Hallo liebe Community,

nachdem mein AntiVir gestern Nacht die folgenden Meldungen verzeichnet hat (wurden in die Quarantäne verschoben), poppt der Internet Explorer regelmäßig mit dubiosen Seiten auf, welche zu 99% Werbung enthalten.

Die beiden Funde von AntiVir:

In der Datei 'C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0DWSJTJQ\adframe2[2].php'
wurde ein Virus oder unerwünschtes Programm 'HTML/Infected.WebPage.Gen' [virus] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben

UND

In der Datei 'C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0DWSJTJQ\adframe2[2].php'
wurde ein Virus oder unerwünschtes Programm 'HTML/Infected.WebPage.Gen' [virus] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben

Anscheinend wurde das Problem nicht mit dem Verschieben in die Quarantäne behoben, daher habe ich HijackThis durchgeführt und hoffe ihr könnt mir bei meinem Problem helfen.
Zuvor habe ich einen kompletten AntiVir Scan durchgeführt sowie den CCleaner rüberlaufen lassen.

hijackthis Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:04:16, on 22.10.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\VIA\RAID\raid_tool.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\msa.exe
C:\DOKUME~1\****\LOKALE~1\Temp\b.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\Windows Live\Contacts\wlcomm.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [RaidTool] C:\Programme\VIA\RAID\raid_tool.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [PopRock] C:\DOKUME~1\****\LOKALE~1\Temp\b.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Save YouTube Video as MP3 - res://C:\Programme\Gemeinsame Dateien\DVDVideoSoft\Dll\IEContextMenuY.dll/scriptY2MP3.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1247943300671
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O24 - Desktop Component 0: (no name) - (no file)

--
End of file - 4743 bytes

Hallo und

Bitte diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!!
Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.

Hallo und Herzlich Willkommen!

Leider hast Du mehr drauf, als nur das was dein Avira gefunden hat bzw Du uns gepostet hast

Zitat:

Wenn ein System kompromittiert wurde, ist das System nicht mehr vertrauenswürdig
Eine Neuinstallation garantiert die rückstandsfreie Entfernung der Infektion - Sicherheitskonzept v. SETI@home/Punkt 1.

Falls du doch für die Systemreinigung entscheidest - Ein System zu bereinigen kann ein paar Tage dauern (je nach Art der Infektion), kann aber sogar so stark kompromittiert sein, so dass eine wirkungsvolle technische Säuberung ist nicht mehr möglich bzw Du es neu installieren musst::

- Aber bevor wir mit eine langweilige Säuberungs-Prozedur beginnen, versuche bitte folgendes:
Gibt es einen "relativ einfachen Weg",wenn eine frische Infektion vorliegt,oder mal bestimmte Probleme bekommt man auch gelöst, was man sogleich ausprobieren sollte:

Zitat:

Windows ME,XP u. Vista enthält ein Programm zur Systemwiederherstellung ( Damit lässt sich das System auf einen früheren Zeitpunkt zurücksetzen ,wo noch alles einwandfrei funktioniert. Die Systemwiederherstellung betrifft nur Systemeinstellungen.(programme die in der zwischenzeit installiert wurden gehen dabei verloren. man kann diesen vorgang auch wieder rückgängig machen, sollte man keinen erfolg damit erzielt haben.)
Du findest das Programm zur Systemwiederherstellung : Start/Programme/Zubehör/Systemprogramme/Systemwiederherstellung
Beim Ausführen der Systemwiederherstellung gehen keine persönlichen Dateien oder Kennwörter verloren. Dokumente, E-Mail-Nachrichten, Browserverlaufsdateien und die eingegebenen Kennwörter werden gespeichert, wenn Sie mithilfe der Systemwiederherstellung einen früheren Zustand wiederherstellen.
Die Systemwiederherstellung schützt Ihre persönlichen Dateien, indem Dateien im Ordner Eigene Dateien nicht wiederhergestellt werden. Darüber hinaus werden keine Dateien mit bekannten Dateinamenerweiterungen, wie DOC oder XLS, wiederhergestellt. Falls Sie nicht sicher sind, ob Ihre persönlichen Dateien bekannte Dateierweiterungen aufweisen, und Sie diese von der Systemwiederherstellung ausschließen möchten, speichern Sie sie im Ordner Eigene Dateien.
Falls ein Programm nach dem ausgewählten Wiederherstellungspunkt installiert wurde, kann das Programm im Rahmen der Wiederherstellung deinstalliert werden. Die mit diesem Programm erstellten Datendateien gehen nicht verloren. Um die Dateien wieder öffnen zu können, müssen Sie jedoch das entsprechende Programm erneut installieren.

Zitat:

Windows erstellt automatisch alle 24 Stunden automatisch einen Wiederherstellungspunkt -
Automatisch erstellte Wiederherstellungspunkte - bei Treiberinstallationen auch
Wiederherstellungspunkte (RP) werden erstellt, damit Benutzer zu früheren Systemzuständen zurückkehren können. Jeder Wiederherstellungspunkt erfasst die erforderlichen Daten für eine Wiederherstellung eines bestimmten Systemzustands. Wiederherstellungspunkte werden vor größeren Änderungen im System erstellt. Da diese Punkte automatisch erstellt werden, müssen Benutzer sie nicht manuell erzeugen (sofern sie dies nicht bewusst möchten).

Setzt doch dein Windows über die Systemwiederherstellung ganz zurück (falls nötig kannst Du es im abgesicherten Modus [F8] auch ausführen:
(drücke beim Hochfahren des Rechners [F8] solange, bis du eine Auswahlmöglichkeit hast, da "abgesicherten Modus " wählen)

Auf jeden Fall positive als auch negative Rückmeldungen erwünscht

** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw

gruß
Cf

Hallo nochmal,

danke euch beiden für eure Antworten. Den Schritt zur Neuinstallation möchte ich nur ungern gehen. Wenn mir allerdings nichts anderes übrig bleibt werde ich es natürlich tun.

Hier die Logfiles von Malwarebytes und RSIT:

http://www.file-upload.net/download-1963343/Logfiles-.rar.html

Beim CrapCleaner wusste ich nicht wie ich eine Log-Datei erstellen kann, hab ihn aber trotzdem erneut durchgeführt, wobei er länger als sonst brauchte, da eine ganze Menge von IE Dateien gemeldet wurden, welche ich dann entfernt habe.

Sollte eure Auswertung ergeben, dass keine Besserung eingetreten ist werde ich die Version mit dem Systemwiederherstellungspunkt ausprobieren.

Vielen Dank im vorraus.

Lade dir Lop S&D herunter.

Führe Lop S&D.exe per Doppelklick aus.
Wähle die Sprache deiner Wahl und anschließend die Option 1.
Warte bis der Scanbericht erstellt wird und poste ihn hier (Du findest ihn unter C:\lopR.txt, sollte der Bericht nicht erscheinen).

Hier der LopSD Logfile:

Code: Alles auswählenAufklappen

ATTFilter

 --------------------\\  Lop S&D 4.2.5-0   XP/Vista

   Microsoft Windows XP Home Edition ( v5.1.2600 ) Service Pack 3
   X86-based PC ( Multiprocessor Free :               Intel(R) Pentium(R) 4 CPU 3.00GHz )
   BIOS : Default System BIOS
   USER : **** ( Administrator )
   BOOT : Normal boot
   Antivirus : AntiVir Desktop 9.0.1.32 (Activated)
   A:\ (USB)
   C:\ (Local Disk) - NTFS - Total:11 Go (Free:1 Go)
   D:\ (CD or DVD)
   E:\ (Local Disk) - NTFS - Total:137 Go (Free:94 Go)
   F:\ (CD or DVD)

   "C:\Lop SD" ( MAJ : 19-12-2008|23:40 )
   Option : [1] ( 23.10.2009|15:50 )
 
   --------------------\\  Ordner Verzeichnis unter ANWEND~1

   [26.08.2009|14:28] C:\DOKUME~1\ALLUSE~1\ANWEND~1\{55A29068-F2CE-456C-9148-C869879E2357}
   [19.07.2009|14:52] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Adobe
   [18.07.2009|23:07] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Avira
   [24.08.2009|21:57] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Blizzard
   [25.08.2009|03:07] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Blizzard Entertainment
   [20.07.2009|11:02] C:\DOKUME~1\ALLUSE~1\ANWEND~1\DAEMON Tools Lite
   [28.07.2009|16:17] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Malwarebytes
   [20.07.2009|22:51] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Messenger Plus!
   [16.08.2009|14:02] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Microsoft
   [19.07.2009|14:45] C:\DOKUME~1\ALLUSE~1\ANWEND~1\NOS
   [20.07.2009|14:40] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Trymedia
   [26.08.2009|14:28] C:\DOKUME~1\ALLUSE~1\ANWEND~1\TuneUp Software
   [18.07.2009|21:02] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Windows Genuine Advantage
   [0|Datei(en)] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Bytes
   [15|Verzeichnis(se),] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Bytes frei

   [18.07.2009|20:22] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Microsoft
   [0|Datei(en)] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Bytes
   [3|Verzeichnis(se),] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Bytes frei

   [23.07.2009|14:45] C:\DOKUME~1\****\ANWEND~1\Adobe
   [20.07.2009|11:04] C:\DOKUME~1\****\ANWEND~1\DAEMON Tools Lite
   [18.07.2009|20:44] C:\DOKUME~1\****\ANWEND~1\Help
   [11.09.2009|00:59] C:\DOKUME~1\****\ANWEND~1\HLSW
   [18.07.2009|20:32] C:\DOKUME~1\****\ANWEND~1\Identities
   [19.07.2009|14:06] C:\DOKUME~1\****\ANWEND~1\Macromedia
   [28.07.2009|16:18] C:\DOKUME~1\****\ANWEND~1\Malwarebytes
   [04.08.2009|00:39] C:\DOKUME~1\****\ANWEND~1\Microsoft
   [18.07.2009|22:54] C:\DOKUME~1\****\ANWEND~1\Mozilla
   [05.09.2009|13:04] C:\DOKUME~1\****\ANWEND~1\OpenOffice.org
   [19.07.2009|15:05] C:\DOKUME~1\****\ANWEND~1\Sun
   [20.10.2009|23:44] C:\DOKUME~1\****\ANWEND~1\teamspeak2
   [26.08.2009|14:29] C:\DOKUME~1\****\ANWEND~1\TuneUp Software
   [12.09.2009|23:11] C:\DOKUME~1\****\ANWEND~1\uTorrent
   [21.10.2009|23:34] C:\DOKUME~1\****\ANWEND~1\vlc
   [19.07.2009|21:42] C:\DOKUME~1\****\ANWEND~1\WinRAR
   [0|Datei(en)] C:\DOKUME~1\****\ANWEND~1\Bytes
   [18|Verzeichnis(se),] C:\DOKUME~1\****\ANWEND~1\Bytes frei

   [18.07.2009|20:22] C:\DOKUME~1\LOCALS~1\ANWEND~1\Microsoft
   [0|Datei(en)] C:\DOKUME~1\LOCALS~1\ANWEND~1\Bytes
   [3|Verzeichnis(se),] C:\DOKUME~1\LOCALS~1\ANWEND~1\Bytes frei

   [18.07.2009|20:22] C:\DOKUME~1\NETWOR~1\ANWEND~1\Microsoft
   [0|Datei(en)] C:\DOKUME~1\NETWOR~1\ANWEND~1\Bytes
   [3|Verzeichnis(se),] C:\DOKUME~1\NETWOR~1\ANWEND~1\Bytes frei
 
   --------------------\\  Geplante Aufgaben unter C:\WINDOWS\Tasks

   [23.10.2009 13:44][--ah-----] C:\WINDOWS\tasks\SA.DAT
   [28.02.2006 14:00][-r-h-----] C:\WINDOWS\tasks\desktop.ini

   --------------------\\  Ordner Verzeichnis unter C:\Programme

   [19.07.2009|14:51] C:\Programme\Adobe
   [30.07.2009|18:04] C:\Programme\ATI Technologies
   [18.07.2009|23:07] C:\Programme\Avira
   [19.07.2009|14:25] C:\Programme\CCleaner
   [18.07.2009|21:06] C:\Programme\C-Media 3D Audio
   [18.07.2009|20:18] C:\Programme\ComPlus Applications
   [19.07.2009|15:46] C:\Programme\Creative
   [31.07.2009|13:47] C:\Programme\DAEMON Tools Toolbar
   [14.08.2009|15:50] C:\Programme\directx
   [26.09.2009|18:44] C:\Programme\DivX
   [24.08.2009|16:50] C:\Programme\Gemeinsame Dateien
   [17.08.2009|19:45] C:\Programme\InstallShield Installation Information
   [14.10.2009|03:04] C:\Programme\Internet Explorer
   [05.08.2009|14:29] C:\Programme\Java
   [08.10.2009|20:35] C:\Programme\JRE
   [23.10.2009|01:54] C:\Programme\Malwarebytes' Anti-Malware
   [26.09.2009|18:44] C:\Programme\Messenger
   [19.07.2009|20:20] C:\Programme\Messenger Plus! Live
   [01.10.2009|23:32] C:\Programme\Microsoft
   [18.07.2009|20:22] C:\Programme\microsoft frontpage
   [18.07.2009|22:05] C:\Programme\Movie Maker
   [23.10.2009|15:19] C:\Programme\Mozilla Firefox
   [18.07.2009|20:16] C:\Programme\MSN
   [18.07.2009|20:17] C:\Programme\MSN Gaming Zone
   [18.07.2009|21:59] C:\Programme\NetMeeting
   [19.07.2009|14:45] C:\Programme\NOS
   [18.07.2009|20:17] C:\Programme\Online Services
   [18.07.2009|20:20] C:\Programme\Online-Dienste
   [08.10.2009|20:35] C:\Programme\OpenOffice.org 3
   [12.08.2009|16:53] C:\Programme\Outlook Express
   [26.09.2009|11:32] C:\Programme\TuneUp Utilities 2009
   [18.07.2009|20:32] C:\Programme\Uninstall Information
   [19.07.2009|14:04] C:\Programme\VIA
   [19.07.2009|20:16] C:\Programme\Windows Live
   [19.07.2009|20:15] C:\Programme\Windows Live SkyDrive
   [26.09.2009|18:44] C:\Programme\Windows Media Connect 2
   [22.07.2009|14:03] C:\Programme\Windows Media Player
   [18.07.2009|21:59] C:\Programme\Windows NT
   [18.07.2009|20:20] C:\Programme\WindowsUpdate
   [19.07.2009|14:25] C:\Programme\WinRAR
   [18.07.2009|20:22] C:\Programme\xerox
   [0|Datei(en)] C:\Programme\Bytes
   [43|Verzeichnis(se),] C:\Programme\Bytes frei

   --------------------\\  Ordner Verzeichnis unter C:\Programme\Gemeinsame Dateien

   [19.07.2009|14:52] C:\Programme\Gemeinsame Dateien\Adobe
   [24.08.2009|16:50] C:\Programme\Gemeinsame Dateien\Blizzard Entertainment
   [18.07.2009|20:19] C:\Programme\Gemeinsame Dateien\Dienste
   [19.07.2009|14:50] C:\Programme\Gemeinsame Dateien\DivX Shared
   [17.08.2009|19:50] C:\Programme\Gemeinsame Dateien\DVDVideoSoft
   [19.07.2009|14:03] C:\Programme\Gemeinsame Dateien\InstallShield
   [26.08.2009|18:23] C:\Programme\Gemeinsame Dateien\Microsoft Shared
   [18.07.2009|20:19] C:\Programme\Gemeinsame Dateien\MSSoap
   [18.07.2009|21:09] C:\Programme\Gemeinsame Dateien\ODBC
   [18.07.2009|21:09] C:\Programme\Gemeinsame Dateien\SpeechEngines
   [18.07.2009|21:59] C:\Programme\Gemeinsame Dateien\System
   [19.07.2009|20:12] C:\Programme\Gemeinsame Dateien\Windows Live
   [0|Datei(en)] C:\Programme\Gemeinsame Dateien\Bytes
   [14|Verzeichnis(se),] C:\Programme\Gemeinsame Dateien\Bytes frei

   --------------------\\  Process

   ( 31 Processes )

   ... OK !

   --------------------\\  Ueberpruefung mit S_Lop

   Kein Lop Ordner gefunden !
 
   --------------------\\  Suche nach Lop Dateien - Ordnern

   Kein Lop Ordner gefunden ! 
 
   --------------------\\  Suche innerhalb der Registry
 
   ..... OK !

   --------------------\\  Ueberpruefung der Hosts Datei

   Hosts Datei SAUBER


   --------------------\\  Suche nach verborgenen Dateien mit Catchme
 
   catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
   Rootkit scan 2009-10-23 15:51:15
   Windows 5.1.2600 Service Pack 3 NTFS
   scanning hidden processes ...
   scanning hidden files ...
   scan completed successfully
   hidden processes: 0
   hidden files: 0
 
   --------------------\\  Suche nach anderen Infektionen


   Kein anderen Infektionen gefunden !

   [F:258][D:6]-> C:\DOKUME~1\Leon\LOKALE~1\Temp
   [F:1][D:0]-> C:\DOKUME~1\Leon\Cookies
   [F:6][D:4]-> C:\DOKUME~1\Leon\LOKALE~1\TEMPOR~1\content.IE5

   1 - "C:\Lop SD\LopR_1.txt" - 23.10.2009|15:52 - Option : [1]

   --------------------\\  Scan beendet um 15:52:03
         

Code: Alles auswählenAufklappen

ATTFilter

S3 ab34wcrz;ab34wcrz; C:\WINDOWS\system32\drivers\ab34wcrz.sys []
         

Hattest Du mal die Daemon-Tools (für virtuelle CD/DVDROM Laufwerke) installiert gehabt? Die erzeugen nämlich solche kryptischen Dateinamen nach einem bestimmten Muster, die virtuellen Geräte bekommen dann als Gerätenamen den Namen dieser sys Datei.

Ja, Daemon Tools hatte ich installiert. Habe ich aber ewig nicht benutzt und auch jetzt gerade deinstalliert.

Gibt es noch etwas das ich tun kann?

Ach ja klar, da stehts da auch im lopr-Logfile

Code: Alles auswählenAufklappen

ATTFilter

[20.07.2009|11:02] C:\DOKUME~1\ALLUSE~1\ANWEND~1\DAEMON Tools Lite
         

Du könntest mal einen Durchlauf mit Combofix machen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

So habe die CCleaner Systembereinigung durchgeführt und daraufhin der Anleitung entsprechend das CombiFix Log erstellt.

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 09-10-22.01 - Leon 23.10.2009 21:30.1.2 - NTFSx86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.1535.1089 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\****\Desktop\cofi.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\desktop
c:\windows\desktop\Daten\mp3\vids\intro.mpeg

.
(((((((((((((((((((((((   Dateien erstellt von 2009-09-23 bis 2009-10-23  ))))))))))))))))))))))))))))))
.

2009-10-23 13:49 . 2009-10-23 13:52	--------	d-----w-	C:\Lop SD
2009-10-23 00:31 . 2009-10-23 00:34	--------	d-----w-	C:\rsit
2009-10-22 23:54 . 2009-09-10 12:54	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2009-10-22 23:54 . 2009-10-22 23:54	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2009-10-22 23:54 . 2009-09-10 12:53	19160	----a-w-	c:\windows\system32\drivers\mbam.sys
2009-10-08 18:35 . 2009-10-08 18:35	--------	d-----w-	c:\programme\JRE
2009-10-01 21:32 . 2009-10-01 21:32	--------	d-----w-	c:\programme\Microsoft
2009-09-27 21:18 . 2009-10-21 21:34	--------	d-----w-	c:\dokumente und einstellungen\****\Anwendungsdaten\vlc

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-10-23 16:01 . 2009-08-26 12:27	--------	d-----w-	c:\dokumente und einstellungen\****\Anwendungsdaten\teamspeak2
2009-10-08 20:58 . 2009-07-18 19:13	20328	----a-w-	c:\dokumente und einstellungen\****\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-10-08 18:35 . 2009-07-19 13:06	--------	d-----w-	c:\programme\OpenOffice.org 3
2009-09-26 16:44 . 2009-07-22 12:03	--------	d-----w-	c:\programme\Windows Media Connect 2
2009-09-26 16:44 . 2009-07-19 12:50	--------	d-----w-	c:\programme\DivX
2009-09-26 09:32 . 2009-08-26 12:28	--------	d-----w-	c:\programme\TuneUp Utilities 2009
2009-09-12 21:11 . 2009-07-19 22:47	--------	d-----w-	c:\dokumente und einstellungen\****\Anwendungsdaten\uTorrent
2009-09-11 14:17 . 2006-02-28 12:00	136192	----a-w-	c:\windows\system32\msv1_0.dll
2009-09-10 22:59 . 2009-08-26 16:22	--------	d-----w-	c:\dokumente und einstellungen\****\Anwendungsdaten\HLSW
2009-09-05 11:04 . 2009-09-05 11:04	--------	d-----w-	c:\dokumente und einstellungen\****\Anwendungsdaten\OpenOffice.org
2009-09-04 21:03 . 2006-02-28 12:00	58880	----a-w-	c:\windows\system32\msasn1.dll
2009-08-29 07:54 . 2006-02-28 12:00	916480	----a-w-	c:\windows\system32\wininet.dll
2009-08-26 12:29 . 2009-08-26 12:29	--------	d-----w-	c:\dokumente und einstellungen\****\Anwendungsdaten\TuneUp Software
2009-08-26 12:28 . 2009-08-26 12:28	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software
2009-08-26 12:28 . 2009-08-26 12:28	--------	d-sh--w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\{55A29068-F2CE-456C-9148-C869879E2357}
2009-08-26 08:00 . 2006-02-28 12:00	247326	----a-w-	c:\windows\system32\strmdll.dll
2009-08-25 01:07 . 2009-08-25 00:28	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Blizzard Entertainment
2009-08-24 19:57 . 2009-08-24 19:57	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Blizzard
2009-08-12 13:22 . 2009-07-18 21:07	55656	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2009-08-05 08:59 . 2006-02-28 12:00	206336	----a-w-	c:\windows\system32\mswebdvd.dll
2009-08-04 17:26 . 2006-02-28 12:00	2147840	----a-w-	c:\windows\system32\ntoskrnl.exe
2009-08-04 17:25 . 2004-08-04 00:50	2026496	----a-w-	c:\windows\system32\ntkrnlpa.exe
2009-07-30 16:07 . 2009-07-30 16:07	6820	----a-w-	c:\windows\system32\d3d9caps.dat
2009-07-30 16:02 . 2009-07-30 16:02	0	----a-w-	c:\windows\ativpsrm.bin
2009-07-26 14:44 . 2009-07-26 14:44	48448	----a-w-	c:\windows\system32\sirenacm.dll
2009-05-01 21:02 . 2009-05-01 21:02	1044480	----a-w-	c:\programme\mozilla firefox\plugins\libdivx.dll
2009-05-01 21:02 . 2009-05-01 21:02	200704	----a-w-	c:\programme\mozilla firefox\plugins\ssldivx.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2008-04-14 1695232]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-05-12 344064]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"RaidTool"="c:\programme\VIA\RAID\raid_tool.exe" [2005-06-20 1056768]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-07-25 149280]
" Malwarebytes Anti-Malware  (reboot)"="c:\programme\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"e:\\Programme\\uTorrent.exe"=
"e:\\Spiele\\WoW !!!!!!!!!!!!!!!!!!!!!!!!!\\WoW-3.2.0-deDE-downloader.exe"=
"e:\\Spiele\\WoW !!!!!!!!!!!!!!!!!!!!!!!!!\\Launcher.exe"=
"e:\\Spiele\\WoW !!!!!!!!!!!!!!!!!!!!!!!!!\\WoW-3.2.0.10192-to-3.2.0.10314-deDE-downloader.exe"=
"e:\\Programme\\Curse\\CurseClient.exe"=
"e:\\Spiele\\WoW !!!!!!!!!!!!!!!!!!!!!!!!!\\WoW-3.2.0.10314-to-3.2.2.10482-deDE-downloader.exe"=
"e:\\Spiele\\WoW !!!!!!!!!!!!!!!!!!!!!!!!!\\WoW-3.2.2.10482-to-3.2.2.10505-deDE-downloader.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [18.07.2009 23:07 108289]
S3 ASPI;Advanced SCSI Programming Interface Driver;c:\windows\system32\drivers\ASPI32.SYS [26.07.2009 18:21 16512]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
IE: Save YouTube Video as MP3 - c:\programme\Gemeinsame Dateien\DVDVideoSoft\Dll\IEContextMenuY.dll/scriptY2MP3.htm
FF - ProfilePath - c:\dokumente und einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\2xg5clut.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://de.start3.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:de:official
FF - prefs.js: keyword.URL - 

---- FIREFOX Richtlinien ----
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: nglayout.initialpaint.delay - 600
FF - user.js: content.notify.interval - 600000
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.switch.threshold - 600000
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-Cmaudio - cmicnfg.cpl



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-10-23 21:35
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
  RaidTool = c:\programme\VIA\RAID\raid_tool.exe???? 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(752)
c:\windows\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2009-10-23 21:37
ComboFix-quarantined-files.txt  2009-10-23 19:37

Vor Suchlauf: 1.667.678.208 Bytes frei
Nach Suchlauf: 1.649.065.984 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

- - End Of File - - C577F3BD543A60CA39A544AE544545B0
         

Nachdem CombiFix fertig war, wurde der Internet Explorer zum Standardbrowser. Ist das normal? Habe einfach Mozilla als Standardbrowser zurückgesetzt.

Dass ComboFix den Standardbrowser zurücksetzt, wäre mir neu, hat bisher auch keiner gemeldet

Wie ist es nun um Deinen PC bestellt? Tauchen noch Meldungen auf?

Code: Alles auswählenAufklappen

ATTFilter

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
         

Hast Du die Windows-Firewall abgestellt?

Code: Alles auswählenAufklappen

ATTFilter

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
         

Ich dachte damit sei auch die Windows Firewall eingeschlossen. Habe sie direkt danach wieder aktiviert und sie läuft auch sonst immer.

Nein, es sind keinerlei Meldungen mehr aufgetaucht und der IE ist auch seit dem Scan mit Malwarebytes nicht mehr aufgepoppt. Ich hoffe bzw. denke das sich das Thema damit erledigt hat

Sollte es doch noch zu Problemen kommen werde ich diesen Thread nochmal pushen.

Vielen Dank für deine kompetente Hilfe.

MfG

Hmm...anscheinend hat sich die Sache doch noch nicht erledigt.
Heute Abend wurden 2 weitere Fälle gefunden.Bedeutet das jetzt das es eine Backdoor in meinem System gibt oder sind das zwei neue Fälle (wobei ich seit den Scans mit Malwarebytes und co meinen Internetverkehr genau kontrolliert habe).

Funde von AntiVir:

In der Datei 'C:\System Volume Information\_restore{025FCA83-F438-465D-A958-843DCBED8F4F}\RP89\A0033240.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Trash.Gen' [trojan] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben

--------------------------------------------------------------------------

In der Datei 'C:\System Volume Information\_restore{025FCA83-F438-465D-A958-843DCBED8F4F}\RP89\A0033239.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Trash.Gen' [trojan] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben

EDIT: Habe vergessen das neue HijackThis Logfile anzuhängen.

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:56:51, on 26.10.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\VIA\RAID\raid_tool.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\Windows Live\Contacts\wlcomm.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [RaidTool] C:\Programme\VIA\RAID\raid_tool.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [ Malwarebytes Anti-Malware  (reboot)] "C:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Save YouTube Video as MP3 - res://C:\Programme\Gemeinsame Dateien\DVDVideoSoft\Dll\IEContextMenuY.dll/scriptY2MP3.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1247943300671
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O24 - Desktop Component 0: (no name) - (no file)

--
End of file - 4395 bytes
         

Ausserdem ist mir bei diversen Durchführungen vom CCleaner aufgefallen das folgender Eintrag wieder auftaucht, selbst wenn ich den Scan
mehrmals hinternander durchführe und diesen Eintrag damit entferne.

Fehler: Ungenutzte Datei-Endungen
Daten: {80b8c23c-16e0-4cd8-bbc3-cecec9a78b79}
Registry Schlüssel: HKCR\{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79}