Google öffnet flasche Links und Gmer.net etc. wird gesperrt!

hirnchen · 19.10.2008, 11:29

Hallo,
auf dem Laptop meines Vaters habe ich seit neuestem das Problem, dass Google immer auf andere (unseriöse) Suchseiten weiterleitet und Seiten wie Gmer.net und Bleepingcomputer.com sperrt. Antivir hat bereits Funde ausgegeben (TR/FraudPack.26624 und BOO/Sinowal.A). Combofix ist bereits vorhanden, habe es mir von einem Kumpel schicken lassen.
Hier mal der HJT-Log:

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:24:56, on 19.10.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Belkin\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
C:\WINDOWS\System32\GEARSec.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe
C:\Programme\Western Digital\WD Drive Manager\WDBtnMgrSvc.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\Hcontrol.exe
C:\Programme\Western Digital\WD Drive Manager\WDBtnMgrUI.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\ATKOSD.exe
C:\Programme\ICQ6\ICQ.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\FREEDO~1\fdm.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.de/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.losfelixos.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.de/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.de/keyword/%s
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Hcontrol] C:\WINDOWS\Hcontrol.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [WD Drive Manager] C:\Programme\Western Digital\WD Drive Manager\WDBtnMgrUI.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-21-436374069-682003330-1801674531-1003\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Stoney')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Datei mit FDM herunterladen - file://C:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\Belkin\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Videos mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlfvideo.htm
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {4EFA317A-8569-4788-B175-5BAF9731A549} (Microsoft Virtual Server VMRC Advanced Control) - http://www.vistatestdrive.com/ActiveX/VMRCActiveXClient1.cab
O16 - DPF: {D1E7CBDA-E60E-4970-A01C-37301EF7BF98} (Measurement Services Client v.3.12) - http://gameadvisor.futuremark.com/global/msc3121.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\Belkin\Bluetooth Software\bin\btwdins.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: V2i Protector - PowerQuest Corporation - C:\Programme\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe
O23 - Service: WD Drive Manager Service (WDBtnMgrSvc.exe) - WDC - C:\Programme\Western Digital\WD Drive Manager\WDBtnMgrSvc.exe

--
End of file - 7657 bytes

Hoffe dass ihr mir helfen könnt!
MfG hirnchen

myrtille · 19.10.2008, 12:50

Hi,

wo hat Antivir die Trojaner gefunden? In welchen Dateien?

man sollte nie, Nie, NIE, NIEMALS mehrere Antivirenprogramme gleichzeitig auf einem Rechner isntalliert haben.

Das führt zu massig Problemen, insbesondere wenn ein Antivirenprogramm das andere als schädlich erkannt und reduziert die Sicherheit deines Systems!
Deinstalliere bitte auch alle bis auf ein Antivirenprogramm:
Wenn du Avast! deinstalieren willst, benutze bitte das Removalprogramm von Avast: Link
Wenn du Antivir deinstallieren willst, kannst du dies einfach über Start->Systemsteuerung->Software tun.

lg myrtille

hirnchen · 19.10.2008, 12:58

BOO/Sinowal.A im Bootsektor von C: und der andere irgendwo in den eigenen dateien. habe jetzt mal malwarebyte benutzt, und der hat 12 infizierte dateien gefunden.

edit:

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.29
Datenbank Version: 1288
Windows 5.1.2600 Service Pack 3

19.10.2008 13:59:17
mbam-log-2008-10-19 (13-59-11).txt

Scan-Methode: Vollständiger Scan (C:\|E:\|)
Durchsuchte Objekte: 174893
Laufzeit: 1 hour(s), 0 minute(s), 35 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 4
Infizierte Verzeichnisse: 0
Infizierte Dateien: 5

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\{def85c80-216a-43ab-af70-1665edbe2780} (Spyware.Sinowal) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: c:\windows\system32\ -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: system32\ -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowSearch (Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Programme\Uninstall Ask Toolbar.dll (Adware.AskSBAR) -> No action taken.
C:\WINDOWS\system32\rkinstaller.exe (Adware.RelevantKnowledge) -> No action taken.
E:\Programme\Mozilla Firefox\plugins\NPAskSBr.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\ (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\drivers\ (Trojan.Agent) -> No action taken.

edit2: avast seite ist auch gesperrt

myrtille · 19.10.2008, 13:02

Hi,

Dann führ mal bitte Combofix aus:
ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser. Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat! Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Damit sollte der Zugang zum Inet wieder hergestellt sein.
MBR
Führe dan bitte auch folgende Datei aus und poste das erstellte Log: mbr.exe (sollte man jetzt downloaden können)

lg myritlle

hirnchen · 19.10.2008, 13:15

so, habe jetzt die funde von mbam gelöscht, das problem mit den google links und den gesperrten seiten ist jetzt behoben. gehe jetzt ein bisschen nach draussen, wenn ich wieder da bin werde ich mal combofix und das mbr tool benutzen!

lg, bis später

hirnchen · 19.10.2008, 14:37

so,
wieder da...habe grade gemerkt dass das biest sich selbst wiederhergestellt hat. nach combofix gehts atm aber wieder.

Code:

ATTFilter

ComboFix 08-10-18.03 - XXX 2008-10-19 15:23:57.1 - NTFSx86

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\regedit.com
C:\WINDOWS\system32\taskmgr.com
C:\WINDOWS\system32\TDSSerrors.log
C:\WINDOWS\system32\tdssinit.dll
C:\WINDOWS\system32\tdssl.dll
C:\WINDOWS\system32\tdsslog.dll
C:\WINDOWS\system32\tdssmain.dll
C:\WINDOWS\system32\tdssserf.dll
C:\WINDOWS\system32\tdssserf1.dll
C:\WINDOWS\system32\tdssservers.dat
C:\WINDOWS\system32\windows_update.exe

.
(((((((((((((((((((((((   Dateien erstellt von 2008-09-19 bis 2008-10-19  ))))))))))))))))))))))))))))))
.

2008-10-19 12:55 . 2008-10-19 12:55	<DIR>	d--------	C:\Programme\Malwarebytes' Anti-Malware
2008-10-19 12:55 . 2008-10-19 12:55	<DIR>	d--------	C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Malwarebytes
2008-10-19 12:55 . 2008-10-19 12:55	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-10-19 12:55 . 2008-10-16 20:25	38,496	--a------	C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-10-19 12:55 . 2008-10-16 20:25	15,504	--a------	C:\WINDOWS\system32\drivers\mbam.sys
2008-10-19 12:04 . 2008-10-19 12:04	<DIR>	d--------	C:\Lop SD
2008-10-18 11:57 . 2008-10-18 22:45	<DIR>	d--------	C:\Programme\Cheat Engine
2008-10-18 11:57 . 2007-12-26 17:30	1,970,176	--a------	C:\WINDOWS\system32\d3dx9.dll
2008-10-18 11:57 . 2007-12-26 17:30	679,936	--a------	C:\WINDOWS\system32\D3DX81ab.dll
2008-10-17 21:49 . 2008-10-17 22:08	<DIR>	d--------	C:\Programme\Ballance
2008-10-16 22:37 . 2008-09-08 12:41	333,824	-----c---	C:\WINDOWS\system32\dllcache\srv.sys
2008-10-16 22:36 . 2008-08-14 15:19	2,191,488	-----c---	C:\WINDOWS\system32\dllcache\ntoskrnl.exe
2008-10-16 22:36 . 2008-08-14 15:19	2,147,840	-----c---	C:\WINDOWS\system32\dllcache\ntkrnlmp.exe
2008-10-16 22:36 . 2008-08-14 15:19	2,068,352	-----c---	C:\WINDOWS\system32\dllcache\ntkrnlpa.exe
2008-10-16 22:36 . 2008-08-14 15:19	2,026,496	-----c---	C:\WINDOWS\system32\dllcache\ntkrpamp.exe
2008-10-16 22:36 . 2008-09-15 17:24	1,846,528	-----c---	C:\WINDOWS\system32\dllcache\win32k.sys
2008-10-03 23:03 . 2008-10-03 23:03	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MicroWorld
2008-10-03 23:03 . 2008-04-14 07:53	153,600	--a------	C:\WINDOWS\R.COM
2008-10-03 23:03 . 2008-04-14 07:53	140,800	--a------	C:\WINDOWS\system32\T.COM
2008-10-03 23:03 . 2008-10-03 23:03	27	--a------	C:\WINDOWS\Lic.xxx
2008-10-03 22:47 . 2008-10-03 22:47	<DIR>	d--------	C:\Programme\Trend Micro
2008-10-03 22:02 . 2008-10-03 22:02	<DIR>	d--------	C:\Programme\Avira
2008-10-03 22:02 . 2008-10-03 22:02	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-10-03 15:02 . 2008-10-03 16:02	<DIR>	d--------	C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\skypePM
2008-10-03 15:02 . 2008-10-03 15:02	56	--ah-----	C:\WINDOWS\system32\ezsidmv.dat
2008-10-03 15:01 . 2008-10-03 22:10	<DIR>	d--------	C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Skype
2008-10-03 14:56 . 2008-10-03 14:56	<DIR>	d--------	C:\Programme\Skype
2008-10-03 14:56 . 2008-10-03 14:56	<DIR>	d--------	C:\Programme\Gemeinsame Dateien\Skype
2008-10-03 14:56 . 2008-10-03 14:56	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-19 12:15	---------	d-----w	C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Free Download Manager
2008-10-19 10:43	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TrackMania
2008-10-19 08:42	---------	d-----w	C:\Programme\AveDesk
2008-10-19 08:41	---------	d-----w	C:\Programme\GCFExplorer
2008-10-19 08:40	---------	d-----w	C:\Programme\Videos To DVD
2008-10-19 08:40	---------	d-----w	C:\Programme\Free Video Converter
2008-10-19 08:40	---------	d-----w	C:\Programme\Free Audio Pack
2008-10-19 08:39	---------	d-----w	C:\Programme\FileZilla
2008-10-19 08:33	---------	d--h--w	C:\Programme\InstallShield Installation Information
2008-10-19 08:31	---------	d-----w	C:\Programme\WinHTTrack
2008-10-19 08:30	---------	d-----w	C:\Programme\Yahoo!
2008-10-19 08:28	---------	d-----w	C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\TeraCopy
2008-10-17 19:33	---------	d-----w	C:\Programme\ICQ6
2008-09-15 15:24	1,846,528	----a-w	C:\WINDOWS\system32\win32k.sys
2008-09-08 10:41	333,824	----a-w	C:\WINDOWS\system32\drivers\srv.sys
2008-09-01 15:42	---------	d-----w	C:\Programme\Windows Journal Viewer
2008-08-26 07:57	826,368	----a-w	C:\WINDOWS\system32\wininet.dll
2008-08-20 17:53	---------	d-----w	C:\Programme\FrostWire
2008-08-14 13:19	2,191,488	----a-w	C:\WINDOWS\system32\ntoskrnl.exe
2008-08-14 13:19	2,068,352	----a-w	C:\WINDOWS\system32\ntkrnlpa.exe
2008-05-22 10:30	32,768	-csha-w	C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008052220080523\index.dat
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2004-10-11 155648]
"HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2004-10-11 118784]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2008-07-19 78008]
"Hcontrol"="C:\WINDOWS\Hcontrol.exe" [2002-01-08 53248]
"DAEMON Tools"="C:\Programme\DAEMON Tools\daemon.exe" [2005-11-09 128920]
"WD Drive Manager"="C:\Programme\Western Digital\WD Drive Manager\WDBtnMgrUI.exe" [2008-01-30 438272]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"MemCheckBoxInRunDlg"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSMHelp"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)
"NoInstrumentation"= 1 (0x1)
"LockTaskbar"= 0 (0x0)
"NoLanguageTaskbar"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.I420"= i420vfw.dll
"VIDC.ACDV"= ACDV.dll
"msacm.l3fhg"= mp3fhg.acm
"msacm.divxa32"= divxa32.acm
"VIDC.X264"= x264vfw.dll
"VIDC.HFYU"= huffyuv.dll
"vidc.i263"= i263_32.drv

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2007-05-11 03:06 40048 C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
--a------ 2008-04-14 07:52 15360 C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GUI]
--a------ 2005-08-24 21:01 1474560 C:\D-Link\AirPlusG+\AIRPLUS.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2006-01-12 17:40 155648 C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2008-06-10 04:27 144784 C:\Programme\Java\jre1.6.0_07\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPEnh]
--a------ 2005-12-19 23:53 737369 C:\Programme\Synaptics\SynTP\SynTPEnh.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
--a------ 2008-02-29 16:27 185896 C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AGRSMMSG]
--a------ 2003-09-23 18:06 88363 C:\WINDOWS\AGRSMMSG.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\WINDOWS\\system32\\mshta.exe"=
"C:\\Programme\\Mozilla Firefox\\firefox.exe"=
"C:\\Programme\\Coolspot\\Personal ID\\pid.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

R0 PQV2i;PQV2i;C:\WINDOWS\system32\drivers\PQV2i.sys [2003-06-03 123957]
R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-07-19 78416]
R1 PQIMount;PQIMount;C:\WINDOWS\system32\drivers\PQIMount.sys [2003-06-03 46900]
R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-07-19 20560]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2008-04-14 14336]
R2 WDBtnMgrSvc.exe;WD Drive Manager Service;C:\Programme\Western Digital\WD Drive Manager\WDBtnMgrSvc.exe [2008-01-30 106496]
S3 GPU-Z;GPU-Z;C:\DOKUME~1\XXX\LOKALE~1\Temp\GPU-Z.sys [ ]
S3 TNET1130;D-Link AirPlus G+ Wireless Adapter;C:\WINDOWS\system32\DRIVERS\GPLUS_XP.sys [2004-10-25 439296]
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-04-19 307968]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2271a6de-ed25-11dc-b7cd-0011d82f7272}]
\Shell\AutoRun\command - G:\wd_windows_tools\setup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4f28b250-854f-11dc-b743-0011d82f7272}]
\Shell\Open(&O)\command - RECYCLED\appmgmt.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6b9915f4-027e-11dd-b7ec-0011d82f7272}]
\Shell\AutoRun\command - I:\wd_windows_tools\setup.exe

*Newly Created Service* - CATCHME
*Newly Created Service* - PROCEXP90
*Newly Created Service* - PSEXESVC
.
Inhalt des "geplante Tasks" Ordners

2008-09-01 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- C:\Programme\Apple Software Update\SoftwareUpdate.exe [2008-04-11 17:57]

2008-10-18 C:\WINDOWS\Tasks\GoogleUpdateTaskUser.job
- C:\Dokumente und Einstellungen\Stoney\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe []
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

MSConfigStartUp-Google Update - C:\Dokumente und Einstellungen\Stoney\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe


.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Mozilla\Firefox\Profiles\rhes7kfe.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - file:///C:/Dokumente%20und%20Einstellungen/XXX/Desktop/Trash!/startseite/startseite.html
FF -: plugin - C:\Programme\Yahoo!\Common\npyaxmpb.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-19 15:30:00
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet002\Services\TDSSserv]
"imagepath"="\systemroot\system32\drivers\TDSSserv.sys"
.
Zeit der Fertigstellung: 2008-10-19 15:32:56
ComboFix-quarantined-files.txt  2008-10-19 13:32:31

Vor Suchlauf: 14 Verzeichnis(se), 14,745,980,928 Bytes frei
Nach Suchlauf: 14 Verzeichnis(se), 14,809,272,320 Bytes frei

184	--- E O F ---	2008-10-16 20:43:50

lg

edit: mbr log

Code:

ATTFilter

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK 
MBR rootkit code detected !
malicious code @ sector 0x6fc79c4 size 0x1e4 !
copy of MBR has been found in sector 62 !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.
original MBR restored successfully !

(denke mal man muss mbr.exe -f in der cmd ausführen, klappt bei mir aber nicht)

myrtille · 19.10.2008, 14:49

Hi,

das sieht auf jedenfall schonmal gut aus.

Kopiere mbr.exe auf den Desktop und gib dann folgendes in CMD ein:
"%userprofile%\Desktop\mbr.exe" -f

Führe danach nochmal Combofix aus und poste das Log von mbr und CF hier.

lg myrtille

hirnchen · 19.10.2008, 14:57

also,
mbr meldet nix mehr

Code:

ATTFilter

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully

ABER ich kann ComboFix nicht wirklich starten, da AntiVir (obwohl ichs deaktiviert hab) ne Virusmeldung ausgibt. wie soll ichs machen?

lg

myrtille · 19.10.2008, 14:59

Was meldet Antivir wo? Wie hast du es deaktiviert?

lg myrtille

hirnchen · 19.10.2008, 15:03

antivir hab ich über rechtklick aufs trayicon -> beenden beendet, und habs aussen autostart gelöscht. als virus wird C:\ComboFix\NirCmdC.cfexe und C:\32788R22FWJFW\hidec.exe gemeldet

lg

edit: habe mal die ereignisse von antivir exportiert und auf meinem space geuppt:
h**p://futix.eu/Ereignisse.txt

myrtille · 19.10.2008, 15:31

Hi,

ok, dann versuch es anders, lade dir Combofix erneut ausm Internet herunter und führe es aus, klappt das besser`?

lg myrtille

hirnchen · 19.10.2008, 15:54

ne, dieses versch*ssene antivir spackt leider immer noch rum. gibts vllt. irneine andere möglichkeit antivir zu deaktivieren?

lg

myrtille · 19.10.2008, 16:02

Hi,

deinstallieren wäre natürlich noch möglich.

Aber wir bruachen Combofix nicht unbedingt und könnten mit anderen Programme weitermachen?

Was wär dir lieber?

lg myrtille

hirnchen · 19.10.2008, 16:36

mit anderen programmen weitermachen^^

hirnchen · 19.10.2008, 16:52

hab jetzt doch de-installiert^^

Code:

ATTFilter

ComboFix 08-10-18.03 - XXX 2008-10-19 17:43:43.2 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.3.1252.1.1031.18.279 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\XXX\Desktop\ComboFix.exe

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((   Dateien erstellt von 2008-09-19 bis 2008-10-19  ))))))))))))))))))))))))))))))
.

2008-10-19 16:23 . 2008-10-19 17:48	378,912	--ahs----	C:\WINDOWS\system32\drivers\fidbox.dat
2008-10-19 16:23 . 2008-10-19 16:23	32	--ahs----	C:\WINDOWS\system32\drivers\fidbox.idx
2008-10-19 16:19 . 2008-10-19 16:19	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MailFrontier
2008-10-19 16:18 . 2008-07-09 09:05	75,248	--a------	C:\WINDOWS\zllsputility.exe
2008-10-19 16:18 . 2008-07-09 09:05	54,672	--a------	C:\WINDOWS\system32\vsutil_loc0407.dll
2008-10-19 16:18 . 2008-07-09 09:05	42,384	--a------	C:\WINDOWS\zllsputility_loc0407.dll
2008-10-19 16:18 . 2008-07-09 09:05	21,904	--a------	C:\WINDOWS\system32\imsinstall_loc0407.dll
2008-10-19 16:18 . 2008-07-09 09:05	17,808	--a------	C:\WINDOWS\system32\imslsp_install_loc0407.dll
2008-10-19 16:18 . 2004-04-27 04:40	11,264	--a------	C:\WINDOWS\system32\SpOrder.dll
2008-10-19 16:18 . 2008-10-19 16:21	4,212	---h-----	C:\WINDOWS\system32\zllictbl.dat
2008-10-19 16:17 . 2008-10-19 16:17	<DIR>	d--------	C:\Programme\Zone Labs
2008-10-19 12:55 . 2008-10-19 12:55	<DIR>	d--------	C:\Programme\Malwarebytes' Anti-Malware
2008-10-19 12:55 . 2008-10-19 12:55	<DIR>	d--------	C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Malwarebytes
2008-10-19 12:55 . 2008-10-19 12:55	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-10-19 12:55 . 2008-10-16 20:25	38,496	--a------	C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-10-19 12:55 . 2008-10-16 20:25	15,504	--a------	C:\WINDOWS\system32\drivers\mbam.sys
2008-10-19 12:04 . 2008-10-19 17:40	<DIR>	d--------	C:\Lop SD
2008-10-18 11:57 . 2008-10-18 22:45	<DIR>	d--------	C:\Programme\Cheat Engine
2008-10-18 11:57 . 2007-12-26 17:30	1,970,176	--a------	C:\WINDOWS\system32\d3dx9.dll
2008-10-18 11:57 . 2007-12-26 17:30	679,936	--a------	C:\WINDOWS\system32\D3DX81ab.dll
2008-10-17 21:49 . 2008-10-17 22:08	<DIR>	d--------	C:\Programme\Ballance
2008-10-16 22:37 . 2008-09-08 12:41	333,824	-----c---	C:\WINDOWS\system32\dllcache\srv.sys
2008-10-16 22:36 . 2008-08-14 15:19	2,191,488	-----c---	C:\WINDOWS\system32\dllcache\ntoskrnl.exe
2008-10-16 22:36 . 2008-08-14 15:19	2,147,840	-----c---	C:\WINDOWS\system32\dllcache\ntkrnlmp.exe
2008-10-16 22:36 . 2008-08-14 15:19	2,068,352	-----c---	C:\WINDOWS\system32\dllcache\ntkrnlpa.exe
2008-10-16 22:36 . 2008-08-14 15:19	2,026,496	-----c---	C:\WINDOWS\system32\dllcache\ntkrpamp.exe
2008-10-16 22:36 . 2008-09-15 17:24	1,846,528	-----c---	C:\WINDOWS\system32\dllcache\win32k.sys
2008-10-03 23:03 . 2008-10-03 23:03	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MicroWorld
2008-10-03 23:03 . 2008-04-14 07:53	153,600	--a------	C:\WINDOWS\R.COM
2008-10-03 23:03 . 2008-04-14 07:53	140,800	--a------	C:\WINDOWS\system32\T.COM
2008-10-03 23:03 . 2008-10-03 23:03	27	--a------	C:\WINDOWS\Lic.xxx
2008-10-03 22:47 . 2008-10-03 22:47	<DIR>	d--------	C:\Programme\Trend Micro
2008-10-03 22:02 . 2008-10-03 22:02	<DIR>	d--------	C:\Programme\Avira
2008-10-03 15:02 . 2008-10-03 16:02	<DIR>	d--------	C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\skypePM
2008-10-03 15:02 . 2008-10-03 15:02	56	--ah-----	C:\WINDOWS\system32\ezsidmv.dat
2008-10-03 15:01 . 2008-10-03 22:10	<DIR>	d--------	C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Skype
2008-10-03 14:56 . 2008-10-03 14:56	<DIR>	d--------	C:\Programme\Skype
2008-10-03 14:56 . 2008-10-03 14:56	<DIR>	d--------	C:\Programme\Gemeinsame Dateien\Skype
2008-10-03 14:56 . 2008-10-03 14:56	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-19 15:47	---------	d-----w	C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Free Download Manager
2008-10-19 15:35	---------	d-----w	C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\TeraCopy
2008-10-19 15:00	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TrackMania
2008-10-19 08:42	---------	d-----w	C:\Programme\AveDesk
2008-10-19 08:41	---------	d-----w	C:\Programme\GCFExplorer
2008-10-19 08:40	---------	d-----w	C:\Programme\Videos To DVD
2008-10-19 08:40	---------	d-----w	C:\Programme\Free Video Converter
2008-10-19 08:40	---------	d-----w	C:\Programme\Free Audio Pack
2008-10-19 08:39	---------	d-----w	C:\Programme\FileZilla
2008-10-19 08:33	---------	d--h--w	C:\Programme\InstallShield Installation Information
2008-10-19 08:31	---------	d-----w	C:\Programme\WinHTTrack
2008-10-19 08:30	---------	d-----w	C:\Programme\Yahoo!
2008-10-17 19:33	---------	d-----w	C:\Programme\ICQ6
2008-09-15 15:24	1,846,528	----a-w	C:\WINDOWS\system32\win32k.sys
2008-09-08 10:41	333,824	----a-w	C:\WINDOWS\system32\drivers\srv.sys
2008-09-01 15:42	---------	d-----w	C:\Programme\Windows Journal Viewer
2008-08-26 07:57	826,368	----a-w	C:\WINDOWS\system32\wininet.dll
2008-08-20 17:53	---------	d-----w	C:\Programme\FrostWire
2008-08-14 13:19	2,191,488	----a-w	C:\WINDOWS\system32\ntoskrnl.exe
2008-08-14 13:19	2,068,352	----a-w	C:\WINDOWS\system32\ntkrnlpa.exe
2008-05-22 10:30	32,768	-csha-w	C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008052220080523\index.dat
.

(((((((((((((((((((((((((((((   snapshot@2008-10-19_15.31.51.70   )))))))))))))))))))))))))))))))))))))))))
.
+ 2007-07-19 13:10:28	127,768	----a-w	C:\WINDOWS\system32\drivers\klif.sys
+ 2008-07-09 07:05:08	796,048	----a-w	C:\WINDOWS\system32\libeay32_0.9.6l.dll
+ 2008-07-09 07:05:10	83,432	----a-w	C:\WINDOWS\system32\vsdata.dll
+ 2008-07-09 07:05:22	394,952	----a-w	C:\WINDOWS\system32\vsdatant.sys
+ 2008-07-09 07:05:10	157,160	----a-w	C:\WINDOWS\system32\vsinit.dll
+ 2008-07-09 07:05:10	103,912	----a-w	C:\WINDOWS\system32\vsmonapi.dll
+ 2008-07-09 07:05:10	275,944	----a-w	C:\WINDOWS\system32\vspubapi.dll
+ 2008-07-09 07:05:10	71,144	----a-w	C:\WINDOWS\system32\vsregexp.dll
+ 2008-07-09 07:05:12	472,552	----a-w	C:\WINDOWS\system32\vsutil.dll
+ 2008-07-09 07:05:12	46,568	----a-w	C:\WINDOWS\system32\vswmi.dll
+ 2008-07-09 07:05:12	99,816	----a-w	C:\WINDOWS\system32\vsxml.dll
+ 2008-07-09 07:05:12	83,432	----a-w	C:\WINDOWS\system32\zlcomm.dll
+ 2008-07-09 07:05:12	71,144	----a-w	C:\WINDOWS\system32\zlcommdb.dll
+ 2008-07-09 07:05:06	370,208	----a-w	C:\WINDOWS\system32\ZoneLabs\av.dll
+ 2008-07-09 07:05:24	26,000	----a-w	C:\WINDOWS\system32\ZoneLabs\av_loc0407.dll
+ 2007-05-30 22:03:30	65,248	----a-w	C:\WINDOWS\system32\ZoneLabs\avsys\bases\aphish.dat
+ 2006-06-30 12:47:36	21,568	----a-w	C:\WINDOWS\system32\ZoneLabs\avsys\bases\avcmhk4.dll
+ 2007-05-30 22:03:30	1,628	----a-w	C:\WINDOWS\system32\ZoneLabs\avsys\bases\pdmkl.dat
+ 2007-05-30 22:03:16	77,824	----a-w	C:\WINDOWS\system32\ZoneLabs\avsys\CKAHComm.dll
+ 2007-05-30 22:03:16	110,592	----a-w	C:\WINDOWS\system32\ZoneLabs\avsys\CKAHrule.dll
+ 2007-05-30 22:03:16	331,776	----a-w	C:\WINDOWS\system32\ZoneLabs\avsys\CKAHUM.dll
+ 2007-05-30 22:03:16	38,400	----a-w	C:\WINDOWS\system32\ZoneLabs\avsys\FSSync.dll
+ 2006-09-19 21:12:14	208,960	----a-w	C:\WINDOWS\system32\ZoneLabs\avsys\inv.dll
+ 2007-12-03 12:53:58	282,624	----a-w	C:\WINDOWS\system32\ZoneLabs\avsys\kave.dll
+ 2006-12-19 16:13:52	1,093,632	----a-w	C:\WINDOWS\system32\ZoneLabs\avsys\libeay32.dll
+ 2007-05-30 22:03:20	548,864	----a-w	C:\WINDOWS\system32\ZoneLabs\avsys\msvcp80.dll
+ 2007-05-30 22:03:20	626,688	----a-w	C:\WINDOWS\system32\ZoneLabs\avsys\msvcr80.dll
+ 2007-05-30 22:03:18	184,320	----a-w	C:\WINDOWS\system32\ZoneLabs\avsys\prloader.dll
+ 2007-05-30 22:03:22	90,112	----a-w	C:\WINDOWS\system32\ZoneLabs\avsys\prremote.dll
+ 2007-12-03 12:53:58	139,264	----a-w	C:\WINDOWS\system32\ZoneLabs\avsys\ScanningProcess.exe
+ 2006-12-19 16:13:52	200,704	----a-w	C:\WINDOWS\system32\ZoneLabs\avsys\ssleay32.dll
+ 2008-07-09 07:05:06	99,816	----a-w	C:\WINDOWS\system32\ZoneLabs\camupd.dll
+ 2008-07-09 07:05:24	17,808	----a-w	C:\WINDOWS\system32\ZoneLabs\camupd_loc0407.dll
+ 2004-01-30 10:35:08	813,568	----a-w	C:\WINDOWS\system32\ZoneLabs\dbghelp.dll
+ 2008-07-09 07:05:08	128,480	----a-w	C:\WINDOWS\system32\ZoneLabs\fbl.dll
+ 2008-07-09 07:05:08	38,376	----a-w	C:\WINDOWS\system32\ZoneLabs\featuremap.dll
+ 2008-07-09 07:05:08	321,016	----a-w	C:\WINDOWS\system32\ZoneLabs\imsecure.dll
+ 2008-07-09 07:05:26	26,000	----a-w	C:\WINDOWS\system32\ZoneLabs\imsecure_loc0407.dll
+ 2008-07-09 07:05:24	288,144	----a-w	C:\WINDOWS\system32\ZoneLabs\lib\ConfigWizard_loc0407.zip.dll
+ 2008-07-09 07:05:26	152,976	----a-w	C:\WINDOWS\system32\ZoneLabs\lib\LicenseUI_loc0407.zip.dll
+ 2008-07-09 07:05:24	26,000	----a-w	C:\WINDOWS\system32\ZoneLabs\lib\zlsvc.zip.dll
+ 2008-07-09 07:05:24	1,361,296	----a-w	C:\WINDOWS\system32\ZoneLabs\lib\zpy.zip.dll
+ 2008-07-09 07:05:24	71,056	----a-w	C:\WINDOWS\system32\ZoneLabs\lib\zui.zip.dll
+ 2008-07-09 07:06:26	30,184	----a-w	C:\WINDOWS\system32\ZoneLabs\plugins\rpc_server\rpc_server.dll
+ 2008-07-09 07:06:26	30,216	----a-w	C:\WINDOWS\system32\ZoneLabs\plugins\vsmon_plugin\vsmon_plugin.dll
+ 2008-02-27 01:10:26	714,208	----a-w	C:\WINDOWS\system32\ZoneLabs\qrbase.dll
+ 2008-02-27 01:10:28	792,032	----a-w	C:\WINDOWS\system32\ZoneLabs\qrsrecl.dll
+ 2008-07-09 07:05:08	173,544	----a-w	C:\WINDOWS\system32\ZoneLabs\scheduler.dll
+ 2008-07-09 07:05:26	17,808	----a-w	C:\WINDOWS\system32\ZoneLabs\scheduler_loc0407.dll
+ 2008-01-21 06:34:36	7,603,688	----a-w	C:\WINDOWS\system32\ZoneLabs\spyware.dat
+ 2008-02-27 01:10:32	1,504,736	----a-w	C:\WINDOWS\system32\ZoneLabs\srescan.dll
+ 2008-02-27 01:10:44	51,176	----a-w	C:\WINDOWS\system32\ZoneLabs\srescan.sys
+ 2008-07-09 07:05:10	456,168	----a-w	C:\WINDOWS\system32\ZoneLabs\ssleay32.dll
+ 2008-07-09 07:06:26	214,528	----a-w	C:\WINDOWS\system32\ZoneLabs\streamapi\httpblocker\httpblocker.dll
+ 2008-07-09 07:06:30	3,266,040	----a-w	C:\WINDOWS\system32\ZoneLabs\streamapi\imslsp\imslsp.dll
+ 2008-07-09 07:05:26	30,096	----a-w	C:\WINDOWS\system32\ZoneLabs\streamapi\imslsp\imslsp_loc0407.dll
+ 2006-09-04 18:59:14	503,875	----a-w	C:\WINDOWS\system32\ZoneLabs\upd_core.dll
+ 2007-10-11 14:50:32	832,984	----a-w	C:\WINDOWS\system32\ZoneLabs\updating.dll
+ 2008-07-09 07:05:18	144,936	----a-w	C:\WINDOWS\system32\ZoneLabs\updclient.exe
+ 2008-07-09 07:05:26	75,152	----a-w	C:\WINDOWS\system32\ZoneLabs\updClient_loc0407.dll
+ 2007-01-11 15:31:06	286,787	----a-w	C:\WINDOWS\system32\ZoneLabs\updtrsdk.dll
+ 2008-07-09 07:05:10	108,008	----a-w	C:\WINDOWS\system32\ZoneLabs\vsavpro.dll
+ 2008-07-09 07:05:10	83,432	----a-w	C:\WINDOWS\system32\ZoneLabs\vsdb.dll
+ 2008-07-09 07:05:26	17,808	----a-w	C:\WINDOWS\system32\ZoneLabs\vsdb_loc0407.dll
+ 2008-07-09 07:05:18	75,304	----a-w	C:\WINDOWS\system32\ZoneLabs\vsmon.exe
+ 2008-07-09 07:05:26	46,480	----a-w	C:\WINDOWS\system32\ZoneLabs\vsmon_loc0407.dll
+ 2008-07-09 07:05:10	2,029,032	----a-w	C:\WINDOWS\system32\ZoneLabs\vsmondll.dll
+ 2008-07-09 07:05:12	1,361,384	----a-w	C:\WINDOWS\system32\ZoneLabs\vsruledb.dll
+ 2008-07-09 07:05:28	198,032	----a-w	C:\WINDOWS\system32\ZoneLabs\vsruledb_loc0407.dll
+ 2008-07-09 07:05:12	239,080	----a-w	C:\WINDOWS\system32\ZoneLabs\vsvault.dll
+ 2008-07-09 07:05:28	17,808	----a-w	C:\WINDOWS\system32\ZoneLabs\vsvault_loc0407.dll
+ 2008-01-21 06:34:36	7,603,688	----a-w	C:\WINDOWS\system32\ZoneLabs\zlasdbup.dat
+ 2008-07-09 07:05:12	177,640	----a-w	C:\WINDOWS\system32\ZoneLabs\zlparser.dll
+ 2008-07-09 07:05:12	79,344	----a-w	C:\WINDOWS\system32\ZoneLabs\zlquarantine.dll
+ 2008-07-09 07:05:28	17,808	----a-w	C:\WINDOWS\system32\ZoneLabs\zlquarantine_loc0407.dll
+ 2008-07-09 07:05:14	382,440	----a-w	C:\WINDOWS\system32\ZoneLabs\zlsre.dll
+ 2008-07-09 07:05:28	21,904	----a-w	C:\WINDOWS\system32\ZoneLabs\zlsre_loc0407.dll
+ 2008-07-09 07:05:14	120,296	----a-w	C:\WINDOWS\system32\ZoneLabs\zlupdate.dll
+ 2008-07-09 07:05:16	1,086,952	----a-w	C:\WINDOWS\system32\zpeng24.dll
.
-- Snapshot auf jetziges Datum zurückgesetzt --
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2004-10-11 155648]
"HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2004-10-11 118784]
"Hcontrol"="C:\WINDOWS\Hcontrol.exe" [2002-01-08 53248]
"DAEMON Tools"="C:\Programme\DAEMON Tools\daemon.exe" [2005-11-09 128920]
"WD Drive Manager"="C:\Programme\Western Digital\WD Drive Manager\WDBtnMgrUI.exe" [2008-01-30 438272]
"ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2008-07-09 919016]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"MemCheckBoxInRunDlg"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSMHelp"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)
"NoInstrumentation"= 1 (0x1)
"LockTaskbar"= 0 (0x0)
"NoLanguageTaskbar"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.I420"= i420vfw.dll
"VIDC.ACDV"= ACDV.dll
"msacm.l3fhg"= mp3fhg.acm
"msacm.divxa32"= divxa32.acm
"VIDC.X264"= x264vfw.dll
"VIDC.HFYU"= huffyuv.dll
"vidc.i263"= i263_32.drv

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2007-05-11 03:06 40048 C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
--a------ 2008-04-14 07:52 15360 C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GUI]
--a------ 2005-08-24 21:01 1474560 C:\D-Link\AirPlusG+\AIRPLUS.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2006-01-12 17:40 155648 C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2008-06-10 04:27 144784 C:\Programme\Java\jre1.6.0_07\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPEnh]
--a------ 2005-12-19 23:53 737369 C:\Programme\Synaptics\SynTP\SynTPEnh.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
--a------ 2008-02-29 16:27 185896 C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AGRSMMSG]
--a------ 2003-09-23 18:06 88363 C:\WINDOWS\AGRSMMSG.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\WINDOWS\\system32\\mshta.exe"=
"C:\\Programme\\Mozilla Firefox\\firefox.exe"=
"C:\\Programme\\Coolspot\\Personal ID\\pid.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

R0 PQV2i;PQV2i;C:\WINDOWS\system32\drivers\PQV2i.sys [2003-06-03 123957]
R1 PQIMount;PQIMount;C:\WINDOWS\system32\drivers\PQIMount.sys [2003-06-03 46900]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2008-04-14 14336]
R2 WDBtnMgrSvc.exe;WD Drive Manager Service;C:\Programme\Western Digital\WD Drive Manager\WDBtnMgrSvc.exe [2008-01-30 106496]
S3 GPU-Z;GPU-Z;C:\DOKUME~1\XXX\LOKALE~1\Temp\GPU-Z.sys [ ]
S3 TNET1130;D-Link AirPlus G+ Wireless Adapter;C:\WINDOWS\system32\DRIVERS\GPLUS_XP.sys [2004-10-25 439296]
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-04-19 307968]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2271a6de-ed25-11dc-b7cd-0011d82f7272}]
\Shell\AutoRun\command - G:\wd_windows_tools\setup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4f28b250-854f-11dc-b743-0011d82f7272}]
\Shell\Open(&O)\command - RECYCLED\appmgmt.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6b9915f4-027e-11dd-b7ec-0011d82f7272}]
\Shell\AutoRun\command - I:\wd_windows_tools\setup.exe

*Newly Created Service* - KLIF
*Newly Created Service* - SRESCAN
*Newly Created Service* - VSMON
.
Inhalt des "geplante Tasks" Ordners

2008-09-01 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- C:\Programme\Apple Software Update\SoftwareUpdate.exe [2008-04-11 17:57]

2008-10-18 C:\WINDOWS\Tasks\GoogleUpdateTaskUser.job
- C:\Dokumente und Einstellungen\Stoney\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe []
.
.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Mozilla\Firefox\Profiles\rhes7kfe.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - file:///C:/Dokumente%20und%20Einstellungen/XXX/Desktop/Trash!/startseite/startseite.html
FF -: plugin - C:\Programme\Yahoo!\Common\npyaxmpb.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-19 17:48:19
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-10-19 17:50:53
ComboFix-quarantined-files.txt  2008-10-19 15:50:18
ComboFix2.txt  2008-10-19 13:33:09

Vor Suchlauf: 14 Verzeichnis(se), 32.560.861.184 Bytes frei
Nach Suchlauf: 14 Verzeichnis(se), 32,549,810,176 Bytes frei

262	--- E O F ---	2008-10-16 20:43:50

sollte jetzt glaub ich clean sein

lg

19.10.2008, 14:59	#9
myrtille /// TB-Ausbilder	Google öffnet flasche Links und Gmer.net etc. wird gesperrt! Was meldet Antivir wo? Wie hast du es deaktiviert? lg myrtille __________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM Spelling mistakes? Never, but keybaord malfunctions constantly!

Google öffnet flasche Links und Gmer.net etc. wird gesperrt!

Log-Analyse und Auswertung: Google öffnet flasche Links und Gmer.net etc. wird gesperrt!