Hallo zusammen!

Mein Problem ist folgendes, vor ein paar Tagen tauchte und rechts in der Leiste ein roter Kreis auf mit dem Fenster "Your computer is infected". (keine Ahnung wooich das schon wieder her hab...) Das Problem konnte ich beheben. Auch führten mich die Links auf Google zu komischen Werbeseiten, was aber nach dem Neustart jetzt wieder aufgetaucht ist. Trotz einiger Mitopfer, konnte ich das Problem immer noch nicht finden...

Hier erst mal mein hjt log

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:30:50, on 20.10.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\system32\ezSP_Px.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\foobar2000\foobar2000.exe
C:\Programme\Last.fm\LastFM.exe
C:\Dokumente und Einstellungen\***\Desktop\pennerbot_v0.6.6.exe
C:\Dokumente und Einstellungen\***\Desktop\pennerbot_v0.6.6.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\Programme\Malwarebytes' Anti-Malware\mbam.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\system32\ezSP_Px.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Alles mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_all.htm
O8 - Extra context menu item: &Mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUpUtilities2004\WinStylerThemeSvc.exe

--
End of file - 4482 bytes

Und dann noch das von Malwarebytes' Anti-Malware

Zitat:

Malwarebytes' Anti-Malware 1.29
Datenbank Version: 1276
Windows 5.1.2600 Service Pack 2

20.10.2008 12:37:48
mbam-log-2008-10-20 (12-37-48).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 43059
Laufzeit: 3 minute(s), 47 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 9

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\Control Panel\Desktop\originalwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\convertedwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: c:\windows\system32\ -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: system32\ -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\cmdow.exe (Malware.Tool) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\XP_AntiSpyware.lnk (Rogue.XPAntiSpyware) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\BlqDTaBX.exe.a_a (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\ (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\blphc790j0ee4a.scr (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Cookies\ycusid.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\.tt3.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\.ttB.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.

Ich hoffe ihr könnt mir helfen, will nicht schon wieder alles neumachen müssen

1.)

Code: Alles auswählenAufklappen

ATTFilter

C:\Dokumente und Einstellungen\***\Desktop\pennerbot_v0.6.6.exe
         

Hallo, was ist denn das fürn Quatsch? Bitte mal bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen.

2.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.

3.) Führe dieses MBR-Tool aus und poste die Ausgabe

4.) Blacklight ausführen und Logfile posten

5.) Führe Silentrunners nach dieser Anleitung aus und poste das Logfile (mit Codetags umschlossen), falls es zu groß sein sollte kannst Du es (gezippt) bei file-upload.net hochladen und hier verlinken.

6.) ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:

[code] Hier das Logfile rein! [/code]

7.) Mach auch ein Filelisting mit diesem script:

• Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
• Doppelklick auf listing8.cmd auf dem Desktop
• nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

8.) Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe - editiere die Links und privaten Infos!!

Tag!

zu 1) Das ist nix von Bedeutung xD

2) Ist deaktiviert

3)

Code: Alles auswählenAufklappen

ATTFilter

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
         

4)

Code: Alles auswählenAufklappen

ATTFilter

10/22/08 14:14:16 [Info]: BlackLight Engine 2.2.1092 initialized
10/22/08 14:14:16 [Info]: OS: 5.1 build 2600 (Service Pack 2)
10/22/08 14:14:16 [Note]: 7019 4
10/22/08 14:14:16 [Note]: 7005 0
10/22/08 14:14:19 [Note]: 7006 0
10/22/08 14:14:19 [Note]: 7011 1720
10/22/08 14:14:19 [Note]: 7035 0
10/22/08 14:14:19 [Note]: 7026 0
10/22/08 14:14:19 [Note]: 7026 0
10/22/08 14:14:21 [Note]: FSRAW library version 1.7.1024
10/22/08 14:14:25 [Note]: 7006 0
10/22/08 14:14:25 [Note]: 7011 1720
10/22/08 14:14:25 [Note]: 7035 0
10/22/08 14:14:26 [Note]: 7026 0
10/22/08 14:14:26 [Note]: 7026 0
10/22/08 14:14:27 [Note]: FSRAW library version 1.7.1024
         

5) Hier erscheint eine Meldung "Der Zugriff auf Windows Script Host wurde für diesem Computer deaktiviert. Wenden Sie sich an Ihren Administrator, um weitere Details in Erfahrung zu bringen"

6)

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 08-10-21.03 - *** 2008-10-22 14:39:59.1 - NTFSx86

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\***\Cookies\anuvyzome.com
C:\Dokumente und Einstellungen\***\Cookies\lanykyfety.ban
C:\Dokumente und Einstellungen\***\Cookies\pesolyqe.dl
C:\Dokumente und Einstellungen\***\Cookies\xihumedola.inf
C:\WINDOWS\pi.exe
C:\WINDOWS\system32\TDSSevri.dll
C:\WINDOWS\system32\TDSShpue.dll
C:\WINDOWS\system32\TDSSjjsm.dll

.
(((((((((((((((((((((((   Dateien erstellt von 2008-09-22 bis 2008-10-22  ))))))))))))))))))))))))))))))
.

2008-10-22 14:23 . 2008-10-22 14:23	<DIR>	d--------	C:\Programme\CCleaner
2008-10-21 09:06 . 2008-10-21 09:06	<DIR>	d--------	C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2008-10-20 12:53 . 2008-10-22 14:08	164	--a------	C:\WINDOWS\system32\TDSSpqxt.dat
2008-10-20 12:14 . 2008-10-20 12:14	<DIR>	d--------	C:\Programme\Malwarebytes' Anti-Malware
2008-10-20 12:14 . 2008-10-20 12:14	<DIR>	d--------	C:\Dokumente und Einstellungen\***\Anwendungsdaten\Malwarebytes
2008-10-20 12:14 . 2008-10-20 12:14	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-10-20 12:14 . 2008-10-16 20:25	38,496	--a------	C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-10-20 12:14 . 2008-10-16 20:25	15,504	--a------	C:\WINDOWS\system32\drivers\mbam.sys
2008-10-19 19:25 . 2008-10-19 19:25	<DIR>	dr-------	C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2008-10-19 19:08 . 2008-10-19 19:08	<DIR>	d--------	C:\Programme\Trend Micro
2008-10-19 17:18 . 2008-04-05 04:23	<DIR>	d--h-----	C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-10-19 17:18 . 2008-04-05 05:18	<DIR>	dr-------	C:\Dokumente und Einstellungen\Administrator\Startmenü
2008-10-19 17:18 . 2008-04-05 05:18	<DIR>	d--h-----	C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-10-19 17:18 . 2008-10-22 14:43	<DIR>	d--h-----	C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-10-19 17:18 . 2008-04-05 05:18	<DIR>	d--------	C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-10-19 17:18 . 2008-04-05 05:18	<DIR>	d--h-----	C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-10-19 17:18 . 2008-10-21 09:06	<DIR>	dr-h-----	C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-10-19 17:18 . 2008-10-19 19:25	<DIR>	d--------	C:\Dokumente und Einstellungen\Administrator
2008-10-18 21:22 . 2008-10-18 21:22	19,703	--a------	C:\Dokumente und Einstellungen\***\Anwendungsdaten\yjyrexyh.bin
2008-10-18 21:22 . 2008-10-18 21:22	19,084	--a------	C:\WINDOWS\catigur.com
2008-10-18 21:22 . 2008-10-18 21:22	17,305	--a------	C:\WINDOWS\hykejul.dl
2008-10-18 21:22 . 2008-10-18 21:22	15,875	--a------	C:\WINDOWS\itah.dll
2008-10-18 21:22 . 2008-10-18 21:22	15,362	--a------	C:\WINDOWS\system32\tewyv.sys
2008-10-18 21:22 . 2008-10-18 21:22	15,325	--a------	C:\Dokumente und Einstellungen\***\Anwendungsdaten\alet.dat
2008-10-18 21:22 . 2008-10-18 21:22	14,995	--a------	C:\WINDOWS\yryd.bat
2008-10-18 21:22 . 2008-10-18 21:22	14,799	--a------	C:\WINDOWS\system32\avykuwehy.lib
2008-10-18 21:22 . 2008-10-18 21:22	12,578	--a------	C:\WINDOWS\uryb.dat
2008-10-18 21:22 . 2008-10-18 21:22	12,557	--a------	C:\WINDOWS\uwax.dll
2008-10-18 21:22 . 2008-10-18 21:22	12,302	--a------	C:\Programme\Gemeinsame Dateien\yrisome.dll
2008-10-18 21:22 . 2008-10-18 21:22	11,899	--a------	C:\WINDOWS\lijij.reg
2008-10-18 21:22 . 2008-10-18 21:22	10,245	--a------	C:\WINDOWS\zygodeh.com
2008-10-18 21:22 . 2008-10-18 21:22	10,055	--a------	C:\WINDOWS\yguzo.lib
2008-10-18 21:20 . 2008-10-22 14:08	3,896	--a------	C:\WINDOWS\system32\TDSSpqxt.dll
2008-09-22 17:03 . 2008-09-22 17:03	<DIR>	d--------	C:\Programme\Avira
2008-09-22 17:03 . 2008-09-22 17:03	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-22 12:31	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-10-22 12:26	---------	d-----w	C:\Dokumente und Einstellungen\***\Anwendungsdaten\foobar2000
2008-10-22 12:08	30,720	----a-w	C:\WINDOWS\system32\TDSSrrdq.dll
2008-10-18 19:53	---------	d-----w	C:\Programme\ICQLite
2008-10-18 19:22	18,981	----a-w	C:\Programme\Gemeinsame Dateien\anil._dl
2008-10-18 19:22	12,919	----a-w	C:\Programme\Gemeinsame Dateien\ocapyj.db
2008-10-18 19:22	10,645	----a-w	C:\Programme\Gemeinsame Dateien\aviw.dl
2008-10-18 19:11	53,395	----a-w	C:\WINDOWS\system32\TDSSoitu.dll
2008-10-14 12:31	---------	d-----w	C:\Dokumente und Einstellungen\***\Anwendungsdaten\dvdcss
2008-10-13 14:27	---------	d-----w	C:\Programme\FlashGet
2008-09-21 18:03	4,009,305	----a-w	C:\WINDOWS\Internet Logs\tvDebug.zip
2008-09-20 17:31	---------	d-----w	C:\Programme\Spybot - Search & Destroy
2008-09-20 16:43	---------	d-----w	C:\Dokumente und Einstellungen\***\Anwendungsdaten\Hamachi
2008-09-20 15:47	25,280	----a-w	C:\WINDOWS\system32\drivers\hamachi.sys
2008-09-19 20:47	194,324	--sha-w	C:\WINDOWS\system32\drivers\fidbox.idx
2008-09-19 20:47	16,490,528	--sha-w	C:\WINDOWS\system32\drivers\fidbox.dat
2008-09-06 10:12	---------	d-----w	C:\Programme\Finale Allegro 2007
2008-09-01 19:57	2,163,712	----a-w	C:\WINDOWS\Internet Logs\xDB1.tmp
2008-08-25 17:37	---------	d-----w	C:\Programme\Zattoo
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-11-11 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-08-12 335872]
"ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2007-12-13 919016]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 144784]
"ezShieldProtector for Px"="C:\WINDOWS\system32\ezSP_Px.exe" [2002-08-20 40960]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"SoundMan"="SOUNDMAN.EXE" [2004-11-11 C:\WINDOWS\SOUNDMAN.EXE]
"ATIModeChange"="Ati2mdxx.exe" [2003-09-11 C:\WINDOWS\system32\Ati2mdxx.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-11-11 15360]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
--a------ 2008-04-01 11:39 486856 C:\Programme\DAEMON Tools Lite\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
--a------ 2006-07-11 12:15 3144800 C:\Programme\ICQLite\ICQLite.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
-rahs---- 2008-07-07 09:42 2156368 C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Veoh]
--a------ 2008-06-19 15:15 3664944 C:\Programme\Veoh Networks\Veoh\VeohClient.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=


*Newly Created Service* - CATCHME
*Newly Created Service* - PROCEXP90
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

MSConfigStartUp-XP Antispyware 2009 - C:\Programme\XP_AntiSpyware\XP_AntiSpyware.exe


.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\uwooi39a.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://google.de
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-22 14:44:00
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\TDSSserv]
"imagepath"="\systemroot\system32\drivers\TDSSjcxe.sys"
.
Zeit der Fertigstellung: 2008-10-22 14:45:32
ComboFix-quarantined-files.txt  2008-10-22 12:45:10

Vor Suchlauf: 2,095,026,176 Bytes frei
Nach Suchlauf: 2,114,453,504 Bytes frei

142
         

7) http://www.file-upload.net/download-1198522/listing.txt.html

8)

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:53:32, on 22.10.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\system32\ezSP_Px.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\***\Desktop\qlketzd.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: FGCatchUrl - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Programme\FlashGet\jccatch.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Programme\FlashGet\getflash.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\system32\ezSP_Px.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Alles mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_all.htm
O8 - Extra context menu item: &Mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUpUtilities2004\WinStylerThemeSvc.exe

--
End of file - 5279 bytes
         

Wenn ich die infizierten Objekte bei Malwarebytes' Anti-Malware lösche, funktionieren z.B. die Google-Links bis zum nächsten Neustart. Als ich das vorhin mal laufen lassen wollte, schmierte mein PC mit einem blauen Bildschirm und dem KERNEL_STACK_INPAGE_ERROR.

Nachdem ich das Programm benutzt hab, konnte ich auch erst die Seiten bei 3), 4) und 6) aufrufen, sonst kam die Meldung

Zitat:

Firefox kann keine Verbindung zu dem Server unter xy.com aufbauen.

Wahrscheinlich sind sowieso Hopfen und Malz verloren -.-

Da sind noch viele Dateien! Bitte bei Virustotal auswerten lassen und Ergebnisse posten, am besten den Link dazu:

Code: Alles auswählenAufklappen

ATTFilter

C:\WINDOWS\system32\TDSSpqxt.dat
C:\Dokumente und Einstellungen\***\Anwendungsdaten\yjyrexyh.bin
C:\WINDOWS\catigur.com
C:\WINDOWS\hykejul.dl
C:\WINDOWS\itah.dll
C:\WINDOWS\system32\tewyv.sys
C:\Dokumente und Einstellungen\***\Anwendungsdaten\alet.dat
C:\WINDOWS\yryd.bat
C:\WINDOWS\system32\avykuwehy.lib
C:\WINDOWS\uryb.dat
C:\WINDOWS\uwax.dll
C:\Programme\Gemeinsame Dateien\yrisome.dll
C:\WINDOWS\lijij.reg
C:\WINDOWS\zygodeh.com
C:\WINDOWS\yguzo.lib
C:\WINDOWS\system32\TDSSpqxt.dll
C:\WINDOWS\yryd.bat
C:\WINDOWS\system32\avykuwehy.lib
C:\WINDOWS\uryb.dat
C:\WINDOWS\uwax.dll
C:\Programme\Gemeinsame Dateien\yrisome.dll
C:\WINDOWS\lijij.reg
C:\WINDOWS\zygodeh.com
C:\WINDOWS\yguzo.lib
C:\WINDOWS\system32\TDSSpqxt.dll