Probleme bei endgültiger Entfernung von tdss Trojaner

Micha1959 · 03.01.2009, 16:24

Soooooooo

alles nach Anweisung gemacht :-)

Log mbam:

Malwarebytes' Anti-Malware 1.31
Datenbank Version: 1600
Windows 5.1.2600 Service Pack 3

03.01.2009 13:05:39
mbam-log-2009-01-03 (13-05-30).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|F:\|)
Durchsuchte Objekte: 122522
Laufzeit: 35 minute(s), 30 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 4

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\videosoft (Trojan.DNSChanger) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\resycled (Trojan.DNSChanger) -> No action taken.

Infizierte Dateien:
C:\WINDOWS\system32\msqpdxkkylalnh.dll (Trojan.TDSS) -> No action taken.
C:\resycled\boot.com (Trojan.DNSChanger) -> No action taken.
C:\WINDOWS\system32\drivers\msqpdxcnqrpoht.sys (Trojan.Agent) -> No action taken.
C:\WINDOWS\Temp\tempo-D55.tmp (Trojan.DNSChanger) -> No action taken.

und hier der log von combofix:

ComboFix 09-01-01.02 - Michael 2009-01-03 16:15:24.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.2038.1529 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Michael\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\Mlkf.dll

.
((((((((((((((((((((((( Dateien erstellt von 2008-12-03 bis 2009-01-03 ))))))))))))))))))))))))))))))
.

2009-01-03 16:06 . 2009-01-03 16:06 <DIR> d-------- c:\programme\CCleaner
2009-01-03 13:45 . 2006-03-03 08:07 143,360 --a------ c:\windows\system32\dunzip32.dll
2009-01-03 13:45 . 2009-01-03 15:45 6,381 --a------ c:\windows\system32\Config.MPF
2009-01-03 13:41 . 2007-11-22 06:44 201,320 --a------ c:\windows\system32\drivers\mfehidk.sys
2009-01-03 13:41 . 2007-07-13 06:20 113,952 --a------ c:\windows\system32\drivers\Mpfp.sys
2009-01-03 13:41 . 2007-11-22 06:44 79,304 --a------ c:\windows\system32\drivers\mfeavfk.sys
2009-01-03 13:41 . 2007-12-02 12:51 40,488 --a------ c:\windows\system32\drivers\mfesmfk.sys
2009-01-03 13:41 . 2007-11-22 06:44 35,240 --a------ c:\windows\system32\drivers\mfebopk.sys
2009-01-03 13:41 . 2007-11-22 06:44 33,832 --a------ c:\windows\system32\drivers\mferkdk.sys
2009-01-03 13:40 . 2009-01-03 13:40 <DIR> d-------- c:\programme\McAfee.com
2009-01-03 13:40 . 2009-01-03 13:41 <DIR> d-------- c:\programme\Gemeinsame Dateien\McAfee
2009-01-03 11:21 . 2009-01-03 11:21 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2009-01-03 11:21 . 2009-01-03 11:21 <DIR> d-------- c:\dokumente und einstellungen\Michael\Anwendungsdaten\Malwarebytes
2009-01-03 11:21 . 2009-01-03 11:21 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-01-03 11:21 . 2008-12-03 19:52 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-01-03 11:21 . 2008-12-03 19:52 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-01-02 11:49 . 2009-01-02 11:49 <DIR> d-------- c:\dokumente und einstellungen\Michael\Anwendungsdaten\Windows Search
2008-12-29 17:39 . 2008-12-29 18:03 <DIR> d-------- C:\xxx
2008-12-26 16:12 . 2008-12-31 20:13 <DIR> d-------- C:\divx
2008-12-26 15:52 . 2008-12-26 15:53 <DIR> d-------- c:\programme\DivX
2008-12-26 14:39 . 2008-12-26 14:39 <DIR> d-------- c:\dokumente und einstellungen\Michael\Anwendungsdaten\DivX
2008-12-26 14:27 . 2009-01-03 14:38 125 --a------ c:\windows\system32\mslck.dat
2008-12-26 14:10 . 2008-12-26 14:29 <DIR> d-------- c:\programme\FolderAccess
2008-12-26 14:10 . 2004-02-01 22:54 569,368 --a------ c:\windows\system32\olelib.tlb
2008-12-26 14:10 . 2003-05-14 21:07 389,120 --a------ c:\windows\system32\actskn43.ocx
2008-12-26 14:10 . 1998-04-24 00:00 368,912 --a------ c:\windows\system32\vbar332.dll
2008-12-26 14:10 . 2002-07-26 17:02 153,088 --a------ c:\windows\system32\fldlckun.exe
2008-12-26 14:10 . 2001-03-13 14:49 140,288 --a------ c:\windows\system32\COMDLG32.OCX
2008-12-26 14:10 . 1997-05-21 09:51 34,304 --a------ c:\windows\system32\ntsvc.ocx
2008-12-26 10:44 . 2008-12-26 10:44 244 --ah----- C:\sqmnoopt11.sqm
2008-12-26 10:44 . 2008-12-26 10:44 232 --ah----- C:\sqmdata11.sqm
2008-12-23 06:41 . 2008-12-23 06:41 244 --ah----- C:\sqmnoopt10.sqm
2008-12-23 06:41 . 2008-12-23 06:41 232 --ah----- C:\sqmdata10.sqm
2008-12-20 16:00 . 2008-12-20 16:00 <DIR> d-------- c:\dokumente und einstellungen\Michael\Anwendungsdaten\Samsung
2008-12-19 13:16 . 2008-12-19 13:16 244 --ah----- C:\sqmnoopt09.sqm
2008-12-19 13:16 . 2008-12-19 13:16 232 --ah----- C:\sqmdata09.sqm
2008-12-19 06:46 . 2008-12-19 06:46 244 --ah----- C:\sqmnoopt08.sqm
2008-12-19 06:46 . 2008-12-19 06:46 232 --ah----- C:\sqmdata08.sqm
2008-12-18 17:10 . 2008-12-18 17:10 244 --ah----- C:\sqmnoopt07.sqm
2008-12-18 17:10 . 2008-12-18 17:10 232 --ah----- C:\sqmdata07.sqm
2008-12-17 17:16 . 2008-12-17 17:16 244 --ah----- C:\sqmnoopt06.sqm
2008-12-17 17:16 . 2008-12-17 17:16 232 --ah----- C:\sqmdata06.sqm
2008-12-13 22:46 . 2008-12-13 22:46 244 --ah----- C:\sqmnoopt05.sqm
2008-12-13 22:46 . 2008-12-13 22:46 232 --ah----- C:\sqmdata05.sqm
2008-12-13 17:09 . 2008-12-13 17:09 477 --a------ C:\Verknüpfung mit Michael an Inspirion6400.lnk
2008-12-13 17:00 . 2008-12-25 18:11 <DIR> d-------- C:\Tauschordner
2008-12-13 10:19 . 2008-12-13 10:19 244 --ah----- C:\sqmnoopt04.sqm
2008-12-13 10:19 . 2008-12-13 10:19 232 --ah----- C:\sqmdata04.sqm
2008-12-12 22:15 . 2008-12-12 22:15 <DIR> d-------- c:\windows\system32\QuickTime
2008-12-12 22:15 . 2008-12-12 22:15 <DIR> d-------- c:\windows\system32\custom matrices
2008-12-12 22:15 . 2008-12-12 22:15 <DIR> d-------- c:\windows\system32\C2MP
2008-12-12 06:32 . 2008-12-12 06:32 244 --ah----- C:\sqmnoopt03.sqm
2008-12-12 06:32 . 2008-12-12 06:32 232 --ah----- C:\sqmdata03.sqm
2008-12-11 23:21 . 2008-12-11 23:21 244 --ah----- C:\sqmnoopt02.sqm
2008-12-11 23:21 . 2008-12-11 23:21 232 --ah----- C:\sqmdata02.sqm
2008-12-11 21:15 . 2008-12-11 21:15 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Messenger Plus!
2008-12-11 21:15 . 2008-12-11 21:15 244 --ah----- C:\sqmnoopt01.sqm
2008-12-11 21:15 . 2008-12-11 21:15 232 --ah----- C:\sqmdata01.sqm
2008-12-11 19:51 . 2008-12-11 19:51 <DIR> d-------- c:\programme\Windows Media Connect 2
2008-12-11 19:49 . 2008-12-11 19:49 <DIR> d-------- c:\windows\system32\LogFiles
2008-12-11 19:49 . 2008-12-11 19:50 <DIR> d-------- c:\windows\system32\drivers\UMDF
2008-12-10 18:51 . 2008-12-10 18:51 410,984 --a------ c:\windows\system32\deploytk.dll
2008-12-10 18:51 . 2008-12-10 18:51 73,728 --a------ c:\windows\system32\javacpl.cpl
2008-12-07 13:14 . 2008-12-07 13:14 <DIR> d-------- c:\programme\Microsoft Encarta
2008-12-07 13:13 . 2008-12-07 13:13 <DIR> d-------- c:\programme\Microsoft Picture It! 9
2008-12-07 12:20 . 2008-12-07 12:20 <DIR> d-------- c:\programme\Microsoft Works Suite 2004
2008-12-06 23:53 . 2008-12-06 23:53 <DIR> d-------- c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\Intel
2008-12-06 23:53 . 2008-12-06 23:53 <DIR> d-------- c:\dokumente und einstellungen\LocalService\Anwendungsdaten\Intel
2008-12-06 23:53 . 2008-12-06 23:53 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Intel
2008-12-06 23:15 . 2008-12-06 23:15 <DIR> d-------- c:\dokumente und einstellungen\Michael\Anwendungsdaten\Intel
2008-12-06 23:15 . 2008-12-06 23:15 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Intel
2008-12-06 23:06 . 2008-12-06 23:08 3,012 --a------ C:\WirelessDiagLog.csv
2008-12-06 20:49 . 2008-12-06 20:49 <DIR> d-------- c:\programme\MSXML 4.0
2008-12-06 19:22 . 2006-05-03 22:53 174,592 --a------ c:\windows\system32\framedyn.dll
2008-12-06 19:21 . 2008-12-06 20:11 5,632 --a------ c:\windows\system32\drivers\StarOpen.sys
2008-12-06 19:16 . 2008-12-06 19:22 <DIR> d-------- c:\windows\system32\Samsung_USB_Drivers
2008-12-06 19:16 . 2008-12-06 19:16 <DIR> d-------- c:\programme\Samsung
2008-12-06 19:16 . 2007-05-02 11:11 109,704 --a------ c:\windows\system32\drivers\ss_mdm.sys
2008-12-06 19:16 . 2007-05-02 11:11 83,592 --a------ c:\windows\system32\drivers\ss_bus.sys
2008-12-06 19:16 . 2007-05-02 11:11 15,112 --a------ c:\windows\system32\drivers\ss_mdfl.sys
2008-12-06 19:16 . 2007-05-02 11:11 12,424 --a------ c:\windows\system32\drivers\ss_whnt.sys
2008-12-06 19:16 . 2007-05-02 11:11 12,424 --a------ c:\windows\system32\drivers\ss_wh.sys
2008-12-06 19:16 . 2007-05-02 11:11 12,424 --a------ c:\windows\system32\drivers\ss_cmnt.sys
2008-12-06 19:16 . 2007-05-02 11:11 12,424 --a------ c:\windows\system32\drivers\ss_cm.sys
2008-12-06 19:16 . 2005-08-28 20:51 766 --a------ c:\windows\system32\Uninstall.ico
2008-12-06 13:00 . 2008-12-06 13:01 <DIR> d-------- c:\programme\Printkey
2008-12-05 23:09 . 2008-12-05 23:09 <DIR> d-------- c:\programme\eBay
2008-12-05 23:09 . 2008-12-05 23:09 <DIR> d-------- c:\dokumente und einstellungen\All Users\eBay
2008-12-05 22:53 . 2008-12-05 22:53 <DIR> d-------- c:\dokumente und einstellungen\Michael\Anwendungsdaten\Ashampoo
2008-12-05 22:42 . 2008-06-02 13:10 1,363,968 --a------ c:\windows\system32\HDX4H263Decoder.ax
2008-12-05 22:42 . 2008-06-02 13:10 167,936 --a------ c:\windows\system32\HDX4FlashDemuxer.ax
2008-12-05 22:41 . 2008-12-05 22:42 <DIR> d-------- c:\programme\Ashampoo
2008-12-05 22:34 . 2009-01-02 11:41 <DIR> d-------- c:\programme\Opera
2008-12-05 22:16 . 2008-12-05 22:16 <DIR> d-------- C:\DVDVideoSoft
2008-12-05 22:15 . 2008-12-05 22:16 <DIR> d-------- c:\programme\Gemeinsame Dateien\DVDVideoSoft
2008-12-05 22:15 . 2008-12-05 22:15 <DIR> d-------- c:\programme\DVDVideoSoft
2008-12-05 22:15 . 2002-01-05 14:37 344,064 --a------ c:\windows\system32\msvcr70.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-03 12:47 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\McAfee
2009-01-03 12:46 --------- d-----w c:\programme\McAfee
2008-12-29 13:52 --------- d-----w c:\programme\Yahoo!
2008-12-29 13:52 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Yahoo!
2008-12-10 18:02 --------- d-----w c:\programme\ICQ6
2008-12-10 18:02 --------- d-----w c:\dokumente und einstellungen\Michael\Anwendungsdaten\ICQ
2008-12-10 17:51 --------- d-----w c:\programme\Java
2008-12-07 13:40 --------- d-----w c:\programme\Microsoft Works
2008-12-06 23:19 --------- d-----w c:\programme\Intel
2008-12-06 21:58 684,032 ----a-w c:\windows\system32\NETw4c32.dll
2008-12-06 21:58 2,772,992 ----a-w c:\windows\system32\NETw4r32.dll
2008-12-06 21:58 2,530,176 ----a-w c:\windows\system32\drivers\NETw4x32.sys
2008-12-06 18:21 --------- d--h--w c:\programme\InstallShield Installation Information
2008-12-06 12:02 --------- d-----w c:\programme\UltraVNC
2008-11-22 12:29 --------- d-----w c:\dokumente und einstellungen\Michael\Anwendungsdaten\IsolatedStorage
2008-11-22 12:27 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\PowerQuest
2008-11-22 12:23 --------- d-----w c:\programme\PowerQuest
2008-11-22 12:21 --------- d-----w c:\programme\Gemeinsame Dateien\InstallShield
2008-11-22 12:21 --------- d-----w c:\dokumente und einstellungen\Michael\Anwendungsdaten\Windows Desktop Search
2008-11-22 12:15 --------- d-----w c:\programme\Windows Desktop Search
2008-11-22 10:59 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-11-22 10:55 --------- d-----w c:\programme\Microsoft.NET
2008-11-22 10:53 --------- d-----w c:\programme\Microsoft Visual Studio 8
2008-11-22 10:45 --------- d-----w c:\programme\NOS
2008-11-22 10:45 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\NOS
2008-11-22 10:17 --------- d-----w c:\programme\CDBurnerXP
2008-11-22 10:17 --------- d-----w c:\dokumente und einstellungen\Michael\Anwendungsdaten\Canneverbe_Limited
2008-11-22 10:09 --------- d-----w c:\programme\Reference Assemblies
2008-11-22 10:09 --------- d-----w c:\programme\MSBuild
2008-11-22 10:08 253,139 ----a-w c:\windows\PDFCreator_Toolbar_Uninstaller_2625.exe
2008-11-22 10:08 --------- d-----w c:\programme\PDFCreator Toolbar
2008-11-22 10:08 --------- d-----w c:\programme\PDFCreator
2008-11-22 09:59 --------- d-----w c:\programme\Gemeinsame Dateien\Adobe
2008-11-22 08:54 --------- d-----w c:\programme\Messenger Plus! Live
2008-11-21 21:47 524,288 ----a-w c:\windows\system32\DivXsm.exe
2008-11-21 21:47 3,596,288 ----a-w c:\windows\system32\qt-dx331.dll
2008-11-21 21:46 200,704 ----a-w c:\windows\system32\ssldivx.dll
2008-11-21 21:46 1,044,480 ----a-w c:\windows\system32\libdivx.dll
2008-11-21 21:44 161,096 ----a-w c:\windows\system32\DivXCodecVersionChecker.exe
2008-11-21 21:44 12,288 ----a-w c:\windows\system32\DivXWMPExtType.dll
2008-11-21 20:21 --------- d-----w c:\dokumente und einstellungen\LocalService\Anwendungsdaten\SACore
2008-11-21 20:18 --------- d-----w c:\programme\Windows Live
2008-11-21 17:26 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\SiteAdvisor
2008-11-21 17:16 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\McAfee.com
2008-11-21 16:30 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Citrix
2008-11-21 16:18 61,224 ----a-w c:\dokumente und einstellungen\Michael\GoToAssistDownloadHelper.exe
2008-11-21 16:06 --------- d-----w c:\dokumente und einstellungen\Michael\Anwendungsdaten\McAfee
2008-11-21 16:02 --------- d-----w c:\dokumente und einstellungen\Michael\Anwendungsdaten\McAfee.com Personal Firewall
2008-11-21 15:54 --------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\McAfee.com Personal Firewall
2008-11-21 15:53 --------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\InstallShield
2008-11-21 15:52 --------- d-----w c:\dokumente und einstellungen\LocalService\Anwendungsdaten\McAfee.com Personal Firewall
2008-11-21 15:31 --------- d-----w c:\programme\7-Zip
2008-11-21 15:06 5 ----a-w c:\windows\system32\drivers\DELL_XPS_MM061 .MRK
2008-11-21 15:06 5 ----a-w c:\windows\system32\drivers\1028_DELL_XPS_MM061 .MRK
2008-11-21 15:04 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Dell
2008-11-21 15:02 --------- d-----w c:\programme\Broadcom
2008-11-21 14:58 --------- d-----w c:\dokumente und einstellungen\Michael\Anwendungsdaten\InstallShield
2008-11-21 14:57 --------- d-----w c:\programme\Digital Line Detect
2008-11-21 14:57 --------- d-----w c:\programme\CONEXANT
2008-11-21 14:56 --------- d-----w c:\programme\DIFX
2008-11-21 14:53 --------- d-----w c:\programme\SigmaTel
2008-11-21 14:52 --------- d-----w c:\programme\Creative
2008-11-21 14:31 --------- d-----w c:\windows\system32\config\systemprofile\Anwendungsdaten\Intel
2008-11-20 20:12 --------- d-----w c:\programme\Dell
2008-11-20 19:52 5 ----a-w c:\windows\system32\drivers\DELL__.MRK
2008-11-20 19:52 5 ----a-w c:\windows\system32\drivers\1028_DELL__.MRK
2008-11-20 18:50 --------- d-----w c:\programme\Gemeinsame Dateien\Java
2008-11-20 18:37 --------- d-----w c:\programme\Synaptics
2008-11-20 17:33 --------- d-----w c:\programme\GemMasterGerman
2008-11-20 17:07 --------- d-----w c:\programme\microsoft frontpage
2008-11-20 17:04 --------- d-----w c:\programme\Online-Dienste
2008-11-20 17:03 --------- d-----w c:\programme\Gemeinsame Dateien\Dienste
2008-11-20 17:00 --------- d-----w c:\programme\Windows Plus
2008-11-05 11:23 49,152 ----a-r c:\windows\system32\inetwh32.dll
2008-11-05 11:23 1,044,480 ----a-r c:\windows\system32\roboex32.dll
2008-10-23 12:36 286,720 ----a-w c:\windows\system32\gdi32.dll
2008-10-16 20:04 826,368 ----a-w c:\windows\system32\wininet.dll
2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll
2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll
2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll
2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll
2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll
2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe
2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll
2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll
2008-10-03 10:03 247,326 ----a-w c:\windows\system32\strmdll.dll
2008-12-17 22:34 67,688 ----a-w c:\programme\mozilla firefox\components\jar50.dll
2008-12-17 22:34 54,368 ----a-w c:\programme\mozilla firefox\components\jsd3250.dll
2008-12-17 22:34 34,944 ----a-w c:\programme\mozilla firefox\components\myspell.dll
2008-12-17 22:34 46,712 ----a-w c:\programme\mozilla firefox\components\spellchk.dll
2008-12-17 22:34 172,136 ----a-w c:\programme\mozilla firefox\components\xpinstal.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ShowLOMControl"="1 (0x1)" [X]
"ehTray"="c:\windows\ehome\ehtray.exe" [2005-08-05 64512]
"Broadcom Wireless Manager UI"="c:\windows\system32\WLTRAY.exe" [2005-12-19 1347584]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2006-03-08 761947]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2008-12-10 136600]
"Dell QuickSet"="c:\programme\Dell\QuickSet\quickset.exe" [2007-05-14 1191936]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-03-30 138008]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-03-30 162584]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-03-30 138008]
"CTSVolFE.exe"="c:\programme\Creative\Mixer\CTSVolFE.exe" [2005-02-23 57344]
"SigmatelSysTrayApp"="c:\programme\SigmaTel\C-Major Audio\WDM\stsystra.exe" [2007-05-10 405504]
"MSKDetectorExe"="c:\programme\McAfee\SpamKiller\MSKDetct.exe" [2005-07-12 1117184]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"GrooveMonitor"="c:\programme\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-27 31016]
"Microsoft Works Update Detection"="c:\programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe" [2003-06-17 50688]
"mcagent_exe"="c:\programme\McAfee.com\Agent\mcagent.exe" [2007-11-01 582992]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2008-05-26 304128]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.ac3filter"= ac3filter.acm
"vidc.hfyu"= huffyuv.dll
"msacm.divxa32"= DivXa32.acm

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Programme\\ICQ6\\ICQ.exe"=
"c:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Programme\\Gemeinsame Dateien\\McAfee\\MNA\\McNASvc.exe"=

R0 PQV2i;PQV2i;c:\windows\system32\drivers\PQV2i.sys [2003-06-03 123957]
R1 PQIMount;PQIMount;c:\windows\system32\drivers\PQIMount.sys [2003-06-03 46900]
R2 McAfee SiteAdvisor Service;McAfee SiteAdvisor Service;"c:\programme\McAfee\SiteAdvisor\McSACore.exe" [2009-01-03 206112]
S2 0039531230986473mcinstcleanup;McAfee Application Installer Cleanup (0039531230986473);c:\dokume~1\Michael\LOKALE~1\Temp\003953~1.EXE c:\progra~1\GEMEIN~1\McAfee\INSTAL~1\cleanup.ini -cleanup -nolog -service []

*Newly Created Service* - 0039531230986473MCINSTCLEANUP
*Newly Created Service* - PROCEXP90
.
Inhalt des "geplante Tasks" Ordners

2009-01-03 c:\windows\Tasks\McDefragTask.job
- c:\progra~1\mcafee\mqc\QcConsol.exe [2007-12-04 13:32]

2009-01-03 c:\windows\Tasks\McQcTask.job
- c:\progra~1\mcafee\mqc\QcConsol.exe [2007-12-04 13:32]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
FF - ProfilePath - c:\dokumente und einstellungen\Michael\Anwendungsdaten\Mozilla\Firefox\Profiles\ax5sjxwu.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - component: c:\programme\McAfee\SiteAdvisor\components\McFFPlg.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-03 16:16:35
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2009-01-03 16:17:13
ComboFix-quarantined-files.txt 2009-01-03 15:17:11

Vor Suchlauf: 17 Verzeichnis(se), 15.210.930.176 Bytes frei
Nach Suchlauf: 17 Verzeichnis(se), 15,888,285,696 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Windows XP Media Center Edition" /noexecute=optin /fastdetect

298 --- E O F --- 2008-12-18 16:11:26

Ich weiß leider nicht wie man diese logfiles als scrollbares Fenster hier herein packt - sorry.

Gruß Micha

**Sunny** · 03.01.2009, 16:26

Ok, so weit so gut

Bitte das auch noch zur weiteren Analyse ausführen:

Blacklight scannen lassen

* Lade F-Secure Blacklight runter in einen eigenen Ordner, z.B. C:\programme\blacklight. Sollte der Download nicht klappen, dann probiere es mit diesem Link.
* Starte in diesem Ordner blbeta.exe. Alle anderen Programme schließen.
* Klick "I accept the agreement", "next", "Scan".
* Wenn der Scan fertig ist beende Blacklight mit "Close".
* Im Verzeichnis von Blacklight findest Du das erstellte Log fsbl-XXX.log, anstelle der XXX steht eine längere Folge von Ziffern.

Gmer scannen lassen

Lade dir Gmer von dieser Seite runter und entpacke es auf deinen Desktop.

Starte gmer.exe und gehe zum Tab Rootkit. Alle anderen Programme sollen geschlossen sein.

Stelle sicher, daß in der Leiste rechts alles von "System" bis "ADS" angehakt ist
(Wichtig: "Show all" darf nicht angehakt sein)

Starte den Durchlauf mit "Scan".

Mache nichts am Computer während der Scan läuft.

Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird GMER beendet.

Füge das Log aus der Zwischenablage in deine Antwort hier ein.

Micha1959 · 03.01.2009, 17:07

Hallo Sunny,

hier nun die ergebnisse von fsecure blacklight:

01/03/09 16:32:27 [Info]: BlackLight Engine 2.2.1092 initialized
01/03/09 16:32:27 [Info]: OS: 5.1 build 2600 (Service Pack 3)
01/03/09 16:32:27 [Note]: 7019 4
01/03/09 16:32:27 [Note]: 7005 0
01/03/09 16:33:32 [Note]: 7006 0
01/03/09 16:33:32 [Note]: 7011 3872
01/03/09 16:33:32 [Note]: 7035 0
01/03/09 16:33:32 [Note]: 7026 0
01/03/09 16:33:33 [Note]: 7026 0
01/03/09 16:33:35 [Note]: FSRAW library version 1.7.1024
01/03/09 16:39:46 [Note]: 7007 0

und von gmer:

kann ich weder als datei anhängen noch einfügen, weil zu groß :-(
und nun?

Gruß Micha

**Sunny** · 03.01.2009, 17:13

Lass das mit GMER, Blacklight hätte das Rootkit auch schon anzeigen müssen, sofern es überhaupt noch da wäre.

Hattest du im übrigen nach dem Scan von Malwarebytes auch alles entfernen lassen? Wenn nicht musst du den Scan nochmal wiederholen und alles entfernen was er findet!

In deinem Bericht stand nämlich das hier:

Zitat:

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\videosoft (Trojan.DNSChanger) -> No action taken.

Bitte das noch zu guter Letzt...

Kaspersky - Onlinescanner

Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware.

---> hier herunterladen => Kaspersky Online-Scanner
=> Hinweise zu älteren Versionen beachten!
=> Voraussetzung: Internet Explorer 6.0 oder höher
=> die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter
=> Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken
=> Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als
=> Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten
=> Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen

Micha1959 · 03.01.2009, 17:15

ja habe natürlich auf entfernen geklickt - kann es ja nochmal laufen lassen. dauert leider :-(

**Sunny** · 03.01.2009, 17:24

Zitat:

Zitat von Micha1959

ja habe natürlich auf entfernen geklickt - kann es ja nochmal laufen lassen. dauert leider :-(

Wenn du es entfernt hast dann ist doch alles in "Butter"..

Nur noch Kaspersky und dann sollte eigentlich alles wieder OK sein, sofern es deinerseits keine Probleme mehr gibt.

Micha1959 · 03.01.2009, 17:29

Ders Malware Scanner läuft schon - habe zwischenzeitlich nicht getestet ob mein System wieder einwandfrei geht. Ich konnte z.B. nicht auf die Eplus Seite.....
werde danach nochmal mit Kaspersky scannen und das Ergebniss posten - Vielen Dank erstmal

Probleme bei endgültiger Entfernung von tdss Trojaner

Plagegeister aller Art und deren Bekämpfung: Probleme bei endgültiger Entfernung von tdss Trojaner