Hallo,

dies ist mein erster Beitrag hier!

Erste Probleme (merkliche) Probleme gab es, als ich beim Einloggen in´s Online Banking Portal der Sparkasse nach 20 TANs gefragt wurde... Ein Telefonat mit der Hotline bewirkte die Sperrung meines Kontos und den Hinweis, das es sich um einen Trojaner handeln solle.

Ich benutze den Internetexplorer 6.0, Outlook Express, SP2...JA ich werde auf Firefox und Thunderbird wechseln!

-Avira AntiVir - Personal Edition wurde (und wird täglich!) "geupdated" und fand nichts!

-Spybot (ebenfalls immer aktuell!) fand nichts!

-McAffee "online Check" fand nach 3x auch nichts!

-CClean fand einige Fehler bei der "Registry" und erstellte 3 Sicherungen im ".reg" Format.
(Habe diese abgespeichert - können bei Bedarf geposted werden.)

-Malwarebites Anti Malware fand einiges, hier der Bericht:

Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1824
Windows 5.1.2600 Service Pack 2

06.03.2009 16:24:12
mbam-log-2009-03-06 (16-24-12).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|G:\|)
Durchsuchte Objekte: 177378
Laufzeit: 44 minute(s), 44 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 8
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{3ba4271e-5c1e-48e2-b432-d8bf420dd31d} (Rogue.DeusCleaner) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\rundll32.exe (Hijack.Sound) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\rundll32.exe (Hijack.Sound) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\wave1 (Hijack.Sound) -> Bad: (C:\DOKUME~1\Oliver\ANWEND~1\MACROM~1\Common\cc27800a1.dll) Good: (wdmaud.drv) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\midi1 (Hijack.Sound) -> Bad: (C:\DOKUME~1\Oliver\ANWEND~1\MACROM~1\Common\cc27800a1.dll) Good: (wdmaud.drv) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\mixer1 (Hijack.Sound) -> Bad: (C:\DOKUME~1\Oliver\ANWEND~1\MACROM~1\Common\cc27800a1.dll) Good: (wdmaud.drv) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\aux1 (Hijack.Sound) -> Bad: (C:\DOKUME~1\Oliver\ANWEND~1\MACROM~1\Common\cc27800a1.dll) Good: (wdmaud.drv) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\midi2 (Hijack.Sound) -> Bad: (C:\DOKUME~1\Oliver\ANWEND~1\MACROM~1\Common\cc27800a1.dll) Good: (wdmaud.drv) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\wave2 (Hijack.Sound) -> Bad: (C:\DOKUME~1\Oliver\ANWEND~1\MACROM~1\Common\cc27800a1.dll) Good: (wdmaud.drv) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\aux2 (Hijack.Sound) -> Bad: (C:\DOKUME~1\Oliver\ANWEND~1\MACROM~1\Common\cc27800a1.dll) Good: (wdmaud.drv) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\mixer2 (Hijack.Sound) -> Bad: (C:\DOKUME~1\Oliver\ANWEND~1\MACROM~1\Common\cc27800a1.dll) Good: (wdmaud.drv) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Macromedia\Common\cc27800a1.dll (Hijack.Sound) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia\Common\cc27800a1.dll (Hijack.Sound) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Oliver\Anwendungsdaten\Macromedia\Common\cc27800a1.dll (Hijack.Sound) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Helma\Anwendungsdaten\Macromedia\Common\cc27800a1.dll (Hijack.Sound) -> Quarantined and deleted successfully.


-Hijackthis habe ich wie beschrieben durchlaufen lassen und editiert. Hier das Ergebnis:

Logfile of HijackThis v1.99.1
Scan saved at 16:34:32, on 06.03.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Launch Manager\QtZgAcer.EXE
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Lexmark X5100 Series\lxbabmgr.exe
C:\Programme\Lexmark X5100 Series\lxbabmon.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Acer\eManager\anbmServ.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\Eigene Dateien\Zwischenablage\PC\Trojaner Board Schrittweise\Schritt 3\Hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://signin.ebay.de/ws/eBayISAPI.dll?SignIn&UsingSSL=1&pUserId=&co_partnerId=2&siteid=77&ru=http%3A%2F%2Fcgi5.ebay.de%3A80%2Fws2%2FeBayISAPI.dll%3FSellItem%26hc%3D1%26hm%3Du m.s5tjbhnm506%26SellItem%3D%26guest%3D1%26pass%3D%7B_pass_%7D%26userid%3D&pageType=1144
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://www.versatel.de/internet-cd/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LManager] C:\Programme\Launch Manager\QtZgAcer.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Lexmark X5100 Series] "C:\Programme\Lexmark X5100 Series\lxbabmgr.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.versatel.de/internet-cd/
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - h**p://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - h**p://www.bitdefender.de/scan_de/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1188998430215
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1188998424056
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - h**p://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,5539/mcfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{68BCE9D4-E7A6-4D60-9318-8857F3BA5136}: NameServer = 82.144.41.8 82.145.9.8
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Programme\Java\jre6\bin\jqs.exe" -service -config "C:\Programme\Java\jre6\lib\deploy\jqs\jqs.conf (file missing)
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE


Ab hier verlassen sie mich dann... und ich würde mich freuen, wenn Ihr mir weiterhelfen könntet!

Ich werde das System sowieso neu aufsetzen, sobald ich mein neues Laufwerk bekommen habe! Mein altes liest nämlich keine CDs, nur noch DVDs!
Ich frage mich, ob das mit dem oben beschriebenen (eventuellen) Problemen zusammenhängt?

Habe mir nämlich bei Ebay ein gebrauchtes gekauft, von dem der Vorbesitzer beschwor, das es i.O. sei! Es zeigte nach dem "Flashen" das selbe Problem!

Ein "ladenneues/jungfräuliches" Laufwerk (Slim/Laptop) muß nicht geflasht werden, oder?!

Ich weiß, das das nicht hier dazugehört! Aber das sind die Probleme die ich gerade hab´ und vielleicht kann die jemand von Euch auch nebenbei beantworten oder mich zu einem entsprechenden Link/Thema leiten?!

Na denn erstmal vielen Dank im Voraus!
Oliver
(Berlin)

Halli hallo.

Als erstes vorweg: Du musst deinen Rechner neuaufsetzen. Da du das eh vorhast und nur noch auf dein Laufwerk warten möchtest hier die erste Hilfe:



ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.



Panda Active Scan

Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation

Drücke auf Jetzt Scannen!

Eine Registrierung ist nicht erforderlich!

Nachdem der Scan abgeschlossen ist drücke auf das Text-Icon Export und speichere das log auf dem Desktop.
Öffne die Datei ActiveScan.txt die sich nun auf deinem Desktop befindet und poste uns den Inhalt.

Logge dich aber auch nach der Bereinigung hier im Forum nirgens über diesen PC ein und betrachte ihn als nicht vertrauenswürdig!!

Neuaufsetzen solltest du nach folgendem Muster:

Bereinigung nach einer Kompromitierung

Hinweis: Die Analyse eines Virenscanners ist völlig unzureichend, um Aussagen über das System zu machen, kann aber als Hilfsmittel eingesetzt werden, sofern er von einem sauberen System aus betrieben wird.

Leider tauchen momentan immer mehr Schädlinge auf die sich in den Master Boot Record, kurz MBR einschreiben. Dieser wird bei einer herkömmlichen Neuinstallation nicht komplett überschrieben und stellt somit ein erhebliches Sicherheitsrisiko dar. Vor der Neuinstallation sollte daher sichergegangen werden, dass der MBR in Ordnung ist.

Master Boot Record überprüfen:

Lade dir die mbr.exe von GMER auf den Desktop und führe die Datei mit Administrator-Rechten aus.

Sollte ein MBR Rootkit gefunden worde sein, das wird im log durch den Ausdruck

Zitat:

MBR rootkit code detected !

indiziert, musst du eine Bereinigung vornehmen.

Downloade dir dafür die mbr.bat.txt von BataAlexander und speichere sie neben der mbr.exe auf dem Desktop.
Ändere die Endung der mbr.txt.bat in mbr.bat Eine vernünftige Ordneransicht ist dafür nötig.
Dann führe die mbr.bat. durch einen Doppelklick aus.
Dabei muss sich die mbr.exe von GMER ebenfalls auf dem Desktop befinden!

Der MBR wird bereinigt und es erscheint ein log. Dieses log solltest du hier posten!

Nachdem das O.k. durch deinen Helfer gegeben wurde kannst du mit der sicheren Neuinstallation beginnen.

Lies dir bitte bevor du dich an die Arbeit machst folgende Anleitung ganz genau durch:

Neuaufsetzen des Systems mit abschließender Absicherung.

Wenn du diese Anleitung zum Neuaufsetzen nicht ganz genau befolgst ist das Neuaufsetzen sinnlos!

Alle Festplatten müssen komplett formatiert werden!

Daten solltest du am besten keine sichern.
Wenn du sehr wichtige, unersetzliche Dateien sichern möchtest so musst du dies nach strengen Kriterien tun:

a) Die Datei darf nicht ausführbar sein. Das heisst sie darf keine der hier aufgeführte Dateiendung haben. Beachte bitte, dass einige Schädlinge ihre Dateiendung tarnen. Abhilfe schafft hier eine vernünftige Ordneransicht.

b) Jede Datei sollte, bevor sie wieder auf den frischen Rechner gelangt mit MWAV/eScan durchsucht werden.

c) Auch wenn du die Punkte a) und b) ganz genau einhältst sind die Dateien nicht vertrauenswürdig!!
Schädlinge können auch nicht-ausführbare Dateien wie .mp3 .doc usw. infizieren!! Und MWAV sowie andere AV-Scanner findet nur einen Bruchteil aller infizierten Dateien!

Nachdem du neuaufgesetzt hast musst du unbedingt alle Passwörter und Zugangsaccounts ändern!!!

Hallo und vielen Dank erstmal!

Werde das jetzt Punkt für Punkt abarbeiten...

Eine wichtige Frage ist da noch, bitte!

Ich habe gerade mein neues Laufwerk aus der Packstation abgeholt... es handelt sich dabei um ein (wie gesagt) Slimline Gerät für den Laptop (Acer Extensa 3000).
Es ist Neuware von Toshiba.

Nun hatte ich extreme Probleme, bis das Vorgängerlaufwerk erkannt wurde...
Wenn ich jetzt all´die Schritte befolgen werde, WANN sollte ich das neue Laufwerk einsetzen/installieren?

Problematik war ja, das ich die "Recovery CD" eben nur auf "CD" besitze und das alte Laufwerk nur noch DVDs liest.

Besteht hier überhaupt ein Zusammenhang?
Wundern würde es mich nicht...

Also nochmal die Frage in Kurzform:

Wann das neue Laufwerk einsetzen?

Herzlichen Dank nochmal,
Oliver

Ich glaube nicht, dass deine Laufwerksprobleme mit dem Schädling zu tun haben. Trotzdem würde ich das Laufwerk erst nach der ersten Hilfe einsetzen. Also wenn wir hier fertig sind.

Ach - ich habe noch etwas vergessen!

Du schreibst davon, das ich keinerlei Daten Sichern sollte...
Und leider funktioniert der Link zu den "zu vermeidenden" Dateiendungen nicht.

- Wie sieht es hier mit externen Festplatten aus?


In Deinen zwei Antworten verstehe ich ebenfalls zwei Punkte nicht genau.

Zitat:

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Daher mein Verständnisproblem "WANN" das Laufwerk eingesetzt werden soll...
Daraufhin hast Du ja geantwortet:

Zitat:

Trotzdem würde ich das Laufwerk erst nach der ersten Hilfe einsetzen. Also wenn wir hier fertig sind.

Wollen wir uns darauf einigen, das Du mir sagst, wann es eingesetzt werden darf?

Danke Dir erstmal bis hier! Ich werde dann mal beginnen...

Gruß,
Oliver

Hallo,

hier die verlangten Berichte:

ComboFix 09-03-04.01 - Oliver 2009-03-07 16:10:12.1 - FAT32x86
ausgeführt von:: c:\dokumente und einstellungen\Oliver\Desktop\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\Oliver\Anwendungsdaten\inst.exe

.
((((((((((((((((((((((( Dateien erstellt von 2009-02-07 bis 2009-03-07 ))))))))))))))))))))))))))))))
.

2009-03-06 15:25 . 2009-03-06 15:25 <DIR> d-------- c:\dokumente und einstellungen\Oliver\Anwendungsdaten\Malwarebytes
2009-03-06 15:25 . 2009-02-11 10:19 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-03-06 15:25 . 2009-02-11 10:19 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-03-06 15:18 . 2009-03-06 15:18 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2009-03-06 15:18 . 2009-03-06 15:18 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-03-06 15:09 . 2009-03-06 15:09 <DIR> d-------- c:\programme\CCleaner
2009-03-01 15:46 . 2009-03-01 15:46 <DIR> d-------- c:\windows\McAfee.com
2009-02-27 23:34 . 2009-02-27 23:34 <DIR> d-------- c:\windows\BDOSCAN8
2009-02-27 20:35 . 2009-02-27 20:35 <DIR> d-------- c:\windows\system32\Kaspersky Lab
2009-02-27 20:35 . 2009-02-27 20:35 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-29 00:33 47,360 ----a-w c:\dokumente und einstellungen\Oliver\Anwendungsdaten\pcouffin.sys
2009-01-28 22:39 47,360 ----a-w c:\windows\system32\drivers\pcouffin.sys
2009-01-28 22:39 --------- d-----w c:\dokumente und einstellungen\Oliver\Anwendungsdaten\Vso
2009-01-27 19:31 --------- d-----w c:\programme\Western Digital Technologies
2009-01-22 12:30 87,936 ----a-w c:\dokumente und einstellungen\Oliver\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-01-18 23:26 --------- d-----w c:\dokumente und einstellungen\Oliver\Anwendungsdaten\Corel
2009-01-18 23:00 --------- d-----w c:\programme\Gemeinsame Dateien\Corel
2009-01-18 22:59 --------- d-----w c:\programme\Corel
2009-01-18 22:53 --------- d-----w c:\programme\CorelDRAW Graphics Suite 11
2008-11-27 17:57 64,088 ----a-w c:\dokumente und einstellungen\Helma\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2008-11-27 17:48 61,836,888 ----a-w c:\dokumente und einstellungen\Helma\setup_neckermann_de_Fotowelt.exe
2007-12-06 18:36 284 ----a-w c:\dokumente und einstellungen\Oliver\Anwendungsdaten\ViewerApp.dat
2003-01-21 02:00 13,095,560 ----a-r c:\windows\system32\config\systemprofile\MpSetup.exe
2003-01-21 02:00 13,095,560 ----a-r c:\dokumente und einstellungen\Oliver\MpSetup.exe
2003-01-21 02:00 13,095,560 ----a-r c:\dokumente und einstellungen\Helma\MpSetup.exe
2003-01-21 02:00 13,095,560 ----a-r c:\dokumente und einstellungen\Default User\MpSetup.exe
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-01-26 2144088]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LaunchApp"="Alaunch" [X]
"SynTPLpr"="c:\programme\Synaptics\SynTP\SynTPLpr.exe" [2004-05-20 98304]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2004-05-20 532480]
"RemoteControl"="c:\programme\CyberLink\PowerDVD\PDVDServ.exe" [2003-10-21 40960]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-04 208952]
"MSPY2002"="c:\windows\System32\IME\PINTLGNT\ImScInst.exe" [2003-04-02 59392]
"PHIME2002ASync"="c:\windows\System32\IME\TINTLGNT\TINTSETP.EXE" [2003-04-02 455168]
"PHIME2002A"="c:\windows\System32\IME\TINTLGNT\TINTSETP.EXE" [2003-04-02 455168]
"ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-05-15 339968]
"LManager"="c:\programme\Launch Manager\QtZgAcer.EXE" [2004-07-05 315392]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2008-11-24 136600]
"Lexmark X5100 Series"="c:\programme\Lexmark X5100 Series\lxbabmgr.exe" [2003-03-04 86099]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2008-06-05 413696]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-04 15360]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 83360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\eBay\\Turbo Lister2\\Tl.exe"=
"c:\\WINDOWS\\System32\\LEXPPS.EXE"=
"c:\\WINDOWS\\System32\\FXSCLNT.exe"=
"c:\\Programme\\Lexmark X5100 Series\\LXBAAIOX.EXE"=
"c:\\Programme\\Avira\\AntiVir PersonalEdition Classic\\avcenter.exe"=
"c:\\Programme\\Ahead\\Nero MediaHome\\NeroMediaHome.exe"=
"c:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"c:\\Programme\\MSN Messenger\\livecall.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=

R1 SMBHC;Microsoft SM Bus-Hostcontrollertreiber;c:\windows\system32\drivers\smbhc.sys [2004-07-06 6784]
R3 SMBBATT;Microsoft Smart Battery-Treiber;c:\windows\system32\drivers\smbbatt.sys [2004-07-06 16128]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = https://signin.ebay.de/ws/eBayISAPI.dll?SignIn&UsingSSL=1&pUserId=&co_partnerId=2&siteid=77&ru=http%3A%2F%2Fcgi5.ebay.de%3A80%2Fws2%2FeBayISAPI.dll%3FSellItem%26hc%3D1%26hm%3Du m.s5tjbhnm506%26SellItem%3D%26guest%3D1%26pass%3D%7B_pass_%7D%26userid%3D&pageType=1144
mStart Page = about:blank
uInternet Connection Wizard,ShellNext = hxxp://www.versatel.de/internet-cd/
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~3\Office10\EXCEL.EXE/3000
TCP: {68BCE9D4-E7A6-4D60-9318-8857F3BA5136} = 82.144.41.8 82.145.9.8
DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - hxxp://www.bitdefender.de/scan_de/scan8/oscan8.cab
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-07 16:11:16
Windows 5.1.2600 Service Pack 2 FAT NTAPI

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2009-03-07 16:12:33
ComboFix-quarantined-files.txt 2009-03-07 15:12:32

Vor Suchlauf: 2.060.763.136 Bytes frei
Nach Suchlauf: 2,357,592,064 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn

115 --- E O F --- 2007-09-09 14:16:16


Hier der Bericht vom Panda Active Scan:

;***************************************************************************************************************************************************** ******************************
ANALYSIS: 2009-03-07 18:59:05
PROTECTIONS: 1
MALWARE: 2
SUSPECTS: 2
;***************************************************************************************************************************************************** ******************************
PROTECTIONS
Description Version Active Updated
;===================================================================================================================================================== ==============================
Avira AntiVir PersonalEdition 8.0.1.30 No Yes
;===================================================================================================================================================== ==============================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;===================================================================================================================================================== ==============================
00168109 Cookie/Adtech TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Helma\Cookies\helma@adtech[1].txt
00590315 Rootkit/Agent.LNB HackTools No 0 Yes No C:\System Volume Information\_restore{0ACEBCF8-A6FC-4399-94FD-2DEE45552192}\RP516\A0076067.SYS
;===================================================================================================================================================== ==============================
SUSPECTS
Sent Location 5
;===================================================================================================================================================== ==============================
No C:\WINDOWS\SYSTEM32\CONFIG\systemprofile\Anwendungsdaten\Macromedia\Common\cc27800a1.dll 5
No C:\Dokumente und Einstellungen\Oliver\Desktop\ComboFix.exe 5
;===================================================================================================================================================== ==============================
VULNERABILITIES
Id Severity Description 5
;===================================================================================================================================================== ==============================
184380 MEDIUM MS08-002 5
184379 MEDIUM MS08-001 5
182048 HIGH MS07-069 5
182046 HIGH MS07-067 5
182043 HIGH MS07-064 5
179553 HIGH MS07-061 5
176382 HIGH MS07-057 5
176383 HIGH MS07-058 5
120815 HIGH MS06-022 5
;===================================================================================================================================================== ==============================

Wie solls weitergehen?

Danke,
Oliver