Hallo,
benötige dringend fachmännische Hilfe bei einem Trojanerbefall.

Folgendes ist passiert:
Urplötzlich wurden mir Fehlermeldungen angezeigt, die da lauteten: Die Rundll Datei von Macromenia fehlt

und

wmiprvse.ex Fehler in Anwendung
Die Anweisung in "0x01049bbf" verweist auf Speicher in "0x01049bbf". Der Vorgang "written" konnte nicht auf dem Speicher durchgeführt werden.

Der anschließende Virenscan erbrachte nichts. Der Scan mit HighJackthis allerdings zeigt mir einen schädlcihen Eintrag / Trojaner an den ich gefixt habe.

Die Meldung wmiprvse kommt immer noch. Ich habe den Rechner noch nicht wieder neu gestartet, da ich erstmal Eure Ratschläge beherzigen wollte. Die Systemwiederherstellung habe ich auch noch nicht deaktiviert.

Was soll ich tun???
Tom

Hallo,

Anfragen wie: "Irgendwie geht mein Computer nicht so richtig." sind selbst mit der Zusatzbemerkung: "Also gestern, da ging er noch, ich habe aber nichts gemacht!" nur schwer zu beantworten.

Deshalb arbeite unsere Liste ab: http://www.trojaner-board.de/69886-a...-beachten.html

ciao, andreas

Tut mir leid, dass ich mich nicht an die geltenden Regeln gehalten habe. Das war nicht meine Absicht, sorry!!

Ich möchte nun hierunter nochmals mein Glück versuchen und hoffe auf Eure Hilfe:

Also die beginnende Problematik war, dass mir irgendwann plötzlich die Meldung angezeigt wurde, dass die Rundll-Datei von Macromedia\Common fehlen würde. Das sagte mir natürlcih garnichts.

Ich versuchte danach mit einem Neustart erneut mein Glück. Die Meldung lam erneut und wurde von mir mit OK bestätigt. Hinzu kam dann die folgende Meldung:

wmiprvse.exe Fehler in Anwendung
Die Anweisung in "0x01049bbf" verweist auf Speicher in "0x01049bbf". Der Vorgang "written" konnte nicht auf dem Speicher durchgeführt werden.

Diese Meldung erscheint immer wieder und muss mehrmals bestätigt werden.

Hatte dann versucht, eine Systemwiederherstellung zu versuchen, die dann aber gescheitert ist. Dauerte immens lang. Hab dann den Rechner erneut gestartet. Danach machte ich einen Virenscan mit Avira AntiVir Premium, der nichts einbrachte.

Im Anschluss ließ ich ein HighJackthis-Scan durchlaufen. Hier das Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:34:51, on 27.02.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Intel\Wireless\Bin\WLKeeper.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\avesvc.exe
C:\PROGRA~1\WinTV\EPG Services\System\EPGService.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\Programme\Microsoft Private Folder 1.0\PrfldSvc.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\Programme\Dell Support Center\bin\sprtsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\avmailc.exe
C:\Programme\Canon\CAL\CALMAIN.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\WINDOWS\stsystra.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\KADxMain.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\avgnt.exe
C:\Programme\Dell Support Center\bin\sprtcmd.exe
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programme\Intel\Wireless\Bin\Dot1XCfg.exe
F:\HighJackThis\This.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ***://***.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = ***://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = ***://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = ***://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = ***//go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [KADxMain] C:\WINDOWS\system32\KADxMain.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [dscactivate] "C:\Programme\Dell Support Center\gs_agent\custom\dsca.exe"
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Premium\avgnt.exe" /min
O4 - HKLM\..\Run: [DellSupportCenter] "C:\Programme\Dell Support Center\bin\sprtcmd.exe" /P DellSupportCenter
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DellSupportCenter] "C:\Programme\Dell Support Center\bin\sprtcmd.exe" /P DellSupportCenter
O4 - HKCU\..\Run: [rundll32.exe] rundll32.exe "C:\Dokumente und Einstellungen\+++\Anwendungsdaten\Macromedia\Common\69e5801a1.dll""
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [rundll32.exe] rundll32.exe "C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia\Common\69e5801a1.dll"" (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Premium MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\avmailc.exe
O23 - Service: AntiVir PersonalEdition Premium Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\sched.exe
O23 - Service: AntiVir PersonalEdition Premium Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\avguard.exe
O23 - Service: AntiVir PersonalEdition Premium MailGuard Hilfsdienst (AVEService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\avesvc.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: EPGService - Hauppauge Computer Works - C:\PROGRA~1\WinTV\EPG Services\System\EPGService.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\Common\Database\bin\fbserver.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: HauppaugeTVServer - Hauppauge Computer Works - C:\PROGRA~1\WinTV\HCWTVS~1.EXE
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: Private Folder Service (prfldsvc) - Unknown owner - C:\Programme\Microsoft Private Folder 1.0\PrfldSvc.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: SupportSoft Sprocket Service (dellsupportcenter) (sprtsvc_dellsupportcenter) - SupportSoft, Inc. - C:\Programme\Dell Support Center\bin\sprtsvc.exe
O23 - Service: Intel(R) PROSet/Wireless SSO Service (WLANKEEPER) - Intel(R) Corporation - C:\Programme\Intel\Wireless\Bin\WLKeeper.exe

--
End of file - 10114 bytesDie Einträge in ROT wurden in HoghJackThis mit einem Fragezeichen definiert und der GRÜNE Eintrag mit einem Kreuz und als schädlich eingestuft. Beide Einträge habe ich dann gefixt.

CCleaner habe ich ausgeführt.

Malwarebytes - Anti Malware ebenfalls:

Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1810
Windows 5.1.2600 Service Pack 3

27.02.2009 19:39:23
mbam-log-2009-02-27 (19-39-23).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|F:\|)
Durchsuchte Objekte: 153905
Laufzeit: 39 minute(s), 19 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)Hier noch meine Liste inst. Software:

Adobe Flash Player 9 ActiveX
Adobe Photoshop CS2
Adobe Reader 8.1.3 - Deutsch
Advanced Audio FX Engine
Advanced Video FX Engine
AnyDVD
Apple Software Update
ArcSoft PhotoStudio 5.5
Avira AntiVir Premium
Battlefield 2(TM)
Broadcom 440x 10/100 Integrated Controller
Canon Camera Access Library
Canon Camera Support Core Library
Canon Camera Window DC_DV 5 for ZoomBrowser EX
Canon Camera Window DC_DV 6 for ZoomBrowser EX
Canon Camera Window MC 6 for ZoomBrowser EX
Canon CanoScan Toolbox 4.5
CANON iMAGE GATEWAY Task for ZoomBrowser EX
Canon Internet Library for ZoomBrowser EX
Canon PhotoRecord
Canon PIXMA iP4000
Canon RAW Image Task for ZoomBrowser EX
Canon RemoteCapture Task for ZoomBrowser EX
Canon Utilities Easy-PhotoPrint
Canon Utilities Easy-PrintToolBox
Canon Utilities EOS Utility
Canon Utilities PhotoStitch
Canon Utilities ZoomBrowser EX
CCleaner (remove only)
CDDRV_Installer
CD-LabelPrint
Conexant HDA D330 MDC V.92 Modem
CyberLink PowerDVD 8
Dell Resource CD
Dell Support Center (Support Software)
Dell Touchpad
Dell Webcam Center
Dell Webcam Manager
Easy-WebPrint
ElsterFormular 2008/2009
Firebird SQL Server - MAGIX Edition (D)
Fotoservice
Free YouTube Download 2.2
Free YouTube to Mp3 Converter version 3.1
Google Earth
Google Updater
Hauppauge German Help Files and Resources
Hauppauge WinTV
Hauppauge WinTV DVB-T EPG Service
Hauppauge WinTV Infrared Remote
Hauppauge WinTV Scheduler
Hauppauge WinTV TV Services
High Definition Audio Driver Package - KB835221
HijackThis 2.0.2
Hotfix for Windows Media Format 11 SDK (KB929399)
Hotfix für Windows Internet Explorer 7 (KB947864)
Hotfix für Windows Media Player 11 (KB939683)
Hotfix für Windows XP (KB952287)
ICQ6
Intel(R) PROSet/Wireless Software
IntelliSonic Speech Enhancement
InterVideo FilterSDK for Hauppauge
IrfanView (remove only)
J2SE Runtime Environment 5.0 Update 6
Java(TM) 6 Update 11
Java(TM) 6 Update 3
Java(TM) 6 Update 5
Java(TM) 6 Update 7
KhalInstallWrapper
Laptop Integrated Webcam Driver (1.02.01.0612)
Live! Cam Avatar
Live! Cam Avatar Creator
Logitech SetPoint
MAGIX Foto Clinic 5.5 (D)
MAGIX Foto Manager 2007 (D)
MAGIX Fotos auf CD & DVD 6 deluxe (D)
MAGIX Goya burnR (D)
MAGIX Music Manager 2006 (D)
MAGIX Online Druck Service (D)
Malwarebytes' Anti-Malware
mCore
mDriver
mDrWiFi
mHlpDell
Microsoft .NET Framework 2.0 Service Pack 1
Microsoft .NET Framework 2.0 Service Pack 1 Language Pack - DEU
Microsoft Compression Client Pack 1.0 for Windows XP
Microsoft Internationalized Domain Names Mitigation APIs
Microsoft Kernel-Mode Driver Framework Feature Pack 1.5
Microsoft National Language Support Downlevel APIs
Microsoft Office Professional Edition 2003
Microsoft Private Folder 1.0
Microsoft User-Mode Driver Framework Feature Pack 1.0
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual C++ 2005 Redistributable
mIWA
mLogView
mMHouse
Mozilla Firefox (3.0.6)
mPfMgr
mPfWiz
mProSafe
mSCfg
mSSO
MSXML 4.0 SP2 (KB936181)
MSXML 4.0 SP2 (KB954430)
MSXML 6.0 Parser (KB933579)
mWlsSafe
mWMI
mZConfig
Nero 7 Ultra Edition
NVIDIA Drivers
OmniPage SE 2.0
pdf24
Personal Ancestral File 5
Personal Ancestral File Companion 5.2
QuickSet
SA31xx Device Manager & Media Converter
Sicherheitsupdate für Windows Internet Explorer 7 (KB938127)
Sicherheitsupdate für Windows Internet Explorer 7 (KB942615)
Sicherheitsupdate für Windows Internet Explorer 7 (KB944533)
Sicherheitsupdate für Windows Internet Explorer 7 (KB950759)
Sicherheitsupdate für Windows Internet Explorer 7 (KB953838)
Sicherheitsupdate für Windows Internet Explorer 7 (KB956390)
Sicherheitsupdate für Windows Internet Explorer 7 (KB958215)
Sicherheitsupdate für Windows Internet Explorer 7 (KB960714)
Sicherheitsupdate für Windows Internet Explorer 7 (KB961260)
Sicherheitsupdate für Windows Media Player (KB952069)
Sicherheitsupdate für Windows Media Player 11 (KB936782)
Sicherheitsupdate für Windows Media Player 11 (KB954154)
Sicherheitsupdate für Windows XP (KB923789)
Sicherheitsupdate für Windows XP (KB938464)
Sicherheitsupdate für Windows XP (KB941569)
Sicherheitsupdate für Windows XP (KB946648)
Sicherheitsupdate für Windows XP (KB950760)
Sicherheitsupdate für Windows XP (KB950762)
Sicherheitsupdate für Windows XP (KB950974)
Sicherheitsupdate für Windows XP (KB951066)
Sicherheitsupdate für Windows XP (KB951376)
Sicherheitsupdate für Windows XP (KB951376-v2)
Sicherheitsupdate für Windows XP (KB951698)
Sicherheitsupdate für Windows XP (KB951748)
Sicherheitsupdate für Windows XP (KB952954)
Sicherheitsupdate für Windows XP (KB953839)
Sicherheitsupdate für Windows XP (KB954211)
Sicherheitsupdate für Windows XP (KB954459)
Sicherheitsupdate für Windows XP (KB954600)
Sicherheitsupdate für Windows XP (KB955069)
Sicherheitsupdate für Windows XP (KB956391)
Sicherheitsupdate für Windows XP (KB956802)
Sicherheitsupdate für Windows XP (KB956803)
Sicherheitsupdate für Windows XP (KB956841)
Sicherheitsupdate für Windows XP (KB957095)
Sicherheitsupdate für Windows XP (KB957097)
Sicherheitsupdate für Windows XP (KB958644)
Sicherheitsupdate für Windows XP (KB958687)
Sicherheitsupdate für Windows XP (KB960715)
SigmaTel Audio
Skype™ 3.8
Spybot - Search & Destroy
Uninstall 1.0.0.0
Unlocker 1.8.7
Update für Windows XP (KB951072-v2)
Update für Windows XP (KB951978)
Update für Windows XP (KB955839)
Update für Windows XP (KB967715)
VideoLAN VLC media player 0.8.6d
VTPlus32 für WinTV (German)
WIDCOMM Bluetooth Software
Winamp
Windows Media Format 11 runtime
Windows Media Format 11 runtime
Windows Media Player 11
Windows Media Player 11
Windows XP Service Pack 3
Windows-Treiberpaket - Ricoh Company (rimsptsk) hdc (11/14/2006 6.00.01.04)
Ich hoffe nichts vergessen zu haben.

Was soll ich nun machen? Den PC neustaarten würde die gefixten Einträge wieder hochbringen über die Wiederherstellung , oder?

Vorab möchte ich schon mal danke für die Hilfe sagen.
Tom

Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:

Code: Alles auswählenAufklappen

ATTFilter

C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia\Common\69e5801a1.dll
C:\Dokumente und Einstellungen\+++\Anwendungsdaten\Macromedia\Commo n\69e5801a1.dll
         

Sollte die Meldung kommen, dass die Dateien bereits analysiert wurden, dann klicke trotzdem auf Analysieren. Sollte die Datei nicht zu finden sein, dann markiere hier eine Zeile, kopiere, wechsel auf Virustotal, klicke in das lange weiße Feld und füge ein.

Lass noch SUPERAntiSpyware laufen und poste das Log.

So sieht übrigens ein typisch kaputtinstallierter Rechner aus.

ciao, andreas

Scanns laufen noch. Ich werde sie gleich posten.

Was meinen Sie mit kaputtinstalliert?

Tom

Zitat:

Was meinen Sie mit kaputtinstalliert?

Jede Menge sinnfreier Programme, z.B. Windows Media Player gleich zweimal installiert (wozu, das ist schon einmal zuviel installiert), du (im Internet sagen alle du) hast doch Winamp. Wozu dann den WMP (eher würde ich mich foltern lassen, als den zu installieren)?

In letzter Zeit benutze ich ausschliesslich den KMPlayer 2.9.4.1435 - PCHome.de | Download (Kostenlos runterladen). Der spielt im Gegensatz zu VLC auch rmvb-Videos ab.

ciao, andreas

Du hast wohl recht. Danke für den Tip!!

Hier sind die Scan-Ergebnisse:

Datei 69e5801a1.dll empfangen 2009.02.27 20:50:33 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/39 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 3.
Geschätzte Startzeit ist zwischen 56 und 80 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.101 2009.02.27 -
AhnLab-V3 5.0.0.2 2009.02.27 -
AntiVir 7.9.0.98 2009.02.27 -
Authentium 5.1.0.4 2009.02.27 -
Avast 4.8.1335.0 2009.02.27 -
AVG 8.0.0.237 2009.02.27 -
BitDefender 7.2 2009.02.27 -
CAT-QuickHeal 10.00 2009.02.27 -
ClamAV 0.94.1 2009.02.27 -
Comodo 986 2009.02.20 -
DrWeb 4.44.0.09170 2009.02.27 -
eSafe 7.0.17.0 2009.02.26 -
eTrust-Vet 31.6.6376 2009.02.27 -
F-Prot 4.4.4.56 2009.02.26 -
F-Secure 8.0.14470.0 2009.02.27 -
Fortinet 3.117.0.0 2009.02.27 -
GData 19 2009.02.27 -
Ikarus T3.1.1.45.0 2009.02.27 -
K7AntiVirus 7.10.649 2009.02.27 -
Kaspersky 7.0.0.125 2009.02.27 -
McAfee 5538 2009.02.27 -
McAfee+Artemis 5538 2009.02.27 -
Microsoft 1.4306 2009.02.27 -
NOD32 3894 2009.02.27 -
Norman 6.00.06 2009.02.27 -
nProtect 2009.1.8.0 2009.02.27 -
Panda 10.0.0.10 2009.02.26 -
PCTools 4.4.2.0 2009.02.27 -
Prevx1 V2 2009.02.27 -
Rising 21.18.42.00 2009.02.27 -
SecureWeb-Gateway 6.7.6 2009.02.27 -
Sophos 4.39.0 2009.02.27 -
Sunbelt 3.2.1858.2 2009.02.27 -
Symantec 10 2009.02.27 -
TheHacker 6.3.2.5.267 2009.02.27 -
TrendMicro 8.700.0.1004 2009.02.27 -
VBA32 3.12.10.1 2009.02.26 -
ViRobot 2009.2.27.1627 2009.02.27 -
VirusBuster 4.5.11.0 2009.02.27 -
weitere Informationen
File size: 64512 bytes
MD5...: 2846a443f6d20a0ecd6a47afe68c21d9
SHA1..: ddc3705192f831cce01fd71b2945467edf7ae351
SHA256: abb699209cb3bd402c371cd517c77acea635582d1dae2f44905f5d74f868cc8a
SHA512: 6dfc43305849bb825ee3e63f6ea6a4f9191dd0b00c478e976e06ba9695fa2949
e55518a40f0d4959a3a92b047127832e9069cebf692a53d136fcdb5fddf9a914
ssdeep: 1536:lGuCLFc/RgE68/FboRNp95X6Vn/K5I74i8TMlurYOSuoUa8D:lyMo8/9oRN
p9Z2nC5s45seoU
PEiD..: Armadillo v1.xx - v2.xx
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0xc171
timedatestamp.....: 0x49a7a8d6 (Fri Feb 27 08:48:22 2009)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xe532 0xe600 6.11 2a4f6f4dc99e974f86bf5bff71c7f973
.rsrc 0x10000 0x358 0x400 2.91 d5960b6dde3fb6db93e30cf727b8bbaa
.reloc 0x11000 0xd9c 0xe00 6.40 77114ead588d31353f4070df789c8686

( 1 imports )
> KERNEL32.dll: GetCommandLineA, GetVersion, ExitProcess, TerminateProcess, GetCurrentProcess, GetCurrentThreadId, TlsSetValue, TlsAlloc, TlsFree, TlsGetValue, SetHandleCount, GetStdHandle, GetFileType, GetStartupInfoA, DeleteCriticalSection, GetModuleFileNameA, FreeEnvironmentStringsA, FreeEnvironmentStringsW, WideCharToMultiByte, GetEnvironmentStrings, GetEnvironmentStringsW, HeapDestroy, HeapCreate, VirtualFree, HeapFree, WriteFile, InitializeCriticalSection, EnterCriticalSection, LeaveCriticalSection, HeapAlloc, GetCPInfo, GetACP, GetOEMCP, VirtualAlloc, HeapReAlloc, GetProcAddress, LoadLibraryA, MultiByteToWideChar, LCMapStringA, LCMapStringW, GetStringTypeA, GetStringTypeW, RtlUnwind

( 0 exports )Datei 69e5801a1.dll empfangen 2009.02.27 20:25:34 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/39 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 1.
Geschätzte Startzeit ist zwischen 42 und 60 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.101 2009.02.27 -
AhnLab-V3 5.0.0.2 2009.02.27 -
AntiVir 7.9.0.98 2009.02.27 -
Authentium 5.1.0.4 2009.02.27 -
Avast 4.8.1335.0 2009.02.27 -
AVG 8.0.0.237 2009.02.27 -
BitDefender 7.2 2009.02.27 -
CAT-QuickHeal 10.00 2009.02.27 -
ClamAV 0.94.1 2009.02.27 -
Comodo 986 2009.02.20 -
DrWeb 4.44.0.09170 2009.02.27 -
eSafe 7.0.17.0 2009.02.26 -
eTrust-Vet 31.6.6376 2009.02.27 -
F-Prot 4.4.4.56 2009.02.26 -
F-Secure 8.0.14470.0 2009.02.27 -
Fortinet 3.117.0.0 2009.02.27 -
GData 19 2009.02.27 -
Ikarus T3.1.1.45.0 2009.02.27 -
K7AntiVirus 7.10.649 2009.02.27 -
Kaspersky 7.0.0.125 2009.02.27 -
McAfee 5538 2009.02.27 -
McAfee+Artemis 5538 2009.02.27 -
Microsoft 1.4306 2009.02.27 -
NOD32 3894 2009.02.27 -
Norman 6.00.06 2009.02.27 -
nProtect 2009.1.8.0 2009.02.27 -
Panda 10.0.0.10 2009.02.26 -
PCTools 4.4.2.0 2009.02.27 -
Prevx1 V2 2009.02.27 -
Rising 21.18.42.00 2009.02.27 -
SecureWeb-Gateway 6.7.6 2009.02.27 -
Sophos 4.39.0 2009.02.27 -
Sunbelt 3.2.1858.2 2009.02.27 -
Symantec 10 2009.02.27 -
TheHacker 6.3.2.5.267 2009.02.27 -
TrendMicro 8.700.0.1004 2009.02.27 -
VBA32 3.12.10.1 2009.02.26 -
ViRobot 2009.2.27.1627 2009.02.27 -
VirusBuster 4.5.11.0 2009.02.27 -
weitere Informationen
File size: 64512 bytes
MD5...: 2846a443f6d20a0ecd6a47afe68c21d9
SHA1..: ddc3705192f831cce01fd71b2945467edf7ae351
SHA256: abb699209cb3bd402c371cd517c77acea635582d1dae2f44905f5d74f868cc8a
SHA512: 6dfc43305849bb825ee3e63f6ea6a4f9191dd0b00c478e976e06ba9695fa2949
e55518a40f0d4959a3a92b047127832e9069cebf692a53d136fcdb5fddf9a914
ssdeep: 1536:lGuCLFc/RgE68/FboRNp95X6Vn/K5I74i8TMlurYOSuoUa8D:lyMo8/9oRN
p9Z2nC5s45seoU
PEiD..: Armadillo v1.xx - v2.xx
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0xc171
timedatestamp.....: 0x49a7a8d6 (Fri Feb 27 08:48:22 2009)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xe532 0xe600 6.11 2a4f6f4dc99e974f86bf5bff71c7f973
.rsrc 0x10000 0x358 0x400 2.91 d5960b6dde3fb6db93e30cf727b8bbaa
.reloc 0x11000 0xd9c 0xe00 6.40 77114ead588d31353f4070df789c8686

( 1 imports )
> KERNEL32.dll: GetCommandLineA, GetVersion, ExitProcess, TerminateProcess, GetCurrentProcess, GetCurrentThreadId, TlsSetValue, TlsAlloc, TlsFree, TlsGetValue, SetHandleCount, GetStdHandle, GetFileType, GetStartupInfoA, DeleteCriticalSection, GetModuleFileNameA, FreeEnvironmentStringsA, FreeEnvironmentStringsW, WideCharToMultiByte, GetEnvironmentStrings, GetEnvironmentStringsW, HeapDestroy, HeapCreate, VirtualFree, HeapFree, WriteFile, InitializeCriticalSection, EnterCriticalSection, LeaveCriticalSection, HeapAlloc, GetCPInfo, GetACP, GetOEMCP, VirtualAlloc, HeapReAlloc, GetProcAddress, LoadLibraryA, MultiByteToWideChar, LCMapStringA, LCMapStringW, GetStringTypeA, GetStringTypeW, RtlUnwind

( 0 exports )
SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 02/27/2009 at 09:41 PM

Application Version : 4.25.1014

Core Rules Database Version : 3778
Trace Rules Database Version: 1737

Scan type : Complete Scan
Total Scan Time : 01:09:11

Memory items scanned : 580
Memory threats detected : 0
Registry items scanned : 6670
Registry threats detected : 0
File items scanned : 86854
File threats detected : 1

Rootkit.TDSServ-Trace
C:\WINDOWS\SYSTEM32\TDSSOSVD.DATSo, und jetzt?

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

ciao, andreas

Hier das Logfile von Combofix:

ComboFix 09-02-26.02 - Tom 2009-02-27 22:09:55.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.2046.1355 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\++\Desktop\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated)
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\PFLib.dll

.
((((((((((((((((((((((( Dateien erstellt von 2009-01-27 bis 2009-02-27 ))))))))))))))))))))))))))))))
.

2009-02-27 20:28 . 2009-02-27 20:28 <DIR> d-------- c:\programme\SUPERAntiSpyware
2009-02-27 20:28 . 2009-02-27 20:28 <DIR> d-------- c:\dokumente und einstellungen\++\Anwendungsdaten\SUPERAntiSpyware.com
2009-02-27 20:28 . 2009-02-27 20:28 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2009-02-27 20:27 . 2009-02-27 20:27 <DIR> d-------- c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-02-21 12:47 . 2009-02-21 12:47 311,296 --a------ c:\windows\~DFC6B2.tmp
2009-02-09 17:14 . 2009-02-09 17:16 <DIR> d-------- c:\dokumente und einstellungen\++\Anwendungsdaten\U3
2009-02-02 20:08 . 2009-02-02 20:08 32,135 --a------ c:\windows\Irremote.ini
2009-02-02 20:08 . 2009-02-02 20:08 30 --a------ c:\windows\system32\UNWISE.INI

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-27 17:11 --------- d-----w c:\dokumente und einstellungen\Tom\Anwendungsdaten\Canon
2009-02-27 16:12 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-02-27 12:49 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Google Updater
2009-02-23 17:47 140,216 ----a-w c:\windows\system32\drivers\PnkBstrK.sys
2009-02-23 07:39 --------- d-----w c:\programme\WinTV
2009-02-22 13:30 --------- d-----w c:\dokumente und einstellungen\++\Anwendungsdaten\ZoomBrowser EX
2009-02-22 13:30 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\ZoomBrowser
2009-02-21 11:47 --------- d-----w c:\programme\Malwarebytes' Anti-Malware
2009-02-11 09:19 38,496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2009-02-11 09:19 15,504 ----a-w c:\windows\system32\drivers\mbam.sys
2009-02-02 19:08 --------- d-----w c:\programme\vtplus
2009-01-11 19:04 --------- d-----w c:\programme\ElsterFormular
2009-01-10 11:27 --------- d--h--w c:\programme\InstallShield Installation Information
2009-01-05 19:39 --------- d-----w c:\dokumente und einstellungen\++\Anwendungsdaten\Skype
2009-01-05 19:38 --------- d-----w c:\dokumente und einstellungen\++\Anwendungsdaten\skypePM
2009-01-03 11:34 --------- d-----w c:\programme\Google
2008-12-04 17:16 311,296 ----a-w c:\windows\~DF91A9.tmp
2008-02-16 18:07 32 ----a-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\ezsid.dat
2008-02-01 16:39 76 --sh--r c:\windows\CT4CET.bin
2008-05-09 12:32 32,768 --sha-w c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008050920080510\index.dat
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"DellSupportCenter"="c:\programme\Dell Support Center\bin\sprtcmd.exe" [2008-08-13 206064]
"SUPERAntiSpyware"="c:\programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2009-02-17 1830128]
"rundll32.exe"="c:\dokumente und einstellungen\++\Anwendungsdaten\Macromedia\Common\69e5801a1.dll" [2009-02-27 64512]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-06-06 8433664]
"IntelZeroConfig"="c:\programme\Intel\Wireless\bin\ZCfgSvc.exe" [2007-02-21 819200]
"IntelWireless"="c:\programme\Intel\Wireless\Bin\ifrmewrk.exe" [2007-02-21 970752]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2007-04-27 851968]
"KADxMain"="c:\windows\system32\KADxMain.exe" [2006-11-02 282624]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2008-12-03 136600]
"dscactivate"="c:\programme\Dell Support Center\gs_agent\custom\dsca.exe" [2007-11-15 16384]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Premium\avgnt.exe" [2008-07-17 266497]
"DellSupportCenter"="c:\programme\Dell Support Center\bin\sprtcmd.exe" [2008-08-13 206064]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]
"nwiz"="nwiz.exe" [2007-06-06 c:\windows\system32\nwiz.exe]
"NvMediaCenter"="NvMCTray.dll" [2007-06-06 c:\windows\system32\nvmctray.dll]
"SigmatelSysTrayApp"="stsystra.exe" [2007-05-06 c:\windows\stsystra.exe]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-11-29 c:\windows\KHALMNPR.Exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"rundll32.exe"="c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\Macromedia\Common\69e5801a1.dll" [2009-02-27 64512]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
AutoStart IR.lnk - c:\programme\WinTV\Ir.exe [2009-02-02 110647]
BTTray.lnk - c:\programme\WIDCOMM\Bluetooth Software\BTTray.exe [2007-05-17 568176]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2008-12-22 11:05 356352 c:\programme\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"wave1"= c:\dokume~1\++\ANWEND~1\MACROM~1\Common\69e5801a1.dll
"midi1"= c:\dokume~1\++\ANWEND~1\MACROM~1\Common\69e5801a1.dll
"mixer1"= c:\dokume~1\++\ANWEND~1\MACROM~1\Common\69e5801a1.dll
"wave2"= c:\dokume~1\++\ANWEND~1\MACROM~1\Common\69e5801a1.dll
"midi2"= c:\dokume~1\++\ANWEND~1\MACROM~1\Common\69e5801a1.dll
"mixer2"= c:\dokume~1\++\ANWEND~1\MACROM~1\Common\69e5801a1.dll
"aux1"= c:\dokume~1\++\ANWEND~1\MACROM~1\Common\69e5801a1.dll
"aux2"= c:\dokume~1\++\ANWEND~1\MACROM~1\Common\69e5801a1.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Logitech SetPoint.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Logitech SetPoint.lnk
backup=c:\windows\pss\Logitech SetPoint.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-10-15 01:04 39792 c:\programme\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Dell QuickSet]
--a------ 2007-07-03 13:57 1228800 c:\programme\Dell\QuickSet\quickset.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DELL Webcam Manager]
--------- 2007-07-27 16:43 118784 c:\programme\Dell\Dell Webcam Manager\DellWMgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Easy-PrintToolBox]
--a------ 2004-01-14 02:10 409600 c:\programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PDFPrint]
--a------ 2008-01-31 08:17 134144 c:\programme\Tools\pdf24\PDFBackend.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
-ra------ 2008-11-07 14:31 21633320 c:\programme\Skype\Phone\Skype.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\ICQ6\\ICQ.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Programme\\EA GAMES\\Battlefield 2\\BF2.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R1 SASDIFSV;SASDIFSV;c:\programme\SUPERAntiSpyware\sasdifsv.sys [2009-02-17 8944]
R1 SASKUTIL;SASKUTIL;c:\programme\SUPERAntiSpyware\SASKUTIL.SYS [2009-02-17 55024]
R2 {FE4C91E7-22C2-4D0C-9F6B-82F1B7742054};{FE4C91E7-22C2-4D0C-9F6B-82F1B7742054};c:\programme\Tools\CyberLink\PowerDVD8\PowerDVD8\000.fcl [2008-02-01 16:24:04 41456]
R2 AntiVirMailService;AntiVir PersonalEdition Premium MailGuard;c:\programme\Avira\AntiVir PersonalEdition Premium\avmailc.exe [2008-03-04 164097]
R2 AVEService;AntiVir PersonalEdition Premium MailGuard Hilfsdienst;c:\programme\Avira\AntiVir PersonalEdition Premium\avesvc.exe [2008-03-04 41217]
R2 EPGService;EPGService;c:\progra~1\WinTV\EPG Services\System\EPGService.exe [2009-02-02 431104]
R2 Prvflder;Prvflder;c:\windows\system32\drivers\prvflder.sys [2006-04-21 70912]
R3 OEM02Afx;Provides a software interface to control audio effects of OEM002 camera.;c:\windows\system32\drivers\OEM02Afx.sys [2008-02-02 141376]
R3 OEM02Dev;Creative Camera OEM002 Driver;c:\windows\system32\drivers\OEM02Dev.sys [2008-02-02 235584]
R3 OEM02Vfx;Creative Camera OEM002 Video VFX Driver;c:\windows\system32\drivers\OEM02Vfx.sys [2008-02-02 7424]
R3 SASENUM;SASENUM;c:\programme\SUPERAntiSpyware\SASENUM.SYS [2009-02-17 7408]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\programme\Common\Database\bin\fbserver.exe [2008-02-16 1527900]
S3 HauppaugeTVServer;HauppaugeTVServer;c:\progra~1\WinTV\HCWTVS~1.EXE [2009-02-02 815104]
S3 hcw95bda;Hauppauge MOD7700 Tuner Driver;c:\windows\system32\drivers\hcw95bda.sys [2008-08-29 487424]
S3 hcw95rc;Hauppauge MOD7700 IR Driver;c:\windows\system32\drivers\hcw95rc.sys [2008-08-29 15488]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E]
\Shell\AutoRun\command - E:\LaunchU3.exe -a
.
Inhalt des "geplante Tasks" Ordners

2009-02-11 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2007-08-29 14:57]

2009-02-27 c:\windows\Tasks\Google Software Updater.job
- c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-01-03 12:33]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

MSConfigStartUp-WinampAgent - c:\programme\Winamp\winampa.exe


.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
IE: Easy-WebPrint - Drucken - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
IE: Easy-WebPrint - Schnelldruck - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
IE: Easy-WebPrint - Vorschau - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
IE: Easy-WebPrint - Zu Druckliste hinzufügen - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Senden an &Bluetooth-Gerät... - c:\programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
LSP: avsda.dll
FF - ProfilePath - c:\dokumente und einstellungen\++\Anwendungsdaten\Mozilla\Firefox\Profiles\s24lf7b0.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - plugin: c:\programme\Google\Google Updater\2.4.1441.4352\npCIDetect13.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-27 22:14:17
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\{FE4C91E7-22C2-4D0C-9F6B-82F1B7742054}]
"ImagePath"="\??\c:\programme\Tools\CyberLink\PowerDVD8\PowerDVD8\000.fcl"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(968)
c:\programme\SUPERAntiSpyware\SASWINLO.dll

- - - - - - - > 'lsass.exe'(1024)
c:\windows\system32\avsda.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
c:\programme\Intel\Wireless\Bin\EvtEng.exe
c:\programme\Intel\Wireless\Bin\S24EvMon.exe
c:\programme\Intel\Wireless\Bin\WLKEEPER.exe
c:\programme\Avira\AntiVir PersonalEdition Premium\avguard.exe
c:\programme\Avira\AntiVir PersonalEdition Premium\sched.exe
c:\programme\WinTV\EPG Services\System\EPGService.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\windows\system32\nvsvc32.exe
c:\windows\system32\PnkBstrA.exe
c:\windows\system32\PnkBstrB.exe
c:\programme\Microsoft Private Folder 1.0\PrfldSvc.exe
c:\programme\Intel\Wireless\Bin\RegSrvc.exe
c:\programme\Dell Support Center\bin\sprtsvc.exe
c:\programme\Canon\CAL\CALMAIN.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\rundll32.exe
c:\programme\Intel\Wireless\Bin\Dot1XCfg.exe
c:\windows\system32\wscntfy.exe
c:\progra~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-02-27 22:16:33 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-02-27 21:16:30

Vor Suchlauf: 15 Verzeichnis(se), 29.807.644.672 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

208 --- E O F --- 2009-02-25 20:31:51Die Autostartfunktion vom DVD-Laufwerk funktioniert nicht.

Wie sieht denn jetzt das Ergebnis aus?

kann mir denn jetzt nach der langen Prozedur keiner mehr weiterhelfen?

Ich bin am verzweifeln...

1.) Lasse SourceForge.net: JavaRa: Downloading ... laufen.

2.) Deinstalliere:

• SuperAntiSpyware
• Unlocker
• Spybot
• ICQ6
• Acrobat Reader
• Adobe Flash Player
• Google Updater und Toolbars

3.) Installiere (Toolbars immer abwählen, Haken weg):

• Adobe - Adobe Reader oder besser Foxit Software - Foxit Reader 3.0 for Windows
• Download der Java-Software von Sun Microsystems
• Adobe - Adobe Flash Player
• ICQ Download - ICQ.com

4.) Scripten mit Combofix


In Zukunft bitte nicht mehr die ComboFix-Logs editieren. Das nervt. Ersetze alle ++ durch deinen Anmeldenamen.

• Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code: Alles auswählenAufklappen

ATTFilter

KILLALL::

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windowsnt\currentversion\drivers32]
"wave1"=-
"midi1"=-
"mixer1"=-
"wave2"=-
"midi2"=-
"mixer2"=-
"aux1"=-
"aux2"=-

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"rundll32.exe"=-

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"rundll32.exe"=-

File::
c:\windows\Tasks\Google Software Updater.job
c:\windows\Tasks\AppleSoftwareUpdate.job
c:\windows\~DF91A9.tmp
c:\windows\~DFC6B2.tmp

Folder::
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia
C:\Dokumente und Einstellungen\+++\Anwendungsdaten\Macromedia

Filelook::
c:\windows\Irremote.ini
         

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

• Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

• Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

5.) GMER - Rootkit Detection

• Lade Tralala von File-Upload.net - Tralala.exe
• Klick auf Download (rechts in der Mitte) und speichere es auf den Desktop
• Doppelklick auf Tralala.exe
• Der Reiter Rootkit oben ist schon angewählt

• Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
• nach Beendigung des Scan, drücke "Copy"
• nun kannst Du das Ergebnis hier einfügen. Sollte das Log zu lang sein, dann lade es bei einem Filehoster wie z.B. Materialordner.de hoch und poste den Link.
• Sollte GMER sagen "Gmer hasen´t found any System Modifikation", so hat GMER keine Einträge gefunden.

ciao, andreas

p.s.:

Zitat:

kann mir denn jetzt nach der langen Prozedur keiner mehr weiterhelfen?

Ach du möchtest die schnelle Lösung. Warum hast du das nicht gleich gesagt:
http://www.trojaner-board.de/51262-a...sicherung.html

Andreas bitte nimm mir meine Ungeduld nicht krumm. Ich habe bei der ganzen Prozedur ein Verständnisproblem. Hab ich einen Virus o.ä.?? Ich weiß momentan nicht wo ich mit meinem System in dem Ablauf stehe!!

Ich frage mich bei jeder Deiner Antworten was es nun wieder bewirken wird. Sorry aber die einzelnen Schritte sind für mich zwar zu erledigen aber nicht zu verstehen.

So, jetzt werde ich erstmal in die Pofe. Ich muss Morgen arbeiten. Ich hoffe doch, dass ich die von Dir eingestllten Aufgaben Morgen noch erledigen kann.

DANKE für Deine Mühe!!
Tom

Ich habe eine Frage zu Punkt 4:
Wenn ich den Text mit der Bezeichung "cfscript.txt" speichern möchte, fragt der Editor, ob wirklich eine Textdatei zu speichern sei. Hierbei würde die Formatierung verloren gehen. Das vom Edotor vorgegebene Format ist rtf. Soll ich diese Frage mit ja beantworten?
Tom

Zitat:

Soll ich diese Frage mit ja beantworten?

Ja.

ciao, andreas

hallo andreas
nachdem ich die punkte 1-3 soweit befolgt habe wurde von mir die Textdatei wie von Dir beschrieben auf dem Desktop auf das Symbol von Combofix gezogen. Direkt im Anschluss startete Combofix.

Allerdings erhielt ich kurze Zeit später einen Bluescreen mit einer Meldung über den gesamten Bildschirm:

PC nicht beschädigt
Das Problem wurde möglicherweise von der folg. Datei verursacht catchme.sys
PAGE_FAULT_IN_NONPAGE_AREA
Wenn sie diese Meldung zum ersten mal angezeigt bekommen, sollten sie den PC neu starten. Wenn diese Meldung weiterhin angezeigt wird, müssen sie folgenden Schritten folgen:
Stellen Sie sicherdass neue Hard- o. Software richtig inst. ist.
Sollte das Problem weiterhin bestehen sollten sie alle neu inst. Hard- o. Software deinst.
Deaktivieren Sie BIOS-Optionen wie Caching o. Shadowing Starten Sie dden PC neu. Drücken Sie die F8 Taste um die erw. Startopt. neu zu wählen

STOP: 0x00000050 (0xB3419000, 0x00000000, 01BABB3CC1, 0x00000000)
Catchme.sys - Adress BABB3CC1 base at BABB0000, Datestamp 482217cc

Mein Notebook habe ich dann auf die unsanfte Art neugestartet. Aus/AN

Was hälst Du davon und wie lautet der nächste Schritt????

Tom