Hallo Trojanerjäger,
ich habe folgendes Problem:
Am Freitag Abend tauchte plötzlich ein "Security Alert" auf. Dieser behauptete das sich Trojaner auf meinen Rechner befinden würden. Hierzu würde jetzt das Programm AntiMalware geladen - dann der Hinweis das Antimalware sich nicht mit Avira vertragen würden und Avira deshalb inaktiv gesetzt werden würde. Das Programm AntiMalware brachte dann als Ergebnis das der Rechner von diversen Trojanern infiziert wäre und ich die Vollversion kaufen müsste, damit diese entfernt werden.
Alles sah für mich nach einer offiziellen Microsoft Meldung aus.
Erst als ich aufgefordert wurde Geld zu zahlen war mir klar das das nicht von Mircosoft kommt.
Ich habe dann über Google herausgefunden das es sich dabei um s.g. Scareware handelt und habe in einem englischen Forum (Bleeping.com) eine Anleitung zum Entfernen der Software gefunden.

Die Meldungen vom AntiMalware mit den Trojanern sind auch verschwunden. Aber Avira erschien (und erscheint) unten nicht mehr in der Taskleiste.
Ich habe dann Avira ohne Erfolg neu installiert.
Ich habe dann NOD32 als Anti-virus-Programm installiert.

NOD32 bringt beim Starten die Meldung das der Olmarik Trojaner im Arbeitsspeicher gefunden wurde und nicht entfernt werden kann.

Da ich den Rechner vom Netz genommen habe, erscheint jetzt "Webseite im Offlinemodus - klicken Sie auf Verbinden" alle paar Minuten regelmäßig.

Ich habe mich ein wenig hier im Forum eingelesen und werde daher folgende Schritte ausführen (hoffe ich habe das so richtig gemacht):
1. RSIT.exe ausführen und die Logfiles hier posten
2. CCleaner ausführen und Ergebnis des Install-logs posten
3. Gmer.exe ausführen und Log posten

Noch ein Worte zum meinem Computer: es handelt sich um einen AMD2500+ mit Windows XP und SP3. Für jeden in unserer Familie habe ich damals (2004) ein Usericon eingerichtet.

Welches sind jetzt für mich die nächsten Schritte?

Liebe Grüße
Lorenz

Hallo,
im Gmer-Log ist mir der H8SRTd.sys Eintrag aufgefallen.
Ist das OK wenn ich den mit Avenger disable und die Datei lösche?

Das Malwarebytes-Anti-Malware werde ich heute Abend ausführen und das Log hier dann posten.

Grüße
Lorenz

Hallo Trojaner Fangemeinde,
so 3 Stunden sind rum und es sieht für meine laienhaften Augen gar nicht so schlecht aus:

Als erstes habe ich GMER noch mal laufen lassen, um zu prüfen ob der H8SRTnmpxnrjebx.sys noch da ist - Joop ist noch da und hat auch keinen anderen Namen.

Dann habe ich avenger gestartet mit folgendem script:
---------------------------------
drivers to disable:
C:\WINDOWS\system32\drivers\H8SRTnmpxnrjebx.sys

drivers to delete:
C:\WINDOWS\system32\drivers\H8SRTnmpxnrjebx.sys
------------------------------------------------------

das hat leider nicht funktioniert!

Dann habe ich GMER noch einmal laufen lassen mit folgendem script:

--------------------------------
drivers to disable:
H8SRTd.sys

drivers to delete:
H8SRTd.sys
-------------------------------------

Code: Alles auswählenAufklappen

ATTFilter

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.

Hidden driver "H8SRTd.sys" found!
ImagePath:  \systemroot\system32\drivers\H8SRTnmpxnrjebx.sys 
Start Type:  4 (Disabled)

Rootkit scan completed.

Driver "H8SRTd.sys" disabled successfully.
Driver "H8SRTd.sys" deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.
         

Das brachte in der Taskleiste Spybot-SD wieder zum vorschein.


HURRRAAAHHHH

Gmer brachte dann

Code: Alles auswählenAufklappen

ATTFilter

GMER 1.0.15.15252 - http://www.gmer.net
Rootkit quick scan 2009-12-09 21:05:43
Windows 5.1.2600 Service Pack 3
Running: ballamer.exe; Driver: C:\DOKUME~1\Lorenz\LOKALE~1\Temp\pxtdipow.sys


---- Devices - GMER 1.0.15 ----

AttachedDevice  \FileSystem\Ntfs \Ntfs     eamon.sys (Amon monitor/ESET)
AttachedDevice  \FileSystem\Fastfat \Fat   eamon.sys (Amon monitor/ESET)
AttachedDevice  \Driver\Tcpip \Device\Tcp  epfwtdir.sys (ESET Antivirus Network Redirector/ESET)

---- Threads - GMER 1.0.15 ----

Thread          System [4:348]             8691F930

---- EOF - GMER 1.0.15 ----
         

Eine Frage an die Profis, was bedeutet:
Thread System [4:348] 8691F930
?????????????


OK weiter gehts - dann Antimalware laufen lassen:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.42
Datenbank Version: 3289
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

09.12.2009 21:22:26
mbam-log-2009-12-09 (21-22-21).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 128195
Laufzeit: 6 minute(s), 32 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 6

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\H8SRTqmkwqqxyvj.dll (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\system32\H8SRTurvidqbapp.dll (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\system32\drivers\H8SRTnmpxnrjebx.sys (Malware.Packer) -> No action taken.
C:\WINDOWS\system32\H8SRTafulkdmtti.dat (Rootkit.TDSS) -> No action taken.
C:\WINDOWS\system32\h8srtcfg.dat (Rootkit.TDSS) -> No action taken.
C:\Dokumente und Einstellungen\Lorenz\Lokale Einstellungen\Temp\H8SRTf4b6.tmp (Rootkit.TDSS) -> No action taken.
         

Diese Gauner wurden dann auch verhaftet :-)
Infizierte Dateien:
C:\WINDOWS\system32\H8SRTqmkwqqxyvj.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\H8SRTurvidqbapp.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\H8SRTnmpxnrjebx.sys (Malware.Packer) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\H8SRTafulkdmtti.dat (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\h8srtcfg.dat (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Lorenz\Lokale Einstellungen\Temp\H8SRTf4b6.tmp (Rootkit.TDSS) -> Quarantined and deleted successfully.


Zur Sicherheit poste ich das Hijack-Endergebnis:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:36:07, on 09.12.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\Mixer.exe
C:\WINDOWS\system32\WF2K.EXE
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\ESET\ESET NOD32 Antivirus\egui.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\LorenzSearch & Destroy\TeaTimer.exe
C:\Programme\WISO\Sparbuch 2009\meinsparbuchheute.exe
C:\Programme\OpenOffice.org 2.1\program\soffice.exe
C:\Programme\OpenOffice.org 2.1\program\soffice.BIN
C:\Dokumente und Einstellungen\Lorenz\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (file missing)
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - c:\programme\real\realplayer\rpbrowserrecordplugin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [WinFoxV2] C:\WINDOWS\system32\WF2K.EXE
O4 - HKLM\..\Run: [WinFast2KLoadDefault] rundll32.exe wf2kcpl.dll,DllLoadDefaultSettings
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [egui] "C:\Programme\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\LorenzSearch & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.1.lnk = C:\Programme\OpenOffice.org 2.1\program\quickstart.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WISO Mein Sparbuch heute.lnk = C:\Programme\WISO\Sparbuch 2009\meinsparbuchheute.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Programme\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: WinFast(R) Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 5411 bytesde]
         

Was muss ich noch tun?

Achso - ich habe ein registry-tool mir geladen - traue mich da aber nicht ran, da ich doch m.E. zu sehr Laie bin, und Angst habe mir zuviel kaputt zu machen.

Das Registry Ergebnis hänge ich als Datei Anhang an - aber hier bin ich verdammt unsicher, ob ich das alles reparieren möchte, weil ich nicht einschätzen kann welche Auswirkungen das hat. MIST - die Datei ist zugroß - daher im Anhang eine verkürzte Version in der ich relativ wahllos Inhalte rausgelöscht habe. Würdet Ihr blind diese ganzen Probleme von einem Tool beheben lassen?



Grüße
Lorenz

Hallo,
ich habe mittlerweile CCleaner und Combofix laufen lassen:

Hier das Ergebnis von Combofix:

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 09-12-09.04 - Lorenz 10.12.2009  20:55:08.1.1 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.1023.627 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Lorenz\Desktop\CoFix.exe
AV: ESET NOD32 Antivirus 4.0 *On-access scanning disabled* (Updated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\programme\AntiMalware
c:\recycler\S-1-5-21-2025429265-1844237615-725345543-1003
c:\recycler\S-1-5-21-2486449763-362719399-639027589-1003
c:\recycler\S-1-5-21-3182245222-4286421812-757997264-1003
c:\recycler\S-1-5-21-3867902127-836850245-3872446942-1003
c:\recycler\S-1-5-21-392010102-1298939579-4280123838-1003
c:\windows\system32\srcr.dat
D:\Autorun.inf

.
(((((((((((((((((((((((   Dateien erstellt von 2009-11-10 bis 2009-12-10  ))))))))))))))))))))))))))))))
.

2009-12-10 19:48 . 2009-12-10 19:50	--------	d-----w-	C:\CoFix
2009-12-08 17:21 . 2009-12-08 17:21	--------	d-----w-	C:\rsit
2009-12-08 17:21 . 2009-12-08 17:21	--------	d-----w-	c:\programme\trend micro
2009-12-07 22:26 . 2009-12-07 22:26	--------	d-----w-	c:\programme\ESET
2009-12-05 19:06 . 2009-12-05 19:06	--------	d-----w-	c:\programme\LorenzSearch & Destroy
2009-12-05 18:33 . 2009-12-05 18:33	--------	d-----w-	c:\dokumente und einstellungen\Lorenz\Anwendungsdaten\Malwarebytes
2009-12-05 17:08 . 2009-12-05 17:08	--------	d-----w-	c:\dokumente und einstellungen\Sylvia\Anwendungsdaten\Malwarebytes
2009-12-05 17:03 . 2009-12-05 17:03	--------	d-----w-	c:\dokumente und einstellungen\Lorenz\Lokale Einstellungen\Anwendungsdaten\ESET
2009-12-05 16:57 . 2009-12-03 15:14	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2009-12-05 16:57 . 2009-12-05 17:05	--------	d-----w-	c:\programme\lorenzamalware
2009-12-05 16:57 . 2009-12-05 16:57	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-12-05 16:57 . 2009-12-03 15:13	19160	----a-w-	c:\windows\system32\drivers\mbam.sys
2009-12-05 16:11 . 2009-12-05 16:11	--------	d-----w-	c:\programme\CCleaner
2009-12-05 14:59 . 2009-12-05 14:59	--------	d-----w-	c:\dokumente und einstellungen\Lorenz\Lokale Einstellungen\Anwendungsdaten\Threat Expert
2009-12-05 14:54 . 2009-12-05 15:08	--------	d---a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2009-12-05 14:42 . 2009-12-05 14:42	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\ESET
2009-12-05 12:00 . 2009-12-05 12:00	--------	d-----w-	c:\programme\Eusing Free Registry Cleaner
2009-12-05 11:28 . 2009-12-05 11:30	--------	d-----w-	c:\dokumente und einstellungen\Greta\Anwendungsdaten\Spyware Terminator
2009-12-05 10:12 . 2009-12-05 18:45	--------	d-----w-	c:\programme\a-squared HiJackFree
2009-12-04 22:58 . 2009-12-04 22:58	--------	d-----w-	c:\programme\AxBx
2009-11-22 20:52 . 2009-11-22 20:52	--------	d-----w-	c:\programme\Gemeinsame Dateien\xing shared

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-12-10 19:47 . 2006-03-19 10:25	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-12-10 19:27 . 2007-02-16 15:08	--------	d-----w-	c:\dokumente und einstellungen\Lorenz\Anwendungsdaten\OpenOffice.org2
2009-12-05 17:39 . 2008-08-23 18:41	--------	d-----w-	c:\dokumente und einstellungen\Sylvia\Anwendungsdaten\OpenOffice.org2
2009-12-05 11:27 . 2009-05-09 07:01	71056	----a-w-	c:\dokumente und einstellungen\Greta\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-12-05 00:24 . 2006-03-19 10:25	--------	d-----w-	c:\programme\Spybot - Search & Destroy
2009-11-22 20:52 . 2004-04-13 16:21	--------	d-----w-	c:\programme\Gemeinsame Dateien\Real
2009-11-08 17:24 . 2005-10-30 18:32	--------	d-----w-	c:\programme\Java
2009-11-08 17:23 . 2009-11-08 17:23	152576	----a-w-	c:\dokumente und einstellungen\Lorenz\Anwendungsdaten\Sun\Java\jre1.6.0_17\lzma.dll
2009-11-08 17:21 . 2004-04-13 13:23	448816	----a-w-	c:\windows\system32\perfh007.dat
2009-11-08 17:21 . 2004-04-13 13:23	79918	----a-w-	c:\windows\system32\perfc007.dat
2009-11-07 11:28 . 2009-11-07 11:28	--------	d-----w-	c:\programme\MyRealGames.com
2009-11-07 11:17 . 2004-06-15 19:26	--------	d-----w-	c:\programme\Microsoft Games
2009-10-18 15:55 . 2005-05-22 18:06	1732	----a-w-	c:\dokumente und einstellungen\Sylvia\Anwendungsdaten\wklnhst.dat
2009-10-11 13:46 . 2009-10-11 13:46	152576	----a-w-	c:\dokumente und einstellungen\Lorenz\Anwendungsdaten\Sun\Java\jre1.6.0_15\lzma.dll
2009-10-11 03:17 . 2008-12-28 17:41	411368	----a-w-	c:\windows\system32\deploytk.dll
2009-09-29 12:05 . 2009-09-29 12:05	96408	----a-w-	c:\windows\system32\drivers\epfwtdir.sys
2009-09-29 12:02 . 2009-09-29 12:02	108792	----a-w-	c:\windows\system32\drivers\ehdrv.sys
2009-09-29 11:56 . 2009-09-29 11:56	116008	----a-w-	c:\windows\system32\drivers\eamon.sys
2004-06-19 18:52 . 2004-06-19 18:52	90	--sh--w-	c:\windows\cnerolf.dat
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="c:\programme\LorenzSearch & Destroy\TeaTimer.exe" [2009-01-26 2144088]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe  -osboot" [X]
"VTTimer"="VTTimer.exe" [2004-01-15 49152]
"C-Media Mixer"="Mixer.exe" [2003-03-20 1855488]
"WinFoxV2"="c:\windows\system32\WF2K.EXE" [2005-02-02 1179648]
"WinFast2KLoadDefault"="wf2kcpl.dll" [2005-01-05 612352]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-07-20 7110656]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-10-11 149280]
"egui"="c:\programme\ESET\ESET NOD32 Antivirus\egui.exe" [2009-09-29 2054360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\Sylvia\Startmen�\Programme\Autostart\
OpenOffice.org 2.1.lnk - c:\programme\OpenOffice.org 2.1\program\quickstart.exe [2006-11-27 393216]

c:\dokumente und einstellungen\Lorenz\Startmen�\Programme\Autostart\
OpenOffice.org 2.1.lnk - c:\programme\OpenOffice.org 2.1\program\quickstart.exe [2006-11-27 393216]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-4-23 29696]
Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]
WISO Mein Sparbuch heute.lnk - c:\programme\WISO\Sparbuch 2009\meinsparbuchheute.exe [2009-7-19 1140008]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"MSMSGS"="c:\programme\Messenger\MSMSGS.EXE" /background
"richtx64.exe"=c:\dokume~1\Lorenz\LOKALE~1\Temp\richtx64.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Microsoft Works Update Detection"=c:\programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
"nwiz"=nwiz.exe /install
"NeroFilterCheck"=c:\windows\system32\NeroCheck.exe
"CARPService"=carpserv.exe
"Lexmark X1100 Series"="c:\programme\Lexmark X1100 Series\lxbkbmgr.exe"
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" -atboottime

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Programme\\Microsoft Games\\Flight Simulator 9\\fs9.exe"=
"c:\\WINDOWS\\system32\\dpnsvr.exe"=
"c:\\Programme\\ASRC\\asrc.exe"=
"c:\\Programme\\SquawkBox3\\squawkbox.exe"=
"c:\\mirc\\mirc32.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\system32\\LEXPPS.EXE"=
"c:\\Programme\\IVAO\\IvAp\\ivapnetint.exe"=
"c:\\Programme\\Real\\RealPlayer\\realplay.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Close Combat IV\\cc4.icd"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3290:UDP"= 3290:UDP:test

R1 ehdrv;ehdrv;c:\windows\system32\drivers\ehdrv.sys [29.09.2009 13:02 108792]
R1 epfwtdir;epfwtdir;c:\windows\system32\drivers\epfwtdir.sys [29.09.2009 13:05 96408]
R1 SSHDRV85;SSHDRV85;c:\windows\system32\drivers\SSHDRV85.sys [22.05.2005 17:16 78848]
R1 SSHDRV86;SSHDRV86;c:\windows\system32\drivers\SSHDRV86.sys [10.12.2005 21:55 81408]
R2 ekrn;ESET Service;c:\programme\ESET\ESET NOD32 Antivirus\ekrn.exe [29.09.2009 13:03 735960]
R3 WFsys;WinFox Control I/O Driver;c:\windows\system32\drivers\wfsys.sys [17.10.2006 19:27 13692]
R4 WINFOXIO;WINFOXIO;c:\windows\system32\drivers\WINFOXIO.sys [17.10.2006 19:19 9469]
S0 NVStrap;NVStrap;c:\windows\system32\drivers\NVStrap.sys [18.10.2006 21:33 3712]
S3 chanalog;CH Analog Devices;c:\windows\system32\drivers\chanalog.sys [07.10.2006 15:23 30240]
S3 SaiH0BAC;SaiH0BAC;c:\windows\system32\drivers\SaiH0BAC.sys [12.10.2007 20:39 135168]
S3 SaiH0C2D;SaiH0C2D;c:\windows\system32\drivers\SaiH0C2D.sys [12.10.2007 20:39 135168]

--- Andere Dienste/Treiber im Speicher ---

*NewlyCreated* - WINFOXIO
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
Trusted Zone: unilog.de\webmail
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-OEM-Reset - (no file)
HKLM-Run-DisplayTrayIcon - (no file)
Notify-AtiExtEvent - (no file)
AddRemove-MahJongg Master - c:\program files\MahJongg Master\DeIsL4.isu
AddRemove-Alsek River Dry Bay Rudy's Strip - c:\program files\Microsoft Games\Flight Simulator 9\Uninstal_AR7.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-12-10 21:03
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2009-12-10  21:06:09
ComboFix-quarantined-files.txt  2009-12-10 20:05

Vor Suchlauf: 7.910.301.696 Bytes frei
Nach Suchlauf: 8.478.498.816 Bytes frei

- - End Of File - - CC37F24E93A6EBCA871BBA752A714A77
         

Hallo Zusammen,
mein System schaut mittlerweile Virenfrei aus. Seit dem Lauf von Combofix habe ich verschiedene Scans mit SuperAntisSpyware und verschiedenen Virenscannern durchgeführt - alle ohne Fund!
Ich habe in den letzten Tagen durch das Lesen hier im Forum sehr viel über meinen PC und IT-Security gelernt.

Zum Surfen benutze ich mittlerweile die Surf-CD vom BSI.
Dieses ist eine bootfähige Knoppix Edition welche mit einem Browser ausgerüstet ist - die Laufwerke sind beim Surfen abgeklemmt.

Liebe Grüße
Lorenz