Hallo zusammen, hab seit Weihnachten diesen Trojaner und Maleware attacken auf meinem PC. Bin in solchen Sachen nicht grad die hellste Kraft und hoffe das ich hier Hilfe bekomme. Diese HijackThis Log sende ich mal mit das hab ich schon mal alleine geschafft, hoffe ich. Ich wäre sehr erfreut wenn sich das mal jemand hier anschaut, Danke im voraus schonmal.



Scan saved at 17:24:07, on 07.01.2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS.0\System32\smss.exe
C:\WINDOWS.0\system32\winlogon.exe
C:\WINDOWS.0\system32\services.exe
C:\WINDOWS.0\system32\lsass.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\System32\svchost.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\Explorer.EXE
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe
C:\Programme\Logitech\GamePanel Software\LCD Manager\LCDMon.exe
C:\WINDOWS.0\system32\RUNDLL32.EXE
C:\Programme\Winamp\winampa.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS.0\system32\rundll32.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\WINDOWS.0\system32\nvsvc32.exe
C:\WINDOWS.0\system32\HPZipm12.exe
C:\Programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDClock.exe
C:\Programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDCountdown.exe
C:\WINDOWS.0\system32\PnkBstrA.exe
C:\Programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDPop3.exe
C:\Programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDMedia.exe
C:\WINDOWS.0\system32\PnkBstrB.exe
C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\System32\TUProgSt.exe
C:\WINDOWS.0\system32\wuauclt.exe
C:\WINDOWS.0\System32\TuneUpDefragService.exe
C:\Programme\Teamspeak2_RC2\TeamSpeak.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\TrendMicro\HiJackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.daemon-search.com/startpage
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=10611&gct=&gc=1&q=
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=10611&gct=&gc=1&q=
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://toolbar.ask.com/toolbarv/askRedirect?o=10611&gct=&gc=1&q=%s
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: DefaultSearchHook Class - {C94E154B-1459-4A47-966B-4B843BEFC7DB} - C:\Programme\AskSearch\bin\DefaultSearch.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS.0\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Logitech\GamePanel Software\LCD Manager\LCDMon.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS.0\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programme\PokerStars\PokerStarsUpdate.exe
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS.0\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS.0\system32\browseui.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: HP Port Resolver - Hewlett-Packard Company - C:\WINDOWS.0\system32\spool\drivers\w32x86\3\HPBPRO.EXE
O23 - Service: HP Status Server - Hewlett-Packard Company - C:\WINDOWS.0\system32\spool\drivers\w32x86\3\HPBOID.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTServ.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS.0\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS.0\system32\HPZipm12.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS.0\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS.0\system32\PnkBstrB.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS.0\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS.0\System32\TUProgSt.exe

--
End of file - 6809 bytes

Hallo und

Bitte diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!! )

Wichtig für Benutzer mit Windows Vista und Windows 7: Bitte alle Tools per Rechtsklick => Als Admin ausführen!

Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.

File-Upload.net - Scan.zip
Hallo erstmal, danke schon mal im vorraus. Das wäre der link zu upload. Hoffe das das so alles klappt und das alles da ist was du brauchst, bin in solchen Sachen nicht der beste. Bei CCleaner gibt es meiner Meinung kein Log files, war so alles i.O. keine Fehler in der Registry. Wenn irgendwas fehlt bescheid geben ich versuch das dann so schnell wie möglich nachzureichen, ok.

1.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde.

2.) Mach einen Durchlauf mit GMER und poste das Log, dann sehen wir weiter.

Hallo eine Frage,da steht nach jedem Scan-> Copy-> Neustart. Sind dann die Log Dateien da oder muss ich vor dem Neustart die Log´Daten einfügen in die Antwort. Kompliziert ich weiss, Sorry.

Das kannst Du erstmal ignorieren. Wichtig ist für mich erstmal nur das Logfile.

Geht klar, Danke.

Mist, denke das der Scan zu 75% fertig war dann kamm der Blue Scren.Was jetzt nochmal versuchen.

Versuchs nochmal grad mal schauen was passiert.

Wieder Blue. Sieht nicht gut aus oder. Hab eigentlich allles aus gemacht, so wie es da stand. was tun ne Idee!

Dann probieren wir CF:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Geht nich. Kein plan was ich wieder gemacht habe. Startet nich, Download ging aber startet nicht. Das umschreiben ging auch nicht, wurde ich nicht aufgefordert.

Rechtsklick = Ziel speichern unter...und dann auf dem Desktop gleich umbenannt abspeichern. NICHT als combofix.exe ausführen!

Puh, habs geschafft wie du merkst bin ich nicht beste. Aber jetzt zum wesentlichen.

ComboFix 10-01-04.01 - Administrator 10.01.2010 18:12:03.1.2 - x86
ausgeführt von:: c:\dokumente und einstellungen\Administrator\Desktop\cofi.exe
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\programme\AskSearch\bin\DefaultSearch.dll
c:\recycler\S-1-5-21-1482476501-1364589140-725345543-1003
c:\windows.0\jestertb.dll
c:\windows.0\system32\tmp78.tmp
c:\windows.0\system32\tmp79.tmp

.
original MBR restored successfully !
.
((((((((((((((((((((((( Dateien erstellt von 2009-12-10 bis 2010-01-10 ))))))))))))))))))))))))))))))
.

2010-01-09 08:49 . 2010-01-09 08:56 -------- d-----w- c:\windows.0\system32\NtmsData
2010-01-08 17:46 . 2010-01-08 17:46 -------- d-----w- C:\rsit
2010-01-08 16:55 . 2010-01-08 16:55 5115824 ----a-w- c:\dokumente und einstellungen\All Users.WINDOWS.0\Anwendungsdaten\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe
2010-01-08 16:55 . 2010-01-08 16:55 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2010-01-08 16:55 . 2010-01-07 15:07 38224 ----a-w- c:\windows.0\system32\drivers\mbamswissarmy.sys
2010-01-08 16:55 . 2010-01-08 16:55 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2010-01-08 16:55 . 2010-01-08 16:55 -------- d-----w- c:\dokumente und einstellungen\All Users.WINDOWS.0\Anwendungsdaten\Malwarebytes
2010-01-08 16:55 . 2010-01-07 15:07 19160 ----a-w- c:\windows.0\system32\drivers\mbam.sys
2010-01-07 13:24 . 2010-01-07 13:24 388096 ----a-r- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Microsoft\Installer\{0761C9A8-8F3A-4216-B4A7-B7AFBF24A24A}\HiJackThis.exe
2010-01-07 13:24 . 2010-01-08 17:46 -------- d-----w- c:\programme\Trend Micro
2009-12-23 18:43 . 2003-03-18 20:20 1060864 ----a-w- c:\windows.0\system32\MFC71.dll
2009-12-23 18:43 . 2009-12-23 18:43 -------- d-----w- c:\programme\Alwil Software
2009-12-23 18:39 . 2009-12-23 18:39 -------- d-----w- c:\programme\CCleaner
2009-12-23 12:30 . 2009-12-23 12:30 -------- d-----w- c:\dokumente und einstellungen\HelpAssistant\UserData
2009-12-23 12:22 . 2009-12-23 18:56 -------- d-----w- c:\dokumente und einstellungen\HelpAssistant\Eigene Dateien

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-10 16:12 . 2009-05-27 11:51 -------- d-----w- c:\programme\TuneUp Utilities 2009
2010-01-09 09:35 . 2009-03-10 12:17 -------- d-----w- c:\programme\Java
2009-12-25 09:51 . 2008-11-10 11:35 1 ----a-w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2009-12-24 13:13 . 2007-08-10 19:59 138736 ----a-w- c:\windows.0\system32\drivers\PnkBstrK.sys
2009-12-24 13:13 . 2007-08-10 19:58 188968 ----a-w- c:\windows.0\system32\PnkBstrB.exe
2009-12-23 12:07 . 2009-04-27 22:09 -------- d-----w- c:\programme\Gemeinsame Dateien\Adobe
2009-12-09 08:35 . 2009-07-16 07:06 56816 ----a-w- c:\windows.0\system32\drivers\avgntflt.sys
2009-12-07 09:21 . 2007-03-30 16:47 16816 ----a-w- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-11-16 08:43 . 2009-11-16 08:43 -------- d-----w- c:\programme\JRE
2009-11-16 08:43 . 2008-11-10 11:32 -------- d-----w- c:\programme\OpenOffice.org 3
2009-11-16 08:40 . 2009-11-16 08:40 411368 ----a-w- c:\windows.0\system32\deploytk.dll
2009-10-29 05:44 . 2005-12-24 19:05 667648 ----a-w- c:\windows.0\system32\wininet.dll
2009-10-27 18:58 . 2005-12-24 19:05 84318 ----a-w- c:\windows.0\system32\perfc007.dat
2009-10-27 18:58 . 2005-12-24 19:05 458476 ----a-w- c:\windows.0\system32\perfh007.dat
2009-10-21 06:00 . 2005-12-24 19:05 75776 ----a-w- c:\windows.0\system32\strmfilt.dll
2009-10-21 06:00 . 2005-12-24 19:05 25088 ----a-w- c:\windows.0\system32\httpapi.dll
2009-10-20 14:58 . 2005-12-24 19:05 263552 ----a-w- c:\windows.0\system32\drivers\http.sys
2009-10-13 10:51 . 2005-12-24 19:05 267776 ----a-w- c:\windows.0\system32\oakley.dll
2008-10-21 16:24 . 2008-10-21 16:24 27580296 ----a-w- c:\programme\AdbeRdr90_de_DE.exe
2009-02-24 19:34 . 2009-02-24 19:34 1044480 ----a-w- c:\programme\mozilla firefox\plugins\libdivx.dll
2009-02-24 19:34 . 2009-02-24 19:34 200704 ----a-w- c:\programme\mozilla firefox\plugins\ssldivx.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows.0\system32\NvCpl.dll" [2008-12-25 13680640]
"nwiz"="nwiz.exe" [2008-12-25 1657376]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2008-02-29 76304]
"Launch LGDCore"="c:\programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe" [2007-07-18 2094352]
"Launch LCDMon"="c:\programme\Logitech\GamePanel Software\LCD Manager\LCDMon.exe" [2007-07-17 1687824]
"NvMediaCenter"="c:\windows.0\system32\NvMcTray.dll" [2008-12-25 86016]
"WinampAgent"="c:\programme\Winamp\winampa.exe" [2009-04-10 37888]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"HP Software Update"="c:\programme\HP\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-10-03 35696]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2009-09-04 935288]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows.0\system32\CTFMON.EXE" [2005-12-24 15360]

c:\dokumente und einstellungen\All Users.WINDOWS.0\Startmen�\Programme\Autostart\
Logitech SetPoint.lnk - c:\programme\Logitech\SetPoint\SetPoint.exe [2008-12-12 805392]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
2008-05-02 01:42 72208 ----a-w- c:\programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTWLgn.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"EA Core"="c:\programme\Electronic Arts\EADM\Core.exe" -silent
"CTFMON.EXE"=c:\windows.0\system32\ctfmon.exe
"Outlook Express"=c:\programme\Outlook Express\msimn.exe
"Steam"="c:\programme\Steam\Steam.exe" -silent

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Alcmtr"=ALCMTR.EXE
"RTHDCPL"=RTHDCPL.EXE
"SkyTel"=SkyTel.EXE
"SW20"=c:\windows.0\system32\sw20.exe
"SW24"=c:\windows.0\system32\sw24.exe
"WinSys2"=c:\windows.0\system32\winsys2.exe
"NeroFilterCheck"=c:\windows.0\system32\NeroCheck.exe
"HP Software Update"=c:\programme\HP\HP Software Update\HPWuSchd2.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Electronic Arts\\Battlefield 2142\\BF2142.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\WINDOWS.0\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS.0\\system32\\PnkBstrB.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"65533:TCP"= 65533:TCP:Services
"52344:TCP"= 52344:TCP:Services
"2479:TCP"= 2479:TCP:Services
"2576:TCP"= 2576:TCP:Services
"3389:TCP"= 3389:TCP:Remote Desktop

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [16.07.2009 08:06 108289]
R2 MZCCntrl;T-Online WLAN Adapter Steuerungsdienst;c:\programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe [30.07.2007 18:31 61440]
S3 iMSPCLOj;iMSPCLOj;\??\c:\dokume~1\ADMINI~1\LOKALE~1\Temp\iMSPCLOj.sys --> c:\dokume~1\ADMINI~1\LOKALE~1\Temp\iMSPCLOj.sys [?]
S3 MACNDIS5;MACNDIS5 NDIS Protocol Driver;c:\progra~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS [30.07.2007 18:31 17280]
S3 SetupNTGLM7X;SetupNTGLM7X;\??\d:\ntglm7x.sys --> d:\NTGLM7X.sys [?]
S4 sptd;sptd;c:\windows.0\system32\drivers\sptd.sys [01.02.2009 14:59 717296]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.daemon-search.com/startpage
uInternet Settings,ProxyOverride = *.local
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://toolbar.ask.com/toolbarv/askRedirect?o=10611&gct=&gc=1&q=%s
FF - ProfilePath - c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\sv80q3ln.default\
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows.0\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2010-01-10 18:18
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1343024091-1383384898-725345543-500\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)

[HKEY_USERS\S-1-5-21-1343024091-1383384898-725345543-500\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu\Programs\Electronic Arts\C*o*m*m*a*n*d* *&* *C*o*n*q*u*e*r* *3* *T*i*b*e*r*i*u*m* *W*a*r*s*"!\Kundendienst]
"Order"=hex:08,00,00,00,02,00,00,00,b8,02,00,00,01,00,00,00,04,00,00,00,de,00,
00,00,00,00,00,00,d0,00,00,00,41,75,67,4d,02,00,00,00,01,00,00,00,be,00,32,\

[HKEY_USERS\S-1-5-21-1343024091-1383384898-725345543-500\Software\Policies\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (Administrator)
@Allowed: (Read) (Administrator)
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)

[HKEY_USERS\S-1-5-21-1343024091-1383384898-725345543-500\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:92,0f,7d,34,7b,8a,8f,4e,0e,59,4b,97,b6,7f,16,9f,8d,64,8f,7e,69,e2,9d,
d9,7a,a1,ef,43,b3,46,0e,62,2f,1a,01,d9,d2,40,1d,46,c1,ea,8e,ad,29,3c,08,40,\
"??"=hex:7a,f5,c0,dd,79,7b,e4,8e,55,60,0e,c7,c0,1c,20,f6

[HKEY_USERS\S-1-5-21-1343024091-1383384898-725345543-500\Software\SecuROM\License information*]
"datasecu"=hex:98,b3,b4,7c,d2,1b,5f,7f,c6,5a,f4,f5,b9,5b,a0,15,38,a5,3b,d6,ed,
17,5e,db,bd,ca,17,10,65,60,9f,86,8b,3e,ce,97,e6,70,55,9f,48,b1,fa,00,16,5d,\
"rkeysecu"=hex:a9,99,9e,c5,a1,49,0b,49,f2,f9,50,b9,23,28,c2,a8
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(972)
c:\windows.0\system32\sfc_os.dll
c:\programme\gemeinsame dateien\logishrd\bluetooth\LBTWlgn.dll
c:\programme\gemeinsame dateien\logishrd\bluetooth\LBTServ.dll

- - - - - - - > 'explorer.exe'(3244)
c:\windows.0\system32\nview.dll
c:\windows.0\system32\NVWRSDE.DLL
c:\programme\Logitech\SetPoint\GameHook.dll
c:\programme\Logitech\SetPoint\lgscroll.dll
c:\windows.0\system32\WPDShServiceObj.dll
c:\windows.0\system32\PortableDeviceTypes.dll
c:\windows.0\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\windows.0\system32\nvsvc32.exe
c:\windows.0\system32\HPZipm12.exe
c:\windows.0\system32\RUNDLL32.EXE
c:\windows.0\system32\rundll32.exe
c:\programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDClock.exe
c:\programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDCountdown.exe
c:\programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE
c:\windows.0\system32\PnkBstrA.exe
c:\windows.0\system32\PnkBstrB.exe
c:\windows.0\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-01-10 18:22:38 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2010-01-10 17:22

Vor Suchlauf: 12 Verzeichnis(se), 18.397.478.912 Bytes frei
Nach Suchlauf: 14 Verzeichnis(se), 18.718.068.736 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS.0
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS.0="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect

- - End Of File - - B685CEC2182F379A0B8EB4BB4E60A1F5

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code: Alles auswählenAufklappen

ATTFilter

KILLALL::

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"WinSys2"=-
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"=-
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"65533:TCP"=-
"52344:TCP"=-
"2479:TCP"=-
"2576:TCP"=-
"3389:TCP"=-

File::
c:\windows.0\system32\winsys2.exe
c:\dokume~1\ADMINI~1\LOKALE~1\Temp\iMSPCLOj.sys

Driver::
iMSPCLOj
SetupNTGLM7X
         

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.



6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!