"Win32.Trojan.Tdss" in system32-Ordner von WinXP SP3

Michi · 23.08.2009, 13:30

Seid gegrüßt,

ich habe seit ein paar Tagen wahrscheinlich ein Problem mit einem Trojaner, den ich mir in mein System (WinXP SP3) eingefangen hab. Aufmerksam bin ich drauf geworden, da AntiVir beim öffnen einer Webseite ein paar mal hintereinander Malware gefunden hat und beim nächsten Neustart AntiVir nicht mehr automatisch gestartet wurde und sich Spybot nicht mehr öffnen lies. Ad-Aware meldet mir einen Trojaner "Win32.Trojan.Tdss" in der Datei "UACoewprqtkai.dll" im system32-Ordner, der jedoch nach Bereinigung beim Neustart wieder vorhanden ist. So wie es scheint ist der Schädling nicht so leicht zu entfernen. Bevor ich aber auf eigene Faust Programme benutze, wollte ich hier nachfragen, zumal ich das Neuaufsetzen des Systems vermeiden wollte :/.
Es wäre toll, wenn mir jemand helfen könnte!

Anbei mein Hijack This Protokoll:

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:35:48, on 23.08.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Java\jre6\bin\jqs.exe
D:\Programme\NetLimiter 2 Pro\nlsvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\WINDOWS\system32\RunDLL32.exe
D:\Programme\NetLimiter 2 Pro\NLClient.exe
D:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Programme\OpenVPN\bin\openvpn-gui.exe
D:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Logitech\Gaming Software\LWEMon.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Windows Desktop Search\WindowsSearch.exe
D:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\SearchProtocolHost.exe
D:\totalcmd\TOTALCMD.EXE
D:\Programme\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - D:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "D:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin
O4 - HKLM\..\Run: [openvpn-gui] C:\Programme\OpenVPN\bin\openvpn-gui.exe
O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Start WingMan Profiler] C:\Programme\Logitech\Gaming Software\LWEMon.exe /noui
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [VirtualDiskAutomount] rundll32 "D:\totalcmd\Plugins\VirtualDisk\VirtualDisk.wfx",MountAfterReboot
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [Shockwave Updater] C:\WINDOWS\system32\Adobe\SHOCKW~1\SWHELP~1.EXE -Update -1103472 -"Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.9.0.11) Gecko/2009060215 Firefox/3.0.11" -"h**p://www.chemgapedia.de/vsengine/vlu/vsc/de/ch/13/vlu/thermodyn/phasen/phasen_einf.vlu/Page/vsc/de/ch/13/pc/thermodyn/phasen/virtuelle_messung.vscml.html"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O4 - Global Startup: LaunchU3.exe.lnk = ?
O4 - Global Startup: Windows Search.lnk = C:\Programme\Windows Desktop Search\WindowsSearch.exe
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://D:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - D:\Programme\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1201223585171
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1232470639109
O17 - HKLM\System\CCS\Services\Tcpip\..\{C2ED0A20-0B3E-4084-9AA5-D5C61083FB23}: NameServer = 192.168.0.1
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - D:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - D:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NetLimiter (nlsvc) - Locktime Software - D:\Programme\NetLimiter 2 Pro\nlsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 9284 bytes

Moritz009 · 23.08.2009, 14:07

Erstmal Hallo und

Bitte klicke auf den Link in meiner Signatur, lies alles aufmerksam durch, arbeite es ab und poste die Logs hier. Liebe Grüße Moritz009

Michi · 23.08.2009, 15:24

Hallo,

also das ist ganz schön verzweifelnd. CCleaner hab ich beim ersten Mal durchlaufen nicht gewusst, dass ich die logs händlisch speichern kann. Nach einem Neustart waren die logs folgende:

Code:

ATTFilter

ANALYSE komplett - (0.251 Sek)
------------------------------------------------------------------------------------------
1,87MB zu entfernen. (Ungefähre Größe)
------------------------------------------------------------------------------------------

Details der zu löschenden Dateien (Hinweis: Es wurden noch keine Dateien gelöscht)
------------------------------------------------------------------------------------------
Internet Explorer - Lösche Index.dat-Dateien	0KB	3 Dateien
System - Windows-Logdateien	52KB	10 Dateien
Firefox/Mozilla - Cookies	0KB	6 Dateien
Firefox/Mozilla - Download-Verlauf	2KB	1 Dateien
Firefox/Mozilla - Internet-Cache	1.862KB	28 Dateien
Werkzeuge - AntiVir Desktop	0KB	1 Dateien
------------------------------------------------------------------------------------------
Zum Löschen markiert: C:\Dokumente und Einstellungen\...\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat	0KB
Zum Löschen markiert: C:\Dokumente und Einstellungen\...\Cookies\index.dat	0KB
Zum Löschen markiert: C:\Dokumente und Einstellungen\...\Lokale Einstellungen\Verlauf\History.IE5\index.dat	0KB
C:\WINDOWS\system32\wbem\Logs\FrameWork.log	0KB
C:\WINDOWS\system32\wbem\Logs\mofcomp.log	2KB
C:\WINDOWS\system32\wbem\Logs\wbemcore.log	3KB
C:\WINDOWS\system32\wbem\Logs\wbemess.log	12KB
C:\WINDOWS\system32\wbem\Logs\wmiadap.log	0KB
C:\WINDOWS\system32\wbem\Logs\wmiprov.log	0KB
C:\WINDOWS\0.log	0KB
C:\WINDOWS\spupdsvc.log	2KB
C:\WINDOWS\updspapi.log	4KB
C:\WINDOWS\Debug\UserMode\userenv.log	29KB
Entfernte Cookies: google.de	0KB
Entfernte Cookies: google.com	0KB
Entfernte Cookies: adlink.net	0KB
Entfernte Cookies: trojaner-board.de	0KB
Entfernte Cookies: www.trojaner-board.de	0KB
Entfernte Cookies: doubleclick.net	0KB
C:\Dokumente und Einstellungen\...\Anwendungsdaten\Mozilla\Firefox\Profiles\ttzk0tuv.default\downloads.sqlite	2KB
C:\Dokumente und Einstellungen\...\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\ttzk0tuv.default\cache\0D939237d01	19KB
C:\Dokumente und Einstellungen\...\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\ttzk0tuv.default\cache\14721405d01	111KB
C:\Dokumente und Einstellungen\...\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\ttzk0tuv.default\cache\15D4A24Bd01	131KB
C:\Dokumente und Einstellungen\...\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\ttzk0tuv.default\cache\1D4704BEd01	28KB
C:\Dokumente und Einstellungen\...\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\ttzk0tuv.default\cache\2F8D9C0Dd01	20KB
C:\Dokumente und Einstellungen\...\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\ttzk0tuv.default\cache\471720B0d01	39KB
C:\Dokumente und Einstellungen\...\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\ttzk0tuv.default\cache\5653F17Fd01	25KB
C:\Dokumente und Einstellungen\...\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\ttzk0tuv.default\cache\5F0F9D8Fd01	17KB
C:\Dokumente und Einstellungen\...\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\ttzk0tuv.default\cache\716DAEF2d01	43KB
C:\Dokumente und Einstellungen\...\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\ttzk0tuv.default\cache\72506224d01	44KB
C:\Dokumente und Einstellungen\...\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\ttzk0tuv.default\cache\7910A560d01	135KB
C:\Dokumente und Einstellungen\...\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\ttzk0tuv.default\cache\7ADD83CAd01	112KB
C:\Dokumente und Einstellungen\...\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\ttzk0tuv.default\cache\7BD6A121d01	22KB
C:\Dokumente und Einstellungen\...\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\ttzk0tuv.default\cache\80F0EA4Ed01	54KB
C:\Dokumente und Einstellungen\...\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\ttzk0tuv.default\cache\840DEB41d01	68KB
C:\Dokumente und Einstellungen\...\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\ttzk0tuv.default\cache\87C8F746d01	36KB
C:\Dokumente und Einstellungen\...\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\ttzk0tuv.default\cache\9B2774F0d01	21KB
C:\Dokumente und Einstellungen\...\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\ttzk0tuv.default\cache\BBCE81CBd01	92KB
C:\Dokumente und Einstellungen\...\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\ttzk0tuv.default\cache\C11C3B29d01	34KB
C:\Dokumente und Einstellungen\...\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\ttzk0tuv.default\cache\C1F1CC16d01	41KB
C:\Dokumente und Einstellungen\...\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\ttzk0tuv.default\cache\D851F85Ed01	30KB
C:\Dokumente und Einstellungen\...\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\ttzk0tuv.default\cache\DEA5ACF7d01	26KB
C:\Dokumente und Einstellungen\...\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\ttzk0tuv.default\cache\E7FF8389d01	54KB
C:\Dokumente und Einstellungen\...\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\ttzk0tuv.default\cache\EC654529d01	43KB
C:\Dokumente und Einstellungen\...\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\ttzk0tuv.default\cache\_CACHE_001_	153KB
C:\Dokumente und Einstellungen\...\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\ttzk0tuv.default\cache\_CACHE_002_	114KB
C:\Dokumente und Einstellungen\...\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\ttzk0tuv.default\cache\_CACHE_003_	344KB
C:\Dokumente und Einstellungen\...\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\ttzk0tuv.default\cache\_CACHE_MAP_	8KB
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\LOGFILES\sched.log	0KB

Code:

ATTFilter

ehlende gemeinsamgenutzte DLLs	C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\System.tlb	HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls
Fehlende gemeinsamgenutzte DLLs	C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\System.EnterpriseServices.tlb	HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls
Fehlende gemeinsamgenutzte DLLs	C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\mscorlib.tlb	HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls
Fehlende gemeinsamgenutzte DLLs	C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\mscoree.tlb	HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls
Fehlende gemeinsamgenutzte DLLs	C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\System.Drawing.tlb	HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls
Fehlende gemeinsamgenutzte DLLs	C:\WINDOWS\Microsoft.NET\Framework\v1.0.3705\System.tlb	HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls
Fehlende gemeinsamgenutzte DLLs	C:\WINDOWS\Microsoft.NET\Framework\v1.0.3705\System.Windows.Forms.tlb	HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls
Fehlende gemeinsamgenutzte DLLs	C:\WINDOWS\Microsoft.NET\Framework\v1.0.3705\System.EnterpriseServices.tlb	HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls
Fehlende gemeinsamgenutzte DLLs	C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\System.Windows.Forms.tlb	HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls
Fehlende gemeinsamgenutzte DLLs	C:\WINDOWS\Microsoft.NET\Framework\v1.0.3705\Microsoft.JScript.tlb	HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls
Fehlende gemeinsamgenutzte DLLs	C:\WINDOWS\Microsoft.NET\Framework\v1.0.3705\Microsoft.Vsa.tlb	HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls
Fehlende gemeinsamgenutzte DLLs	C:\WINDOWS\Microsoft.NET\Framework\v1.0.3705\System.Drawing.tlb	HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls
Fehlende gemeinsamgenutzte DLLs	C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Microsoft.JScript.tlb	HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls
Fehlende gemeinsamgenutzte DLLs	C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Microsoft.Vsa.tlb	HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls
Fehlende gemeinsamgenutzte DLLs	C:\WINDOWS\Microsoft.NET\Framework\v1.0.3705\mscorlib.tlb	HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls
Fehlende gemeinsamgenutzte DLLs	C:\WINDOWS\Microsoft.NET\Framework\v1.0.3705\mscoree.tlb	HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls
Fehlende gemeinsamgenutzte DLLs	C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Microsoft.Vsa.Vb.CodeDOMProcessor.tlb	HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls
Fehlende gemeinsamgenutzte DLLs	C:\WINDOWS\Microsoft.NET\Framework\v1.0.3705\Microsoft.Vsa.Vb.CodeDOMProcessor.tlb	HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls
Ungültige oder leere Datei Klasse	Connection Manager Profile	HKCR\Connection Manager Profile
ActiveX/COM Fehler	Microsoft.ActiveXPlugin - {06DD38D3-D187-11CF-A80D-00C04FD74AD8}	HKCR\Microsoft.ActiveXPlugin
ActiveX/COM Fehler	Microsoft.ActiveXPlugin.1 - {06DD38D3-D187-11CF-A80D-00C04FD74AD8}	HKCR\Microsoft.ActiveXPlugin.1
Ungültige oder leere Datei Klasse	ppifile	HKCR\ppifile
Uninstaller-Verweis Fehler	ie7	HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\ie7
Uninstaller-Verweis Fehler	Microsoft .NET Framework 3.5	HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Microsoft .NET Framework 3.5
Uninstaller-Verweis Fehler	{2BA00471-0328-3743-93BD-FA813353A783}	HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{2BA00471-0328-3743-93BD-FA813353A783}
Uninstaller-Verweis Fehler	{B508B3F1-A24A-32C0-B310-85786919EF28}	HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{B508B3F1-A24A-32C0-B310-85786919EF28}

Malwarebytes-Anti-Malware lässt sich ohne Umbenennung der Installationsdatei nicht mal installieren. Selbst wenn ich die Install-Datei umbenenne, bleibt die Installation am Ende hängen und ich kann sie nur über den Taskmanager schließen. Es sieht so aus, als wäre alles installiert worden aber wenn ich das Programm starten will, erscheint nichts, obwohl die exe unter den Prozessen steht

RSIT startet zwar aber nach dem "Disclaimer of warrenty" Fenster kommt es beim Punkt Performing Registry Dump zu einem Fehlerfenster:
Autolt Error
"Line -1:"
"Error: Subscript used with non-Array variable."

Sind die Programme noch irgendwie zu starten? Das ist alles ziemlich unbefriedigend :/.
Danke für weitere Unterstützung...

john.doe · 23.08.2009, 15:48

Hallo und

Rootkitwarnung! Du hast eine schwere Infektion die nur mit sehr viel Zeitaufwand zu bereinigen ist. Deshalb empfehle ich dir die schnelle und sichere Methode => http://www.trojaner-board.de/51262-a...sicherung.html

Solltest du trotzdem die Bereinigung vorziehen, dann beginne mit ComboFix. Vorher solltest du jedoch deine Daten auf externe Medien oder andere Partitionen sichern.

Solltest du noch irgendetwas mit dem Computer verbinden, wie Memorysticks, Speicherkarten, Digitalkameras, Handy, externe Laufwerke, ... dann stecke vor dem Scan alles an.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

ciao, andreas

Michi · 23.08.2009, 17:00

Hallo,

ich denke, dass ich es in jedem Fall gerne versuchen würde, das Neuinstalliere von Windows zu umgehen, aber wenn es schlussendlich nichts weiter übrig bleibt, dann kann man da wohl nichts weiter machen.

Ich habe zunächst cofi durchlaufen lassen. Vorher habe ich AntiVir deinstalliert, da es sich nicht so hat schließen lassen, dass ComboFix nicht mehr ne Fehlermeldung anzeigt.

Hier nun meine Log-Datei, in der ich Links und den persönlichen Ordner umbenannt hab. Wenn zur weiteren Hilfe die "unbearbeitete Log-Datei" gebraucht wird, hab ich die natürlich auch noch!

Code:

ATTFilter

ComboFix 09-08-22.06 - ... 23.08.2009 17:41.1.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1279.936 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\...\Desktop\cofi.exe
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\$recycle.bin\S-1-5-21-3987648321-2015837354-4215852612-1000
c:\dokumente und einstellungen\...\Anwendungsdaten\wiaserva.log
c:\windows\system32\drivers\UACggwylfhxob.sys
c:\windows\system32\UACejbiqjnpto.db
c:\windows\system32\uacinit.dll
c:\windows\system32\UACiqyakxkdfv.dll
c:\windows\system32\UACmllxcqvkba.dll
c:\windows\system32\UACoewprqtkai.dll
c:\windows\system32\UACrdoexycutm.dll
c:\windows\system32\UACyouevjlqps.dat

.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_UACd.sys
-------\Legacy_UACd.sys


(((((((((((((((((((((((   Dateien erstellt von 2009-07-23 bis 2009-08-23  ))))))))))))))))))))))))))))))
.

2009-08-23 14:32 . 2009-08-23 14:32	76642661	----a-w-	C:\pack.zip
2009-08-23 14:04 . 2009-08-23 14:04	--------	d-----w-	C:\rsit
2009-08-23 13:57 . 2009-08-03 11:36	38160	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2009-08-23 13:57 . 2009-08-23 13:57	--------	d-----w-	c:\dokume~1\ALLUSE~1\ANWEND~1\Malwarebytes
2009-08-23 13:57 . 2009-08-03 11:36	19096	----a-w-	c:\windows\system32\drivers\mbam.sys
2009-08-23 13:37 . 2009-08-23 13:37	--------	d-----w-	c:\dokumente und einstellungen\...\Lokale Einstellungen\Anwendungsdaten\PCHealth
2009-08-23 13:24 . 2009-08-23 13:32	--------	d-----w-	c:\windows\SxsCaPendDel
2009-08-21 13:03 . 2009-08-22 11:21	--------	dc----w-	c:\windows\system32\DRVSTORE
2009-08-21 13:01 . 2009-08-22 11:21	--------	d-----w-	c:\dokume~1\ALLUSE~1\ANWEND~1\Lavasoft
2009-08-19 18:17 . 2009-08-21 13:06	--------	d-sh--w-	c:\dokumente und einstellungen\LocalService.NT-AUTORITÄT
2009-08-19 18:17 . 2009-08-19 18:17	--------	d-sh--w-	c:\dokumente und einstellungen\NetworkService.NT-AUTORITÄT
2009-08-14 19:09 . 2009-08-14 19:09	--------	d-----w-	c:\programme\MSXML 4.0
2009-08-14 19:09 . 2005-05-26 13:34	2297552	----a-w-	c:\windows\system32\d3dx9_26.dll
2009-08-14 17:32 . 2006-01-13 12:00	15872	----a-w-	c:\windows\system32\drivers\vd_filedisk.sys
2009-08-14 16:52 . 2009-08-14 16:52	--------	d-----w-	c:\programme\Logitech
2009-08-14 08:32 . 2008-02-17 15:16	90112	----a-w-	c:\dokumente und einstellungen\...\Anwendungsdaten\Mozilla\Firefox\Profiles\ttzk0tuv.default\extensions\{a7c6cf7f-112c-4500-a7ea-39801a327e5f}\platform\WINNT_x86-msvc\components\ipc.dll
2009-08-14 08:32 . 2007-12-28 09:15	172032	----a-w-	c:\dokumente und einstellungen\...\Anwendungsdaten\Mozilla\Firefox\Profiles\ttzk0tuv.default\extensions\{a7c6cf7f-112c-4500-a7ea-39801a327e5f}\platform\WINNT_x86-msvc\puttygen.exe
2009-08-14 08:32 . 2007-10-07 23:57	307200	----a-w-	c:\dokumente und einstellungen\...\Anwendungsdaten\Mozilla\Firefox\Profiles\ttzk0tuv.default\extensions\{a7c6cf7f-112c-4500-a7ea-39801a327e5f}\platform\WINNT_x86-msvc\psftp.exe
2009-08-12 20:15 . 2008-04-14 02:22	221184	----a-w-	c:\windows\system32\wmpns.dll
2009-08-12 07:51 . 2009-07-10 13:26	1315328	-c----w-	c:\windows\system32\dllcache\msoe.dll
2009-08-09 21:21 . 2009-08-09 21:21	--------	d-----w-	c:\dokumente und einstellungen\...\Anwendungsdaten\Windows Search
2009-08-07 08:17 . 2009-08-07 08:17	152576	----a-w-	c:\dokumente und einstellungen\...\Anwendungsdaten\Sun\Java\jre1.6.0_15\lzma.dll
2009-08-05 08:59 . 2009-08-05 08:59	206336	-c----w-	c:\windows\system32\dllcache\mswebdvd.dll
2009-08-04 19:09 . 2009-08-04 19:09	768	----a-w-	c:\windows\system32\d3d8caps.dat
2009-08-04 08:02 . 2009-08-04 08:02	--------	d-----w-	c:\dokumente und einstellungen\...\Lokale Einstellungen\Anwendungsdaten\Identities
2009-08-04 08:02 . 2009-08-04 08:02	--------	d-----w-	c:\dokumente und einstellungen\...\Anwendungsdaten\Windows Desktop Search
2009-08-04 08:02 . 2009-08-05 21:30	--------	d-----w-	c:\programme\Windows Desktop Search
2009-08-04 08:02 . 2009-08-04 08:02	--------	d-----w-	c:\windows\system32\GroupPolicy
2009-08-04 08:01 . 2008-03-07 17:02	98304	-c----w-	c:\windows\system32\dllcache\nlhtml.dll
2009-08-04 08:01 . 2008-03-07 17:02	29696	-c----w-	c:\windows\system32\dllcache\mimefilt.dll
2009-08-04 08:01 . 2008-03-07 17:02	192000	-c----w-	c:\windows\system32\dllcache\offfilt.dll
2009-07-28 14:48 . 2009-07-28 14:53	--------	d-----w-	c:\dokumente und einstellungen\...\Anwendungsdaten\Notepad++

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-08-23 13:33 . 2008-12-25 21:30	75416	----a-w-	c:\dokumente und einstellungen\...\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-08-23 13:24 . 2004-08-04 12:00	90920	----a-w-	c:\windows\system32\perfc007.dat
2009-08-23 13:24 . 2004-08-04 12:00	476804	----a-w-	c:\windows\system32\perfh007.dat
2009-08-23 13:16 . 2009-02-16 19:26	--------	d-----w-	c:\dokume~1\ALLUSE~1\ANWEND~1\Spybot - Search & Destroy
2009-08-22 14:12 . 2009-07-09 20:04	--------	d-----w-	c:\dokumente und einstellungen\...\Anwendungsdaten\vlc
2009-08-21 11:51 . 2008-12-25 15:08	--------	d-----w-	c:\dokumente und einstellungen\...\Anwendungsdaten\Skype
2009-08-21 11:00 . 2009-08-21 11:00	784796	----a-w-	c:\windows\system32\xa.tmp
2009-08-21 10:36 . 2008-12-25 15:09	--------	d-----w-	c:\dokumente und einstellungen\...\Anwendungsdaten\skypePM
2009-08-21 09:20 . 2002-01-01 00:44	90112	----a-w-	c:\windows\DUMP37c9.tmp
2009-08-21 07:09 . 2002-01-01 00:44	90112	----a-w-	c:\windows\DUMP3364.tmp
2009-08-20 17:18 . 2009-02-07 21:04	--------	d-----w-	c:\dokumente und einstellungen\...\Anwendungsdaten\dvdcss
2009-08-14 19:26 . 2008-01-25 00:53	--------	d--h--w-	c:\programme\InstallShield Installation Information
2009-08-14 18:29 . 2008-01-25 00:52	--------	d-----w-	c:\programme\Gemeinsame Dateien\InstallShield
2009-08-14 16:52 . 2009-01-17 10:47	--------	d-----w-	c:\programme\Gemeinsame Dateien\Logitech
2009-08-14 13:26 . 2009-03-02 17:31	--------	d-----w-	c:\dokumente und einstellungen\...\Anwendungsdaten\U3
2009-08-14 13:23 . 2009-04-15 15:15	--------	d-----w-	c:\dokume~1\ALLUSE~1\ANWEND~1\VMware
2009-08-13 21:55 . 2008-12-29 10:15	664	----a-w-	c:\windows\system32\d3d9caps.dat
2009-08-13 20:33 . 2009-04-15 16:57	--------	d-----w-	c:\dokumente und einstellungen\...\Anwendungsdaten\VMware
2009-08-12 20:16 . 2008-12-25 15:45	--------	d-----w-	c:\dokume~1\ALLUSE~1\ANWEND~1\Microsoft Help
2009-08-07 08:18 . 2009-02-27 22:45	--------	d-----w-	c:\programme\Java
2009-08-05 09:17 . 2009-03-19 18:54	55656	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2009-08-05 08:59 . 2004-08-04 12:00	206336	----a-w-	c:\windows\system32\mswebdvd.dll
2009-07-31 20:18 . 2008-12-29 23:33	1	----a-w-	c:\dokumente und einstellungen\...\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2009-07-26 23:47 . 2009-06-19 15:42	--------	d-----w-	c:\dokumente und einstellungen\...\Anwendungsdaten\Audacity
2009-07-25 03:23 . 2009-02-27 22:45	411368	----a-w-	c:\windows\system32\deploytk.dll
2009-07-22 14:13 . 2009-07-22 14:11	--------	d-----w-	c:\programme\Virtual Earth 3D
2009-07-19 15:45 . 2009-07-19 15:45	--------	d-----w-	c:\programme\ElcomSoft
2009-07-17 19:01 . 2004-08-04 12:00	58880	----a-w-	c:\windows\system32\atl.dll
2009-07-16 07:40 . 2009-07-16 07:40	9216	----a-w-	c:\dokumente und einstellungen\...\Anwendungsdaten\Trillian\languages\DE\Events.dll
2009-07-16 07:40 . 2009-07-16 07:40	7680	----a-w-	c:\dokumente und einstellungen\...\Anwendungsdaten\Trillian\languages\DE\Talk.dll
2009-07-16 07:40 . 2009-07-16 07:40	7168	----a-w-	c:\dokumente und einstellungen\...\Anwendungsdaten\Trillian\languages\DE\Trillian.dll
2009-07-16 07:40 . 2009-07-16 07:40	2048	----a-w-	c:\dokumente und einstellungen\...\Anwendungsdaten\Trillian\languages\DE\Toolkit.dll
2009-07-16 07:40 . 2009-07-16 07:40	10240	----a-w-	c:\dokumente und einstellungen\...\Anwendungsdaten\Trillian\languages\DE\Buddy.dll
2009-07-12 19:18 . 2009-07-12 19:18	--------	d-----w-	c:\programme\MSECache
2009-07-12 17:36 . 2009-07-12 17:36	--------	d-----w-	c:\programme\Mplayer
2009-07-12 13:27 . 2009-07-12 13:21	--------	d-----w-	c:\dokumente und einstellungen\...\Anwendungsdaten\sim
2009-07-12 10:21 . 2004-08-04 12:00	233472	----a-w-	c:\windows\system32\wmpdxm.dll
2009-07-03 16:55 . 2004-08-04 12:00	915456	----a-w-	c:\windows\system32\wininet.dll
2009-07-01 19:47 . 2009-07-01 19:47	831081	----a-w-	C:\Umweltrecht.zip
2009-06-30 19:52 . 2009-02-06 19:17	--------	d-----w-	c:\dokumente und einstellungen\...\Anwendungsdaten\Miranda
2009-06-25 08:25 . 2004-08-04 12:00	737792	----a-w-	c:\windows\system32\lsasrv.dll
2009-06-25 08:25 . 2004-08-04 12:00	56832	----a-w-	c:\windows\system32\secur32.dll
2009-06-25 08:25 . 2004-08-04 12:00	54272	----a-w-	c:\windows\system32\wdigest.dll
2009-06-25 08:25 . 2004-08-04 12:00	301568	----a-w-	c:\windows\system32\kerberos.dll
2009-06-25 08:25 . 2004-08-04 12:00	147456	----a-w-	c:\windows\system32\schannel.dll
2009-06-25 08:25 . 2004-08-04 12:00	136192	----a-w-	c:\windows\system32\msv1_0.dll
2009-06-24 11:18 . 2004-08-04 12:00	92928	----a-w-	c:\windows\system32\drivers\ksecdd.sys
2009-06-16 14:36 . 2004-08-04 12:00	81920	----a-w-	c:\windows\system32\fontsub.dll
2009-06-16 14:36 . 2004-08-04 12:00	119808	----a-w-	c:\windows\system32\t2embed.dll
2009-06-15 10:43 . 2004-08-04 12:00	78848	----a-w-	c:\windows\system32\telnet.exe
2009-06-15 10:43 . 2004-08-04 12:00	82944	----a-w-	c:\windows\system32\tlntsess.exe
2009-06-10 14:13 . 2004-08-04 12:00	85504	----a-w-	c:\windows\system32\avifil32.dll
2009-06-10 07:19 . 2008-01-24 23:59	2066432	----a-w-	c:\windows\system32\mstscax.dll
2009-06-10 06:14 . 2004-08-04 12:00	132096	----a-w-	c:\windows\system32\wkssvc.dll
2009-06-03 19:09 . 2004-08-04 12:00	1296896	----a-w-	c:\windows\system32\quartz.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"VirtualDiskAutomount"="d:\totalcmd\Plugins\VirtualDisk\VirtualDisk.wfx" [2006-05-28 139264]
"SpybotSD TeaTimer"="d:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NVMixerTray"="c:\programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe" [2004-06-03 131072]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-10-22 7700480]
"Acrobat Assistant 7.0"="d:\programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" [2004-12-14 483328]
"AdobeCS4ServiceManager"="c:\programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe" [2008-08-14 611712]
"openvpn-gui"="c:\programme\OpenVPN\bin\openvpn-gui.exe" [2005-08-18 99328]
"Start WingMan Profiler"="c:\programme\Logitech\Gaming Software\LWEMon.exe" [2008-04-04 88584]
"Ptipbmf"="ptipbmf.dll" - c:\windows\system32\ptipbmf.dll [2003-06-05 118784]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2006-10-22 1622016]
"NvMediaCenter"="NvMCTray.dll" - c:\windows\system32\nvmctray.dll [2006-10-22 86016]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokume~1\ALLUSE~1\STARTM~1\PROGRA~1\AUTOST~1\
Adobe Acrobat - Schnellstart.lnk - c:\windows\Installer\{AC76BA86-1033-F400-7760-000000000002}\SC_Acrobat.exe [2008-12-26 25214]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 304128]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"d:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"d:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"d:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"d:\\Programme\\Trillian\\trillian.exe"=
"d:\\totalcmd\\TOTALCMD.EXE"=
"c:\\Programme\\OpenVPN\\bin\\openvpn.exe"=
"e:\\ablage\\HFS\\hfs.exe"=
"d:\\Programme\\Miranda IM\\miranda32.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Adobe\\CS4ServiceManager\\CS4ServiceManager.exe"=
"d:\\Programme\\SIM\\sim.exe"=
"e:\\Programme\\Quake III Arena\\quake3.exe"=
"y:\\ablage\\HFS-DataServer\\hfs.exe"=
"e:\\Programme\\Q2_nuclearW\\quake2.exe"=
"d:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009
"5353:TCP"= 5353:TCP:*:Disabled:Adobe CSI CS4

R1 nltdi;nltdi;c:\windows\system32\drivers\nltdi.sys [23.04.2007 13:03 82200]
R1 VD_FileDisk;VD_FileDisk;c:\windows\system32\drivers\vd_filedisk.sys [14.08.2009 19:32 15872]
R3 tap0801;TAP-Win32 Adapter V8;c:\windows\system32\drivers\tap0801.sys [01.10.2006 15:37 26624]
S3 INIDVD;Initio USB DVD Filter Driver;c:\windows\system32\drivers\inidvd.sys [26.03.2009 20:47 7936]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKCU-RunOnce-Shockwave Updater - c:\windows\system32\Adobe\SHOCKW~1\SWHELP~1.EXE -Update -1103472 -Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.9.0.11)


.
------- Zusätzlicher Suchlauf -------
.
IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - d:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - d:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Auswahl in Adobe PDF konvertieren - d:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Auswahl in vorhandene PDF-Datei konvertieren - d:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: In Adobe PDF konvertieren - d:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: In vorhandene PDF-Datei konvertieren - d:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Nach Microsoft E&xel exportieren - d:\progra~1\MICROS~1\Office12\EXCEL.EXE/3000
IE: Verknüpfungsziel in Adobe PDF konvertieren - d:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - d:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
TCP: {C2ED0A20-0B3E-4084-9AA5-D5C61083FB23} = 192.168.0.1
FF - ProfilePath - c:\dokume~1\...\ANWEND~1\Mozilla\Firefox\Profiles\ttzk0tuv.default\
FF - prefs.js: browser.search.selectedEngine - Wikipedia (de)
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - component: c:\dokumente und einstellungen\...\Anwendungsdaten\Mozilla\Firefox\Profiles\ttzk0tuv.default\extensions\{a7c6cf7f-112c-4500-a7ea-39801a327e5f}\platform\WINNT_x86-msvc\components\ipc.dll
FF - plugin: c:\programme\Virtual Earth 3D\npVE3D.dll
FF - plugin: d:\programme\Adobe\Acrobat 7.0\Acrobat\browser\nppdf32.dll
FF - plugin: d:\programme\Mozilla Firefox\plugins\npicaN.dll
FF - plugin: d:\programme\Real Alternative\browser\plugins\nppl3260.dll
FF - plugin: d:\programme\Real Alternative\browser\plugins\nprpjplug.dll
FF - plugin: d:\programme\VideoLAN\VLC\npvlc.dll

---- FIREFOX Richtlinien ----
d:\programme\Mozilla Firefox\greprefs\all.js - pref("media.enforce_same_site_origin", false);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("media.cache_size", 51200);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("media.ogg.enabled", true);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("media.wave.enabled", true);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("media.autoplay.enabled", true);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.urlbar.autocomplete.enabled", true);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("capability.policy.mailnews.*.wholeText", "noAccess");
d:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.storage.default_quota",      5120);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("content.sink.event_probe_rate", 3);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("network.h**p.prompt-temp-redirect", true);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("layout.css.dpi", -1);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("layout.css.devPixelsPerPx", -1);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("gestures.enable_single_finger_input", true);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.max_chrome_script_run_time", 0);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("network.tcp.sendbuffer", 131072);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("geo.enabled", true);
d:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.remember_cert_checkbox_default_setting", true);
d:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr", "moz35");
d:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-cjkt", "moz35");
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.blocklist.level", 2);
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.restrict.typed", "~");
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.default.behavior", 0);
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.history",     true);
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.formdata",    true);
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.passwords",   false);
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.downloads",   true);
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cookies",     true);
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cache",       true);
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.sessions",    true);
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.offlineApps", false);
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.siteSettings", false);
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.history",                 true);
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.formdata",                true);
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.passwords",               false);
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.downloads",               true);
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cookies",                 true);
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cache",                   true);
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.sessions",                true);
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.offlineApps",             false);
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.siteSettings",            false);
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.sanitize.migrateFx3Prefs",    false);
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.ssl_override_behavior", 2);
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("security.alternate_certificate_error_page", "certerror");
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.autostart", false);
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.dont_prompt_on_enter", false);
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("geo.wifi.uri", "h**ps://www.google.com/loc/json");
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net
Rootkit scan 2009-08-23 17:43
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\INIDVD]
"ImagePath"=multi:"system32\DRIVERS\inidvd.sys\00"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\INIDVD]
"ImagePath"=multi:"system32\DRIVERS\inidvd.sys\00"
.
Zeit der Fertigstellung: 2009-08-23 17:44
ComboFix-quarantined-files.txt  2009-08-23 15:44

Vor Suchlauf: 7 Verzeichnis(se), 104.233.467.904 Bytes frei
Nach Suchlauf: 7 Verzeichnis(se), 104.231.747.584 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

268	--- E O F ---	2009-08-23 13:26

john.doe · 23.08.2009, 17:07

Kennst du diese Datei? C:\pack.zip

Hast du folgende Hardware? Initio USB DVD

Deinstalliere Spybot.

ciao, andreas

Michi · 23.08.2009, 17:21

Hallo,

ja in pack.zip waren ein paar Dateien, die ich auf nen Filehoster "sichern" wollte. Das mit dem "Initio USB DVD" könnte hin hauen. Ich hab vor ComboFix alle USB Geräte eingesteckt, aber mir fällt auf, dass nur der USB Stecker im Laufwerk steckt, jedoch nicht das Netzteilkabel. Es könnte also der USB<->SATA Controller im USB DVD-Laufwerk sein.
Spybot hab ich deinstalliert!

Besten Dank,

Michael

john.doe · 23.08.2009, 17:28

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Doppelklick auf die OTL.exe
Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
Setze ein Häckchen bei Scan All Users.
Unter Standard Registry wähle bitte All
Unter Extra Registry, wähle bitte Use SafeList
Schliesse bitte alle laufenden Programme.
Klicke nun auf Run Scan ( links oben ).
Wenn der Scan beendet wurde werden 2 Logfiles auf dem Desktop erstellt
Poste den Inhalt von OTL.txt und Extra.txt hier in den Thread.

ciao, andreas

Michi · 23.08.2009, 18:02

Hallo,

soll ich bei Processes, Services und Drivers "None" auswählen oder so wie es voreingestellt ist. So wie es jetzt ist, sin die logs zu lang fürs Forum

Gruß,

Michael

john.doe · 23.08.2009, 18:09

Solange ich die Listings lese und das Script bastele, kannst du schonmal scannen.

1.) http://www.trojaner-board.de/51871-a...tispyware.html

2.) http://www.trojaner-board.de/51187-a...i-malware.html

ciao, andreas

Edit: Kannst du dir sparen.

Zitat:

O1 - Hosts: 127.0.0.1 activate.adobe.com

Alle, die gestohlene Software besitzen, dürfen => http://www.trojaner-board.de/51262-a...sicherung.html

Du bist entlassen und ich bin raus,
andreas

"Win32.Trojan.Tdss" in system32-Ordner von WinXP SP3

Plagegeister aller Art und deren Bekämpfung: "Win32.Trojan.Tdss" in system32-Ordner von WinXP SP3