Hallo liebe User, hallo liebe Helfer,

Eins vorweg: Mein Problem ist ein etwas Ausführlicheres^^

Seit einiger Zeit habe ich das Problem, dass sowohl der Internet Explorer, als auch Mozilla Firefox manchmal ohne ersichtlichen Grund nicht in der Lage sind beliebige Seiten aufzurufen, bzw. sie brauchen viel zu lange für den Verbindungsaufbau. Selstamerweise hatten andere Programme mit denen ich auf das Internet zugreife, keinerlei Probleme (Outlook, ICQ, McAfee Upater, iTunes)

Nach einem Windowsupdate vor etwa zwei Wochen meldete mir Windows Defender er hätte folgende Malware identifiziert und gelöscht: http://www.microsoft.com/security/portal/Entry.aspx?name=Backdoor%3aWin32%2fRbot.gen!A
Ob das was mit meinem Problem zu tun hat kann ich nicht sagen, aber das hat mich dann auf die Idee gebracht dass mein Internetproblem durch Malware verursacht wird.
Dann ist mir aufgefallen, dass der Task Manager mir eine Netzwerk Auslastung von 1-2% anzeigt, obwohl ich keine internetrelevanten Prozesse am laufen hatte. Ich habe mich dann auf die Suche gemacht nach der Anwendung die diese Auslastung verursacht, und habe sie dann mit dem T-DSL Manager gefunden: "winupdate.exe". Hörte sich im ersten Moment harmlos an, aber eine Recherche bei Google ergab gegenteiliges. Allerdings habe ich keine Lösung für mein Problem gefunden
McAfee Virus Scan hat natürlich, trotz Aktueller Definitionen, nichts gefunden.
Wenn ich den Prozess "winupdate.exe" beende dann tritt das Problem auch nicht mehr auf. Außerdem liegt diese Anwendung im Ordner "system32". Die habe ich da auch schon gelöscht, befürchte aber, dass die wiederhergestellt wird.

Meine Frage: Was ist "winupdate.exe" genau und wie kann ich sie entfernen?

Hier meine Malwarebytes und HiJack Logs:
#Malwarebytes' Anti-Malware 1.37
Datenbank Version: 2254
Windows 5.1.2600 Service Pack 3

09.06.2009 18:46:08
mbam-log-2009-06-09 (18-46-01).txt

Scan-Methode: Vollständiger Scan (C:\|F:\|)
Durchsuchte Objekte: 314099
Laufzeit: 1 hour(s), 7 minute(s), 12 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 4
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\microsoft updater (Backdoor.Bot) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\microsoft updater (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\microsoft updater (Backdoor.Bot) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ForceClassicControlPanel (Hijack.ControlPanelStyle) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\winupdate.exe (Backdoor.Bot) -> No action taken.
#

#
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:47:49, on 09.06.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\libusbd-nt.exe
C:\Programme\McAfee\Common Framework\FrameworkService.exe
C:\Programme\Google\Update\GoogleUpdate.exe
C:\Programme\McAfee\VirusScan Enterprise\VsTskMgr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\McAfee\VirusScan Enterprise\SHSTAT.EXE
C:\Programme\McAfee\Common Framework\McTray.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\RocketDock\RocketDock.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\Styler\Styler.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\HP\Digital Imaging\bin\hpqgalry.exe
C:\Programme\Microsoft Office 2003\OFFICE11\WINWORD.EXE
C:\Programme\Microsoft\Office Live\OfficeLiveSignIn.exe
C:\Programme\T-Online\DSL-Manager\DslMgr.exe
C:\Programme\T-Online\DSL-Manager\DslMgrSvc.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\Last.fm\LastFM.exe
C:\Programme\McAfee\Common Framework\UdaterUI.exe
C:\Programme\CCleaner\CCleaner.exe
C:\Programme\Microsoft Office 2003\OFFICE11\OUTLOOK.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Malwarebytes' Anti-Malware\mbam.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Programme\iTunes\iTunes.exe
C:\WINDOWS\system32\WISPTIS.EXE
C:\Programme\GIMP-2.0\bin\gimp-2.6.exe
C:\Programme\GIMP-2.0\lib\gimp\2.0\plug-ins\script-fu.exe
C:\Programme\McAfee\VirusScan Enterprise\Mcshield.exe
C:\WINDOWS\system32\SearchProtocolHost.exe
C:\Dokumente und Einstellungen\***\Eigene Dateien\Downloads & Wares\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O3 - Toolbar: StylerToolBar - {D2F8F919-690B-4EA2-9FA7-A203D1E04F75} - C:\Programme\Styler\TB\StylerTB.dll
O3 - Toolbar: QT Breadcrumbs Address Bar - {af83e43c-dd2b-4787-826b-31b17dee52ed} - mscoree.dll (file missing)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WinSys2] C:\WINDOWS\system32\winsys2.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\McAfee\VirusScan Enterprise\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\McAfee\Common Framework\UdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [NVIDIA nTune] "C:\Programme\NVIDIA Corporation\nTune\nTuneCmd.exe" clear
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Microsoft Updater] winupdate.exe
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\RunServices: [Microsoft Updater] winupdate.exe
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [RocketDock] "C:\Programme\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [Microsoft Updater] winupdate.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [IE7] rundll32 advpack.dll,LaunchINFSection IE7.inf,FirstUserStart (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O4 - S-1-5-18 Startup: DSL-Manager.lnk = C:\Programme\T-Online\DSL-Manager\DslMgr.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: DSL-Manager.lnk = C:\Programme\T-Online\DSL-Manager\DslMgr.exe (User 'Default user')
O4 - Startup: Styler.lnk = ?
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Image Zone Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1235387473046
O23 - Service: Application Driver Auto Removal Service (01) (appdrvrem01) - Protection Technology - C:\WINDOWS\System32\appdrvrem01.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Programme\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: Google Update Service (gupdate1c9b91781770b7e) (gupdate1c9b91781770b7e) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LibUsb-Win32 - Daemon, Version 0.1.10.1 (libusbd) - http://libusb-win32.sourceforge.net - C:\WINDOWS\system32\libusbd-nt.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - McAfee, Inc. - C:\Programme\McAfee\Common Framework\FrameworkService.exe
O23 - Service: McAfee McShield (McShield) - McAfee, Inc. - C:\Programme\McAfee\VirusScan Enterprise\Mcshield.exe
O23 - Service: McAfee Task Manager (McTaskManager) - McAfee, Inc. - C:\Programme\McAfee\VirusScan Enterprise\VsTskMgr.exe
O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: DSL-Manager (TDslMgrService) - T-Systems Enterprise Services GmbH - C:\Programme\T-Online\DSL-Manager\DslMgrSvc.exe

--
End of file - 10300 bytes
#


Und hier noch die Liste der Installierten Software auf meinem Rechner:
#
Adobe Flash Player
Adobe Flash Player 10 Plugin
Adobe Reader 9.1 - Deutsch
Adobe Shockwave Player
Age of Empires III Trial
Allgemeine Runtime Dateien
Apple Mobile Device Support
Apple Software Update
Ashampoo Burning Studio 2009
Ashampoo Burning Studio 6 FREE
Assassin's Creed
ATC for Splinter Cell Chaos Theory 1.0
Audacity 1.2.6
Avanquest update
BlueJ 2.5.1
Bonjour
Call of Duty(R) 4 - Modern Warfare(TM) Demo
CCleaner (remove only)
Crysis(R) SP Demo
Die Sims 2
DirectX 9.0c Zusatzdateien
dm Fotowelt
Drakensang - DEMO
DSL-Manager
FEAR
FIFA Fussball-Weltmeisterschaft 2006 (TM)
Free Disk Analyzer
Free YouTube to Mp3 Converter version 3.1
FUSSBALL MANAGER 09
GameCenter
GeoGebra
GIMP 2.6.5
Google Earth
Google Update Helper
Google Updater
GRID
GRID Demo
GTR 2 Demo
Guitar Pro 5.2
HijackThis 2.0.2
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)
Hotfix for Windows XP (KB915800-v4)
Hotfix für Windows XP (KB952287)
Hotfix für Windows XP (KB961118)
HP Image Zone 4.2
HP PSC & OfficeJet 4.2
HP Software Update
HPSSupply
IconPackager
IconPackager
ICQ6.5
Image Resizer Powertoy for Windows XP
Internet Explorer 7
iTunes
Java(TM) 6 Update 6
Last.fm 1.5.4.24567
LibUSB-Win32-0.1.10.1
Malwarebytes' Anti-Malware
McAfee VirusScan Enterprise
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 German Language Pack
Microsoft .NET Framework 1.1 Hotfix (KB928366)
Microsoft .NET Framework 2.0 Service Pack 2
Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU
Microsoft .NET Framework 3.0 Service Pack 2
Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU
Microsoft .NET Framework 3.5 Language Pack SP1 - deu
Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
Microsoft .NET Framework 3.5 SP1
Microsoft .NET Framework 3.5 SP1
Microsoft Office Live Add-in 1.3
Microsoft Office Professional Edition 2003
Microsoft Silverlight
Microsoft Visual C++ 2005 Redistributable
MobileMe Control Panel
Mozilla Firefox (3.0.10)
MSXML 4.0 SP2 (KB954430)
NVIDIA Drivers
NVIDIA nTune
OpenAL
Picasa 3
PixiePack Codec Pack
Pro Cycling Manager - Season 2008 1.0.2.3
QuickTime
RealPlayer
Realtek High Definition Audio Driver
RocketDock 1.3.5
Security Update for CAPICOM (KB931906)
Security Update for CAPICOM (KB931906)
Sicherheitsupdate für Windows Internet Explorer 7 (KB958215)
Sicherheitsupdate für Windows Internet Explorer 7 (KB960714)
Sicherheitsupdate für Windows Internet Explorer 7 (KB961260)
Sicherheitsupdate für Windows Media Player (KB952069)
Sicherheitsupdate für Windows Media Player 11 (KB954154)
Sicherheitsupdate für Windows XP (KB923561)
Sicherheitsupdate für Windows XP (KB938464)
Sicherheitsupdate für Windows XP (KB950762)
Sicherheitsupdate für Windows XP (KB950974)
Sicherheitsupdate für Windows XP (KB951066)
Sicherheitsupdate für Windows XP (KB951376-v2)
Sicherheitsupdate für Windows XP (KB951698)
Sicherheitsupdate für Windows XP (KB951748)
Sicherheitsupdate für Windows XP (KB952004)
Sicherheitsupdate für Windows XP (KB952954)
Sicherheitsupdate für Windows XP (KB954211)
Sicherheitsupdate für Windows XP (KB954459)
Sicherheitsupdate für Windows XP (KB954600)
Sicherheitsupdate für Windows XP (KB955069)
Sicherheitsupdate für Windows XP (KB956391)
Sicherheitsupdate für Windows XP (KB956572)
Sicherheitsupdate für Windows XP (KB956802)
Sicherheitsupdate für Windows XP (KB956803)
Sicherheitsupdate für Windows XP (KB956841)
Sicherheitsupdate für Windows XP (KB957097)
Sicherheitsupdate für Windows XP (KB958644)
Sicherheitsupdate für Windows XP (KB958687)
Sicherheitsupdate für Windows XP (KB958690)
Sicherheitsupdate für Windows XP (KB959426)
Sicherheitsupdate für Windows XP (KB960225)
Sicherheitsupdate für Windows XP (KB960715)
Sicherheitsupdate für Windows XP (KB960803)
Sicherheitsupdate für Windows XP (KB961373)
Singtel Ultimate Simulator v1.0
Skispringen 2007
Sony Ericsson PC Suite 4.010.00
Sony Ericsson Themes Creator 3.32
Sony Vegas Pro 8.0
SpeedFan (remove only)
Steam
Styler
SUPER © Version 2009.bld.35 (Jan 5, 2009)
Tom Clancy's Splinter Cell Chaos Theory
Uninstall 1.0.0.1
Unity Web Player
Update für Windows Internet Explorer 8 (KB968220)
Update für Windows XP (KB898461)
Update für Windows XP (KB943729)
Update für Windows XP (KB951978)
Update für Windows XP (KB955839)
Update für Windows XP (KB967715)
Update Service
VLC media player 0.9.8a
Wichtiges Update für Windows Media Player 11 (KB959772)
Windows Internet Explorer 8
Windows Live Anmelde-Assistent
Windows PowerShell(TM) 1.0
Windows Search 4.0
WinRAR
XML Paper Specification Shared Components Language Pack 1.0
#

Danke schonmal für alle Antworten!!!

Hallo und

Seit wann genau hast du Probleme?

Hast du die Funde von Malwarebytes löschen lassen?

1.) Systemdetails mit RSIT prüfen

• Lade Random's System Information Tool (RSIT) von random/random herunter,
• speichere es auf Deinem Desktop.
• Starte mit Doppelklick die RSIT.exe.
• Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
• Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
• Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
• Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread.

2.) Erstelle ein Filelisting.

• Lade die Datei listing0.bat auf deinen Desktop
• Doppelklicke auf listing0.bat
• Am Ende befindet sich eine Datei listing.txt auf dem Desktop. Die bei einem Filehoster (z.B. Materialordner.de) hochladen und hier den Link posten.

Lasse dich nicht von den Fehlermeldungen verunsichern, das liegt an Vista.

3.) ComboFix

Achtung: Die Anleitung ist veraltet. Den Teil mit der Systemwiederherstellungskonsole nicht ausführen. Die wird bei Internetverbindung automatisch installiert.

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  
  Sollte sich ComboFix nicht starten lassen, dann benenne es um in cofi.exe und versuche es nocheinmal.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

ciao, andreas

cool, danke für die schnelle antwort, ich werde des morgen mit wachem verstand durchführen

Seit wann ich die Probleme genau habe... Lässt sich nicht so genau sagen, weil eine Unterbrochene Internetverbindung ist bei mir nichts ungewöhnliches, aber jetz ist es eben so, dass der Rechner ohne Probs am Router hängt und der hat ne 1A Verbindung ins Netz... Nur seit wann das genau ist... seit etwa einem Monat...

Und nein, ich habe die Befunde noch net gelöscht, ich wollte erstma einen Pro zu meinem Thema hören

Zitat:

das liegt an Vista

Das sollte mich als XP User net Jucken

Ich werde morgen die Liste brav abarbeiten und die Logs und die Ergebnisse posten

thx und ciao

So, habe alle Tools laufen lassen,

hier die Links zu den Ergebnissen (Allein schon der RSIT Log war zu groß für einen Post, deshalb hab ichs als *.txt hochgeladen)

RSIT:
Hier log.txt: Datei Upload, Bilder hochladen, Datei Hosting auf Materialordner.de

Lier info.txt: Datei Upload, Bilder hochladen, Datei Hosting auf Materialordner.de

listing0.bat
Datei Upload, Bilder hochladen, Datei Hosting auf Materialordner.de

Combofix
Datei Upload, Bilder hochladen, Datei Hosting auf Materialordner.de

Zitat:

seit etwa einem Monat...

Dann ist es nur sehr schwer möglich alles zu finden. Du sparst dir eine Menge Zeit wenn du diesen Weg wählst: http://www.trojaner-board.de/51262-a...sicherung.html

Hast du die automatische Anmeldung aktiviert?

Ist das eine legale Windowsversion?

1.) Deinstalliere (falls möglich):

• Apple Software Update
• Bonjour
• Google Update Helper
• Google Updater
• HP Software Update
• Java(TM) 6 Update 6
• PixiePack Codec Pack
• Uninstall 1.0.0.1
• Unity Web Player

2.) Lade die Dateien:

Code: Alles auswählenAufklappen

ATTFilter

c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Microsoft\Installer\{E9ECF354-2422-4FDB-9ABF-D8ADAC0EF941}\_7b12541d.exe
c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Microsoft\Installer\{457791C5-D702-4143-A7B2-2744BE9573F2}\NewShortcut1_5B69D3033CA54B39B5ECE7D051297E77.exe
         

bitte bei uns hoch => http://www.trojaner-board.de/54791-a...ner-board.html

3.) Scripten mit Combofix

• Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code: Alles auswählenAufklappen

ATTFilter

KILLALL::

Driver::
OMSCAN
gupdate1c9b91781770b7e
appdrvrem01
appdrv01

RegLockDel::
[HKEY_USERS\S-1-5-21-1390067357-1343024091-1177238915-500\Software\Microsoft\Internet Explorer\User Preferences]
[HKEY_USERS\S-1-5-21-1390067357-1343024091-1177238915-500\Software\Microsoft\Windows\CurrentVersion\Explorer\Clsid]

Registry::
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\OMSCAN]
[-HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{B2C3BB6B-E005-4246-B8E5-DF0A4D073CDC}]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"Ø[’|€ø"=-
"c:\\WINDOWS\\system32\\mmc.exe"=-
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=-
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=-
"UpdatesDisableNotify"=-
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveTrack"=-
"NoSMMyPictures"=-
"NoSMMyDocs"=-
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveTrack"=-
"NoSMMyPictures"=-
"NoSMMyDocs"=-
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveTrack"=-
"NoFileAssociate"=-
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nltide_2"=-
"ShowDeskFix"=-
"nltide_3"=-
"IE7"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"=-
"HP Software Update"=-
"TkBellExe"=-
"QuickTime Task"=-
"iTunesHelper"=-
"nwiz"=-
"RTHDCPL"=-

Folder::
C:\rsit
c:\windows\NV21082492.TMP
c:\programme\Google\Update
c:\programme\Google\Google Updater
c:\programme\Google\GoogleToolbarNotifier
c:\programme\Unity

File::
c:\windows\Tasks\Google Software Updater.job
c:\windows\Tasks\GoogleUpdateTaskMachine.job
c:\windows\Tasks\HPpromotions psc 2350 series.job

DirLook::
c:\windows\system32\wbem\Repository
C:\Programm
C:\Sun
c:\dokumente und einstellungen\Administrator\.SunDownloadManager
         

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

• Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

• Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

hmm... an Neuaufsetzen habe ich auch schon gedacht, aber ich habe momentan keine Windows CD...

Automatische Anmeldung habe ich deaktiviert.

Ob diese Windows Version legal ist? Sagen wirs so: Sie stammt nicht von einer im Werk gepressen CD sondern aus dem reichhaltigen Sortiment eines Bekannten, der sie anfang des Jahres zum Aufsetzen meines Rechners geliehen hat.

1.: Alles Deinstalliert

2.: Die erste Datei konnte ich finden, die Zweite war nicht mehr da auch der übergeordnete Ordner war auch gelöscht. Er kann auch nicht versteckt sein, weil ich lasse standardmäßig alle Ordner und Dateien anzeigen, egal ob sie versteckt sind oder nicht. Ich habe die erste zumindest bei euch hochgeladen.

3.: Combifx log ist wieder einmal zu Groß für einen Beitrag, habs hier hochgeladen: Datei Upload, Bilder hochladen, Datei Hosting auf Materialordner.de


Mal ne ganz andere Frage: Ich weiß ja wie ich den verdächtigen Prozess zumindest bis zum neustart des Systems beenden kann. Ist es dann zwingend notwendig, dass ich mein System neu aufsetze, falls ich die Malware nicht ohne Neuinstallation von XP entfernt bekomme?