Hallo,

ich benötige dringend Eure Hilfe. Seit einigen Tagen läuft mein I-Net nicht mehr rund, d. h. der Seitenaufbau über den Internet Explorer aber auch über Firefox 3 ist unvollständig bzw. es wird überhaupt nichts mehr angezeigt. Ich habe schon die beiden Browser und die Firewall de- und wieder installiert aber nichts hilft. mein system habe ich mit ad-aware und sbybot gecheckt. Ich komme einfach nicht weiter. Die Windows-Update-Funktion läuft ebenfalls nicht. Wäre klasse, wenn mir jemand helfen könnte. HIer ist mein Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:15:55, on 01.09.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Eraser\Eraser.exe
C:\Programme\SpeedFan\speedfan.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\dllcache\r2c\mirc.exe
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.de/
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Programme\FlashGet\jccatch.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Programme\FlashGet\getflash.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [UpdateShield] %windir%\System32\r2c\mIRC.exe
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Eraser] C:\Programme\Eraser\Eraser.exe -hide
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Speedfan.lnk = C:\Programme\SpeedFan\speedfan.exe
O8 - Extra context menu item: &Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: &Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1191063976031
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1191064049062
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe

--
End of file - 5538 bytes

Hallöle.

Deinstalliere bitte Spybot und AdAware!



ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Besten Dank für Deine Antwort. Der Grund, weshalb ich mich heute erst melde ist der, dass ich Combofix nicht downloaden kann. Habe die Datei heute bei der Arbeit geladen und auf CD gebrannt. Das Programm startet allerdings nicht. So wie's aussieht mag mein Virus (?) nicht bekämpft werden.

Bekomme leider kein Edit hin, die Seite schmiert mir fast ständig ab.

Hier eine kleine Ergänzung.

Kaspersky gibt mir übrigens beim späteren Durchlauf folgende Meldung:

Datei c:\downloads\combofix\combofix.exe//PE_Patch.UPX/327882R2FWJFW\catchme.cfexe, gefunden: Virus 'Heur.Invader' (Modifikation)

Ist Combofix denn verseucht oder wird das Programm nur als Hack-Tool erkannt? Macht aber fast nichts, kann es sowieso nicht starten.

Die Kav Meldung ist in Ordnung. In der CF Anleitung steht auch drinn das alle AV Progs abgeschalten werden sollen!

Warum startet CF nicht?

Packe es mal in einen eigenen Ordner und benene es um in CF.com Versuche es mit einem DoppelKlick auf die CF.com zu starten.

kaspersky hatte ich abgeschaltet (schutz angehalten und programm beendet), combofix lief aber nicht. in der taskleiste ging zwar ein entsprechender button auf und die sanduhr lief, mehr aber auch nicht. kaspersky hatte ich danach wieder eingeschaltet. mit cf.com im eigenen ordener funktioniert das programm auch nicht (ebenfalls kaspersky abgeschaltet).

kannst du etwas mit dem logfile von comboscan anfangen?

das habe ich mit einigen schwierigkeiten starten können.

ComboScan v20070226.18 run by XXX on 2008-09-03 at 20:07:27
Computer is in Normal Mode.
--------------------------------------------------------------------------------

Successfully created restore point.
Performed disk cleanup.


-- HijackThis (run as XXX.exe) --------------------------------------------------

Logfile of HijackThis v1.99.1

[edit]
Bitte editiere zukünftig deine Links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

Danke.
Sunny
[/edit]
-- File Associations ------------------------------------------------------------

.bat - batfile - "%1" %*
.chm - chm.file - "C:\WINDOWS\hh.exe" %1
.cmd - cmdfile - "%1" %*
.com - comfile - "%1" %*
.exe - exefile - "%1" %*
.hlp - hlpfile - %SystemRoot%\System32\winhlp32.exe %1
.inf - inffile - %SystemRoot%\System32\NOTEPAD.EXE %1
.ini - inifile - %SystemRoot%\System32\NOTEPAD.EXE %1
.js - JSFile - %SystemRoot%\System32\WScript.exe "%1" %*
.lnk - lnkfile - {00021401-0000-0000-C000-000000000046}
.pif - piffile - "%1" %*
.reg - regfile - regedit.exe "%1"
.scr - scrfile - "%1" /S
.txt - txtfile - %SystemRoot%\system32\NOTEPAD.EXE %1
.vbs - VBSFile - %SystemRoot%\System32\WScript.exe "%1" %*


-- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled ----------------------

3R AR5211 (Atheros Wireless Network Adapter Service) - C:\WINDOWS\system32\drivers\ar5211.sys
0R giveio - C:\WINDOWS\system32\giveio.sys
3R HDAudBus (Microsoft UAA-Bustreiber für High Definition Audio) - C:\WINDOWS\system32\drivers\hdaudbus.sys
3R ialm - C:\WINDOWS\system32\drivers\igxpmp32.sys
3R IntcAzAudAddService (Service for Realtek HD Audio (WDM)) - C:\WINDOWS\system32\drivers\RtkHDAud.sys
1R intelppm (Intel-Prozessortreiber) - C:\WINDOWS\system32\drivers\intelppm.sys
0R kl1 - C:\WINDOWS\system32\drivers\kl1.sys
1R klif - C:\WINDOWS\system32\drivers\klif.sys
3R klim5 (Kaspersky Anti-Virus NDIS Filter) - C:\WINDOWS\system32\drivers\klim5.sys
3S PCANDIS5 - C:\PROGRA~1\GEMEIN~1\T-Com\DSLCheck\PCANDIS5.SYS (not found)
3R RTLE8023xp (Realtek 10/100/1000 PCI-E NIC Family NDIS XP Driver) - C:\WINDOWS\system32\drivers\Rtenicxp.sys
0R speedfan - C:\WINDOWS\system32\speedfan.sys
3S TSMPacket (DSL-Manager Service) - C:\WINDOWS\system32\DRIVERS\tsmpkt.sys (not found)
3S usbehci (Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller) - C:\WINDOWS\system32\drivers\usbehci.sys
3S WudfPf (Windows Driver Foundation - User-mode Driver Framework Platform Driver) - C:\WINDOWS\system32\drivers\WudfPf.sys
3S WudfRd (Windows Driver Foundation - User-mode Driver Framework Reflector) - C:\WINDOWS\system32\drivers\WudfRd.sys


-- Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled ---------------------

3S aspnet_state (ASP.NET-Zustandsdienst) - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
2R AVP (Kaspersky Internet Security 7.0) - "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" -r
3S clr_optimization_v2.0.50727_32 (.NET Runtime Optimization Service v2.0.50727_X86) - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
3S Dot3svc (Automatische Konfiguration (verkabelt)) - C:\WINDOWS\System32\svchost.exe -k dot3svc
3S EapHost (Extensible Authentication-Protokolldienst) - C:\WINDOWS\System32\svchost.exe -k eapsvcs
3S FontCache3.0.0.0 (Windows Presentation Foundation Font Cache 3.0.0.0) - c:\WINDOWS\Microsoft.Net\Framework\v3.0\WPF\PresentationFontCache.exe
3S hkmsvc (Integritätsschlüssel- und Zertifikatverwaltungsdienst) - C:\WINDOWS\System32\svchost.exe -k netsvcs
3S idsvc (Windows CardSpace) - "C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe"
3S napagent (NAP-Agent (Network Access Protection)) - C:\WINDOWS\System32\svchost.exe -k netsvcs
4S Nero BackItUp Scheduler 3 - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
4S NetTcpPortSharing (Net.Tcp Port Sharing Service) - "C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe"
4S NMIndexingService - "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe"
3S ose (Office Source Engine) - "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE"


-- Files created between 2008-08-03 and 2008-09-03 ------------------------------

2008-09-03 20:08:54 0 d-------- C:\Programme\HijackThis<HIJACK~1>
2008-09-03 18:23:09 0 d--h----- C:\WINDOWS\PIF
2008-09-03 15:54:53 2 --a------ C:\WINDOWS\system32\oembios.exe
2008-09-03 15:54:53 2 --a------ C:\WINDOWS\system32\ntos.exe
2008-09-02 17:27:35 0 dr-hs---- C:\cmdcons
2008-09-02 17:27:34 0 d-------- C:\WINDOWS\setup.pss
2008-09-02 17:27:04 0 d-------- C:\WINDOWS\setupupd
2008-09-01 18:54:17 0 d-------- C:\Programme\CCleaner
2008-09-01 11:39:32 96976 --a------ C:\WINDOWS\system32\drivers\klin.dat
2008-09-01 11:39:32 87855 --a------ C:\WINDOWS\system32\drivers\klick.dat
2008-09-01 11:39:08 0 d-------- C:\Programme\Kaspersky Lab<KASPER~1>
2008-09-01 11:39:07 21280 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat
2008-09-01 11:39:07 2521376 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2008-08-31 12:07:26 0 --a------ C:\WINDOWS\system32\windows_update.exe<WINDOW~1.EXE>
2008-08-11 16:23:07 0 d-------- C:\Programme\Eraser
2008-08-08 18:41:28 0 d-------- C:\Programme\OO Software<OOSOFT~1>
2008-08-08 18:40:11 3730848 -----n--- C:\Programme\kostenlos OOSE32_GER.exe<KOSTEN~1.EXE>


-- Find3M Report ----------------------------------------------------------------

2008-09-03 19:56:32 0 d-------- C:\Programme\Mozilla Firefox<MOZILL~1>
2008-09-03 19:32:41 0 d-------- C:\Programme\SpeedFan
2008-09-03 18:37:05 0 d-------- C:\Programme\eMule
2008-09-03 18:17:00 0 d-------- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\uTorrent
2008-09-03 16:50:40 0 d-------- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\foobar2000<FOOBAR~1>
2008-09-02 15:54:56 0 d-------- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\dvdcss
2008-09-02 05:50:31 0 d-------- C:\Programme\Gemeinsame Dateien<GEMEIN~1>
2008-09-02 05:50:27 0 d-------- C:\Programme\Lavasoft
2008-09-01 11:06:24 0 d-------- C:\Programme\Messenger<MESSEN~1>
2008-09-01 11:01:21 0 d-------- C:\Programme\XPcleanv5<XPCLEA~1>
2008-09-01 09:47:11 0 d-------- C:\Programme\FlashGet
2008-08-29 18:27:22 0 d-------- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Mozilla
2008-06-23 22:43:10 449926 --a------ C:\WINDOWS\system32\perfh007.dat
2008-06-23 22:43:10 65858 --a------ C:\WINDOWS\system32\perfc007.dat
2008-06-20 19:46:10 247296 --a------ C:\WINDOWS\system32\mswsock.dll


-- Registry Dump ----------------------------------------------------------------


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"Eraser"="C:\\Programme\\Eraser\\Eraser.exe -hide"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"IgfxTray"="C:\\WINDOWS\\system32\\igfxtray.exe"
"HotKeysCmds"="C:\\WINDOWS\\system32\\hkcmd.exe"
"Persistence"="C:\\WINDOWS\\system32\\igfxpers.exe"
"RTHDCPL"="RTHDCPL.EXE"
"Alcmtr"="ALCMTR.EXE"
"TkBellExe"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"AVP"="\"C:\\Programme\\Kaspersky Lab\\Kaspersky Internet Security 7.0\\avp.exe\""
"UpdateShield"=hex(2):25,77,69,6e,64,69,72,25,5c,53,79,73,74,65,6d,33,32,5c,72,\
32,63,5c,6d,49,52,43,2e,65,78,65,00

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]
@=""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"
@=""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"
@=""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"
@=""

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Reader_sl"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Adobe\\Reader 8.0\\Reader\\Reader_sl.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NMBgMonitor"
"hkey"="HKCU"
"command"="\"C:\\Programme\\Gemeinsame Dateien\\Nero\\Lib\\NMBgMonitor.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBKeyScan]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NBKeyScan"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Nero\\Nero8\\Nero BackItUp\\NBKeyScan.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NeroCheck"
"hkey"="HKLM"
"command"="C:\\Programme\\Gemeinsame Dateien\\Nero\\Lib\\NeroCheck.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="QTTask"
"hkey"="HKLM"
"command"="\"C:\\Programme\\QuickTime\\QTTask.exe\" -atboottime"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="jusched"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Java\\jre1.6.0_03\\bin\\jusched.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="realsched"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"inimapping"="0"


[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"WPDShServiceObj"="{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\pXXXcies\system]
"DisableRegistryTools"=dword:00000000

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\dimsntfy

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
HTTPFilter REG_MULTI_SZ HTTPFilter\0\0
LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService REG_MULTI_SZ DnsCache\0\0
DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0
rpcss REG_MULTI_SZ RpcSs\0\0
imgsvc REG_MULTI_SZ StiSvc\0\0
termsvcs REG_MULTI_SZ TermService\0\0
WudfServiceGroup REG_MULTI_SZ WUDFSvc\0\0
eapsvcs REG_MULTI_SZ eaphost\0\0
dot3svc REG_MULTI_SZ dot3svc\0\0

HKLM\software\Microsoft\Windows NT\CurrentVersion\Svchost *netsvcs*
napagent
hkmsvc



-- End of ComboScan: finished at 2008-09-03 at 20:09:51 -------------------------

Wie lange hast du denn gewartet? Denn wenn die Sanduhr läuft dann läuft auch das Prog. Und CF bracuht teilweise sehr lange..

Die Sanduhr ging nur kurz auf, eine Programmmaske (vergleichbar der Anleitung) hat sich nicht gezeigt. Es war also überhaupt nicht ersichtlich, dass sich irgendetwas tut. Bei mir läuft das Programm aus welchem Grund auch immer scheinbar nicht.

Hm.

Deaktiviere die Systemwiederherstellung auf allen Laufwerken. Nachdem die Bereinigung KOMPLETT beendet ist kann sie wieder aktiviert werden.

Überprüfe dein System danach mit SUPERAntiSpyware und Anti-Malware und poste die logs.

so, hab ich jetzt alles gemacht. superantispyware hat nichts gefunden. dafür aber anti-malware

SUPERAntiSpyware Scan Log:

Generated 09/06/2008 at 11:36 AM

Application Version : 4.21.1004

Core Rules Database Version : 3558
Trace Rules Database Version: 1546

Scan type : Complete Scan
Total Scan Time : 00:48:23

Memory items scanned : 163
Memory threats detected : 0
Registry items scanned : 5733
Registry threats detected : 0
File items scanned : 37210
File threats detected : 0

ANTI-MALWARE LOG (ergebnisse habe ich gelöscht):

Malwarebytes' Anti-Malware 1.26
Datenbank Version: 1119
Windows 5.1.2600 Service Pack 3

06.09.2008 14:35:13
mbam-log-2008-09-06 (14-35-09).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 72157
Laufzeit: 33 minute(s), 21 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 10

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\oembios.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\tdssadw.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\tdssl.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\tdssserf.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\tdssmain.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\tdssinit.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\tdsslog.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\tdssservers.dat (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\drivers\tdssserv.sys (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\ntos.exe (Backdoor.Bot) -> No action taken.

Mache den Anti-Malware Scan nochmal und lasse die Funde löschen.

hallo,

ich habe anti malware nun nochmal im abgesicherten modus laufen lassen und keine weiteren einträge gefunden. klasse!

jetzt läuft auch combofix. muss wohl an den infizierungen gelegen haben. kannst du vielleicht nochmal das logfile prüfen?

besten dank auch für deine hilfe! ohne dich wäre ich aufgeschmissen gewesen.

ComboFix 08-09-05.03 - Oli 2008-09-07 15:18:53.1 - NTFSx86
ausgeführt von:: C:\Downloads\combofix\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\windows_update.exe

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_TDSSSERV
-------\Service_tdssserv


((((((((((((((((((((((( Dateien erstellt von 2008-08-07 bis 2008-09-07 ))))))))))))))))))))))))))))))
.

2008-09-07 08:07 . 2008-09-07 08:07 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-09-07 08:07 . 2008-09-07 08:07 1,409 --a------ C:\WINDOWS\QTFont.for
2008-09-06 10:35 . 2008-09-06 10:35 <DIR> d-------- C:\Programme\SUPERAntiSpyware
2008-09-06 10:35 . 2008-09-06 10:35 <DIR> d-------- C:\Dokumente und Einstellungen\Oli\Anwendungsdaten\SUPERAntiSpyware.com
2008-09-06 10:35 . 2008-09-06 10:35 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2008-09-06 10:33 . 2008-09-06 10:33 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-09-06 10:33 . 2008-09-06 10:33 <DIR> d-------- C:\Dokumente und Einstellungen\Oli\Anwendungsdaten\Malwarebytes
2008-09-06 10:33 . 2008-09-06 10:33 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-09-06 10:33 . 2008-09-02 00:16 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-09-06 10:33 . 2008-09-02 00:16 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-09-06 10:32 . 2008-09-06 10:32 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-09-03 20:07 . 2008-09-03 20:09 <DIR> d-------- C:\ComboScan
2008-09-03 18:23 . 2008-09-03 18:23 <DIR> d--h----- C:\WINDOWS\PIF
2008-09-01 18:54 . 2008-09-01 18:54 <DIR> d-------- C:\Programme\CCleaner
2008-09-01 11:39 . 2008-09-01 11:39 <DIR> d-------- C:\Programme\Kaspersky Lab
2008-09-01 11:39 . 2008-09-07 15:22 3,144,992 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2008-09-01 11:39 . 2008-09-01 11:58 96,976 --a------ C:\WINDOWS\system32\drivers\klin.dat
2008-09-01 11:39 . 2008-09-01 11:58 87,855 --a------ C:\WINDOWS\system32\drivers\klick.dat
2008-09-01 11:39 . 2008-09-07 15:22 67,872 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat
2008-09-01 11:39 . 2008-09-07 15:20 43,100 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2008-09-01 11:39 . 2008-09-07 15:20 7,340 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx
2008-08-11 16:23 . 2008-08-12 19:46 <DIR> d-------- C:\Programme\Eraser
2008-08-11 16:23 . 2008-08-11 16:23 <DIR> d--h----- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{A25FEDC1-F6D7-440C-BCE2-B71F595F6646}
2008-08-08 18:41 . 2008-08-08 18:41 <DIR> d-------- C:\Programme\OO Software
2008-08-08 18:40 . 2008-08-08 18:40 3,730,848 --------- C:\Programme\kostenlos OOSE32_GER.exe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-07 13:22 --------- d-----w C:\Programme\SpeedFan
2008-09-07 13:12 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-09-07 09:20 --------- d-----w C:\Dokumente und Einstellungen\Oli\Anwendungsdaten\uTorrent
2008-09-06 15:08 --------- d-----w C:\Programme\Java
2008-09-03 16:37 --------- d-----w C:\Programme\eMule
2008-09-03 14:50 --------- d-----w C:\Dokumente und Einstellungen\Oli\Anwendungsdaten\foobar2000
2008-09-02 13:54 --------- d-----w C:\Dokumente und Einstellungen\Oli\Anwendungsdaten\dvdcss
2008-09-02 04:15 --------- d-----w C:\Programme\Spybot - Search & Destroy
2008-09-02 03:50 --------- d-----w C:\Programme\Lavasoft
2008-09-02 03:50 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-09-01 09:58 112,144 ----a-w C:\WINDOWS\system32\drivers\kl1.sys
2008-09-01 09:01 --------- d-----w C:\Programme\XPcleanv5
2008-09-01 07:47 --------- d-----w C:\Programme\FlashGet
2008-08-26 04:05 361,600 ----a-w C:\WINDOWS\system32\drivers\TCPIP.SYS.ORIGINAL
2008-08-26 04:05 361,600 ----a-w C:\WINDOWS\system32\drivers\TCPIP.SYS
2008-07-23 16:23 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
.

------- Sigcheck -------

2006-04-20 14:18 360576 b2220c618b42a2212a59d91ebd6fc4b4 C:\WINDOWS\$hf_mig$\KB917953\SP2QFE\tcpip.sys
2007-10-30 18:53 360832 64798ecfa43d78c7178375fcdd16d8c8 C:\WINDOWS\$hf_mig$\KB941644\SP2QFE\tcpip.sys
2008-06-20 13:59 361600 ad978a1b783b5719720cff204b666c8e C:\WINDOWS\$hf_mig$\KB951748\SP3QFE\tcpip.sys
2008-05-22 08:21 360064 482ab7f9cd41702e8f856c11cfefb02d C:\WINDOWS\$NtServicePackUninstall$\tcpip.sys
2004-08-04 00:14 359040 9f4b36614a0fc234525ba224957de55c C:\WINDOWS\$NtUninstallKB917953$\tcpip.sys
2007-09-29 17:44 359808 8d8949936913b041c6a0e184fbf1030b C:\WINDOWS\$NtUninstallKB941644$\tcpip.sys
2008-07-02 18:21 361344 8e036eec565910417ea020ce0962aa24 C:\WINDOWS\$NtUninstallKB951748$\tcpip.sys
2008-04-13 21:20 361344 93ea8d04ec73a85db02eb8805988f733 C:\WINDOWS\ServicePackFiles\i386\TCPIP.SYS
2008-08-26 06:05 361600 d24ea301e2b36c4e975fd216ca85d8e7 C:\WINDOWS\system32\dllcache\TCPIP.SYS
2008-08-26 06:05 361600 d24ea301e2b36c4e975fd216ca85d8e7 C:\WINDOWS\system32\drivers\TCPIP.SYS
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]
"Eraser"="C:\Programme\Eraser\Eraser.exe" [2007-12-23 916240]
"SUPERAntiSpyware"="C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2008-09-03 1576176]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe" [2007-09-20 202024]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2007-01-13 131072]
"HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2007-01-13 163840]
"Persistence"="C:\WINDOWS\system32\igfxpers.exe" [2007-01-13 135168]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-09-29 185632]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2007-06-29 286720]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe" [2007-03-01 153136]
"NBKeyScan"="C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2007-09-20 1836328]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 40048]
"RTHDCPL"="RTHDCPL.EXE" [2006-09-12 C:\WINDOWS\RTHDCPL.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 15360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "C:\Programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2008-07-23 16:28 352256 C:\Programme\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\FlashGet\\flashget.exe"=
"C:\\Downloads\\utorrent\\uTorrent1.5_Deu\\utorrent.exe"=
"C:\\Programme\\eMule\\emule.exe"=

R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2007-04-04 24344]
S3 TSMPacket;DSL-Manager Service;C:\WINDOWS\system32\DRIVERS\tsmpkt.sys [ ]
.
- - - - Entfernte verwaiste Registrierungseintr„ge - - - -

HKLM-Run-UpdateShield - C:\WINDOWS\System32\r2c\mIRC.exe


.
------- Zus„tzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Oli\Anwendungsdaten\Mozilla\Firefox\Profiles\nhbbxeiv.Oli\
FireFox -: prefs.js - STARTUP.HOMEPAGE -
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net
Rootkit scan 2008-09-07 15:22:22
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere, laufende Prozesse ------------------------
.
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\system32\dllcache\r2c\mirc.exe
C:\Programme\SpeedFan\speedfan.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\igfxsrvc.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-09-07 15:24:00 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-09-07 13:23:55

Pre-Run: 8 Verzeichnis(se), 122,277,871,616 Bytes frei
Post-Run: 13 Verzeichnis(se), 122,180,788,224 Bytes frei

148

Hallo.

Da lief ein Backdoor Bot bei dir.

Du solltest deinen Rechner neuaufsetzen. Das ist die einzige wirklich sichere Methode eine solche Infektion zu beseitigen.

Bereinigung nach einer Kompromitierung

Leider tauchen momentan immer mehr Schädlinge auf die sich in den Master Boot Record, kurz MBR einschreiben. Dieser wird bei einer herkömmlichen Neuinstallation nicht komplett überschrieben und stellt somit ein erhebliches Sicherheitsrisiko dar. Vor der Neuinstallation sollte daher sichergegangen werden, dass der MBR in Ordnung ist.

Master Boot Record überprüfen:

Lade dir die mbr.exe von GMER auf den Desktop und führe die Datei aus.

Sollte ein MBR Rootkit gefunden worde sein, das wird im log durch den Ausdruck

Zitat:

MBR rootkit code detected !

indiziert, musst du eine Bereinigung vornehmen.

Downloade dir dafür die mbr.bat.txt von BataAlexander und speichere sie neben der mbr.exe auf dem Desktop.
Ändere die Endung der mbr.txt.bat in mbr.bat Eine vernünftige Ordneransicht ist dafür nötig.
Dann führe die mbr.bat. durch einen Doppelklick aus.
Dabei muss sich die mbr.exe von GMER ebenfalls auf dem Desktop befinden!

Der MBR wird bereinigt und es erscheint ein log. Dieses log solltest du hier posten!

Nachdem das O.k. durch deinen Helfer gegeben wurde kannst du mit der sicheren Neuinstallation beginnen.

Lies dir bitte bevor du dich an die Arbeit machst folgende Anleitung ganz genau durch:

Neuaufsetzen des Systems mit abschließender Absicherung.

Wenn du diese Anleitung zum Neuaufsetzen nicht ganz genau befolgst ist das Neuaufsetzen sinnlos!

Alle Festplatten müssen komplett formatiert werden!

Daten solltest du am besten keine sichern.
Wenn du sehr wichtige, unersetzliche Dateien sichern möchtest so musst du dies nach strengen Kriterien tun:

a) Die Datei darf nicht ausführbar sein. Das heisst sie darf keine der hier aufgeführte Dateiendung haben. Beachte bitte, dass einige Schädlinge ihre Dateiendung tarnen. Abhilfe schafft hier eine vernünftige Ordneransicht.

b) Jede Datei sollte, bevor sie wieder auf den frischen Rechner gelangt mit MWAV/eScan durchsucht werden.

c) Auch wenn du die Punkte a) und b) ganz genau einhältst sind die Dateien nicht vertrauenswürdig!!
Schädlinge können auch nicht-ausführbare Dateien wie .mp3 .doc usw. infizieren!! Und MWAV findet nur einen Bruchteil aller infizierten Dateien!

Nachdem du neuaufgesetzt hast musst du unbedingt alle Passwörter und Zugangsaccounts ändern!!!

Oops, ich dachte das wär's.

MBR gibt folgendes Logfile:

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

Soweit nicht weiter schlimm. Neu aufsetzen aber trotzdem erforderlich?