Hey Leute
ich habe ein Problem ..
bis letzter woche war noch alles in ordnung, doch an einem tag fing auf einmal an sich im internet explorer egal welcher auch mit firefox, sich werbeseiten zu öffnen (Quelle, partnerbörse manchmal auch sites ab 18 etc).
Seit heute ist es so dass wenn ich was google will, die Ergebnisse zwar angezeigt werden, jedoch wenn ich auf die site gehen möchte sich tausend neue links öffnen und ich dann ganz woanders lande... echt komisch
Das einzige was klappt ist die Links, die unter den ergebnissen immer stehen zu kopieren und dann in die leiste einzufügen..
Hab vorhin AntiVir durchlaufen lassen, hat auch 5 viren oder trojaner entdeckt und in quarantäne verschoben, jedoch sind die probleme noch da..Oo
Spybot startet irgendwie auch nicht, außerdem lässt sich mein router menü nicht aufrufen...
alles sehr komisch. Hoffe die Hinweise sagen euch was
danke im vorraus

Hallo BasH+ und

Um dir kompetent bei deinem Problem zu Seite stehen zu können, benötigen wir Informationen. Bitte lies dir diese Anleitung durch und poste dann die erforderlichen Logs.

Anderenfalls können wir dir nicht helfen....

Zitat:

Zitat von Redwulf

Hallo BasH+ und

Um dir kompetent bei deinem Problem zu Seite stehen zu können, benötigen wir Informationen. Bitte lies dir diese Anleitung durch und poste dann die erforderlichen Logs.

Anderenfalls können wir dir nicht helfen....

ja also hjiack this logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:50:27, on 24.03.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\cFosSpeed\spd.exe
C:\Programme\Google\Update\GoogleUpdate.exe
C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\ping.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\Windows Live\Contacts\wlcomm.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\msiexec.exe
C:\Dokumente und Einstellungen\G-Unit.CHB19\Eigene Dateien\Meine empfangenen Dateien\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Warhammer Online : Age of Reckoning
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O4 - HKLM\..\Run: [C6501Sound] RunDll32 c6501.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Ad-Watch] C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKCU\..\Run: [NVIDIA nTune] "C:\Programme\NVIDIA Corporation\nTune\nTuneCmd.exe" clear
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: PPLive - {95B3F550-91C4-4627-BCC4-521288C52977} - C:\Programme\PPLive\PPLive.exe
O9 - Extra 'Tools' menuitem: PPLive - {95B3F550-91C4-4627-BCC4-521288C52977} - C:\Programme\PPLive\PPLive.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_2.3.6.108.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w3/pr01/resources/MSNPUpld.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{373E029F-453B-4089-B00A-59E459DD4383}: NameServer = 85.255.112.132,85.255.112.188
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.112.132,85.255.112.188
O17 - HKLM\System\CS2\Services\Tcpip\..\{373E029F-453B-4089-B00A-59E459DD4383}: NameServer = 85.255.112.132,85.255.112.188
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.132,85.255.112.188
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: cFosSpeed System Service (cFosSpeedS) - cFos Software GmbH - C:\Programme\cFosSpeed\spd.exe
O23 - Service: Google Update Service (gupdate1c989f5cce36afe) (gupdate1c989f5cce36afe) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: DSL-Manager (TDslMgrService) - T-Systems Enterprise Services GmbH - C:\Programme\T-Online\DSL-Manager\DslMgrSvc.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe

--
End of file - 7974 bytes

was braucht ihr noch? danke für die antwort

Zuerst solltest du dies zur Kenntnis nehmen:

Dein System ist kompromitiert und zwar vermutlich von einem Trojan.DNSChanger mit entsprechendem Rootkit.<--

Erklärung Rootkit:
Der Begriff beschreibt ein kleines Tool, das sich in ein Betriebssystem eingräbt und dort als Deckmantel für weitere Programme dient. In einem Rootkit können sich Viren ebenso verstecken wie ausgefeilte Spionagetools. Das Perfide: Während diese Programme sonst von jedem Virenscanner früher oder später erkannt würden, fallen sie dem System dank der Tarnung durch das Rootkit nicht mehr auf. Wenn diese Tarnung fällt, ist der Virus verwundbar...

Dein gesamter Datenverkehr wird auf einen ukrainischen Server umgeleitet. Da der mit deinen Anfragen nix anzufangen weiss, schickt er dich immer wieder auf andere, deinen Anfragen wahrscheinlichere, entsprechende, Webseiten.

Das ist übrigens der Server von dem wir reden. Wohlgemerkt nur der Server, der Betreiber weiss wahrscheinlich gar nicht was hier vor sich geht: (oder wills nicht wissen )

Code: Alles auswählenAufklappen

ATTFilter

organisation:    ORG-UL25-RIPE
org-name:        UkrTeleGroup Ltd.
org-type:        LIR
address:         UkrTeleGroup Ltd.
                    65029 Odessa
                    Ukraine
phone:           +3804++++++++ edit
fax-no:          +3804++++++++ edit
mnt-ref:         UKRTELE-MNT
mnt-ref:         RIPE-NCC-HM-MNT
mnt-by:          RIPE-NCC-HM-MNT
source:          RIPE # Filtered
         

DRINGENDER HINWEIS VORWEG: KEIN ONLINEBANKING, EBAY etc. MEHR

Hinweis: kompromitierte Systeme sollten neu aufgesetzt und abgesichert werden http://www.trojaner-board.de/51262-a...sicherung.html

Um den Virus zu entfernen, um sicher Backups zu machen oder obigen Hinweis aus diversen Gründen zu ignorieren, befolge folgende Schritte:
.

Lade dir folgende Software herunter und installiere diese, bitte unternehme nichts auf eigene Faust sondern folge den folgenden Anweisungen.
VORWEG: Die Reihenfolge sollte unbedingt eingehalten werden.....

Code: Alles auswählenAufklappen

ATTFilter

Download von CCleaner Anleitung: CCleaner <----dl Link in der Erklärung...LESEN!!!
Download von Avenger 
Download von Malwarebytes Anleitung:  Malwarebytes Anti-Malware  <--- dl Linkin der Erklärung LESEN !!!
Download von Gmer 
Download von MBR.exe 
Download von SDFix
         

Für Vista User: Du alle Programme als Administrator ausführen ( Rechtsklick )

Lies dir die Anweisungen zu Malwarebytes und CCleaner aufmerksam durch und befolge die Schritte genau, ggf. drucke sie dir aus.

Checken wir das Ganze erst mal von Anfang an. Da es sich vermutlich um einen DNS Changer handelt, müssen wir zunächst die DNS Einträge deiner Internetverbindung überprüfen. Gehe wie folgt vor:

Code: Alles auswählenAufklappen

ATTFilter

Geh bitte auf START
Systemsteuerung
Netzwerk- und Internetverbindungen
Netzwerkverbindungen
Hierauf dann einen Rechtsklick und Eigenschaften anklicken. 
Hier ist dann deine aktive Netzwerkverbindung ins Internet gelistet. 
Hierauf auch einen Rechtsklick und Eigenschaften aufrufen.
         

Für Vista:
In die Netzwerkkontrolle gelangst du so

Code: Alles auswählenAufklappen

ATTFilter

- Windows-Taste + “R” drücken
- Eingabe des Befehles “%windir%/system32/ncpa.cpl“
- Enter drücken oder “OK” bestätigen
         

Hier siehst du dann eine Menge Einträge. Scrolle runter bis zum Eintrag TCP/IP
drücke hier einmal mit der linken Maustaste drauf und dann auf Eigenschaften.

Schau in den Eintrag DNS Server . Ist der Eintrag DNS Server automatisch beziehen aktiviert oder siehst du darunter IP Nummern eingetragen?
Dein System sollte die DNS eigentlich automatisch beziehen.

Punkt 1.
Bitte deaktiviere deine Systemwiederherstellung:

Systemsteuerung/System/ Reiter Systemwiederherstellung. Nimm das Häkchen aus der Box. Beantworte die Frage mit Ja, somit werden alle deine Wiederherstellungspunkte auch gelöscht. Diese sind in deinem Fall sowieso unbrauchbar..

Für Vista

Punkt 2.
Mache alle Dateien deines System so sichtbar. ( Ordneroption - versteckte und Systemdateien anzeigen )

Für Vista User


Punkt 3.
Dann wirst du CCleaner aktivieren und wie beschrieben vorgehen und zwar so lange bis das keine Fehler mehr angezeigt werden.

Punkt 4.
Aktiviere MBR.exe Lass es laufen und poste das Logfile hier.

Punkt 5.
Hiernach einen Malwarebytes Scan ( Full Scan ) und das Logfile hier posten....( wenns nicht läuft benenne die MBAM.exe um in Hups.exe und versuchs dann. Einige Viren verhindern die Ausführung von AV Programmen. Lasse zum Abschluß alle Funde löschen
Gehts immer noch nicht, gehe zu Punkt 6.

Punkt 5.
Wieder zurück zu deiner Internetverbindung: Stelle den Eintrag DNS automatisch beziehen wieder her, falls dies nicht mittlerweile wieder auf automatisch steht..

Punkt 6.
Hiernach öffnest du GMER und lässt bei diesem Programm ebenfalls einen Scan durchführen, poste das Logfile hier. Wenn es funktioniert, dann bitte ausführen und die Logfile posten bzw. bei - Ihr kostenloser File Hoster! uploaden und Link posten.
Falls es nicht läuft: Auch hier verhindern einige Viren, dass GMER laufen kann. Benenne die exe dann einfach in Huppala.exe um

Weiteres kommt dann nach diesem Logfile von mir.....

Mensch toll danke für die antwort ich hab xp
und führ grad die schritte aus, um den virus zu entfernen.
das mit dem avenger versteh ich ned ganz, hab bei scan for rootkits haken reingemacht dann hat er nue gestartet und dann hat sich eine .txt geöffnet, wo drinstand das 1 driver oder sowas gefunden wurde Oo
ich mach mal weiter : D

SO hab jez alle programme ausgeführt die letzten 3 verstehe ich überhaupt nicht was ich dort machen soll = (
bei gmer.exe zeigt der mir zwar in rot die rootkis an aber mehr auch ned ...

Anscheinend ist der Verursacher
C:\WINDOWS\system32\drivers\gaopdxklfhdyiyuwqxeiqhrmlteparrvppjptb.sys

laut gmer.exe

Hier der GMER Log (kaspersky trial wieder deinstalliert btw):





GMER 1.0.15.14944 - http://www.gmer.net
Rootkit scan 2009-03-26 15:25:23
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.15 ----

SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwAdjustPrivilegesToken [0xB1881224]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwClose [0xB18817F8]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwConnectPort [0xB1883234]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwCreateFile [0xB1882BE6]
SSDT A9AF5FC6 ZwCreateKey
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwCreateSymbolicLinkObject [0xB1884BC6]
SSDT A9AF5FBC ZwCreateThread
SSDT A9AF5FCB ZwDeleteKey
SSDT A9AF5FD5 ZwDeleteValueKey
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwDeviceIoControlFile [0xB1882EF6]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwDuplicateObject [0xB18850CE]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwEnumerateKey [0xB18810F2]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwEnumerateValueKey [0xB188115A]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwFsControlFile [0xB1882DA8]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwLoadDriver [0xB188466A]
SSDT A9AF5FDA ZwLoadKey
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwOpenFile [0xB1882A42]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwOpenKey [0xB1880AFC]
SSDT A9AF5FA8 ZwOpenProcess
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwOpenSection [0xB1884BF0]
SSDT A9AF5FAD ZwOpenThread
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwQueryKey [0xB18811C2]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwQueryMultipleValueKey [0xB1880EC6]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwQueryValueKey [0xB1880CA4]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwQueueApcThread [0xB18848D2]
SSDT A9AF5FE4 ZwReplaceKey
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwRequestWaitReplyPort [0xB1883ABE]
SSDT A9AF5FDF ZwRestoreKey
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwResumeThread [0xB1884FA0]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSaveKey [0xB188041A]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSecureConnectPort [0xB18830D6]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSetContextThread [0xB18816F6]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSetSecurityObject [0xB1884764]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSetSystemInformation [0xB1884C1A]
SSDT A9AF5FD0 ZwSetValueKey
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSuspendProcess [0xB1884CFE]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSuspendThread [0xB1884E2A]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSystemDebugControl [0xB1884596]
SSDT A9AF5FB7 ZwTerminateProcess
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwWriteVirtualMemory [0xB188153A]

Code 8A0FB7F0 ZwFlushInstructionCache
Code \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) FsRtlCheckLockForReadAccess
Code \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) IoIsOperationSynchronous
Code 89F97AFE IofCallDriver
Code 8A29096E IofCompleteRequest

---- Kernel code sections - GMER 1.0.15 ----

.text ntkrnlpa.exe!FsRtlCheckLockForReadAccess 804EAF84 5 Bytes JMP B1898874 \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)
.text ntkrnlpa.exe!IofCallDriver 804EF1A6 5 Bytes JMP 89F97B03
.text ntkrnlpa.exe!IofCompleteRequest 804EF236 5 Bytes JMP 8A290973
.text ntkrnlpa.exe!IoIsOperationSynchronous 804EF912 5 Bytes JMP B1898C2E \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)
.text ntkrnlpa.exe!ZwCallbackReturn + 2FB8 80504854 12 Bytes [FE, 4C, 88, B1, 2A, 4E, 88, ...]
PAGE ntkrnlpa.exe!ZwFlushInstructionCache 805B6812 5 Bytes JMP 8A0FB7F4

---- User code sections - GMER 1.0.15 ----

.text C:\Programme\Mozilla Firefox\firefox.exe[1788] WS2_32.dll!send 71A14C27 5 Bytes JMP 00E5000A
.text C:\Programme\Mozilla Firefox\firefox.exe[1788] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 00E8000A
.text C:\Programme\Mozilla Firefox\firefox.exe[1788] WS2_32.dll!recv 71A1676F 5 Bytes JMP 00E6000A
.text C:\Programme\Mozilla Firefox\firefox.exe[1788] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 00E7000A

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT \SystemRoot\System32\DRIVERS\tcpip.sys[TDI.SYS!TdiRegisterDeviceObject] [B98DDDF0] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT \SystemRoot\System32\DRIVERS\netbt.sys[TDI.SYS!TdiRegisterDeviceObject] [B98DDDF0] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)

---- Devices - GMER 1.0.15 ----

AttachedDevice \Driver\Tcpip \Device\Ip kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
AttachedDevice \Driver\Tcpip \Device\Tcp kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
AttachedDevice \Driver\Tcpip \Device\Udp kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
AttachedDevice \Driver\Tcpip \Device\RawIp kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- Modules - GMER 1.0.15 ----

Module \systemroot\system32\drivers\gaopdxklfhdyiyuwqxeiqhrmlteparrvppjptb.sys (*** hidden *** ) AE2DB000-AE2F2000 (94208 bytes)

---- Services - GMER 1.0.15 ----

Service C:\WINDOWS\system32\drivers\gaopdxklfhdyiyuwqxeiqhrmlteparrvppjptb.sys (*** hidden *** ) [SYSTEM] gaopdxserv.sys <-- ROOTKIT !!!

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@start 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@type 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@imagepath \systemroot\system32\drivers\gaopdxklfhdyiyuwqxeiqhrmlteparrvppjptb.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@group file system
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys\modules
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys\modules@gaopdxserv \\?\globalroot\systemroot\system32\drivers\gaopdxklfhdyiyuwqxeiqhrmlteparrvppjptb.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys\modules@gaopdxl \\?\globalroot\systemroot\system32\gaopdxivmpyfoilagkmwntjxjovxotphhabowk.dll
Reg HKLM\SYSTEM\ControlSet003\Services\gaopdxserv.sys
Reg HKLM\SYSTEM\ControlSet003\Services\gaopdxserv.sys@start 1
Reg HKLM\SYSTEM\ControlSet003\Services\gaopdxserv.sys@type 1
Reg HKLM\SYSTEM\ControlSet003\Services\gaopdxserv.sys@imagepath \systemroot\system32\drivers\gaopdxklfhdyiyuwqxeiqhrmlteparrvppjptb.sys
Reg HKLM\SYSTEM\ControlSet003\Services\gaopdxserv.sys@group file system
Reg HKLM\SYSTEM\ControlSet003\Services\gaopdxserv.sys\modules
Reg HKLM\SYSTEM\ControlSet003\Services\gaopdxserv.sys\modules@gaopdxserv \\?\globalroot\systemroot\system32\drivers\gaopdxklfhdyiyuwqxeiqhrmlteparrvppjptb.sys
Reg HKLM\SYSTEM\ControlSet003\Services\gaopdxserv.sys\modules@gaopdxl \\?\globalroot\systemroot\system32\gaopdxivmpyfoilagkmwntjxjovxotphhabowk.dll

---- Files - GMER 1.0.15 ----

File C:\WINDOWS\system32\drivers\gaopdxklfhdyiyuwqxeiqhrmlteparrvppjptb.sys 39936 bytes executable <-- ROOTKIT !!!
File C:\WINDOWS\system32\drivers\gaopdxnejboykvvkdpjtacsoaokufynmttmtva.sys 39936 bytes executable
File C:\WINDOWS\system32\drivers\gaopdxykilmxgwxpxijarjufhmppynmwdoayxg.sys 37888 bytes executable
File C:\WINDOWS\system32\gaopdxivmpyfoilagkmwntjxjovxotphhabowk.dll 19968 bytes executable

---- EOF - GMER 1.0.15 ----

Hier noch der Malware Bytes LOG:



Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1900
Windows 5.1.2600 Service Pack 3

26.03.2009 17:20:38
mbam-log-2009-03-26 (17-20-31).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 163504
Laufzeit: 23 minute(s), 17 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\gaopdxcounter (Trojan.Agent) -> No action taken.

@Bash

Es ist doch ganz einfach. DU kannst diesen Virus nicht entfernen, da solltest du mir schon vertrauen. Ich hatte dich gebeten NICHTS auf eigene Faust zu unternehmen, sondern dich genau an die Reihenfoolge zu halten.

Ich weis nicht was und wie du was mit Avenger gemacht hast, aber jedes hier eingesetzte Programm was du nicht kennst ist in der Lage dein system unwideruflich zu zerstören.

Jetzt halte dich bitte an das was ich dir schreibe und flip nicht gleich aus wenn dein PC danach besser läuft. Wir haben noch einen weiten Weg vor uns.
Zunächst einmal dieses:

Öffne jetzt das Programm Avenger.

Du siehst jetzt ein weißen Scriptfeld.



Kopiere jetzt den Inhalt der Codebox mit Strg +C

Code: Alles auswählenAufklappen

ATTFilter

Drivers to delete:
gaopdxserv.sys

Files to delete:
C:\WINDOWS\system32\drivers\gaopdxklfhdyiyuwqxeiqhrmlteparrvppjptb.sys
C:\WINDOWS\system32\drivers\gaopdxnejboykvvkdpjtacsoaokufynmttmtva.sys
C:\WINDOWS\system32\drivers\gaopdxykilmxgwxpxijarjufhmppynmwdoayxg.sys
C:\WINDOWS\system32\gaopdxivmpyfoilagkmwntjxjovxotphhabowk.dll
C:\WINDOWS\system32\gaopdxcounter

Registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys
HKLM\SYSTEM\ControlSet003\Services\gaopdxserv.sys
         

und füge das ganze mit Strg + V in dieses Scriptfeld ein.
Achte darauf, dass der Inhalt der Codebox mit dem Scriptfeld übereinstimmt. Es kommt beim Kopieren des Codebox Inhaltes manchmal zu einer Lücke zwischen den Buchstaben. Falls dies so ist, korrigiere das bevor du auf EXECUTE drückst.

Der Avenger wird im Rahmen seiner Arbeit mehrmals booten, teilweise siehst du auch nur einen schwarzen Bildschirm. Das muss so sein, da das rootkit nur beseitigt werden kann bevor Windows komplett bootet. Also nicht erschrecken.. Selten, aber möglich, bootet Windows in einen Bluescreen. Auch dann kein Grund zur Sorge.

Nach Abschluß dieser Sache bekommst du ein Logfile angezeigt. Poste es bitte hier.

Zu diesem Zeitpunkt ist auch möglich, dass sich Avira mit Virenfunden meldet. Lasse diese Viren dann LÖSCHEN, anschließend löscht du die Quarantäne.

Anschließend wirst du das Programm Blacklight ausführen. Reporte das Ergebnis hier.

Weiter geht es dann wieder mit MalwareBytes. Auch hier lässt du eventuelle Funde komplett löschen. Quarantäne ebenfalls. Poste das Ergebnis hier.

Jetzt setzt du nochmals CCleaner ein und zeigst mir ein dann ein frisches Hijack this Log.

Halte dich diesmal an die Reihenfolge, sonst geht bald nichts mehr bei dir

Vor allen glaube nicht wir wären dann schon fertig....

Mensch danke redwulf das du mir hier so nett hilfst!

Also zuerst als ich Avenger gestartet habe und alles genauso eingegeben habe wie von dir gesagt, rebootete der PC mind 10x....
mir blieb nix anderes übrig als im letzt bekannten funktionierendem modus winsows zu starten.
so dann hab ich probiert zeile für zeile die commads einzugeben und habe gemerkt, das es nur an dem 1. befehl lag (driver delete...bla)

dann habe ich die 1. zeile weggelassen und den rest ausgeführt und dann hats auch geklappt mit log:


Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.

Hidden driver "gaopdxserv.sys" found!
ImagePath: \systemroot\system32\drivers\gaopdxklfhdyiyuwqxeiqhrmlteparrvppjptb.sys
Start Type: 1 (System)

Rootkit scan completed.

File "C:\WINDOWS\system32\drivers\gaopdxklfhdyiyuwqxeiqhrmlteparrvppjptb.sys" deleted successfully.
File "C:\WINDOWS\system32\drivers\gaopdxnejboykvvkdpjtacsoaokufynmttmtva.sys" deleted successfully.
File "C:\WINDOWS\system32\drivers\gaopdxykilmxgwxpxijarjufhmppynmwdoayxg.sys" deleted successfully.
File "C:\WINDOWS\system32\gaopdxivmpyfoilagkmwntjxjovxotphhabowk.dll" deleted successfully.
File "C:\WINDOWS\system32\gaopdxcounter" deleted successfully.
Registry key "HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys" deleted successfully.
Registry key "HKLM\SYSTEM\ControlSet003\Services\gaopdxserv.sys" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

So Blacklight auch danach ausgeführt
suche hat nix ergeben 0 founds

Log:

03/27/09 20:49:12 [Info]: BlackLight Engine 2.2.1092 initialized
03/27/09 20:49:12 [Info]: OS: 5.1 build 2600 (Service Pack 3)
03/27/09 20:49:12 [Note]: 7019 4
03/27/09 20:49:12 [Note]: 7005 0
03/27/09 20:49:16 [Note]: 7006 0
03/27/09 20:49:16 [Note]: 7011 1224
03/27/09 20:49:16 [Note]: 7035 0
03/27/09 20:49:16 [Note]: 7026 0
03/27/09 20:49:16 [Note]: 7026 0
03/27/09 20:49:18 [Note]: FSRAW library version 1.7.1024
03/27/09 20:53:46 [Note]: 7007 0

So Malware Bytes habe ich durchscannen lassen. dabei hat antiVir einige trojaner entdeckt, die habe ich alle geslöscht.

Hier der Malware Bytes Log:

Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1900
Windows 5.1.2600 Service Pack 3

27.03.2009 21:33:00
mbam-log-2009-03-27 (21-33-00).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 155228
Laufzeit: 38 minute(s), 34 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

So und hier der frisch HijackThis LOG:



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:35:26, on 27.03.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\cFosSpeed\spd.exe
C:\Programme\Google\Update\GoogleUpdate.exe
C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.war-europe.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O4 - HKLM\..\Run: [C6501Sound] RunDll32 c6501.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [NVIDIA nTune] "C:\Programme\NVIDIA Corporation\nTune\nTuneCmd.exe" clear
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: PPLive - {95B3F550-91C4-4627-BCC4-521288C52977} - C:\Programme\PPLive\PPLive.exe
O9 - Extra 'Tools' menuitem: PPLive - {95B3F550-91C4-4627-BCC4-521288C52977} - C:\Programme\PPLive\PPLive.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_2.3.6.108.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w3/pr01/resources/MSNPUpld.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: cFosSpeed System Service (cFosSpeedS) - cFos Software GmbH - C:\Programme\cFosSpeed\spd.exe
O23 - Service: Google Update Service (gupdate1c989f5cce36afe) (gupdate1c989f5cce36afe) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: owaim - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\owaim.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: DSL-Manager (TDslMgrService) - T-Systems Enterprise Services GmbH - C:\Programme\T-Online\DSL-Manager\DslMgrSvc.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe

--
End of file - 6747 bytes

Ich hoffe inständig, das die gaopdxser.sys auch erwischt wurde. Es ist vollkommen normal das der bei diesem Befall so oft booten musste. Die schädliche Programme werden vom Avenger gekillt noch bevor Windows komplett geladen ist, ansonsten funktioniert es nicht. Ich hoffe nur das ein von dir gewählter Reboot diese Aktion nicht unterbrochen hat. Manchmal dauert es halt sehr lange bevor der PC neu bootet innerhalb der Sequenz. Das erste Avenger Log hätte ich gerne gesehen, aber ok du sagst er hats erwischt. Desweiteren wäre für mich wichtig gewesen welche Viren er noch gefunden und gelöscht hat. Wars denn der Trojan.DNSChanger?

Soweit sieht den Logfile wieder gut aus. Nur noch ein bischen Feintuning un d ein paar Hinweise:

Code: Alles auswählenAufklappen

ATTFilter

Empfehlung: Deinstalliere alles vom Datensammler Google und deinstalliere Bonjour mit Bonjour au revoir
         

Danach nochmal CCleaner. Du solltest außerdem überlegen, ob du all diese Programme mit starten lassen musst. Alle Programme wirst du nicht brauchen und wenn du Eines brauchst, kannst du es ja auch manuell starten.

Für XP: -->Mit Start --> Ausführen --> msconfig [eintippen] / Reiter Systemstart kannst du, falls gewünscht, einige der dort gelisteten Programme vom Start herunternehmen.

Für Vista: -> Alle Programme -> Zubehör -> Ausführen den Ausführen-Dialog öffnen und dort "msconfig" eintippen. Nachdem die Eingabe mit OK bestätigt wurde, öffnet sich auch schon ein Fenster namens "Systemkonfiguration".
Hier kannst du dann einige der gelisteten Programme vom Systemstart ausnehmen.

Code: Alles auswählenAufklappen

ATTFilter

Doch Vorsicht !! Wer mit der Systemkonfiguration herumspielen will, sollte sich zuvor genau erkundigen, was die einzelnen Optionen, Dienste und Programme bewirken! 
         

Einige deiner Treiber und Programme sind hoffungslos überaltert.

Code: Alles auswählenAufklappen

ATTFilter

Damit du deine Treiber immer auf dem neuesten Stand hast empfehle ich dir
Secunia PSI
         

Hier erhälst du einen schnellen Überblick über den Zustand deiner Treiber, Risiken und wie man diese Risiken mittels freien Downloads beseitigen kann. So hast du alle Treiber im Griff und immer auf dem neuesten Stand.

Als alternativen Browser kann ich dir nur Firefox an Herz legen. Ad Block Plus
und NoScript sind Erweiterungen, die du in den Firefox einbauen kannst.
Lösche jedoch nicht den Internet Explorer, da du diesen für deine Updates brauchst.

Code: Alles auswählenAufklappen

ATTFilter

Lasse deine Windows Firewall immer an und verzichte auf andere Firewalls.
Sun´s Java sollte immer auf dem aktuellsten Stand sein. Den Download findest du hier.
Eine Alternative zu Outlook ist Thunderbird, der durch seine Technologie die sichere Variante ist.
         

Auch diese Hinweise zu Punkt 3 ( Absichern des Systems ) sind angesagt.

Entferne alle Programme die wir eingesetzt haben und stelle deine Systemwiederherstellung wieder an. Die Einstellungen Ordneroptionen / Verstecke und Systemdateien anzeigen solltest du wie oben unter Punkt 3 einstellen.

CCleaner und Malwarebytes kannst du drauf lassen...NUTZE sie regelmäßig ( updates nicht vergessen ) CCleaner erhöht bei regelmäßiger Anwendung u.a. auch die Performance deines Systems.

Code: Alles auswählenAufklappen

ATTFilter

Als letzten Tip kann ich dir nur die Eintsellungen für den Avira Antivirus empfehlen, lies bitte hierzu folgende Seite.
         

Leider war dein System nun kompromitiert.

Code: Alles auswählenAufklappen

ATTFilter

Bei Kompromitierung solltest du dir die offizielle Stellungnahme von Microsoft durchlesen:
         

Ich wünsche dir in Zukunft sicheres surfen......,alle Gute