Hi,

wir müssen abschließend noch aufräumen:

Systemwiederherstellung löschen
http://www.systemwiederherstellung-deaktivieren.de/windows-xp.html
Wenn der Rechner einwandfrei läuft abschließend alle Systemwiederherstellungspunkte löschen lassen(das sind die: C:\System Volume Information\_restore - Dateien die gefunden wurden, d.h. der Trojaner wurde mit gesichert und wenn Du auf einen Restorepunkt zurück gehen solltest, dann ist er wieder da) wie folgt:

Arbeitsplatz ->rechte Maus -> Eigenschaften -> Systemwiederherstellung ->
anhaken: "Systemwiederherstellung auf allen Laufwerken deaktivieren" -> Übernehmen -> Sicherheitsabfrage OK -> Fenster mit OK schliessen -> neu Booten;

Dann das gleiche nochmal nur das Häkchen entfernen (dann läuft sie wieder).

Einen ersten Restorepunkt setzten:
Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen

Combofix deinstallieren (falls noch nicht gemacht):
Start->Ausführen-> combofix /u

Aufräumen:
Backups von Avenger&Co (falls vorhanden) löschen:
Falls der Rechner einwandfrei läuft, können die Backups der
Bereinigungstools gelöscht werden (soweit vorhanden):

C:\Qoobox - loeschen und Papierkorb leeren (ComboFix Backups)
C:\avenger\backup.zip - loeschen und Papierkorb leeren (Avenger)
C:\VundoFix Backups - loeschen und Papierkorb leeren
C:\RVAXO-results.log -->Papierkorb leeren
Backupfiles von HJ liegen im HJ-Ordner


Passwörter etc. ändern nicht vergessen...

Und, was meinte AVIRA?
Bie Rootkit und Backdoor sollte eigentlich Neuaufgesetzt werden, da Einstellungen und "Hintertürchen" angelegt worden sein können...

chris & out

So, ich habe alle von dir aufgezählten Schritte durchgeführt.

Also im Forum von Avira wurde mir direkt zur Neuinstallation von Windows geraten, ohne vorher irgendein anderes Programm auszuprobieren.
Du hast nun auch nochmal geschrieben, dass man bei Rootkits, wie ich es ja hatte, normalerweise das System neu aufsetzt. Ist mein PC denn nun trotzdem wieder sauber oder muss ich doch noch formatieren?

Hi,

besser wäre Neuaufsetzen auf jeden Fall, besonderst dann, wenn sicherheitsrelevante Dinge gemacht werden (Homebanking etc.)...
Ansonsten bleibt es im "Ermessen" des Einzelnen, was er weiter tun will...

chris

Also ist mein PC noch immer nicht wieder sauber? Ich dachte, wir hätten das Rootkit entfernt. Hat es denn dann überhaupt etwas gebracht, was wir bis hierher gemacht haben? Gibt es noch irgendwas, was man tun kann (abgesehen vom Neuaufsetzen)?

Hi,

momentan ist nach meinem Kenntnisstand und dem der verwendeten Tools der Rechner sauber...
Aber: Falls das Rootkit was ganz neues eingeschleust hat, oder Dir irgendwelche Ports freigeschaltet hat, sehe ich (und die tools) das nicht...

Ports können über eine Firewall wieder geschlossen werden, nach einigen Tagen und einer gewissen Verbreitung der Malware, wird diese wieder erkannt...

Also in dem Fall: Teetrinken und abwarten, V-Tools updaten und ab- und an neuscannen...

Ein Restrisiko bleibt, wie wenn SW getestet wird (oder Autoelektrik etc.)... im Prinziep geht es, aber Fehler sind nun mal drin...

chris
Ps.: Und was von Deinem Rechner schon "abgegriffen" wurde (Passwörter etc.) kann ich Dir nicht sagen, daher in so einem Fall Pwd sofort von einem sauberen Rechner aus ändern, und die verwendeten Pwd für den Rechner ebenfalls nach Bereinigung alle ändern...

Okay, dann werde ich in der nächsten Zeit mehrmals pro Woche Scans mit MBAM und AV machen und schauen, ob der PC sauber bleibt. Ich habe übrigens einen Router, also sollte das mit den Ports wahrscheinlich nicht so das Problem sein. Passwörter hatte ich bereits vom Laptop aus geändert.

Auf jeden Fall vielen Dank für deine Hilfe.

Eine Frage habe ich allerdings noch: Ich habe auf meiner Festplatte einen Ordner namens C:\ERDNT bemerkt. Was genau ist das und ist es ungefährlich oder sollte ich es löschen?

Hi,

erdnt ist ein Backup-Ordner von Combofix, kann nach Deinstallation von CF gelöscht werden...

chris & Out

Okay, hab ich gemacht. Noch irgendetwas, dass ich noch machen soll, bevor ich mit dem PC wieder ins Internet gehe?

Hi,

falls noch keine Firewall:
http://www.tallemu.com/free-firewall-protection-software.html

chris

Ich nutze die Windows Firewall und habe einen Router. Reicht das und ist sonst noch etwas zu machen?

Hi,

ist Ok!

chris

Gut, dann nochmal vielen Dank für deine Hilfe.

Leider muss ich mich nochmal melden, da mein PC scheinbar immer noch nicht wieder sauber ist. Und zwar habe ich noch immer das Problem, dass ich im Firefox bei Google Suchergebnissen auf Werbeseiten, Ebay oder anderen Suchmaschinen umgeleitet werde, anstatt zu der Seite, die eigentlich das Ergebnis der Suche ist, manchmal kommt auch "google.de/undefinded" mit einer 404 Meldung.
Ich muss aber sagen, dass dieses Problem im Vergleich zu vor unerer Reinigungsaktion hier im Thread seltener auftritt und ich bei einem zweiten Klick auf das Suchergebnis jetzt immer zur richtigen Seite komme, was vorher nicht der Fall war. Im Internet Explorer tritt das Problem übrigens garnicht auf.
Ich war seit der Reinigung hier im Thread abgesehen vom Ausprobieren des Google Problems und Antivir etc. Updates im Grunde nicht im Internet, weshalb ich eine Neuinfektion eigentlich ausschliessen würde.

Scans mit MBAM und Antvir fanden nichts, Spybot nur ein paar Trackingcookies.

Hier auch noch ein HJT-Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 03:17:31, on 24.05.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Diskeeper Corporation\Diskeeper\DkService.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Google\Update\GoogleUpdate.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype\Plugins\Plugins\1163D2B46CC742E5A3CC9E4157887751\TalkAndWrite.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Analog Devices\SoundMAX\SMax4.exe
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\programme\steam\steam.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Programme\Outlook Express\msimn.exe"
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 131.247.2.241:3127
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [TalkAndWrite] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype\Plugins\Plugins\1163D2B46CC742E5A3CC9E4157887751\TalkAndWrite.exe /run
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [SoundMax] "C:\Programme\Analog Devices\SoundMAX\SMax4.exe" /tray
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [Steam] "c:\programme\steam\steam.exe" -silent
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [igndlm.exe] C:\Programme\Download Manager\dlm.exe /windowsstart /startifwork
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: ICQ6.5 (2).lnk = C:\Programme\ICQ6.5\ICQ.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programme\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {029FDBA6-3547-11D7-AA4C-0050BF051A00} (Rawflow ICD Client) - http://www.quadv.com/quadvtv1/Rawflow.cab
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (CDownloadCtrl Object) - http://www.fileplanet.com/fpdlmgr/ca..._2.3.5.107.cab
O16 - DPF: {3B1E1AB9-98C2-4B7E-AE01-59C84302BBDB} (RayVActiveXCtrl Object) - http://update.rayv.com/viewer/webins...ayvactivex.cab
O16 - DPF: {3EA4FA88-E0BE-419A-A732-9B79B87A6ED0} (CTVUAxCtrl Object) - http://dl.tvunetworks.com/TVUAx.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1171887300859
O16 - DPF: {8FEFF364-6A5F-4966-A917-A3AC28411659} (SopCore Control) - http://download.sopcast.com/download/SOPCORE.CAB
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ge...sh/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Diskeeper - Diskeeper Corporation - C:\Programme\Diskeeper Corporation\Diskeeper\DkService.exe
O23 - Service: Google Update Service (gupdate1c9a91c6c86c0de) (gupdate1c9a91c6c86c0de) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NMIndexingService - Unknown owner - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: TVersityMediaServer - Unknown owner - C:\Programme\TVersity\Media Server\MediaServer.exe

--
End of file - 8590 bytes

Hi,

wenn der IE funktioniert, scheidet eine generelle Umleitung etc. aus.
Das kann dann nur an einer Extension oder dem bei Firefox eingetragenen DNS-Server liegen...(Bin aber nicht so der Firefox-Crack)...

Fangen wir mal an:
Lösche mal alle privaten Daten (Firefox->Extras->Private Daten löschen).

Wenn das nichts hilft:
Nacheinander alle PlugIns abschalten, bis der Fehler nicht mehr auftritt.

Wenn auch das nichts hilft:
Arbeite alles was unter dem Link angegeben ist ab und
berichte dann im Thread!
Erstmal keine PlugIns installieren und das gemachte
Backup von Firefox nicht einspielen.
http://www.trojaner-board.de/411645-post19.html

chris

Ps.:
Kennst Du die beiden Sachen:
O16 - DPF: {3B1E1AB9-98C2-4B7E-AE01-59C84302BBDB} (RayVActiveXCtrl Object) - http://update.rayv.com/viewer/webins...ayvactivex.cab
O16 - DPF: {8FEFF364-6A5F-4966-A917-A3AC28411659} (SopCore Control) - http://download.sopcast.com/download/SOPCORE.CAB

Jap, die beiden Sachen kenne ich. Die sind beide schon wesentlich länger auf dem PC als das Problem besteht, denke daher nicht, dass diese die Ursache sind.

Ich muss jetzt leider erstmal weg, wenn ich wiederkomme werde ich aber die von dir gelinkte Liste abarbeiten.