Guten Tag!

Ich bin neu hier, kein Profi, aber beigeistert von der scheinbaren Fachkompetenz dieses Forums. Die würde ich gerne auch anzapfen:

Gestern warnte mich AVIRA AntiVir Personal plötzlich vor 'TR/Crypt.ZPACK.Gen' und schreibt zu dem Fund: " Die Datei 'C:\System Volume Information\_restore{58BE883D-80D6-475C-9890-D5C0D8FB3D8F} \RP371\A0123329.dll' enthielt einen Virus oder unerwünschtes Programm 'TR/Crypt.ZPACK.Gen' [trojan]. Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b458719.qua' verschoben!"

Bin dann nach Eurer Anleitung vorgegangen und hoffe nichts ausgelassen zu haben.
a) den CCleaner habe ich ausgeführt. Er hat auch einiges "beseitigt". Doch in der Registry war ein Fehler trotz zigfacher Versuche nicht zu beseitigen: "Ungenutzte Datei-Endungen {80b8c23c-16e0-4cd8-bbc3-cecec9a78b79} HKCR\{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79}"

b) Malwarebytes hat nichts gefundet, was mich dann ein wenig verwirrt hat. Hier der Report

Malwarebytes' Anti-Malware 1.41
Datenbank Version: 3267
Windows 5.1.2600 Service Pack 3

01.12.2009 14:00:38
mbam-log-2009-12-01 (14-00-38).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 210472
Laufzeit: 2 hour(s), 18 minute(s), 18 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


c) RSIT lieferte folgende Analyse-Logfiles
Anhang 4905

Anhang 4906

Herr Doktor: was fehlt mir? Im Ernst: was verbirgt sich hinter dem "Trojaner"? wie habe ich den AVIRA-Fund einzuschätzen, vor allen Dingen weil Malwarebytes nichts findet? Wie werde ich das Teil los? Löschen alleine über AVIRA hilft jedenfall nicht, er kommt wieder. Danke für Eure Hilfe vorab!!!!

Hallo und

Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien (sofern diese noch existieren) bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen. Du kannst auch einfach den Ergebnislink posten:

Code: Alles auswählenAufklappen

ATTFilter

C:\WINDOWS\System32\STEC3.sys
C:\WINDOWS\system32\Drivers\ATWPKT.SYS
C:\DOKUMENTE UND EINSTELLUNGEN\hb\Lokale Einstellungen\Temp\DMSKSSRh.sys
         

Lade dir danach Lop S&D herunter.

Führe Lop S&D.exe per Doppelklick aus. VISTA-User: Rechtsklick => Ausführen als Admin!!
Wähle die Sprache deiner Wahl und anschließend die Option 1.
Warte bis der Scanbericht erstellt wird und poste ihn hier (Du findest ihn unter C:\lopR.txt, sollte der Bericht nicht erscheinen).

OK!

Der Link zur Analyse von C:\WINDOWS\System32\STEC3.sys lautet:

http://www.virustotal.com/de/analisi...9bc-1259707808

Der Link zur Analyse von C:\WINDOWS\system32\Drivers\ATWPKT.SYS lautet:

http://www.virustotal.com/de/analisi...ff4-1251058702


C:\DOKUMENTE UND EINSTELLUNGEN\hb\Lokale Einstellungen\Temp\DMSKSSRh.sys existiert nicht (mehr)



Und der Report von LOPsd findet sich hier: Anhang 4913

Gruß
Hermann

Okay, sieht garnicht mal schlecht aus
Bitte mach nun einen Durchlauf mit Combofix:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Mit dem CCleaner war wie gehabt ein Fehler trotz erneuter vielfacher Versuche nicht zu beseitigen: "Ungenutzte Datei-Endungen {80b8c23c-16e0-4cd8-bbc3-cecec9a78b79} HKCR\{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79}.

-------------------------------------------------------------------------

ComboFix 09-12-02.03 - hb 02.12.2009 20:34.1.1 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.478.240 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\hb\Desktop\Cofi.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Outdated) {00000000-0000-0000-0000-000000000000}
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\_NIM4711.TMP
c:\recycler\S-1-5-21-2260765073-3993939715-487245400-1003
C:\Thumbs.db

.
((((((((((((((((((((((( Dateien erstellt von 2009-11-02 bis 2009-12-02 ))))))))))))))))))))))))))))))
.

2009-12-02 17:08 . 2009-12-02 17:13 -------- d-----w- C:\Lop SD
2009-12-01 16:44 . 2009-01-16 07:19 1731736 ----a-w- c:\dokumente und einstellungen\hb\Anwendungsdaten\Leadertech\PowerRegister\Seagate 2GHJVGEW Registrierungen.exe
2009-12-01 13:13 . 2009-12-01 13:13 -------- d-----w- c:\programme\trend micro
2009-12-01 13:13 . 2009-12-01 13:13 -------- d-----w- C:\rsit
2009-12-01 10:39 . 2009-12-01 10:39 -------- d-----w- c:\dokumente und einstellungen\hb\Anwendungsdaten\Malwarebytes
2009-12-01 10:39 . 2009-09-10 13:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-12-01 10:39 . 2009-12-01 10:39 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2009-12-01 10:39 . 2009-12-01 10:39 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-12-01 10:39 . 2009-09-10 13:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-12-01 10:01 . 2009-12-01 10:01 -------- d-----w- c:\programme\CCleaner
2009-11-30 22:56 . 2009-11-30 22:56 -------- d-----r- c:\dokumente und einstellungen\LocalService\Favoriten
2009-11-30 21:47 . 2009-07-28 14:33 55656 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-11-30 21:47 . 2009-03-30 08:33 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
2009-11-30 21:47 . 2009-02-13 10:29 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
2009-11-30 21:47 . 2009-02-13 10:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys
2009-11-30 21:46 . 2009-11-30 21:46 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2009-11-30 21:46 . 2009-11-30 21:46 -------- d-----w- c:\programme\Avira
2009-11-30 21:23 . 2009-11-30 21:28 31066056 ----a-w- C:\avira_antivir_personal_de.exe
2009-11-30 21:04 . 2009-11-30 21:04 -------- d-sh--w- c:\dokumente und einstellungen\LocalService\IETldCache
2009-11-20 18:59 . 2009-11-20 18:59 17675760 ----a-w- c:\dokumente und einstellungen\hb\Anwendungsdaten\Real\Update\setup\rp\RealPlayerSPGold_de.exe
2009-11-13 13:26 . 2009-11-13 13:26 79488 ----a-w- c:\dokumente und einstellungen\jg\Anwendungsdaten\Sun\Java\jre1.6.0_17\gtapi.dll
2009-11-12 19:42 . 2009-11-21 18:49 79488 ----a-w- c:\dokumente und einstellungen\hb\Anwendungsdaten\Sun\Java\jre1.6.0_17\gtapi.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-12-01 23:36 . 2009-09-02 12:58 218696 ----a-w- c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
2009-12-01 10:19 . 2003-03-06 18:07 -------- d--h--w- c:\programme\InstallShield Installation Information
2009-12-01 10:15 . 2003-05-02 16:18 -------- d-----w- c:\programme\FinePixViewer
2009-12-01 10:15 . 2003-05-06 18:03 -------- d-----w- c:\dokumente und einstellungen\hb\Anwendungsdaten\FUJIFILM
2009-11-30 15:55 . 2008-10-05 20:07 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\NOS
2009-10-25 12:19 . 2002-09-16 18:22 84480 ----a-w- c:\windows\system32\perfc007.dat
2009-10-25 12:19 . 2002-09-16 18:22 459066 ----a-w- c:\windows\system32\perfh007.dat
2009-10-11 18:41 . 2009-10-11 18:40 -------- d-----w- c:\dokumente und einstellungen\jg\Anwendungsdaten\Nokia
2009-10-05 18:39 . 2008-10-28 21:15 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations
2009-10-05 18:39 . 2008-10-28 21:23 -------- d-----w- c:\programme\Nokia
2009-10-05 18:35 . 2003-09-22 18:31 -------- d-----w- c:\programme\Gemeinsame Dateien\Nokia
2009-10-05 18:32 . 2009-10-05 18:32 3351812 -c--a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{F983B4FE-547B-4C44-BAF7-4F4DBA93D548}\Installer\CommonCustomActions\msxml6Exec.exe
2009-10-05 18:32 . 2009-10-05 18:32 36864 -c--a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{F983B4FE-547B-4C44-BAF7-4F4DBA93D548}\Installer\CommonCustomActions\Sleep.exe
2009-10-05 18:32 . 2009-10-05 18:32 3181612 -c--a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{F983B4FE-547B-4C44-BAF7-4F4DBA93D548}\Installer\CommonCustomActions\vcredistExec.exe
2009-10-05 18:31 . 2009-10-05 18:32 24513336 -c--a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{F983B4FE-547B-4C44-BAF7-4F4DBA93D548}\NokiaSoftwareUpdaterSetup_1.7.3DE.exe
2009-09-17 18:06 . 2009-09-17 18:06 8405312 ----a-w- c:\dokumente und einstellungen\hb\Anwendungsdaten\Real\Update\setup\gtb\GOOGLE_TOOLBAR\GoogleToolbarInstaller.exe
2009-09-17 18:06 . 2009-09-17 18:06 10309448 ----a-w- c:\dokumente und einstellungen\hb\Anwendungsdaten\Real\Update\setup\chr\ChromeInstaller.exe
2009-09-17 18:05 . 2009-09-17 18:05 81920 ----a-w- c:\dokumente und einstellungen\hb\Anwendungsdaten\Real\Update\setup\RUP\inst_config\compat.dll
2009-09-17 18:05 . 2009-09-17 18:05 64000 ----a-w- c:\dokumente und einstellungen\hb\Anwendungsdaten\Real\Update\setup\RUP\inst_config\gcapi_dll.dll
2009-09-17 18:05 . 2009-09-17 18:05 52288 ----a-w- c:\dokumente und einstellungen\hb\Anwendungsdaten\Real\Update\setup\RUP\inst_config\gtapi.dll
2009-09-17 18:05 . 2009-09-17 18:05 50688 -c--a-w- c:\dokumente und einstellungen\hb\Anwendungsdaten\Real\Update\setup\RUP\inst_config\fftbapi.dll
2009-09-17 18:05 . 2008-08-10 19:41 488968 ----a-w- c:\dokumente und einstellungen\hb\Anwendungsdaten\Real\Update\setup\setup.exe
2009-09-11 14:17 . 2002-09-16 18:21 136192 ----a-w- c:\windows\system32\msv1_0.dll
2009-09-04 21:03 . 2002-09-16 18:21 58880 ----a-w- c:\windows\system32\msasn1.dll
2008-04-14 02:22 . 2002-09-16 18:21 617472 --sha-w- c:\windows\system32\comctl32.dll
2008-04-14 02:22 . 2002-09-16 18:21 1028096 --sha-w- c:\windows\system32\mfc42.dll
2008-04-14 02:22 . 2002-09-16 18:21 413696 --sha-w- c:\windows\system32\msvcp60.dll
2008-04-14 02:22 . 2002-09-16 18:21 343040 --sha-w- c:\windows\system32\msvcrt.dll
2002-08-29 12:00 . 2002-09-16 18:22 253952 -csha-w- c:\windows\system32\msvcrt20.dll
2008-04-14 02:22 . 2004-06-03 21:42 30749 -csha-w- c:\windows\system32\vbajet32.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2008-04-14 1695232]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2002-08-06 290816]
"Apoint"="c:\programme\Apoint2K\Apoint.exe" [2002-09-10 147456]
"Microsoft Works Update Detection"="c:\programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe" [2002-07-24 28672]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-02-07 136600]
"REGSHAVE"="c:\programme\REGSHAVE\REGSHAVE.EXE" [2002-02-04 53248]
"AVMWlanClient"="c:\programme\avmwlanstick\FRITZWLANMini.exe" [2007-02-02 283136]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-08-29 185896]
"ATIModeChange"="Ati2mdxx.exe" - c:\windows\system32\Ati2mdxx.exe [2002-07-18 28672]
"SoundMan"="SOUNDMAN.EXE" - c:\windows\SOUNDMAN.EXE [2002-07-19 46592]
"AGRSMMSG"="AGRSMMSG.exe" - c:\windows\AGRSMMSG.exe [2002-06-21 87439]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\Default User\Startmen�\Programme\Autostart\
DSL-Manager.lnk - c:\programme\T-Online\DSL-Manager\DslMgr.exe [2008-10-28 1085440]

c:\dokumente und einstellungen\jg\Startmen�\Programme\Autostart\
DSL-Manager.lnk - c:\programme\T-Online\DSL-Manager\DslMgr.exe [2008-10-28 1085440]

c:\dokumente und einstellungen\Default User\Startmen�\Programme\Autostart\
DSL-Manager.lnk - c:\programme\T-Online\DSL-Manager\DslMgr.exe [2008-10-28 1085440]

c:\dokumente und einstellungen\hb\Startmen�\Programme\Autostart\
Seagate 2GHJVGEW Registrierungen.lnk - c:\dokumente und einstellungen\hb\Anwendungsdaten\Leadertech\PowerRegister\Seagate 2GHJVGEW Registrierungen.exe [2009-12-1 1731736]

c:\dokumente und einstellungen\Default User\Startmen�\Programme\Autostart\
DSL-Manager.lnk - c:\programme\T-Online\DSL-Manager\DslMgr.exe [2008-10-28 1085440]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\my-playlist\\my-playlist.exe"=
"c:\\WINDOWS\\system32\\fxsclnt.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\fotobuch.de AG\\Designer\\Designer.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Nokia\\Service Layer\\A\\nsl_host_process.exe"=
"c:\\Programme\\Nokia\\Nokia Software Updater\\nsu_ui_client.exe"=

R0 PrecSim;PrecSim;c:\windows\system32\drivers\precsim.sys [21.05.2002 23:00 69600]
R3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\drivers\fwlanusb.sys [30.11.2008 17:30 265088]
R3 TSMPacket;DSL-Manager Service;c:\windows\system32\drivers\tsmpkt.sys [28.10.2008 23:18 13824]
S3 ATWPKT;ATWPKT;c:\windows\system32\drivers\atwpkt.sys [22.03.2003 16:43 19140]
S3 avmeject;AVM Eject;c:\windows\system32\drivers\avmeject.sys [30.11.2008 17:31 4352]
S3 DMSKSSRh;DMSKSSRh;\??\c:\dokume~1\hb\LOKALE~1\Temp\DMSKSSRh.sys --> c:\dokume~1\hb\LOKALE~1\Temp\DMSKSSRh.sys [?]
S3 dsltestSp5;dsltestSp5 NDIS Protocol Driver;c:\windows\system32\drivers\DslTestSp5.sys [28.10.2008 23:20 26816]
S3 GDInterceptor;GDInterceptor;c:\windows\system32\interceptor.sys [23.09.2003 23:20 46426]
S3 ne2000;Novell/Eagle NE2000-Adaptertreiber;c:\windows\system32\drivers\ne2000.sys [19.12.2003 08:37 15872]
S3 nmwcdnsu;Nokia USB Flashing Phone Parent;c:\windows\system32\drivers\nmwcdnsu.sys [05.10.2009 19:39 136704]
S3 nmwcdnsuc;Nokia USB Flashing Generic;c:\windows\system32\drivers\nmwcdnsuc.sys [05.10.2009 19:39 8320]
S3 ZD1201C;ZyAIR B-120 IEEE 802.11b Wireless LAN Driver (PCMCIA);c:\windows\system32\DRIVERS\zd1201c.sys --> c:\windows\system32\DRIVERS\zd1201c.sys [?]
S3 ZDNDIS5;ZDNDIS5 Protocol Driver;\??\c:\windows\System32\ZDNDIS5.SYS --> c:\windows\System32\ZDNDIS5.SYS [?]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners

2009-09-11 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2007\SystemOptimizer.exe [2006-11-15 12:02]

2009-09-10 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2007-08-29 13:57]

2009-12-01 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-3235861538-825680378-40277518-1005Core.job
- c:\dokumente und einstellungen\hb\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2008-12-20 22:15]

2009-12-02 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-3235861538-825680378-40277518-1005UA.job
- c:\dokumente und einstellungen\hb\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2008-12-20 22:15]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
DPF: {B1953AD6-C50E-11D3-B020-00A0C9251384} - hxxp://www.o2c.de/download/O2CPlayer.CAB
FF - ProfilePath - c:\dokumente und einstellungen\hb\Anwendungsdaten\Mozilla\Firefox\Profiles\wb58dt88.default\
FF - prefs.js: browser.startup.homepage - www.google.de
FF - component: c:\dokumente und einstellungen\hb\Anwendungsdaten\Mozilla\Firefox\Profiles\wb58dt88.default\extensions\bkmrksync@nokia.com\components\BkMrkExt.dll
FF - plugin: c:\dokumente und einstellungen\hb\Lokale Einstellungen\Anwendungsdaten\Google\Update\1.2.183.7\npGoogleOneClick8.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nppl3260.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprjplug.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprpjplug.dll
FF - plugin: c:\programme\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-POINTER - point32.exe
AddRemove-RealJukebox 1.0 - c:\programme\Gemeinsame Dateien\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
AddRemove-RealPlayer 6.0 - c:\programme\Gemeinsame Dateien\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
AddRemove-{98E8A2EF-4EAE-43B8-A172-74842B764777} - c:\programme\InstallShield Installation Information\{98E8A2EF-4EAE-43B8-A172-74842B764777}\setup.exe REMOVEALL



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-12-02 20:50
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntoskrnl.exe catchme.sys CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x85B4C01C]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xf7613f28
\Driver\ACPI -> ACPI.sys @ 0xf7565cb8
\Driver\atapi -> 0x85b4c01c
IoDeviceObjectType -> DeleteProcedure -> ntoskrnl.exe @ 0x805a05a9
ParseProcedure -> ntoskrnl.exe @ 0x8056ea15
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntoskrnl.exe @ 0x805a05a9
ParseProcedure -> ntoskrnl.exe @ 0x8056ea15
NDIS: AVM FRITZ!WLAN USB Stick v1.1 -> SendCompleteHandler -> NDIS.sys @ 0xf73cfbb0
PacketIndicateHandler -> NDIS.sys @ 0xf73dca21
SendHandler -> NDIS.sys @ 0xf73ba87b
Warning: possible MBR rootkit infection !
user & kernel MBR OK

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Reinstall\:ôwjY
*]
"DisplayName"="\09"
"DeviceDesc"="\09"
"ProviderName"=""
"MFG"="?"
"ReinstallString"="2002, 6.13.10.6137"
"DeviceInstanceIds"=multi:"\00"
.
Zeit der Fertigstellung: 2009-12-02 20:55
ComboFix-quarantined-files.txt 2009-12-02 19:55

Vor Suchlauf: 44 Verzeichnis(se), 17.870.905.344 Bytes frei
Nach Suchlauf: 46 Verzeichnis(se), 18.010.832.896 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn

- - End Of File - - 3C6C8904D9AF8B28161E6F03D819CDC8

Zitat:

Zitat von cosinus

Okay, sieht garnicht mal schlecht aus
Bitte mach nun einen Durchlauf mit Combofix:

...ich möchte noch erwähnen, das mein System nach Combofix scheinbar wieder komplett läuft. 2 Dinge fielen mir auf: erstens hat Combofix die Desktop-Einstellungen verändert und ein ehemaliges Hintergrundbild aus der Versenkung gezaubert. Läßt sich ja aber wieder ohne Probleme beheben. Etwas suspekter ist mir da schon das Verhalten beim Aufruf von google: zuerst erscheint das Logo mit der Suchzeile und der Rest der Seite bleibt weiß, die blauen Textlinks usw. auf der Seite kommen mit bis zu 5 Sekunden Verzögerung. Muß ja kein Zusammenhang sein, ist aber für meine Augen neu und damit nicht unwichtig!

Gruß
Hermann

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code: Alles auswählenAufklappen

ATTFilter

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"=-

File::
c:\dokume~1\hb\LOKALE~1\Temp\DMSKSSRh.sys

Driver::
DMSKSSRh
         

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die ComboFix.exe bzw. cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.



6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

ComboFix 09-12-02.05 - hb 03.12.2009 10:09.2.1 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.478.173 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\hb\Desktop\Cofi.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\hb\Desktop\CFScript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Outdated) {00000000-0000-0000-0000-000000000000}
* Neuer Wiederherstellungspunkt wurde erstellt

FILE ::
"c:\dokume~1\hb\LOKALE~1\Temp\DMSKSSRh.sys"
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_DMSKSSRH
-------\Service_DMSKSSRh


((((((((((((((((((((((( Dateien erstellt von 2009-11-03 bis 2009-12-03 ))))))))))))))))))))))))))))))
.

2009-12-02 17:08 . 2009-12-02 17:13 -------- d-----w- C:\Lop SD
2009-12-01 16:44 . 2009-01-16 07:19 1731736 ----a-w- c:\dokumente und einstellungen\hb\Anwendungsdaten\Leadertech\PowerRegister\Seagate 2GHJVGEW Registrierungen.exe
2009-12-01 13:13 . 2009-12-01 13:13 -------- d-----w- c:\programme\trend micro
2009-12-01 13:13 . 2009-12-01 13:13 -------- d-----w- C:\rsit
2009-12-01 10:39 . 2009-12-01 10:39 -------- d-----w- c:\dokumente und einstellungen\hb\Anwendungsdaten\Malwarebytes
2009-12-01 10:39 . 2009-09-10 13:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-12-01 10:39 . 2009-12-01 10:39 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2009-12-01 10:39 . 2009-12-01 10:39 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-12-01 10:39 . 2009-09-10 13:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-12-01 10:01 . 2009-12-01 10:01 -------- d-----w- c:\programme\CCleaner
2009-11-30 22:56 . 2009-11-30 22:56 -------- d-----r- c:\dokumente und einstellungen\LocalService\Favoriten
2009-11-30 21:47 . 2009-07-28 14:33 55656 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-11-30 21:47 . 2009-03-30 08:33 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
2009-11-30 21:47 . 2009-02-13 10:29 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
2009-11-30 21:47 . 2009-02-13 10:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys
2009-11-30 21:46 . 2009-11-30 21:46 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2009-11-30 21:46 . 2009-11-30 21:46 -------- d-----w- c:\programme\Avira
2009-11-30 21:23 . 2009-11-30 21:28 31066056 ----a-w- C:\avira_antivir_personal_de.exe
2009-11-30 21:04 . 2009-11-30 21:04 -------- d-sh--w- c:\dokumente und einstellungen\LocalService\IETldCache
2009-11-20 18:59 . 2009-11-20 18:59 17675760 ----a-w- c:\dokumente und einstellungen\hb\Anwendungsdaten\Real\Update\setup\rp\RealPlayerSPGold_de.exe
2009-11-13 13:26 . 2009-11-13 13:26 79488 ----a-w- c:\dokumente und einstellungen\jg\Anwendungsdaten\Sun\Java\jre1.6.0_17\gtapi.dll
2009-11-12 19:42 . 2009-11-21 18:49 79488 ----a-w- c:\dokumente und einstellungen\hb\Anwendungsdaten\Sun\Java\jre1.6.0_17\gtapi.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-12-01 23:36 . 2009-09-02 12:58 218696 ----a-w- c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
2009-12-01 10:19 . 2003-03-06 18:07 -------- d--h--w- c:\programme\InstallShield Installation Information
2009-12-01 10:15 . 2003-05-02 16:18 -------- d-----w- c:\programme\FinePixViewer
2009-12-01 10:15 . 2003-05-06 18:03 -------- d-----w- c:\dokumente und einstellungen\hb\Anwendungsdaten\FUJIFILM
2009-11-30 15:55 . 2008-10-05 20:07 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\NOS
2009-10-25 12:19 . 2002-09-16 18:22 84480 ----a-w- c:\windows\system32\perfc007.dat
2009-10-25 12:19 . 2002-09-16 18:22 459066 ----a-w- c:\windows\system32\perfh007.dat
2009-10-11 18:41 . 2009-10-11 18:40 -------- d-----w- c:\dokumente und einstellungen\jg\Anwendungsdaten\Nokia
2009-10-05 18:39 . 2008-10-28 21:15 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations
2009-10-05 18:39 . 2008-10-28 21:23 -------- d-----w- c:\programme\Nokia
2009-10-05 18:35 . 2003-09-22 18:31 -------- d-----w- c:\programme\Gemeinsame Dateien\Nokia
2009-10-05 18:32 . 2009-10-05 18:32 3351812 -c--a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{F983B4FE-547B-4C44-BAF7-4F4DBA93D548}\Installer\CommonCustomActions\msxml6Exec.exe
2009-10-05 18:32 . 2009-10-05 18:32 36864 -c--a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{F983B4FE-547B-4C44-BAF7-4F4DBA93D548}\Installer\CommonCustomActions\Sleep.exe
2009-10-05 18:32 . 2009-10-05 18:32 3181612 -c--a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{F983B4FE-547B-4C44-BAF7-4F4DBA93D548}\Installer\CommonCustomActions\vcredistExec.exe
2009-10-05 18:31 . 2009-10-05 18:32 24513336 -c--a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{F983B4FE-547B-4C44-BAF7-4F4DBA93D548}\NokiaSoftwareUpdaterSetup_1.7.3DE.exe
2009-09-17 18:06 . 2009-09-17 18:06 8405312 ----a-w- c:\dokumente und einstellungen\hb\Anwendungsdaten\Real\Update\setup\gtb\GOOGLE_TOOLBAR\GoogleToolbarInstaller.exe
2009-09-17 18:06 . 2009-09-17 18:06 10309448 ----a-w- c:\dokumente und einstellungen\hb\Anwendungsdaten\Real\Update\setup\chr\ChromeInstaller.exe
2009-09-17 18:05 . 2009-09-17 18:05 81920 ----a-w- c:\dokumente und einstellungen\hb\Anwendungsdaten\Real\Update\setup\RUP\inst_config\compat.dll
2009-09-17 18:05 . 2009-09-17 18:05 64000 ----a-w- c:\dokumente und einstellungen\hb\Anwendungsdaten\Real\Update\setup\RUP\inst_config\gcapi_dll.dll
2009-09-17 18:05 . 2009-09-17 18:05 52288 ----a-w- c:\dokumente und einstellungen\hb\Anwendungsdaten\Real\Update\setup\RUP\inst_config\gtapi.dll
2009-09-17 18:05 . 2009-09-17 18:05 50688 -c--a-w- c:\dokumente und einstellungen\hb\Anwendungsdaten\Real\Update\setup\RUP\inst_config\fftbapi.dll
2009-09-17 18:05 . 2008-08-10 19:41 488968 ----a-w- c:\dokumente und einstellungen\hb\Anwendungsdaten\Real\Update\setup\setup.exe
2009-09-11 14:17 . 2002-09-16 18:21 136192 ----a-w- c:\windows\system32\msv1_0.dll
2009-09-04 21:03 . 2002-09-16 18:21 58880 ----a-w- c:\windows\system32\msasn1.dll
2008-04-14 02:22 . 2002-09-16 18:21 1028096 --sha-w- c:\windows\system32\mfc42.dll
2008-04-14 02:22 . 2002-09-16 18:21 413696 --sha-w- c:\windows\system32\msvcp60.dll
2002-08-29 12:00 . 2002-09-16 18:22 253952 -csha-w- c:\windows\system32\msvcrt20.dll
2008-04-14 02:22 . 2004-06-03 21:42 30749 -csha-w- c:\windows\system32\vbajet32.dll
.

((((((((((((((((((((((((((((( SnapShot@2009-12-02_19.51.02 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-12-03 09:32 . 2009-12-03 09:32 16384 c:\windows\Temp\Perflib_Perfdata_dc.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2008-04-14 1695232]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2002-08-06 290816]
"Apoint"="c:\programme\Apoint2K\Apoint.exe" [2002-09-10 147456]
"Microsoft Works Update Detection"="c:\programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe" [2002-07-24 28672]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-02-07 136600]
"REGSHAVE"="c:\programme\REGSHAVE\REGSHAVE.EXE" [2002-02-04 53248]
"AVMWlanClient"="c:\programme\avmwlanstick\FRITZWLANMini.exe" [2007-02-02 283136]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-08-29 185896]
"ATIModeChange"="Ati2mdxx.exe" - c:\windows\system32\Ati2mdxx.exe [2002-07-18 28672]
"SoundMan"="SOUNDMAN.EXE" - c:\windows\SOUNDMAN.EXE [2002-07-19 46592]
"AGRSMMSG"="AGRSMMSG.exe" - c:\windows\AGRSMMSG.exe [2002-06-21 87439]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\Default User\Startmen�\Programme\Autostart\
DSL-Manager.lnk - c:\programme\T-Online\DSL-Manager\DslMgr.exe [2008-10-28 1085440]

c:\dokumente und einstellungen\jg\Startmen�\Programme\Autostart\
DSL-Manager.lnk - c:\programme\T-Online\DSL-Manager\DslMgr.exe [2008-10-28 1085440]

c:\dokumente und einstellungen\Default User\Startmen�\Programme\Autostart\
DSL-Manager.lnk - c:\programme\T-Online\DSL-Manager\DslMgr.exe [2008-10-28 1085440]

c:\dokumente und einstellungen\hb\Startmen�\Programme\Autostart\
Seagate 2GHJVGEW Registrierungen.lnk - c:\dokumente und einstellungen\hb\Anwendungsdaten\Leadertech\PowerRegister\Seagate 2GHJVGEW Registrierungen.exe [2009-12-1 1731736]

c:\dokumente und einstellungen\Default User\Startmen�\Programme\Autostart\
DSL-Manager.lnk - c:\programme\T-Online\DSL-Manager\DslMgr.exe [2008-10-28 1085440]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\my-playlist\\my-playlist.exe"=
"c:\\WINDOWS\\system32\\fxsclnt.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\fotobuch.de AG\\Designer\\Designer.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Nokia\\Service Layer\\A\\nsl_host_process.exe"=
"c:\\Programme\\Nokia\\Nokia Software Updater\\nsu_ui_client.exe"=

R0 PrecSim;PrecSim;c:\windows\system32\drivers\precsim.sys [21.05.2002 23:00 69600]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [30.11.2009 22:47 108289]
R2 HRService;Haufe iDesk-Service in c:\programme\Haufe\iDesk\iDeskService\Zope;c:\programme\Haufe\iDesk\iDeskService\ideskservice.exe [20.08.2008 05:08 70336]
R3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\drivers\fwlanusb.sys [30.11.2008 17:30 265088]
R3 TSMPacket;DSL-Manager Service;c:\windows\system32\drivers\tsmpkt.sys [28.10.2008 23:18 13824]
S3 ATWPKT;ATWPKT;c:\windows\system32\drivers\atwpkt.sys [22.03.2003 16:43 19140]
S3 avmeject;AVM Eject;c:\windows\system32\drivers\avmeject.sys [30.11.2008 17:31 4352]
S3 dsltestSp5;dsltestSp5 NDIS Protocol Driver;c:\windows\system32\drivers\DslTestSp5.sys [28.10.2008 23:20 26816]
S3 GDInterceptor;GDInterceptor;c:\windows\system32\interceptor.sys [23.09.2003 23:20 46426]
S3 ne2000;Novell/Eagle NE2000-Adaptertreiber;c:\windows\system32\drivers\ne2000.sys [19.12.2003 08:37 15872]
S3 nmwcdnsu;Nokia USB Flashing Phone Parent;c:\windows\system32\drivers\nmwcdnsu.sys [05.10.2009 19:39 136704]
S3 nmwcdnsuc;Nokia USB Flashing Generic;c:\windows\system32\drivers\nmwcdnsuc.sys [05.10.2009 19:39 8320]
S3 TDslMgrService;DSL-Manager;c:\programme\T-Online\DSL-Manager\DslMgrSvc.exe [28.10.2008 23:18 294912]
S3 ZD1201C;ZyAIR B-120 IEEE 802.11b Wireless LAN Driver (PCMCIA);c:\windows\system32\DRIVERS\zd1201c.sys --> c:\windows\system32\DRIVERS\zd1201c.sys [?]
S3 ZDNDIS5;ZDNDIS5 Protocol Driver;\??\c:\windows\System32\ZDNDIS5.SYS --> c:\windows\System32\ZDNDIS5.SYS [?]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners

2009-09-11 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2007\SystemOptimizer.exe [2006-11-15 12:02]

2009-09-10 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2007-08-29 13:57]

2009-12-02 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-3235861538-825680378-40277518-1005Core.job
- c:\dokumente und einstellungen\hb\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2008-12-20 22:15]

2009-12-03 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-3235861538-825680378-40277518-1005UA.job
- c:\dokumente und einstellungen\hb\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2008-12-20 22:15]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
DPF: {B1953AD6-C50E-11D3-B020-00A0C9251384} - hxxp://www.o2c.de/download/O2CPlayer.CAB
FF - ProfilePath - c:\dokumente und einstellungen\hb\Anwendungsdaten\Mozilla\Firefox\Profiles\wb58dt88.default\
FF - prefs.js: browser.startup.homepage - www.google.de
FF - component: c:\dokumente und einstellungen\hb\Anwendungsdaten\Mozilla\Firefox\Profiles\wb58dt88.default\extensions\bkmrksync@nokia.com\components\BkMrkExt.dll
FF - plugin: c:\dokumente und einstellungen\hb\Lokale Einstellungen\Anwendungsdaten\Google\Update\1.2.183.7\npGoogleOneClick8.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nppl3260.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprjplug.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprpjplug.dll
FF - plugin: c:\programme\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-12-03 10:33
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x85B8D01C]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xf7643f28
\Driver\ACPI -> ACPI.sys @ 0xf7595cb8
\Driver\atapi -> 0x85b8d01c
IoDeviceObjectType -> DeleteProcedure -> ntoskrnl.exe @ 0x805a05a9
ParseProcedure -> ntoskrnl.exe @ 0x8056ea15
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntoskrnl.exe @ 0x805a05a9
ParseProcedure -> ntoskrnl.exe @ 0x8056ea15
NDIS: AVM FRITZ!WLAN USB Stick v1.1 -> SendCompleteHandler -> NDIS.sys @ 0xf73ffbb0
PacketIndicateHandler -> NDIS.sys @ 0xf73eea0d
SendHandler -> NDIS.sys @ 0xf7402b40
Warning: possible MBR rootkit infection !
user & kernel MBR OK

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Reinstall\:ôwjY
*]
"DisplayName"="\09"
"DeviceDesc"="\09"
"ProviderName"=""
"MFG"="?"
"ReinstallString"="2002, 6.13.10.6137"
"DeviceInstanceIds"=multi:"\00"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(3836)
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\programme\Nokia\Nokia PC Suite 7\phonebrowser.dll
c:\programme\Nokia\Nokia PC Suite 7\NGSCM.DLL
c:\programme\Nokia\Nokia PC Suite 7\Lang\PhoneBrowser_ger.nlr
c:\programme\Nokia\Nokia PC Suite 7\Resource\PhoneBrowser_Nokia.ngr
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\windows\System32\Ati2evxx.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Haufe\iDesk\iDeskService\ideskpython.exe
c:\windows\system32\wscntfy.exe
c:\windows\System32\wbem\wmiapsrv.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-12-03 10:45 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-12-03 09:44
ComboFix2.txt 2009-12-02 19:55

Vor Suchlauf: 44 Verzeichnis(se), 17.989.619.712 Bytes frei
Nach Suchlauf: 46 Verzeichnis(se), 17.866.641.408 Bytes frei

- - End Of File - - D0BD465AB037713BAFE0847C61DD43D4

Sieht ok aus. Falls noch Probleme sind, bitte Rückmeldung.

Zitat:

Zitat von cosinus

Sieht ok aus. Falls noch Probleme sind, bitte Rückmeldung.

Means: ich bin ohne Folgeschäden entlassen?! Dann sage ich DANKE für den support!

Gruß,
Hermann

Ja, bei Zeiten nochmal bitte die Updates prüfen.

• SP3 + IE8 sind drauf, wie siehts mit den Folgeupdates für Windows aus?
• PDF-Reader (AdobeReader) aktuell? Alternative wäre FoxitReader.
• Java Runtime Einvironment? Aktuell ist v6u17, alle anderen alten Installationen deinstallieren!
• Flash-Player?!!

In letzter Zeit verbreiten sich die Schädlinge wirklich vermehrt über Lücken in den letzten dreien der o.g. Liste. Da helfen Virenscanner so gut wie nicht und ne Firewall schonmal garnicht (ist nicht die Aufgabe einer Firewall), sondern nur konsequentes patchen, patchen und nochmals patchen und bei alltäglichen surfen, mailen und co nur eingeschränkte Rechte und keine Adminrechte zu verwenden...

guten tag,
ich bin neu im forum und hänge mich gleich an das o.g. thema an.
meine frage @cosinus wäre die folgende:
muss ich mir die zeit nehmen, das alles was spinningnine tun musste auch zu
machen oder ist es auch ein weg die aktuellste norton software zu kaufen,
mein antivir pe premium zu löschen und so durch die Neuinstallation das problem zu lösen. leider ist mein problem immer die zeit.....

vielen dank fürs erste

ahann