Hallo!

Ich habe ein Problem mit langsamem Internet und Google. Es werden immer falsche Links geöffnet und das auch noch in Pop-Ups. Nachdem ich hier etwas recherchiert habe, habe ich ComboFix laufen lassen. Hier ist das Ergebnis: Bitte helft mir! Vielen Dank!
Ekki


"Ekki" - 2008-10-05 12:28:24 Service Pack 3
ComboFix 07-05.27.BV - Running from: "C:\Dokumente und Einstellungen\Ekki\Eigene Dateien\Exe-Dateien\"


(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


"C:\WINDOWS\system32\Packet.dll"
"C:\WINDOWS\system32\WanPacket.dll"
"C:\WINDOWS\system32\wpcap.dll"


((((((((((((((((((((((((((((((( Files Created from 2008-09-05 to 2008-10-05 ))))))))))))))))))))))))))))))))))


2008-10-03 19:03 30,500 --ah----- C:\WINDOWS\system32\mlfcache.dat
2008-10-03 17:06 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Google
2008-10-03 16:03 49,152 --a------ C:\WINDOWS\nircmd.exe
2008-10-03 15:31 <DIR> d-------- C:\VundoFix Backups
2008-10-03 15:28 <DIR> d-------- C:\Programme\Trend Micro
2008-10-03 14:45 <DIR> d-------- C:\Programme\CCleaner
2008-09-29 15:14 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\WinZip
2008-09-27 12:33 <DIR> d-------- C:\Programme\Runtime Software
2008-09-05 18:48 <DIR> d-------- C:\Programme\Apple Software Update
2008-09-05 18:47 <DIR> d-------- C:\Programme\iPod
2008-09-05 18:46 <DIR> d-------- C:\Programme\iTunes


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))

2008-10-03 15:09:45 -------- d-----w C:\Programme\Google
2008-10-03 15:08:32 -------- d-----w C:\DOKUME~1\EKKi\ANWEND~1\Google
2008-10-03 14:02:33 -------- d-----w C:\Programme\o2 Connection Manager
2008-10-03 14:02:32 -------- d-----w C:\Programme\Gemeinsame Dateien\AccSys
2008-09-12 17:17:13 -------- d-----w C:\Programme\Free WMA to MP3 Converter
2008-09-04 14:33:44 72,886 ----a-w C:\WINDOWS\system32\perfc007.dat
2008-09-04 14:33:44 411,840 ----a-w C:\WINDOWS\system32\perfh007.dat
2008-09-04 14:22:31 -------- d-----w C:\Programme\Messenger
2008-09-04 14:12:37 -------- d-----w C:\Programme\Movie Maker
2008-09-04 14:03:18 -------- d-----w C:\Programme\Windows NT
2008-07-18 20:10:48 94,920 ----a-w C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10:42 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10:40 45,768 ----a-w C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10:20 36,552 ----a-w C:\WINDOWS\system32\wups.dll
2008-07-18 20:09:46 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09:44 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09:44 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:09:42 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll
2008-07-10 20:48:58 680 -c--a-w C:\WINDOWS\mozver.dat
2008-07-08 15:03:18 35,056 ----a-w C:\DOKUME~1\EKKI\ANWEND~1\GDIPFONTCACHEV1.DAT
2008-07-07 20:26:58 253,952 ----a-w C:\WINDOWS\system32\es.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
{3049C3E9-B461-4BC5-8870-4C09146192CA}=C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll [2008-04-01 17:49]
{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}=C:\Programme\Google\GoogleToolbarNotifier\4.1.509.5470\swg.dll [2008-10-03 17:06]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"bcmwltry"="bcmwltry.exe" [2003-01-13 11:26 C:\WINDOWS\system32\bcmwltry.exe]
"RemoveCpl"="RemoveCpl.exe" [2003-01-14 23:50 C:\WINDOWS\system32\RemoveCpl.exe]
"Sony Ericsson PC Suite"="C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2006-11-24 01:06]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-04-01 17:48]
"SetDefPrt"="C:\Programme\Brother\Brmfl03a\BrStDvPt.exe" [2003-10-31 00:29]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-22 20:19]
"AppleSyncNotifier"="C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2008-07-10 09:47]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-05-27 10:50]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-07-30 10:47]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 04:22]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-04-16 20:05]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\dimsntfy]
%SystemRoot%\System32\dimsntfy.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
eapsvcs eaphost
dot3svc dot3svc

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost *netsvcs*
napagent


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{67d1dbed-3ac0-11db-9393-00030d08819c}]
AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe MM2.vbs


Contents of the 'Scheduled Tasks' folder
2008-09-05 16:48:59 C:\WINDOWS\tasks\AppleSoftwareUpdate.job

********************************************************************

catchme 0.3.692 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-05 12:33:54
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

disk error: C:\WINDOWS\

please note that you need administrator rights to perform deep scan

********************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\TDSSserv]
"imagepath"="\systemroot\system32\drivers\TDSSserv.sys"

Completion time: 2008-10-05 12:35:56
C:\ComboFix-quarantined-files.txt ... 2008-10-05 12:35
C:\ComboFix2.txt ... 2008-10-03 16:03

--- E O F ---

Hallo Ekki und





SDFix

* Lade das SDFix herunter und speichere es auf deinem Desktop.

* Mach einen Doppelklick auf die Datei SDFix.exe, wähle installieren, um das Programm in seinen eigenen Ordner auf deinem Desktop zu entpacken.
* Starte deinen Rechner neu auf, in den abgesicherten Modus

* Öffne den neu entstandenen SDFix Ordner, mach einen Doppelklick auf die RunThis.bat, um das Skript zu starten.
* Gib ein Y ein, um den Reinigungsprozess zu beginnen.
* Das Programm wird alle Trojaner Dienste und die dazugehörigen Registrierungseinträge löschen, die es findet.
* Nun wirst du darum gebeten, eine Taste zu drücken, damit dein Rechner neu aufstarten kann.
* Drücke auf eine Taste. Jetzt wird dein Rechner neu aufgestartet.
* Wenn der Rechner neu aufgestartet ist, wird das Fixtool nocheinmal laufen, um den Reinigungsprozess zu vervollständigen.
* Wenn das Programm angibt, dass es beendet ist (Finished), drücke wieder auf irgendeine Taste, um das Skript zu beenden und deine Desktop Iconen wieder zu laden.
* Wenn die Desktop Icons wieder da sind, wird das Skript ein Fenster öffnen und das Ergebnis als einen Report.txt im Ordner SDFix speichern.
* Kopiere den Inhalt dieses Report.txt und poste ihn, zusammen mit einem neuen HijackThis Logfile in deinem nächsten Posting.




Malwarebytes' Anti-Malware

• Lies dir die Entfernungsanleitung durch und lass alles entfernen was gefunden wurde:

• Download von Malwarebytes' Anti-Malware

(nach dem scannen auf den Button klicken und Funde löschen lassen!)

Vielen Dank! Leider komme ich nicht in den abgesicherten Modus wegen Grafikproblemen (?). In RunThis.bat gibt es auch keine Möglichkeit "Y" einzugeben. (Nur 1,2,3,4,A,B,C,D,H,R,U)
Gruß

Was heißt du kommst nicht in den abgesicherten Modus?
Bekommst du eine Fehlermeldung, wenn ja welche?!

SDFIX funktioniert nur richtig im abgesicherten Modus, daher hast du im normalen Modus auch nicht die Auswahl der Bereinigung.

Wenn das mit dem abgesicherten Modus nicht funktioniert, dann mach erstmal mit Malwarebytes weiter.

Ich gehe über F8 in den abgesicherten Modus, dann kommt ganz, ganz kurz eingeblendet weiße Schrift auf blauem Grund, die irgendwas von Grafiktreibern erzählt, dann kann ich wieder zwischen abgesichertem Modus (mit Eingabeaufforderung oder mit Netzwerktriebern) und Normal-Modus wählen. Jedes mal wenn ich den abgesicherten wähle, kommt das wieder. Also gehe ich in den Normal-Modus. Gibt es noch ne andere Möglichkeit?

Malware-scan läuft gerade.

Danke!