Hallo zusammen!

Ich weiß, daß es den gleichenThreadtitel schon einmal gibt, aber das ist anscheinend nicht das gleiche Problem. Fehlermeldungen bekomme ich keine. Allerdings ist seit Freitag

1) mein Internet langsamer
2) wenn ich auf ein Suchergebnis bei Google klicke, lande ich auf völlig anderen Seiten

Bis Sonntag war zudem immer wenn ich den Computer wieder hochgefahren habe meine Windows-Firewall deaktiviert. Ließ sich dann aber ohne Probleme wieder aktivieren. Habe daraufhin Spyware Terminator installiert, der auch etwas gefunden und entfernt hat. Danach lief mein Computer zunächst wieder richtig. Doch seit gestern besteht wieder das Problem mit Google. Könnt Ihr mir da helfen?

Hier mein Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:49:55, on 30.09.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Creative\Sync Manager Unicode\CTSyncU.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBZE.EXE
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Programme\Spyware Terminator\sp_rsser.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\ISW\netcol.dsl\signup\ncdial.exe
C:\Programme\Adobe\Reader 8.0\Reader\AcroRd32.exe
C:\PROGRA~1\INTERN~1\IEXPLORE.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.internetcologne.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = h**p://www.crawler.com/search/ie.aspx?tb_id=60327
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = h**p://dnl.crawler.com/support/sa_customize.aspx?TbId=60327
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://www.crawler.com/search/ie.aspx?tb_id=60327
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = h**p://dnl.crawler.com/support/sa_customize.aspx?TbId=60327
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://www.internetcologne.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
R3 - URLSearchHook: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Crawler Toolbar - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\Programme\Crawler\Toolbar\ctbr.dll (file missing)
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ALDI Foto Service] "C:\Programme\ALDI Sued Foto Service\ALDI_Foto_Service\FotoSuite.exe" /autorun
O4 - HKLM\..\Run: [ALDI_SUED_FotoSuite_Download] "C:\Programme\ALDI Sued Foto Service\ALDI_Foto_Service\FotoSuite.exe" /autorun
O4 - HKLM\..\Run: [OpwareSE2] "C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [CTSyncU.exe] "C:\Programme\Creative\Sync Manager Unicode\CTSyncU.exe"
O4 - HKCU\..\Run: [EPSON Stylus D92 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBZE.EXE /FU "C:\WINDOWS\TEMP\E_SBE.tmp" /EF "HKCU"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Crawler Search - tbr:iemenu
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Bonjour - {7F9DB11C-E358-4ca6-A83D-ACC663939424} - C:\Programme\Bonjour\ExplorerPlugin.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B134054F-B02B-41A7-A03E-34F7F6928777}: NameServer = 81.173.194.68 213.168.112.60
O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\Programme\Crawler\Toolbar\ctbr.dll (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Bonjour Dienst (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\ALDI Sued Foto Service\Common\Database\bin\fbserver.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programme\Spyware Terminator\sp_rsser.exe

--
End of file - 8179 bytes

Hallo LEV04 und






Fixen/Löschen mit Hijackthis


Hijackthis starten -> Do a system scan only -> einen Haken setzen in folgende weiße Kästchen:

Code: Alles auswählenAufklappen

ATTFilter

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = h**p://www.crawler.com/search/ie.aspx?tb_id=60327
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = h**p://dnl.crawler.com/support/sa_customize.aspx?TbId=60327
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://www.crawler.com/search/ie.aspx?tb_id=60327
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = h**p://dnl.crawler.com/support/sa_customize.aspx?TbId=60327
R3 - URLSearchHook: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - (no file)
O3 - Toolbar: &Crawler Toolbar - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\Programme\Crawler\Toolbar\ctbr.dll (file missing)
         

Wenn alle Einträge angehakt sind, klick auf den Button -> "Fix checked"
Der Rechner startet nun neu...

danach:


Malwarebytes' Anti-Malware

• Lies dir die Entfernungsanleitung durch und lass alles entfernen was gefunden wurde:

• Download von Malwarebytes' Anti-Malware

(nach dem scannen auf den Button klicken und Funde löschen lassen!)



ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)

Erstmal danke für die Hilfe. Hier die Log-Datei von Combo-Fix:


ComboFix 08-09-30.03 - stephanie 2008-10-01 20:50:56.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.197 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\stephanie\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\drivers\tdssserv.sys
C:\WINDOWS\system32\tdssadw.dll
C:\WINDOWS\system32\tdssinit.dll
C:\WINDOWS\system32\tdssl.dll
C:\WINDOWS\system32\tdsslog.dll
C:\WINDOWS\system32\tdssmain.dll
C:\WINDOWS\system32\tdssserf.dll
C:\WINDOWS\system32\tdssservers.dat

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_MCHINJDRV
-------\Legacy_TDSSSERV
-------\Service_TDSSserv


((((((((((((((((((((((( Dateien erstellt von 2008-09-01 bis 2008-10-01 ))))))))))))))))))))))))))))))
.

2008-10-01 20:42 . 2008-10-01 20:42 <DIR> d-------- C:\Programme\CCleaner
2008-10-01 19:26 . 2008-10-01 19:26 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-10-01 19:26 . 2008-10-01 19:26 <DIR> d-------- C:\Dokumente und Einstellungen\stephanie\Anwendungsdaten\Malwarebytes
2008-10-01 19:26 . 2008-10-01 19:26 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-10-01 19:26 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-10-01 19:26 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-09-30 18:37 . 2008-09-30 18:37 <DIR> d-------- C:\Programme\Trend Micro
2008-09-26 15:31 . 2008-09-26 15:31 8,192 --a------ C:\WINDOWS\system32\tdssserf1.dll
2008-09-17 22:11 . 2008-09-20 13:01 <DIR> d-------- C:\Dokumente und Einstellungen\stephanie\Anwendungsdaten\Move Networks

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-28 19:14 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-09-24 19:09 --------- d-----w C:\Programme\ICQ6
2008-08-06 21:08 --------- d-----w C:\Dokumente und Einstellungen\stephanie\Anwendungsdaten\EPSON
2008-08-06 20:19 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ScanSoft
2008-08-05 17:07 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-08-05 17:05 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\UDL
2008-08-05 17:04 --------- d-----w C:\Programme\EPSON
2008-08-05 17:01 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EPSON
2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll
2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll
2008-07-07 21:29 1,314 ----a-w C:\Dokumente und Einstellungen\stephanie\Anwendungsdaten\mdb.bin
2008-07-07 20:26 253,952 ----a-w C:\WINDOWS\system32\es.dll
2007-12-26 17:56 92,064 ----a-w C:\Dokumente und Einstellungen\stephanie\mqdmmdm.sys
2007-12-26 17:56 9,232 ----a-w C:\Dokumente und Einstellungen\stephanie\mqdmmdfl.sys
2007-12-26 17:56 79,328 ----a-w C:\Dokumente und Einstellungen\stephanie\mqdmserd.sys
2007-12-26 17:56 66,656 ----a-w C:\Dokumente und Einstellungen\stephanie\mqdmbus.sys
2007-12-26 17:56 6,208 ----a-w C:\Dokumente und Einstellungen\stephanie\mqdmcmnt.sys
2007-12-26 17:56 5,936 ----a-w C:\Dokumente und Einstellungen\stephanie\mqdmwhnt.sys
2007-12-26 17:56 4,048 ----a-w C:\Dokumente und Einstellungen\stephanie\mqdmcr.sys
2007-12-26 17:56 25,600 ----a-w C:\Dokumente und Einstellungen\stephanie\usbsermptxp.sys
2007-12-26 17:56 22,768 ----a-w C:\Dokumente und Einstellungen\stephanie\usbsermpt.sys
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe" [2005-09-03 94208]
"CTSyncU.exe"="C:\Programme\Creative\Sync Manager Unicode\CTSyncU.exe" [2006-09-28 700416]
"EPSON Stylus D92 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBZE.EXE" [2006-09-27 139264]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-17 266497]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-12-26 155648]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 155648]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-03-16 185896]
"ALDI Foto Service"="C:\Programme\ALDI Sued Foto Service\ALDI_Foto_Service\FotoSuite.exe" [2007-01-26 1167360]
"ALDI_SUED_FotoSuite_Download"="C:\Programme\ALDI Sued Foto Service\ALDI_Foto_Service\FotoSuite.exe" [2007-01-26 1167360]
"OpwareSE2"="C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe" [2003-05-08 49152]
"WinDSL MTU-Adjust"="WinDSL_MTU.exe" [2001-02-15 C:\WINDOWS\system32\WinDSL_MTU.exe]
"SoundMan"="SOUNDMAN.EXE" [2004-12-01 C:\WINDOWS\SOUNDMAN.EXE]
"AGRSMMSG"="AGRSMMSG.exe" [2004-06-29 C:\WINDOWS\AGRSMMSG.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 15360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Mozilla Firefox\\firefox.exe"=
"C:\\Programme\\Real\\RealPlayer\\realplay.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

R3 WinDSLa;WinDSL-Adapter (PPP-over-Ethernet);C:\WINDOWS\system32\DRIVERS\WinDSL.sys [2002-02-08 47056]
S3 aaudstum;aaudstum;C:\DOKUME~1\STEPHA~1\LOKALE~1\Temp\aaudstum.sys [ ]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;C:\Programme\ALDI Sued Foto Service\Common\Database\bin\fbserver.exe [2005-11-17 1527900]
S3 SetupNTGLM7X;SetupNTGLM7X;D:\NTGLM7X.sys [ ]
S3 WinDSLp;%WinDSLp_Desc%;C:\WINDOWS\system32\DRIVERS\WinDSL.sys [2002-02-08 47056]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-NWEReboot - (no file)


.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\stephanie\Anwendungsdaten\Mozilla\Firefox\Profiles\gnc71t9h.default\
FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://de.start.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:defficial
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-01 20:57:30
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

Prozess: C:\WINDOWS\explorer.exe
-> ?:\WINDOWS\System32\CSCDLL.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\CTSVCCDA.EXE
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-10-01 20:59:49 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-10-01 18:59:43

Vor Suchlauf: 7 Verzeichnis(se), 109.833.089.024 Bytes frei
Nach Suchlauf: 10 Verzeichnis(se), 114,250,878,976 Bytes frei

141 --- E O F --- 2008-09-21 17:55:31

Scripten mit Combofix

• Öffne den Editor ( Start -> Zubehör -> Editor ) kopiere nun folgenden Text in das weiße Feld:

Code: Alles auswählenAufklappen

ATTFilter

FILE::
C:\WINDOWS\system32\tdssserf1.dll
         

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

• Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

• Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann



Combofix Deinstallieren

Klick auf Start -> Ausführen -> eintippen combofix /U



Damit ist Combofix und alle weiteren Programme entfernt wurden.


Und dann zu guter Letzt den Report von Malwarebytes noch nachreichen.

ComboFix 08-09-30.03 - stephanie 2008-10-01 21:22:41.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.195 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\stephanie\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: C:\Dokumente und Einstellungen\stephanie\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!

FILE ::
C:\WINDOWS\system32\tdssserf1.dll
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\tdssserf1.dll

.
((((((((((((((((((((((( Dateien erstellt von 2008-09-01 bis 2008-10-01 ))))))))))))))))))))))))))))))
.

2008-10-01 20:42 . 2008-10-01 20:42 <DIR> d-------- C:\Programme\CCleaner
2008-10-01 19:26 . 2008-10-01 19:26 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-10-01 19:26 . 2008-10-01 19:26 <DIR> d-------- C:\Dokumente und Einstellungen\stephanie\Anwendungsdaten\Malwarebytes
2008-10-01 19:26 . 2008-10-01 19:26 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-10-01 19:26 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-10-01 19:26 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-09-30 18:37 . 2008-09-30 18:37 <DIR> d-------- C:\Programme\Trend Micro
2008-09-17 22:11 . 2008-09-20 13:01 <DIR> d-------- C:\Dokumente und Einstellungen\stephanie\Anwendungsdaten\Move Networks

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-28 19:14 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-09-24 19:09 --------- d-----w C:\Programme\ICQ6
2008-08-06 21:08 --------- d-----w C:\Dokumente und Einstellungen\stephanie\Anwendungsdaten\EPSON
2008-08-06 20:19 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ScanSoft
2008-08-05 17:07 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-08-05 17:05 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\UDL
2008-08-05 17:04 --------- d-----w C:\Programme\EPSON
2008-08-05 17:01 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EPSON
2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll
2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll
2008-07-07 21:29 1,314 ----a-w C:\Dokumente und Einstellungen\stephanie\Anwendungsdaten\mdb.bin
2008-07-07 20:26 253,952 ----a-w C:\WINDOWS\system32\es.dll
2007-12-26 17:56 92,064 ----a-w C:\Dokumente und Einstellungen\stephanie\mqdmmdm.sys
2007-12-26 17:56 9,232 ----a-w C:\Dokumente und Einstellungen\stephanie\mqdmmdfl.sys
2007-12-26 17:56 79,328 ----a-w C:\Dokumente und Einstellungen\stephanie\mqdmserd.sys
2007-12-26 17:56 66,656 ----a-w C:\Dokumente und Einstellungen\stephanie\mqdmbus.sys
2007-12-26 17:56 6,208 ----a-w C:\Dokumente und Einstellungen\stephanie\mqdmcmnt.sys
2007-12-26 17:56 5,936 ----a-w C:\Dokumente und Einstellungen\stephanie\mqdmwhnt.sys
2007-12-26 17:56 4,048 ----a-w C:\Dokumente und Einstellungen\stephanie\mqdmcr.sys
2007-12-26 17:56 25,600 ----a-w C:\Dokumente und Einstellungen\stephanie\usbsermptxp.sys
2007-12-26 17:56 22,768 ----a-w C:\Dokumente und Einstellungen\stephanie\usbsermpt.sys
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe" [2005-09-03 94208]
"CTSyncU.exe"="C:\Programme\Creative\Sync Manager Unicode\CTSyncU.exe" [2006-09-28 700416]
"EPSON Stylus D92 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBZE.EXE" [2006-09-27 139264]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-17 266497]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-12-26 155648]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 155648]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-03-16 185896]
"ALDI Foto Service"="C:\Programme\ALDI Sued Foto Service\ALDI_Foto_Service\FotoSuite.exe" [2007-01-26 1167360]
"ALDI_SUED_FotoSuite_Download"="C:\Programme\ALDI Sued Foto Service\ALDI_Foto_Service\FotoSuite.exe" [2007-01-26 1167360]
"OpwareSE2"="C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe" [2003-05-08 49152]
"WinDSL MTU-Adjust"="WinDSL_MTU.exe" [2001-02-15 C:\WINDOWS\system32\WinDSL_MTU.exe]
"SoundMan"="SOUNDMAN.EXE" [2004-12-01 C:\WINDOWS\SOUNDMAN.EXE]
"AGRSMMSG"="AGRSMMSG.exe" [2004-06-29 C:\WINDOWS\AGRSMMSG.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 15360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Mozilla Firefox\\firefox.exe"=
"C:\\Programme\\Real\\RealPlayer\\realplay.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

R3 WinDSLa;WinDSL-Adapter (PPP-over-Ethernet);C:\WINDOWS\system32\DRIVERS\WinDSL.sys [2002-02-08 47056]
S3 aaudstum;aaudstum;C:\DOKUME~1\STEPHA~1\LOKALE~1\Temp\aaudstum.sys [ ]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;C:\Programme\ALDI Sued Foto Service\Common\Database\bin\fbserver.exe [2005-11-17 1527900]
S3 SetupNTGLM7X;SetupNTGLM7X;D:\NTGLM7X.sys [ ]
S3 WinDSLp;%WinDSLp_Desc%;C:\WINDOWS\system32\DRIVERS\WinDSL.sys [2002-02-08 47056]
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-01 21:24:50
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-10-01 21:25:46
ComboFix-quarantined-files.txt 2008-10-01 19:25:42
ComboFix2.txt 2008-10-01 18:59:50

Vor Suchlauf: 7 Verzeichnis(se), 114.214.567.936 Bytes frei
Nach Suchlauf: 9 Verzeichnis(se), 114,204,971,008 Bytes frei

110 --- E O F --- 2008-09-21 17:55:31



Oh sorry, den Log von Malware-Bytes hatte ich jetzt völlig vergessen:


Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1226
Windows 5.1.2600 Service Pack 3

01.10.2008 20:23:05
mbam-log-2008-10-01 (20-23-05).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 96674
Laufzeit: 22 minute(s), 37 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: c:\windows\system32\ -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: system32\ -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\ (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\ (Trojan.Agent) -> Quarantined and deleted successfully.

Hab noch eine Nachfrage zum desinstallieren (wahrscheinlich eine doofe1)

Wenn ich das mit dem Ausführen machen öffne ich doch Combofix wieder und werde dann wieder zum Fenster "Ausführen"/"Abbrechen" geleitet. Ist das richtig? Oder was mach ich falsch?

Hallo

Combofix habe ich inzwischen auf eine andere Art gelöscht.

Habe dann heute noch mal Malwarebytes laufen lassen und plötzlich meldet sich mein Anitvir während des Suchlaufs. Antivir meldet mir das es Malware gefunden hat (tr/reeda830, tr/tdss.g, tr/agent.wyn, bds/agent.rfv, bds/agent.rfw, tr/dldr.fraudload.vbxt und tr/agent.8704.76. Malwarebytes hat aber nichts gefunden. Hier der Log


Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1226
Windows 5.1.2600 Service Pack 3

02.10.2008 19:28:02
mbam-log-2008-10-02 (19-28-02).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 91907
Laufzeit: 34 minute(s), 32 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)



Ist das jetzt nur eine Fehlmeldung von Antivir? soll ich diese objekte auch nochmal von antivir löschen lassen?

Wo hat denn Antivir die Dateien (Viren) gefunden?!

Unter Umständen ist das dieser Ordner:

c:\Qoobox

Das ist das Quarantäne-Verzeichnis von Combofix.
Genau aus diesem Grunde solltest du das CF löschen wie ich es schrieb, denn nur dann wird auch díe Quarantäne gelöscht.

Sunny

Hallo!

Leider habe ich Combofix auf Deine Weise nicht gelöscht bekommen. Habe aber die C:/Qoobox gestern schon gelöscht.

Problem mit Antivir habe ich selbst lösen können. Computer läuft jetzt schneller als vor dem Trojaner. Alles funktioniert wieder bestens.

Dankeschön für die schnelle und umfangreiche Hilfe. Ich hoffe, daß ich sie nicht so schnell wieder brauche.