RECYCLER\S-***.com" konnte auch nicht gefunden werden.

Lamion · 05.07.2009, 14:41

Hallo liebes Forum!

Erstmal finde ich super, dass einige hier so ausführlich und hilfreich die Lösungen der Probleme beschreiben.

Vielleicht kann mir auch jemand helfen. Das Problem wurde hier schon oft behandelt, und ich habe festgestellt, dass die Lösungen fast immer individuell sind. Mein Problem ist folgendermaßen entstanden:

1. Computer wurde durch Stick angesteckt.
2. Während ich im Internet surfte, öffneten sich ab und zu "internet explorer" Fenster mit Werbung, obwohl ich mit "morzilla" unterwegs war. Nach Deinstallation von "internet explorer", schaffte der fiese-miese Trojaner doch noch die ie-fenster aufzumachen

3. Der Browser hat sich manchmal selbst geschlossen

4. Wenn man in der google suche etwas gesucht hat, ist man ab und zu auf irgendwelchen anderen seiten gelandet.
5. Ich dachte mit dem "antivir" war ich bestens geschützt. Dieser hat nichts gemeldet. Nach der Überprüfung mit dem "Spyware Terminator" hat sich herrausgestellt, dass viele Dateien von einem "backdoor trojaner" verseucht waren.
6. In diesem Forum (Danke!) habe ich dann gelesen, wie ich meinen "RECYCLER" und regestry bereinigen kann.

7. Nach der Bereinigung gibt es laut "Spyware Terminator" keine Viren mehr, doch das Problem aus dem Punkt 4 besteht immer noch. (Morzilla ist natürlich neu installiert)
8. Meine Festplatten lassen sich nur durch explorer öffnen. Beim Doppelklick erscheint eben die Meldung "RECYCLER\S-***.com" konnte nicht gefunden werden..."
9. "HiJackThis" lässt sich leider nicht öffnen. Und ich würde so gern meinen Log hier posten.

Ich hoffe jemand kann damit was anfangen und mir helfen? Ich suche die Lösungen für die Punkte 7-9.

Lamion · 05.07.2009, 15:16

Auf die Antwort für Punkt 9 bin ich durch recherchen auch gekommen. Das ist ja wirklich rafiniert!!! Einige Trojaner sind darauf programmiert Hijack ausfindig zu machen und zu stoppen!

Erst nachdem ich die datei an einen anderen Ort kopiert und umbenannt habe, ließ sie sich starten. Hier ist mein Log:

--------------------------------------------------------------------------
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:04:29, on 05.07.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
F:\1. PROGRAMME\iTunes\iTunesHelper.exe
F:\Programme\Seagate\SeagateManager\FreeAgent Status\StxMenuMgr.exe
F:\1. PROGRAMME\Xampp\apache\bin\apache.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
F:\3. FONTS\Suitcase\Suitcase.exe
C:\Programme\Bonjour\mDNSResponder.exe
F:\Programme\Seagate\SeagateManager\Sync\FreeAgentService.exe
C:\Dokumente und Einstellungen\Ich\Lokale Einstellungen\Anwendungsdaten\Google\Update\1.2.183.7\GoogleCrashHandler.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
F:\2. GRAFIKPROGRAMME\Maya 7\docs\wrapper.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
F:\1. PROGRAMME\Xampp\mysql\bin\mysqld-nt.exe
F:\2. GRAFIKPROGRAMME\Maya 7\docs\jre\bin\java.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\ShuttleEngine.exe
C:\Programme\Spyware Terminator\sp_rsser.exe
C:\WINDOWS\system32\svchost.exe
F:\1. PROGRAMME\Xampp\apache\bin\apache.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Mozilla Firefox\firefox.exe
F:\1. PROGRAMME\MS Office Professional 2003\OFFICE11\OUTLOOK.EXE
F:\1. PROGRAMME\MS Office Professional 2003\OFFICE11\WINWORD.EXE
C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe
C:\Programme\Spyware Terminator\SpywareTerminator.exe
C:\Dokumente und Einstellungen\Ich\Desktop\dghjkk.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://alice.aol.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://de.search.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*http://de.search.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://alice.aol.de
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://de.search.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://go.microsoft.com/fwlink/?LinkId=54843
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\Programme\Crawler\ctbr.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: &Crawler Toolbar - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\Programme\Crawler\ctbr.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "F:\2. GRAFIKPROGRAMME\Adobe\Acrobat 8\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "F:\1. PROGRAMME\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "F:\1. PROGRAMME\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [MaxMenuMgr] "F:\Programme\Seagate\SeagateManager\FreeAgent Status\StxMenuMgr.exe"
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "F:\1. PROGRAMME\\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Google Update] "C:\Dokumente und Einstellungen\Ich\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe" /c
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Suitcase Startup.lnk = ?
O8 - Extra context menu item: Crawler Search - tbr:iemenu
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\189D5~1.PRO\MSOFFI~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: TOPTIP Web Editor - {2A465936-E5F0-11D2-91B5-00104B9C4765} - F:\1. PROGRAMME\toptip_setup\toptip.exe (file missing)
O9 - Extra 'Tools' menuitem: TOPTIP Web Editor - {2A465936-E5F0-11D2-91B5-00104B9C4765} - F:\1. PROGRAMME\toptip_setup\toptip.exe (file missing)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - F:\189D5~1.PRO\MSOFFI~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - G:\Games\PartyPoker\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - G:\Games\PartyPoker\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - F:\1. PROGRAMME\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - F:\1. PROGRAMME\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - https://img.web.de/v/mail/activex/mail_upload_1126.cab
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - http://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab
O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - http://a532.g.akamai.net/f/532/6712/1d/player.virtools.com/downloads/player/Install2.1/Installer.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{25E41A63-4BAA-498D-9174-E437E5C93218}: NameServer = 85.255.112.94,85.255.112.147
O17 - HKLM\System\CCS\Services\Tcpip\..\{77CC9805-A136-4FDC-B898-5A18941176A0}: NameServer = 213.209.104.250 213.209.104.220
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.94,85.255.112.147
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.112.94,85.255.112.147
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.94,85.255.112.147
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\Programme\Crawler\ctbr.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Unknown owner - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apache2.2 - Apache Software Foundation - F:\1. PROGRAMME\Xampp\apache\bin\apache.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour Service - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Seagate Service (FreeAgentGoNext Service) - Seagate Technology LLC - F:\Programme\Seagate\SeagateManager\Sync\FreeAgentService.exe
O23 - Service: Gene6 FTP Server (G6FTPServer) - Gene6 - F:\1. PROGRAMME\Gene6 FTP Server\G6FTPSERVER.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\Logitech\SrvLnch\SrvLnch.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Maya 7.0 Documentation Server (maya70docserver) - Unknown owner - F:\2. GRAFIKPROGRAMME\Maya 7\docs\wrapper.exe
O23 - Service: mysql - Unknown owner - F:\1. PROGRAMME\Xampp\mysql\bin\mysqld-nt.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Professional 2005.SR1\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Professional 2005.SR1\RpcSandraSrv.exe
O23 - Service: Contour Shuttle Device Engine (ShuttleEngine) - Unknown owner - C:\WINDOWS\system32\ShuttleEngine.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programme\Spyware Terminator\sp_rsser.exe
O23 - Service: XAMPP Service (XAMPP) - Unknown owner - F:\1. PROGRAMME\Xampp\service.exe

--
End of file - 11092 bytes
--------------------------------------------------------------------------

Swisstreasure · 05.07.2009, 22:25

Tja, raffiniert sind sie...

Dein Internet wird in die Ukraine umgeleitet:

Code:

ATTFilter

85.255.112.94
org-name: UkrTeleGroup Ltd.
address: UkrTeleGroup Ltd.
address: Mechnikova 58/5 65029 Odessa

1. Virustotal:
Lass mal folgende Datei bei www.virustotal.com/de prüfen und poste das Ergebnis:

C:\Dokumente und Einstellungen\Ich\Desktop\dghjkk.exe

Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> hier kopieren

2. Fixen bei HiJackThis:

Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Einträgen bei: (falls diese noch vorhanden sind)

Code:

ATTFilter

O9 - Extra button: TOPTIP Web Editor - {2A465936-E5F0-11D2-91B5-00104B9C4765} - F:\1. PROGRAMME\toptip_setup\toptip.exe (file missing)

O9 - Extra 'Tools' menuitem: TOPTIP Web Editor - {2A465936-E5F0-11D2-91B5-00104B9C4765} - F:\1. PROGRAMME\toptip_setup\toptip.exe (file missing)

O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - G:\Games\PartyPoker\PartyPoker\RunApp.exe (file missing)

O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - G:\Games\PartyPoker\PartyPoker\RunApp.exe (file missing)

O17 - HKLM\System\CCS\Services\Tcpip\..\{25E41A63-4BAA-498D-9174-E437E5C93218}: NameServer = 85.255.112.94,85.255.112.147

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.94,85.255.112.147

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.112.94,85.255.112.147

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.94,85.255.112.147

und wähle fix checked.

Starte den Rechner neu.

3. Fixwareout
Download Fixwareout auf den Desktop
Doppelklick Fixwareout.exe um es zu starten
Klicke Next und dan auf Install, achte darauf das Run fixit angehaakt ist und klick Finish.
Der Fix faengt an und folge die Instruktion im Fenster
Wenn gefragt wird dein Rechner neu zu starten,starte neu
Dein Rechner startet jetzt langsamer das ist normal
Poste den Inhalt von C:\fixwareout\report.txt (report.txt).

4. Malwarebytes Anti-Malware
Scanne mit Malwarebytes, lass das gefundene löschen und poste das Log:
(Vor der Anwendung Update nicht vergessen)

5. Combofix
Wende Combofix an und poste das Log:

6. Nun sofort alle Passwörter wechseln vorallem bei Ebanking danach poste ein neues HJT Log.

Gruss Swiss

Lamion · 07.07.2009, 07:03

Das war vielleicht ein Stück Arbeit! So einen fiesen Virus habe ich noch nie entfernt

Hier sind die Schritte von Swiss:

1. Die Datei "C:\Dokumente und Einstellungen\Ich\Desktop\dghjkk.exe" ist der umbenannte Hijacker

2. Habe ich durchgeführt

3. Fixwareout-log:

Code:

ATTFilter

Username "Ich" - 06.07.2009 20:54:39 [Fixwareout edited 9/01/2007]

~~~~~ Prerun check

Der DNS-Auflösungscache wurde geleert.
System was rebooted successfully. 
 
~~~~~ Postrun check 
HKLM\SOFTWARE\~\Winlogon\ "System"="" 
....
....
~~~~~ Misc files. 
....
~~~~~ Checking for older varients.
....

~~~~~ Current runs (hklm hkcu "run" Keys Only)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"
"nwiz"="nwiz.exe /install"
"WheelMouse"="C:\\PROGRA~1\\A4Tech\\Mouse\\Amoumain.exe"
"Adobe Reader Speed Launcher"="\"F:\\2. GRAFIKPROGRAMME\\Adobe\\Acrobat 8\\Reader\\Reader_sl.exe\""
"QuickTime Task"="\"F:\\1. PROGRAMME\\QuickTime\\qttask.exe\" -atboottime"
"iTunesHelper"="\"F:\\1. PROGRAMME\\iTunes\\iTunesHelper.exe\""
"MaxMenuMgr"="\"F:\\Programme\\Seagate\\SeagateManager\\FreeAgent Status\\StxMenuMgr.exe\""
"SpywareTerminator"="\"C:\\Programme\\Spyware Terminator\\SpywareTerminatorShield.exe\""

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe"
"Skype"="\"F:\\1. PROGRAMME\\Phone\\Skype.exe\" /nosplash /minimized"
"Google Update"="\"C:\\Dokumente und Einstellungen\\Ich\\Lokale Einstellungen\\Anwendungsdaten\\Google\\Update\\GoogleUpdate.exe\" /c"
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\AdobeUpdater]
....
Hosts file was reset, If you use a custom hosts file please replace it...
~~~~~ End report ~~~~~

4. Malwarebytes Anti-Malware lies sich zwar installieren aber nicht starten. Das war wieder ein Indiz dafür, dass der Virus anwesend ist. Erst nachdem ich den Installationsordner und den installierten Malwarebytes umbenannt habe, funktionierte es. Acht bösartige Einträge wurden gefunden.

Bei den Namen "Trojan.DNSChanger" oder "Disabled.SecurityCenter" wird mir kotzübel

Hier ist der Log:

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.38
Datenbank Version: 2382
Windows 5.1.2600 Service Pack 2

06.07.2009 23:32:48
mbam-log-2009-07-06 (23-32-48).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|G:\|)
Durchsuchte Objekte: 486385
Laufzeit: 1 hour(s), 1 minute(s), 20 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\gxvxc (Rootkit.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\WINDOWS\Tasks\{5B57CF47-0BFA-43c6-ACF9-3B3653DCADBA}.job (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\gxvxccounter (Trojan.DNSChanger) -> Quarantined and deleted successfully.
C:\Programme\ICQToolbar\toolbaru.dll (Adware.BHO) -> Quarantined and deleted successfully.

Fortsetzung...

Lamion · 07.07.2009, 07:05

5. Anschließend wurden die Ausgangsprobleme mit dem Combofix gelöst! Hier ist der Log:

Code:

ATTFilter

ComboFix 09-07-06.02 - Ich 07.07.2009  0:23.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1252.49.1031.18.1023.688 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Ich\Desktop\ComboFix.exe
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {00000000-0000-0000-0000-000000000000}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {8070F0B3-FFA4-00DA-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {8070F0B3-FFA4-00DD-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {8070F0B3-FFA4-00EB-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {8070F0B3-FFA4-00EE-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {8070F0B3-FFA4-00FC-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {8070F0B3-FFA4-010D-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {BADB0D00-FFA4-00EB-0D24-347CA8A3377C}
FW: Norton Internet Worm Protection *disabled* {990F9400-4CEE-43EA-A83A-D013ADD8EA6E}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Autorun.inf
c:\dokume~1\Ich\LOKALE~1\Temp\tmp2.tmp
c:\windows\Installer\WMEncoder.msi
c:\windows\system32\drivers\gxvxcbbakltlemxfubqkivamrfhqlrsvppxew.sys
c:\windows\system32\drivers\gxvxcgmcomqsnlmdxuhyejdtkawykxjbebpul.sys
c:\windows\system32\drivers\gxvxcgxvjlkawyjepvaqlmsnqdwmnmojpxlph.sys
c:\windows\system32\drivers\gxvxcoqvscdbowflnbwjxpbwwyllrqmqfvkav.sys
c:\windows\system32\drivers\gxvxcrmybwqvophwevdokdktaxvbdvbrfmmep.sys
c:\windows\system32\drivers\gxvxctxtqpehkvrwjcvmknclfjnaltxumwspn.sys
c:\windows\system32\drivers\gxvxcurlntaosvsgvuvjmuxntlpwacyhvwwwm.sys
c:\windows\system32\drivers\gxvxcwvbquxeuvmhxidmelcbfirjjfuwntubv.sys
c:\windows\system32\drivers\gxvxcxkqaqukvacryairalwklpjlnufsksmcp.sys
c:\windows\system32\drivers\gxvxcxsntjlalwnrncjnydiejgdlkxppunhlx.sys
c:\windows\system32\drivers\MSIVXserv.sys
c:\windows\system32\gxvxccjrkrdqjudntakqfrkfjdveobebnvudt.dll
c:\windows\system32\gxvxccounter
c:\windows\system32\gxvxcjobvitexmilxtlhfsfcruyoyhxfjdtpo.dll
D:\Autorun.inf
F:\Autorun.inf
G:\Autorun.inf

.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_gxvxcserv.sys


(((((((((((((((((((((((   Dateien erstellt von 2009-06-06 bis 2009-07-06  ))))))))))))))))))))))))))))))
.

2009-07-06 20:13 . 2009-07-06 20:13	--------	d-----w-	c:\dokumente und einstellungen\Ich\Anwendungsdaten\Malwarebytes
2009-07-06 20:12 . 2009-06-17 09:27	38160	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2009-07-06 20:12 . 2009-07-06 21:32	--------	d-----w-	C:\schutzi
2009-07-06 20:12 . 2009-07-06 20:12	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-07-06 20:12 . 2009-06-17 09:27	19096	----a-w-	c:\windows\system32\drivers\mbam.sys
2009-07-06 18:53 . 2009-07-06 18:58	--------	d-----w-	C:\fixwareout
2009-07-03 22:15 . 2009-07-03 22:16	--------	d-----w-	c:\programme\Crawler
2009-06-07 16:49 . 2009-07-05 09:50	--------	d-----w-	c:\programme\WinClamAVShield
2009-06-07 16:13 . 2009-06-07 16:13	6144	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spyware Terminator\sp_rsdel.exe
2009-06-07 16:13 . 2009-06-07 16:13	5632	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spyware Terminator\fileobjinfo.sys
2009-06-07 16:13 . 2009-06-07 16:13	142592	----a-w-	c:\windows\system32\drivers\sp_rsdrv2.sys
2009-06-07 16:13 . 2009-07-06 20:06	--------	d-----w-	c:\dokumente und einstellungen\Ich\Anwendungsdaten\Spyware Terminator
2009-06-07 16:13 . 2009-07-06 19:31	--------	d-----w-	c:\programme\Spyware Terminator
2009-06-07 16:13 . 2009-07-05 11:33	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spyware Terminator
2009-06-07 08:52 . 2009-06-07 08:52	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\STOPzilla!

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-07-06 22:09 . 2006-06-17 12:13	--------	d-----w-	c:\dokumente und einstellungen\Ich\Anwendungsdaten\Skype
2009-07-06 22:09 . 2009-03-21 19:33	--------	d-----w-	c:\dokumente und einstellungen\Ich\Anwendungsdaten\skypePM
2009-07-03 13:47 . 2007-07-24 11:09	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\FLEXnet
2009-06-15 07:13 . 2008-08-26 08:18	--------	d-----w-	c:\programme\ICQToolbar
2009-06-06 22:03 . 2006-05-10 09:18	--------	d-----w-	c:\dokumente und einstellungen\Ich\Anwendungsdaten\Azureus
2009-05-25 23:54 . 2009-05-25 23:54	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Azureus
2009-05-25 23:54 . 2009-05-25 23:54	--------	d-----w-	c:\programme\Vuze
2009-05-22 11:33 . 2001-08-23 12:00	80760	----a-w-	c:\windows\system32\perfc007.dat
2009-05-22 11:33 . 2001-08-23 12:00	451864	----a-w-	c:\windows\system32\perfh007.dat
2009-05-21 16:04 . 2009-05-21 16:04	--------	d-----w-	c:\dokumente und einstellungen\LocalService\Anwendungsdaten\ICQ Toolbar
2009-05-21 15:43 . 2009-05-21 15:43	--------	d-----w-	c:\programme\Gemeinsame Dateien\EZB Systems
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-03 15360]
"Skype"="f:\1. programme\Phone\Skype.exe" [2009-04-16 24264488]
"Google Update"="c:\dokumente und einstellungen\Ich\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe" [2008-09-03 133104]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2004-10-29 4620288]
"WheelMouse"="c:\progra~1\A4Tech\Mouse\Amoumain.exe" [2003-10-23 188416]
"Adobe Reader Speed Launcher"="f:\2. grafikprogramme\Adobe\Acrobat 8\Reader\Reader_sl.exe" [2007-05-11 40048]
"QuickTime Task"="f:\1. programme\QuickTime\qttask.exe" [2008-03-28 413696]
"iTunesHelper"="f:\1. programme\iTunes\iTunesHelper.exe" [2008-03-30 267048]
"MaxMenuMgr"="f:\programme\Seagate\SeagateManager\FreeAgent Status\StxMenuMgr.exe" [2008-10-28 181544]
"SpywareTerminator"="c:\programme\Spyware Terminator\SpywareTerminatorShield.exe" [2009-06-07 2176000]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2004-10-29 921600]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-03 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Suitcase Startup.lnk - f:\3. fonts\Suitcase\Suitcase.exe [2006-3-17 1613824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoStrCmpLogical"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"GreyMSIAds"= 1 (0x1)
"NoExpandedNewMenu"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" /background
"G6FTP Server Tray Monitor"="f:\1. programme\Gene6 FTP Server\G6FTPTray.exe"
"PcSync"=f:\1. programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
"CTFMON.EXE"=c:\windows\system32\ctfmon.exe
"GMX SMS-Manager"=f:\1. programme\GMX SMS-Manager\SMSMngr.exe
"Yahoo! Pager"="c:\programme\Yahoo!\Messenger\YahooMessenger.exe" -quiet
"Skype"="f:\1. programme\Phone\Skype.exe" /nosplash /minimized

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"WinampAgent"=f:\1. programme\Winamp\winampa.exe
"RemoteControl"="f:\1. programme\PoweDVD\PDVDServ.exe"
"NeroFilterCheck"=c:\windows\system32\NeroCheck.exe
"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_01\bin\jusched.exe"
"BluetoothAuthenticationAgent"=rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
"NvMediaCenter"=RUNDLL32.EXE c:\windows\system32\NvMcTray.dll,NvTaskbarInit
"SoundMan"=SOUNDMAN.EXE
"Winamp Agent"=f:\1. programme\Winamp\winampa.exe
"PCSuiteTrayApplication"=f:\1. programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray
"DataLayer"=c:\programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
"LogitechCommunicationsManager"="c:\programme\Gemeinsame Dateien\Logitech\LComMgr\Communications_Helper.exe"
"PWRISOVM.EXE"=f:\1. programme\PowerISO\PWRISOVM.EXE
"LogitechQuickCamRibbon"="c:\programme\Logitech\QuickCam10\QuickCam10.exe" /hide
"LVCOMSX"="c:\programme\Gemeinsame Dateien\Logitech\LComMgr\LVComSX.exe"
"Contour Shuttle Device Helper"=c:\programme\Contour Shuttle\ShuttleHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"DisableUnicastResponsesToMulticastBroadcast"= 1 (0x1)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Yahoo!\\Messenger\\YServer.exe"=
"f:\\1. PROGRAMME\\Emule\\emule.exe"=
"f:\\2. GRAFIKPROGRAMME\\Maya 7\\bin\\maya.exe"=
"f:\\1. PROGRAMME\\VoipBuster\\VoipBuster.exe"=
"f:\\2. GRAFIKPROGRAMME\\Poser\\Poser.exe"=
"f:\\1. PROGRAMME\\Trillian\\trillian.exe"=
"c:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"c:\\Programme\\MSN Messenger\\msncall.exe"=
"f:\\1. PROGRAMME\\Xampp\\apache\\bin\\apache.exe"=
"c:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe"=
"c:\\Programme\\IDM Computer Solutions\\UltraEdit-32\\uedit32.exe"=
"f:\\1. PROGRAMME\\ICQ6\\ICQ.exe"=
"f:\\2. GRAFIKPROGRAMME\\RenderPal2004\\RenderPal.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"f:\\1. PROGRAMME\\iTunes\\iTunes.exe"=
"c:\\Programme\\Vuze\\Azureus.exe"=
"g:\\Games\\UT2004\\System\\UT2004.exe"=
"f:\\1. PROGRAMME\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"21:TCP"= 21:TCP:FTP
"2799:UDP"= 2799:UDP:Altova License Metering Port (UDP)
"2799:TCP"= 2799:TCP:Altova License Metering Port (TCP)

R0 hotcore;hotcore;c:\windows\system32\drivers\hotcore.sys [13.03.2006 14:10 18208]
R1 sp_rsdrv2;Spyware Terminator Driver 2;c:\windows\system32\drivers\sp_rsdrv2.sys [07.06.2009 18:13 142592]
R2 Apache2.2;Apache2.2;f:\1. programme\Xampp\apache\bin\apache.exe [05.03.2007 12:23 16896]
R2 FreeAgentGoNext Service;Seagate Service;f:\programme\Seagate\SeagateManager\Sync\FreeAgentService.exe [28.10.2008 17:42 156968]
R3 Amps2prt;A4Tech PS/2 Port Mouse Driver;c:\windows\system32\drivers\Amps2prt.sys [26.08.2003 11:37 9728]
S2 XAMPP;XAMPP Service;f:\1. programme\Xampp\service.exe [23.10.2006 16:24 60928]
S3 ASPI;Advanced SCSI Programming Interface Driver;c:\windows\system32\drivers\ASPI32.SYS [17.03.2008 08:50 16512]
S3 G6FTPServer;Gene6 FTP Server;f:\1. programme\Gene6 FTP Server\G6FTPServer.exe [04.05.2006 15:07 816640]
S3 PDNMp50;PDNMp50 NDIS Protocol Driver;c:\windows\system32\drivers\PDNMp50.sys [28.11.2006 22:46 28224]
S3 PDNSp50;PDNSp50 NDIS Protocol Driver;c:\windows\system32\drivers\PDNSp50.sys [28.11.2006 22:46 27072]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners

2009-07-03 c:\windows\Tasks\1-Click Maintenance.job
- f:\1. programme\TuneUp\SystemOptimizer.exe [2006-12-19 15:53]

2009-02-18 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2007-07-25 12:57]

2009-07-06 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-350281380-233495102-1455855570-1003Core.job
- c:\dokumente und einstellungen\Ich\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2008-09-03 13:34]

2009-07-06 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-350281380-233495102-1455855570-1003UA.job
- c:\dokumente und einstellungen\Ich\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2008-09-03 13:34]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
mStart Page = hxxp://alice.aol.de
uSearchURL,(Default) = hxxp://de.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://de.search.yahoo.com
IE: Crawler Search - tbr:iemenu
IE: Nach Microsoft &Excel exportieren - f:\189d5~1.pro\MSOFFI~1\OFFICE11\EXCEL.EXE/3000
Handler: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - c:\programme\Crawler\ctbr.dll
DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} - hxxps://img.web.de/v/mail/activex/mail_upload_1126.cab
FF - ProfilePath - c:\dokumente und einstellungen\Ich\Anwendungsdaten\Mozilla\Firefox\Profiles\vyq3rvll.default\
FF - prefs.js: browser.startup.homepage - 
FF - plugin: c:\dokumente und einstellungen\Ich\Lokale Einstellungen\Anwendungsdaten\Google\Update\1.2.183.7\npGoogleOneClick8.dll
FF - plugin: c:\progra~1\Yahoo!\Common\npyaxmpb.dll
FF - plugin: c:\programme\Microsoft Silverlight\npctrl.1.0.20816.0.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npqtplugin8.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npvirtools.dll
FF - plugin: f:\1. programme\DivX 6.5\DivX\DivX Content Uploader\npUpload.dll
FF - plugin: f:\1. programme\DivX 6.5\DivX\DivX Player\npDivxPlayerPlugin.dll
FF - plugin: f:\1. programme\DivX 6.5\DivX\DivX Web Player\npdivx32.dll
FF - plugin: f:\1. programme\iTunes\Mozilla Plugins\npitunes.dll
FF - plugin: f:\1. programme\QuickTime\Plugins\npqtplugin.dll
FF - plugin: f:\1. programme\QuickTime\Plugins\npqtplugin2.dll
FF - plugin: f:\1. programme\QuickTime\Plugins\npqtplugin3.dll
FF - plugin: f:\1. programme\QuickTime\Plugins\npqtplugin4.dll
FF - plugin: f:\1. programme\QuickTime\Plugins\npqtplugin5.dll
FF - plugin: f:\1. programme\QuickTime\Plugins\npqtplugin6.dll
FF - plugin: f:\1. programme\QuickTime\Plugins\npqtplugin7.dll
FF - plugin: f:\1. programme\QuickTime\Plugins\npqtplugin8.dll
FF - plugin: f:\2. grafikprogramme\Adobe\Acrobat 8\Reader\browser\nppdf32.dll
FF - HiddenExtension: Java Console: No Registry Reference - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA}

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.enforce_same_site_origin", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.cache_size", 51200);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.ogg.enabled", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.wave.enabled", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.autoplay.enabled", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.urlbar.autocomplete.enabled", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("capability.policy.mailnews.*.wholeText", "noAccess");
c:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.storage.default_quota",      5120);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("content.sink.event_probe_rate", 3);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.http.prompt-temp-redirect", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("layout.css.dpi", -1);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("layout.css.devPixelsPerPx", -1);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("gestures.enable_single_finger_input", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.max_chrome_script_run_time", 0);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.tcp.sendbuffer", 131072);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("geo.enabled", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.remember_cert_checkbox_default_setting", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr", "moz35");
c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-cjkt", "moz35");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.blocklist.level", 2);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.restrict.typed", "~");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.default.behavior", 0);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.history",     true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.formdata",    true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.passwords",   false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.downloads",   true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cookies",     true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cache",       true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.sessions",    true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.offlineApps", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.siteSettings", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.history",                 true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.formdata",                true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.passwords",               false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.downloads",               true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cookies",                 true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cache",                   true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.sessions",                true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.offlineApps",             false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.siteSettings",            false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.sanitize.migrateFx3Prefs",    false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.ssl_override_behavior", 2);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("security.alternate_certificate_error_page", "certerror");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.autostart", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.dont_prompt_on_enter", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("geo.wifi.uri", "https://www.google.com/loc/json");
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-07-07 00:27
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{BEB3C0C7-B648-4257-96D9-B5D024816E27}\Version*Version]
"Version"=hex:31,35,ee,95,b6,95,f9,4b,8f,9c,ea,a4,b7,8a,7c,a0,c5,66,7d,da,57,
   1c,9f,5d,81,62,71,6b,26,bb,97,48,c1,88,b5,bf,7b,d8,c6,c1,df,ca,04,5f,ca,59,\

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\•€|ÿÿÿÿ"•€|ù•Ñw*]
"5E7CEC10DF0760D4F8DAFB12FDC06CCD"="02:\\Software\\Adobe\\FeatureSubscriptions\\DVAAdobeDocMeta\\{01CEC7E5-70FD-4D06-8FAD-BF21DF0CC6DC}\\Registered"
"91A14B995DF7C0B42ABAA16065968F3A"="f:\\2. GRAFIKPROGRAMME\\Maya 7\\presets\\Ashli\\"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\•€|ÿÿÿÿ"•€|þ»Ñw*]
"91A14B995DF7C0B42ABAA16065968F3A"="d:\\vorrübergehend\\Maya\\presets\\Ashli\\"

[HKEY_LOCAL_MACHINE\software\Minnetonka Audio Software\SurCode Dolby Digital Premiere\Version*Version]
"Version"=hex:31,35,ee,95,b6,95,f9,4b,8f,9c,ea,a4,b7,8a,7c,a0,c5,66,7d,da,57,
   1c,9f,5d,81,62,71,6b,26,bb,97,48,c1,88,b5,bf,7b,d8,c6,c1,df,ca,04,5f,ca,59,\
.
Zeit der Fertigstellung: 2009-07-06  0:30
ComboFix-quarantined-files.txt  2009-07-06 22:29

Vor Suchlauf: 5.110.943.744 Bytes frei
Nach Suchlauf: 5.094.694.912 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect /TUTag=STSZUA /Kernel=TUKernel.exe
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional (TuneUp Backup)" /noexecute=optin /fastdetect /TUTag=STSZUA-BAK

289	--- E O F ---	2007-10-16 18:28

an dieser Stelle RIESEN RIESEN DANK an swiss

du hast mich aus dem wald geführt

die nummer sechst folgt... danach werde ich noch meinen log posten

Swisstreasure · 07.07.2009, 07:14

Sieht doch schon viel besser aus

Poste noch das HJT Log.

Dazwischen mach noch einen Onlinescan mit ASquard und berichte.

Werde mich gegen Mittag wieder melden.

Grüsse aus der Schweiz

Lamion · 07.07.2009, 07:30

:aplaus: Danke

hier ist noch mein HJT Log:

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:27:46, on 07.07.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe
C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
F:\1. PROGRAMME\iTunes\iTunesHelper.exe
F:\Programme\Seagate\SeagateManager\FreeAgent Status\StxMenuMgr.exe
C:\WINDOWS\system32\ctfmon.exe
F:\1. PROGRAMME\Xampp\apache\bin\apache.exe
C:\Dokumente und Einstellungen\Ich\Lokale Einstellungen\Anwendungsdaten\Google\Update\1.2.183.7\GoogleCrashHandler.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
F:\Programme\Seagate\SeagateManager\Sync\FreeAgentService.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
F:\2. GRAFIKPROGRAMME\Maya 7\docs\wrapper.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
F:\1. PROGRAMME\Xampp\mysql\bin\mysqld-nt.exe
F:\2. GRAFIKPROGRAMME\Maya 7\docs\jre\bin\java.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\ShuttleEngine.exe
C:\Programme\Spyware Terminator\sp_rsser.exe
C:\WINDOWS\system32\svchost.exe
F:\1. PROGRAMME\Xampp\apache\bin\apache.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Dokumente und Einstellungen\Ich\Desktop\dghjkk.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://alice.aol.de
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://de.search.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://go.microsoft.com/fwlink/?LinkId=54843
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\Programme\Crawler\ctbr.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O3 - Toolbar: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O3 - Toolbar: &Crawler Toolbar - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\Programme\Crawler\ctbr.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "F:\2. GRAFIKPROGRAMME\Adobe\Acrobat 8\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "F:\1. PROGRAMME\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "F:\1. PROGRAMME\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [MaxMenuMgr] "F:\Programme\Seagate\SeagateManager\FreeAgent Status\StxMenuMgr.exe"
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "F:\1. PROGRAMME\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Google Update] "C:\Dokumente und Einstellungen\Ich\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe" /c
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Suitcase Startup.lnk = ?
O8 - Extra context menu item: Crawler Search - tbr:iemenu
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\189D5~1.PRO\MSOFFI~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - F:\189D5~1.PRO\MSOFFI~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - F:\1. PROGRAMME\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - F:\1. PROGRAMME\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - https://img.web.de/v/mail/activex/mail_upload_1126.cab
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - http://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab
O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - http://a532.g.akamai.net/f/532/6712/1d/player.virtools.com/downloads/player/Install2.1/Installer.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{77CC9805-A136-4FDC-B898-5A18941176A0}: NameServer = 213.209.104.220 213.209.104.250
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\Programme\Crawler\ctbr.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Unknown owner - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apache2.2 - Apache Software Foundation - F:\1. PROGRAMME\Xampp\apache\bin\apache.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour Service - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Seagate Service (FreeAgentGoNext Service) - Seagate Technology LLC - F:\Programme\Seagate\SeagateManager\Sync\FreeAgentService.exe
O23 - Service: Gene6 FTP Server (G6FTPServer) - Gene6 - F:\1. PROGRAMME\Gene6 FTP Server\G6FTPSERVER.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\Logitech\SrvLnch\SrvLnch.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Maya 7.0 Documentation Server (maya70docserver) - Unknown owner - F:\2. GRAFIKPROGRAMME\Maya 7\docs\wrapper.exe
O23 - Service: mysql - Unknown owner - F:\1. PROGRAMME\Xampp\mysql\bin\mysqld-nt.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Professional 2005.SR1\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Professional 2005.SR1\RpcSandraSrv.exe
O23 - Service: Contour Shuttle Device Engine (ShuttleEngine) - Unknown owner - C:\WINDOWS\system32\ShuttleEngine.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programme\Spyware Terminator\sp_rsser.exe
O23 - Service: XAMPP Service (XAMPP) - Unknown owner - F:\1. PROGRAMME\Xampp\service.exe

--
End of file - 9039 bytes

Lamion · 07.07.2009, 07:48

Hm das ist ja interessant...a-squared schnelltest hat noch paar sachen gefunden. hier ist der log:

Code:

ATTFilter

a-squared Web Malware Scanner v. 4.0

Scan Einstellungen:

Objekte: Speicher, Traces, Cookies
Archiv Scan: Ein
Heuristik: Aus
ADS Scan: Ein

Scan Start:	07.07.2009 08:40:15

c:\programme\icqtoolbar 	erkannt: Trace.Directory.ICQToolbar!A2
c:\programme\icqtoolbar\cache 	erkannt: Trace.Directory.ICQToolbar!A2
Value: HKEY_CURRENT_USER\Software\ICQToolbar\IEToolbar --> CSE 	erkannt: Trace.Registry.ICQToolbar!A2
Value: HKEY_CURRENT_USER\Software\ICQToolbar\IEToolbar --> RSE 	erkannt: Trace.Registry.ICQToolbar!A2
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar --> {855F3B16-6D32-4fe6-8A56-BBB695989046} 	erkannt: Trace.Registry.ICQToolbar!A2
Value: HKEY_CURRENT_USER\Software\PartyGaming\PartyPoker --> 1 	erkannt: Trace.Registry.PartyPoker!A2
Value: HKEY_CURRENT_USER\Software\PartyGaming\PartyPoker --> 2 	erkannt: Trace.Registry.PartyPoker!A2
Value: HKEY_CURRENT_USER\Software\PartyGaming\PartyPoker --> 4 	erkannt: Trace.Registry.PartyPoker!A2
Value: HKEY_CURRENT_USER\Software\PartyGaming\PartyPoker --> 5 	erkannt: Trace.Registry.PartyPoker!A2
Value: HKEY_CURRENT_USER\Software\PartyGaming\PartyPoker --> 6 	erkannt: Trace.Registry.PartyPoker!A2
Value: HKEY_CURRENT_USER\Software\PartyGaming\PartyPoker --> 7 	erkannt: Trace.Registry.PartyPoker!A2
Value: HKEY_CURRENT_USER\Software\PartyGaming\PartyPoker --> 9 	erkannt: Trace.Registry.PartyPoker!A2
Value: HKEY_CURRENT_USER\Software\PartyGaming\PartyPoker --> AppPath 	erkannt: Trace.Registry.PartyPoker!A2
Value: HKEY_CURRENT_USER\Software\PartyGaming\PartyPoker --> BlackjackSounds 	erkannt: Trace.Registry.PartyPoker!A2
Value: HKEY_CURRENT_USER\Software\PartyGaming\PartyPoker --> BlackjackVoice 	erkannt: Trace.Registry.PartyPoker!A2
Value: HKEY_CURRENT_USER\Software\PartyGaming\PartyPoker --> DisableCharacters 	erkannt: Trace.Registry.PartyPoker!A2
Value: HKEY_CURRENT_USER\Software\PartyGaming\PartyPoker --> DisableMouseHelp 	erkannt: Trace.Registry.PartyPoker!A2
Value: HKEY_CURRENT_USER\Software\PartyGaming\PartyPoker --> EnableCallOuts 	erkannt: Trace.Registry.PartyPoker!A2
Value: HKEY_CURRENT_USER\Software\PartyGaming\PartyPoker --> EnableCardAnimations 	erkannt: Trace.Registry.PartyPoker!A2
Value: HKEY_CURRENT_USER\Software\PartyGaming\PartyPoker --> EnableCongratulations 	erkannt: Trace.Registry.PartyPoker!A2
Value: HKEY_CURRENT_USER\Software\PartyGaming\PartyPoker --> EnableSounds 	erkannt: Trace.Registry.PartyPoker!A2
Value: HKEY_CURRENT_USER\Software\PartyGaming\PartyPoker --> FourColourDeck 	erkannt: Trace.Registry.PartyPoker!A2
Value: HKEY_CURRENT_USER\Software\PartyGaming\PartyPoker --> HHEnableLog 	erkannt: Trace.Registry.PartyPoker!A2
Value: HKEY_CURRENT_USER\Software\PartyGaming\PartyPoker --> HHLogDays 	erkannt: Trace.Registry.PartyPoker!A2
Value: HKEY_CURRENT_USER\Software\PartyGaming\PartyPoker --> HHLogSize 	erkannt: Trace.Registry.PartyPoker!A2
Value: HKEY_CURRENT_USER\Software\PartyGaming\PartyPoker --> id 	erkannt: Trace.Registry.PartyPoker!A2
Value: HKEY_CURRENT_USER\Software\PartyGaming\PartyPoker --> InitialPort 	erkannt: Trace.Registry.PartyPoker!A2
Value: HKEY_CURRENT_USER\Software\PartyGaming\PartyPoker --> InstallState 	erkannt: Trace.Registry.PartyPoker!A2
Value: HKEY_CURRENT_USER\Software\PartyGaming\PartyPoker --> MuckLosingHand 	erkannt: Trace.Registry.PartyPoker!A2
Value: HKEY_CURRENT_USER\Software\PartyGaming\PartyPoker --> SearchHiding 	erkannt: Trace.Registry.PartyPoker!A2
Value: HKEY_CURRENT_USER\Software\PartyGaming\PartyPoker --> SL 	erkannt: Trace.Registry.PartyPoker!A2
Value: HKEY_CURRENT_USER\Software\PartyGaming\PartyPoker --> TableType 	erkannt: Trace.Registry.PartyPoker!A2
Value: HKEY_CURRENT_USER\Software\PartyGaming\PartyPoker --> useCount 	erkannt: Trace.Registry.PartyPoker!A2
Value: HKEY_CURRENT_USER\Software\PartyGaming --> AutoLoginToOtherGames 	erkannt: Trace.Registry.PartyPoker!A2
Value: HKEY_CURRENT_USER\Software\PartyGaming --> CFDialogShown 	erkannt: Trace.Registry.PartyPoker!A2
Value: HKEY_CURRENT_USER\Software\PartyGaming --> OldCFformat 	erkannt: Trace.Registry.PartyPoker!A2

Gescannt

Dateien: 	2019
Traces: 	344669
Cookies: 	8
Prozesse: 	45

Gefunden

Dateien: 	0
Traces: 	36
Cookies: 	0
Prozesse: 	0

Scan Ende:	07.07.2009 08:42:05
Scan Zeit:	00:01:50

Swisstreasure · 07.07.2009, 12:16

Traces sind per Definition nicht gefährlich. Sie sind nur Helfer, die es Malware ermöglichen, installiert und gestartet zu werden. Quasi Überreste

Sind alles Einträge von ICQ und PartyPoker.

1.Combofix entfernen:
Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK"
(oder, wenn es nicht funktioniert: C:\QooBox löschen)

2. Rootkitsuche GMER:
GMER
nutze GMER Starte GMER und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. ist dieser beendet, wähle Copy und füge den Bericht ein.

Bei Fund klicke: scan

>>
F-Secure Black Light:
fsbl.exe

Blacklight – Rootkit Erkennungs-und-Elimination Program
- Lade F-Secure Blacklight auf das Desktop
- Starte in diesem Ordner fsbl.exe und schließe alle anderen Programme.
- Klicke "I accept the agreement", "Next", "Scan".
- wenn der Scan zu Ende ist, wähle "Close".
- Der Bericht ist fsbl-XXX.log im Blacklight Verzeichnis (oder auf dem Desktop) , anstelle der XXX stehen Zahlen, die Datum und Uhrzeit enthalten
poste das Log

3. Was meint eigentlich Spywareterminator? Brauchts Du dieses Progi? Würde Dir empfehlen Malwarebytes zu behalten und ab und zu scannen. Und dafür Spywareterminator zu entfernen, aber musst Du wissen

Gruss Swiss

Lamion · 07.07.2009, 21:05

Jepp, habe ich alles gemacht. hier ist mein "gmer"-log:

Code:

ATTFilter

GMER 1.0.15.14972 - http://www.gmer.net
Rootkit scan 2009-07-07 21:18:29
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.15 ----

SSDT      \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys                                                                                       ZwClose [0xF59F788E]
SSDT      \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys                                                                                       ZwCreateFile [0xF59F70EC]
SSDT      \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys                                                                                       ZwCreateKey [0xF59F6DCE]
SSDT      \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys                                                                                       ZwCreateSection [0xF59F8938]
SSDT      \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys                                                                                       ZwDeleteKey [0xF59F6ED8]
SSDT      \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys                                                                                       ZwDeleteValueKey [0xF59F6FC2]
SSDT      sptd.sys                                                                                                                            ZwEnumerateKey [0xF7741D48]
SSDT      sptd.sys                                                                                                                            ZwEnumerateValueKey [0xF77420C0]
SSDT      \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys                                                                                       ZwLoadDriver [0xF59F7BBC]
SSDT      \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys                                                                                       ZwOpenFile [0xF59F73F4]
SSDT      sptd.sys                                                                                                                            ZwOpenKey [0xF7741AE2]
SSDT      sptd.sys                                                                                                                            ZwQueryKey [0xF774218A]
SSDT      sptd.sys                                                                                                                            ZwQueryValueKey [0xF7742022]
SSDT      \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys                                                                                       ZwSetInformationFile [0xF59F7526]
SSDT      \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys                                                                                       ZwSetValueKey [0xF59F6BFC]
SSDT      \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys                                                                                       ZwTerminateProcess [0xF59F7B04]
SSDT      \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys                                                                                       ZwWriteFile [0xF59F770C]

INT 0x06  \??\C:\WINDOWS\system32\drivers\Haspnt.sys (HASP Kernel Device Driver for Windows NT/Aladdin Knowledge Systems)                     F434716D
INT 0x0E  \??\C:\WINDOWS\system32\drivers\Haspnt.sys (HASP Kernel Device Driver for Windows NT/Aladdin Knowledge Systems)                     F4346FC2

---- Kernel code sections - GMER 1.0.15 ----

?         C:\WINDOWS\system32\drivers\sptd.sys                                                                                                Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
?         C:\WINDOWS\System32\Drivers\SPTD3533.SYS                                                                                            Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
.text     dtscsi.sys!A0DB34FC6FE35D429A28ADDE5467D4D7                                                                                         F71124D0 16 Bytes  [13, 0A, C1, 79, AE, 27, E5, ...] {ADC ECX, [EDX]; SAR DWORD [ECX-0x52], 0x27; IN EAX, 0xdb; PUSH EBX; ADC DH, BL; SBB [EBX-0x61], CH; JMP 0xb}
.text     dtscsi.sys!A0DB34FC6FE35D429A28ADDE5467D4D7 + 11                                                                                    F71124E1 31 Bytes  [10, 11, F7, CC, 61, 7B, 51, ...]
?         C:\WINDOWS\System32\Drivers\dtscsi.sys                                                                                              Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT       atapi.sys[HAL.dll!READ_PORT_UCHAR]                                                                                                  [F773DA32] sptd.sys
IAT       atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT]                                                                                          [F773DB6E] sptd.sys
IAT       atapi.sys[HAL.dll!READ_PORT_USHORT]                                                                                                 [F773DAF6] sptd.sys
IAT       atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT]                                                                                         [F773E6CC] sptd.sys
IAT       atapi.sys[HAL.dll!WRITE_PORT_UCHAR]                                                                                                 [F773E5A2] sptd.sys
IAT       \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR]                                                                  [F7760BBC] sptd.sys

---- User IAT/EAT - GMER 1.0.15 ----

IAT       C:\Programme\Mozilla Firefox\firefox.exe[624] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateFile]                           [01102EC0] C:\Programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)
IAT       C:\Programme\Mozilla Firefox\firefox.exe[624] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDeviceIoControlFile]                  [01102C30] C:\Programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)
IAT       C:\Programme\Mozilla Firefox\firefox.exe[624] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtClose]                                [01102C90] C:\Programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)
IAT       C:\Programme\Mozilla Firefox\firefox.exe[624] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDuplicateObject]                      [01102C60] C:\Programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)
IAT       C:\WINDOWS\Explorer.EXE[1444] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateFile]                                           [00D22EC0] C:\Programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)
IAT       C:\WINDOWS\Explorer.EXE[1444] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDeviceIoControlFile]                                  [00D22C30] C:\Programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)
IAT       C:\WINDOWS\Explorer.EXE[1444] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtClose]                                                [00D22C90] C:\Programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)
IAT       C:\WINDOWS\Explorer.EXE[1444] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDuplicateObject]                                      [00D22C60] C:\Programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)
IAT       C:\Dokumente und Einstellungen\Ich\Desktop\e26u8wrr.exe[3780] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateFile]           [003C2EC0] C:\Programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)
IAT       C:\Dokumente und Einstellungen\Ich\Desktop\e26u8wrr.exe[3780] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDeviceIoControlFile]  [003C2C30] C:\Programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)
IAT       C:\Dokumente und Einstellungen\Ich\Desktop\e26u8wrr.exe[3780] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtClose]                [003C2C90] C:\Programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)
IAT       C:\Dokumente und Einstellungen\Ich\Desktop\e26u8wrr.exe[3780] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDuplicateObject]      [003C2C60] C:\Programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)
IAT       C:\WINDOWS\system32\wscntfy.exe[4012] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateFile]                                   [008E2EC0] C:\Programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)
IAT       C:\WINDOWS\system32\wscntfy.exe[4012] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDeviceIoControlFile]                          [008E2C30] C:\Programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)
IAT       C:\WINDOWS\system32\wscntfy.exe[4012] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtClose]                                        [008E2C90] C:\Programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)
IAT       C:\WINDOWS\system32\wscntfy.exe[4012] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDuplicateObject]                              [008E2C60] C:\Programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)

---- Devices - GMER 1.0.15 ----

Device    \FileSystem\Ntfs \Ntfs                                                                                                              86788BF8
Device    \FileSystem\Fastfat \FatCdrom                                                                                                       864721C0
Device    \Driver\dmio \Device\DmControl\DmIoDaemon                                                                                           867D5690
Device    \Driver\dmio \Device\DmControl\DmConfig                                                                                             867D5690
Device    \Driver\dmio \Device\DmControl\DmPnP                                                                                                867D5690
Device    \Driver\dmio \Device\DmControl\DmInfo                                                                                               867D5690
Device    \Driver\00000097 \Device\00000054                                                                                                   sptd.sys
Device    \Driver\Ftdisk \Device\HarddiskVolume1                                                                                              867D5948
Device    \Driver\Ftdisk \Device\HarddiskVolume2                                                                                              867D5948
Device    \Driver\Cdrom \Device\CdRom0                                                                                                        865C26A0
Device    \FileSystem\Rdbss \Device\FsWrap                                                                                                    8640EEB0
Device    \Driver\Ftdisk \Device\HarddiskVolume3                                                                                              867D5948
Device    \Driver\Cdrom \Device\CdRom1                                                                                                        865C26A0
Device    \Driver\atapi \Device\Ide\IdePort0                                                                                                  sfsync04.sys (FrontLine Synchronization Driver/Protection Technology (StarForce))
Device    \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-4                                                                                         sfsync04.sys (FrontLine Synchronization Driver/Protection Technology (StarForce))
Device    \Driver\atapi \Device\Ide\IdePort1                                                                                                  sfsync04.sys (FrontLine Synchronization Driver/Protection Technology (StarForce))
Device    \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-c                                                                                         sfsync04.sys (FrontLine Synchronization Driver/Protection Technology (StarForce))
Device    \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-18                                                                                        sfsync04.sys (FrontLine Synchronization Driver/Protection Technology (StarForce))
Device    \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-20                                                                                        sfsync04.sys (FrontLine Synchronization Driver/Protection Technology (StarForce))
Device    \Driver\NetBT \Device\NetBT_Tcpip_{77CC9805-A136-4FDC-B898-5A18941176A0}                                                            862B24B0
Device    \Driver\Ftdisk \Device\HarddiskVolume4                                                                                              867D5948
Device    \Driver\Cdrom \Device\CdRom2                                                                                                        865C26A0
Device    \Driver\Ftdisk \Device\HarddiskVolume5                                                                                              867D5948
Device    \Driver\Cdrom \Device\CdRom3                                                                                                        865C26A0
Device    \Driver\NetBT \Device\NetBt_Wins_Export                                                                                             862B24B0
Device    \Driver\NetBT \Device\NetbiosSmb                                                                                                    862B24B0
Device    \Driver\Disk \Device\Harddisk0\DR0                                                                                                  86788EB0
Device    \Driver\Disk \Device\Harddisk1\DR1                                                                                                  86788EB0
Device    \Driver\NetBT \Device\NetBT_Tcpip_{25E41A63-4BAA-498D-9174-E437E5C93218}                                                            862B24B0
Device    \FileSystem\MRxSmb \Device\LanmanDatagramReceiver                                                                                   86429208
Device    \FileSystem\MRxSmb \Device\LanmanRedirector                                                                                         86429208
Device    \FileSystem\Npfs \Device\NamedPipe                                                                                                  863318E0
Device    \Driver\Ftdisk \Device\FtControl                                                                                                    867D5948
Device    \FileSystem\Msfs \Device\Mailslot                                                                                                   862B64D8
Device    \Driver\dtscsi \Device\Scsi\dtscsi1Port2Path0Target1Lun0                                                                            863FE0E8
Device    \Driver\dtscsi \Device\Scsi\dtscsi1Port2Path0Target1Lun0                                                                            sfsync04.sys (FrontLine Synchronization Driver/Protection Technology (StarForce))
Device    \Driver\dtscsi \Device\Scsi\dtscsi1Port2Path0Target0Lun0                                                                            863FE0E8
Device    \Driver\dtscsi \Device\Scsi\dtscsi1Port2Path0Target0Lun0                                                                            sfsync04.sys (FrontLine Synchronization Driver/Protection Technology (StarForce))
Device    \Driver\dtscsi \Device\Scsi\dtscsi1                                                                                                 863FE0E8
Device    \Driver\dtscsi \Device\Scsi\dtscsi1                                                                                                 sfsync04.sys (FrontLine Synchronization Driver/Protection Technology (StarForce))
Device    \FileSystem\Fastfat \Fat                                                                                                            864721C0
Device    \FileSystem\Cdfs \Cdfs                                                                                                              86593AF8

---- Registry - GMER 1.0.15 ----

Reg       HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\000b0d630b50                                                         
Reg       HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\000b0d630b50@001620c5213a                                            0x89 0x87 0xE7 0x77 ...
Reg       HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\000b0d630b50@0015b944cc1a                                            0x49 0x94 0x1D 0xC0 ...
Reg       HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\000b0d630b50@080028ef684e                                            0xB2 0x6C 0x91 0x15 ...
Reg       HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\000b0d630b50@0016753a38f8                                            0xAC 0x4F 0x5A 0x9A ...
Reg       HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\000b0d630b50@0014a7075fbc                                            0x15 0x50 0x68 0x46 ...
Reg       HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\000b0d630b50@001c62eff7b1                                            0x53 0xFD 0x38 0x57 ...
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s0                                                                                  -1851722478
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1                                                                                  249799319
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2                                                                                  48922844
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0                                                                                  1
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4                                                    
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0                                                 F:\1. PROGRAMME\DAEMON Tools\
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                                                 0
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                                              0x09 0xC8 0xC7 0xA9 ...
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001                                           
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0                                        0x20 0x01 0x00 0x00 ...
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh                                     0x07 0xD2 0x99 0xB0 ...
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40                                     
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh                               0x46 0x73 0xC9 0xAF ...
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41                                     
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41@khjeh                               0xC4 0x56 0xDF 0x34 ...
Reg       HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\000b0d630b50                                                             
Reg       HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\000b0d630b50@001620c5213a                                                0x89 0x87 0xE7 0x77 ...
Reg       HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\000b0d630b50@0015b944cc1a                                                0x49 0x94 0x1D 0xC0 ...
Reg       HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\000b0d630b50@080028ef684e                                                0xB2 0x6C 0x91 0x15 ...
Reg       HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\000b0d630b50@0016753a38f8                                                0xAC 0x4F 0x5A 0x9A ...
Reg       HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\000b0d630b50@0014a7075fbc                                                0x15 0x50 0x68 0x46 ...
Reg       HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\000b0d630b50@001c62eff7b1                                                0x53 0xFD 0x38 0x57 ...
Reg       HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4                                                        
Reg       HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0                                                     F:\1. PROGRAMME\DAEMON Tools\
Reg       HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                                                     0
Reg       HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                                                  0x09 0xC8 0xC7 0xA9 ...
Reg       HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001                                               
Reg       HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0                                            0x20 0x01 0x00 0x00 ...
Reg       HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh                                         0x07 0xD2 0x99 0xB0 ...
Reg       HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40                                         
Reg       HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh                                   0x46 0x73 0xC9 0xAF ...
Reg       HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41                                         
Reg       HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41@khjeh                                   0xC4 0x56 0xDF 0x34 ...
Reg       HKLM\SOFTWARE\Classes\CLSID\{BEB3C0C7-B648-4257-96D9-B5D024816E27}\Version                                                          
Reg       HKLM\SOFTWARE\Classes\CLSID\{BEB3C0C7-B648-4257-96D9-B5D024816E27}\Version@Version                                                  0x31 0x35 0xEE 0x95 ...

und mein fsbl-log:

Code:

ATTFilter

07/07/09 21:51:23 [Info]: BlackLight Engine 2.2.1092 initialized
07/07/09 21:51:23 [Info]: OS: 5.1 build 2600 (Service Pack 2)
07/07/09 21:51:23 [Note]: 7019 4
07/07/09 21:51:23 [Note]: 7005 0
07/07/09 21:51:53 [Note]: 7006 0
07/07/09 21:51:53 [Note]: 7011 1392
07/07/09 21:51:53 [Note]: 7035 0
07/07/09 21:51:53 [Note]: 7026 0
07/07/09 21:51:53 [Note]: 7026 0
07/07/09 21:51:56 [Note]: FSRAW library version 1.7.1024
07/07/09 21:59:55 [Note]: 7007 0

Scheint alles clean zu sein, oder?!

Lamion · 07.07.2009, 21:11

Ach ja zu dem Punkt 3... Spywareterminator habe ich immer ausgeschaltet, wenn ich diese Korrektur-Prozesse gemacht habe. Und du hast praktisch schon meine nächste Frage beantwortet, welche von diesen 7-10 Programmen brauche ich wirklich. Malwarebytes reicht also vollkommen aus. Meinen AntiVir habe ich auch schon deinstalliert.

Swisstreasure · 07.07.2009, 21:12

Ja scheint so

Download OTM.exe zum Desktop
Oeffne:OTM.exe
(Vista benutzer, rechtsklick auf OTM.exe und waehle "Run as Administrator")

OTM auf dem Desktop speichern

OTM.exe klicken

1. klicken: CleanUp! button

2. cleanup.txt wird vom Internet geladen (von Firewall zulassen!)

3. Begin cleanup process? klicke: Yes. - "Do you want to reboot?" klicke Yes

so wird von OTM automatisch alles an Tools entfernt, die zur Virenreinigung geladen wurden

>>
Noch Probleme??

Gruss Swiss

Lamion · 07.07.2009, 21:39

Lol, Selbstzerstörung für die ganzen Prüfprogramme

Noch die letzte Frage, meinst Du ich kann dieses thread durcharbeiten um meine externe Festplatte und iPod von der Malware auch zu befreien:
http://www.trojaner-board.de/69282-m...estplatte.html

oder gibt es aktuellere Möglichkeiten?

Swisstreasure · 07.07.2009, 23:21

Ja genau nach dieser anleitung von Chris. Wichtig keine Autoruns der Festplatten, diese deaktivieren. Und dann mit Malwarebytes (die Platte auswählen vor dem Scan)

Gruss Swiss

Lamion · 08.07.2009, 08:49

Swiss Du warst eine grooooooße Hilfe für mich und bestimmt für viele andere auch

Wenn wir uns sehen, gebe ich dir eins aus

Alles Gute!

07.07.2009, 07:14	#6
Swisstreasure /// Malwareteam	$RECYCLER\S-*.com" konnte auch nicht gefunden werden. - Standard$ RECYCLER\S-*.com" konnte auch nicht gefunden werden. Sieht doch schon viel besser aus Poste noch das HJT Log. Dazwischen mach noch einen Onlinescan mit ASquard und berichte. Werde mich gegen Mittag wieder melden. Grüsse aus der Schweiz

07.07.2009, 23:21	#14
Swisstreasure /// Malwareteam	$RECYCLER\S-*.com" konnte auch nicht gefunden werden. - Standard$ RECYCLER\S-*.com" konnte auch nicht gefunden werden. Ja genau nach dieser anleitung von Chris. Wichtig keine Autoruns der Festplatten, diese deaktivieren. Und dann mit Malwarebytes (die Platte auswählen vor dem Scan) Gruss Swiss

RECYCLER\S-***.com" konnte auch nicht gefunden werden.

Log-Analyse und Auswertung: RECYCLER\S-***.com" konnte auch nicht gefunden werden.