ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Ich denke nicht dass das Brummen von der Software kommt, das sehen wir dann noch. War das schon immer oder erst seit dem es die Probleme gibt?

Dann sehen ob es sich verbessert hat.

Ne, das Problem mit dem brummen kam heute erst.

Ich kontne das Programm ComboFix von dem angegebenen Link nicht herunter laden und konnte es auch nicht über google bekommen. Könntest du es mir per Email schicken?

hier:
http://rapidshare.com/files/195658105/ComboFix.exe.html

Kleine Frage, wie schließt man G-Data komplett? Weil da sind nur Funktionen, wo man es deaktivieren kann, nicht aber ausschalten.

Genau wissen weis ich auch nicht, aber ich denke mal dass wenn du mit rechtsklick auf das symbol gehst dass dann schutz anhalten oder beenden oder deaktiviren steht.

Deaktivieren reicht auch.

Nun, das Problem ist, das auch dieses Programm nicht startet... -.-

Ich krieg die Kriese...

Eine Idee hab ich noch, ich hab ja eigentlich auch damit gerechnet dass Combofix nicht startet.

SDFix anwenden:

• Lade das SDFix von AndyManchesta herunter und speichere es auf deinem Desktop.
• Mach einen Doppelklick auf die Datei SDFix.exe, wähle installieren, um das Programm in seinen eigenen Ordner in C:\ zu entpacken:
  
• Starte deinen Rechner neu, diesmal in den abgesicherten Modus <= Hinweise beachten!
• Öffne den neu entstandenen SDFix Ordner, mach einen Doppelklick auf die RunThis.bat, um das Skript zu starten.
• Gib ein Y ein, um den Reinigungsprozess zu beginnen.
• Das Programm wird alle Trojaner Dienste und die dazugehörigen Registrierungseinträge löschen, die es findet.
• Nun wirst du darum gebeten, eine Taste zu drücken, damit dein Rechner neustarten kann.
• Drücke auf eine Taste. Jetzt wird dein Rechner neu aufgestartet.
• Wenn der Rechner neu aufgestartet ist, wird das Fixtool nocheinmal laufen, um den Reinigungsprozess zu vervollständigen.
• Wenn das Programm angibt, dass es beendet ist (Finished), drücke wieder auf irgendeine Taste, um das Skript zu beenden und deine Desktop Icons wieder zu laden.
• Wenn die Desktop Icons wieder da sind, wird das Skript ein Fenster öffnen und das Ergebnis als einen Report.txt im Ordner SDFix speichern.
• Kopiere den Inhalt dieses Report.txt und poste ihn, zusammen mit einem neuen HijackThis Logfile in deinem nächsten Posting.

Könntest du SDFix hochladen? Weil ich kanns wieder nicht runterladen ._.

Hier bitteschön:
RapidShare Webhosting + Webspace

benenne die datei in adsf.com um. Wenn das nicht klappt, dann versuche das Umbennen auch bei Combofix. Sollte das mit SDFix geklappt haben, dann lass Combofix ran und dann Malwarebytes und dann SUPERAntispyware .

Zitat:

SDFix

SDFix: Version 1.240
Run by Florian on 09.02.2009 at 23:01

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFix

Checking Services :

Name :
noskrnl.sys

Path :
\??\C:\WINDOWS\system32\noskrnl.sys

noskrnl.sys - Deleted



Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files :

Trojan Files Found:

C:\WINDOWS\NDNUNI~3.EXE - Deleted
C:\WINDOWS\system32\TDSSlxcp.dll - Deleted
C:\WINDOWS\system32\TDSSmtvd.dat - Deleted
C:\WINDOWS\system32\TDSSkkai.log - Deleted


Could Not Remove C:\WINDOWS\system32\TDSSoiqt.dll
Could Not Remove C:\WINDOWS\system32\TDSShrxx.dll
Could Not Remove C:\WINDOWS\system32\TDSSvkql.dll
Could Not Remove C:\WINDOWS\system32\TDSSxfmm.dll



Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-09 23:48:28
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

disk error: C:\WINDOWS\system32\config\system, 0
scanning hidden registry entries ...

disk error: C:\WINDOWS\system32\config\software, 0
disk error: C:\Dokumente und Einstellungen\Florian\ntuser.dat, 0
scanning hidden files ...

disk error: C:\WINDOWS\

please note that you need administrator rights to perform deep scan

Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\FRITZ!DSL\\FritzDsl.exe"="C:\\Programme\\FRITZ!DSL\\FritzDsl.exe:*:Enabled:FRITZ!web DSL"
"C:\\Programme\\Messenger\\msmsgs.exe"="C:\\Programme\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Programme\\Valve\\hl.exe"="C:\\Programme\\Valve\\hl.exe:*:Enabled:Half-Life Launcher"
"C:\\Programme\\Mozilla Firefox\\firefox.exe"="C:\\Programme\\Mozilla Firefox\\firefox.exe:*:Enabled:Firefox"
"C:\\Programme\\Valve\\Steam\\SteamApps\\bozz_online\\counter-strike\\hl.exe"="C:\\Programme\\Valve\\Steam\\SteamApps\\bozz_online\\counter-strike\\hl.exe:*:Enabled:Half-Life Launcher"
"C:\\Dokumente und Einstellungen\\Florian\\Desktop\\Flo\\Programme\\qip\\qip.exe"="C:\\Dokumente und Einstellungen\\Florian\\Desktop\\Flo\\Programme\\qip\\qip.exe:*:Enabled:Quiet Internet Pager"
"C:\\Programme\\qip\\qip.exe"="C:\\Programme\\qip\\qip.exe:*:Enabled:Quiet Internet Pager"
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Programme\\MSN Messenger\\livecall.exe"="C:\\Programme\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"C:\\Programme\\Haufe\\iDesk\\iDeskService\\pythonw.exe"="C:\\Programme\\Haufe\\iDesk\\iDeskService\\pythonw.exe:*:Enabledythonw"
"C:\\Programme\\EnemyTerritory2.60b\\ET.exe"="C:\\Programme\\EnemyTerritory2.60b\\ET.exe:*:Enabled:ET"
"C:\\Programme\\TrackMania Nations ESWC\\TmNationsESWC.exe"="C:\\Programme\\TrackMania Nations ESWC\\TmNationsESWC.exe:*:Enabled:TmNationsESWC"
"C:\\Programme\\Microsoft Games\\Age of Empires II\\empires2.EXE"="C:\\Programme\\Microsoft Games\\Age of Empires II\\empires2.EXE:*:Enabled:Age of Empires II"
"C:\\UT2004\\System\\UT2004.exe"="C:\\UT2004\\System\\UT2004.exe:*:Enabled:UT2004"
"C:\\Programme\\Skype\\Phone\\Skype.exe"="C:\\Programme\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"
"C:\\Programme\\Opera\\Opera.exe"="C:\\Programme\\Opera\\Opera.exe:*isabled:Opera Internet Browser"
"C:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"="C:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE:*:Enabled:FRITZ!DSL - igdctrl.exe"
"I:\\fsetup.exe"="I:\\fsetup.exe:*:Enabled:AVM FSetup Application"
"C:\\Programme\\FRITZ!DSL\\FBOXUPD.EXE"="C:\\Programme\\FRITZ!DSL\\FBOXUPD.EXE:*:Enabled:AVM FRITZ!Box Firmware-Update"
"C:\\Programme\\THQ\\Juiced\\Juiced.exe"="C:\\Programme\\THQ\\Juiced\\Juiced.exe:*:Enabled:Juiced"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\onlineTV 2\\onlineTV.exe"="C:\\Programme\\onlineTV 2\\onlineTV.exe:*:EnablednlineTV"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Programme\\MSN Messenger\\livecall.exe"="C:\\Programme\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

Remaining Files :

C:\WINDOWS\system32\TDSSoiqt.dll Found
C:\WINDOWS\system32\TDSShrxx.dll Found
C:\WINDOWS\system32\TDSSvkql.dll Found
C:\WINDOWS\system32\TDSSxfmm.dll Found

File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes :

Sun 27 Nov 2005 4,348 ..SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\DRMv1.bak"
Fri 15 Dec 2006 0 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\Cache\Indiv01.tmp"
Wed 19 Nov 2003 1,125,167 A..H. --- "C:\Programme\Google\require\comedy\Soundkartoffel.exe"
Mon 16 Jan 2006 111,967 A..H. --- "C:\Programme\Google\require\fonts\drift.zip"
Sun 18 Feb 2007 181,729 A..H. --- "C:\Programme\Google\require\fonts\el_font_gohtic.zip"
Mon 16 Jan 2006 26,142 A..H. --- "C:\Programme\Google\require\fonts\fontz_354_cocacola.zip"
Mon 16 Jan 2006 7,278 A..H. --- "C:\Programme\Google\require\fonts\fontz_498_graffiti.zip"
Mon 16 Jan 2006 32,223 A..H. --- "C:\Programme\Google\require\fonts\fontz_44_bloodofdracula.zip"
Mon 16 Jan 2006 14,506 A..H. --- "C:\Programme\Google\require\fonts\fontz_1008_monsterfreak.zip"
Mon 16 Jan 2006 232,304 A..H. --- "C:\Programme\Google\require\fonts\fontz_1011_charming.zip"
Mon 16 Jan 2006 26,234 A..H. --- "C:\Programme\Google\require\fonts\fontz_1038_csnpwdt.zip"
Mon 16 Jan 2006 44,461 A..H. --- "C:\Programme\Google\require\fonts\fontz_1056_electronics.zip"
Mon 16 Jan 2006 77,337 A..H. --- "C:\Programme\Google\require\fonts\rothenburg.zip"
Sun 10 Feb 2008 27,172,823 A..H. --- "C:\Programme\Google\require\Handygames, fun & shit\274_games.zip"
Wed 2 Nov 2005 15,974,943 A..H. --- "C:\Programme\Google\require\Programme\AlienMorph.zip"
Mon 6 Jun 2005 687,057 A..H. --- "C:\Programme\Google\require\Programme\HamachiSetup-0.9.9.7.exe"
Thu 10 Feb 2005 417,792 A..H. --- "C:\Programme\Google\require\Programme\lupe.exe"
Wed 10 Nov 2004 238,592 A..H. --- "C:\Programme\Google\require\Programme\pdx-cpd6.exe"
Mon 7 Apr 2008 71,816 A..H. --- "C:\Programme\Google\require\Handygames, fun & shit\225.Java.Games.240x320.Fullscreen\JADMaker.zip"
Mon 13 Aug 2001 763,258 A..H. --- "C:\Programme\Google\require\Programme\scherz\alkoholwaffe.exe"
Mon 16 Nov 1998 207,360 A..HR --- "C:\Programme\Google\require\Programme\scherz\bean.exe"
Sun 15 Jul 2001 583,985 A..H. --- "C:\Programme\Google\require\Programme\scherz\bierbrille1.exe"
Wed 3 Jul 2002 906,837 A..H. --- "C:\Programme\Google\require\Programme\scherz\britney.exe"
Fri 4 Jun 1999 407,119 A..H. --- "C:\Programme\Google\require\Programme\scherz\dipsy.exe"
Sun 30 Nov 1997 1,039,872 A..HR --- "C:\Programme\Google\require\Programme\scherz\fred.exe"
Thu 26 Aug 2004 667,960 A..H. --- "C:\Programme\Google\require\Programme\scherz\karnickel.exe"
Mon 1 Dec 2003 1,179,138 A..H. --- "C:\Programme\Google\require\Programme\scherz\maus.exe"
Tue 30 Oct 2001 22,016 A..HR --- "C:\Programme\Google\require\Programme\scherz\pause.exe"
Sat 27 Mar 1999 1,212,416 A..H. --- "C:\Programme\Google\require\Programme\scherz\peepshow.exe"
Tue 30 Oct 2001 356,352 A..HR --- "C:\Programme\Google\require\Programme\scherz\showergirl.exe"
Tue 30 Nov 2004 29,698 A..H. --- "C:\Programme\Google\require\Programme\scherz\traumfrau-generator.exe"
Fri 6 Apr 2001 20,480 A..H. --- "C:\Programme\Google\require\Programme\scherz\Alcotest\Alcotest.exe"
Mon 11 Feb 2002 102,400 A..H. --- "C:\Programme\Google\require\Programme\scherz\alkomat\alkomat.exe"
Tue 7 Mar 2000 618,793 A..H. --- "C:\Programme\Google\require\Programme\scherz\fart\fart.exe"
Thu 25 Feb 1999 290,304 A..HR --- "C:\Programme\Google\require\Programme\scherz\message\message.exe"
Sat 2 Feb 2002 19,456 A..H. --- "C:\Programme\Google\require\Programme\scherz\mouseScherz\mouseScherz.exe"

Finished!

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:53:31, on 09.02.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
C:\Programme\G DATA\TotalCare\AVK\AVKService.exe
C:\Programme\G DATA\TotalCare\AVK\AVKWCtl.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\G DATA\TotalCare\Firewall\GDFwSvc.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\G DATA\TotalCare\Firewall\GDFirewallTray.exe
C:\Programme\G DATA\TotalCare\AVKTray\AVKTray.exe
C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gadwin Systems\PrintScreen\PrintScreen.exe
C:\Programme\Brother\ControlCenter3\brccMCtl.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\Brother\Brmfcmon\BrMfcmon.exe
C:\Dokumente und Einstellungen\Florian\Desktop\highjackthis\asdf.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von 1 & 1 Internet AG
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] "C:\Programme\ScanSoft\PaperPort\pptd40nt.exe"
O4 - HKLM\..\Run: [IndexSearch] "C:\Programme\ScanSoft\PaperPort\IndexSearch.exe"
O4 - HKLM\..\Run: [PPort11reminder] "C:\Programme\ScanSoft\PaperPort\Ereg\Ereg.exe" -r "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ScanSoft\PaperPort\11\Config\Ereg\Ereg.ini
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [GDFirewallTray] C:\Programme\G DATA\TotalCare\Firewall\GDFirewallTray.exe
O4 - HKLM\..\Run: [G DATA AntiVirus Trayapplication] C:\Programme\G DATA\TotalCare\AVKTray\AVKTray.exe
O4 - HKLM\..\Run: [BrMfcWnd] C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN
O4 - HKLM\..\Run: [ControlCenter3] C:\Programme\Brother\ControlCenter3\brctrcen.exe /autorun
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Gadwin PrintScreen 2.6] C:\Programme\Gadwin Systems\PrintScreen\PrintScreen.exe /nosplash
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O14 - IERESET.INF: START_PAGE_URL=http://www.1und1.de/Herzlich_Willkommen/b1/
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary...r.cab31267.cab
O16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX Control) - http://pub.plan.at/mgaxctrlde.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {A672558F-A878-4D5A-A921-627C091CEB60} (Flatcast Producer 4.15) - http://www.flatcast.com/de/download/NpFp415.dll
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/Ms...Downloader.cab
O16 - DPF: {E55FD215-A32E-43FE-A777-A7E8F165F551} (Flatcast Viewer 4.15) - http://www.flatcast.com/de/download/NpFv415.dll
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D3E63EEB-EBBA-468C-9F30-5E2797CC0A8B}: NameServer = 192.168.122.252,192.168.122.253
O18 - Protocol: haufereader - (no CLSID) - (no file)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: G DATA AntiVirus Proxy (AVKProxy) - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: G DATA Scheduler (AVKService) - G DATA Software AG - C:\Programme\G DATA\TotalCare\AVK\AVKService.exe
O23 - Service: AntiVirus Wächter (AVKWCtl) - G DATA Software AG - C:\Programme\G DATA\TotalCare\AVK\AVKWCtl.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: G DATA Backup Service - G DATA Software AG - C:\Programme\G DATA\TotalCare\AVKBackup\AVKBackupService.exe
O23 - Service: G DATA Tuner Service - G DATA Software AG - C:\Programme\G DATA\TotalCare\AVKTuner\AVKTunerService.exe
O23 - Service: G DATA Personal Firewall (GDFwSvc) - G DATA Software AG - C:\Programme\G DATA\TotalCare\Firewall\GDFwSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O24 - Desktop Component 0: (no name) - http://www.chip.de/ii/29179727_131d347da9.jpg
O24 - Desktop Component 2: XXX On Ice - http://www.xxxonice.com/

--
End of file - 7665 bytes

Weitere Logs folgen

Combofix::

Zitat:

ComboFix 09-02-08.02 - Florian 2009-02-10 0:18:33.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.1023.629 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Florian\Desktop\ComboFix.exe
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated)
AV: G DATA TotalCare 2009 *On-access scanning disabled* (Outdated)
FW: G DATA Personal Firewall *enabled*
* Resident AV is active

.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\programme\XPPoliceAntivirus
c:\programme\XPPoliceAntivirus\AVCoreFn.dll
c:\programme\XPPoliceAntivirus\bdconf.cfg
c:\programme\XPPoliceAntivirus\Core.dll
c:\programme\XPPoliceAntivirus\Plugins\ceva_dll.cvd
c:\programme\XPPoliceAntivirus\Plugins\ceva_emu.cvd
c:\programme\XPPoliceAntivirus\Plugins\ceva_vfs.cvd
c:\programme\XPPoliceAntivirus\Plugins\ceva_vfs.ivd
c:\programme\XPPoliceAntivirus\Plugins\cevakrnl.cvd
c:\programme\XPPoliceAntivirus\Plugins\cevakrnl.ivd
c:\programme\XPPoliceAntivirus\Plugins\cevakrnl.rvd
c:\programme\XPPoliceAntivirus\Plugins\cookie.cvd
c:\programme\XPPoliceAntivirus\Plugins\cran.cvd
c:\programme\XPPoliceAntivirus\Plugins\cran.ivd
c:\programme\XPPoliceAntivirus\Plugins\e_spyw.cvd
c:\programme\XPPoliceAntivirus\Plugins\e_spyw.ivd
c:\programme\XPPoliceAntivirus\Plugins\emalware.ivd
c:\programme\XPPoliceAntivirus\Plugins\gvmscripts.cvd
c:\programme\XPPoliceAntivirus\Plugins\hpe.cvd
c:\programme\XPPoliceAntivirus\Plugins\java.cvd
c:\programme\XPPoliceAntivirus\Plugins\mdx_97.cvd
c:\programme\XPPoliceAntivirus\Plugins\mdx_97.ivd
c:\programme\XPPoliceAntivirus\Plugins\mdx_w95.cvd
c:\programme\XPPoliceAntivirus\Plugins\mdx_x95.cvd
c:\programme\XPPoliceAntivirus\Plugins\mdx_xf.cvd
c:\programme\XPPoliceAntivirus\Plugins\mobmalware.cvd
c:\programme\XPPoliceAntivirus\Plugins\na.cvd
c:\programme\XPPoliceAntivirus\Plugins\nelf.cvd
c:\programme\XPPoliceAntivirus\Plugins\regarch.cvd
c:\programme\XPPoliceAntivirus\Plugins\regscan.cvd
c:\programme\XPPoliceAntivirus\Plugins\rup.cvd
c:\programme\XPPoliceAntivirus\Plugins\sdx.cvd
c:\programme\XPPoliceAntivirus\Plugins\sdx.ivd
c:\programme\XPPoliceAntivirus\Plugins\unpack.cvd
c:\programme\XPPoliceAntivirus\Plugins\unpack.ivd
c:\programme\XPPoliceAntivirus\Plugins\vb0.dat
c:\programme\XPPoliceAntivirus\Plugins\vb1.dat
c:\programme\XPPoliceAntivirus\Plugins\vb2.dat
c:\programme\XPPoliceAntivirus\Plugins\ve.cvd
c:\programme\XPPoliceAntivirus\Plugins\ve.ivd
c:\programme\XPPoliceAntivirus\Plugins\vedata.cvd
c:\programme\XPPoliceAntivirus\sounds\alert.wav
c:\programme\XPPoliceAntivirus\sounds\click.wav
c:\programme\XPPoliceAntivirus\sounds\fire.wav
c:\programme\XPPoliceAntivirus\xppolice.exe
c:\windows\jestertb.dll
c:\windows\system32\drivers\TDSSpqlt.sys
c:\windows\system32\TDSShrxx.dll
c:\windows\system32\TDSSkhyp.log
c:\windows\system32\TDSSkkai.log
c:\windows\system32\TDSSlxcp.dll
c:\windows\system32\TDSSmtvd.dat
c:\windows\system32\TDSSnmxh.log
c:\windows\system32\TDSSoiqt.dll
c:\windows\system32\TDSSsahc.dll
c:\windows\system32\TDSSvkql.dll
c:\windows\system32\TDSSxfmm.dll

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_TDSSserv.sys
-------\Legacy_TDSSserv.sys


((((((((((((((((((((((( Dateien erstellt von 2009-01-09 bis 2009-02-09 ))))))))))))))))))))))))))))))
.

2009-02-09 22:59 . 2009-02-09 22:59 580,096 --a--c--- c:\windows\system32\dllcache\user32.dll
2009-02-09 22:51 . 2009-02-09 22:51 <DIR> d-------- c:\windows\ERUNT
2009-02-09 22:47 . 2009-02-09 23:48 <DIR> d-------- C:\SDFix
2009-02-08 13:14 . 2009-02-08 13:14 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2009-02-08 13:14 . 2009-02-08 13:14 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-02-08 13:14 . 2009-01-14 16:11 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-02-08 13:14 . 2009-01-14 16:11 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-02-07 16:03 . 2009-02-07 16:03 <DIR> d-------- C:\Brother
2009-02-07 16:03 . 2002-11-26 13:43 106,496 --------- c:\windows\system32\BrMuSNMP.dll
2009-02-07 16:03 . 2007-02-06 19:50 61,952 --------- c:\windows\system32\BrNetSti.dll
2009-02-07 16:03 . 2006-12-26 19:39 37,376 --------- c:\windows\system32\Brnsplg.dll
2009-02-07 16:03 . 2007-01-26 15:06 34,816 --------- c:\windows\system32\BrWiaNCp.dll
2009-02-07 16:03 . 2007-01-26 15:05 18,944 --------- c:\windows\system32\BrnStiCp.cpl
2009-02-07 16:03 . 2006-11-20 20:48 9,728 --------- c:\windows\system32\BrSti07a.dll
2009-02-07 16:02 . 2009-02-07 16:02 <DIR> d-------- c:\dokumente und einstellungen\Florian\Anwendungsdaten\InstallShield
2009-02-07 15:25 . 2009-02-07 15:25 68,296 --a------ c:\windows\system32\drivers\GRD.sys
2009-02-07 15:21 . 2009-02-07 15:21 50,888 --a------ c:\windows\system32\drivers\MiniIcpt.sys
2009-02-07 15:21 . 2009-02-07 15:21 32,200 --a------ c:\windows\system32\drivers\HookCentre.sys
2009-02-07 15:20 . 2009-02-07 15:20 <DIR> d--hs---- C:\#GDATA.Trash.Store#
2009-02-07 15:20 . 2009-02-07 15:20 50,888 --a------ c:\windows\system32\drivers\GDTdiIcpt.sys
2009-02-07 15:20 . 2009-02-07 15:20 22,272 --a------ c:\windows\system32\drivers\GDNdisIc.sys
2009-02-07 15:19 . 2009-02-07 15:20 <DIR> d-------- c:\programme\Gemeinsame Dateien\G DATA
2009-02-07 15:19 . 2009-02-07 15:19 <DIR> d-------- c:\programme\G DATA
2009-02-07 15:19 . 2009-02-07 15:29 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\G DATA
2009-02-06 17:06 . 2009-02-06 18:09 <DIR> d-------- c:\programme\Navilog1
2009-02-06 16:46 . 2009-02-06 16:46 <DIR> d-------- c:\programme\CCleaner
2009-02-06 16:45 . 2009-02-10 00:16 54,156 --ah----- c:\windows\QTFont.qfn
2009-02-06 16:45 . 2009-02-10 00:16 1,409 --a------ c:\windows\QTFont.for
2009-02-05 18:20 . 2009-02-05 18:20 <DIR> d-------- c:\programme\Panda Security
2009-01-23 17:16 . 2009-01-23 17:16 <DIR> d-------- c:\programme\ReflexiveArcade
2009-01-21 22:44 . 2009-01-21 22:44 <DIR> d-------- c:\programme\QIP Infium
2009-01-20 23:03 . 2009-01-20 23:03 75 --a------ c:\windows\muserr.ini
2009-01-20 22:24 . 2009-01-20 22:24 <DIR> d-------- c:\programme\Obtiv
2009-01-20 22:24 . 2009-01-20 22:24 <DIR> d-------- c:\programme\Gemeinsame Dateien\Obtiv
2009-01-20 22:24 . 2009-01-21 23:39 2,019 --a------ c:\windows\musi.ini
2009-01-20 22:23 . 2009-01-20 22:23 <DIR> d-------- c:\dokumente und einstellungen\Steffi\WINDOWS
2009-01-10 00:13 . 2009-01-10 00:13 0 --a------ c:\windows\graphedit.INI

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-06 15:36 --------- d-----w c:\programme\Gemeinsame Dateien\DVDVIDEOSOFT
2009-02-06 15:31 --------- d-----w c:\programme\HP DeskJet 690C Serie
2009-02-06 15:26 --------- d-----w c:\programme\Spybot - Search & Destroy
2009-02-06 15:25 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-01-27 00:07 --------- d-----w c:\programme\GameSpy Arcade
2009-01-26 23:40 --------- d-----w c:\programme\Opera
2009-01-23 18:05 --------- d-----w c:\programme\TrackMania Nations ESWC
2009-01-09 16:59 --------- d-----w c:\programme\PokerStars
2009-01-06 23:52 --------- d-----w c:\programme\Google
2009-01-03 20:59 --------- d-----w c:\dokumente und einstellungen\Steffi\Anwendungsdaten\THQ
2008-12-30 17:53 --------- d-----w c:\dokumente und einstellungen\Günter\Anwendungsdaten\FRITZ!
2008-12-24 00:18 98,304 ----a-w c:\windows\system32\CmdLineExt.dll
2008-12-23 23:39 --------- d-----w c:\programme\EA GAMES
2008-12-23 23:37 --------- d-----w c:\dokumente und einstellungen\Steffi\Anwendungsdaten\vlc
2008-12-11 10:57 333,952 ----a-w c:\windows\system32\drivers\srv.sys
2008-12-09 21:46 --------- d-----w c:\dokumente und einstellungen\Steffi\Anwendungsdaten\ScanSoft
2007-09-13 13:04 35,952 ----a-w c:\dokumente und einstellungen\Günter\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2007-06-12 21:20 35,952 ----a-w c:\dokumente und einstellungen\Florian\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2005-11-12 11:34 21 ----a-w c:\programme\AVPersonalAVWIN.INI
2005-02-07 14:53 55 ----a-w c:\dokumente und einstellungen\Florian\config.dat
2008-08-19 10:18 32,768 --sha-w c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008081920080820\index.dat
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"Gadwin PrintScreen 2.6"="c:\programme\Gadwin Systems\PrintScreen\PrintScreen.exe" [2003-07-16 913408]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"SunJavaUpdateSched"="c:\programme\Java\jre1.5.0_05\bin\jusched.exe" [2005-08-26 36975]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2006-01-25 77824]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-12-10 7311360]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2005-12-10 86016]
"LVCOMSX"="c:\windows\system32\LVCOMSX.EXE" [2005-07-19 221184]
"SSBkgdUpdate"="c:\programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2006-10-25 210472]
"PaperPort PTD"="c:\programme\ScanSoft\PaperPort\pptd40nt.exe" [2007-01-29 30248]
"IndexSearch"="c:\programme\ScanSoft\PaperPort\IndexSearch.exe" [2007-01-29 46632]
"PPort11reminder"="c:\programme\ScanSoft\PaperPort\Ereg\Ereg.exe" [2007-02-01 255528]
"GDFirewallTray"="c:\programme\G DATA\TotalCare\Firewall\GDFirewallTray.exe" [2008-08-19 1037992]
"G DATA AntiVirus Trayapplication"="c:\programme\G DATA\TotalCare\AVKTray\AVKTray.exe" [2008-08-19 994376]
"BrMfcWnd"="c:\programme\Brother\Brmfcmon\BrMfcWnd.exe" [2007-03-12 663552]
"ControlCenter3"="c:\programme\Brother\ControlCenter3\brctrcen.exe" [2007-01-26 65536]
"SoundMan"="SOUNDMAN.EXE" [2004-06-18 c:\windows\SOUNDMAN.EXE]
"nwiz"="nwiz.exe" [2005-12-10 c:\windows\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\G�nter\Startmen�\Programme\Autostart\
FRITZ!DSL Startcenter.lnk - c:\programme\FRITZ!DSL\StCenter.exe [2008-07-29 679936]

c:\dokumente und einstellungen\Florian\Startmen�\Programme\Autostart\
Adobe Gamma.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2006-01-11 113664]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
Adobe Gamma Loader.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2006-01-11 113664]
Adobe Reader - Schnellstart.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-04-23 29696]
Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 83360]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
--a------ 2005-11-08 23:00 128920 c:\programme\DAEMON Tools\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
--a------ 2007-12-09 22:31 1266936 c:\programme\Valve\Steam\Steam.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\FRITZ!DSL\\FritzDsl.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Valve\\hl.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\Valve\\Steam\\SteamApps\\bozz_online\\counter-strike\\hl.exe"=
"c:\\Dokumente und Einstellungen\\Florian\\Desktop\\Flo\\Programme\\qip\\qip.exe"=
"c:\\Programme\\qip\\qip.exe"=
"c:\\Programme\\TrackMania Nations ESWC\\TmNationsESWC.exe"=
"c:\\Programme\\Microsoft Games\\Age of Empires II\\empires2.EXE"=
"c:\\UT2004\\System\\UT2004.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Programme\\Opera\\Opera.exe"=
"c:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"=
"c:\\Programme\\FRITZ!DSL\\FBOXUPD.EXE"=
"c:\\Programme\\THQ\\Juiced\\Juiced.exe"=

R0 GDNdisIc;GDNdisIc;c:\windows\system32\drivers\GDNdisIc.sys [2009-02-07 22272]
R1 GRD;G DATA Rootkit Detector Driver;c:\windows\system32\drivers\GRD.sys [2009-02-07 68296]
R1 NETDSL;AVM PPP over Ethernet;c:\windows\system32\drivers\NETDSL.SYS [2004-10-30 11264]
R2 aadev;AVM ADSL Adapter Device;c:\windows\system32\drivers\Aadev.sys [2004-10-30 28160]
R2 AVKProxy;G DATA AntiVirus Proxy;c:\programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe [2008-08-19 724040]
R2 AVKService;G DATA Scheduler;c:\programme\G DATA\TotalCare\AVK\AVKService.exe [2008-08-19 386120]
R2 AVKWCtl;AntiVirus Wächter;c:\programme\G DATA\TotalCare\AVK\AVKWCtl.exe [2008-08-14 1185496]
R2 GDTdiInterceptor;GDTdiInterceptor;c:\windows\system32\drivers\GDTdiIcpt.sys [2009-02-07 50888]
R3 GDFwSvc;G DATA Personal Firewall;c:\programme\G DATA\TotalCare\Firewall\GDFwSvc.exe [2008-08-15 1395616]
R3 GDMnIcpt;GDMnIcpt;c:\windows\system32\drivers\MiniIcpt.sys [2009-02-07 50888]
R3 HookCentre;HookCentre;c:\windows\system32\drivers\HookCentre.sys [2009-02-07 32200]
R3 NETFWDSL;AVM FRITZ!web DSL PPP;c:\windows\system32\drivers\Netfwdsl.sys [2004-10-30 367104]
R3 PRISM_USB;D-Link Air Wireless USB Adapter Driver;c:\windows\system32\drivers\PRISMUSB.sys [2003-10-02 666624]
S3 G DATA Backup Service;G DATA Backup Service;c:\programme\G DATA\TotalCare\AVKBackup\AVKBackupService.exe [2008-08-22 882760]
S3 G DATA Tuner Service;G DATA Tuner Service;c:\programme\G DATA\TotalCare\AVKTuner\AVKTunerService.exe [2008-08-19 925768]
S3 SetupNTGLM7X;SetupNTGLM7X;\??\h:\ntglm7x.sys --> h:\NTGLM7X.sys [?]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]
\Shell\AutoRun\command - D:\setup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E]
\Shell\AutoRun\command - E:\setup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4274b61a-df87-11da-ad37-00119583079b}]
\Shell\AutoRun\command - D:\setup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8280a7d4-625a-11dd-b702-00040effffff}]
\Shell\AutoRun\command - E:\setup.exe
.
Inhalt des "geplante Tasks" Ordners

2009-02-06 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2007\SystemOptimizer.exe []
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

URLSearchHooks-(Default) - (no file)
MSConfigStartUp-BearShare - c:\programme\BearShare\BearShare.exe
MSConfigStartUp-IncrediMail - c:\programme\IncrediMail\bin\IncMail.exe


.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uInternet Connection Wizard,ShellNext = iexplore
uSearchURL,(Default) = hxxp://www.google.com/keyword/%s
IE: &Add animation to IncrediMail Style Box - c:\progra~1\INCRED~1\bin\resources\WebMenuImg.htm
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
TCP: {D3E63EEB-EBBA-468C-9F30-5E2797CC0A8B} = 192.168.122.252,192.168.122.253
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
DPF: {A672558F-A878-4D5A-A921-627C091CEB60} - hxxp://www.flatcast.com/de/download/NpFp415.dll
DPF: {E55FD215-A32E-43FE-A777-A7E8F165F551} - hxxp://www.flatcast.com/de/download/NpFv415.dll
DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} - hxxp://xtraz.icq.com/xtraz/activex/MISBH.cab
FF - ProfilePath - c:\dokumente und einstellungen\Florian\Anwendungsdaten\Mozilla\Firefox\Profiles\v82wcusv.default\

---- FIREFOX Richtlinien ----
FF - user.js: yahoo.homepage.dontask - true.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-10 00:23:00
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(784)
c:\windows\system32\ACTIVEDS.dll
.
Zeit der Fertigstellung: 2009-02-10 0:24:41
ComboFix-quarantined-files.txt 2009-02-09 23:24:33

Vor Suchlauf: 31 Verzeichnis(se), 82,081,832,960 Bytes frei
Nach Suchlauf: 31 Verzeichnis(se), 82,199,207,936 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

271 --- E O F --- 2009-01-14 13:22:34

Juhu ein Erfolgserlebnis

Wie gehts jetzt dem Computer?


Gmer

• Donwloade Gmer
• Entpacke es auf dem Desktop
• Trenne dich physikalisch vom Internet (Lan Kabel ziehen)
• Schließe bitte alle Anwendungen, auch das Antivirusprogramm
• Starte den Scan mit GMER mit "Scan", mache in der Zeit nichts auch keine Mausbewegungen und Tastatureingaben
• Ist der Scan fertig, klicke auf "Copy" und poste dann hier deine Anwort in dem du den Log reinkopierst
• Beende GMER mit "OK"

Dann bitte einen Malwarebytes Scan und einen SUPERAntispyware

zu aller letzt ein neuer HijackThis Logfile

PS: ich werd mir die Logs noch später anschauen (SDFix, Combofix und HJT)

Auf jeden Fall ein großer Schritt. SDFix hat sozusagen den AUsschlag gegeben. Über Nacht habe ich noch Malwerebyte's Antimelware drüber laufen lassen, hier die Logfile:

Zitat:

Malwarebytes' Anti-Malware 1.33
Datenbank Version: 1654
Windows 5.1.2600 Service Pack 3

10.02.2009 08:59:39
mbam-log-2009-02-10 (08-59-39).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 200427
Laufzeit: 2 hour(s), 13 minute(s), 39 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 16
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 5
Infizierte Dateien: 29

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{f80c1d93-0d22-436e-963e-9d3156997a4e} (Adware.Accoona) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{1e1b2879-88ff-11d3-8d96-d7acac95951a} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{42f2c9ba-614f-47c0-b3e3-ecfd34eed658} (Adware.ISTBar) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{7c559105-9ecf-42b8-b3f7-832e75edd959} (Adware.ISTBar) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{1d4db7d2-6ec9-47a3-bd87-1e41684e07bb} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{944864a5-3916-46e2-96a9-a2e84f3f1208} (Adware.Accoona) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{364b6276-c6c1-40b6-a6d7-6c48871fd707} (Adware.Accoona) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{1678f7e1-c422-11d0-ad7d-00400515caaa} (Spyware.Comet.Cursor) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{8fcdf9d9-a28b-480f-8c3d-581f119a8ab8} (Adware.180Solutions) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\{944864a5-3916-46e2-96a9-a2e84f3f1208} (Adware.Accoona) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\TypeLib\{056738e1-e15c-11d6-b876-0050bf5d85c7} (Trojan.AntiLeechPlugin) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{056738ed-e15c-11d6-b876-0050bf5d85c7} (Trojan.AntiLeechPlugin) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{056738ee-e15c-11d6-b876-0050bf5d85c7} (Trojan.AntiLeechPlugin) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{056738ee-e15c-11d6-b876-0050bf5d85c7} (Trojan.AntiLeechPlugin) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\anti-leech alie (Trojan.AntiLeechPlugin) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Anti-Leech (Trojan.AntiLeechPlugin) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\Programme\Anti-Leech (Trojan.AntiLeechPlugin) -> Quarantined and deleted successfully.
C:\Programme\Anti-Leech\ALIE_1.0.1.8 (Trojan.AntiLeechPlugin) -> Quarantined and deleted successfully.
C:\Programme\Anti-Leech\ALIE_1.0.1.9 (Trojan.AntiLeechPlugin) -> Quarantined and deleted successfully.
C:\Programme\Anti-Leech\ALIE_1.0.2.1 (Trojan.AntiLeechPlugin) -> Quarantined and deleted successfully.
C:\Programme\Anti-Leech\ALIE_1.0.2.2 (Trojan.AntiLeechPlugin) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\Qoobox\Quarantine\C\WINDOWS\system32\TDSShrxx.dll.vir (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\TDSSoiqt.dll.vir (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\TDSSvkql.dll.vir (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\TDSSxfmm.dll.vir (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{2BF8F105-4573-4889-8EA6-F748D57C43DF}\RP0\A0000001.dll (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{2BF8F105-4573-4889-8EA6-F748D57C43DF}\RP0\A0000002.dll (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{2BF8F105-4573-4889-8EA6-F748D57C43DF}\RP0\A0000003.dll (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{2BF8F105-4573-4889-8EA6-F748D57C43DF}\RP0\A0000004.dll (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\Programme\Anti-Leech\ALIE_1.0.1.8\al2np.dll (Trojan.AntiLeechPlugin) -> Quarantined and deleted successfully.
C:\Programme\Anti-Leech\ALIE_1.0.1.8\alhlp.exe (Trojan.AntiLeechPlugin) -> Quarantined and deleted successfully.
C:\Programme\Anti-Leech\ALIE_1.0.1.8\alie.dll (Trojan.AntiLeechPlugin) -> Quarantined and deleted successfully.
C:\Programme\Anti-Leech\ALIE_1.0.1.8\alie.inf (Trojan.AntiLeechPlugin) -> Quarantined and deleted successfully.
C:\Programme\Anti-Leech\ALIE_1.0.1.8\iesetup2.exe (Trojan.AntiLeechPlugin) -> Quarantined and deleted successfully.
C:\Programme\Anti-Leech\ALIE_1.0.1.9\al2np.dll (Trojan.AntiLeechPlugin) -> Quarantined and deleted successfully.
C:\Programme\Anti-Leech\ALIE_1.0.1.9\alhlp.exe (Trojan.AntiLeechPlugin) -> Quarantined and deleted successfully.
C:\Programme\Anti-Leech\ALIE_1.0.1.9\alie.dll (Trojan.AntiLeechPlugin) -> Quarantined and deleted successfully.
C:\Programme\Anti-Leech\ALIE_1.0.1.9\alie.inf (Trojan.AntiLeechPlugin) -> Quarantined and deleted successfully.
C:\Programme\Anti-Leech\ALIE_1.0.1.9\iesetup2.exe (Trojan.AntiLeechPlugin) -> Quarantined and deleted successfully.
C:\Programme\Anti-Leech\ALIE_1.0.2.1\al2np.dll (Trojan.AntiLeechPlugin) -> Quarantined and deleted successfully.
C:\Programme\Anti-Leech\ALIE_1.0.2.1\alhlp.exe (Trojan.AntiLeechPlugin) -> Quarantined and deleted successfully.
C:\Programme\Anti-Leech\ALIE_1.0.2.1\alie.dll (Trojan.AntiLeechPlugin) -> Quarantined and deleted successfully.
C:\Programme\Anti-Leech\ALIE_1.0.2.1\alie.inf (Trojan.AntiLeechPlugin) -> Quarantined and deleted successfully.
C:\Programme\Anti-Leech\ALIE_1.0.2.1\iesetup2.exe (Trojan.AntiLeechPlugin) -> Quarantined and deleted successfully.
C:\Programme\Anti-Leech\ALIE_1.0.2.2\al2np.dll (Trojan.AntiLeechPlugin) -> Quarantined and deleted successfully.
C:\Programme\Anti-Leech\ALIE_1.0.2.2\alhlp.exe (Trojan.AntiLeechPlugin) -> Quarantined and deleted successfully.
C:\Programme\Anti-Leech\ALIE_1.0.2.2\alie.dll (Trojan.AntiLeechPlugin) -> Quarantined and deleted successfully.
C:\Programme\Anti-Leech\ALIE_1.0.2.2\alie.inf (Trojan.AntiLeechPlugin) -> Quarantined and deleted successfully.
C:\Programme\Anti-Leech\ALIE_1.0.2.2\iesetup2.exe (Trojan.AntiLeechPlugin) -> Quarantined and deleted successfully.
C:\WINDOWS\screen.scr (Trojan.Dropper) -> Quarantined and deleted successfully.

Heute Mittag lasse ich dann GMER drüber laufen und SuperAntiSpyweare und setzte das NoScript bei Firefix auf.

Das Problem mit Google ist schon mal verschwunden.

Vielen Vielen Dank schon mal =)

Wie kann ich mich deiner Meinung nach in Zukunft am besten vor solchen Angriffen schützen?

Lasse GMER scannen und poste das Ergebniss. Ich sag dir dann wann du SUPERAntiSpyware scannen lassen sollst.


Wie kann man sich am besten vor Angriffen in der Zukunft schützen?

Eigentlich ist das ganz einfach. Halte dein System immer aktuel mit Windows Updates. Außerdem solltest du nicht nur Windows an sich aktuel halten sondern auch die Software die installiert ist d.h. Updates und SPs.

Ich zitiere Undoreal mal:

Zitat:

Zitat von undoreal

• Software Updates aller installierten Programme auf die neueste Version (Secunia PSI kann hier wertvolle Hilfe leisten).
  .
• Update der Viren-Signaturen deines Anti-Viren Programmes.
  .
• Treiberupdate der Hardware (Grafikkarte, Soundkarte).
  .
• Windows Update -> Der Frischmacher.
  .
• Vernünftige Ordneransicht -> Einstellungen.
  .
• Abschalten unnötiger Dienste:
  XP_ dingens.org
  Vista_ TechNET
  .
• Firewall aktivieren: (Wenn beim installiertem AV-Prog eine Firewall dabei ist so kann diese verwendet werden!)
  XP_ Firewall
  Vista_ Firewall
  .
  Oben genannte Konfigurationen sind grundlegend wichtig! Führe sie also gewissenhaft durch und poste wenn es zu Problemen gekommen ist die du nicht selbstständig mit Hilfe der Boardsuche, Google oder Freunden lösen konntest.
  
  Häufig gestellte Fragen: XP | Vista

Außerdem solltest du brain.exe benutzen. Was ist brain.exe?
ich zitiere mal mich:

Zitat:

Zitat von Jig Saw

also brain.exe heißt:

• nicht immer auf OK klicken wo es dran steht
• ausgewählte Software benutzen, nicht jeden Müll installieren
• keine Daten aus unsicheren Quellen benutzen oder herunterladen (P2P)
• nur auf sichere Internetseiten verkehren, vor allem keine Links von unseriösen Seiten anklicken und dann auf der Seite Angaben oder Passwörter von sich machen (Phishing)

einfach sein Gehirn einschalten

Man braucht keine teure Sicherheitssoftware. Es reicht die Windows Firewall und z.b. Avira. Alles kostenlos

HIer der GMER Log

Zitat:

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2009-02-10 16:23:25
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.14 ----

SSDT sptd.sys ZwEnumerateKey [0xF7500C22]
SSDT sptd.sys ZwEnumerateValueKey [0xF7500F9A]

---- Devices - GMER 1.0.14 ----

Device \FileSystem\Ntfs \Ntfs 86F92C78
Device \FileSystem\Fastfat \Fat 86E23808

AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

Device \Driver\Tcpip \Device\Ip GDTdiIcpt.sys (G DATA Software AG)
Device \Driver\Tcpip \Device\Tcp GDTdiIcpt.sys (G DATA Software AG)
Device \Driver\Tcpip \Device\Udp GDTdiIcpt.sys (G DATA Software AG)
Device \Driver\Tcpip \Device\RawIp GDTdiIcpt.sys (G DATA Software AG)

---- EOF - GMER 1.0.14 ----

Ich werde die Tipps beherzigen, danke =)

EDIT: Mir ist aufgefallen, dass mein Pc irgendwie immernoch langsam läuft. Kann es durch die Belastung der Scanprogramme kommen?