Redirect auf Pornoseiten, Wurm ?? Hilfe !!

john.doe · 07.04.2009, 17:35

Zitat:

wenn ich das Script im Editor in eine txt datei packe geht die Formatierung verloren, sprich der gesamte Text ist in einer Zeile. Ist das ok ?

Nein, ich wundere mich schon die ganze Zeit, warum das nicht funktioniert. Welchen Editor benutzt du? Versuche es mit Start => Ausführen => notepad => OK

Zitat:

ich kann die Textdatei nur mit der linken Maustaste auf das Combofix Icon ziehen, nach dem Combofix gelaufen ist ist die Datei nicht mehr auf dem Desktop ?! richtig ?

Nein. Du musst es mit der rechten Maustaste ziehen und beim loslassen die Maus nicht bewegen.

ciao, andreas

keeponrockin · 07.04.2009, 17:55

so glaube diesmal hat es geklappt, zumindest hat Combofix diesmal angezeigt es hätte was gelöscht ... bin ich jetzt wieder clean ?

ComboFix 09-04-04.01 - Michael Sand 2009-04-07 18:43:46.6 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.2039.1519 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Michael Sand\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Michael Sand\Desktop\cfscript.txt
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated)
AV: Avira AntiVir PersonalEdition Classic *On-access scanning disabled* (Updated)
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated)
* Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!

FILE ::
C:\23990098.$$$
C:\bootini.ins
c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\GDIPFONTCACHEV1.DAT
c:\windows\R.COM
c:\windows\REGBK00.ZIP
c:\windows\system32\contfilt.dll
c:\windows\system32\drivers\fidbox.dat
c:\windows\system32\drivers\fidbox.idx
c:\windows\system32\drivers\fidbox2.dat
c:\windows\system32\drivers\fidbox2.idx
c:\windows\system32\mwnsp.dll
c:\windows\system32\mwtsp.dll
c:\windows\system32\T.COM
c:\windows\winsbak.reg
c:\windows\winsbak2.reg
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\23990098.$$$
C:\bootini.ins
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Logs\Resident.log
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\ProcCache.sbc
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\FraudAntivirus.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\FraudAntivirus1.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software\TuneUp Utilities\Program Statistics\ProgramStatistics.tudb
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software\TuneUp Utilities\StartUp Manager\Deaktivierte Objekte Alle Benutzer\Adobe Reader - Schnellstart.lnk
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software\TuneUp Utilities\StartUp Manager\Deaktivierte Objekte Alle Benutzer\Dataviz Messenger.lnk
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software\TuneUp Utilities\StartUp Manager\Deaktivierte Objekte Alle Benutzer\Microsoft Office.lnk
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software\TuneUp Utilities\StartUp Manager\Deaktivierte Objekte Alle Benutzer\WinZip Quick Pick.lnk
c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\GDIPFONTCACHEV1.DAT
c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\TuneUp Software
c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\TuneUp Software\TuneUp Utilities\Backups\00000020.rcb
c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\TuneUp Software\TuneUp Utilities\Backups\00000021.rcb
c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\TuneUp Software\TuneUp Utilities\Backups\00000022.rcb
c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\TuneUp Software\TuneUp Utilities\Backups\00000023.rcb
c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\TuneUp Software\TuneUp Utilities\Backups\00000024.rcb
c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\TuneUp Software\TuneUp Utilities\Dashboard\IntegratorStates.bin
c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\TuneUp Software\TuneUp Utilities\StartUp Manager\Deaktivierte Objekte\MagicDisc.lnk
c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\TuneUp Software\TuneUp Utilities\StartUp Manager\PreviousEntries.dat
c:\programme\Spybot - Search & Destroy
c:\programme\Spybot - Search & Destroy\advcheck.dll
c:\programme\Spybot - Search & Destroy\TeaTimer.exe
c:\windows\R.COM
c:\windows\REGBK00.ZIP
c:\windows\system32\contfilt.dll
c:\windows\system32\FLCSS.EXE
c:\windows\system32\mwnsp.dll
c:\windows\system32\mwtsp.dll
c:\windows\system32\T.COM
c:\windows\winsbak.reg
c:\windows\winsbak2.reg

.
((((((((((((((((((((((( Dateien erstellt von 2009-03-07 bis 2009-04-07 ))))))))))))))))))))))))))))))
.

2009-04-07 00:26 . 2009-04-07 00:26 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\NortonInstaller
2009-04-06 23:40 . 2009-04-06 23:40 <DIR> d-------- c:\programme\The KMPlayer
2009-04-06 23:37 . 2009-04-06 23:36 410,984 --a------ c:\windows\system32\deploytk.dll
2009-04-06 23:37 . 2009-04-06 23:36 73,728 --a------ c:\windows\system32\javacpl.cpl
2009-04-06 23:36 . 2009-04-06 23:36 <DIR> d-------- c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\Foxit
2009-04-06 23:35 . 2009-04-06 23:35 <DIR> d-------- c:\programme\Foxit Software
2009-04-05 16:53 . 2009-04-05 17:10 <DIR> d-------- c:\programme\iTunes
2009-04-05 16:53 . 2009-04-05 16:53 <DIR> d-------- c:\programme\iPod
2009-04-05 16:53 . 2009-04-05 16:54 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{00D89592-F643-4D8D-8F0F-AFAE0F14D4C3}
2009-04-05 16:51 . 2009-04-05 16:52 <DIR> d-------- c:\programme\QuickTime
2009-04-05 16:50 . 2009-04-05 16:53 <DIR> d-------- c:\programme\Gemeinsame Dateien\Apple
2009-04-05 16:50 . 2009-03-05 23:59 1,900,544 --a------ c:\windows\system32\usbaaplrc.dll
2009-04-05 16:50 . 2009-03-05 23:59 36,864 --a------ c:\windows\system32\drivers\usbaapl.sys
2009-04-04 17:28 . 2009-04-04 17:28 664 --a------ c:\windows\system32\d3d9caps.dat
2009-04-02 18:43 . 2009-04-02 18:43 <DIR> d-------- c:\programme\Gemeinsame Dateien\AVSMedia
2009-04-02 18:43 . 2009-04-02 18:43 <DIR> d-------- c:\programme\AVS4YOU
2009-04-02 18:43 . 2009-04-02 18:43 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\AVS4YOU
2009-04-02 18:43 . 2007-09-27 14:22 638,976 --a------ c:\windows\system32\divx.dll
2009-04-02 18:43 . 2007-09-27 14:22 261,632 --a------ c:\windows\system32\mcdvd_32.dll
2009-04-02 18:43 . 2003-05-22 12:26 221,215 --a------ c:\windows\system32\divxdec.ax
2009-04-02 18:43 . 2003-05-21 23:50 156,910 --a------ c:\windows\WMSysPr8.prx
2009-04-02 18:43 . 2003-05-21 23:50 82,944 --a------ c:\windows\system32\vct3216.acm
2009-04-02 18:43 . 2004-02-04 21:11 81,920 --a------ c:\windows\system32\AC3ACM.acm
2009-04-02 18:43 . 2003-05-21 23:50 38,912 --a------ c:\windows\system32\alf2cd.acm
2009-04-02 18:43 . 2003-05-21 12:50 24,576 --a------ c:\windows\system32\msxml3a.dll
2009-04-02 18:43 . 2000-03-14 20:55 13,239 --a------ c:\windows\system32\Scg726.acm
2009-04-02 18:18 . 2009-04-02 18:18 <DIR> d-------- c:\programme\Elaborate Bytes
2009-04-02 15:03 . 2009-04-02 15:03 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2009-04-02 15:03 . 2009-03-26 16:49 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-04-02 15:03 . 2009-03-26 16:49 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-04-02 14:16 . 2009-04-02 14:16 <DIR> d--hs---- c:\dokumente und einstellungen\Michael Sand\IECompatCache
2009-04-02 13:59 . 2009-04-02 13:59 <DIR> d-------- c:\programme\CCleaner
2009-04-01 08:27 . 2009-04-01 08:27 <DIR> d--hs---- c:\dokumente und einstellungen\LocalService\IETldCache
2009-03-30 13:19 . 2009-03-30 13:19 <DIR> d-------- c:\programme\Trend Micro
2009-03-28 02:34 . 2009-03-27 01:12 626,688 --a------ c:\windows\system32\msvcr80.dll
2009-03-28 02:34 . 2009-03-27 01:12 548,864 --a------ c:\windows\system32\msvcp80.dll
2009-03-28 02:34 . 2009-03-28 02:34 28,672 --a------ c:\windows\system32\eEmpty.exe
2009-03-28 02:34 . 2009-03-27 01:12 522 --a------ c:\windows\system32\Microsoft.VC80.CRT.manifest
2009-03-27 01:11 . 2009-04-06 20:32 <DIR> d-------- C:\PUB
2009-03-27 01:10 . 2009-04-06 20:32 <DIR> d-------- c:\programme\Gemeinsame Dateien\MicroWorld
2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\remoteservice\Vorlagen
2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\remoteservice\Startmenü
2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\remoteservice\Favoriten
2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\remoteservice\Dokumente
2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\remoteservice\Anwendungsdaten
2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\remoteservice
2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\LocalService\Vorlagen
2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\LocalService\Startmenü
2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\LocalService\Favoriten
2009-03-27 01:10 . 2009-03-27 01:10 <DIR> d-------- c:\dokumente und einstellungen\LocalService\Dokumente
2009-03-27 01:09 . 2000-04-03 23:00 130,560 --a------ c:\windows\system32\ZIPDLL.DLL
2009-03-27 01:09 . 2005-10-09 19:53 125,440 --a------ c:\windows\system32\UNZDLL.DLL
2009-03-27 01:09 . 2008-07-16 19:34 97,280 --a------ c:\windows\inst_tspx.exe
2009-03-27 01:09 . 2008-07-16 18:04 57,344 --a------ c:\windows\inst_tsp.exe
2009-03-27 01:09 . 2008-07-16 17:09 49,152 --a------ c:\windows\killproc.exe
2009-03-27 01:09 . 2005-04-03 14:08 8,464 --a------ c:\windows\system32\sporder.dll
2009-03-27 01:09 . 2005-04-03 14:08 8,464 --a------ c:\windows\sporder.dll
2009-03-27 01:09 . 1997-09-18 07:12 8,192 --a------ c:\windows\sporder.exe
2009-03-26 07:25 . 2009-03-26 07:25 <DIR> d--hs---- c:\dokumente und einstellungen\NetworkService\IETldCache
2009-03-25 23:55 . 2009-03-25 23:55 <DIR> d--hs---- c:\dokumente und einstellungen\Michael Sand\PrivacIE
2009-03-25 23:53 . 2009-03-25 23:53 <DIR> d--hs---- c:\dokumente und einstellungen\Michael Sand\IETldCache
2009-03-25 23:47 . 2009-03-25 23:50 <DIR> d--h-c--- c:\windows\ie8
2009-03-25 23:41 . 2009-03-25 23:41 0 --a------ c:\windows\nsreg.dat
2009-03-19 00:33 . 2009-03-19 00:42 <DIR> d-------- c:\programme\ICQ6.5
2009-03-08 15:29 . 2009-03-08 15:29 57,344 --------- c:\windows\system32\msrating.dll.mui
2009-03-08 15:28 . 2009-03-08 15:28 2,560 --------- c:\windows\system32\mshta.exe.mui
2009-03-08 15:27 . 2009-03-08 15:27 81,920 --------- c:\windows\system32\iedkcs32.dll.mui
2009-03-08 15:27 . 2009-03-08 15:27 4,096 --------- c:\windows\system32\ie4uinit.exe.mui

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-07 14:17 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2009-04-06 21:36 --------- d-----w c:\programme\Java
2009-04-06 21:24 --------- d-----w c:\programme\Gemeinsame Dateien\Adobe
2009-04-06 08:29 --------- d-----w c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\U3
2009-04-03 03:14 --------- d-----w c:\programme\SPSS
2009-04-02 12:12 --------- d-----w c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\OpenOffice.org2
2009-03-25 14:06 --------- d-----w c:\programme\Palm
2009-03-18 22:34 --------- d-----w c:\programme\ICQ6
2009-03-18 08:24 256 ----a-w c:\dokumente und einstellungen\Michael Sand\pool.bin
2009-02-26 12:49 --------- d-sh--w c:\dokumente und einstellungen\All Users\Anwendungsdaten\{55A29068-F2CE-456C-9148-C869879E2357}
2006-12-13 05:31 37 ----a-w c:\dokumente und einstellungen\Michael Sand\users.dat
2006-10-28 21:57 952 --sha-w c:\windows\system32\KGyGaAvL.sys
.

(((((((((((((((((((((((((((((((((((((((((((( Look )))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.

---- Directory of c:\dokumente und einstellungen\All Users\Anwendungsdaten\{00D89592-F643-4D8D-8F0F-AFAE0F14D4C3} ----

2009-04-05 16:54 3686 --a------ c:\dokumente und einstellungen\All Users\Anwendungsdaten\{00D89592-F643-4D8D-8F0F-AFAE0F14D4C3}\x86\DIFxInstallLog.txt
2009-02-04 13:56 75112 --a------ c:\dokumente und einstellungen\All Users\Anwendungsdaten\{00D89592-F643-4D8D-8F0F-AFAE0F14D4C3}\x86\DifXInstall32.exe
2009-01-27 09:19 7919 --a------ c:\dokumente und einstellungen\All Users\Anwendungsdaten\{00D89592-F643-4D8D-8F0F-AFAE0F14D4C3}\x86\gearaspiwdmx86.cat
2009-01-15 12:19 23848 --a------ c:\dokumente und einstellungen\All Users\Anwendungsdaten\{00D89592-F643-4D8D-8F0F-AFAE0F14D4C3}\x86\x86\GEARAspiWDM.sys
2009-01-15 11:24 2763 --a------ c:\dokumente und einstellungen\All Users\Anwendungsdaten\{00D89592-F643-4D8D-8F0F-AFAE0F14D4C3}\x86\GEARAspiWDM.inf
2008-04-17 12:12 107368 --a------ c:\dokumente und einstellungen\All Users\Anwendungsdaten\{00D89592-F643-4D8D-8F0F-AFAE0F14D4C3}\x86\x86\GEARAspi.dll
2006-11-02 06:21 319456 --a------ c:\dokumente und einstellungen\All Users\Anwendungsdaten\{00D89592-F643-4D8D-8F0F-AFAE0F14D4C3}\x86\DIFxAPI.dll

---- Directory of c:\dokumente und einstellungen\All Users\Anwendungsdaten\{55A29068-F2CE-456C-9148-C869879E2357} ----

2009-02-26 14:49 17217024 --a------ c:\dokumente und einstellungen\All Users\Anwendungsdaten\{55A29068-F2CE-456C-9148-C869879E2357}\{FB68628E-8FB9-41C2-BA55-D129249EE2AF}.msi

---- Directory of C:\PUB ----

((((((((((((((((((((((((((((( SnapShot@2009-04-06_20.12.49.70 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-06-09 23:21:01 135,168 ----a-w c:\windows\system32\java.exe
+ 2009-04-06 21:36:44 144,792 ----a-w c:\windows\system32\java.exe
- 2008-06-09 23:21:04 135,168 ----a-w c:\windows\system32\javaw.exe
+ 2009-04-06 21:36:44 144,792 ----a-w c:\windows\system32\javaw.exe
- 2008-06-10 00:32:34 139,264 ----a-w c:\windows\system32\javaws.exe
+ 2009-04-06 21:36:44 148,888 ----a-w c:\windows\system32\javaws.exe
+ 2009-04-07 16:47:47 16,384 ----atw c:\windows\temp\Perflib_Perfdata_220.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AVMUSBFernanschluss"="c:\dokumente und einstellungen\Michael Sand\Lokale Einstellungen\Apps\2.0\N8N50AXR.W3C\2XKDBNWE.KZM\frit..tion_f8d772dfbb3f7453_0002.0001_0db5bf149dd7a141\AVMAutoStart.exe" [2009-01-17 139264]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Apoint"="c:\programme\Apoint2K\Apoint.exe" [2004-03-24 196608]
"IntelZeroConfig"="c:\programme\Intel\Wireless\bin\ZCfgSvc.exe" [2005-12-05 667718]
"IntelWireless"="c:\programme\Intel\Wireless\Bin\ifrmewrk.exe" [2005-11-28 602182]
"00THotkey"="c:\windows\system32\00THotkey.exe" [2006-05-18 11:24 253952]
"RegKillElbyCheck"="c:\programme\Elaborate Bytes\DVD Region Killer\ElbyCheck.exe" [2002-11-02 45056]
"RegKillTray"="c:\programme\Elaborate Bytes\DVD Region Killer\RegKillTray.exe" [2002-11-27 49152]
"SkyTel"="SkyTel.EXE" [2006-04-25 c:\windows\SkyTel.exe]
"000StTHK"="000StTHK.exe" [2001-06-23 04:28 24576 c:\windows\system32\000StTHK.exe]
"AGRSMMSG"="AGRSMMSG.exe" [2006-03-04 c:\windows\agrsmmsg.exe]
"TPSMain"="TPSMain.exe" [2006-05-19 c:\windows\system32\TPSMain.exe]
"RTHDCPL"="RTHDCPL.EXE" [2006-05-09 c:\windows\RTHDCPL.exe]
"TFNF5"="TFNF5.exe" [2006-04-11 c:\windows\system32\TFNF5.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ \0

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Toshiba\\ConfigFree\\CFXFER.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\Hewlett-Packard\\Toolbox2.0\\Javasoft\\JRE\\1.3.1\\bin\\javaw.exe"=
"c:\\Programme\\Palm\\HOTSYNC.EXE"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\StubInstaller.exe"=
"c:\\WINDOWS\\system32\\javaw.exe"=
"c:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"=
"c:\\Programme\\FRITZ!DSL\\FBOXUPD.EXE"=
"c:\\Programme\\FRITZ!DSL\\WebwaIgd.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Dokumente und Einstellungen\\Michael Sand\\Lokale Einstellungen\\Apps\\2.0\\N8N50AXR.W3C\\2XKDBNWE.KZM\\frit..tion_f8d772dfbb3f7453_0002.0001_0db5bf0f9b5c5281\\fritzbox-usb-fernanschluss.exe"=
"c:\\Dokumente und Einstellungen\\Michael Sand\\Lokale Einstellungen\\Apps\\2.0\\N8N50AXR.W3C\\2XKDBNWE.KZM\\frit..tion_f8d772dfbb3f7453_0002.0001_0db5bf149dd7a141\\fritzbox-usb-fernanschluss.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\PROGRA~1\\GEMEIN~1\\MICROW~1\\Agent\\MWAGENT.EXE"=
"c:\\Programme\\iTunes\\iTunes.exe"=

R0 Thpdrv;TOSHIBA HDD Protection Driver;c:\windows\system32\drivers\thpdrv.sys [2004-12-27 16384]
R0 Thpevm;TOSHIBA HDD Protection - Shock Sensor Driver;c:\windows\system32\drivers\Thpevm.sys [2004-11-13 6144]
R1 TMEI3E;TMEI3E;c:\windows\system32\drivers\TMEI3E.SYS [2006-06-07 5888]
R2 IGDCTRL;AVM IGD CTRL Service;c:\programme\FRITZ!DSL\IGDCTRL.EXE [2007-09-04 87344]
R2 Tmesrv;Tmesrv3;c:\programme\Toshiba\TME3\TMESRV31.EXE [2006-06-07 118784]
R3 avmaura;AVM USB-Fernanschluss;c:\windows\system32\drivers\avmaura.sys [2008-07-09 100864]
R3 RegKill;RegKill;c:\windows\system32\drivers\RegKill.sys [2002-11-27 6400]
S3 IFXTPM;IFXTPM;c:\windows\system32\drivers\ifxtpm.sys [2006-06-07 35968]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
LSP: c:\programme\FRITZ!DSL\\sarah.dll
DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} - hxxp://static.pe.studivz.net/photouploader/ImageUploader5.cab?nocache=1216549754
DPF: {FC11A119-C2F7-46F4-9E32-937ABA26816E} - file:///D:/CD-ROM/CDViewer/CdViewer.cab
FF - ProfilePath - c:\dokumente und einstellungen\Michael Sand\Anwendungsdaten\Mozilla\Firefox\Profiles\swno724i.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - plugin: c:\programme\Mozilla Firefox\plugins\npFoxitReaderPlugin.dll
.

**************************************************************************

catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-07 18:48:36
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Intel\Wireless\Bin\EvtEng.exe
c:\programme\Intel\Wireless\Bin\S24EvMon.exe
c:\programme\AntiVir PersonalEdition Classic\sched.exe
c:\programme\AntiVir PersonalEdition Classic\avguard.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\programme\Toshiba\ConfigFree\CFSvcs.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\system32\igfxext.exe
c:\windows\system32\igfxsrvc.exe
c:\windows\system32\TPSBattM.exe
c:\programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
c:\programme\Apoint2K\ApntEx.exe
c:\programme\Gemeinsame Dateien\MicroWorld\Agent\MWAGENT.EXE
c:\programme\Intel\Wireless\Bin\RegSrvc.exe
c:\windows\system32\ThpSrv.exe
c:\programme\Toshiba\TME3\TMEEJME.exe
c:\dokumente und einstellungen\Michael Sand\Lokale Einstellungen\Apps\2.0\N8N50AXR.W3C\2XKDBNWE.KZM\frit..tion_f8d772dfbb3f7453_0002.0001_0db5bf149dd7a141\fritzbox-usb-fernanschluss.exe
c:\windows\system32\wbem\wmiapsrv.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-04-07 18:53:32 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-04-07 16:53:29
ComboFix2.txt 2009-04-07 16:25:35
ComboFix3.txt 2009-04-06 22:53:02
ComboFix4.txt 2009-04-06 22:04:21
ComboFix5.txt 2009-04-07 16:43:19

Vor Suchlauf: 7.243.988.992 Bytes frei
Nach Suchlauf: 7,226,265,600 Bytes frei

282 --- E O F --- 2009-03-18 06:13:36

john.doe · 07.04.2009, 18:26

Zitat:

bin ich jetzt wieder clean ?

Mit dem, was du da hattest, ist nicht zu Spaßen.

1.) Start => Ausführen => combofix /u => OK

2.) http://www.trojaner-board.de/51871-a...tispyware.html Punkt 1-3 der Anleitung abarbeiten.

3.) Kaspersky Online Scan

Überprüfe Dein komplettes System mit dem Kaspersky Online-Scanner. Bitte während des Scans alle evtl. vorhandenen externen Festplatten einschalten/anschließen. Außerdem während des Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliche) abstellen und nicht vergessen, sie hinterher wieder einzuschalten.

Kaspersky Online Scanner
- Anmerkung für Vista-User: Bitte den Browser unbedingt als Administrator starten.
- Java muss installiert, aktiv und erlaubt sein.
- Bebilderte Anleitung von sundavis.
- Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick.
- Wir werden Dir helfen, die Funde manuell vom System zu entfernen.
- Die Datenschutzerklärung akzeptieren.
- Programm installieren lassen.
- Update der Signaturen installieren lassen.
- Wenn der Status "Complete" ist,
- Scan-Einstellungen (Settings) Standard lassen
- Links den Link "My Computer" anklicken.
- Scan beginnt automatisch.
- Wenn der Scan fertig ist, auf "View scan report" klicken,
- "Save report as" und Dateityp auf .txt umstellen,
- und auf dem Desktop als Kaspersky.txt speichern.
- Logdatei hier posten.
- Deinstallation ist nicht nötig, alle Dateien werden in temporären Ordnern gespeichert.

ciao, andreas

keeponrockin · 07.04.2009, 21:35

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 04/07/2009 at 10:28 PM

Application Version : 4.26.1000

Core Rules Database Version : 3833
Trace Rules Database Version: 1789

Scan type : Complete Scan
Total Scan Time : 01:14:47

Memory items scanned : 568
Memory threats detected : 0
Registry items scanned : 6481
Registry threats detected : 0
File items scanned : 104371
File threats detected : 24

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\Michael Sand\Cookies\michael_sand@adfarm1.adition[2].txt
C:\Dokumente und Einstellungen\Michael Sand\Cookies\michael_sand@imrworldwide[2].txt
C:\Dokumente und Einstellungen\Michael Sand\Cookies\michael_sand@zbox.zanox[1].txt
C:\Dokumente und Einstellungen\Michael Sand\Cookies\michael_sand@mediaplex[1].txt
C:\Dokumente und Einstellungen\Michael Sand\Cookies\michael_sand@realmedia[1].txt
C:\Dokumente und Einstellungen\Michael Sand\Cookies\michael_sand@tradedoubler[2].txt
C:\Dokumente und Einstellungen\Michael Sand\Cookies\michael_sand@c7.zedo[1].txt
C:\Dokumente und Einstellungen\Michael Sand\Cookies\michael_sand@ad2.doublepimp[1].txt
C:\Dokumente und Einstellungen\Michael Sand\Cookies\michael_sand@hitbox[2].txt
C:\Dokumente und Einstellungen\Michael Sand\Cookies\michael_sand@revsci[1].txt
C:\Dokumente und Einstellungen\Michael Sand\Cookies\michael_sand@ad.zanox[1].txt
C:\Dokumente und Einstellungen\Michael Sand\Cookies\michael_sand@advertising[1].txt
C:\Dokumente und Einstellungen\Michael Sand\Cookies\michael_sand@server.iad.liveperson[1].txt
C:\Dokumente und Einstellungen\Michael Sand\Cookies\michael_sand@zedo[2].txt
C:\Dokumente und Einstellungen\Michael Sand\Cookies\michael_sand@adtech[1].txt
C:\Dokumente und Einstellungen\Michael Sand\Cookies\michael_sand@ehg-christiandior.hitbox[2].txt
C:\Dokumente und Einstellungen\Michael Sand\Cookies\michael_sand@server.iad.liveperson[5].txt
C:\Dokumente und Einstellungen\Michael Sand\Cookies\michael_sand@ad.71i[1].txt
C:\Dokumente und Einstellungen\Michael Sand\Cookies\michael_sand@ads.planetactive[2].txt
C:\Dokumente und Einstellungen\Michael Sand\Cookies\michael_sand@doubleclick[2].txt
C:\Dokumente und Einstellungen\Michael Sand\Cookies\michael_sand@adserver.71i[2].txt
C:\Dokumente und Einstellungen\Michael Sand\Cookies\michael_sand@atdmt[3].txt
C:\Dokumente und Einstellungen\Michael Sand\Cookies\michael_sand@ads.heias[1].txt
C:\Dokumente und Einstellungen\Michael Sand\Cookies\michael_sand@ad.yieldmanager[1].txt

john.doe · 07.04.2009, 22:03

SuperAntiSpyware gleich wieder deinstallieren.

ciao, andreas

keeponrockin · 08.04.2009, 00:05

--------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER 7 REPORT
Wednesday, April 8, 2009
Operating System: Microsoft Windows XP Professional Service Pack 2 (build 2600)
Kaspersky Online Scanner 7 version: 7.0.25.0
Program database last update: Tuesday, April 07, 2009 23:01:41
Records in database: 2021744
--------------------------------------------------------------------------------

Scan settings:
Scan using the following database: extended
Scan archives: yes
Scan mail databases: yes

Scan area - My Computer:
C:\
D:\
E:\
H:\
J:\

Scan statistics:
Files scanned: 110062
Threat name: 0
Infected objects: 0
Suspicious objects: 0
Duration of the scan: 01:56:05

No malware has been detected. The scan area is clean.

The selected area was scanned.

john.doe · 08.04.2009, 15:31

Wie geht es dem Rechner? Noch irgendwelche Auffälligkeiten?

Ansonsten würde ich sagen, du bist entlassen. Klicke auf die letzten beiden Links in meiner Signatur und sorge dafür, dass sowas nicht nochmal passiert.

ciao, andreas

keeponrockin · 08.04.2009, 15:43

also ich merke überhaupt gar nichts mehr. War dass jetzt die .uwe Datei ? War das n Wurm ? Virus ? ... dann werde ich mal die beiden letzten Punkte noch durcharbeiten. Vielen vielen Dank, habt Ihr irgendwie so ne Art Kaffeekasse ?

keeponrockin · 08.04.2009, 15:47

ach ja nochwas ... muss ich jetzt alle Passwörter / Kraditkarten / online banking Daten etc. wechseln ?

Der letzte Link funktioniert, der vorletzte nicht.

john.doe · 08.04.2009, 16:02

Zitat:

War dass jetzt die .uwe Datei ?

Nein.

Zitat:

War das n Wurm ? Virus ?

Schlimmer.
Rootkit.TDss.Gen
Backdoor.Win32.TDSS.s - a-squared Malware Beschreibung
perComp-Verlag GmbH - IT-Security Lösungen

Zitat:

habt Ihr irgendwie so ne Art Kaffeekasse ?

Nö.

Zitat:

muss ich jetzt alle Passwörter / Kraditkarten / online banking Daten etc. wechseln ?

Das ist zu empfehlen.

Zitat:

der vorletzte nicht.

Hab gerade nochmal kontrolliert. Bei mir schon. Google nach oschad, der erste Treffer ist richtig.

ciao, andreas

Redirect auf Pornoseiten, Wurm ?? Hilfe !!

Plagegeister aller Art und deren Bekämpfung: Redirect auf Pornoseiten, Wurm ?? Hilfe !!