Hallo an alle,

ich bin durch google auf eure Seite gekommen und habe mir auch schon ein ähnliches Problem hier durchgelesen. Um zu meinem Problem zu kommen:

Wenn ich auf Arbeitsplatz klicke, kann ich keiner meiner internen Partitionen direkt auswählen. Das geht nur über Rechtsklick-> Explorer. Meine externen Platten lassen sich ohne Probleme öffnen.

Hier ein Screen der Fehlermeldung:

http://www.abload.de/image.php?img=fehler1bi5.jpg

Hier im Forum habe ich schon gelesen, dass man mit Combofix dagegen vorgehen könnte. Sollte ich dieses Programm auch nutzen?

Zur Information: Den Fehler erhielt ich heute zum ersten Mal, nachdem ich das Programm "mIRC" deinstallieren wollte. (über Software)

Mfg
yoone

Hier jetzt nochmal der HijackThis Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:42:27, on 17.03.2009
Platform: Windows XP SP3, v.3244 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\VistaDriveIcon\DrvIcon.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\RocketDock\RocketDock.exe
E:\programme\steam\steam.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\a-squared Free\a2service.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\WINDOWS\system32\divxsm.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://alice.aol.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://alice.aol.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://go.microsoft.com/fwlink/?LinkId=54843
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: (no name) - - (no file)
F3 - REG:win.ini: run=
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: StylerToolBar - {D2F8F919-690B-4EA2-9FA7-A203D1E04F75} - (no file)
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [DrvIcon] C:\Programme\VistaDriveIcon\DrvIcon.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [RocketDock] "C:\Programme\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [Steam] "e:\programme\steam\steam.exe" -silent
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: StartupFaster
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\jp2iexp.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\jp2iexp.dll
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programme\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: PartyCasino - {B4B52284-A248-4c51-9F7C-F0A0C67FCC9D} - C:\Programme\PartyGaming\PartyCasino\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyCasino - {B4B52284-A248-4c51-9F7C-F0A0C67FCC9D} - C:\Programme\PartyGaming\PartyCasino\RunApp.exe (file missing)
O9 - Extra button: (no name) - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - (no file)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra button: Absolute Poker - {13C1DBF6-7535-495c-91F6-8C13714ED485} - C:\Dokumente und Einstellungen\ChrisStar\Startmenü\Programme\Absolute Poker\Absolute Poker.lnk (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: Absolute Poker - {13C1DBF6-7535-495c-91F6-8C13714ED485} - C:\Dokumente und Einstellungen\ChrisStar\Startmenü\Programme\Absolute Poker\Absolute Poker.lnk (file missing) (HKCU)
O10 - Broken Internet access because of LSP provider 'c:\programme\bonjour\mdnsnsp.dll' missing
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab56986.cab
O16 - DPF: {4A85DBE0-BFB2-4119-8401-186A7C6EB653} - http://messenger.zone.msn.com/binary/MJSS.cab69309.cab
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary...n.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/.../GAME_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/wind...?1195228134656
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary...o.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab56907.cab
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://icq.oberon-media.com/Gameshel...onGameHost.cab
O16 - DPF: {F8C5C0F1-D884-43EB-A5A0-9E1C4A102FA8} (GoPetsWeb Control) - https://secure.gopetslive.com/dev/GoPetsWeb.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6125E556-FE5A-4CD6-A424-DEC5BAEAA276}: NameServer = 85.255.112.10,85.255.112.133
O17 - HKLM\System\CCS\Services\Tcpip\..\{CE35EC1D-94F5-415D-A53D-193E3EF3D7C2}: NameServer = 85.255.112.10,85.255.112.133
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.10,85.255.112.133
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.112.115,85.255.112.205
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.10,85.255.112.133
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Unknown owner - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe (file missing)
O23 - Service: UPnPService - Magix AG - C:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe

--
End of file - 9221 bytes

Mfg


So die letzten Infos :

Malwarebytes will bei mir nicht starten, keine Ahnung warum. Daher kann ich kein Log wiedergeben. Hinzu kommen komische Weiterleitungen bei Google, wird wohl DNS Changer sein. Kann mir aber nicht erklären, woher das auf einmal kommt.

Hi,

Deine Internetverbindung wird über die Urkaine geroutet, daher nichts mehr mit Passwörtern/Hombebanking machen
Passwörter von einem sauberen Rechner aus sofort ändern, Hombanking ev. sperren...

Also:
Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
Beim fixen müssen alle Programme geschlossen sein!

Code: Alles auswählenAufklappen

ATTFilter

O17 - HKLM\System\CCS\Services\Tcpip\..\{6125E556-FE5A-4CD6-A424-DEC5BAEAA276}: NameServer = 85.255.112.10,85.255.112.133
O17 - HKLM\System\CCS\Services\Tcpip\..\{CE35EC1D-94F5-415D-A53D-193E3EF3D7C2}: NameServer = 85.255.112.10,85.255.112.133
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.10,85.255.112.133
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.112.115,85.255.112.205
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.10,85.255.112.133
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra button: Absolute Poker - {13C1DBF6-7535-495c-91F6-8C13714ED485} - C:\Dokumente und Einstellungen\ChrisStar\Startmenü\Programme\Absolu te Poker\Absolute Poker.lnk (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: Absolute Poker - {13C1DBF6-7535-495c-91F6-8C13714ED485} - C:\Dokumente und Einstellungen\ChrisStar\Startmenü\Programme\Absolu te Poker\Absolute Poker.lnk (file missing) (HKCU)
O9 - Extra button: PartyCasino - {B4B52284-A248-4c51-9F7C-F0A0C67FCC9D} - C:\Programme\PartyGaming\PartyCasino\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyCasino - {B4B52284-A248-4c51-9F7C-F0A0C67FCC9D} - C:\Programme\PartyGaming\PartyCasino\RunApp.exe (file missing)
O9 - Extra button: (no name) - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - (no file)
O4 - Global Startup: StartupFaster
O3 - Toolbar: StylerToolBar - {D2F8F919-690B-4EA2-9FA7-A203D1E04F75} - (no file)
R3 - URLSearchHook: (no name) - - (no file)
F3 - REG:win.ini: run=
         

Combofix
Lade ComboFix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.
Weitere Anleitung unter:http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird
Hinweis: unter : C:\WINDOWS\erdnt
wird ein Backup angelegt.
Alternative downloads: http://subs.geekstogo.com/ComboFix.exe

Danach noch mal MAM updaten und laufen und alles bereinigen lassen...

Falls weder Combofix noch HJ gestartet werden kann wie folgt vorgehen:
Arbeitsplatz->rechte Maustaste->Eigenschaften->Hardware->Gerätemanager->Ansicht->ausgeblendete Geräte anzeigen->Nicht PnP-Treiber
und dort den Treiber "TDSSserv.sys" oder aehnlich deaktivieren und neu starten.
Das gleiche für den Treiber UACd.sys (z. B.: UACjkrpwvvu.dll etc.)
Bitte melden ob gefunden und was gefunden (jaja, die netten kleinen Rootkits...).
Danach noch mal Combofix bzw. HJ und MAM probieren...


Chris

Also hab Combofix durchlaufen lassen

ComboFix 09-03-15.01 - ChrisStar 2009-03-18 11:47:16.1 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.2046.1750 [GMT 1:00]

ausgeführt von:: c:\dokumente und einstellungen\ChrisStar\Desktop\ComboFix.exe

AV: AntiVir Desktop *On-access scanning enabled* (Updated)

* Neuer Wiederherstellungspunkt wurde erstellt

.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))

.

C:\Autorun.inf

c:\temp\tmp1.tmp

D:\Autorun.inf

E:\Autorun.inf

.

((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))

.

-------\Legacy_ISODRIVE

-------\Service_ISODrive

((((((((((((((((((((((( Dateien erstellt von 2009-02-18 bis 2009-03-18 ))))))))))))))))))))))))))))))

.

2009-03-18 11:49 . 2009-03-18 11:49 <DIR> d-------- c:\temp\WPDNSE

2009-03-18 11:49 . 2009-03-18 11:49 53,248 --a------ c:\temp\catchme.dll

2009-03-18 11:48 . 2009-03-18 11:48 <DIR> d-------- c:\windows\system32\xircom

2009-03-18 11:48 . 2009-03-18 11:48 <DIR> d-------- c:\windows\srchasst

2009-03-18 11:48 . 2009-03-18 11:48 <DIR> d-------- c:\windows\msagent

2009-03-18 11:48 . 2009-03-18 11:48 <DIR> d-------- c:\programme\microsoft frontpage

2009-03-18 04:15 . 2009-03-18 04:25 <DIR> d-------- C:\Downloads

2009-03-18 03:28 . 2009-03-18 03:28 36 --a------ c:\windows\wininit.ini

2009-03-18 02:46 . 2009-03-18 02:46 0 --a------ c:\windows\oodcnt.INI

2009-03-18 02:43 . 2009-03-18 11:49 <DIR> d-------- c:\temp\MessengerCache

2009-03-18 02:42 . 2009-03-18 02:42 <DIR> d-------- c:\windows\system32\oodag

2009-03-18 02:20 . 2009-03-18 11:49 <DIR> d-------- c:\temp\a2temp

2009-03-18 02:19 . 2009-01-27 02:35 120,056 --------- c:\windows\system32\pxcpyi64.exe

2009-03-18 02:19 . 2009-01-27 02:35 118,520 --------- c:\windows\system32\pxinsi64.exe

2009-03-18 02:18 . 2009-03-18 02:19 <DIR> d-------- c:\programme\Gemeinsame Dateien\DivX Shared

2009-03-18 02:18 . 2009-03-18 02:19 <DIR> d-------- c:\programme\DivX

2009-03-18 02:17 . 2009-03-18 11:49 <DIR> d-------- c:\temp\WLZD981.tmp

2009-03-18 02:16 . 2009-03-18 02:16 <DIR> d-------- c:\programme\Winamp

2009-03-18 02:16 . 2009-03-18 02:17 <DIR> d-------- c:\dokumente und einstellungen\ChrisStar\Anwendungsdaten\Winamp

2009-03-18 02:09 . 2009-03-18 02:09 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Messenger Plus!

2009-03-18 02:08 . 2009-03-18 02:55 <DIR> d-------- c:\dokumente und einstellungen\ChrisStar\Tracing

2009-03-18 02:07 . 2009-03-18 02:07 <DIR> d-------- c:\programme\Windows Live SkyDrive

2009-03-18 02:07 . 2009-03-18 02:07 <DIR> d-------- c:\programme\Microsoft

2009-03-18 02:04 . 2009-03-18 02:04 <DIR> d-------- c:\programme\Gemeinsame Dateien\Windows Live

2009-03-18 02:03 . 2009-03-18 02:03 <DIR> d-------- c:\dokumente und einstellungen\ChrisStar\Anwendungsdaten\vlc

2009-03-18 00:59 . 2009-03-18 00:59 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software

2009-03-18 00:56 . 2009-03-18 00:56 <DIR> d--hs---- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{55A29068-F2CE-456C-9148-C869879E2357}

2009-03-18 00:53 . 2009-03-18 00:53 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira

2009-03-18 00:36 . 2009-03-18 00:36 <DIR> d-------- c:\programme\Gemeinsame Dateien\Wise Installation Wizard

2009-03-18 00:27 . 2009-03-18 00:47 <DIR> d-------- c:\programme\Gemeinsame Dateien\InstallShield

2009-03-18 00:26 . 2009-03-18 00:26 <DIR> d-------- c:\programme\Gemeinsame Dateien\EZB Systems

2009-03-18 00:24 . 2009-03-18 11:36 <DIR> dr------- c:\dokumente und einstellungen\ChrisStar\Eigene Dateien

2009-03-18 00:22 . 2009-03-18 00:13 <DIR> d--h----- c:\dokumente und einstellungen\ChrisStar\Vorlagen

2009-03-18 00:22 . 2009-03-18 00:10 <DIR> dr------- c:\dokumente und einstellungen\ChrisStar\Startmenü

2009-03-18 00:22 . 2009-03-18 00:10 <DIR> d--h----- c:\dokumente und einstellungen\ChrisStar\Netzwerkumgebung

2009-03-18 00:22 . 2009-03-18 00:10 <DIR> d--h----- c:\dokumente und einstellungen\ChrisStar\Lokale Einstellungen

2009-03-18 00:22 . 2009-03-18 00:16 <DIR> d-------- c:\dokumente und einstellungen\ChrisStar\IXP000.TMP

2009-03-18 00:22 . 2009-03-18 00:24 <DIR> dr------- c:\dokumente und einstellungen\ChrisStar\Favoriten

2009-03-18 00:22 . 2009-03-18 00:10 <DIR> d--h----- c:\dokumente und einstellungen\ChrisStar\Druckumgebung

2009-03-18 00:22 . 2009-03-18 02:16 <DIR> dr-h----- c:\dokumente und einstellungen\ChrisStar\Anwendungsdaten

2009-03-18 00:22 . 2009-03-18 00:16 <DIR> d-------- c:\dokumente und einstellungen\ChrisStar\7zS674.tmp

2009-03-18 00:22 . 2009-03-18 00:16 <DIR> d-------- c:\dokumente und einstellungen\ChrisStar\7zS66E.tmp

2009-03-18 00:22 . 2009-03-18 11:42 <DIR> d-------- c:\dokumente und einstellungen\ChrisStar

2009-03-18 00:21 . 2009-03-18 00:21 <DIR> d--h----- c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen

2009-03-18 00:21 . 2009-03-18 00:21 <DIR> d-------- c:\dokumente und einstellungen\NetworkService\Anwendungsdaten

2009-03-18 00:21 . 2009-03-18 00:21 <DIR> d--hs---- c:\dokumente und einstellungen\NetworkService

2009-03-18 00:20 . 2009-03-18 00:13 <DIR> d--h----- c:\windows\system32\config\systemprofile\Vorlagen

2009-03-18 00:20 . 2009-03-18 00:10 <DIR> dr------- c:\windows\system32\config\systemprofile\Startmenü

2009-03-18 00:20 . 2009-03-18 00:16 <DIR> d-------- c:\windows\system32\config\systemprofile\nsq67C.tmp

2009-03-18 00:20 . 2009-03-18 00:16 <DIR> d-------- c:\windows\system32\config\systemprofile\nsp67A.tmp

2009-03-18 00:20 . 2009-03-18 00:10 <DIR> d--h----- c:\windows\system32\config\systemprofile\Netzwerkumgebung

2009-03-18 00:20 . 2009-03-18 00:10 <DIR> dr-h----- c:\windows\system32\config\systemprofile\Lokale Einstellungen

2009-03-18 00:20 . 2009-03-18 00:16 <DIR> d-------- c:\windows\system32\config\systemprofile\IXP000.TMP

2009-03-18 00:20 . 2009-03-18 00:10 <DIR> d-------- c:\windows\system32\config\systemprofile\Favoriten

2009-03-18 00:20 . 2009-03-18 00:10 <DIR> d--h----- c:\windows\system32\config\systemprofile\Druckumgebung

2009-03-18 00:20 . 2009-03-18 00:10 <DIR> dr-h----- c:\windows\system32\config\systemprofile\Anwendungsdaten

2009-03-18 00:20 . 2009-03-18 00:16 <DIR> d-------- c:\windows\system32\config\systemprofile\7zS674.tmp

2009-03-18 00:20 . 2009-03-18 00:16 <DIR> d-------- c:\windows\system32\config\systemprofile\7zS66E.tmp

2009-03-18 00:20 . 2009-03-18 00:20 <DIR> d-------- c:\dokumente und einstellungen\All Users\Lokale Einstellungen

2009-03-18 00:19 . 2009-03-18 00:19 <DIR> d-------- c:\programme\Gemeinsame Dateien\Java

2009-03-18 00:19 . 2008-05-30 13:11 3,850,760 --------- c:\windows\system32\dllcache\d3dx9_38.dll

2009-03-18 00:18 . 2009-03-18 00:18 <DIR> d-------- c:\dokumente und einstellungen\LocalService\Startmenü

2009-03-18 00:18 . 2009-03-18 00:18 <DIR> d-------- c:\dokumente und einstellungen\LocalService\Lokale Einstellungen

2009-03-18 00:18 . 2009-03-18 00:18 <DIR> d-------- c:\dokumente und einstellungen\LocalService\Anwendungsdaten

2009-03-18 00:18 . 2009-03-18 00:18 <DIR> d--hs---- c:\dokumente und einstellungen\LocalService

2009-03-18 00:18 . 2007-03-23 06:07 1,683,280 --------- c:\windows\system32\dllcache\XpsSvcs.dll

2009-03-18 00:18 . 2007-03-22 20:25 677,376 --------- c:\windows\system32\dllcache\PrintFilterPipelineSvc.exe

2009-03-18 00:18 . 2007-03-23 06:07 583,504 --------- c:\windows\system32\dllcache\XPSSHHDR.dll

2009-03-18 00:18 . 2007-03-22 20:24 28,160 --------- c:\windows\system32\dllcache\FilterPipelinePrintProc.dll

2009-03-18 00:16 . 2009-03-18 00:16 <DIR> d-------- c:\dokumente und einstellungen\Default User\IXP000.TMP

2009-03-18 00:16 . 2009-03-18 00:16 <DIR> d-------- c:\dokumente und einstellungen\Default User\7zS674.tmp

2009-03-18 00:16 . 2009-03-18 00:16 <DIR> d-------- c:\dokumente und einstellungen\Default User\7zS66E.tmp

2009-03-18 00:15 . 2009-03-18 00:15 <DIR> d-------- c:\programme\Gemeinsame Dateien\Dienste

2009-03-18 00:15 . 2009-03-18 00:15 <DIR> d--hs---- c:\dokumente und einstellungen\All Users\DRM

2009-03-18 00:10 . 2009-03-18 00:13 <DIR> d--h----- c:\dokumente und einstellungen\Default User\Vorlagen

2009-03-18 00:10 . 2009-03-18 00:10 <DIR> dr------- c:\dokumente und einstellungen\Default User\Startmenü

2009-03-18 00:10 . 2009-03-18 00:10 <DIR> d--h----- c:\dokumente und einstellungen\Default User\Netzwerkumgebung

2009-03-18 00:10 . 2009-03-18 00:10 <DIR> dr-h----- c:\dokumente und einstellungen\Default User\Lokale Einstellungen

2009-03-18 00:10 . 2009-03-18 00:10 <DIR> d-------- c:\dokumente und einstellungen\Default User\Favoriten

2009-03-18 00:10 . 2009-03-18 00:10 <DIR> d--h----- c:\dokumente und einstellungen\Default User\Druckumgebung

2009-03-18 00:10 . 2009-03-18 00:10 <DIR> d--h----- c:\dokumente und einstellungen\All Users\Vorlagen

2009-03-18 00:10 . 2009-03-18 00:22 <DIR> dr------- c:\dokumente und einstellungen\All Users\Startmenü

2009-03-18 00:10 . 2009-03-18 00:10 <DIR> d-------- c:\dokumente und einstellungen\All Users\Favoriten

2009-03-18 00:10 . 2009-03-18 04:17 <DIR> dr------- c:\dokumente und einstellungen\All Users\Dokumente

2009-03-18 00:09 . 2009-03-18 00:10 <DIR> dr-h----- c:\dokumente und einstellungen\Default User\Anwendungsdaten

2009-03-18 00:09 . 2009-03-18 00:22 <DIR> d--h----- c:\dokumente und einstellungen\Default User

2009-03-18 00:09 . 2009-03-18 02:09 <DIR> dr-h----- c:\dokumente und einstellungen\All Users\Anwendungsdaten

2009-03-18 00:09 . 2009-03-18 00:15 <DIR> d-------- c:\dokumente und einstellungen\All Users

.

(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-03-18 01:40 --------- d-----w c:\programme\a-squared Free

2009-03-18 01:19 --------- d-----w c:\programme\AtomixMP3

2009-03-18 01:08 --------- d-----w c:\programme\Windows Live

2009-03-18 00:58 --------- d-----w c:\programme\VideoLAN

2009-03-18 00:58 --------- d-----w c:\programme\CCleaner

2009-03-18 00:57 25,280 ----a-w c:\windows\system32\drivers\hamachi.sys

2009-03-18 00:57 --------- d-----w c:\programme\Messenger Plus! Live

2009-03-18 00:57 --------- d-----w c:\programme\Hamachi

2009-03-18 00:57 --------- d-----w c:\dokumente und einstellungen\ChrisStar\Anwendungsdaten\Hamachi

2009-03-18 00:56 --------- d-s---w c:\programme\HLSW

2009-03-18 00:56 --------- d-----w c:\dokumente und einstellungen\ChrisStar\Anwendungsdaten\HLSW

2009-03-18 00:39 --------- d-----w c:\programme\Foxit Software

2009-03-18 00:39 --------- d-----w c:\dokumente und einstellungen\ChrisStar\Anwendungsdaten\Foxit

2009-03-18 00:12 --------- d-----w c:\programme\RocketDock

2009-03-18 00:10 --------- d-----w c:\programme\Mumble

2009-03-18 00:09 --------- d-----w c:\programme\VentriloMix

2009-03-17 23:59 --------- d-----w c:\programme\TuneUp Utilities 2009

2009-03-17 23:59 --------- d-----w c:\dokumente und einstellungen\ChrisStar\Anwendungsdaten\TuneUp Software

2009-03-17 23:53 --------- d-----w c:\programme\Avira

2009-03-17 23:51 --------- d--h--w c:\programme\InstallShield Installation Information

2009-03-17 23:51 --------- d-----w c:\programme\Realtek

2009-03-17 23:47 --------- d-----w c:\programme\ATI Technologies

2009-03-17 23:45 --------- d-----w c:\programme\DIFX

2009-03-17 23:36 --------- d-----w c:\programme\AGEIA Technologies

2009-03-17 23:27 --------- d-----w c:\programme\OO Software

2009-03-17 23:26 --------- d-----w c:\programme\UltraISO

2009-03-17 23:26 --------- d-----w c:\programme\Opera

2009-03-17 23:26 --------- d-----w c:\programme\Notepad++

2009-03-17 23:26 --------- d-----w c:\programme\IrfanView

2009-03-17 23:26 --------- d-----w c:\programme\7-Zip

2009-03-17 23:26 --------- d-----w c:\dokumente und einstellungen\ChrisStar\Anwendungsdaten\Notepad++

2009-03-17 23:22 --------- d-----w c:\programme\Paint.NET

2009-03-17 23:19 --------- d-----w c:\programme\Java

2009-03-17 23:18 --------- d-----w c:\programme\Reference Assemblies

2009-03-17 23:18 --------- d-----w c:\programme\MSBuild

2009-03-17 23:16 --------- d-----w c:\programme\Xvid

2009-03-17 23:15 --------- d-----w c:\programme\Online-Dienste

2009-03-17 23:14 --------- d-----w c:\programme\Windows Media Connect 2

2009-03-17 23:13 --------- d-----w c:\programme\ie7pro

2009-02-18 13:44 6,308,224 ----a-w c:\windows\system32\drivers\nv4_mini.sys

2009-02-13 10:31 55,640 ----a-w c:\windows\system32\drivers\avgntflt.sys

2009-01-27 01:34 1,044,480 ----a-w c:\programme\mozilla firefox\plugins\libdivx.dll

2009-01-27 01:34 200,704 ----a-w c:\programme\mozilla firefox\plugins\ssldivx.dll

2009-01-27 01:34 1,044,480 ----a-w c:\programme\opera\program\plugins\libdivx.dll

2009-01-27 01:34 200,704 ----a-w c:\programme\opera\program\plugins\ssldivx.dll

.

------- Sigcheck -------

2008-08-01 21:25 361600 e88631e21a9caca06104802f9e915115 c:\windows\system32\drivers\tcpip.sys

2008-03-04 17:09 23552 cab5f4d65d49c24faa4ef0351b3755a3 c:\windows\system32\ctfmon.exe

.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-02-18 13680640]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

"ShowDeskFix"="shell32" [X]

"IE7"="advpack.dll" [2008-08-01 c:\windows\system32\advpack.dll]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"DisableStatusMessages"= 1 (0x1)

"DisableCAD"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"NoSMHelp"= 1 (0x1)

"ForceClassicControlPanel"= 1 (0x1)

"NoResolveTrack"= 1 (0x1)

"NoSMConfigurePrograms"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]

"NoSMHelp"= 1 (0x1)

"ForceClassicControlPanel"= 1 (0x1)

"NoResolveTrack"= 1 (0x1)

"NoSMConfigurePrograms"= 1 (0x1)

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]

BootExecute REG_MULTI_SZ autocheck autochk *\0OODBS

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=

"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [2009-03-18 108289]

R2 TuneUp.ProgramStatisticsSvc;TuneUp Program Statistics Service;c:\windows\system32\TUProgSt.exe [2009-03-18 603904]

S3 WinRM;Windows Remote Management (WS-Management);c:\windows\system32\svchost.exe -k WINRM [2008-04-14 14336]

--- Andere Dienste/Treiber im Speicher ---

*NewlyCreated* - HELPSVC

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

WINRM REG_MULTI_SZ WINRM

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs

UxTuneUp

.

.

------- Zusätzlicher Suchlauf -------

.

FF - ProfilePath - c:\dokumente und einstellungen\ChrisStar\Anwendungsdaten\Mozilla\Firefox\Profiles\ym2ijuop.default\

FF - prefs.js: browser.startup.homepage -

FF - plugin: c:\programme\Mozilla Firefox\plugins\npFoxitReaderPlugin.dll

FF - plugin: c:\programme\Opera\program\plugins\npdivx32.dll

---- FIREFOX Richtlinien ----

FF - user.js: network.http.max-persistent-connections-per-server - 4

FF - user.js: nglayout.initialpaint.delay - 600

FF - user.js: content.notify.interval - 600000

FF - user.js: content.max.tokenizing.time - 1800000

FF - user.js: content.switch.threshold - 600000

.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-03-18 11:49:25

Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen

versteckte Dateien: 0

**************************************************************************

.

------------------------ Weitere laufende Prozesse ------------------------

.

c:\programme\a-squared Free\a2service.exe

c:\programme\Avira\AntiVir Desktop\avguard.exe

c:\windows\system32\nvsvc32.exe

.

**************************************************************************

.

Zeit der Fertigstellung: 2009-03-18 11:50:08 - PC wurde neu gestartet

ComboFix-quarantined-files.txt 2009-03-18 10:50:06

Vor Suchlauf: 12 Verzeichnis(se), 46.373.310.464 Bytes frei

Nach Suchlauf: 12 Verzeichnis(se), 46,331,957,248 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect /usepmtimer

248

Werde jetzt noch das Mabm durchrennen lassen.

Hi,

da gefällt mir einiges nicht:
Verzeichnisse:
c:\windows\srchasst
c:\dokumente und einstellungen\ChrisStar\7zS674.tmp
c:\dokumente und einstellungen\ChrisStar\7zS66E.tmp
-> Prüfe mal bitte was in den Verzeichnissen ist...
...

Files
c:\windows\system32\pxcpyi64.exe
c:\windows\system32\pxinsi64.exe
...

Bitte Online prüfen und unbedingt MAM-Log posten!

Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:

• Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

• Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code: Alles auswählenAufklappen

ATTFilter

c:\windows\system32\pxcpyi64.exe
c:\windows\system32\pxinsi64.exe
         

• Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

• Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

• Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Führe auch unbedingt das hier durch:
Arbeitsplatz->rechte Maustaste->Eigenschaften->Hardware->Gerätemanager->Ansicht->ausgeblendete Geräte anzeigen->Nicht PnP-Treiber
und dort den Treiber "TDSSserv.sys" oder aehnlich deaktivieren und neu starten.
Das gleiche für den Treiber UACd.sys (z. B.: UACjkrpwvvu.dll etc.)
Bitte melden ob gefunden und was gefunden (jaja, die netten kleinen Rootkits...).
Danach noch mal Combofix bzw. HJ und MAM probieren...

Dann noch MBR-Rootkit
Lade den MBR-Rootkitscanner von GMER auf Deine Bootplatte (läuft nicht auf 64-Bit Plattformen!):
http://www2.gmer.net/mbr/mbr.exe
Merke Dir das Verzeichnis wo Du ihn runtergeladen hast;
Start->Ausführen->cmd
Wechsle in das Verzeichnis des Downloads und starte durch Eingabe
von mbr das Programm...

Das Ergebnis sollte so aussehen:

Zitat:

D:\Downloads>mbr
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

In dem Verzeichnis wo mbr.exe liegt findest Du das Log,
poste es im Thread;

Avira-Antirootkit
Downloade Avira Antirootkit und Scanne dein system, poste das logfile.
http://dl.antivir.de/down/windows/antivir_rootkit.zip

Aktualisiere Antivir, stelle dein Antivir ein, wie hier beschrieben:
http://www.trojaner-board.de/54192-anleitung-avira-antivir-agressive-einstellungen.html

chris