Hi, ich habe meinen PC bereits vor kurzem neuaufgesetzt weil ich mein PC verseucht war.
Jetzt habe ich wieder eine Meldung auf dem Desktop bekommen mit weissem Hintergrund: Spyware detectet on your Computer.
Weiter noch wollte sich Antivirus XP 2008 installieren. Es lassen sich zudem keine Links öffnen wie z.B. der hier aus dem Forum zu HiJackthis. Ich habe auch versucht über google links zu öffenen um HijackThis runterzuladen, dort wechselt der Link erst zu go.google... und dann zu irgentwelchen Seiten.

Wie soll ich denn nun vorgehen, wenn ich keine Anti-Software runterladen kann?

Mein Betriebssystem is Windows Xp und ich habe zuletzt uTorrent installiert und mittlerweile wieder deinstalliert.

Hallo iceONdope und




Malwarebytes' Anti-Malware

• Lies dir die Entfernungsanleitung durch und lass alles entfernen was gefunden wurde:

• Download von Malwarebytes' Anti-Malware

(nach dem scannen auf den Button klicken und Funde löschen lassen!)



ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)

Hallo, vielen dank das du dich gemeldet hast. Zwischen durch habe ich mir bereits sämtliche Anti-Software die hier so in dem Forum vorgeschlagen wurde runter geladen auf usb-stick. Ich habe leider bereits schon mit einem Programm angefangen, mit HiJackThis, um einen Logfile zu posten. Leider funktioniert nach dem entfernen der Funde mein internet nicht mehr.
Auf deiner Antwort habe ich jetzt auch nach Anweisung malewarebytes und combofix (vorher ccleaner) durchgeführt.

HiJackThis Logfile

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:18:27, on 14.09.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\a.exe
C:\WINDOWS\System32\svchost.exe
C:\DOKUME~1\Borsti\LOKALE~1\Temp\jfinbino.exe
C:\Programme\ICQ6\ICQ.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [lphc5cvj0elbl] C:\WINDOWS\system32\lphc5cvj0elbl.exe
O4 - HKLM\..\Run: [inrhc1cvj0elbl] C:\Dokumente und Einstellungen\Borsti\Lokale Einstellungen\Temp\.tt4.tmp.exe /CR=5F8C0875B49BA02BB503A8EC828A17BCDF8A0DD2D85D00D7BD7197F7D5F8F76E067B89E0CB13421B090987C840B172FE56917D9FF49D55DE108C18E5669CC273A25A6F6CF0231F61DF07EB4E50CD7A5CB8
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: http://asia.msi.com.tw
O15 - Trusted Zone: http://global.msi.com.tw
O15 - Trusted Zone: http://www.msi.com.tw
O16 - DPF: {8167C273-DF59-4416-B647-C8BB2C7EE83E} (WebSDev Control) - http://liveupdate.msi.com.tw/autobios/LOnline/install.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{15E3E706-D40D-4513-9D7B-FE37A84393B3}: NameServer = 192.168.178.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{15E3E706-D40D-4513-9D7B-FE37A84393B3}: NameServer = 192.168.178.1
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

--
End of file - 5604 bytes
         

Malewarebytes Logfile

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.27
Datenbank Version: 1127
Windows 5.1.2600 Service Pack 3

14.09.2008 15:47:29
mbam-log-2008-09-14 (15-47-29).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 70023
Laufzeit: 7 minute(s), 59 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 4
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 14

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\Control Panel\Desktop\wallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\originalwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\convertedwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\scrnsave.exe (Hijack.Wallpaper) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispBackgroundPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispScrSavPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\tdssadw.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdssl.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdssserf.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdssmain.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdssinit.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdsslog.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdssservers.dat (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\drivers\tdssserv.sys (Trojan.Agent) -> Delete on reboot.
C:\Dokumente und Einstellungen\Borsti\Lokale Einstellungen\Temp\.tt1.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Borsti\Lokale Einstellungen\Temp\.tt4.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Borsti\Lokale Einstellungen\Temp\.ttA.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Borsti\Lokale Einstellungen\Temp\.ttC.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\blphc5cvj0elbl.scr (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\lphc5cvj0elbl.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
         

Combofix Logfile

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 08-09-13.05 - Borsti 2008-09-14 16:05:38.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.3.1252.1.1031.18.722 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Borsti\Desktop\ComboFix.exe
 * Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((((((((((((((((   Weitere L”schungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\a.exe

.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_TDSSSERV
-------\Service_TDSSserv


(((((((((((((((((((((((   Dateien erstellt von 2008-08-14 bis 2008-09-14  ))))))))))))))))))))))))))))))
.

2008-09-14 15:58 . 2008-09-14 15:58	<DIR>	d--------	C:\Programme\CCleaner
2008-09-14 11:34 . 2008-09-14 11:34	<DIR>	d--------	C:\Programme\Malwarebytes' Anti-Malware
2008-09-14 11:34 . 2008-09-14 11:34	<DIR>	d--------	C:\Dokumente und Einstellungen\Borsti\Anwendungsdaten\Malwarebytes
2008-09-14 11:34 . 2008-09-14 11:34	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-09-14 11:34 . 2008-09-08 00:11	38,528	--a------	C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-09-14 11:34 . 2008-09-08 00:11	17,200	--a------	C:\WINDOWS\system32\drivers\mbam.sys
2008-09-14 11:18 . 2008-09-14 11:18	<DIR>	d--------	C:\Programme\Trend Micro
2008-09-13 09:32 . 2008-09-13 09:38	<DIR>	d--------	C:\Programme\WinAce
2008-09-01 19:56 . 2008-09-12 12:07	<DIR>	d--------	C:\Programme\Garena
2008-09-01 19:56 . 2008-09-01 19:56	<DIR>	d--------	C:\Dokumente und Einstellungen\Borsti\Anwendungsdaten\InstallShield
2008-09-01 19:56 . 2006-03-14 02:26	53,248	--a------	C:\WINDOWS\system32\ImageOle.dll
2008-08-28 17:28 . 2008-08-28 17:28	<DIR>	d--------	C:\WINDOWS\Sun
2008-08-26 23:58 . 2008-04-14 04:22	221,184	--a------	C:\WINDOWS\system32\wmpns.dll
2008-08-26 19:09 . 2008-08-26 19:09	<DIR>	d--------	C:\WINDOWS\system32\de
2008-08-26 19:09 . 2008-08-26 19:09	<DIR>	d--------	C:\WINDOWS\system32\bits
2008-08-26 19:09 . 2008-08-26 19:09	<DIR>	d--------	C:\WINDOWS\l2schemas
2008-08-26 19:08 . 2008-08-26 19:10	<DIR>	d--------	C:\WINDOWS\ServicePackFiles
2008-08-25 20:47 . 2008-08-25 20:47	<DIR>	d--------	C:\Programme\Gemeinsame Dateien\Adobe
2008-08-25 20:45 . 2008-08-25 22:41	<DIR>	d--------	C:\Programme\NOS
2008-08-25 20:45 . 2008-08-25 22:41	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NOS
2008-08-25 02:58 . 2008-08-25 02:58	<DIR>	d--------	C:\Programme\Warkeys
2008-08-25 02:49 . 2008-08-28 17:29	<DIR>	d--------	C:\Programme\ICQ6
2008-08-25 02:49 . 2008-08-25 02:55	<DIR>	d--------	C:\Dokumente und Einstellungen\Borsti\Anwendungsdaten\ICQ
2008-08-25 02:40 . 2008-08-25 02:40	<DIR>	d--------	C:\Programme\Teamspeak2_RC2
2008-08-25 02:40 . 2008-09-14 09:46	<DIR>	d--------	C:\Dokumente und Einstellungen\Borsti\Anwendungsdaten\teamspeak2
2008-08-25 02:40 . 2008-08-25 02:40	34,064	--a------	C:\WINDOWS\system32\lhacm.acm
2008-08-25 02:30 . 2008-08-25 02:40	139,264	--a------	C:\WINDOWS\War3Unin.exe
2008-08-25 02:30 . 2008-08-25 02:56	73,168	--a------	C:\WINDOWS\War3Unin.dat
2008-08-25 02:30 . 2008-08-25 02:40	2,829	--a------	C:\WINDOWS\War3Unin.pif
2008-08-25 02:27 . 2008-08-25 02:45	<DIR>	d--------	C:\Spiele
2008-08-25 02:20 . 2004-03-22 17:17	24,816	--a------	C:\WINDOWS\system32\mdimon.dll
2008-08-25 02:20 . 2008-08-25 02:20	400	--a------	C:\WINDOWS\ODBC.INI
2008-08-25 02:18 . 2008-08-25 02:18	<DIR>	d--------	C:\Programme\Microsoft Works
2008-08-25 02:17 . 2008-08-25 02:19	<DIR>	d--------	C:\WINDOWS\SHELLNEW
2008-08-25 02:17 . 2008-08-25 02:17	<DIR>	d--------	C:\Programme\Microsoft.NET
2008-08-25 02:10 . 2008-08-25 02:10	<DIR>	d--------	C:\Programme\Alcohol Soft
2008-08-25 02:10 . 2003-12-21 17:24	140,800	--a------	C:\WINDOWS\system32\drivers\xmasbus.sys
2008-08-25 02:10 . 2003-12-20 20:03	5,504	--a------	C:\WINDOWS\system32\drivers\xmasscsi.sys
2008-08-25 01:56 . 2008-04-13 21:17	83,072	--a------	C:\WINDOWS\system32\drivers\wdmaud.sys
2008-08-25 01:56 . 2008-04-13 20:45	52,864	--a------	C:\WINDOWS\system32\drivers\dmusic.sys
2008-08-25 01:56 . 2008-04-13 20:45	6,272	--a------	C:\WINDOWS\system32\drivers\splitter.sys
2008-08-25 01:54 . 2008-08-25 01:54	<DIR>	d----c---	C:\WINDOWS\system32\DRVSTORE
2008-08-25 01:54 . 2008-08-25 01:54	<DIR>	d--------	C:\Programme\DIFX
2008-08-25 01:50 . 2008-08-25 01:50	16	--a------	C:\WINDOWS\wininit.ini
2008-08-25 01:35 . 2008-08-25 01:35	<DIR>	d--------	C:\Program Files
2008-08-25 01:27 . 2004-08-03 22:41	1,041,536	---------	C:\WINDOWS\system32\drivers\hsfdpsp2.sys

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-01 17:56	---------	d--h--w	C:\Programme\InstallShield Installation Information
2008-08-24 23:53	---------	d-----w	C:\Programme\Gemeinsame Dateien\InstallShield
2008-08-24 21:08	---------	d-----w	C:\Programme\Avira
2008-08-24 21:08	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-08-24 21:04	---------	d-----w	C:\Programme\Java
2008-08-24 21:03	---------	d-----w	C:\Programme\Gemeinsame Dateien\Java
2008-08-24 20:59	---------	d-----w	C:\Dokumente und Einstellungen\Borsti\Anwendungsdaten\ATI
2008-08-24 20:59	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ATI
2008-08-24 20:55	---------	d-----w	C:\Programme\ATI Technologies
2008-08-24 20:53	---------	d-----w	C:\Programme\Gemeinsame Dateien\ATI Technologies
2008-08-24 20:42	---------	d-----w	C:\Programme\microsoft frontpage
2008-08-24 20:41	---------	d-----w	C:\Programme\Online-Dienste
2008-08-24 20:40	---------	d-----w	C:\Programme\Gemeinsame Dateien\Dienste
.

((((((((((((((((((((((((((((   Autostart Punkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\WINDOWS\\system32\\dpvsetup.exe"=
"C:\\Programme\\Garena\\Garena.exe"=

R0 xmasbus;xmasbus;C:\WINDOWS\system32\DRIVERS\xmasbus.sys [2003-12-21 140800]
R0 xmasscsi;xmasscsi;C:\WINDOWS\system32\Drivers\xmasscsi.sys [2003-12-20 5504]
.
.
------- Zus„tzlicher Scan -------
.
R0 -: HKCU-Main,Start Page = about:blank
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-14 16:08:26
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere, laufende Prozesse ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-09-14 16:09:54 - PC wurde neu gestartet [Borsti]
ComboFix-quarantined-files.txt  2008-09-14 14:09:51

Pre-Run: 7 Verzeichnis(se), 238,346,776,576 Bytes frei
Post-Run: 10 Verzeichnis(se), 238,301,130,752 Bytes frei

125	--- E O F ---	2008-09-09 19:53:03
         

Bitte starte Combofix nochmal neu und lass die Prozedur über dich ergehen!

Ansonsten sieht das soweit ganz gut aus, bis auf folgende Datei:


Dateien Online überprüfen lassen:

• Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

• Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code: Alles auswählenAufklappen

ATTFilter

C:\DOKUME~1\Borsti\LOKALE~1\Temp\jfinbino.exe
         

• Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

• Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

• Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Ich habe ja noch immer das problem das mein Internet nicht mehr funktioniert...

internet explorer, diverse Spiele, sontige Programme funktionieren nicht mehr(Verbindung zum Internet)

Icq z.B. habe ich wieder hinbekommen durch Neu-Installation.

Was soll ich da mchen jetzt?

Ab welchem Zeitpunkt funktionierte es denn nicht mehr?
Nachdem du Combofix benutzt hast, vorher oder später?

nachdem ich HijackThis benutzt habe und habe dann alle punkte dort makiert und gelöscht.

Du hast was?!
Welche Einträge hast du markiert mit HijackThis und gelöscht?!
Wer hat dir das gesagt?

Na wenn HijackThis fertig ist dann war ein fenster wo man in so Häckchen in die Kästchen vor den Einträgen machen kann und die habe ich dann entfernt. Das hat mir keiner gesagt (oh oh *schäm* nicht böse sein bitte...)

Du hast einen ganz gravierenden Fehler gemacht, ich hoffe das wir das wieder hinkriegen:

Starte HijackThis nochmal:

*Dann "do a system scan only*

*dann auf "Config" gehen

*oben "Backups" anklicken

Jetzt siehst du wieder diese ganzen Einträge, du musst alle anhaken die vom heutigen Tag sind!

Wenn du alle angehakt hast, dann klicke den Button "Restore".
Starte danach deinen Computer neu, poste ein neues Hijacklog und berichte ob das Internet wieder funktioniert!

Vielen Dank, du bist ein Engel!!! ^^

Also, der Internetzugriff von allen Programmen funktioniert soweit wieder. Ich hab zwar Probleme bei der Installation von IE7 aber das ist jetzt mein Problem weil ich zwischen durch schon wieder versucht hatte das mit meinem Internet selber hinzubekommen ^^.

Hier noch mal ein HijackThis Logfile

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:47:37, on 14.09.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Dokumente und Einstellungen\Borsti\Desktop\IE7-WindowsXP-x86-deu.exe
c:\85171579f19b75c10d94938d7b57\update\iesetup.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
c:\85171579f19b75c10d94938d7b57\update\nlsdl.exe
c:\28bf2bdf0fcc4decc7\update\update.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [inrhc1cvj0elbl] C:\Dokumente und Einstellungen\Borsti\Lokale Einstellungen\Temp\.tt4.tmp.exe /CR=5F8C0875B49BA02BB503A8EC828A17BCDF8A0DD2D85D00D7BD7197F7D5F8F76E067B89E0CB13421B090987C840B172FE56917D9FF49D55DE108C18E5669CC273A25A6F6CF0231F61DF07EB4E50CD7A5CB8
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [lphc5cvj0elbl] C:\WINDOWS\system32\lphc5cvj0elbl.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-21-2052111302-1677128483-839522115-1003\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: http://*.com.tw
O17 - HKLM\System\CCS\Services\Tcpip\..\{15E3E706-D40D-4513-9D7B-FE37A84393B3}: NameServer = 192.168.178.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{15E3E706-D40D-4513-9D7B-FE37A84393B3}: NameServer = 192.168.178.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{15E3E706-D40D-4513-9D7B-FE37A84393B3}: NameServer = 192.168.178.1
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

--
End of file - 5124 bytes
         

Sehr gut!

Hier bitte weitermachen!


Bitte starte Combofix nochmal neu und lass die Prozedur über dich ergehen!

Ansonsten sieht das soweit ganz gut aus, bis auf folgende Datei:


Dateien Online überprüfen lassen:

• Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

• Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code: Alles auswählenAufklappen

ATTFilter

C:\DOKUME~1\Borsti\LOKALE~1\Temp\jfinbino.exe
         

• Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

• Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

• Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!