Hallo,

seit zwei Wochen plage ich mich mit einem Trojaner, der Links von Google, Yahooo etc. umleitet.
Nachdem ich schon einige Tools (u.a. HijackThis, CCleaner und mbam, Zonealarm) ausprobiert und eine ganze Reihe von Dateien ("uacdXXXX.sys")
über die Windows Wiederherstellungskonsole entfernt habe, ist es nicht wirklich besser geworden :

• Suchergebnisse von Google etc. werden nach wie vor unregelmäßig umleitet.
• Zonealarm meldet in unregelmäßigen Abständen, dass einer der svchost Prozesse oder spoolsv auf das Internet zugreifen will
• Avira erkennt - nachdem es anfänglich noch eine Verseuchung von explorer.exe (habe ich von der Installations-CD ersetzt) oder Winlogon gemeldet hat - trotz aktuellem Datensatz gar keine schädlichen Dateien mehr (auch keine, die z.B.aus Quarantäne wiederhergestellt werden).
• mbam, ROOTREPEAL und GMER melden versteckte Prozesse und infizierte Dateien

Gibt's eine Chance, diesen Plagegeist ohne Neuaufsetzen loszuwerden ?

Unten die Logs von mbam, ROOTREPEAL und GMER, HijackThis und RootkitRevealer.

RSIT meldet bei "Continue" den Fehler:
"Error: Variable used without being declared."

mbam

Code: Alles auswählenAufklappen

ATTFilter

Datenbank Version: 2388
Windows 5.1.2600 Service Pack 2

21.07.2009 22:17:29
mbam-log-2009-07-21 (22-17-26).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 101463
Laufzeit: 2 minute(s), 47 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\WINDOWS\system32\hjgruingndmosp.dll (Trojan.TDSS) -> No action taken.
c:\WINDOWS\system32\hjgruinidpetct.dll (Trojan.Agent) -> No action taken.
c:\windows\system32\UACthluqrjagstidbs.dll (Trojan.Agent) -> No action taken.
         

(Entfernen funktioniert nicht)

ROOTREPEAL

Code: Alles auswählenAufklappen

ATTFilter

ROOTREPEAL (c) AD, 2007-2009
==================================================
Scan Start Time:		2009/07/21 21:50
Program Version:		Version 1.3.2.0
Windows Version:		Windows XP SP2
==================================================

Drivers
-------------------
Name: dump_atapi.sys
Image Path: C:\WINDOWS\System32\Drivers\dump_atapi.sys
Address: 0xB4BB7000	Size: 98304	File Visible: No	Signed: -
Status: -

Name: dump_WMILIB.SYS
Image Path: C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS
Address: 0xBAE3A000	Size: 8192	File Visible: No	Signed: -
Status: -

Name: rootrepeal.sys
Image Path: C:\WINDOWS\system32\drivers\rootrepeal.sys
Address: 0xB2AEF000	Size: 49152	File Visible: No	Signed: -
Status: -

Name: srescan.sys
Image Path: srescan.sys
Address: 0xBA5E2000	Size: 81920	File Visible: No	Signed: -
Status: -

Hidden/Locked Files
-------------------
Path: C:\Dokumente und Einstellungen\*****\Anwendungsdaten\SecuROM\UserData\ЃϵϳЅЂϿϽϯІχϯπρϴϱЄϱЃϵϳЅ 
Status: Locked to the Windows API!

Path: C:\Dokumente und Einstellungen\*****\Anwendungsdaten\SecuROM\UserData\ЃϵϳЅЂϿϽϯІχϯπρЂϻϵЉЃϵϳЅ 
Status: Locked to the Windows API!

-------------------
#: 031	Function Name: NtConnectPort
Status: Hooked by "C:\WINDOWS\System32\vsdatant.sys" at address 0xb4ddf040

#: 037	Function Name: NtCreateFile
Status: Hooked by "C:\WINDOWS\System32\vsdatant.sys" at address 0xb4ddb930

#: 041	Function Name: NtCreateKey
Status: Hooked by "PCTCore.sys" at address 0xba6df514

#: 046	Function Name: NtCreatePort
Status: Hooked by "C:\WINDOWS\System32\vsdatant.sys" at address 0xb4ddf510

#: 047	Function Name: NtCreateProcess
Status: Hooked by "C:\WINDOWS\System32\vsdatant.sys" at address 0xb4de5870

#: 048	Function Name: NtCreateProcessEx
Status: Hooked by "C:\WINDOWS\System32\vsdatant.sys" at address 0xb4de5aa0

#: 050	Function Name: NtCreateSection
Status: Hooked by "C:\WINDOWS\System32\vsdatant.sys" at address 0xb4de8fd0

#: 053	Function Name: NtCreateThread
Status: Hooked by "<unknown>" at address 0xbaf1b5dc

#: 056	Function Name: NtCreateWaitablePort
Status: Hooked by "C:\WINDOWS\System32\vsdatant.sys" at address 0xb4ddf600

#: 062	Function Name: NtDeleteFile
Status: Hooked by "C:\WINDOWS\System32\vsdatant.sys" at address 0xb4ddbf20

#: 063	Function Name: NtDeleteKey
Status: Hooked by "PCTCore.sys" at address 0xba6dfd00

#: 065	Function Name: NtDeleteValueKey
Status: Hooked by "PCTCore.sys" at address 0xba6dffb8

#: 068	Function Name: NtDuplicateObject
Status: Hooked by "C:\WINDOWS\System32\vsdatant.sys" at address 0xb4de5580

#: 098	Function Name: NtLoadKey
Status: Hooked by "C:\WINDOWS\System32\vsdatant.sys" at address 0xb4de78b0

#: 116	Function Name: NtOpenFile
Status: Hooked by "C:\WINDOWS\System32\vsdatant.sys" at address 0xb4ddbd70

#: 119	Function Name: NtOpenKey
Status: Hooked by "PCTCore.sys" at address 0xba6de3fa

#: 122	Function Name: NtOpenProcess
Status: Hooked by "<unknown>" at address 0xbaf1b5c8

#: 128	Function Name: NtOpenThread
Status: Hooked by "<unknown>" at address 0xbaf1b5cd

#: 192	Function Name: NtRenameKey
Status: Hooked by "PCTCore.sys" at address 0xba6e0422

#: 193	Function Name: NtReplaceKey
Status: Hooked by "C:\WINDOWS\System32\vsdatant.sys" at address 0xb4de7cb0

#: 200	Function Name: NtRequestWaitReplyPort
Status: Hooked by "C:\WINDOWS\System32\vsdatant.sys" at address 0xb4ddec00

#: 204	Function Name: NtRestoreKey
Status: Hooked by "C:\WINDOWS\System32\vsdatant.sys" at address 0xb4de8080

#: 210	Function Name: NtSecureConnectPort
Status: Hooked by "C:\WINDOWS\System32\vsdatant.sys" at address 0xb4ddf220

#: 224	Function Name: NtSetInformationFile
Status: Hooked by "C:\WINDOWS\System32\vsdatant.sys" at address 0xb4ddc120

#: 247	Function Name: NtSetValueKey
Status: Hooked by "PCTCore.sys" at address 0xba6df7d8

#: 257	Function Name: NtTerminateProcess
Status: Hooked by "<unknown>" at address 0xbaf1b5d7

#: 277	Function Name: NtWriteVirtualMemory
Status: Hooked by "<unknown>" at address 0xbaf1b5d2

Hidden Services
-------------------
Service Name: hjgruipojeemov
Image PathC:\WINDOWS\system32\drivers\hjgruippkhifsw.sys

==EOF==
         

GMER

Code: Alles auswählenAufklappen

ATTFilter

GMER 1.0.15.14972 - http://www.gmer.net
Rootkit scan 2009-07-21 23:51:06
Windows 5.1.2600 Service Pack 2


---- Devices - GMER 1.0.15 ----

AttachedDevice  \FileSystem\Fastfat \Fat                                    fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

Device          \Driver\Tcpip \Device\Ip                                    vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
Device          \Driver\Tcpip \Device\Tcp                                   vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
Device          \Driver\Tcpip \Device\Udp                                   vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
Device          \Driver\Tcpip \Device\RawIp                                 vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

---- Services - GMER 1.0.15 ----

Service         system32\drivers\hjgruippkhifsw.sys (*** hidden *** )       [SYSTEM] hjgruipojeemov                                     <-- ROOTKIT !!! 

---- EOF - GMER 1.0.15 ----
         

HijackThis

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:16:03, on 21.07.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Canon\CAL\CALMAIN.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\tsnpstd3.exe
C:\WINDOWS\vsnpstd3.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\util\_network\ZoneAlarm\zlclient.exe
C:\online\Skype\SAM\SAM.exe
C:\WINDOWS\System32\svchost.exe
C:\online\Skype\Skype\Skype.exe
c:\util\_virus\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup (NVidia Grafikkarte)
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install (NVidia Grafikkarte)
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [tsnpstd3] C:\WINDOWS\tsnpstd3.exe (Webcam)
O4 - HKLM\..\Run: [snpstd3] C:\WINDOWS\vsnpstd3.exe (Canon Camera Monitor)
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\util\_network\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] c:\util\_virus\mbam\mbamgui.exe /install /silent
O4 - HKLM\..\RunOnce: [InnoSetupRegFile.0000000001] "C:\WINDOWS\is-PV3LV.exe" /REG
O4 - S-1-5-21-1292428093-1417001333-725345543-1003 Startup: SAM.lnk = C:\online\Skype\SAM\SAM.exe (User '?')
O4 - S-1-5-21-1292428093-1417001333-725345543-1003 Startup: (User '?')
O4 - Startup: SAM.lnk = C:\online\Skype\SAM\SAM.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O20 - Winlogon Notify: !SASWinLogon - C:\util\_virus\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
--
End of file
         

RootkitRevealer

Code: Alles auswählenAufklappen

ATTFilter

HKU\S-1-5-21-1292428093-1417001333-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{13A6164E-7DA1-B099-0A3D-2A11BC190C30}*	20.03.2009 23:35	0 bytes	Key name contains embedded nulls (*)
HKU\S-1-5-21-1292428093-1417001333-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{79E45BCC-AEBC-4E8E-446A-26D760E8AB4E}*	20.03.2009 23:01	0 bytes	Key name contains embedded nulls (*)
HKU\S-1-5-21-1292428093-1417001333-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{8488FEDF-4D70-C922-8CD7-990773394C61}*	20.03.2009 23:19	0 bytes	Key name contains embedded nulls (*)
HKU\S-1-5-21-1292428093-1417001333-725345543-1003\Software\SecuROM\!CAUTION! NEVER DELETE OR CHANGE ANY KEY*	26.05.2009 16:36	0 bytes	Key name contains embedded nulls (*)
HKU\S-1-5-21-1292428093-1417001333-725345543-1003\Software\SecuROM\License information*	13.10.2008 22:21	0 bytes	Key name contains embedded nulls (*)
HKLM\SECURITY\Policy\Secrets\SAC*	13.09.2006 00:03	0 bytes	Key name contains embedded nulls (*)
HKLM\SECURITY\Policy\Secrets\SAI*	13.09.2006 00:03	0 bytes	Key name contains embedded nulls (*)
HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed	22.07.2009 00:44	80 bytes	Data mismatch between Windows API and raw hive data.
C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8XYBOPQF\dnx[4].htm	22.07.2009 00:46	5.80 KB	Visible in Windows API, MFT, but not in directory index.
C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ODQFG5I7\dnx[4].htm	22.07.2009 00:44	5.80 KB	Visible in Windows API, directory index, but not in MFT.
C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.dll	13.07.2008 16:46	252.00 KB	Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.Wrapper.dll	13.07.2008 16:46	111.50 KB	Visible in Windows API, but not in MFT or directory index.
         

Hallo und

Poste bitte beide Logs von RSIT => http://www.trojaner-board.de/74910-a...tion-tool.html

Du hast zwei Möglichkeiten:

1.) Lade dir Download Trojan Remover

Das Programm ist im Gegensatz zu den sonst hier eingesetzten Programmen keine Freeware, kann aber 30 Tage lang kostenlos genutzt werden.

Das Log bekommst du über Menüzeile: File => View Logfile. Poste es hier.

2.) Solltest du noch irgendetwas mit dem Computer verbinden, wie Memorysticks, Speicherkarten, Digitalkameras, Handy, externe Laufwerke, ... dann stecke vor dem Scan alles an.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  
  Sollte sich ComboFix nicht starten lassen, dann benenne es um in cofi.exe und versuche es nocheinmal.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

ciao, andreas

Hallo Andreas,

Danke für die Antwort.

RSIT
Wie schon geschrieben läuft RSIT leider nicht bei mir. Wenn ich auf "Continue" klicke, poppt ein Fenster mit dem Titel "AutoIt Error" mit folgender Fehlermeldung auf:
"Line -1:
Error: Variable used without being declared."
Klingt wie eine Fehlermeldung von AutoIt für ein Script. AutoIt habe ich aber nicht installiert.
Wie soll ich da weiter vorgehen ?
Alternativ habe ich ersteinmal mbam laufen lassen (siehe Log unten).

Trojan Remover
Habe ich installiert und laufenlassen. Es hat hjgruippkhifsw.sys auch als versteckten
Prozess gemeldet.(siehe Log unten)
Nach einem Neustart ist jetzt der Eintrag unter "Hidden or inaccessible Services" weg.


Fehlerstatus

• Nach einem Reboot habe ich bislang keinen neuen Re-Direct mehr festgestellt.
• Zonealarm hat in den Stunden seit dem Lauf von Trojan Remover keine Zugriffsversuche von svchost gemeldet.
• Avira erkennt nach wie vor einige vorher als gefährlich erkannte Dateien nicht
  (Das könnte vielleicht mit einem Update der Avira Datenbank zusammenhängen)
• mbam meldet immer noch infizierte Dateien unter c:\WINDOWS\system32 (siehe Log unten).
  In der Windows-API sind die Dateien nicht sichbar. Wenn ich über über eine Boot-CD starte sind die hj* Dateien sichtbar/löschbar, die UAC* allerdings nicht.

Also aktueller Stand: Redirection anscheinend weg, Avira etwas "taub", immer noch Trojaner im system32 Verzeichnis.
Was kann ich als nächstes tun ?


Hier der Link zum Trojan Remover Log:
http://w*w.file-upload.net/download-1782406/TRLOG_2009-07-23b.TXT-.html

Und der Report von mbam:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.39
Datenbank Version: 2421
Windows 5.1.2600 Service Pack 2

23.07.2009 07:51:05
mbam-log-2009-07-23 (07-50-58).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 89647
Laufzeit: 2 minute(s), 52 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

[...]

Infizierte Dateien:
c:\WINDOWS\system32\hjgruingndmosp.dll (Trojan.TDSS) -> No action taken.
c:\WINDOWS\system32\hjgruinidpetct.dll (Trojan.Agent) -> No action taken.
c:\windows\system32\UACthluqrjagstidbs.dll (Trojan.Agent) -> No action taken.
         

Hast du bei Malwarebytes auch gelöscht? Dort steht No action taken.

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Setze ein Häckchen bei Scan All Users.
• Unter Standard Registry wähle bitte All
• Unter Extra Registry, wähle bitte Use SafeList
• Schliesse bitte alle laufenden Programme.
• Klicke nun auf Run Scan ( links oben ).
• Wenn der Scan beendet wurde werden 2 Logfiles auf dem Desktop erstellt
• Poste den Inhalt von OTL.txt und Extra.txt hier in den Thread.

ciao, andreas

Malwarebytes bringt die Dateien nicht weg. Nach einem Scan meldet es zwar

Code: Alles auswählenAufklappen

ATTFilter

Infizierte Dateien:
c:\windows\system32\hjgruingndmosp.dll (Trojan.TDSS) -> Quarantined and deleted successfully.
c:\windows\system32\UACthluqrjagstidbs.dll (Trojan.Agent) -> Quarantined and deleted successfully.
c:\windows\system32\hjgruinidpetct.dll (Trojan.Agent) -> Quarantined and deleted successfully.
         

Aber nach Neustart werden genau diese drei Dateien wieder gemeldet.


Hier die Links zu den Logs von OTL:
http://w*w.file-upload.net/download-1783732/Twibble_OTL_2009-07-23.txt-.html
http://w*w.file-upload.net/download-1783739/Twibble_OTL-Extras_2009-07-23.txt-.html

Setze ComboFix ein. Alles andere hat keinen Sinn. Die Kiste ist verseucht ohne Ende.

ciao, andreas

ok,
ComboFix ist gelaufen und hat dabei die Wiederherstellungskonsole installiert.

Hier der Link zum Log:
http://w*w.file-upload.net/download-1784348/Twibble_ComboFix_2009-07-23.txt-.html

1.) Deinstalliere (falls möglich):

• Spyware Doctor
• Trojan Remover
• SuperAntiSpyware
• Zonealarm
• Ad-Aware SE Personal
• Kaspersky Online Scanner

2.) Neustart

3.) Vorher die Sternchen durch deinen Anmeldenamen ersetzen!

Beim nächsten Log nicht editieren!

Scripten mit Combofix

• Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code: Alles auswählenAufklappen

ATTFilter

KILLALL::

Driver::
aohn
SASENUM
sdAuxService
FXQN
ILFDJTI
KIZUEHQ
KRZTLEYFTX
PCTCore
SASDIFSV
SASKUTIL

RegNull::
[HKEY_USERS\S-1-5-21-1292428093-1417001333-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{13A6164E-7DA1-B099-0A3D-2A11BC190C30}*]
[HKEY_USERS\S-1-5-21-1292428093-1417001333-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{79E45BCC-AEBC-4E8E-446A-26D760E8AB4E}*]
[HKEY_USERS\S-1-5-21-1292428093-1417001333-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{8488FEDF-4D70-C922-8CD7-990773394C61}*]

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"SDhelper"=-
"RemoteRegistry"=-
[-HKLM\~\startupfolder\C:^Dokumente und Einstellungen^******^Startmenü^Programme^Autostart^ChkDisk.lnk]
[-HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdauxservice]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdcoreservice]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"=-
"SunJavaUpdateSched"=-
"MSConfig"=-
"ZoneAlarm Client"=-
"TrojanScanner"=-
"nwiz"=-
"SoundMan"=-

Folder::
c:\util\_virus\TrojanRemover
c:\util\_network\ZoneAlarm
c:\dokumente und einstellungen\******\Anwendungsdaten\SUPERAntiSpyware.com
c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
c:\programme\Zone Labs
C:\rsit
c:\programme\Spyware Doctor
c:\programme\Gemeinsame Dateien\PC Tools
c:\windows\9C.tmp
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Simply Super Software
c:\dokumente und einstellungen\******\Anwendungsdaten\Simply Super Software
c:\windows\pss

Files::
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe
c:\windows\system32\drivers\fidbox.dat
c:\windows\system\vhosts.exe
c:\windows\system32\drivers\fidbox.idx
c:\windows\pss\ChkDisk.lnkStartup
c:\windows\Tasks\Kompletter Virenscan.job
c:\windows\Tasks\Update Virenscanner.job
c:\WINDOWS\system32\hjgruingndmosp.dll
c:\WINDOWS\system32\hjgruinidpetct.dll
c:\windows\system32\UACthluqrjagstidbs.dll

DirLook::
C:\aaa

FileLook::
c:\windows\system32\winlogon.exe

SysRst::
         

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

• Nun die Datei cfscript.txt auf das Sysmbol von Combofix ziehen!

• Danach das Log von Combofix ohne zu Editieren posten. Nur wenn dein Vor- und Nachname ersichtlich ist, dann entferne ihn.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

Hi,
ich habe so ungefähr dasselbe Problem wie Twibble. Mein Problem ist jetzt aber das sich Combofix nicht starten lässt.

Grüße

zu Schokobaer:
john.doe schreibt unten

Zitat:

Sollte sich ComboFix nicht starten lassen, dann benenne es um in cofi.exe und versuche es nocheinmal.

Zuersteinmal ein dickes Lob für die kurzen Antwortzeiten hier im Forum,
speziell john.doe! Da kann keine kommerzielle Hotline mithalten.

So die Progs aus der Liste unten habe ich de-installiert.
Danke für's Zusammenstellen des ComboFix Scripts. Bevor ich ComboFix damit wüten lasse, nur noch ein paar Fragen:

Die Einträge im Script unter
Registry::
[HKEY_LOCAL_MACHINE\...\Run]
geben doch an, was ComboFix aus den Autostart-Einträgen löschen soll.
Ich nehme mal an, das "-" bedeutet "Diesen Autostart-Eintrag nicht löschen".

"NeroFilterCheck"=- ok
"SunJavaUpdateSched"=- ok
"MSConfig"=- ok
"ZoneAlarm Client"=- hm, das hab ich doch de-installiert, das könnte dann doch weg, oder ?
"TrojanScanner"=- dito
"nwiz"=- ok
"SoundMan"=- ok

Folgende Einträge sind noch im Combofix-Log von Anwendungen, die ich kenne/selbst installiert habe :
Könnten die Treiber infiziert sein und sollen deshalb aus dem Autostart?

"NvCplDaemon" NvCpl.dll NVIDIA-Treiber (=NVidiaControlPaneL)
"tsnpstd3" tsnpstd3.exe ist ein USB WEBCAM Treiber
"snpstd3" vsnpstd3.exe ist ein Download Monitor für Canon Kameras
"NvMediaCenter" nvmctray.dll gehört auch zur NVIDIA Treibersoftware, oder ?

Files::
c:\windows\Tasks\Kompletter Virenscan.job
c:\windows\Tasks\Update Virenscanner.job
Diese Jobs habe ich selbst angelegt. Einer macht täglich einen Update vom AVIRA Datensatz, der andere
macht einen Scan alle zwei Tage. Kann ich natürlich wieder anlegen, wenn's ComboFix beim Durchlauf stört...

Zitat:

Ich nehme mal an, das "-" bedeutet "Diesen Autostart-Eintrag nicht löschen"

Falsch gedenkt. Genau andersherum.

Zitat:

Diese Jobs habe ich selbst angelegt.

Dann entferne die beiden aus dem Skript. Meine Devise lautet: Erst löschen, dann fragen.

Schädlinge benutzen zunehmend Jobs um sich selbst nachzuladen oder wiederherzustellen.

ciao, andreas

Ok, ComboFix ist gelaufen.
Hier der Link zum Log:
http://w*w.file-upload.net/download-1789035/Twibble_ComboFix_2009-07-25.txt.html

• Anscheinend ist durch den Lauf die Windows Firewall aktiviert worden.
• Die Prozessliste, die man über MMC angezeigt bekommt sieht nun wieder sauber aus.
• im Verzeichnis c:\aaa hatte ich, bevor ich ins TrojanerBoard kam, von der Windows Boot-CD explore.exe und
  andere Systemdateien entpackt und ins Windows Verzeichnis kopiert (was nicht geholfen hatte).
  Sprich, das Verzeichnis ist unkritisch.
• Malware Bytes meldet allerdings immer noch die 3 Trojaner, die es nach wie vor nicht löschen kann.
  c:\windows\system32\UACthluqrjagstidbs.dll (Trojan.Agent)
  c:\windows\system32\hjgruingndmosp.dll (Trojan.Agent)
  c:\windows\system32\hjgruinidpetct.dll (Trojan.Agent)

In der Registry habe ich übringens unter HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services den verdächtigen
Eintrag hjgruipojeemov gefunden.

Code: Alles auswählenAufklappen

ATTFilter

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\hjgruipojeemov]
"start"=dword:00000001
"type"=dword:00000001
"group"="file system"
"imagepath"=hex(2):[eine Reihe HEX-Werte]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\hjgruipojeemov\main]
"aid"="10002"
"sid"="0"
"cmddelay"=dword:00003840

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\hjgruipojeemov\main\injector]
"*"="hjgruiwsp.dll"
         

Den Eintrag konnte ich bis auf den Schlüssel "*" löschen. Geändert hat's nichts.

Irgendein Virusscanner hatte irgendwann vorher mal gemeldet, das hjgruipojeemov von einer Windows Systemdatei als Service geladen wird. Jetzt wird das aber nicht mehr gemeldet. Ich vermute, bei den 3 Kandidaten oben wird das ähnlich sein. Nur habe ich keine entsprechenden Schlüssel in der Reg finden können. Will sagen, vielleicht sollten wir in Richtung Registry weitersuchen ?

Der Downloadlink funktioniert nicht, bei der Größe kannst du es hier direkt posten, bitte mit

HTML-Code:

[quote]CF-Log[/quote]-Befehlen.

Neues Script für ComboFix:

Code: Alles auswählenAufklappen

ATTFilter

KILLALL::

Registry::
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\hjgruipojeemov]

FixCset::
         

Zitat:

Malwarebytes bringt die Dateien nicht weg.

Das ist eine Falschmeldung. Ignorieren. Das ist schon das dritte Mal, das MbAm Dateien meldet, die nicht existieren.

ciao, andreas

Unten das ComboFix-Log.

Zitat:

Das ist eine Falschmeldung. Ignorieren. Das ist schon das dritte Mal, das MbAm Dateien meldet, die nicht existieren.

Du hast Recht. Ich hatte mal von einer HIRES CD gebooted - also ohne Windows - und da waren die hjgrui* Dateien
im windows\system32 Ordner sichtbar und ich konnte sie löschen. Nach dem nächsten Windows-Start kam die Meldung von
Malwarebytes wieder. Gerade hab ich nochmal nahgesehen, alles ok.
Und in der Liste "Durch laufende Prozesse gestartete DLLs" in der Log-Datei unten sind die Dateien ja auch nicht drin.

ComboFix lasse ich später noch mal mit dem neuen Script laufen und poste das Log dazu.

Zitat:

ComboFix 09-07-23.02 - **** 25.07.2009 22:18.2.1 - NTFSx86
ausgeführt von:: c:\dokumente und einstellungen\******\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\******\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\All Users\Anwendungsdaten\Simply Super Software
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Simply Super Software\Trojan Remover\Data\trjlist28.dta
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Simply Super Software\Trojan Remover\Data\trjlist29.dta
c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
c:\dokumente und einstellungen\******\Anwendungsdaten\SUPERAntiSpyware.com
c:\programme\Zone Labs
c:\programme\Zone Labs\ZoneAlarm\ErrorLog.txt
C:\rsit
c:\rsit\log.txt
c:\util\_network\ZoneAlarm
c:\util\_network\ZoneAlarm\ins\zaZA_Setup_de.exe
c:\util\_virus\TrojanRemover
c:\util\_virus\TrojanRemover\ins\trjsetup679.exe
c:\windows\9C.tmp
c:\windows\9C.tmp\b2e.exe

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_AOHN
-------\Legacy_FXQN
-------\Legacy_KIZUEHQ
-------\Legacy_KRZTLEYFTX
-------\Legacy_PCTCORE
-------\Service_aohn
-------\Service_FXQN
-------\Service_ILFDJTI
-------\Service_KIZUEHQ
-------\Service_KRZTLEYFTX


((((((((((((((((((((((( Dateien erstellt von 2009-06-25 bis 2009-07-25 ))))))))))))))))))))))))))))))
.

2009-07-21 20:22 . 2009-07-21 20:22 3775176 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe
2009-07-14 20:50 . 2009-07-17 21:23 664 ----a-w- c:\windows\system32\d3d9caps.dat
2009-07-11 19:39 . 2009-07-11 19:39 42280 ----a-w- c:\dokumente und einstellungen\******\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-07-11 19:20 . 2009-07-12 16:32 -------- d-----w- c:\programme\Google
2009-07-11 13:33 . 2009-07-11 13:33 4212 ---h--w- c:\windows\system32\zllictbl.dat
2009-07-11 13:23 . 2009-07-11 13:23 0 --s-a-w- c:\windows\system\vhosts.exe
2009-07-07 23:47 . 2009-07-07 23:47 -------- d-----w- c:\dokumente und einstellungen\******\Lokale Einstellungen\Anwendungsdaten\Ahead
2009-07-07 20:17 . 2009-07-07 20:17 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\MailFrontier
2009-07-07 20:17 . 2004-04-27 02:40 11264 ----a-w- c:\windows\system32\SpOrder.dll
2009-07-07 20:14 . 2009-07-25 20:06 -------- d-----w- c:\windows\Internet Logs
2009-07-06 22:51 . 2004-08-03 22:58 507392 ----a-w- c:\windows\system32\winlogon.exe
2009-07-06 22:49 . 2009-07-06 22:51 -------- dc----w- c:\windows\system32\dllcache\backup
2009-07-06 17:07 . 2009-07-06 17:07 -------- d-----w- c:\dokumente und einstellungen\******\Anwendungsdaten\Malwarebytes
2009-07-06 17:06 . 2009-07-13 11:36 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-07-06 17:06 . 2009-07-13 11:36 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-07-06 17:06 . 2009-07-06 17:06 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-07-06 16:52 . 2009-07-06 22:50 -------- d-----w- C:\aaa
2009-07-05 20:07 . 2009-07-05 20:16 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\16880004
2009-06-28 20:45 . 2003-06-25 14:05 266360 ----a-w- c:\windows\system32\TweakUI.exe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-07-25 20:27 . 2006-09-16 06:25 -------- d-----w- c:\dokumente und einstellungen\******\Anwendungsdaten\Skype
2009-07-24 17:31 . 2007-03-16 00:16 -------- d---a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2009-07-24 17:28 . 2006-09-18 21:15 -------- d-----w- c:\dokumente und einstellungen\******\Anwendungsdaten\Lavasoft
2009-07-24 17:27 . 2007-02-18 09:38 -------- d-----w- c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-07-19 23:03 . 2006-10-03 06:37 -------- d-----w- c:\dokumente und einstellungen\******\Anwendungsdaten\ZoomBrowser EX
2009-07-19 23:03 . 2006-10-03 06:27 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\ZoomBrowser
2009-07-14 21:45 . 2006-10-06 20:55 -------- d-----w- c:\programme\WinTV
2009-07-12 16:06 . 2008-10-16 09:26 -------- d-----w- c:\dokumente und einstellungen\******\Anwendungsdaten\Audacity
2009-07-07 22:59 . 2006-10-03 19:14 4438 ----a-w- c:\windows\mozver.dat
2009-07-04 21:10 . 2009-04-05 19:34 152576 ----a-w- c:\dokumente und einstellungen\******\Anwendungsdaten\Sun\Java\jre1.6.0_13\lzma.dll
2009-06-14 11:04 . 2007-06-01 18:27 -------- d-----w- c:\dokumente und einstellungen\******\Anwendungsdaten\Vso
2009-06-07 15:59 . 2007-03-16 00:30 -------- d-----w- c:\dokumente und einstellungen\******\Anwendungsdaten\VideoReDoPlus
2009-06-06 23:45 . 2009-02-21 14:44 -------- d-----w- c:\dokumente und einstellungen\******\Anwendungsdaten\gtk-2.0
2009-05-27 22:15 . 2009-05-01 18:12 75096 ----a-w- c:\windows\system32\drivers\avipbb.sys
2009-05-07 20:50 . 2009-05-07 20:50 25748 ----a-w- c:\windows\Fonts\DIN1451 Mittelschrift.TTF
.

(((((((((((((((((((((((((((((((((((((((((((( Look )))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.

--- c:\windows\system32\winlogon.exe ---
Company: Microsoft Corporation
File Description: Windows NT-Anmeldung
File Version: 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
Product Name: Betriebssystem Microsoft® Windows®
Copyright: © Microsoft Corporation. Alle Rechte vorbehalten.
Original Filename: WINLOGON.EXE
File size: 507392
Created time: 2009-07-06 22:51
Modified time: 2004-08-03 22:58
MD5: 2B6A0BAF33A9918F09442D873848FF72
SHA1: E94549181CC6CDF9F5373E86C857049B73BAEE66

---- Directory of C:\aaa ----

2009-07-06 22:50 . 2004-08-03 22:58 507392 ----a-w- c:\aaa\x\winlogon.exe
2009-07-06 22:50 . 2001-08-18 12:00 16896 ----a-w- c:\aaa\EXPAND.EXE
2009-07-06 22:50 . 2004-08-03 22:58 261469 ----a-w- c:\aaa\WINLOGON.EX_
2009-07-06 16:58 . 2004-08-03 22:58 14336 ----a-w- c:\aaa\svchost.exe
2009-07-06 16:57 . 2004-08-03 22:57 1035264 ----a-w- c:\aaa\explorer.exe
2004-08-03 22:57 . 2004-08-03 22:57 1035264 ----a-w- c:\aaa\x\EXPLORER.EXE


------- Sigcheck -------

[7] 2006-04-20 12:18 360576 B2220C618B42A2212A59D91EBD6FC4B4 c:\windows\$hf_mig$\KB917953\SP2QFE\tcpip.sys
[7] 2004-08-03 21:14 359040 9F4B36614A0FC234525BA224957DE55C c:\windows\$NtUninstallKB917953$\tcpip.sys
[-] 2008-04-01 19:39 359808 8CC7975FF3280834CE8228BED170CE4B c:\windows\system32\dllcache\TCPIP.SYS
[-] 2008-04-01 19:39 359808 8CC7975FF3280834CE8228BED170CE4B c:\windows\system32\drivers\TCPIP.SYS

.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-08-11 7630848]
"tsnpstd3"="c:\windows\tsnpstd3.exe" [2005-11-04 90112]
"snpstd3"="c:\windows\vsnpstd3.exe" [2005-09-05 339968]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2006-08-11 1519616]
"NvMediaCenter"="NvMCTray.dll" - c:\windows\system32\nvmctray.dll [2006-08-11 86016]
"SoundMan"="SOUNDMAN.EXE" - c:\windows\soundman.exe [2005-10-24 90112]

c:\dokumente und einstellungen\******\Startmen�\Programme\Autostart\
SAM.lnk - c:\online\Skype\SAM\SAM.exe [2006-12-27 1765376]


[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"mnmsrvc"=3 (0x3)
"MZCCntrl"=2 (0x2)
"WZCSVC"=2 (0x2)
"wuauserv"=2 (0x2)
"RDSessMgr"=3 (0x3)
"IDriverT"=3 (0x3)
"MSIServer"=3 (0x3)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Music\\Clients\\µTorrent\\utorrent.exe"=
"c:\\online\\Skype\\Skype\\Skype.exe"=

R3 MACNDIS5;MACNDIS5 NDIS Protocol Driver;c:\progra~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS [2005-11-24 17280]
R3 MIINPazX;MIINPazX NDIS Protocol Driver;c:\progra~1\GEMEIN~1\MARMIK~1\MInfraIS\MIINPazX.SYS [2006-10-09 17152]
R3 MTOnlPktAlyX;MTOnlPktAlyX NDIS Protocol Driver;c:\online\T-ONLI~2\T-ONLI~1\BASIS-~1\Basis1\MTOnlPktAlyX.SYS [2006-10-09 17536]
R4 MZCCntrl;T-Online WLAN Adapter Steuerungsdienst;c:\programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe [2005-11-15 61440]
S1 HCW88AUD;Hauppauge WinTV 88x Audio Capture;c:\windows\system32\drivers\hcw88aud.sys [2006-06-16 11970]
S3 HCW88BDA;Hauppauge WinTV 88x DVB Tuner/Demod;c:\windows\system32\drivers\hcw88bda.sys [2006-06-16 207424]
S3 hcw88rc5;Hauppauge WinTV 88x IR Decoder;c:\windows\system32\Drivers\hcw88rc5.sys [2006-06-16 11841]
S3 HCW88TSE;Hauppauge WinTV 88x MPEG/TS Capture;c:\windows\system32\drivers\hcw88tse.sys [2006-06-16 299843]
S3 hcw88vid;Hauppauge WinTV 88x Video;c:\windows\system32\drivers\hcw88vid.sys [2006-06-16 497216]
S3 HCW88XBAR;Hauppauge WinTV 88x Crossbar;c:\windows\system32\drivers\HCW88BAR.sys [2006-06-16 23104]

.
Inhalt des "geplante Tasks" Ordners

2009-07-06 c:\windows\Tasks\Kompletter Virenscan.job
- c:\programme\Avira\AntiVir PersonalEdition Classic\avscan.exe [2009-05-01 07:21]

2009-07-24 c:\windows\Tasks\Update Virenscanner.job
- c:\programme\Avira\AntiVir PersonalEdition Classic\StartUpdate.exe [2009-05-15 17:51]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\dokumente und einstellungen\******\Anwendungsdaten\Mozilla\Firefox\Profiles\o3mdvra6.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - component: c:\online\Browser\Firefox\components\xpinstal.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-07-25 22:27
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1292428093-1417001333-725345543-1003\Software\Buhl Data Service\On4u2\TVc200\ExtData*]
"OfflineKey"="HWi0mFpsDvxjBF6HOdrS4B1TQLrjGN09XuraO0rdFlvyB7RVNPQfsZK42mrZDZYxpXzYXHV9culCL1cIRJyYvQHZYYqGffjLzOQRqrO6H5GSNJymdtYHgymAmD/3uToaKx6YC7eHwtJEaBTXj+tKsfy0DLpoUlXJaXD76KV+bA+zOYJSuDn0HuKA6eFL7gmpUEnBVBNdMqJoY9MIOZAIew==ywHSYCyZ+lT0HrOy4aR01GZWBCsZQavAQmWOnz6JVKWRSfG9O0SySR0Ev ZWkbCto3RwFJqlA5AumLyRaEVXNug=="
"InitTime"=dword:0000985b
"LastTime"=dword:0000985b
"Keyindex"=dword:00000000

[HKEY_USERS\S-1-5-21-1292428093-1417001333-725345543-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:f7,66,8d,7e,25,5c,62,34,b6,cc,ce,59,44,bc,90,ae,5a,10,e5,36,54,98,74,
a0,90,1c,dd,94,13,30,11,cf,67,85,3f,63,e9,2f,a7,45,13,28,2e,41,95,45,51,86,\
"??"=hex:87,5a,ca,74,76,9e,0d,c0,92,88,d4,16,d2,42,79,f6

[HKEY_USERS\S-1-5-21-1292428093-1417001333-725345543-1003\Software\SecuROM\License information*]
"datasecu"=hex:69,c4,bf,4b,4e,20,a8,80,a8,3c,16,66,ab,c7,27,d2,72,12,21,20,19,
7f,74,39,56,1b,c6,32,79,a1,b7,72,a9,7e,03,29,b5,b5,b9,7e,7a,05,28,12,88,ab,\
"rkeysecu"=hex:ae,12,92,fb,32,a5,b5,3f,a3,de,ab,b8,61,66,07,02
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(2488)
c:\progra~1\GEMEIN~1\MICROS~1\WEBCOM~1\10\OWC10.DLL
c:\progra~1\GEMEIN~1\MICROS~1\WEBCOM~1\10\1031\owci10.dll
c:\windows\system32\MSCTF.dll
c:\windows\system32\msls31.dll
c:\windows\system32\shdoclc.dll
c:\windows\system32\msimtf.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\windows\system32\nvsvc32.exe
c:\programme\Canon\CAL\CALMAIN.exe
c:\online\Skype\Skype\Skype.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-07-25 22:29 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-07-25 20:29
ComboFix2.txt 2009-07-23 21:56

Vor Suchlauf: 36 Verzeichnis(se), 32.648.642.560 Bytes frei
Nach Suchlauf: 35 Verzeichnis(se), 32.631.177.216 Bytes frei

251