tmp2.tmp/Zlob.DNSChanger machen mich wahnsinnig...

tommyberiin · 26.11.2008, 14:41

Hallo,
habe entdeckt, dass mein Rechner wohl infiziert ist In mein temp-Ordner schrieb sich immer wieder eine Datei temp+fortlaufende Nummer.tmp, die ich nicht löschen kann. Spybot entdeckte nach jedem Neustart Zlob.DNSChanger.Rtk und Win32.Agent.sd, obwohl ich es in der vorherigen Sitzung mit Spybot behoben habe.
Desweiteren schleicht sich ein Ordner fsaua.tmp immer wieder ein. Fatal dabei ist auch, dass ich mein Antivir nicht mehr updaten kann und auch online-Scanner nicht laufen...
Ich hoffe, ihr könnt mir helfen und bedanke mich schon mal im voraus.

Hier die hijackthis:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:23:51, on 26.11.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\PROGRA~1\WinTV\EPG Services\System\EPGService.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Samsung\Samsung Media Studio 5\SMSTray.exe
C:\Programme\MarkAny\ContentSafer\MAAgent.exe
C:\PROGRA~1\WinTV\EPG Services\System\EPGClient.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\PROGRA~1\TEXTPA~1\TextPad.exe
C:\WINDOWS\system32\notepad.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: ContributeBHO Class - {074C1DC5-9320-4A9A-947D-C042949C6216} - C:\Programme\Adobe\/Adobe Contribute CS3/contributeieplugin.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Contribute Toolbar - {517BDDE4-E3A7-4570-B21E-2B52B6139FC7} - C:\Programme\Adobe\/Adobe Contribute CS3/contributeieplugin.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SMSTray] C:\Programme\Samsung\Samsung Media Studio 5\SMSTray.exe
O4 - HKLM\..\Run: [MAAgent] C:\Programme\MarkAny\ContentSafer\MAAgent.exe
O4 - HKLM\..\Run: [EPGServiceTool] C:\PROGRA~1\WinTV\EPG Services\System\EPGClient.exe
O4 - HKLM\..\Run: [C:\WINDOWS\system32\kdnfu.exe] C:\WINDOWS\system32\kdnfu.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: Knowledge Base Suche - {8b2d996f-b7d1-4961-a929-414d9cf5ba7b} - h**p://support.microsoft.com/default.aspx?scid=FH;EN-US;KBHOWTO (file missing)
O9 - Extra 'Tools' menuitem: Knowledge Base Suche - {8b2d996f-b7d1-4961-a929-414d9cf5ba7b} - h**p://support.microsoft.com/default.aspx?scid=FH;EN-US;KBHOWTO (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - h**p://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - h**p://support.f-secure.com/ols/fscax.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{08A57338-89DE-4BE5-9C03-C21E099DB207}: NameServer = 85.255.112.10;85.255.112.103
O17 - HKLM\System\CCS\Services\Tcpip\..\{7B70E432-F2BA-4486-94D5-5A7865C0CF0A}: NameServer = 85.255.112.121;85.255.112.76
O17 - HKLM\System\CS1\Services\Tcpip\..\{08A57338-89DE-4BE5-9C03-C21E099DB207}: NameServer = 85.255.112.10;85.255.112.103
O23 - Service: Adobe Version Cue CS3 {de_DE} (Adobe Version Cue CS3) - Adobe Systems Incorporated - C:\Programme\Gemeinsame Dateien\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: EPGService - Hauppauge Computer Works - C:\PROGRA~1\WinTV\EPG Services\System\EPGService.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: HauppaugeTVServer - Hauppauge Computer Works - C:\PROGRA~1\WinTV\HCWTVS~1.EXE
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

und schließlich noch die filelist:
----- Root -----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: BC2E-0AFB

Verzeichnis von C:\

26.11.2008 13:44 1.073.270.784 hiberfil.sys
26.11.2008 13:44 1.610.612.736 pagefile.sys
26.11.2008 13:25 103 autorun.inf
20.09.2008 15:13 251.712 ntldr
17.09.2008 08:22 4 WINDOWSRegDefrag.dat

14 Datei(en) 2.684.917.666 Bytes
0 Verzeichnis(se), 11.064.029.184 Bytes frei

----- System32 -------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: BC2E-0AFB

Verzeichnis von C:\WINDOWS\system32

26.11.2008 09:23 2.278 wpa.dbl
21.11.2008 18:00 5.356 UnEPGService.LOG
21.11.2008 18:00 30 UNWISE.INI
21.11.2008 17:59 50.638 HCW_ChanDB.LOG
02.11.2008 20:52 482 TG_PVTR.LOG
29.10.2008 11:16 148.888 javaws.exe
29.10.2008 11:16 144.792 javaw.exe
29.10.2008 11:16 73.728 javacpl.cpl
29.10.2008 11:16 144.792 java.exe
29.10.2008 11:16 410.976 deploytk.dll
26.10.2008 10:16 380.350 perfh009.dat

2156 Datei(en) 433.223.122 Bytes
0 Verzeichnis(se), 11.063.902.208 Bytes frei

----- no Prefetch dir ------------------

----- Windows --------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: BC2E-0AFB

Verzeichnis von C:\WINDOWS

26.11.2008 13:44 0 0.log
26.11.2008 13:44 1.663.980 WindowsUpdate.log
26.11.2008 13:44 2.048 bootstat.dat
26.11.2008 13:08 366 wininit.ini
26.11.2008 09:56 378.602 setupapi.log
25.11.2008 19:09 216 wiadebug.log
25.11.2008 18:53 50 wiaservc.log
22.11.2008 19:02 0 MEMORY.DMP
21.11.2008 18:21 6.550 HCWPNP.INI
21.11.2008 18:17 1.777 vtplus32.ini
21.11.2008 18:00 660 KB896626.log
21.11.2008 18:00 32.135 Irremote.ini
21.11.2008 17:59 135 ODBC.INI
21.11.2008 17:59 4.161 ODBCINST.INI
15.11.2008 19:09 16.752 MedCtrOC.log
15.11.2008 19:09 47.324 ntdtcsetup.log
15.11.2008 19:09 1.393 imsins.log
15.11.2008 19:09 102.404 tsoc.log
15.11.2008 19:09 11.604 ocmsn.log
15.11.2008 19:09 12.011 tabletoc.log
15.11.2008 19:09 261.479 iis6.log
15.11.2008 19:09 81.268 comsetup.log
15.11.2008 19:09 7.125 KB957097.log
15.11.2008 19:09 37.890 netfxocm.log
15.11.2008 19:09 111.973 ocgen.log
15.11.2008 19:09 10.803 msgsocm.log
15.11.2008 19:09 218.848 FaxSetup.log
15.11.2008 19:09 72.904 msmqinst.log
15.11.2008 19:09 1.393 imsins.BAK
15.11.2008 19:09 10.919 KB954459.log
15.11.2008 19:09 7.468 KB955069.log
15.11.2008 19:09 88.209 updspapi.log
15.11.2008 19:09 319.044 msxml4-KB954430-deu.LOG
06.11.2008 20:00 1.700 wmsetup10.log
06.11.2008 20:00 5.987 wmsetup.log
02.11.2008 20:52 65.024 IFinst26.exe

----- Tasks ----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: BC2E-0AFB

Verzeichnis von C:\WINDOWS\tasks

11.11.2004 13:00 65 desktop.ini
1 Datei(en) 65 Bytes
0 Verzeichnis(se), 11.063.918.592 Bytes frei

----- Wintemp --------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: BC2E-0AFB

Verzeichnis von C:\WINDOWS\temp

26.11.2008 13:44 16.384 Perflib_Perfdata_f0.dat
26.11.2008 09:27 75.776 tempo-76D.tmp
26.11.2008 09:27 24.512 tmp8.tmp
26.11.2008 09:27 678.400 tmp9.tmp
26.11.2008 09:24 16.384 Perflib_Perfdata_120.dat
5 Datei(en) 811.456 Bytes
0 Verzeichnis(se), 11.063.918.592 Bytes frei

----- Temp -----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: BC2E-0AFB

Verzeichnis von C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp

26.11.2008 13:57 114.051 filelist.txt
26.11.2008 13:50 582 jusched.log
26.11.2008 13:49 0 etilqs_2c84LtP7SUA1kcyGdMOr
26.11.2008 13:40 634 filelist.zip
26.11.2008 13:01 0 cf~41.tmp
5 Datei(en) 115.267 Bytes
0 Verzeichnis(se), 11.063.918.592 Bytes frei

Ach so: Ich hatte gelesen, dass man vor dem entfernen von Spyware etc. die temporären Dateien löschen sollte. Hab ich gemacht mit Cleanup und kann seitdem meine Festplatten nicht mehr wie gewohnt öffnen - Fehlermeldung:

Zitat:

recycled/boot.com konnte nicht gefunden werden

Vieleicht hat auch hierzu jemand eine Ahnung. Ich bin zwar PHP-Programmierer, aber in den Tiefen von Betriebssystemen kenne ich mich nicht aus...

Grüße aus Berlin
Tommy

Chris4You · 26.11.2008, 15:05

Hi,

die Internetverbindung wird komplett in die Ukraine umgeleitet!
O17 - HKLM\System\CCS\Services\Tcpip\..\{08A57338-89DE-4BE5-9C03-C21E099DB207}: NameServer = 85.255.112.10;85.255.112.103
O17 - HKLM\System\CCS\Services\Tcpip\..\{7B70E432-F2BA-4486-94D5-5A7865C0CF0A}: NameServer = 85.255.112.121;85.255.112.76
O17 - HKLM\System\CS1\Services\Tcpip\..\{08A57338-89DE-4BE5-9C03-C21E099DB207}: NameServer = 85.255.112.10;85.255.112.103

-> Daher kein Homebanking etc. alle Passwörter von einem sauberen Rechner aus ändern, ev. Konten etc. sperren lassen...

Dieses Einträge fixen mit HJ;
Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
Beim fixen müssen alle Programme geschlossen sein!

Code:

ATTFilter

O17 - HKLM\System\CCS\Services\Tcpip\..\{08A57338-89DE-4BE5-9C03-C21E099DB207}: NameServer = 85.255.112.10;85.255.112.103
O17 - HKLM\System\CCS\Services\Tcpip\..\{7B70E432-F2BA-4486-94D5-5A7865C0CF0A}: NameServer = 85.255.112.121;85.255.112.76
O17 - HKLM\System\CS1\Services\Tcpip\..\{08A57338-89DE-4BE5-9C03-C21E099DB207}: NameServer = 85.255.112.10;85.255.112.103

Danach Combofix:
Combofix
Lade ComboFix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.
Weitere Anleitung unter:http://www.bleepingcomputer.com/comb...x-benutzt-wird

Mam:
Malwarebytes Antimalware (MAM).
Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html
Fullscan und alles bereinigen lassen! Log posten.

chris

Ps.: Das dürfe involviert sein:
O4 - HKLM\..\Run: [C:\WINDOWS\system32\kdnfu.exe] C:\WINDOWS\system32\kdnfu.exe

DNS-Einträge entfernen:
Achtung:
Solltest du Probleme mit deiner Internet Verbindung bekommen:
Systemsteuerung > wähle Netzwerk und Internet Verbindungen oder mach einen
Doppelklick auf Netzwerk-Verbindungen > Klick mit der rechten Maustaste
auf Default Connection (Normale Verindung), das ist normalerweise die
örtliche Umgebung, Kabel oder DSL Verbindung > Klick mit der linken
Maustaste auf Eigenschaften > Doppelklick auf Internet Protocol (TCP/IP) >
wähle den Knopf der dafür steht, dass die DNS Verbindung automatisch
aufrecht erhalten wird > zweimal auf "OK" klicken > den Rechner neu
starten (Diese Einstellungen sind nicht auf allen Systemen gleich oder
vorhanden)

tommyberiin · 26.11.2008, 17:22

Hallo Chris,
vielen Dank für deine schnelle Antwort. Habe deine Anweisungen befolgt und sieht bislang gut aus. Hat sich doch tatsächlich ein DNS-Server eingetragen (85.255.112.10). Hab ich gelöscht!
Hier mal der log von ComboFix:
ComboFix 08-11-26.03 - Administrator 2008-11-26 16:29:46.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.732 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Administrator\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\autorun.inf
c:\programme\Mozilla Firefox\components\iamfamous.dll
C:\resycled
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\kdamj.exe
D:\Autorun.inf
D:\resycled
d:\resycled\boot.com

.
((((((((((((((((((((((( Dateien erstellt von 2008-10-26 bis 2008-11-26 ))))))))))))))))))))))))))))))
.

2008-11-26 09:56 . 2008-11-26 09:56 <DIR> d-------- c:\windows\system32\Kaspersky Lab
2008-11-26 09:56 . 2008-11-26 09:56 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-11-26 09:32 . 2008-11-26 09:32 <DIR> d-------- C:\fsaua.data
2008-11-25 16:59 . 2008-11-25 16:59 <DIR> d-------- c:\programme\CleanUp!
2008-11-25 11:45 . 2008-11-26 13:08 366 --a------ c:\windows\wininit.ini
2008-11-25 10:57 . 2008-11-26 13:43 <DIR> d-------- c:\programme\Spybot - Search & Destroy
2008-11-25 10:57 . 2008-11-26 13:43 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-11-25 10:46 . 2008-11-25 10:46 <DIR> d-------- c:\programme\Trend Micro
2008-11-24 12:00 . 2008-11-24 12:00 27,904 --a------ c:\windows\system32\drivers\ndisprot.sys
2008-11-21 18:00 . 2008-11-21 18:00 <DIR> d-------- c:\programme\vtplus
2008-11-21 18:00 . 2008-11-21 18:00 <DIR> d-------- c:\programme\Gemeinsame Dateien\IviSDK
2008-11-21 17:59 . 2008-11-26 16:33 <DIR> d-------- c:\programme\WinTV
2008-11-21 17:59 . 2008-11-21 19:28 <DIR> d-------- C:\MyVideos
2008-11-21 17:58 . 2008-04-14 07:52 363,520 --a------ c:\windows\system32\PsisDecd.dll
2008-11-19 11:00 . 2008-11-19 11:00 <DIR> d-------- c:\windows\Sun
2008-11-12 08:20 . 2008-09-04 18:15 1,106,944 -----c--- c:\windows\system32\dllcache\msxml3.dll
2008-11-12 08:20 . 2008-10-24 12:21 455,296 -----c--- c:\windows\system32\dllcache\mrxsmb.sys
2008-11-07 18:26 . 2008-11-07 18:26 <DIR> d-------- C:\osCommerce
2008-11-06 16:00 . 2008-11-07 18:59 <DIR> d-------- C:\osCommerce_XHTML
2008-11-04 16:40 . 2008-11-19 10:20 <DIR> d-------- c:\programme\FTP Commander
2008-11-02 20:52 . 2008-11-02 20:52 <DIR> d-------- c:\programme\XviD
2008-11-02 20:52 . 2008-11-02 20:52 <DIR> d-------- c:\programme\Lame MP3 Codec
2008-11-02 20:52 . 2002-12-03 22:13 1,048,576 --a------ c:\windows\system32\lameACM.acm
2008-11-02 20:52 . 2005-05-03 09:33 299,008 --a------ c:\windows\system32\LAME_MP3.dll
2008-11-02 20:52 . 2008-11-02 20:52 65,024 --a------ c:\windows\IFinst26.exe
2008-11-02 20:52 . 2004-12-10 21:29 401 --a------ c:\windows\system32\lame_acm.xml
2008-11-02 20:51 . 2008-11-02 20:51 <DIR> d-------- c:\programme\Samsung
2008-11-02 20:51 . 2008-11-02 20:51 <DIR> d-------- c:\programme\MarkAny
2008-11-02 20:51 . 2008-11-02 20:51 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\InstallShield
2008-10-29 16:35 . 2003-08-07 15:01 237,568 --a------ c:\windows\system32\lame_enc.dll
2008-10-29 16:35 . 2008-10-29 16:48 44 --a------ c:\windows\Earemm.dat
2008-10-29 16:34 . 2008-10-29 16:35 <DIR> d-------- c:\programme\Total Audio Recorder and Editor
2008-10-29 16:11 . 2008-10-30 10:30 <DIR> d-------- c:\programme\NOS
2008-10-29 16:11 . 2008-10-30 10:30 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\NOS
2008-10-29 11:16 . 2008-10-29 11:16 <DIR> d-------- c:\programme\Java
2008-10-29 11:16 . 2008-10-29 16:47 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\LimeWire
2008-10-29 11:16 . 2008-10-29 11:16 410,976 --a------ c:\windows\system32\deploytk.dll
2008-10-29 11:16 . 2008-10-29 11:16 73,728 --a------ c:\windows\system32\javacpl.cpl
2008-10-29 11:14 . 2008-10-29 11:14 <DIR> d-------- c:\programme\LimeWire

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-25 16:01 --------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\FileZilla
2008-11-25 11:04 --------- d-----w c:\programme\Mozilla Thunderbird
2008-11-22 17:59 --------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\OpenOffice.org2
2008-11-22 14:45 --------- d-----w c:\programme\FileZilla FTP Client
2008-11-21 17:00 --------- d--h--w c:\programme\InstallShield Installation Information
2008-11-20 11:08 --------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\IBP
2008-11-11 19:21 --------- d-----w c:\programme\Advanced System Optimizer
2008-10-29 15:13 --------- d-----w c:\programme\Gemeinsame Dateien\Adobe
2008-10-25 09:12 --------- d-----w c:\programme\Elaborate Bytes
2008-10-25 09:09 --------- d-----w c:\programme\CAO-Faktura
2008-10-24 22:04 --------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\DeepBurner
2008-10-24 11:21 455,296 ----a-w c:\windows\system32\drivers\mrxsmb.sys
2008-10-24 08:39 --------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\PSpad
2008-10-24 08:36 --------- d-----w c:\programme\PSPad editor
2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll
2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll
2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll
2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll
2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll
2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe
2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll
2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll
2008-09-30 18:21 1,286,152 ----a-w c:\windows\system32\msxml4.dll
2008-09-26 16:24 --------- d-----w c:\programme\MSXML 4.0
2008-09-17 07:22 4 ----a-w C:\WINDOWSRegDefrag.dat
2008-09-17 07:13 36,864 ----a-w c:\windows\system32\ROD080.tmp
2008-09-15 15:24 1,846,528 ----a-w c:\windows\system32\win32k.sys
2008-09-10 01:13 1,307,648 ------w c:\windows\system32\msxml6.dll
2008-09-04 17:15 1,106,944 ----a-w c:\windows\system32\msxml3.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"CloneCDElbyCDFL"="c:\programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" [2002-11-02 45056]
"CloneCDTray"="c:\programme\Elaborate Bytes\CloneCD\CloneCDTray.exe" [2002-12-02 73728]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2008-10-29 136600]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"SMSTray"="c:\programme\Samsung\Samsung Media Studio 5\SMSTray.exe" [2007-02-23 126976]
"MAAgent"="c:\programme\MarkAny\ContentSafer\MAAgent.exe" [2007-01-30 57344]
"EPGServiceTool"="c:\progra~1\WinTV\EPG Services\System\EPGClient.exe" [2007-08-01 675840]
"SoundMan"="SOUNDMAN.EXE" [2004-11-11 c:\windows\SOUNDMAN.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
AutoStart IR.lnk - c:\programme\WinTV\Ir.exe [2008-11-21 110647]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{88485281-8b4b-4f8d-9ede-82e29a064277}"= "c:\progra~1\MarkAny\CONTEN~1\MACSMA~1.DLL" [2004-11-23 192512]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Programme\\IBP 9\\IBP.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Adobe\\Adobe Version Cue CS3\\Server\\bin\\VersionCueCS3.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\LimeWire\\LimeWire.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3703:TCP"= 3703:TCP:*

isabled:Adobe Version Cue CS3 Server
"3704:TCP"= 3704:TCP:*

isabled:Adobe Version Cue CS3 Server
"50900:TCP"= 50900:TCP:*

isabled:Adobe Version Cue CS3 Server
"50901:TCP"= 50901:TCP:*

isabled:Adobe Version Cue CS3 Server
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

R0 ElbyVCD;ElbyVCD;c:\windows\system32\DRIVERS\ElbyVCD.sys [2002-11-28 22016]
R2 EPGService;EPGService;c:\progra~1\WinTV\EPG Services\System\EPGService.exe [2008-11-21 374272]
S3 HauppaugeTVServer;HauppaugeTVServer;c:\progra~1\WinTV\HCWTVS~1.EXE [2008-11-21 815104]
S3 HCWU2DTD;Hauppauge Nova USB2 DVB-T TV Receiver;c:\windows\system32\Drivers\hcwu2dtd.sys [2008-03-01 57472]
S3 HCWU2DTL;Hauppauge Nova-USB2-T Adapter Firmware Loader;c:\windows\system32\DRIVERS\hcwu2dtl.sys [2008-03-01 18560]
S3 Ndisprot;ArcNet NDIS Protocol Driver;\??\c:\windows\system32\drivers\Ndisprot.sys [2008-11-24 27904]

*Newly Created Service* - HELPSVC
.
.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\8gmirahb.default\
FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.google.com/ig?referrer=ign_n
FF -: plugin - c:\programme\Adobe\Acrobat 8.0\Acrobat\browser\nppdf32.dll
FF -: plugin - c:\programme\Java\jre6\bin\new_plugin\npdeploytk.dll
FF -: plugin - c:\programme\Java\jre6\bin\new_plugin\npjp2.dll
FF -: plugin - c:\programme\Mozilla Firefox\plugins\np_gp.dll
FF -: plugin - c:\programme\Mozilla Firefox\plugins\npdeploytk.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-26 16:33:44
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\programme\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\system32\wdfmgr.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-11-26 16:40:47 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-11-26 15:40:44

Vor Suchlauf: 16 Verzeichnis(se), 10.937.425.920 Bytes frei
Nach Suchlauf: 15 Verzeichnis(se), 10,925,727,744 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

184 --- E O F --- 2008-11-15 18:09:37

Das ausführwen von Malwarebytes dauert wohl noch etwas (bin ich froh, dass ich meine 500GB-platte ausgebaut habe...

Gruß Tommy

tommyberiin · 27.11.2008, 00:23

So, jetzt lief Malwarebytes auch durch, hier der Log:

Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1425
Windows 5.1.2600 Service Pack 3

27.11.2008 00:14:40
mbam-log-2008-11-27 (00-14-33).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 179096
Laufzeit: 1 hour(s), 33 minute(s), 42 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\homeview (Trojan.DNSChanger) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Kann ich diesen "homeview" einfach aus der Registry schmeißen?

Und nochmals ein dickes Danke für die schnelle und gute Hilfe...

Gruß Tommy

Silent sharK · 27.11.2008, 00:35

Wenn ich mich mal kurz einmischen darf:
Bevor das ganze nochmal passiert, führe bitte das Tool aus:

Desinfizierung/Absicherung externer Medien:

Lade Dir den Flash Disinfector von sUBs und speichere Flash_Disinfector.exe auf Deinem Desktop ab.
Gehe nun wie folgt vor:

Trenne den Rechner physikalisch vom Netz.
Deaktiviere den Hintergrundwächter deines AVP und (falls vorhanden) den TeaTimer.
Schließe jetzt alle externe Datenträger mit gedrückter Shift-Taste an Deinen Rechner (Autoplay wird unterbunden).
Starte den Flash Disinfector mit einem Doppelklick und folge ggf. den Anweisungen.
Wenn der Scan zuende ist, kannst du das Programm schließen.
Starte Deinen Rechner neu.

Hinweis:
Flash Disinfector desinfiziert all Deine Laufwerke von Autoruninfektionen und erstellt einen versteckten Ordner mit demselben Namen, sodass Dein Datenträger in Zukunft vor dieser Infektion geschützt ist.
Während dem Scan wird Dein Desktop kurzfristig verschwinden und dann wiederkommen. Das ist normal.

Chris4You · 27.11.2008, 07:38

Hi,

folge dem Rat von Silent shark!
Ist notwendig wegen dem hier:
D:\Autorun.inf
D:\resycled
d:\resycled\boot.com
Achte darauf keine ungeprüften Datenträger (z. B. USB-Sticks) weiterzugeben!

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\homeview (Trojan.DNSChanger) -> No action taken.
kann gelöscht werden.

Sonst sieht es eigentlich gut aus....

chris

tmp2.tmp/Zlob.DNSChanger machen mich wahnsinnig...

Log-Analyse und Auswertung: tmp2.tmp/Zlob.DNSChanger machen mich wahnsinnig...