Hallo zusammen ,

ich bin der neue!

Wenn ich über den Arbeitsplatz oder über meine Desktopverknüpfungen meien Festplatten öffnen möchte erscheint die im Betreff geschriebene Fehlermeldung!
Das es sich um einen Trojaner handeln könnte habe ich hier im Forum schon gelesen.
Wollte erst die von Euch gewünschten Punkte abarbeiten bevor ich hier Poste, aber Leider geht es nicht!
Also CCleaner habe ich ausgefüht!
Nun wollte ich Malwarebytes ausführen aber ich komme nicht auf die Site! Habe das gefühl das die Site (vielleicht) von dem Trojaner oder sonst was geblockt wird!
Wie komme ich denn nun dan das Programm?

Vielen Dank für Eure Hilfe!

Gruß

Raven72

Habe Malwarebytes nun auf 2. Rechnern installiert! Auf Rechner 1 öffnet sich das Update Fenster, dann kommt aber nach 30 sec die Meldung das die Aktualisierung fehlgeschlagen ist!

Auf Rechner 2 (mein Rechner) öffnet sich kein Update bzw Aktualisierungsfenster!

Kann es sein das auf beiden Rechnern schon die Aktuellste Version drauf ist?

Ich lasse gerade bei Rechner -1- Malwarebytes laufen. Bei Rechner -2- Klicke ich auf das Icon und es passiert nichts,auch die Unistall funktioniert nicht!

Sehr seltsam alles! Hoffe auf Eure Hilfe!

Nein, eher liegt die Vermutung nahe, dass mittlerweile beide befallen sind. Du hast nicht zufälligerweise externe Datenträger zwischen beiden gewechselt?

Das Zeug ist die Pest. Dann lies mal, mit wem du es zu tun hast:
http://www.trojaner-board.de/68318-r...-erhalten.html
http://www.trojaner-board.de/69502-a...icht-mehr.html

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

ciao, andreas

Hallo John Doe,

schon viel von Dir gelesen, respekt!

Also Bei Rechner -1- lief Malwarebytes und es hat nichts gefunden! Das ist der Rechner von meiner Freundin! Er ist wie es aussieht nicht befallen!

Und nein, wir haben keine Datenträger getauscht ! Wollte bei ihr alles was ich bei mir probiere Testen, da bei mir Malwarebytes nicht gestartet ist!

Hab mir mal die 2 Sachen von Dir durchgelesen:
--Arbeitsplatz und andere Sachen funzen nicht mehr-- hört sich nicht gut an wenn Malwarebytes sich nicht aktualiesiert bzw nicht Starten lässt...
SO nun zu meinem Rechner..beginne nun mit ComboFix!

Danke für Deine Hilfe!

Benutze XP mit SP3
Muss hier nochmal Editieren: Das mit der Recover Console Klapp nicht!

http://www.bleepingcomputer.com/tuto...torial117.html

E:\i386\winnt32.exe /cmdcons (E ist mein Dvd Laufwerk) der pfad wird auf der XP cd nicht gefunden!!

Kann ich ComboFix auch so laufen lassen? Besser nicht oder?

Zitat:

Kann ich ComboFix auch so laufen lassen?

Ja. Du solltest aber Verbindung zum Internet haben. Dann lädt und installiert er die.

ciao, andreas

Hier das Ergebnis:

ComboFix 09-03-06.02 - Roman 2009-03-09 23:11:53.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.2047.1685 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Roman.DIE-IT20IWOLNPF\Desktop\ComboFix.exe
AV: COMODO Antivirus *On-access scanning disabled* (Updated)
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Autorun.inf
c:\dokume~1\ROMAN~1.DIE\LOKALE~1\Temp\svchost.exe
c:\dokume~1\ROMAN~1.DIE\LOKALE~1\Temp\tmp1.tmp
c:\dokume~1\ROMAN~1.DIE\LOKALE~1\Temp\tmp2.tmp
c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat
c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat
c:\dokumente und einstellungen\LocalService.NT-AUTORITÄT\Anwendungsdaten\twain_32
c:\dokumente und einstellungen\LocalService.NT-AUTORITÄT\Anwendungsdaten\twain_32\user.ds
c:\dokumente und einstellungen\postgres\Anwendungsdaten\twain_32
c:\dokumente und einstellungen\postgres\Anwendungsdaten\twain_32\user.ds
c:\dokumente und einstellungen\Roman.DIE-IT20IWOLNPF\Anwendungsdaten\NI.GSCNS
c:\dokumente und einstellungen\Roman.DIE-IT20IWOLNPF\Anwendungsdaten\NI.GSCNS\dl.ini
c:\dokumente und einstellungen\Roman.DIE-IT20IWOLNPF\Anwendungsdaten\NI.GSCNS\settings.ini
c:\programme\IEToolbar
c:\recycler\S-8-0-23-100012807-100004806-100007178-4245.com
c:\temp\1cb
c:\temp\1cb\syscheck.log
c:\temp\DIV55
c:\temp\DIV55\xDb.log
c:\windows\sysguard.exe
c:\windows\system32\bcmqsqfh.ini
c:\windows\system32\CISYcfii.ini
c:\windows\system32\CISYcfii.ini2
c:\windows\system32\ckytbsak.ini
c:\windows\system32\cpuliwvc.ini
c:\windows\system32\cxsghise.ini
c:\windows\system32\drivers\gaopdxdmqdgarwgsotsrttcmyhtbbrnohhlsse.sys
c:\windows\system32\drivers\gaopdxltkmawfkrnoibwhkrokhydpweodduthi.sys
c:\windows\system32\drivers\gaopdxlvrgrxngwwuycdjoobqjlksrrrixmoji.sys
c:\windows\system32\drivers\gaopdxqjejkrgikkfhdkturrvaarjxduyblhyi.sys
c:\windows\system32\drivers\gaopdxshhvtevuxxkusqxtlyxyksofryjpocbf.sys
c:\windows\system32\drivers\gaopdxwsiomwlmoqouuusknovbexqcepufqowe.sys
c:\windows\system32\drivers\gaopdxwxwhkdqqhextafvideowwwykrjkvpxgf.sys
c:\windows\system32\dukycetk.ini
c:\windows\system32\ebcaurbd.ini
c:\windows\system32\etkqrfwl.ini
c:\windows\system32\gaopdxcounter
c:\windows\system32\gaopdxgqtjxoxlttoirrrwakwrsaokjkspxbjc.dll
c:\windows\system32\gebebbjp.ini
c:\windows\system32\hngdcapw.ini
c:\windows\system32\iqdyfkvm.ini
c:\windows\system32\jtfpuaax.ini
c:\windows\system32\kyhdifgg.ini
c:\windows\system32\ldmtsddh.ini
c:\windows\system32\mcrh.tmp
c:\windows\system32\nbygyjmb.ini
c:\windows\system32\nmpbjhin.ini
c:\windows\system32\nvxqsdbu.ini
c:\windows\system32\oejocngq.ini
c:\windows\system32\peifpnla.ini
c:\windows\system32\qfxulbum.ini
c:\windows\system32\qjvqjfbm.ini
c:\windows\system32\rvkifgih.ini
c:\windows\system32\sxwopbvr.ini
c:\windows\system32\twain_32
c:\windows\system32\twain_32\local.ds
c:\windows\system32\twain_32\user.ds
c:\windows\system32\twain_32\user.ds.cla
c:\windows\system32\twext.exe
c:\windows\system32\uhyxijbl.ini
c:\windows\system32\uiktciyn.ini
c:\windows\system32\vaexmxnw.ini
c:\windows\Tasks\fnqocgqa.job
D:\Autorun.inf
d:\recycler\S-0-0-94-100029898-100016508-100019444-1709.com
d:\recycler\S-1-2-84-100018827-100018882-100006038-7855.com
d:\recycler\S-2-1-32-100018534-100019619-100029392-6213.com
d:\recycler\S-3-1-84-100007952-100007827-100006100-5307.com
d:\recycler\S-4-9-14-100000995-100010025-100010965-3403.com
d:\recycler\S-6-6-56-100022855-100025643-100010090-5142.com
d:\recycler\S-7-4-84-100016914-100028664-100029143-2395.com
d:\recycler\S-8-0-23-100012807-100004806-100007178-4245.com
d:\recycler\S-9-3-21-100001214-100020292-100017312-4549.com
d:\recycler\S-9-5-17-100002123-100003215-100003012-2969.com
G:\Autorun.inf
g:\recycler\S-0-0-94-100029898-100016508-100019444-1709.com
g:\recycler\S-1-2-84-100018827-100018882-100006038-7855.com
g:\recycler\S-2-1-32-100018534-100019619-100029392-6213.com
g:\recycler\S-3-1-84-100007952-100007827-100006100-5307.com
g:\recycler\S-4-9-14-100000995-100010025-100010965-3403.com
g:\recycler\S-6-6-56-100022855-100025643-100010090-5142.com
g:\recycler\S-7-4-84-100016914-100028664-100029143-2395.com
g:\recycler\S-8-0-23-100012807-100004806-100007178-4245.com
g:\recycler\S-9-3-21-100001214-100020292-100017312-4549.com
g:\recycler\S-9-5-17-100002123-100003215-100003012-2969.com

----- BITS: Eventuell infizierte Webseiten -----

hxxp://childhe.com
.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_gaopdxserv.sys


((((((((((((((((((((((( Dateien erstellt von 2009-02-09 bis 2009-03-09 ))))))))))))))))))))))))))))))
.

2009-03-09 20:03 . 2009-01-14 16:11 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-03-09 20:03 . 2009-01-14 16:11 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-03-09 18:36 . 2009-03-09 18:36 <DIR> d-------- c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Malwarebytes
2009-03-08 21:12 . 2009-03-08 21:13 <DIR> d--h----- c:\programme\Zero G Registry
2009-03-08 16:59 . 2009-03-09 20:03 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2009-03-03 19:30 . 2009-03-03 19:30 <DIR> d-------- c:\dokumente und einstellungen\Roman.DIE-IT20IWOLNPF\Anwendungsdaten\Ashampoo
2009-03-03 19:29 . 2009-03-03 19:29 <DIR> d-------- c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\ashampoo
2009-02-28 19:43 . 2009-02-28 19:43 <DIR> d-------- c:\programme\AskBarDis
2009-02-28 19:43 . 2009-02-28 19:43 253,688 --a------ c:\windows\system32\cssdll32.dll
2009-02-28 19:42 . 2009-02-28 19:43 <DIR> d-------- c:\programme\COMODO
2009-02-28 19:42 . 2009-02-28 19:53 <DIR> d-------- c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Comodo
2009-02-28 19:42 . 2009-02-28 19:42 155,384 --a------ c:\windows\system32\guard32.dll
2009-02-28 19:42 . 2009-02-28 19:42 110,992 --a------ c:\windows\system32\drivers\cmdguard.sys
2009-02-28 19:42 . 2009-02-28 19:42 24,336 --a------ c:\windows\system32\drivers\cmdhlp.sys
2009-02-28 18:45 . 2008-04-14 03:22 21,504 --a------ c:\windows\system32\hidserv.dll
2009-02-28 18:45 . 2008-04-14 03:22 21,504 --a--c--- c:\windows\system32\dllcache\hidserv.dll
2009-02-28 18:45 . 2008-04-14 02:58 14,720 --a------ c:\windows\system32\drivers\kbdhid.sys
2009-02-28 18:45 . 2008-04-14 02:58 14,720 --a--c--- c:\windows\system32\dllcache\kbdhid.sys
2009-02-28 18:45 . 2001-08-18 04:22 12,288 --a------ c:\windows\system32\drivers\mouhid.sys
2009-02-28 18:45 . 2001-08-18 04:22 12,288 --a--c--- c:\windows\system32\dllcache\mouhid.sys
2009-02-27 22:42 . 2009-02-27 22:42 <DIR> d-------- c:\windows\system32\MpEngineStore
2009-02-15 15:38 . 2009-02-15 15:40 395 --a------ c:\windows\wininit.ini
2009-02-15 15:38 . 2009-02-15 15:40 340 --a------ c:\windows\wininit.tmp
2009-02-15 14:19 . 2009-02-15 14:21 <DIR> d-------- c:\windows\system32\NtmsData

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-09 16:45 --------- d-----w c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Google Updater
2009-03-08 22:18 --------- d---a-w c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\TEMP
2009-03-08 17:34 --------- d-----w c:\dokumente und einstellungen\Roman.DIE-IT20IWOLNPF\Anwendungsdaten\skypePM
2009-03-08 17:34 --------- d-----w c:\dokumente und einstellungen\Roman.DIE-IT20IWOLNPF\Anwendungsdaten\Skype
2009-03-08 09:27 --------- d-----w c:\programme\Everest Poker
2009-03-03 19:29 --------- d--h--w c:\programme\InstallShield Installation Information
2009-03-01 21:21 0 ----a-w c:\windows\system32\drivers\c6bfa6c5.sys
2009-02-18 17:19 --------- d-----w c:\programme\Lavasoft
2009-02-18 17:19 --------- d-----w c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-02-18 17:19 --------- d-----w c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Lavasoft
2009-02-07 12:14 --------- d-----w c:\programme\GameSpy Arcade
2009-02-01 13:42 --------- d-----w c:\programme\XP Codec Pack
2009-01-31 16:24 --------- d-----w c:\programme\Gemeinsame Dateien\LogiShrd
2009-01-31 16:21 --------- d-----w c:\programme\Logitech
2009-01-31 16:21 --------- d-----w c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Logitech
2009-01-31 16:21 --------- d-----w c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\LogiShrd
2009-01-31 15:52 --------- d-----w c:\programme\Skype
2009-01-31 15:52 --------- d-----w c:\programme\Gemeinsame Dateien\Skype
2009-01-31 15:52 --------- d-----w c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Skype
2009-01-31 15:20 --------- d-----w c:\dokumente und einstellungen\Roman.DIE-IT20IWOLNPF\Anwendungsdaten\FRITZ!
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{3041d03e-fd4b-44e0-b742-2d9b88305f98}"= "c:\programme\AskBarDis\bar\bin\askBar.dll" [2008-08-06 279944]

[HKEY_CLASSES_ROOT\clsid\{3041d03e-fd4b-44e0-b742-2d9b88305f98}]
[HKEY_CLASSES_ROOT\TypeLib\{4b1c1e16-6b34-430e-b074-5928eca4c150}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"TVTip"="d:\programme\TV Movie Clickfinder\tvstart.exe" [2008-05-22 94208]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-10-07 13574144]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2008-12-20 136600]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-10-07 86016]
"LogitechCommunicationsManager"="c:\programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe" [2007-07-25 563984]
"LogitechQuickCamRibbon"="c:\programme\Logitech\QuickCam\Quickcam.exe" [2007-07-25 2027792]
"COMODO SafeSurf"="c:\programme\COMODO\SafeSurf\cssurf.exe" [2009-02-28 278264]
"COMODO Internet Security"="c:\programme\COMODO\COMODO Internet Security\cfp.exe" [2009-02-28 1851128]
"nwiz"="nwiz.exe" [2008-10-07 c:\windows\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\windows\system32\cssdll32.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"= ctwdm32.dll
"vidc.ffds"= ffdshow.ax
"msacm.ac3filter"= ac3filter.acm

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS^Startmenü^Programme^Autostart^Adobe Reader Speed Launch.lnk]
path=c:\dokumente und einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\Adobe Reader Speed Launch.lnk
backup=c:\windows\pss\Adobe Reader Speed Launch.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS^Startmenü^Programme^Autostart^Logitech Desktop Messenger.lnk]
path=c:\dokumente und einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\Logitech Desktop Messenger.lnk
backup=c:\windows\pss\Logitech Desktop Messenger.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS^Startmenü^Programme^Autostart^Logitech SetPoint.lnk]
path=c:\dokumente und einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\Logitech SetPoint.lnk
backup=c:\windows\pss\Logitech SetPoint.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=c:\dokumente und einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup

[HKLM\~\startupfolder\c:^dokumente und einstellungen^all users.windows^startmenü^programme^autostart^nokia ovi suite.lnk]
path=c:\dokumente und einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\Nokia Ovi Suite.lnk
backup=c:\windows\pss\Nokia Ovi Suite.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nokiamserver]
c:\programme\Gemeinsame Dateien\Nokia\MPlatform\NokiaMServer [X]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BDMCon]
--a------ 2005-06-20 11:10 421888 c:\programme\Softwin\BitDefender8\bdmcon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LDM]
--a------ 2005-09-12 17:54 32768 d:\logitech mouse\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--a------ 2008-04-14 03:22 1695232 c:\programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a--c--- 2001-07-09 11:50 155648 c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nokia faststart]
--a------ 2008-06-29 18:11 2327776 d:\programme\Nokia\Nokia Music\NokiaMusic.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PhonostarTimer]
--a------ 2008-07-14 14:18 126976 d:\musik programme\Musik Programme\internet radio\phonostar\ps_timer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RealJukeboxSystray]
--a------ 2005-11-21 21:48 91648 d:\programme\Real Jukebox\tsystray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RealTray]
--a------ 2005-11-21 21:49 26112 c:\programme\Real\RealPlayer\realplay.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
--a------ 2007-06-27 17:36 68856 c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"d:\\Logitech Mouse\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"=
"c:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"=
"d:\\Musik Programme\\Musik Programme\\internet radio\\phonostar\\ps_olect.exe"=
"c:\\Programme\\FRITZ!DSL\\FBOXUPD.EXE"=
"d:\\Games\\Soldier of Fortune 2\\SoF2MP.exe"=
"d:\\Games\\Medal of Honor Airbourn\\UnrealEngine3\\Binaries\\MOHA.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\devolo\\dlanwlancfg\\dlanwlancfg.exe"=
"c:\\Programme\\devolo\\informer\\devinf.exe"=
"c:\\Programme\\devolo\\easyshare\\easyshare.exe"=
"c:\\Programme\\ICQ6\\ICQ.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R1 cmdguard;COMODO Internet Security Sandbox Driver;c:\windows\system32\drivers\cmdguard.sys [2009-02-28 110992]
R1 NETDSL;AVM PPP over Ethernet;c:\windows\system32\drivers\netdsl.sys [2005-10-31 11264]
R2 ICQ Service;ICQ Service;c:\programme\ICQ6Toolbar\ICQ Service.exe [2008-07-10 222456]
R2 NPF_devolo;NetGroup Packet Filter Driver (devolo);c:\windows\system32\drivers\npf_devolo.sys [2007-02-07 35840]
S0 pkqgmizb;pkqgmizb;c:\windows\system32\drivers\veefrork.sys []
S1 c6bfa6c5;c6bfa6c5;c:\windows\system32\drivers\c6bfa6c5.sys [2009-01-28 0]
S1 SSHDRV86;SSHDRV86;\??\c:\windows\system32\drivers\SSHDRV86.sys --> c:\windows\system32\drivers\SSHDRV86.sys [?]
S3 NETFWDSL;AVM FRITZ!web DSL PPP;c:\windows\system32\drivers\NETFWDSL.SYS [2005-10-31 361472]
.
Inhalt des "geplante Tasks" Ordners

2009-02-18 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe []
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

BHO-{c5bf49a2-94f3-42bd-f434-3604812c8955} - c:\windows\system32\hgdfeeeh4fdg.dll
SharedTaskScheduler-{C5BF49A2-94F3-42BD-F434-3604812C8955} - c:\windows\system32\hgdfeeeh4fdg.dll
ShellExecuteHooks-{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - c:\windows\system32\cbXQkJde.dll
Notify-cbXQkJde - cbXQkJde.dll
MSConfigStartUp-9cfffefa - c:\windows\system32\mbfjqvjq.dll
MSConfigStartUp-adobe photo downloader - c:\programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe
MSConfigStartUp-bar - c:\dokume~1\ROMAN~1.DIE\LOKALE~1\Temp\mirasnet.tmp
MSConfigStartUp-EzPrint - c:\programme\Lexmark P910 Series\ezprint.exe
MSConfigStartUp-FaxCenterServer - c:\programme\Lexmark Fax Solutions\fm3032.exe
MSConfigStartUp-ICQ Lite - d:\programme\ICQ\ICQLite\ICQLite.exe
MSConfigStartUp-lxbymon - c:\programme\Lexmark P910 Series\lxbymon.exe
MSConfigStartUp-updateMgr - d:\acrobat reader\Reader\AdobeUpdateManager.exe
MSConfigStartUp-WinampAgent - d:\musik programme\Musik Programme\WinAmp\winampa.exe


.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: &ICQ Toolbar Search - d:\programme\ICQ\ICQToolbar\toolbaru.dll/SEARCH.HTML
IE: {{A68FC757-51CF-4f3c-B13A-BFB8CA69BB99} - d:\programme\CDPoker\casino.exe
IE: {{B4B52284-A248-4c51-9F7C-F0A0C67FCC9D} - d:\programme\PartyGaming\PartyCasino\RunCasino.exe
IE: {{B723B1B8-9788-4684-ADA7-D1DB02E1D516} - d:\programme\NoblePoker\Noble Poker\casino.exe
LSP: c:\programme\FRITZ!DSL\sarah.dll
Handler: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - d:\logitech mouse\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-09 23:18:55
Windows 5.1.2600 Service Pack 3 NTFS

detected NTDLL code modification:
ZwClose, ZwOpenFile

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...


c:\windows\system32\drivers\veefrork.sys 25088 bytes executable

Scan erfolgreich abgeschlossen
versteckte Dateien: 1

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(708)
c:\windows\system32\guard32.dll

- - - - - - - > 'lsass.exe'(768)
c:\windows\system32\guard32.dll
c:\programme\FRITZ!DSL\sarah.dll
c:\programme\FRITZ!DSL\block.dll
c:\programme\FRITZ!DSL\avmcsock.dll
c:\programme\FRITZ!DSL\avmufc.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\COMODO\COMODO Internet Security\cmdagent.exe
c:\programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
c:\programme\FRITZ!DSL\IGDCTRL.EXE
c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
c:\windows\system32\nvsvc32.exe
d:\programme\PostgreSQL\8.0\bin\pg_ctl.exe
d:\games\Medal of Honor Airbourn\UnrealEngine3\MOHAGame\pb\PnkBstrA.exe
c:\programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
d:\programme\PostgreSQL\8.0\bin\postmaster.exe
d:\programme\PostgreSQL\8.0\bin\postgres.exe
d:\programme\PostgreSQL\8.0\bin\postgres.exe
d:\programme\PostgreSQL\8.0\bin\postgres.exe
d:\programme\PostgreSQL\8.0\bin\postgres.exe
c:\programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
c:\windows\system32\rundll32.exe
d:\programme\TV Movie Clickfinder\tvtip.exe
c:\windows\system32\wscntfy.exe
c:\programme\Gemeinsame Dateien\LogiShrd\LQCVFX\COCIManager.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-03-09 23:21:38 - PC wurde neu gestartet [Roman]
ComboFix-quarantined-files.txt 2009-03-09 22:21:33

Vor Suchlauf: 3,296,333,824 Bytes frei
Nach Suchlauf: 3,300,290,560 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn

332 --- E O F --- 2009-02-27 21:42:23


Und? Wie sieht das aus? Ich befürchte nichts gutes

Zitat:

Und? Wie sieht das aus? Ich befürchte nichts gutes

Gleich 2 Backdoors und die anderen möchten ich gar nicht genauer ansehen. Seit wann hast du Probleme?

Neuinstallation ist auf jeden Fall der schnellere und sichere Weg. Ich sehe auf Anhieb 3 Treiber, die da nicht hingehören, 1 versteckte Datei und dabei habe ich das nur überflogen.

ciao, andreas

Das Problem hab ich seit ca 2 Tagen!
Wo siehst Du die Backdoors?
Gibt es einen Weg ohne eine Neuaufsetzung des Rechners?

Sollte ich jetzt nochmal Malwarebytes Installieren?
Danke für deine Hilfe!

Zitat:

Wo siehst Du die Backdoors?

Siehst du die roten Sterne unter meinem Nick. Die bekommt man nur, wenn man sowas sieht. *lüg wie gedruckt*

Code: Alles auswählenAufklappen

ATTFilter

c:\dokumente und einstellungen\LocalService.NT-AUTORITÄT\Anwendungsdaten\twain_32
c:\dokumente und einstellungen\LocalService.NT-AUTORITÄT\Anwendungsdaten\twain_32\user.ds
         

Code: Alles auswählenAufklappen

ATTFilter

c:\dokumente und einstellungen\postgres\Anwendungsdaten\twain_32
c:\dokumente und einstellungen\postgres\Anwendungsdaten\twain_32\user.ds
         

Und jetzt schau hier, was MbAM dazu sagt (suche nach user.ds):
http://www.trojaner-board.de/408799-post2.html

Zitat:

Gibt es einen Weg ohne eine Neuaufsetzung des Rechners?

Ja. Wenn wir beide Vollzeit arbeiten schätze ich die Dauer der Bereinigung auf 3 Tage. Deine Entscheidung. Das inzwischen alle deine Kennwörter sonstwo gelandet sind, sollte dir aber klar sein.

Lies auch hier: http://www.trojaner-board.de/394394-post12.html

Wie gesagt, deine Entscheidung.

ciao, andreas

Zitat:

Zitat von john.doe

Siehst du die roten Sterne unter meinem Nick. Die bekommt man nur, wenn man sowas sieht. *lüg wie gedruckt*

Du hättest 5 Sterne verdient

Code: Alles auswählenAufklappen

ATTFilter

c:\dokumente und einstellungen\LocalService.NT-AUTORITÄT\Anwendungsdaten\twain_32
c:\dokumente und einstellungen\LocalService.NT-AUTORITÄT\Anwendungsdaten\twain_32\user.ds
         

Code: Alles auswählenAufklappen

ATTFilter

c:\dokumente und einstellungen\postgres\Anwendungsdaten\twain_32
c:\dokumente und einstellungen\postgres\Anwendungsdaten\twain_32\user.ds
         

Und jetzt schau hier, was MbAM dazu sagt (suche nach user.ds):
http://www.trojaner-board.de/408799-post2.html

Backdoor Bot !!

Ja. Wenn wir beide Vollzeit arbeiten schätze ich die Dauer der Bereinigung auf 3 Tage. Deine Entscheidung. Das inzwischen alle deine Kennwörter sonstwo gelandet sind, sollte dir aber klar sein.

Ist es sicher das meine Kennwörter sonstwo sind oder könnte es nur sein??

Lies auch hier: http://www.trojaner-board.de/394394-post12.html

Ja Theoretisch hast DU recht , praktisch wahrscheinlich auch, aber ich hab riesige Datenbanken auf meinem rechner und ich bin mir nicht sicher ob ich die verschieben bzw Backups machen kann!

Wie gesagt, deine Entscheidung.

Ich meld mich morgen dazu nochmal, muss nochmal los!

ciao, andreas

Vielen Dank für die Hilfe und einen schönen Abend bzw Gute N8

Hallo John Doe.

Ich bin es nochmal,

also so wie es aussieht habe ich dann einen oder mehrere BackdoorBots!

Du schreibst :
Das inzwischen alle deine Kennwörter sonstwo gelandet sind, sollte dir aber klar sein.
KANN ES sein oder ist das zu 99% sicher?

Ich habe 2 Festplatten. Festplatte 1 ist Partizioniert C und D , auf C ist das Betiebssystem. Wenn ich das system neu Aufspiele, muss ich dann alles Platt machen oder nur C und das Betriebssystem neu Installieren?
Das Porblem bei mir ist das ich auf die Riesiege (Poker) Datenbanken habe und ich nicht weiss wie ich dort ein Backup machen kann!

Danke für Eure Hilfe.

Zitat:

Du hättest 5 Sterne verdient

Zitat:

also so wie es aussieht habe ich dann einen oder mehrere BackdoorBots!

Eher mehrere. Da sind noch welche:

Code: Alles auswählenAufklappen

ATTFilter

c:\windows\system32\twain_32\user.ds
c:\windows\system32\twext.exe
         

Besser ich schaue nicht genauer hin.

Zitat:

Ist es sicher das meine Kennwörter sonstwo sind oder könnte es nur sein??

Genau da ist das Problem. Mit Sicherheit sagen bzw. feststellen lässt sich das nicht, auch nicht, was in der Zwischenzeit auf deinem Rechner passiert ist.

Zitat:

aber ich hab riesige Datenbanken auf meinem rechner

Ich kann da weder Oracle, MySQL oder ähnliche Datenbanken sehen.

Jetzt bin ich neugierig:
Welche Datenbanken hast du denn am Laufen?
Wenn du Datenbanken hast, hast du doch auch sicherlich BackUps?

p.s.:

Zitat:

Das Porblem bei mir ist das ich auf die Riesiege (Poker) Datenbanken

Mit Poker-Datenbanken kenne ich mich nicht aus. Welche genau ist es denn?

Eigentlich lässt sich alles sichern, man muss nur den Pfad kennen, in dem die Dateien gespeichert sind.

Zitat:

Wenn ich das system neu Aufspiele, muss ich dann alles Platt machen oder nur C und das Betriebssystem neu Installieren?

Das lässt sich pauschal nicht sagen. Ganz sicher ist alles plattzumachen. Du hattest gleich einen ganzen Zoo an Schädlingen, die sich z.T. auch über Partitionen und externe Datenträger verbreiten. Allerdings sind die mittlerweile gekillt.

Die können aber sehr schnell wieder auftauchen, falls du ein externen Datenträger bei dem Scan von ComboFix nicht angehängt hast, so wie bei ihm hier: http://www.trojaner-board.de/68318-r...-erhalten.html

Relativ sicher ist die Neuinstallation auf Laufwerk C und anschliessendes Scannen mit mehreren aktuellen Scannern. Deshalb sichere alles, dass sich noch auf Laufwerk C befindet auf die anderen Partitionen und installiere neu. Scanne anschliessend die anderen Partitionen, dann kannst du relativ sicher sein, dass du wieder sauber bist. Hier habe ich einen ähnlichen Fall. Nutze die Scanner, die dort zu sehen und poste, falls etwas gefunden wird.

Wenn du fertig bist, dann poste bitte ein finales HJT-Log.

ciao, andreas

Hallo Andreas oder lieber John Doe?

zu der "Daten" , Datenbank es ist eine PostgresSQL Datenbank in der auch die Pokergeschichten gespeichert sind!

Hab ein Bisschen schiss C bzw alles Platt zu machen. Hmm bin mir da ziemlich unsicher!
Habe auch erstmal alle wichtigen Passwörter aus der Firma geändert!
Habe vorhin nochmal Malwarebytes installiert , jetzt ging die Installation ohne Probleme.

Hier der File, vielleicht schaust du nochmal drüber:
Er hat wieder was gefunden!

Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1831
Windows 5.1.2600 Service Pack 3

03/10/2009 7:06:41 PM
mbam-log-2009-03-10 (19-06-41).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|G:\|)
Durchsuchte Objekte: 209103
Laufzeit: 50 minute(s), 1 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 10

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\pkqgmizb (Rootkit.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\pkqgmizb (Rootkit.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pkqgmizb (Rootkit.Agent) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Qoobox\Quarantine\C\DOKUME~1\ROMAN~1.DIE\LOKALE~1\Temp\svchost.exe.vir (Trojan.Clicker) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\sysguard.exe.vir (Spyware.Zbot) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{C0997BF1-403A-491B-A0A6-1D06DA25A563}\RP666\A0137786.exe (Spyware.Zbot) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\kvypleyh.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ldvbfbkc.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\sskrebvi.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\okkkfmar.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\veefrork.sys (Rootkit.Agent) -> Delete on reboot.
D:\Programme\CDPoker\_SetupPoker.exe (Adware.Agent) -> Quarantined and deleted successfully.
D:\Programme\CDPoker\__SetupPoker.exe (Adware.Agent) -> Quarantined and deleted successfully.


Danke + Gruß

Zitat:

Habe auch erstmal alle wichtigen Passwörter aus der Firma geändert!

Das ist ein Firmenrechner?

Zitat:

C:\Qoobox\Quarantine\C\WINDOWS\sysguard.exe.vir (Spyware.Zbot)

Nr. 5

Zitat:

D:\Programme\CDPoker\_SetupPoker.exe (Adware.Agent)

Und wieder einer, der sich das Rattengift selbst und freiwillig installiert und dann rumheult.

Ich heule nicht rum, ich stelle klare fragen !

Nein es ist kein Firmenrechner, dann würde ich nicht so einen Aufstand machen!

Ich habe vom Firmenrechner meine Bank, Ebay , Paypal usw Passwörter geändert!

Kannst DU mir sagen was ein Spyware.Zbot und ein Adware.Agent ist??

Merkwürdig, den CD Poker ist vom I Pokernetzwerk eins der größten in Europa, dass die sowas mitschicken kann ich mir (eigentlich) nicht vorstellen!

Nun sein mal nicht so hart zu mir