Trojaner Spyware

steven1991 · 19.10.2008, 14:56

Hi, ich hab im Prinzip genau das gleiche Problem wie Björn Kleine (http://www.trojaner-board.de/58781-trojaner-spyware-log-file-hijack.html) jedoch versteh ich wenig bis gar nichts von Computern und verstehe somit auch nach mehrmaligem lesen den artikel nicht. Mein Problem ist exakt das gleiche wie bei Björn alle 2 Minuten tauchen irgendwelche Fenster auf die mir eine Spyware verkaufen wollen oder irgendwelche scans durchführen. Wäre nett wenn mir jemand den Artikel "erklären" könnte. Achja ich hab auch so ein HijackThis Protokoll erstellt: Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:34:58, on 19.10.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Applications\wcs.exe
C:\Programme\Applications\iebtm.exe
C:\WINDOWS\system32\nvraidservice.exe
C:\Programme\MessengerPlus! 3\MsgPlus.exe
C:\Programme\TCM\TCM Keyboard Only\PS2USBKbdDrv.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\taskswitch.exe
C:\WINDOWS\system32\fast.exe
C:\Programme\Sony\WALKMAN Launcher\WMAAD.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\phonostar\ps_timer.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\algg.exe
C:\Programme\Applications\wcm.exe
C:\Programme\Applications\iebtmm.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\System32\snmp.exe
C:\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\Fast.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\Programme\AntiVir PersonalEdition Classic\avscan.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.schuelervz.net/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O1 - Hosts: 127.255.255.255 serial.alcohol-soft.com
O1 - Hosts: 127.255.255.255 www.alcohol-soft.com
O1 - Hosts: 127.255.255.255 images.alcohol-soft.com
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Videoraptor_WebRipPlugin Class - {3C0372C2-04C3-4100-BAB1-1D42C552BC48} - C:\Programme\RapidSolution\RS Audials One\VideoRaptor\plugins\IE\VR_WebRipIePlugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\de\msntb.dll
O2 - BHO: (no name) - {BE1A344F-9FF5-4024-949B-52205E6DB2D0} - C:\Programme\Applications\iebt.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\system32\nvraidservice.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [WireLessKeyboard ] C:\Programme\TCM\TCM Keyboard Only\PS2USBKbdDrv.exe
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [BackgroundSwitcher] C:\WINDOWS\system32\bgswitch.exe
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\system32\taskswitch.exe
O4 - HKLM\..\Run: [FastUser] C:\WINDOWS\system32\fast.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [WMAAD] C:\Programme\Sony\WALKMAN Launcher\WMAAD.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [PhonostarTimer] C:\phonostar\ps_timer.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKLM\..\Policies\Explorer\Run: [smile] C:\Programme\Applications\wcs.exe
O4 - HKLM\..\Policies\Explorer\Run: [start] C:\Programme\Applications\iebtm.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Mit Image Converter 3 übertragen - C:\PROGRAMME\SONY\IMAGE CONVERTER 3\menu.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.howtoiexplorer.com/redirect.php (file missing)
O9 - Extra 'Tools' menuitem: IE Anti-Spyware - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.howtoiexplorer.com/redirect.php (file missing)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - C:\Programme\PokerStars.NET\PokerStarsUpdate.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4BFCB3DA-21E6-4FAD-A6F6-4C3643952699}: NameServer = 192.168.2.1
O22 - SharedTaskScheduler: headstock - {e517b912-2c97-4a94-8b15-e7fe902b8d86} - C:\WINDOWS\system32\dvxwfz.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: IcVzMonLauncher - Sony Corporation - C:\Programme\Sony\IMAGE CONVERTER 3\IcVzMonLauncher.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: PACSPTISVR - Unknown owner - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
O23 - Service: SonicStage Back-End Service - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SsBeSvc.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SSScsiSV.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

--
End of file - 10167 bytes

Vielen Dank im voraus

schrauber · 19.10.2008, 17:24

hi steven1991 und

Hosts-Datei auf Standard zurücksetzen
Die HOSTS-Datei ist eine lokale Textdatei, welche der Aufgabe von DNS-Informationen nahe kommt. Diese Datei dient der festen Zuordnung von Hostnamen mit IP-Adressen. Über die Hosts-Datei kannst Du regeln, welche Webseiten nicht besucht werden können, weil sie z. B. boshaften Code enthalten. Das tut Spybot S&D z. B. über die Funktion "Immunisierung". Dabei werden diese als boshaft bekannten Websites auf "localhost" umgeleitet und können dadurch nicht mehr besucht werden. Aus diesem Grund ist eine "immunisierte" Hosts-Datei manchmal irre lang und enthälte 1000de von Website-URLs.

Andererseits kann eine Hosts-Datei auch von Malware so manipuliert werden, dass Du z. B. nicht mehr auf die Windows-Update-Seite, Antiviren- oder sonstige wichtige Seiten kommst. Aus diesem Grund werden wir Deine Hosts-Datei mit dem folgenden Tool auf den Standard zurücksetzen.

Lade Dir HostsXpert http://www.funkytoad.com/content/view/13/31/
auf dem Desktop speichern und entpacken

Ordner HostsXpert öffnen
HostsXpert.exe doppelklicken
klicke auf Restore Microsoft's Hosts File, dann OK

Wenn sich die hosts Datei nicht ändern lässt:
C:\Windows\system32\DRIVERS\ETC\hosts =>
Rechte Maustaste auf die Datei hosts => Eigenschaften => dann "Schreibgeschützt" deaktivieren. Alternativ schauen, ob in Spybot Search&Destroy (umstellen auf Experten-Modus) unter "IE-Spielereien" die Option "Host-Liste zum Schutz gegen HiJacker als schreibgeschützt sperren" angehakt ist.

===

ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)

steven1991 · 20.10.2008, 12:46

Also schon mal vielen dank und bis jetzt hat auch alles geklappt. Hier die Auswertung:
ComboFix 08-10-19.04 - Hendrik 2008-10-20 13:31:28.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.893 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Hendrik.FOOTBALL\Desktop\ComboFix.exe
.

((((((((((((((((((((((( Dateien erstellt von 2008-09-20 bis 2008-10-20 ))))))))))))))))))))))))))))))
.

2008-10-20 13:20 . 2008-10-20 13:20 <DIR> d-------- C:\Programme\CCleaner
2008-10-19 15:34 . 2008-10-19 15:34 <DIR> d-------- C:\Programme\Trend Micro
2008-10-19 15:01 . 2008-10-20 13:05 <DIR> d-------- C:\Programme\Applications
2008-10-19 15:01 . 2008-10-19 15:05 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\TEMP
2008-10-19 15:01 . 2008-10-19 15:01 20,992 --a------ C:\WINDOWS\system32\algg.exe
2008-10-19 15:01 . 2008-10-19 15:01 184 --a------ C:\44r4354.bat
2008-10-06 22:00 . 2008-10-16 17:30 <DIR> d-------- C:\Dokumente und Einstellungen\Hendrik.FOOTBALL\Anwendungsdaten\Tunebite
2008-10-06 22:00 . 2008-07-15 11:44 27,936 --a------ C:\WINDOWS\system32\drivers\tbhsd.sys
2008-10-06 21:59 . 2008-10-06 21:59 <DIR> d-------- C:\Programme\RapidSolution
2008-10-06 21:59 . 2008-10-06 21:59 <DIR> d-------- C:\Programme\PixiePack Codec Pack
2008-10-06 21:59 . 2008-10-06 22:06 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\RapidSolution
2008-09-24 15:05 . 2008-09-24 15:24 <DIR> d-------- C:\WINDOWS\system32\CatRoot_bak

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-20 11:22 --------- d-----w C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Spybot - Search & Destroy
2008-10-18 13:36 --------- d-----w C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\WLInstaller
2008-10-17 13:05 15,360 --s-a-w C:\WINDOWS\system32\dvxwfz.dll
2008-10-16 17:46 --------- d-----w C:\Programme\PokerStars.NET
2008-10-15 19:16 --------- d-----w C:\Programme\Apple Software Update
2008-10-07 12:18 --------- d-----w C:\Dokumente und Einstellungen\Hendrik.FOOTBALL\Anwendungsdaten\gtk-2.0
2008-09-15 15:37 1,846,144 ----a-w C:\WINDOWS\system32\win32k.sys
2008-09-10 19:31 --------- d-----w C:\Programme\No23 Recorder
2008-09-02 12:43 --------- d-----w C:\Programme\Gemeinsame Dateien\DVDVideoSoft
2008-09-01 18:56 --------- d-----w C:\Programme\DVDVideoSoft
2008-09-01 18:44 --------- d-----w C:\Programme\Free YouTube Download
2008-08-28 10:04 333,056 ----a-w C:\WINDOWS\system32\drivers\srv.sys
2008-08-26 12:20 --------- d-----w C:\Dokumente und Einstellungen\Hendrik.FOOTBALL\Anwendungsdaten\OpenOffice.org2
2008-08-26 07:57 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-08-14 13:42 2,182,656 ----a-w C:\WINDOWS\system32\ntoskrnl.exe
2008-08-14 13:42 2,060,032 ----a-w C:\WINDOWS\system32\ntkrnlpa.exe
2008-01-20 13:04 81,920 ----a-w C:\Dokumente und Einstellungen\Petra & Rainer\Anwendungsdaten\ezpinst.exe
2008-01-20 13:04 47,360 ----a-w C:\Dokumente und Einstellungen\Petra & Rainer\Anwendungsdaten\pcouffin.sys
2007-06-26 14:38 5,825,656 ----a-w C:\Programme\gtk+-2.10.11-setup.exe
2007-06-26 14:29 13,731,701 ----a-w C:\Programme\GIMP.zip
2007-06-26 14:01 1,414,251 ----a-w C:\Programme\No23Recorder.exe
2007-04-10 18:26 92,064 ----a-w C:\Dokumente und Einstellungen\Petra & Rainer\mqdmmdm.sys
2007-04-10 18:26 9,232 ----a-w C:\Dokumente und Einstellungen\Petra & Rainer\mqdmmdfl.sys
2007-04-10 18:26 79,328 ----a-w C:\Dokumente und Einstellungen\Petra & Rainer\mqdmserd.sys
2007-04-10 18:26 66,656 ----a-w C:\Dokumente und Einstellungen\Petra & Rainer\mqdmbus.sys
2007-04-10 18:26 6,208 ----a-w C:\Dokumente und Einstellungen\Petra & Rainer\mqdmcmnt.sys
2007-04-10 18:26 5,936 ----a-w C:\Dokumente und Einstellungen\Petra & Rainer\mqdmwhnt.sys
2007-04-10 18:26 4,048 ----a-w C:\Dokumente und Einstellungen\Petra & Rainer\mqdmcr.sys
2007-04-10 18:26 25,600 ----a-w C:\Dokumente und Einstellungen\Petra & Rainer\usbsermptxp.sys
2007-04-10 18:26 22,768 ----a-w C:\Dokumente und Einstellungen\Petra & Rainer\usbsermpt.sys
2006-09-24 17:21 2,863,832 ----a-w C:\Programme\DeepBurner18.exe
2006-09-24 17:17 1,923,290 ----a-w C:\Programme\cdex_151.zip
2006-09-24 17:16 2,855,080 ----a-w C:\Programme\aawsepersonal106.exe
2006-04-08 09:33 112,875,840 ----a-w C:\Programme\Nero-7.0.8.2_deu.exe
2007-04-13 21:56 8,192 --sha-w C:\WINDOWS\o2cLicStore.bin
.

((((((((((((((((((((((((((((( snapshot@2008-10-20_13.13.35.21 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-10-20 11:08:35 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_550.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360]
"MessengerPlus3"="C:\Programme\MessengerPlus! 3\MsgPlus.exe" [2006-09-24 190024]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 1694208]
"PhonostarTimer"="C:\phonostar\ps_timer.exe" [2007-06-18 126976]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 2097488]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NVRaidService"="C:\WINDOWS\system32\nvraidservice.exe" [2004-06-11 83968]
"MessengerPlus3"="C:\Programme\MessengerPlus! 3\MsgPlus.exe" [2006-09-24 190024]
"WireLessKeyboard "="C:\Programme\TCM\TCM Keyboard Only\PS2USBKbdDrv.exe" [2005-06-16 188416]
"Easy-PrintToolBox"="C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE" [2004-01-14 409600]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-10 249896]
"BackgroundSwitcher"="C:\WINDOWS\system32\bgswitch.exe" [2001-10-19 19520]
"CoolSwitch"="C:\WINDOWS\system32\taskswitch.exe" [2001-10-19 45632]
"FastUser"="C:\WINDOWS\system32\fast.exe" [2001-10-19 49216]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 39792]
"WMAAD"="C:\Programme\Sony\WALKMAN Launcher\WMAAD.exe" [2007-02-16 110592]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-01-10 385024]
"SoundMan"="SOUNDMAN.EXE" [2007-04-16 C:\WINDOWS\soundman.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 15360]
"Picasa Media Detector"="C:\Programme\Picasa2\PicasaMediaDetector.exe" [2008-02-26 443968]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\SharedTaskScheduler]
"{e517b912-2c97-4a94-8b15-e7fe902b8d86}"= "C:\WINDOWS\system32\dvxwfz.dll" [2008-10-17 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.dvsd"= C:\Programme\Gemeinsame Dateien\Sony Shared\VideoLib\sonydv.dll

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Hendrik.FOOTBALL^Startmenü^Programme^Autostart^OpenOffice.org 2.0.lnk]
path=C:\Dokumente und Einstellungen\Hendrik.FOOTBALL\Startmenü\Programme\Autostart\OpenOffice.org 2.0.lnk
backup=C:\WINDOWS\pss\OpenOffice.org 2.0.lnkStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Hendrik.FOOTBALL^Startmenü^Programme^Autostart^OpenOffice.org 2.2.lnk]
path=C:\Dokumente und Einstellungen\Hendrik.FOOTBALL\Startmenü\Programme\Autostart\OpenOffice.org 2.2.lnk
backup=C:\WINDOWS\pss\OpenOffice.org 2.2.lnkStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Hendrik.FOOTBALL^Startmenü^Programme^Autostart^ZDWLan Utility.lnk]
path=C:\Dokumente und Einstellungen\Hendrik.FOOTBALL\Startmenü\Programme\Autostart\ZDWLan Utility.lnk
backup=C:\WINDOWS\pss\ZDWLan Utility.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]
--a------ 2005-06-07 00:46 57344 C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
--a------ 2005-12-16 12:57 94208 C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
--a------ 2008-01-15 04:22 267048 C:\Programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 10:50 155648 C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCSuiteTrayApplication]
--a------ 2006-06-15 13:36 229376 C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PcSync]
--a------ 2006-06-27 17:21 1449984 C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2008-01-10 16:27 385024 C:\Programme\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2008-02-22 05:25 144784 C:\Programme\Java\jre1.6.0_05\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"ALG"=3 (0x3)
"WMPNetworkSvc"=3 (0x3)
"usnjsvc"=3 (0x3)
"SPTISRV"=3 (0x3)
"MZCCntrl"=2 (0x2)
"iPod Service"=3 (0x3)
"Image Converter video recording monitor for VAIO Entertainment"=3 (0x3)
"ICScsiSV"=3 (0x3)
"gusvc"=2 (0x2)
"Bonjour Service"=2 (0x2)
"Apple Mobile Device"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Nero\\Nero 7\\Nero Home\\NeroHome.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=

S3 BRGSp50;BRGSp50 NDIS Protocol Driver;C:\WINDOWS\system32\Drivers\BRGSp50.sys [2005-06-08 20608]
S3 IcVzMonLauncher;IcVzMonLauncher;C:\Programme\Sony\IMAGE CONVERTER 3\IcVzMonLauncher.exe [2007-01-26 67760]
S3 MACNDIS5;MACNDIS5 NDIS Protocol Driver;C:\PROGRA~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS [2006-10-04 17280]
S3 ZD1211BU(WLAN);802.11g USB 2.0 Wireless LAN Driver (USB)(WLAN);C:\WINDOWS\system32\DRIVERS\zd1211Bu.sys [2005-10-28 402432]
S4 ICScsiSV;Image Converter SCSI Service;C:\Programme\Sony\IMAGE CONVERTER 3\ICScsiSV.exe [2007-01-26 75952]
S4 Image Converter video recording monitor for VAIO Entertainment;Image Converter video recording monitor for VAIO Entertainment;C:\Programme\Sony\IMAGE CONVERTER 3\IcVzMon.exe [2007-01-26 43184]
S4 MZCCntrl;T-Online WLAN Adapter Steuerungsdienst;C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe [2007-01-09 61440]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9f584775-8045-11da-94e6-806d6172696f}]
\Shell\AutoRun\command - I:\Bin\assetup.exe

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{61E3FE32-07B9-4563-A3E0-2DE2D620FE10}]
C:\Programme\PixiePack Codec Pack\InstallerHelper.exe
.
Inhalt des "geplante Tasks" Ordners

2008-10-19 C:\WINDOWS\Tasks\A7AEF9E09185724C.job
- c:\dokume~1\hendri~1.foo\anwend~1\sixthc~1\listdashpeak.exe []

2008-10-18 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- C:\Programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]
.
.
------- Zusätzlicher Suchlauf -------
.
R0 -: HKCU-Main,Start Page = hxxp://www.schuelervz.net/
R0 -: HKCU-Main,SearchMigratedDefaultURL = hxxp://windiwsfsearch.com/search?q={searchTerms}
R0 -: HKLM-Main,SearchMigratedDefaultURL = hxxp://windiwsfsearch.com/search?q={searchTerms}
O8 -: Easy-WebPrint - Drucken - C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 -: Easy-WebPrint - Schnelldruck - C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 -: Easy-WebPrint - Vorschau - C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 -: Easy-WebPrint - Zu Druckliste hinzufügen - C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 -: Mit Image Converter 3 übertragen - C:\PROGRAMME\SONY\IMAGE CONVERTER 3\menu.htm
O9 -: {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - C:\Programme\PokerStars.NET\PokerStarsUpdate.exe
O9 -: {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - C:\Programme\PokerStars.NET\PokerStarsUpdate.exe -
O17 -: HKLM\CCS\Interface\{4BFCB3DA-21E6-4FAD-A6F6-4C3643952699}: NameServer = 192.168.2.1
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-20 13:32:30
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-10-20 13:33:58
ComboFix-quarantined-files.txt 2008-10-20 11:33:43
ComboFix2.txt 2008-10-20 11:14:01

Vor Suchlauf: 17 Verzeichnis(se), 103.169.953.792 Bytes frei
Nach Suchlauf: 17 Verzeichnis(se), 103,160,737,792 Bytes frei

195 --- E O F --- 2008-10-16 22:30:59

Danke im voraus!!!!!

schrauber · 20.10.2008, 14:14

das war der zweite lauf von combofix, wo ist das erste log? suche bitte in C: und C:Qoobox nach weiteren logs und poste sie.

steven1991 · 20.10.2008, 15:20

Achso ja stimmt hier die erste:

ComboFix 08-10-19.04 - Hendrik 2008-10-20 13:01:14.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.895 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Hendrik.FOOTBALL\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Hendrik.FOOTBALL\Eigene Dateien\My Documents.url
C:\Programme\Applications\iebr.dll
C:\Programme\Applications\iebt.dll
C:\Programme\Applications\iebu.exe
C:\Programme\Applications\myd.ico
C:\Programme\Applications\mym.ico
C:\Programme\Applications\myp.ico
C:\Programme\Applications\myv.ico
C:\Programme\Applications\ot.ico
C:\Programme\Applications\ts.ico
C:\Programme\Applications\wcm.exe
C:\Programme\Applications\wcs.exe
C:\WINDOWS\system32\_000005_.tmp.dll
C:\WINDOWS\system32\675873
C:\WINDOWS\system32\675873\675873.dll
C:\WINDOWS\system32\dao350.dll
C:\WINDOWS\temp\perflib_perfdata_1cc.dat

.
((((((((((((((((((((((( Dateien erstellt von 2008-09-20 bis 2008-10-20 ))))))))))))))))))))))))))))))
.

2008-10-19 15:34 . 2008-10-19 15:34 <DIR> d-------- C:\Programme\Trend Micro
2008-10-19 15:01 . 2008-10-20 13:05 <DIR> d-------- C:\Programme\Applications
2008-10-19 15:01 . 2008-10-19 15:05 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\TEMP
2008-10-19 15:01 . 2008-10-19 15:01 20,992 --a------ C:\WINDOWS\system32\algg.exe
2008-10-19 15:01 . 2008-10-19 15:01 184 --a------ C:\44r4354.bat
2008-10-06 22:00 . 2008-10-16 17:30 <DIR> d-------- C:\Dokumente und Einstellungen\Hendrik.FOOTBALL\Anwendungsdaten\Tunebite
2008-10-06 22:00 . 2008-07-15 11:44 27,936 --a------ C:\WINDOWS\system32\drivers\tbhsd.sys
2008-10-06 21:59 . 2008-10-06 21:59 <DIR> d-------- C:\Programme\RapidSolution
2008-10-06 21:59 . 2008-10-06 21:59 <DIR> d-------- C:\Programme\PixiePack Codec Pack
2008-10-06 21:59 . 2008-10-06 22:06 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\RapidSolution
2008-09-24 15:05 . 2008-09-24 15:24 <DIR> d-------- C:\WINDOWS\system32\CatRoot_bak

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-18 13:36 --------- d-----w C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\WLInstaller
2008-10-17 13:05 15,360 --s-a-w C:\WINDOWS\system32\dvxwfz.dll
2008-10-16 17:46 --------- d-----w C:\Programme\PokerStars.NET
2008-10-15 19:16 --------- d-----w C:\Programme\Apple Software Update
2008-10-07 12:18 --------- d-----w C:\Dokumente und Einstellungen\Hendrik.FOOTBALL\Anwendungsdaten\gtk-2.0
2008-09-15 15:37 1,846,144 ----a-w C:\WINDOWS\system32\win32k.sys
2008-09-10 19:31 --------- d-----w C:\Programme\No23 Recorder
2008-09-02 12:43 --------- d-----w C:\Programme\Gemeinsame Dateien\DVDVideoSoft
2008-09-01 18:56 --------- d-----w C:\Programme\DVDVideoSoft
2008-09-01 18:44 --------- d-----w C:\Programme\Free YouTube Download
2008-08-28 10:04 333,056 ----a-w C:\WINDOWS\system32\drivers\srv.sys
2008-08-26 12:20 --------- d-----w C:\Dokumente und Einstellungen\Hendrik.FOOTBALL\Anwendungsdaten\OpenOffice.org2
2008-08-26 07:57 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-08-14 13:42 2,182,656 ----a-w C:\WINDOWS\system32\ntoskrnl.exe
2008-08-14 13:42 2,060,032 ----a-w C:\WINDOWS\system32\ntkrnlpa.exe
2008-01-20 13:04 81,920 ----a-w C:\Dokumente und Einstellungen\Petra & Rainer\Anwendungsdaten\ezpinst.exe
2008-01-20 13:04 47,360 ----a-w C:\Dokumente und Einstellungen\Petra & Rainer\Anwendungsdaten\pcouffin.sys
2007-06-26 14:38 5,825,656 ----a-w C:\Programme\gtk+-2.10.11-setup.exe
2007-06-26 14:29 13,731,701 ----a-w C:\Programme\GIMP.zip
2007-06-26 14:01 1,414,251 ----a-w C:\Programme\No23Recorder.exe
2007-04-10 18:26 92,064 ----a-w C:\Dokumente und Einstellungen\Petra & Rainer\mqdmmdm.sys
2007-04-10 18:26 9,232 ----a-w C:\Dokumente und Einstellungen\Petra & Rainer\mqdmmdfl.sys
2007-04-10 18:26 79,328 ----a-w C:\Dokumente und Einstellungen\Petra & Rainer\mqdmserd.sys
2007-04-10 18:26 66,656 ----a-w C:\Dokumente und Einstellungen\Petra & Rainer\mqdmbus.sys
2007-04-10 18:26 6,208 ----a-w C:\Dokumente und Einstellungen\Petra & Rainer\mqdmcmnt.sys
2007-04-10 18:26 5,936 ----a-w C:\Dokumente und Einstellungen\Petra & Rainer\mqdmwhnt.sys
2007-04-10 18:26 4,048 ----a-w C:\Dokumente und Einstellungen\Petra & Rainer\mqdmcr.sys
2007-04-10 18:26 25,600 ----a-w C:\Dokumente und Einstellungen\Petra & Rainer\usbsermptxp.sys
2007-04-10 18:26 22,768 ----a-w C:\Dokumente und Einstellungen\Petra & Rainer\usbsermpt.sys
2006-09-24 17:21 2,863,832 ----a-w C:\Programme\DeepBurner18.exe
2006-09-24 17:17 1,923,290 ----a-w C:\Programme\cdex_151.zip
2006-09-24 17:16 2,855,080 ----a-w C:\Programme\aawsepersonal106.exe
2006-04-08 09:33 112,875,840 ----a-w C:\Programme\Nero-7.0.8.2_deu.exe
2007-04-13 21:56 8,192 --sha-w C:\WINDOWS\o2cLicStore.bin
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360]
"MessengerPlus3"="C:\Programme\MessengerPlus! 3\MsgPlus.exe" [2006-09-24 190024]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 1694208]
"PhonostarTimer"="C:\phonostar\ps_timer.exe" [2007-06-18 126976]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 2097488]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NVRaidService"="C:\WINDOWS\system32\nvraidservice.exe" [2004-06-11 83968]
"MessengerPlus3"="C:\Programme\MessengerPlus! 3\MsgPlus.exe" [2006-09-24 190024]
"WireLessKeyboard "="C:\Programme\TCM\TCM Keyboard Only\PS2USBKbdDrv.exe" [2005-06-16 188416]
"Easy-PrintToolBox"="C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE" [2004-01-14 409600]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-10 249896]
"BackgroundSwitcher"="C:\WINDOWS\system32\bgswitch.exe" [2001-10-19 19520]
"CoolSwitch"="C:\WINDOWS\system32\taskswitch.exe" [2001-10-19 45632]
"FastUser"="C:\WINDOWS\system32\fast.exe" [2001-10-19 49216]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 39792]
"WMAAD"="C:\Programme\Sony\WALKMAN Launcher\WMAAD.exe" [2007-02-16 110592]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-01-10 385024]
"SoundMan"="SOUNDMAN.EXE" [2007-04-16 C:\WINDOWS\soundman.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 15360]
"Picasa Media Detector"="C:\Programme\Picasa2\PicasaMediaDetector.exe" [2008-02-26 443968]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\SharedTaskScheduler]
"{e517b912-2c97-4a94-8b15-e7fe902b8d86}"= "C:\WINDOWS\system32\dvxwfz.dll" [2008-10-17 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.dvsd"= C:\Programme\Gemeinsame Dateien\Sony Shared\VideoLib\sonydv.dll

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Hendrik.FOOTBALL^Startmenü^Programme^Autostart^OpenOffice.org 2.0.lnk]
path=C:\Dokumente und Einstellungen\Hendrik.FOOTBALL\Startmenü\Programme\Autostart\OpenOffice.org 2.0.lnk
backup=C:\WINDOWS\pss\OpenOffice.org 2.0.lnkStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Hendrik.FOOTBALL^Startmenü^Programme^Autostart^OpenOffice.org 2.2.lnk]
path=C:\Dokumente und Einstellungen\Hendrik.FOOTBALL\Startmenü\Programme\Autostart\OpenOffice.org 2.2.lnk
backup=C:\WINDOWS\pss\OpenOffice.org 2.2.lnkStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Hendrik.FOOTBALL^Startmenü^Programme^Autostart^ZDWLan Utility.lnk]
path=C:\Dokumente und Einstellungen\Hendrik.FOOTBALL\Startmenü\Programme\Autostart\ZDWLan Utility.lnk
backup=C:\WINDOWS\pss\ZDWLan Utility.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]
--a------ 2005-06-07 00:46 57344 C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
--a------ 2005-12-16 12:57 94208 C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
--a------ 2008-01-15 04:22 267048 C:\Programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 10:50 155648 C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCSuiteTrayApplication]
--a------ 2006-06-15 13:36 229376 C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PcSync]
--a------ 2006-06-27 17:21 1449984 C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2008-01-10 16:27 385024 C:\Programme\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2008-02-22 05:25 144784 C:\Programme\Java\jre1.6.0_05\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"ALG"=3 (0x3)
"WMPNetworkSvc"=3 (0x3)
"usnjsvc"=3 (0x3)
"SPTISRV"=3 (0x3)
"MZCCntrl"=2 (0x2)
"iPod Service"=3 (0x3)
"Image Converter video recording monitor for VAIO Entertainment"=3 (0x3)
"ICScsiSV"=3 (0x3)
"gusvc"=2 (0x2)
"Bonjour Service"=2 (0x2)
"Apple Mobile Device"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Nero\\Nero 7\\Nero Home\\NeroHome.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=

S3 BRGSp50;BRGSp50 NDIS Protocol Driver;C:\WINDOWS\system32\Drivers\BRGSp50.sys [2005-06-08 20608]
S3 IcVzMonLauncher;IcVzMonLauncher;C:\Programme\Sony\IMAGE CONVERTER 3\IcVzMonLauncher.exe [2007-01-26 67760]
S3 MACNDIS5;MACNDIS5 NDIS Protocol Driver;C:\PROGRA~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS [2006-10-04 17280]
S3 ZD1211BU(WLAN);802.11g USB 2.0 Wireless LAN Driver (USB)(WLAN);C:\WINDOWS\system32\DRIVERS\zd1211Bu.sys [2005-10-28 402432]
S4 ICScsiSV;Image Converter SCSI Service;C:\Programme\Sony\IMAGE CONVERTER 3\ICScsiSV.exe [2007-01-26 75952]
S4 Image Converter video recording monitor for VAIO Entertainment;Image Converter video recording monitor for VAIO Entertainment;C:\Programme\Sony\IMAGE CONVERTER 3\IcVzMon.exe [2007-01-26 43184]
S4 MZCCntrl;T-Online WLAN Adapter Steuerungsdienst;C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe [2007-01-09 61440]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9f584775-8045-11da-94e6-806d6172696f}]
\Shell\AutoRun\command - I:\Bin\assetup.exe

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{61E3FE32-07B9-4563-A3E0-2DE2D620FE10}]
C:\Programme\PixiePack Codec Pack\InstallerHelper.exe
.
Inhalt des "geplante Tasks" Ordners

2008-10-19 C:\WINDOWS\Tasks\A7AEF9E09185724C.job
- c:\dokume~1\hendri~1.foo\anwend~1\sixthc~1\listdashpeak.exe []

2008-10-18 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- C:\Programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

BHO-{BE1A344F-9FF5-4024-949B-52205E6DB2D0} - (no file)
HKLM-Explorer_Run-smile - C:\Programme\Applications\wcs.exe
MSConfigStartUp-BearShare - C:\Programme\BearShare\BearShare.exe
MSConfigStartUp-Error Safe - C:\Programme\Error Safe Free\ers.exe
MSConfigStartUp-LoadBurn - C:\DOKUME~1\HENDRI~1.FOO\ANWEND~1\SIXTHC~1\SOFT CLOSE.exe
MSConfigStartUp-NapsterShell - C:\Programme\Napster\napster.exe
MSConfigStartUp-Trans grey film vga - C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\4BONETRANSGREY\less deaf.exe
MSConfigStartUp-WinampAgent - C:\Programme\Winamp\wianmpa.exe

.
------- Zusätzlicher Suchlauf -------
.
R0 -: HKCU-Main,Start Page = hxxp://www.schuelervz.net/
R0 -: HKCU-Main,SearchMigratedDefaultURL = hxxp://windiwsfsearch.com/search?q={searchTerms}
R0 -: HKLM-Main,SearchMigratedDefaultURL = hxxp://windiwsfsearch.com/search?q={searchTerms}
R0 -: HKLM-Search,SearchAssistant = hxxp://www.google.com/ie
O8 -: Easy-WebPrint - Drucken - C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 -: Easy-WebPrint - Schnelldruck - C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 -: Easy-WebPrint - Vorschau - C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 -: Easy-WebPrint - Zu Druckliste hinzufügen - C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 -: Mit Image Converter 3 übertragen - C:\PROGRAMME\SONY\IMAGE CONVERTER 3\menu.htm
O9 -: {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - C:\Programme\PokerStars.NET\PokerStarsUpdate.exe
O9 -: {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - C:\Programme\PokerStars.NET\PokerStarsUpdate.exe -
O17 -: HKLM\CCS\Interface\{4BFCB3DA-21E6-4FAD-A6F6-4C3643952699}: NameServer = 192.168.2.1
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-20 13:06:41
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere laufende Prozesse ------------------------
.
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\snmp.exe
C:\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\WINDOWS\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-10-20 13:13:58 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-10-20 11:13:55

Vor Suchlauf: 17 Verzeichnis(se), 94.426.279.936 Bytes frei
Nach Suchlauf: 17 Verzeichnis(se), 103,108,935,680 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

238 --- E O F --- 2008-10-16 22:30:59

Nochmals danke für die geduld ; )

schrauber · 20.10.2008, 15:36

[QUOTE=schrauber26;379899]Scripten mit Combofix

Öffne den Editor ( Start -> Zubehör -> Editor ) kopiere nun folgenden Text in das weiße Feld:

Zitat:

File::
C:\WINDOWS\system32\algg.exe
C:\44r4354.bat
C:\WINDOWS\system32\dvxwfz.dll
C:\WINDOWS\system32\win32k.sys
C:\WINDOWS\system32\drivers\srv.sys
C:\WINDOWS\Tasks\A7AEF9E09185724C.job
Registry::
[hkey_local_machine\software\microsoft\windows\curr entversion\explorer\SharedTaskScheduler]
"{e517b912-2c97-4a94-8b15-e7fe902b8d86}"=-

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann

====

Malwarebytes' Anti-Malware

Lies dir die Entfernungsanleitung durch und lass alles entfernen was gefunden wurde:

Download von Malwarebytes' Anti-Malware

(nach dem scannen auf den Button klicken und Funde löschen lassen!)

20.10.2008, 14:14	#4
schrauber /// the machine /// TB-Ausbilder	Trojaner Spyware das war der zweite lauf von combofix, wo ist das erste log? suche bitte in C: und C:Qoobox nach weiteren logs und poste sie. __________________ gruß, schrauber *Proud Member of UNITE and ASAP since 2009* Spenden Anleitungen und Hilfestellungen Trojaner-Board Facebook-Seite Keine Hilfestellung via PM!

Trojaner Spyware

Log-Analyse und Auswertung: Trojaner Spyware