Trojanerbefall, Windows Update wird auf msn.com umgeleitet etc. PC spinnt...

AntiTrojaner · 30.12.2008, 21:12

Hallo Leute!

Angefangen hat alles damit, dass sich mein PC ständig aufgehängt oder gar nicht erst aufgestartet hat.

Programme wie Spybot S&D, Malwarebytes Anti-Malware und Dr. Web Scanner zeigten mir verschiedene Befälle an, darunter Smitfraud-C.gp, Win32.Agent.sd, Backdoor Bots etc. Diese Dateien löschte ich alle mit den jeweiligen Progs.

Zudem fiel mir auf, dass ich unter Start -> Windows Update auf msn.com umgeleitet werde, dass beim manuellen Besuch auf update.windows.com die Seite nicht angezeigt werden kann, dass mir auch andere Seiten (Malwarebyteshomepage etc.) nicht angezeigt werden, Antivir sowie Windows Defender können nicht automatisch updaten.

Bevor ich alles neu aufsetze, wollte ich fragen, ob diese Dinge vielleicht einfach entfernt werden können. Falls dies nicht der Fall ist, wie kann ich alles so absichern, dass ich bestimmt nichts vergessen habe?

Vielen Dank für die Hilfe!

AntiTrojaner

P.S. Ich google schon seit mehr als einem Tag in Foren (auch in diesem), habe mich also schon angestrengt, die Lösung selbst zu finden. Verschiedene Probleme und keine Verbesserung nach den Lösungsversuchen brachten mich dazu, mich trotzdem persönlich an euch zu wenden...

Hier das Logfile von Hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:17:07, on 30.12.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Acer\Acer eConsole\MediaServerService.exe
C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Acer TV-FM\Kernel\TV\CLCapSvc.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Program Files\Acer TV-FM\Kernel\CLML_NTService\CLMLServer.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Acer TV-FM\Kernel\TV\CLSched.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\SysMonitor.exe
C:\Programme\Acer\Acer eMode Management\AspireService.exe
C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
C:\Programme\Acer\Acer eConsole\MediaSync.exe
C:\Program Files\Acer TV-FM\PCMService.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Windows Defender\MSASCui.exe
C:\Programme\Creative\Creative ZEN\ZEN Media Explorer\CTCheck.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Trojancheck 6\tcguard.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Acer WLAN 11g USB Dongle\ZDWlan.exe
C:\PROGRA~1\GEMEIN~1\Nokia\MPAPI\MPAPI3s.exe
C:\Programme\PC Connectivity Solution\ServiceLayer.exe
C:\Programme\PC Connectivity Solution\Transports\NclUSBSrv.exe
C:\Programme\PC Connectivity Solution\Transports\NclRSSrv.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\****\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h***://de.rd.yahoo.com/customize/ycomp/defaults/sp/*h****://de.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h***://www.gogle.ch/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h***://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h***://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h***://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h***://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h***://de.rd.yahoo.com/customize/ycomp/defaults/su/*h***://de.yahoo.com
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
R3 - URLSearchHook: (no name) - {06663B56-0D73-4f9f-BCC5-4AA941470AFD} - C:\Programme\PandoBar\SrchAstt\1.bin\P4SRCHAS.DLL
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Pando Search Assistant BHO - {06663B51-0D73-4f9f-BCC5-4AA941470AFD} - C:\Programme\PandoBar\SrchAstt\1.bin\P4SRCHAS.DLL
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (file missing)
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Programme\Canon\Easy-WebPrint\EWPBrowseLoader.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Pando Toolbar BHO - {E3EA4FD1-CADE-4ae5-84F7-086EEE888BE4} - C:\Programme\PandoBar\bar\1.bin\PANDOBAR.DLL
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Pando Toolbar - {E3EA4FD9-CADE-4ae5-84F7-086EEE888BE4} - C:\Programme\PandoBar\bar\1.bin\PANDOBAR.DLL
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [ntiMUI] C:\Programme\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Acer Empowering Technology Monitor] C:\WINDOWS\system32\SysMonitor.exe
O4 - HKLM\..\Run: [AspireService] C:\Programme\Acer\Acer eMode Management\AspireService.exe
O4 - HKLM\..\Run: [MediaSync] C:\Programme\Acer\Acer eConsole\MediaSync.exe
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Acer TV-FM\PCMService.exe"
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup
O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Programme\Canon\SolutionMenu\CNSLMAIN.exe /logon
O4 - HKLM\..\Run: [CanonMyPrinter] C:\Programme\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKLM\..\Run: [CTCheck] C:\Programme\Creative\Creative ZEN\ZEN Media Explorer\CTCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [PcSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [Pando] "C:\Programme\Pando Networks\Pando\Pando.exe" /Minimized
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Acer Empowering Technology.lnk = ?
O4 - Global Startup: Acer WLAN 11g USB Dongle.lnk = C:\Programme\Acer WLAN 11g USB Dongle\ZDWlan.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w3/resources/MSNPUpld.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{72ED9CD1-1F0D-435C-9F37-EF44D48F47A6}: NameServer = 85.255.116.105;85.255.112.215
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.105;85.255.112.215
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.105;85.255.112.215
O23 - Service: Acer Media Server - Acer Inc. - C:\Programme\Acer\Acer eConsole\MediaServerService.exe
O23 - Service: Memory Check Service (AcerMemUsageCheckService) - Acer Inc. - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\Acer TV-FM\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\Acer TV-FM\Kernel\TV\CLSched.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\Acer TV-FM\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 11839 bytes

AntiTrojaner · 30.12.2008, 22:37

Nachtrag:

Stutzig machten mich noch folgende Dinge:

Malwarebytes entdeckte das hier im Forum bekannte resycled/boot.com und löschte es. Ich befolgte darauf die Tipps, machte die versteckten Daten sichtbar und löschte den Ordner "resycled", die "autorun.inf" war jedoch nicht vorhanden im Ordner.

Auch schreiben viele hier im Zusammenhang mit resycled/boot.com, dass sie die Meldung "resycled boot ist keine gültige Win32 Anwendung" oder so bei der jeweiligen Partition erhalten, bei mir ist dies ebenfalls nicht der Fall, ich kann die Partitionen normal öffnen *nerv*

AntiTrojaner · 01.01.2009, 16:59

Kann mir niemand helfen?

john.doe · 01.01.2009, 18:05

Frohes neues Jahr und

Alle deine Internetanfragen landen in der Ukraine. Deshalb hast du Probleme.

1.) Deinstalliere/deaktiviere folgende Programme (Start => Systemsteuerung => Software):

Code:

ATTFilter

Windows Defender
Spybot
Zonealarm
Trojancheck 6
Pando
Alle Toolbars

Man kann einen Rechner auch kaputt installieren.

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:

[code] Hier das Logfile rein! [/code]

2.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.

3.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten (Wächter Deines Virenscanner vor dem Scannen deaktivieren!)

4.) ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

5.) Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe
Editiere die Links und privaten Infos!!

ciao, andreas

AntiTrojaner · 01.01.2009, 18:48

Hi Andreas!

Danke dir tausend Mal für deine Antwort! Ich hoffe, das klappt... Diese ver"*@¦ *fluchfluchfluch*

Soll ich die Schritte im abgesicherten Modus oder einfach vom Internet getrennt durchführen?

Liebe Grüsse

john.doe · 01.01.2009, 18:51

Wenn du die Verbindung zum Internet trennst, dann kannst du nichts downloaden. Falls dir ein zweiter Rechner zur Verfügung steht, ist es natürlich besser, die Verbindung zu trennen. Du kannst dann auch gleich mal alle Kennwörter ändern.

ciao, andreas

AntiTrojaner · 01.01.2009, 19:00

Das ist mir schon klar

Runterladen, Verbindung trennen und los geht's...

ALLE Kennwörter ändern??? Ach du heilige.... Muss wohl sein

Ich mach mich dann mal ans Werk, werde die Logs sofern alles gut geht, heute oder Morgen posten! Thx nochmal

AntiTrojaner · 01.01.2009, 20:06

Problem:

Im Tutorial steht, ich solle die Wiederherstellungskonsole installieren, jedoch wird mir der Download-Link blockiert... Die Original-CD habe ich nicht, da ich den PC mit installiertem System gekauft habe

Soll ich diesen Schritt auslassen? :-S

john.doe · 01.01.2009, 20:16

Zitat:

Soll ich diesen Schritt auslassen? :-S

Auch wenn ich es nur ein einziges Mal erlebt habe, das etwas schief gelaufen ist... Nein.

Lies die Anleitung genau, du kannst sie auch downloaden.

ciao, andreas

AntiTrojaner · 01.01.2009, 21:23

Ich habe schon gesehen, dass man sie downloaden kann, aber kurz vor dem Download erscheint "Diese Seite kann nicht angezeigt werden"

Inzwischen habe ich eine Windows XP Professional CD gefunden, doch wenn ich den Befehl E:\i386\winnt32.exe /cmdcons eingebe, erscheint die Fehlermeldung, dass die Windows-Version auf der CD älter ist, als diejenige auf meinem PC (logisch da SP1 auf CD, SP3 auf meinem PC)... Was soll ich tun? Die aktuellste Version im Netz wäre auch nur SP2, aber die kann ich ja eben nicht downloaden

P.S. Danke für deine Geduld

john.doe · 01.01.2009, 21:32

Arbeite die Liste der Reihe nach ab. Sobald Antimalware gelaufen ist, solltest du wieder auf die Seiten von MS kommen. Parallel kannst du folgendes kontrollieren:

Start => Ausführen => devmgmt.msc eingeben => OK
Menüzeile: Ansicht => Ausgeblendete Geräte anzeigen => Nicht-PNP-Treiber
Sollten dort Treiber angezeigt werden, die mit TDS beginnen, die dann deaktivieren => Rechner neustarten

ciao, andreas

AntiTrojaner · 01.01.2009, 21:48

Ich habe nun die Datei für Windows XP Professional SP2 von "http://support.microsoft.com/?scid=kb%3Bde%3B310994&x=13&y=11" mit dem Zweitcomputer heruntergeladen, gebrannt und wie beschrieben in das ComboFix-Piktogramm gezogen.

ComboFix läuft (alle Programme wurden wie verlangt geschlossen) und wollte nun die Wiederherstellungskonsole runterladen. Dies gelang ihm nicht und es startete mit dem Scan...

Soweit sollte alles richtig sein...

john.doe · 01.01.2009, 21:51

Wo sind die Logs von Blacklight und MbAm?

ciao, andreas

AntiTrojaner · 01.01.2009, 21:54

Oh mist, ich dachte alle Logfiles danach posten, ok, Moment!

AntiTrojaner · 01.01.2009, 22:01

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.31
Datenbank Version: 1456
Windows 5.1.2600 Service Pack 3

01.01.2009 21:02:41
Malwarebytes LOG.txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 119227
Laufzeit: 25 minute(s), 36 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 12
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.116.105;85.255.112.215 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.116.105;85.255.112.215 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{72ed9cd1-1f0d-435c-9f37-ef44d48f47a6}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.116.105;85.255.112.215 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{72ed9cd1-1f0d-435c-9f37-ef44d48f47a6}\NameServer (Trojan.DNSChanger) -> Data: 85.255.116.105;85.255.112.215 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.116.105;85.255.112.215 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.116.105;85.255.112.215 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{72ed9cd1-1f0d-435c-9f37-ef44d48f47a6}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.116.105;85.255.112.215 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{72ed9cd1-1f0d-435c-9f37-ef44d48f47a6}\NameServer (Trojan.DNSChanger) -> Data: 85.255.116.105;85.255.112.215 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.116.105;85.255.112.215 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.116.105;85.255.112.215 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\Interfaces\{72ed9cd1-1f0d-435c-9f37-ef44d48f47a6}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.116.105;85.255.112.215 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\Interfaces\{72ed9cd1-1f0d-435c-9f37-ef44d48f47a6}\NameServer (Trojan.DNSChanger) -> Data: 85.255.116.105;85.255.112.215 -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Code:

ATTFilter

01/01/09 21:12:32 [Info]: BlackLight Engine 2.2.1092 initialized
01/01/09 21:12:32 [Info]: OS: 5.1 build 2600 (Service Pack 3)
01/01/09 21:12:32 [Note]: 7019 4
01/01/09 21:12:32 [Note]: 7005 0
01/01/09 21:12:36 [Note]: 7006 0
01/01/09 21:12:36 [Note]: 7011 1376
01/01/09 21:12:36 [Note]: 7035 0
01/01/09 21:12:36 [Note]: 7026 0
01/01/09 21:12:36 [Note]: 7026 0
01/01/09 21:12:39 [Note]: FSRAW library version 1.7.1024
01/01/09 21:12:46 [Note]: 2000 1012
01/01/09 21:13:06 [Note]: 7007 0

Code:

ATTFilter

ComboFix 08-12-31.01 - **** 2009-01-01 21:47:24.1 - NTFSx86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.1.1031.18.447.158 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\****\Desktop\WAR\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\****\Desktop\WAR\WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat
c:\windows\system32\drivers\msqpdxmhltoiqn.sys
c:\windows\system32\drivers\msqpdxserv.sys
c:\windows\system32\msqpdxorvdhrsr.dll

----- BITS: Eventuell infizierte Webseiten -----

hxxp://drm.wippiespace.com
.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_MSQPDXSERV.SYS
-------\Legacy_MSQPDXSERV.SYS
-------\Legacy_SVCHOST


(((((((((((((((((((((((   Dateien erstellt von 2008-12-01 bis 2009-01-01  ))))))))))))))))))))))))))))))
.

2008-12-29 19:02 . 2008-12-29 19:02	<DIR>	d--------	c:\programme\Malwarebytes' Anti-Malware
2008-12-29 19:02 . 2008-12-29 19:02	<DIR>	d--------	c:\dokumente und einstellungen\****\Anwendungsdaten\Malwarebytes
2008-12-29 19:02 . 2008-12-29 19:02	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-12-29 19:02 . 2008-12-03 19:52	38,496	--a------	c:\windows\system32\drivers\mbamswissarmy.sys
2008-12-29 19:02 . 2008-12-03 19:52	15,504	--a------	c:\windows\system32\drivers\mbam.sys
2008-12-29 17:41 . 2009-01-01 20:26	<DIR>	d--------	c:\programme\Panda Security
2008-12-29 15:24 . 2008-12-29 15:24	<DIR>	d--------	C:\FEINDFLUG___HINTER_FEINDLICHEN_L
2008-12-29 12:51 . 2008-12-29 13:28	<DIR>	d--------	c:\dokumente und einstellungen\****\DoctorWeb
2008-12-29 11:00 . 2008-12-29 11:44	123	--a------	c:\windows\wininit.ini
2008-12-29 10:26 . 2009-01-01 20:34	<DIR>	d--------	c:\programme\Spybot - Search & Destroy
2008-12-29 10:26 . 2009-01-01 19:42	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-12-28 17:57 . 2009-01-01 20:34	<DIR>	d--------	c:\programme\Trojancheck 6
2008-12-20 15:06 . 2008-12-20 15:06	<DIR>	d--------	c:\dokumente und einstellungen\****\Anwendungsdaten\CyberLink
2008-12-16 19:40 . 2008-12-18 13:47	<DIR>	d--------	c:\programme\PDFCreator
2008-12-16 19:40 . 1998-07-06 18:55	158,208	--a------	c:\windows\system32\MSCMCDE.DLL
2008-12-16 19:40 . 1998-06-24 01:00	137,000	--a------	c:\windows\system32\MSMAPI32.OCX
2008-12-16 19:40 . 1998-07-06 18:56	125,712	--a------	c:\windows\system32\VB6DE.DLL
2008-12-16 19:40 . 2001-10-28 17:42	116,224	--a------	c:\windows\system32\pdfcmnnt.dll
2008-12-16 19:40 . 1998-07-06 18:55	64,512	--a------	c:\windows\system32\MSCC2DE.DLL
2008-12-16 19:40 . 1998-07-06 01:00	23,552	--a------	c:\windows\system32\MSMPIDE.DLL
2008-12-15 15:56 . 2008-12-15 16:01	<DIR>	d--------	C:\DVDVolume
2008-12-15 15:47 . 2008-12-15 15:47	<DIR>	d--------	c:\programme\DVD Shrink DE
2008-12-15 15:47 . 2008-12-29 15:20	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\DVD Shrink
2008-12-15 15:39 . 2008-12-15 15:39	<DIR>	d--------	c:\programme\DVD Decrypter
2008-12-15 15:32 . 2008-12-15 16:01	<DIR>	d--------	c:\dokumente und einstellungen\****\Anwendungsdaten\RipIt4Me
2008-12-14 19:51 . 2008-12-14 19:51	<DIR>	d--------	c:\programme\AviSynth 2.5
2008-12-14 19:51 . 2008-12-14 19:51	43,698	--a------	c:\windows\system32\xvid-uninstall.exe
2008-12-14 19:50 . 2008-12-14 19:50	<DIR>	d--------	c:\programme\Gabest
2008-12-14 19:50 . 2008-12-14 19:51	<DIR>	d--------	c:\programme\AutoGK
2008-12-13 20:42 . 2008-12-26 15:16	<DIR>	d--------	c:\programme\CCleaner
2008-12-13 16:57 . 2008-12-13 16:57	18,432	--a------	c:\windows\instsrv.exe
2008-12-13 16:57 . 2008-12-13 16:57	15,360	--a------	c:\windows\srvany.exe
2008-12-11 22:07 . 2008-12-11 22:09	<DIR>	d--------	c:\programme\mkvtoavi

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-01 20:32	---------	d-----w	c:\dokumente und einstellungen\****\Anwendungsdaten\TeraCopy
2009-01-01 19:29	---------	d-----w	c:\programme\Yahoo!
2008-12-29 13:55	---------	d-----w	c:\programme\Free MSN Emoticons Pack 2
2008-12-29 13:55	---------	d-----w	c:\programme\Free MSN Emoticons Pack 1
2008-12-26 22:34	---------	d-----w	c:\dokumente und einstellungen\****\Anwendungsdaten\LimeWire
2008-12-21 14:53	---------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software
2008-12-20 14:06	---------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\CyberLink
2008-12-18 12:47	---------	d-----w	c:\dokumente und einstellungen\****\Anwendungsdaten\Canon
2008-12-18 11:52	---------	d-----w	c:\programme\TuneUp Utilities 2007
2008-12-13 12:45	---------	d-----w	c:\programme\Mp3tag
2008-12-07 13:22	---------	d-----w	c:\programme\Java
2008-11-28 13:52	---------	d-----w	c:\programme\PopCap Games
2008-11-26 17:56	---------	d-----w	c:\programme\Gemeinsame Dateien\DVDVideoSoft
2008-11-26 17:56	---------	d-----w	c:\programme\DVDVideoSoft
2008-11-13 18:38	3,532	----a-w	C:\drmHeader.bin
2008-11-13 18:37	---------	d-----w	c:\programme\Xvid
2008-11-12 18:33	---------	d-----w	c:\programme\DivX
2008-11-10 19:33	---------	d-----w	c:\programme\Rema Fahrschule
2008-11-09 16:36	---------	d--h--w	c:\programme\InstallShield Installation Information
2008-05-13 15:23	32,768	--sha-w	c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008051320080514\index.dat
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"PcSync"="c:\programme\Nokia\Nokia PC Suite 6\PcSync2.exe" [2006-06-19 1449984]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LaunchApp"="Alaunch" [X]
"ntiMUI"="c:\programme\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe" [2005-05-12 45056]
"RemoteControl"="c:\programme\CyberLink\PowerDVD\PDVDServ.exe" [2004-11-03 32768]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-04 208952]
"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-04 59392]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 455168]
"Acer Empowering Technology Monitor"="c:\windows\system32\SysMonitor.exe" [2006-04-18 49152]
"AspireService"="c:\programme\Acer\Acer eMode Management\AspireService.exe" [2006-06-09 110592]
"MediaSync"="c:\programme\Acer\Acer eConsole\MediaSync.exe" [2006-05-04 425984]
"PCMService"="c:\program files\Acer TV-FM\PCMService.exe" [2006-03-29 143360]
"eRecoveryService"="c:\acer\Empowering Technology\eRecovery\eRAgent.exe" [2006-06-01 413696]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-18 266497]
"PCSuiteTrayApplication"="c:\progra~1\Nokia\NOKIAP~1\LAUNCH~1.EXE" [2006-06-15 229376]
"CanonSolutionMenu"="c:\programme\Canon\SolutionMenu\CNSLMAIN.exe" [2007-05-15 644696]
"CanonMyPrinter"="c:\programme\Canon\MyPrinter\BJMyPrt.exe" [2007-04-04 1603152]
"CTCheck"="c:\programme\Creative\Creative ZEN\ZEN Media Explorer\CTCheck.exe" [2007-11-06 397312]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2008-09-06 413696]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-09-11 185896]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2008-11-10 136600]
"SiSPower"="SiSPower.dll" [2005-07-13 c:\windows\system32\SiSPower.dll]
"SoundMan"="SOUNDMAN.EXE" [2005-08-16 c:\windows\SOUNDMAN.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"DWQueuedReporting"="c:\progra~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe" [2007-03-13 39264]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Acer Empowering Technology.lnk - c:\acer\Empowering Technology\Acer.Empowering.Framework.Launcher.exe [2007-06-12 45056]
Acer WLAN 11g USB Dongle.lnk - c:\programme\Acer WLAN 11g USB Dongle\ZDWlan.exe [2005-11-16 745472]
Microsoft Office.lnk - c:\programme\Microsoft Office\Office\OSA9.EXE [1999-02-17 65588]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Acer TV-FM\\PowerCinema.exe"=
"c:\\Program Files\\Acer TV-FM\\PCMService.exe"=
"c:\\WINDOWS\\system32\\usmt\\migwiz.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\livecall.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"57094:TCP"= 57094:TCP:Pando P2P TCP Listening Port
"57094:UDP"= 57094:UDP:Pando P2P UDP Listening Port


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\P]
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL resycled\boot.com s:
\Shell\Open\command - p:\resycled\boot.com s:

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\Q]
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL resycled\boot.com s:
\Shell\Open\command - q:\resycled\boot.com s:

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\S]
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL resycled\boot.com s:
\Shell\Open\command - s:\resycled\boot.com s:

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\U]
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL resycled\boot.com z:
\Shell\Open\command - u:\resycled\boot.com z:

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\V]
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL resycled\boot.com s:
\Shell\Open\command - v:\resycled\boot.com s:

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\Z]
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL resycled\boot.com z:
\Shell\Open\command - z:\resycled\boot.com z:
.
Inhalt des "geplante Tasks" Ordners

2008-12-26 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2007\SystemOptimizer.exe [2007-04-27 05:08]

2008-12-25 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.gogle.ch/
uSearchMigratedDefaultURL = hxxp://search.yahoo.com/search?p={searchTerms}&ei=utf-8&fr=b1ie7
uSearchURL,(Default) = hxxp://de.rd.yahoo.com/customize/ycomp/defaults/su/*http://de.yahoo.com
IE: Easy-WebPrint - Drucken - c:\programme\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
IE: Easy-WebPrint - Schnelldruck - c:\programme\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
IE: Easy-WebPrint - Vorschau - c:\programme\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
IE: Easy-WebPrint - Zu Druckliste hinzufügen - c:\programme\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
FF - ProfilePath - c:\dokumente und einstellungen\Fabian\Anwendungsdaten\Mozilla\Firefox\Profiles\w4dp2421.default\
FF - prefs.js: browser.startup.homepage - www.google.ch
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nppl3260.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprjplug.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprpjplug.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\nppopcaploader.dll

ATTENTION: FIREFOX POLICES IS IN FORCE 
FF - user.js: general.useragent.extra.zencast - Creative ZENcast v2.00.13
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: content.max.tokenizing.time - 200000
FF - user.js: content.notify.interval - 100000
FF - user.js: content.switch.threshold - 650000
FF - user.js: nglayout.initialpaint.delay - 300
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-01 21:51:51
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- LOCKED REGISTRY KEYS ---------------------

[HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\h*NULL*a*NULL*u*NULL*s*NULL*a*NULL*u*NULL*f*NULL*g*NULL*a*NULL*b*NULL*e*NULL*n*NULL*â*NULL*¬  r*NULL*e*NULL*f*NULL*e*NULL*r*NULL*a*NULL*t*NULL*e*NULL*.*NULL*d*NULL*e*NULL*]
@Owner=S-1-5-21-1970826379-655188448-1167419600-1006
"*"=dword:00000004

[HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\EscDomains\h*NULL*a*NULL*u*NULL*s*NULL*a*NULL*u*NULL*f*NULL*g*NULL*a*NULL*b*NULL*e*NULL*n*NULL*â*NULL*¬  r*NULL*e*NULL*f*NULL*e*NULL*r*NULL*a*NULL*t*NULL*e*NULL*.*NULL*d*NULL*e*NULL*]
@Security="Inherited"
"*"=dword:00000004

[HKEY_USERS\S-1-5-21-1970826379-655188448-1167419600-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\h*NULL*a*NULL*u*NULL*s*NULL*a*NULL*u*NULL*f*NULL*g*NULL*a*NULL*b*NULL*e*NULL*n*NULL*â*NULL*¬  r*NULL*e*NULL*f*NULL*e*NULL*r*NULL*a*NULL*t*NULL*e*NULL*.*NULL*d*NULL*e*NULL*]
@Security=(SE_DACL_PRESENT SE_SELF_RELATIVE (@Owner @Group @DACL)
@Owner=S-1-5-21-1970826379-655188448-1167419600-1006
@Allowed: (Full) (S-1-5-21-1970826379-655188448-1167419600-1006)
@Allowed: (Full) (S-1-5-21-1970826379-655188448-1167419600-1006)
@Allowed: (Full) (LocalSystem)
@Allowed: (Full) (LocalSystem)
@Allowed: (Full) (Administrators)
@Allowed: (Full) (Administrators)
@Allowed: (Read) (S-1-5-12)
@Allowed: (Read) (S-1-5-12)
"*"=dword:00000004

[HKEY_USERS\S-1-5-21-1970826379-655188448-1167419600-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\EscDomains\h*NULL*a*NULL*u*NULL*s*NULL*a*NULL*u*NULL*f*NULL*g*NULL*a*NULL*b*NULL*e*NULL*n*NULL*â*NULL*¬  r*NULL*e*NULL*f*NULL*e*NULL*r*NULL*a*NULL*t*NULL*e*NULL*.*NULL*d*NULL*e*NULL*]
@Security="Inherited"
"*"=dword:00000004

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\h*NULL*a*NULL*u*NULL*s*NULL*a*NULL*u*NULL*f*NULL*g*NULL*a*NULL*b*NULL*e*NULL*n*NULL*â*NULL*¬  r*NULL*e*NULL*f*NULL*e*NULL*r*NULL*a*NULL*t*NULL*e*NULL*.*NULL*d*NULL*e*NULL*]
@Owner=S-1-5-21-1970826379-655188448-1167419600-1006
"*"=dword:00000004

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\EscDomains\h*NULL*a*NULL*u*NULL*s*NULL*a*NULL*u*NULL*f*NULL*g*NULL*a*NULL*b*NULL*e*NULL*n*NULL*â*NULL*¬  r*NULL*e*NULL*f*NULL*e*NULL*r*NULL*a*NULL*t*NULL*e*NULL*.*NULL*d*NULL*e*NULL*]
@Security="Inherited"
"*"=dword:00000004
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
c:\programme\Acer\Acer eConsole\MediaServerService.exe
c:\acer\Empowering Technology\ePerformance\MemCheck.exe
c:\programme\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\program files\Acer TV-FM\Kernel\TV\CLCapSvc.exe
c:\windows\system32\CTSVCCDA.EXE
c:\program files\Acer TV-FM\Kernel\CLML_NTService\CLMLServer.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\program files\Acer TV-FM\Kernel\TV\CLSched.exe
c:\progra~1\GEMEIN~1\Nokia\MPAPI\MPAPI3s.exe
c:\programme\PC Connectivity Solution\ServiceLayer.exe
c:\programme\PC Connectivity Solution\Transports\NclUSBSrv.exe
c:\programme\PC Connectivity Solution\Transports\NclRSSrv.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-01-01 21:54:50 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2009-01-01 20:54:45

Vor Suchlauf: 23 Verzeichnis(se), 20,213,587,968 Bytes frei
Nach Suchlauf: 23 Verzeichnis(se), 20,233,396,224 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

250	--- E O F ---	2008-12-12 18:12:51

Trojanerbefall, Windows Update wird auf msn.com umgeleitet etc. PC spinnt...

Log-Analyse und Auswertung: Trojanerbefall, Windows Update wird auf msn.com umgeleitet etc. PC spinnt...