bypass: %ProgramFiles%\Microsoft Games\Flight Simulator 9\fs9.exe=c:\programme\microsoft games\flight simulator 9\fs9.exe
001=Firewall bypass: %ProgramFiles%\WIDCOMM\Bluetooth Software\BTTray.exe=c:\programme\widcomm\bluetooth software\bttray.exe
001=Firewall bypass: %windir%\Network Diagnostic\xpnetdiag.exe=c:\windows\network diagnostic\xpnetdiag.exe
001=Firewall bypass: %WinDir%\system32\fxsclnt.exe=c:\windows\system32\fxsclnt.exe
001=Firewall bypass: %windir%\system32\sessmgr.exe=c:\windows\system32\sessmgr.exe
001=Firewall bypass: C:\Programme\AOL 9.0\AOL.exe=c:\programme\aol 9.0\aol.exe
001=Firewall bypass: C:\Programme\AOL 9.0\WAOL.exe=c:\programme\aol 9.0\waol.exe
001=Firewall bypass: C:\Programme\AVG\AVG8\avgemc.exe=c:\programme\avg\avg8\avgemc.exe
001=Firewall bypass: C:\Programme\AVG\AVG8\avgupd.exe=c:\programme\avg\avg8\avgupd.exe
001=Firewall bypass: C:\Programme\Home Cinema\PowerCinema\PCMService.exe=c:\programme\home cinema\powercinema\pcmservice.exe
001=Firewall bypass: C:\Programme\Home Cinema\PowerCinema\PowerCinema.exe=c:\programme\home cinema\powercinema\powercinema.exe
001=Firewall bypass: C:\Programme\IncrediMail\bin\IMApp.exe=c:\programme\incredimail\bin\imapp.exe
001=Firewall bypass: C:\Programme\IncrediMail\bin\ImpCnt.exe=c:\programme\incredimail\bin\impcnt.exe
001=Firewall bypass: C:\Programme\IncrediMail\bin\IncMail.exe=c:\programme\incredimail\bin\incmail.exe
001=Firewall bypass: C:\Programme\Skype\Phone\Skype.exe=c:\programme\skype\phone\skype.exe
001=Firewall bypass: C:\Programme\T-Online\T-Online_Software_6\Browser\browser.exe=c:\programme\t-online\t-online_software_6\browser\browser.exe
001=Firewall bypass: C:\Programme\T-Online\T-Online_Software_6\Internet-Telefon\Phone.exe=c:\programme\t-online\t-online_software_6\internet-telefon\phone.exe
001=Firewall bypass: C:\Programme\Yahoo!\Messenger\YahooMessenger.exe=c:\programme\yahoo!\messenger\yahoomessenger.exe
001=Firewall bypass: C:\Programme\Yahoo!\Messenger\YServer.exe=c:\programme\yahoo!\messenger\yserver.exe
020=SSODL: CDBurn=C:\WINDOWS\system32\shell32.dll
020=SSODL: PostBootReminder=C:\WINDOWS\system32\shell32.dll
020=SSODL: SysTray=C:\WINDOWS\system32\stobject.dll
020=SSODL: WebCheck=c:\windows\system32\webcheck.dll
020=SSODL: WPDShServiceObj=c:\windows\system32\wpdshserviceobj.dll
030=BHO: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}=(null) ()
030=BHO: {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0}=c:\programme\avg\avg8\avgssie.dll (AVG Safe Search)
030=BHO: {4f3ed5cd-0726-42a9-87f5-d13f3d2976ac}=c:\programme\windows live\family safety\fssbho.dll (Windows Live OneCare Family Safety Browser Helper Class)
030=BHO: {AF69DE43-7D58-4638-B6FA-CE66B5AD205D}=c:\programme\google\googletoolbarnotifier\2.0.301.7164\swg.dll (Google Toolbar Notifier BHO)
031=Toolbar: {01E04581-4EEE-11D0-BFE9-00AA005B4383}=C:\WINDOWS\system32\browseui.dll
031=Toolbar: {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7}=(null)
031=Toolbar: {0E5CBF21-D15F-11D0-8301-00AA005B4383}=C:\WINDOWS\system32\shell32.dll
031=Toolbar: {2318C2B1-4965-11D4-9B18-009027A5CD4F}=(null)
031=Toolbar: {EF99BD32-C1FB-11D2-892F-0090271D4F88}=(null)
031=Toolbar: ITBar7Layout=(null)

Startup Folders
---------------
Personal: desktop.ini

HOSTS
-----
# Copyright (c) 1993-1999 Microsoft Corp.
#
# Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
# für Windows 2000 verwendet wird.
#
# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
# Hostnamen stehen.
# Die IP-Adresse und der Hostname müssen durch mindestens ein
# Leerzeichen getrennt sein.
#
# Zusätzliche Kommentare (so wie in dieser Datei) können in
# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
# aber müssen mit dem Zeichen '#' eingegeben werden.
#
# Zum Beispiel:
#
#      102.54.94.97     rhino.acme.com          # Quellserver
#       38.25.63.10     x.acme.com              # x-Clienthost

127.0.0.1       localhost

9) AVZ Link ist hier:
RapidShare: Easy Filehosting

Http Seiten funktionieren leider immer noch nicht.
Trotzdem schonmal vielen Dank für die Hinweise und Hilfestellungen.

undoreal · 02.09.2008, 14:12

Poste bitte von 5) und 6) auch die logs. Immer alle logs posten!

HugoIsland · 02.09.2008, 21:32

Hier der Log von SuperAntiSpyware:

Code:

ATTFilter

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 09/02/2008 at 04:59 PM

Application Version : 4.20.1046

Core Rules Database Version : 3541
Trace Rules Database Version: 1530

Scan type       : Complete Scan
Total Scan Time : 01:20:11

Memory items scanned      : 515
Memory threats detected   : 0
Registry items scanned    : 6746
Registry threats detected : 0
File items scanned        : 115306
File threats detected     : 0

und hier der Log von Mbam:

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.25
Datenbank Version: 1062
Windows 5.1.2600 Service Pack 3

09:21:41 02.09.2008
mbam-log-09-02-2008 (09-21-41).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|G:\|H:\|)
Durchsuchte Objekte: 157108
Laufzeit: 58 minute(s), 54 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 4
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\Interface\{48d78be5-cfb9-4b66-9ac4-96d4cf21de06} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{74d46bba-5638-473a-83b6-97e7804a7411} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\{d2a8552d-4340-413e-b94e-245827fbc269} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\ausctv32a.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\xmp.bat (Trojan.Downloader) -> Quarantined and deleted successfully.

undoreal · 02.09.2008, 22:06

Hast du AdAware immer noch nicht deinstalliert?

Dateien Online überprüfen lassen:

* Lasse dir auch die versteckten Dateien anzeigen!

* Suche die Seite Virtustotal auf. Kopiere folgenden Dateipfad per copy and paste in das Eingabefeld neben dem "Durchsuchen"-Button. Klicke danach auf "Senden der Datei"!

* Alternativ kannst du dir die Datei natürlich auch über den "Durchsuchen"-Button selbst heraussuchen.

Zitat:

C:\Dokumente und Einstellungen\MEIN NAME\Anwendungsdaten\wklnhst.dat
C:\WINDOWS\system32\31961103D8.sys
C:\WINDOWS\system32\KGyGaAvL.sys
C:\WINDOWS\System32\Drivers\Cdr4_xp.SYS

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Sollte die Datei bereits analysiert worden sein so lasse sie unbedingt trotzdem nocheinmal analysieren!
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

Führe folgendes Skript mit AVZ aus (File -> Custom Skript)

Code:

ATTFilter

begin
 QuarantineFile('autocheck autochk *�lsdelete','');
ExecuteSysClean;
end.

Danach öffne mal SUPERAntiSpyware und fphre unter Preferences -> Repairs alle der Reihe nach durch--

Sollte das Problem dann immer noch auftreten:

1.) Download WinsockFix.zip. (by: Option Explicit)
2.) UnZip WinsockFix.zip
3.) Run WinsockFix.exe
4.) Erstelle ein Backup der Reg.
5.) Click the Fix button

WinsockFix
http://www.veldhuizen.speedxs.nl/winsockxpfix.exe

02.09.2008, 14:12	#7
undoreal /// AVZ-Toolkit Guru	Keine http Seiten mehr aufrufbar Poste bitte von 5) und 6) auch die logs. Immer alle logs posten! __________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - Mit Sicherheit durch's Netz Trojaner Board Spenden Konto

Keine http Seiten mehr aufrufbar

Log-Analyse und Auswertung: Keine http Seiten mehr aufrufbar