Hallo an alle,

auch ich habe dieses Board entdeckt um Hilfe zu bekommen.
Da ich der einäugige unter den Blinden im Freundeskreis bin habe ich einen Laptop bekommen, welcher total verseucht ist.
Ich habe gestern den CCleaner laufen lassen und danach versucht AntiMalware zu installieren, was mir im abgesicherten Modus auch gelungen ist. Leider will das Programm nicht starten.
Da ich einen Rootkit vermutete habe ich GMER laufen lassen. Das Protokoll hänge ich an.
Soll ich jetzt noch mit Schritt drei weitermachen oder habt Ihr andere Vorschläge?

Protokoll:
GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-01-06 23:37:33
Windows 5.1.2600 Service Pack 3
Running: 8wkl4t5t.exe; Driver: C:\DOKUME~1\Lars\LOKALE~1\Temp\pxtdypow.sys


---- System - GMER 1.0.15 ----

Code 86CE6B70 ZwEnumerateKey
Code 86CE7C00 ZwFlushInstructionCache
Code 86CE15FE IofCallDriver
Code 86D218F6 IofCompleteRequest

---- Kernel code sections - GMER 1.0.15 ----

.text ntoskrnl.exe!IofCallDriver 804E37C5 5 Bytes JMP 86CE1603
.text ntoskrnl.exe!IofCompleteRequest 804E3BF6 5 Bytes JMP 86D218FB
PAGE ntoskrnl.exe!ZwFlushInstructionCache 8056E42A 5 Bytes JMP 86CE7C04
PAGE ntoskrnl.exe!ZwEnumerateKey 805735A4 5 Bytes JMP 86CE6B74
init C:\WINDOWS\system32\drivers\tifm21.sys entry point in "init" section [0xF6D4FEBF]

---- User code sections - GMER 1.0.15 ----

.text C:\WINDOWS\Explorer.EXE[1868] WININET.dll!HttpOpenRequestA 77192B01 5 Bytes JMP 13189BEC
.text C:\WINDOWS\Explorer.EXE[1868] WININET.dll!InternetConnectA 7719345A 5 Bytes JMP 13189A80
.text C:\WINDOWS\Explorer.EXE[1868] WININET.dll!InternetCloseHandle 77194D94 5 Bytes JMP 1318B354
.text C:\WINDOWS\Explorer.EXE[1868] WININET.dll!InternetOpenA 77195796 5 Bytes JMP 13189A2C
.text C:\WINDOWS\Explorer.EXE[1868] WININET.dll!HttpSendRequestA 771960A9 5 Bytes JMP 1318A500
.text C:\WINDOWS\Explorer.EXE[1868] WININET.dll!InternetReadFile 771982F2 5 Bytes JMP 1318B100
.text C:\WINDOWS\Explorer.EXE[1868] WININET.dll!InternetQueryDataAvailable 771A8A67 5 Bytes JMP 1318AEF4
.text C:\WINDOWS\Explorer.EXE[1868] WININET.dll!InternetReadFileExA 771C934E 5 Bytes JMP 1318B2B4
.text C:\WINDOWS\Explorer.EXE[1868] WININET.dll!InternetReadFileExW 771C9D9E 5 Bytes JMP 1318B304
.text C:\WINDOWS\Explorer.EXE[1868] WININET.dll!HttpSendRequestW 771E3224 5 Bytes JMP 1318A914

---- Devices - GMER 1.0.15 ----

AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

Device \FileSystem\Cdfs \Cdfs DLAIFS_M.SYS (Drive Letter Access Component/Sonic Solutions)

---- Modules - GMER 1.0.15 ----

Module \systemroot\system32\drivers\H8SRTrntyuuhddc.sys (*** hidden *** ) AACCE000-AACEB000 (118784 bytes)
---- Processes - GMER 1.0.15 ----

Library \\?\globalroot\systemroot\system32\H8SRTcbaxjaimof.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [888] 0x10000000
Library \\?\globalroot\systemroot\system32\H8SRTcbaxjaimof.dll (*** hidden *** ) @ C:\WINDOWS\System32\svchost.exe [932] 0x10000000
Library \\?\globalroot\systemroot\system32\H8SRTcbaxjaimof.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [992] 0x10000000
Library \\?\globalroot\systemroot\system32\H8SRTcbaxjaimof.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1076] 0x10000000
Library \\?\globalroot\systemroot\system32\H8SRTcbaxjaimof.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1440] 0x10000000
Library \\?\globalroot\systemroot\system32\H8SRTcbaxjaimof.dll (*** hidden *** ) @ C:\WINDOWS\Explorer.EXE [1868] 0x10000000
Library \\?\globalroot\systemroot\system32\H8SRTcbaxjaimof.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1972] 0x10000000
Library \\?\globalroot\systemroot\system32\H8SRTcbaxjaimof.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [2292] 0x10000000

---- Services - GMER 1.0.15 ----

Service C:\WINDOWS\system32\drivers\H8SRTrntyuuhddc.sys (*** hidden *** ) [SYSTEM] H8SRTd.sys <-- ROOTKIT !!!

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys@start 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys@type 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys@imagepath \systemroot\system32\drivers\H8SRTrntyuuhddc.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys@group file system
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@H8SRTd \\?\globalroot\systemroot\system32\drivers\H8SRTrntyuuhddc.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@H8SRTc \\?\globalroot\systemroot\system32\H8SRTvvkbejitao.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@H8SRTsrcr \\?\globalroot\systemroot\system32\H8SRTyjrdtiindx.dat
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@h8srtserf \\?\globalroot\systemroot\system32\H8SRTcbaxjaimof.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@h8srtbbr \\?\globalroot\systemroot\system32\H8SRTgvxvasrnty.dll
Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys@start 1
Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys@type 1
Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys@imagepath \systemroot\system32\drivers\H8SRTrntyuuhddc.sys
Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys@group file system
Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys\modules (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys\modules@H8SRTd \\?\globalroot\systemroot\system32\drivers\H8SRTrntyuuhddc.sys
Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys\modules@H8SRTc \\?\globalroot\systemroot\system32\H8SRTvvkbejitao.dll
Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys\modules@H8SRTsrcr \\?\globalroot\systemroot\system32\H8SRTyjrdtiindx.dat
Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys\modules@h8srtserf \\?\globalroot\systemroot\system32\H8SRTcbaxjaimof.dll
Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys\modules@h8srtbbr \\?\globalroot\systemroot\system32\H8SRTgvxvasrnty.dll

---- Files - GMER 1.0.15 ----

File C:\Dokumente und Einstellungen\Lars\Lokale Einstellungen\Temp\H8SRTf5fc.tmp 343040 bytes executable
File C:\Dokumente und Einstellungen\Lars\Lokale Einstellungen\Temp\h8srtmainqt.dll 15813 bytes
File C:\WINDOWS\system32\drivers\H8SRTrntyuuhddc.sys 40960 bytes executable <-- ROOTKIT !!!
File C:\WINDOWS\system32\H8SRTcbaxjaimof.dll 36864 bytes executable
File C:\WINDOWS\system32\H8SRTgvxvasrnty.dll 40960 bytes executable
File C:\WINDOWS\system32\H8SRTvvkbejitao.dll 23040 bytes executable
File C:\WINDOWS\system32\H8SRTyjrdtiindx.dat 202 bytes

---- EOF - GMER 1.0.15 ----


Vielen Dank für Eure Hilfe.

Gruß Silvio

Hallöle SIWA. Hast du dir den Laptop gekauft?

Dann musst du Neuaufsetzen und hinterher ordentlich absichern.

Oder hast du den von einem Freund bekommen um ihn heil zu machen?

In dem Fall poste bitte zwei AVZ logs.

Hallo undoreal,

ich soll den Rechner heile machen, aber wie gesagt, ich bin auch nur Einäugiger...:-)

Ich werde heute Abend die zwei logs erstellen und posten.

Bei der Anleitung komme ich bei Download nach den 4. Punkt nicht zurecht.
Soll ich die 1111.com einmal starten als Admin und dann wieder schließen, bevor ich die dann wieder mit doppelklick starte oder ist der Start dann schon gewährleistet und ich kann mit Punkt 2 der Systemanalyse fortfahren?

Gruß SIWA

Einfach nur auf die 1111.exe mit rechts drauf klicken und "Ausführen als Admin" auswählen. Danach wie in der Anleitung beschrieben weitermachen.

Der Updater bringt eine Fehlermeldung:-(((

Ich habe auf dem Rechner eine WLAN-Verbindung eingerichtet - die verbindung steht, aber er läßt mich auch nicht mit dem IE ins Netz.

Dann lass das Update erstmal weg und gehe weiter vor wie in der Anleitung beschrieben wird.

Hi,

hier die zip-Dateien...

Führe bitte folgendes Skript mit AVZ aus:

Zitat:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask('%Tmp%', '*.*', true);
DeleteFileMask('c:\windows\temp', '*.*', true);
DeleteFile('c:\programme\malware defense\mdefense.exe');
DeleteFile('c:\programme\gemeinsame dateien\drivecleaner free\udcwap.exe');
DeleteFile('\\?\globalroot\systemroot\system32\H8SRTcbaxjaimof.dll');
DeleteFile('C:\Programme\Gemeinsame Dateien\DriveCleaner Free\udcwap.exe');
DeleteFile('C:\Programme\Malware Defense\mdefense.exe');
DeleteFile('C:\PROGRA~1\MALWAR~1\mdext.dll');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSVC('H8SRTd.sys');
BC_Activate;
RebootWindows(true);
end.

Räume danach mit dem CCleaner auf und lasse Malwarebytes scannen. Poste das log.

hier der MBAM Log:

Der Rechner ist stattlich verseucht.

Wir müssen jetzt so einige Scans machen um wenigstens halbwegs sagen zu können er wäre wieder "sauber".
Am besten wäre es allerdings wenn du Neuaufsetzen würdest.

Scanne mit SUPERAntiSpyware und poste das log.

Lasse danach die DrWeb Live CD das System untersuchen:
http://www.pcwelt.de/start/sicherhei.../drweb_livecd/
Die Funde schreibst du dir bitte aus dem Bericht ab! (Name der Infektion, Dateiname und Dateipfad!)
Danach lässt du die Funde desinfizieren/reparieren oder, wenn das nicht geht, löschen.

Danach solltest du noch Panda scannen lassen:


Panda Active Scan

Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation

Drücke auf Jetzt Scannen!

Eine Registrierung ist nicht erforderlich!

Nachdem der Scan abgeschlossen ist drücke auf das Text-Icon Export und speichere das log auf dem Desktop.
Öffne die Datei ActiveScan.txt die sich nun auf deinem Desktop befindet und poste uns den Inhalt.

Räume nach den ganzen Scans bitte mit dem CCleaner auf und poste ein HijackThis log.

das superantispyware-log:

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 01/08/2010 at 09:55 PM

Application Version : 4.33.1000

Core Rules Database Version : 4460
Trace Rules Database Version: 2281

Scan type : Complete Scan
Total Scan Time : 01:25:24

Memory items scanned : 550
Memory threats detected : 0
Registry items scanned : 5260
Registry threats detected : 5
File items scanned : 127794
File threats detected : 4

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\Lars\Cookies\lars@doubleclick[1].txt
C:\Dokumente und Einstellungen\Lars\Cookies\lars@content.yieldmanager[1].txt
C:\Dokumente und Einstellungen\Lars\Cookies\lars@ad.yieldmanager[2].txt

Rogue.Component/Trace
HKU\S-1-5-21-1842228145-3228854401-1942730606-1007\Software\86106105991473099558915164102606\Options
HKU\S-1-5-21-1842228145-3228854401-1942730606-1007\Software\86106105991473099558915164102606\Options#Aff
HKU\S-1-5-21-1842228145-3228854401-1942730606-1007\Software\86106105991473099558915164102606\Options#AdvancedScanType
HKU\S-1-5-21-1842228145-3228854401-1942730606-1007\Software\86106105991473099558915164102606\Options#FirstRunUrl
HKU\S-1-5-21-1842228145-3228854401-1942730606-1007\Software\86106105991473099558915164102606

Rogue.SmartProtector
C:\WINDOWS\system32\srcr.dat

Hi,

DrWebCD hat nichts gefunden - oder ich habe mich blöd angestellt.
Hab es zweimal versucht.
Hier noch der Panda-Log:
;***************************************************************************************************************************************************** ******************************
ANALYSIS: 2010-01-10 13:36:00
PROTECTIONS: 2
MALWARE: 48
SUSPECTS: 2
;***************************************************************************************************************************************************** ******************************
PROTECTIONS
Description Version Active Updated
;===================================================================================================================================================== ==============================
Malware Defense 1.0 Yes No
AntiVir Desktop 9.0.1.32 No No
;===================================================================================================================================================== ==============================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;===================================================================================================================================================== ==============================
00018331 adware/gator Adware No 0 Yes No hkey_classes_root\clsid\{21ffb6c0-0da1-11d5-a9d5-00500413153c}
00018331 adware/gator Adware No 0 Yes No hkey_local_machine\software\classes\clsid\{21ffb6c0-0da1-11d5-a9d5-00500413153c}
00139060 Cookie/Casalemedia TrackingCookie No 0 Yes No c:\dokumente und einstellungen\frank\cookies\frank@casalemedia[1].txt
00139060 Cookie/Casalemedia TrackingCookie No 0 Yes No c:\dokumente und einstellungen\helpassistant\cookies\lars@casalemedia[2].txt
00139061 Cookie/Doubleclick TrackingCookie No 0 Yes No c:\dokumente und einstellungen\ina\cookies\ina@doubleclick[2].txt
00139061 Cookie/Doubleclick TrackingCookie No 0 Yes No c:\dokumente und einstellungen\lars\cookies\lars@doubleclick[2].txt
00139061 Cookie/Doubleclick TrackingCookie No 0 Yes No c:\dokumente und einstellungen\helpassistant\cookies\lars@doubleclick[2].txt
00139061 Cookie/Doubleclick TrackingCookie No 0 Yes No c:\dokumente und einstellungen\frank\cookies\frank@doubleclick[1].txt
00139061 Cookie/Doubleclick TrackingCookie No 0 Yes No c:\dokumente und einstellungen\helpassistant\cookies\lars@doubleclick[1].txt
00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No c:\dokumente und einstellungen\lars\cookies\lars@atdmt[2].txt
00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No c:\dokumente und einstellungen\frank\cookies\frank@atdmt[2].txt
00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No c:\dokumente und einstellungen\helpassistant\cookies\lars@atdmt[1].txt
00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No c:\dokumente und einstellungen\ina\cookies\ina@atdmt[2].txt
00145393 Cookie/Tradedoubler TrackingCookie No 0 Yes No c:\dokumente und einstellungen\helpassistant\cookies\lars@tradedoubler[1].txt
00145393 Cookie/Tradedoubler TrackingCookie No 0 Yes No c:\dokumente und einstellungen\frank\cookies\frank@tradedoubler[2].txt
00145393 Cookie/Tradedoubler TrackingCookie No 0 Yes No c:\dokumente und einstellungen\lars\cookies\lars@tradedoubler[1].txt
00145393 Cookie/Tradedoubler TrackingCookie No 0 Yes No c:\dokumente und einstellungen\ina\cookies\ina@tradedoubler[2].txt
00145405 Cookie/RealMedia TrackingCookie No 0 Yes No c:\dokumente und einstellungen\helpassistant\cookies\lars@247realmedia[2].txt
00145453 Cookie/Bfast TrackingCookie No 0 Yes No c:\dokumente und einstellungen\ina\cookies\ina@bfast[1].txt
00145457 Cookie/FastClick TrackingCookie No 0 Yes No c:\dokumente und einstellungen\frank\cookies\frank@fastclick[2].txt
00145457 Cookie/FastClick TrackingCookie No 0 Yes No c:\dokumente und einstellungen\helpassistant\cookies\lars@fastclick[2].txt
00145731 Cookie/Tribalfusion TrackingCookie No 0 Yes No c:\dokumente und einstellungen\helpassistant\cookies\lars@tribalfusion[2].txt
00145732 Cookie/Falkag TrackingCookie No 0 Yes No c:\dokumente und einstellungen\frank\cookies\frank@as-eu.falkag[1].txt
00145738 Cookie/Mediaplex TrackingCookie No 0 Yes No c:\dokumente und einstellungen\helpassistant\cookies\lars@mediaplex[1].txt
00145738 Cookie/Mediaplex TrackingCookie No 0 Yes No c:\dokumente und einstellungen\ina\cookies\ina@mediaplex[1].txt
00145738 Cookie/Mediaplex TrackingCookie No 0 Yes No c:\dokumente und einstellungen\frank\cookies\frank@mediaplex[1].txt
00145738 Cookie/Mediaplex TrackingCookie No 0 Yes No c:\dokumente und einstellungen\helpassistant\cookies\lars@mediaplex[2].txt
00147036 Cookie/Adverserve TrackingCookie No 0 Yes No c:\dokumente und einstellungen\ina\cookies\ina@adverserve[1].txt
00147036 Cookie/Adverserve TrackingCookie No 0 Yes No c:\dokumente und einstellungen\helpassistant\cookies\lars@adverserve[1].txt
00147824 Cookie/Clickbank TrackingCookie No 0 Yes No c:\dokumente und einstellungen\ina\cookies\ina@clickbank[1].txt
00147824 Cookie/Clickbank TrackingCookie No 0 Yes No c:\dokumente und einstellungen\helpassistant\cookies\lars@clickbank[1].txt
00159564 Cookie/WUpd TrackingCookie No 0 Yes No c:\dokumente und einstellungen\helpassistant\cookies\lars@revenue[2].txt
00167647 Cookie/Yadro TrackingCookie No 0 Yes No c:\dokumente und einstellungen\helpassistant\cookies\lars@yadro[2].txt
00167704 Cookie/Xiti TrackingCookie No 0 Yes No c:\dokumente und einstellungen\helpassistant\cookies\lars@xiti[1].txt
00167753 Cookie/Statcounter TrackingCookie No 0 Yes No c:\dokumente und einstellungen\ina\cookies\ina@statcounter[2].txt
00167753 Cookie/Statcounter TrackingCookie No 0 Yes No c:\dokumente und einstellungen\helpassistant\cookies\lars@statcounter[2].txt
00168048 Cookie/Overture TrackingCookie No 0 Yes No c:\dokumente und einstellungen\ina\cookies\ina@perf.overture[1].txt
00168056 Cookie/YieldManager TrackingCookie No 0 Yes No c:\dokumente und einstellungen\frank\cookies\frank@ad.yieldmanager[2].txt
00168056 Cookie/YieldManager TrackingCookie No 0 Yes No c:\dokumente und einstellungen\helpassistant\cookies\lars@ad.yieldmanager[2].txt
00168056 Cookie/YieldManager TrackingCookie No 0 Yes No c:\dokumente und einstellungen\ina\cookies\ina@ad.yieldmanager[1].txt
00168056 Cookie/YieldManager TrackingCookie No 0 Yes No c:\dokumente und einstellungen\helpassistant\cookies\lars@ad.yieldmanager[1].txt
00168061 Cookie/Apmebf TrackingCookie No 0 Yes No c:\dokumente und einstellungen\helpassistant\cookies\lars@apmebf[1].txt
00168061 Cookie/Apmebf TrackingCookie No 0 Yes No c:\dokumente und einstellungen\helpassistant\cookies\lars@apmebf[2].txt
00168076 Cookie/BurstNet TrackingCookie No 0 Yes No c:\dokumente und einstellungen\helpassistant\cookies\lars@burstnet[1].txt
00168090 Cookie/Serving-sys TrackingCookie No 0 Yes No c:\dokumente und einstellungen\helpassistant\cookies\lars@serving-sys[2].txt
00168090 Cookie/Serving-sys TrackingCookie No 0 Yes No c:\dokumente und einstellungen\ina\cookies\ina@serving-sys[2].txt
00168090 Cookie/Serving-sys TrackingCookie No 0 Yes No c:\dokumente und einstellungen\helpassistant\cookies\lars@serving-sys[1].txt
00168090 Cookie/Serving-sys TrackingCookie No 0 Yes No c:\dokumente und einstellungen\helpassistant\cookies\lars@serving-sys[3].txt
00168090 Cookie/Serving-sys TrackingCookie No 0 Yes No c:\dokumente und einstellungen\frank\cookies\frank@serving-sys[2].txt
00168093 Cookie/Serving-sys TrackingCookie No 0 Yes No c:\dokumente und einstellungen\helpassistant\cookies\lars@bs.serving-sys[1].txt
00168093 Cookie/Serving-sys TrackingCookie No 0 Yes No c:\dokumente und einstellungen\helpassistant\cookies\lars@bs.serving-sys[2].txt
00168093 Cookie/Serving-sys TrackingCookie No 0 Yes No c:\dokumente und einstellungen\frank\cookies\frank@bs.serving-sys[2].txt
00168093 Cookie/Serving-sys TrackingCookie No 0 Yes No c:\dokumente und einstellungen\ina\cookies\ina@bs.serving-sys[2].txt
00168102 Cookie/Falkag TrackingCookie No 0 Yes No c:\dokumente und einstellungen\frank\cookies\frank@as1.falkag[2].txt
00168106 Cookie/Weborama TrackingCookie No 0 Yes No c:\dokumente und einstellungen\helpassistant\cookies\lars@weborama[1].txt
00168109 Cookie/Adtech TrackingCookie No 0 Yes No c:\dokumente und einstellungen\frank\cookies\frank@adtech[2].txt
00168109 Cookie/Adtech TrackingCookie No 0 Yes No c:\dokumente und einstellungen\helpassistant\cookies\lars@adtech[1].txt
00168109 Cookie/Adtech TrackingCookie No 0 Yes No c:\dokumente und einstellungen\ina\cookies\ina@adtech[2].txt
00168110 Cookie/Server.iad.Liveperson TrackingCookie No 0 Yes No c:\dokumente und einstellungen\helpassistant\cookies\lars@server.iad.liveperson[1].txt
00168110 Cookie/Server.iad.Liveperson TrackingCookie No 0 Yes No c:\dokumente und einstellungen\ina\cookies\ina@server.iad.liveperson[2].txt
00168113 Cookie/fe.lea.lycos TrackingCookie No 0 Yes No c:\dokumente und einstellungen\ina\cookies\ina@fe.lea.lycos[1].txt
00169190 Cookie/Advertising TrackingCookie No 0 Yes No c:\dokumente und einstellungen\ina\cookies\ina@advertising[1].txt
00169190 Cookie/Advertising TrackingCookie No 0 Yes No c:\dokumente und einstellungen\helpassistant\cookies\lars@advertising[2].txt
00169190 Cookie/Advertising TrackingCookie No 0 Yes No c:\dokumente und einstellungen\helpassistant\cookies\lars@advertising[1].txt
00169190 Cookie/Advertising TrackingCookie No 0 Yes No c:\dokumente und einstellungen\frank\cookies\frank@advertising[1].txt
00169287 Cookie/Adrevolver TrackingCookie No 0 Yes No c:\dokumente und einstellungen\frank\cookies\frank@adrevolver[3].txt
00170304 Cookie/WebtrendsLive TrackingCookie No 0 Yes No c:\dokumente und einstellungen\ina\cookies\ina@statse.webtrendslive[1].txt
00170304 Cookie/WebtrendsLive TrackingCookie No 0 Yes No c:\dokumente und einstellungen\helpassistant\cookies\lars@statse.webtrendslive[2].txt
00170495 Cookie/PointRoll TrackingCookie No 0 Yes No c:\dokumente und einstellungen\helpassistant\cookies\lars@ads.pointroll[2].txt
00170554 Cookie/Overture TrackingCookie No 0 Yes No c:\dokumente und einstellungen\ina\cookies\ina@overture[1].txt
00170554 Cookie/Overture TrackingCookie No 0 Yes No c:\dokumente und einstellungen\frank\cookies\frank@overture[2].txt
00171982 Cookie/QuestionMarket TrackingCookie No 0 Yes No c:\dokumente und einstellungen\helpassistant\cookies\lars@questionmarket[1].txt
00171982 Cookie/QuestionMarket TrackingCookie No 0 Yes No c:\dokumente und einstellungen\ina\cookies\ina@questionmarket[2].txt
00171982 Cookie/QuestionMarket TrackingCookie No 0 Yes No c:\dokumente und einstellungen\helpassistant\cookies\lars@questionmarket[2].txt
00172221 Cookie/Zedo TrackingCookie No 0 Yes No c:\dokumente und einstellungen\ina\cookies\ina@zedo[2].txt
00172221 Cookie/Zedo TrackingCookie No 0 Yes No c:\dokumente und einstellungen\helpassistant\cookies\lars@zedo[1].txt
00173520 Cookie/Bluestreak TrackingCookie No 0 Yes No c:\dokumente und einstellungen\helpassistant\cookies\lars@bluestreak[1].txt
00184846 Cookie/Adrevolver TrackingCookie No 0 Yes No c:\dokumente und einstellungen\frank\cookies\frank@adrevolver[2].txt
00184846 Cookie/Adrevolver TrackingCookie No 0 Yes No c:\dokumente und einstellungen\helpassistant\cookies\lars@adrevolver[2].txt
00194327 Cookie/Go TrackingCookie No 0 Yes No c:\dokumente und einstellungen\helpassistant\cookies\lars@go[1].txt
00199984 Cookie/Searchportal TrackingCookie No 0 Yes No c:\dokumente und einstellungen\helpassistant\cookies\lars@searchportal.information[1].txt
00207936 Cookie/Adviva TrackingCookie No 0 Yes No c:\dokumente und einstellungen\ina\cookies\ina@adviva[1].txt
00207936 Cookie/Adviva TrackingCookie No 0 Yes No c:\dokumente und einstellungen\helpassistant\cookies\lars@adviva[1].txt
00262020 Cookie/Atwola TrackingCookie No 0 Yes No c:\dokumente und einstellungen\helpassistant\cookies\lars@atwola[1].txt
00273339 Cookie/Smartadserver TrackingCookie No 0 Yes No c:\dokumente und einstellungen\helpassistant\cookies\lars@smartadserver[2].txt
00273339 Cookie/Smartadserver TrackingCookie No 0 Yes No c:\dokumente und einstellungen\ina\cookies\ina@smartadserver[2].txt
00623824 trj/sinowal.wbv Virus/Trojan No 0 Yes No hkey_current_user\software\mc
01588463 Generic Malware Virus/Trojan No 0 Yes No c:\system volume information\_restore{dd0ff237-ad14-4090-b42a-4c4f2c77caa7}\rp269\a0064676.dll
01588463 Generic Malware Virus/Trojan No 0 Yes No c:\system volume information\_restore{dd0ff237-ad14-4090-b42a-4c4f2c77caa7}\rp269\a0063688.dll
01588463 Generic Malware Virus/Trojan No 0 Yes No c:\system volume information\_restore{dd0ff237-ad14-4090-b42a-4c4f2c77caa7}\rp269\a0065211.dll
01606636 Cookie/Adserver TrackingCookie No 0 Yes No c:\dokumente und einstellungen\frank\cookies\frank@adserver.easyad[1].txt
01606636 Cookie/Adserver TrackingCookie No 0 Yes No c:\dokumente und einstellungen\helpassistant\cookies\lars@adserver.easyad[1].txt
03074964 Trj/CI.A Virus/Trojan No 0 Yes No c:\system volume information\_restore{dd0ff237-ad14-4090-b42a-4c4f2c77caa7}\rp273\a0068228.exe
03074964 Trj/CI.A Virus/Trojan No 0 Yes No c:\system volume information\_restore{dd0ff237-ad14-4090-b42a-4c4f2c77caa7}\rp272\a0066941.sys
05813045 Adware/SystemGuard2009 Adware No 0 Yes No c:\system volume information\_restore{dd0ff237-ad14-4090-b42a-4c4f2c77caa7}\rp273\a0068227.dll
05843390 Trj/TDSS.DF Virus/Trojan No 1 Yes No c:\system volume information\_restore{dd0ff237-ad14-4090-b42a-4c4f2c77caa7}\rp273\a0068240.dll
;===================================================================================================================================================== ==============================
SUSPECTS
Sent Location
;===================================================================================================================================================== ==============================
No c:\programme\ace mega codecs pack\anti-virus\quick remove\pavcl.com
No c:\programme\qip\qip.exe
;===================================================================================================================================================== ==============================
VULNERABILITIES
Id Severity Description
;===================================================================================================================================================== ==============================
;===================================================================================================================================================== ==============================

Da mehrere Nutzer eingerichtet sind habe ich manuell bei jedem Nutzer die Cookies gelöscht.
hier noch der HJT-Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:46:21, on 10.01.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\ICQ6Toolbar\ICQ Service.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Toshiba\Windows Utilities\Hotkey.exe
C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\System32\DLA\DLACTRLW.EXE
C:\WINDOWS\system32\MMTray.exe
C:\WINDOWS\system32\MMTray2k.exe
C:\WINDOWS\system32\MMTrayLSI.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Synaptics\SynTP\Toshiba.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\WINDOWS\system32\igfxext.exe
C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE
C:\Programme\HP\Digital Imaging\bin\hpqnrs08.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\HPZinw12.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\HJT\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://search.qip.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://search.qip.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://search.live.com/sphome.aspx
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://search.live.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://search.qip.ru
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://search.live.com/sphome.aspx
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://search.qip.ru/search?query=%s&from=IE
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
R3 - URLSearchHook: (no name) - - (no file)
O1 - Hosts: HP29C7BE HP0018FE29C7BE
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] CHDAudPropShortcut.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Toshiba Hotkey Utility] "C:\Programme\Toshiba\Windows Utilities\Hotkey.exe" /lang DE
O4 - HKLM\..\Run: [SmoothView] C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE
O4 - HKLM\..\Run: [MMTray] MMTray.exe
O4 - HKLM\..\Run: [MMTray2K] MMTray2k.exe
O4 - HKLM\..\Run: [MMTrayLSI] MMTrayLSI.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Microsoft Office OneNote 2003 Schnellstart.lnk = C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {9191F686-7F0A-441D-8A98-2FE3AC1BD913} (ActiveScan 2.0 Installer Class) - h**p://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: HP Port Resolver - Hewlett-Packard Company - C:\WINDOWS\system32\spool\drivers\w32x86\3\HPBPRO.EXE
O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 8532 bytes

sieht soweit sauber aus...

Zitat:

Zitat von undoreal

sieht soweit sauber aus...

...trotzdem wäre Neuaufsetzen besser - ich weiß, das soll er aber selbst entscheiden.
Vielen Dank!