Hallo Zusammen!

Ich habe es geschafft mal wieder auf einen Plagegeist hereinzufallen, was im Detail folgendes bedeutet:

Ich bekomme ständig eine Anzeige, die in der Taskleiste aufploppt von wegen "Windows Security Alert - Windows reports that computer is infected. usw...". Des weiteren geht bei mir ein Fenster von einem "Antivirenprogramm" auf namens "Antivir Solution Pro". Dieses tolle Programm will einen Scan machen, und drängt mich fast schon dazu mir dieses Programm doch zu kaufen.

Der größte Haken an diesem Plagegeist ist der Fakt, dass ich kaum noch Programme öffnen kann, weder Excel noch den Musicplayer, usw...

Ich hoffe echt ihr könnt mir helfen!!

CC Cleaner hat gar nicht erst funktioniert und Malware ist durchgelaufen, aber warscheinlich nur weil ich es direkt nach dem Hochfahren angeklickt habe, denn jetzt funktioniert das auch nicht mehr. Malware hat drei Dateinen gefunden, welche ich direkt gelöscht habe. Das Probelm besteht aber trotzdem noch. Das Log folgt am ende des Posts.
Bei OTL tritt das gleiche Problem auch wieder auf, es lässt sich nicht öffnen, da es angeblich infiziert ist.

Ich weis das ich ohne Aufforderung keine Anhänge einfügen soll, aber es ist nicht möglich die *.txt datei zu öffnen, also muss ich das Malware log anhängen.

Nur zur information, ich habe Win XP drauf, vlt hilft das ja.

Habt jetzt schon mal vielen Dank im Vorraus!

PS.: Ich muss das Forum echt loben, es hat mir das letzte Mal schon geholfen, hoffentlich klappts heute wieder! Echt klasse!

erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix
dafür musst du evtl. in den abgesicherten modus starten, beim pc start solte es die f8-taste sein, dann abges modus mit netzwerktreiber.
hast du evtl. ne ahnung, wie du dir das eingefangen hast bzw wo?

Nein ich habe echt keine Ahnung wo ich das her haben sollte, ich war auf keinen kleinen Seiten, die mir unsicher erschienen, sondern eig nur auf großen etablierten und meiner bisherigen Meinung nach auch seriösen Seiten.

Okay, danke schonmal, aber du hast recht ich muss in den Abgesicherten. Dann mach ich das mal, bis in ein Paar Minuten!

Okay, Combi Fix hat zwei mal neu hochgefahren und hat den Computer durchgerödelt. Dabei hats wohl auch einige infizierte Dateien gefunden. Es ist festzustellen das jetz zumindest die Meldungen unterbleiben und die Programme wieder funktionieren!


Die Meldung "Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!" beunruhigt mich schon etwas. Was ist das, kann ich mir diese Konsole irgendwo laden? Wie gehts jetzt weiter?

Hier das Log-File:
Combofix Logfile:

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 10-07-13.08 - Maddin 14.07.2010  16:48:49.1.2 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.3582.3071 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Maddin\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\Maddin\Anwendungsdaten\PnkBstrK.sys
c:\dokumente und einstellungen\Maddin\Lokale Einstellungen\Anwendungsdaten\qgkkksbwa
c:\dokumente und einstellungen\Maddin\Lokale Einstellungen\Anwendungsdaten\qgkkksbwa\nndvowktssd.exe
C:\Install.exe

Infizierte Kopie von c:\windows\system32\drivers\i8042prt.sys wurde gefunden und desinfiziert 
Kopie von - Kitty had a snack :p wurde wiederhergestellt 
.
(((((((((((((((((((((((   Dateien erstellt von 2010-06-14 bis 2010-07-14  ))))))))))))))))))))))))))))))
.

2010-07-14 12:58 . 2010-07-14 12:58	--------	d-s---w-	c:\dokumente und einstellungen\NetworkService\UserData
2010-07-02 14:40 . 2010-07-02 14:40	--------	d-----w-	c:\programme\Conduit
2010-07-02 14:40 . 2010-07-02 14:40	--------	d-----w-	c:\dokumente und einstellungen\Maddin\Lokale Einstellungen\Anwendungsdaten\DVDVideoSoftTB
2010-07-02 14:40 . 2010-07-02 14:40	--------	d-----w-	c:\dokumente und einstellungen\Maddin\Lokale Einstellungen\Anwendungsdaten\Conduit
2010-07-02 14:40 . 2010-07-02 14:40	--------	d-----w-	c:\programme\DVDVideoSoftTB
2010-07-02 14:40 . 2010-07-02 14:40	52224	----a-w-	c:\dokumente und einstellungen\Maddin\Anwendungsdaten\Mozilla\Firefox\Profiles\3o4vs74u.default\extensions\{872b5b88-9db5-4310-bdd0-ac189557e5f5}\components\FFExternalAlert.dll
2010-07-02 14:40 . 2010-07-02 14:40	101376	----a-w-	c:\dokumente und einstellungen\Maddin\Anwendungsdaten\Mozilla\Firefox\Profiles\3o4vs74u.default\extensions\{872b5b88-9db5-4310-bdd0-ac189557e5f5}\components\RadioWMPCore.dll
2010-07-02 14:34 . 2010-07-02 14:34	--------	d-----w-	c:\dokumente und einstellungen\Maddin\Anwendungsdaten\DVDVideoSoftIEHelpers
2010-06-19 09:39 . 2010-06-19 09:39	--------	d--h--w-	c:\windows\PIF
2010-06-16 17:23 . 2010-07-14 14:53	--------	d-----w-	c:\dokumente und einstellungen\Maddin\Lokale Einstellungen\Anwendungsdaten\LogMeIn Hamachi
2010-06-16 17:23 . 2010-07-14 14:48	--------	d-----w-	c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\LogMeIn Hamachi
2010-06-16 17:23 . 2010-06-16 17:23	--------	d-----w-	c:\programme\LogMeIn Hamachi

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-07-14 14:49 . 2009-12-19 00:08	--------	d-----w-	c:\dokumente und einstellungen\Maddin\Anwendungsdaten\Skype
2010-07-14 14:48 . 2009-12-19 00:09	--------	d-----w-	c:\dokumente und einstellungen\Maddin\Anwendungsdaten\skypePM
2010-07-14 14:12 . 2010-01-19 16:08	--------	d-----w-	c:\programme\CCleaner
2010-07-14 13:04 . 2010-01-20 19:31	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2010-07-11 18:29 . 2009-12-21 13:51	218808	----a-w-	c:\windows\system32\PnkBstrB.exe
2010-07-11 17:33 . 2009-12-21 13:52	137256	----a-w-	c:\windows\system32\drivers\PnkBstrK.sys
2010-07-11 15:59 . 2009-12-18 23:39	--------	d-----w-	c:\programme\ICQ6.5
2010-07-02 14:34 . 2009-12-30 19:24	--------	d-----w-	c:\programme\Gemeinsame Dateien\DVDVideoSoft
2010-06-19 09:38 . 2009-12-19 12:19	--------	d-----w-	c:\dokumente und einstellungen\Maddin\Anwendungsdaten\U3
2010-06-14 16:17 . 2010-02-02 12:18	--------	d-----w-	c:\programme\Guitar Pro 5
2010-06-09 08:06 . 2010-06-09 08:06	976832	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Adobe\Reader\9.2\ARM\16346\AdobeARM.exe
2010-06-09 08:06 . 2010-06-09 08:06	70584	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Adobe\Reader\9.2\ARM\16346\AdobeExtractFiles.dll
2010-06-09 08:06 . 2010-06-09 08:06	331176	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Adobe\Reader\9.2\ARM\16346\ReaderUpdater.exe
2010-06-09 08:06 . 2010-06-09 08:06	331176	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Adobe\Reader\9.2\ARM\16346\AcrobatUpdater.exe
2010-05-24 14:01 . 2010-01-06 16:51	--------	d-----w-	c:\programme\Google
2010-04-29 10:19 . 2010-01-20 19:31	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-04-29 10:19 . 2010-01-20 19:31	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2009-12-19 01:21 . 2009-12-19 01:21	61	--sh--w-	c:\windows\cnerolf.bin
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{872b5b88-9db5-4310-bdd0-ac189557e5f5}"= "c:\programme\DVDVideoSoftTB\tbDVDV.dll" [2010-04-27 2393184]

[HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]
2010-04-27 08:08	2393184	----a-w-	c:\programme\DVDVideoSoftTB\tbDVDV.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{872b5b88-9db5-4310-bdd0-ac189557e5f5}"= "c:\programme\DVDVideoSoftTB\tbDVDV.dll" [2010-04-27 2393184]

[HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools Lite"="c:\programme\DAEMON Tools Lite\DTLite.exe" [2009-10-30 369200]
"Skype"="c:\programme\Skype\Phone\Skype.exe" [2009-10-09 25623336]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-11-20 12669544]
"LogMeIn Hamachi Ui"="c:\programme\LogMeIn Hamachi\hamachi-2-ui.exe" [2010-03-30 1820040]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Programme\\GameSpy Arcade\\Aphex.exe"=
"c:\\Programme\\Java\\jre6\\bin\\javaw.exe"=
"c:\\Programme\\GIGABYTE\\GEST\\run.exe"=
"c:\\Programme\\sixteen tons entertainment\\Emergency 4 Deluxe\\Em4Deluxe.exe"=
"c:\\Programme\\Microsoft Games\\Microsoft Flight Simulator X\\fsx.exe"=
"c:\\Programme\\Pinnacle\\VideoSpin\\Programs\\RM.exe"=
"c:\\Programme\\Pinnacle\\VideoSpin\\Programs\\umi.exe"=
"c:\\Programme\\Pinnacle\\VideoSpin\\Programs\\VideoSpin.exe"=
"c:\\Programme\\BitTorrent\\bittorrent.exe"=
"c:\\Programme\\EA GAMES\\Battlefield 2\\BF2.exe"=
"c:\\Programme\\THQ\\Pandemic Studios\\Full Spectrum Warrior\\Launcher.locked"=
"c:\\Programme\\Electronic Arts\\Battlefield Bad Company 2\\BFBC2Updater.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"c:\\Programme\\Electronic Arts\\Battlefield Bad Company 2\\BFBC2Game.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R2 acedrv11;acedrv11;c:\windows\system32\drivers\acedrv11.sys [30.07.2008 07:51 277736]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [19.01.2010 17:57 108289]
R2 Hamachi2Svc;LogMeIn Hamachi 2.0 Tunneling Engine;c:\programme\LogMeIn Hamachi\hamachi-2.exe [30.03.2010 11:16 1107336]
R2 ICQ Service;ICQ Service;c:\programme\ICQ6Toolbar\ICQ Service.exe [19.12.2009 01:40 222968]
R2 TuneUp.UtilitiesSvc;TuneUp Utilities Service;c:\programme\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe [25.02.2010 11:03 1047880]
R3 TuneUpUtilitiesDrv;TuneUpUtilitiesDrv;c:\programme\TuneUp Utilities 2010\TuneUpUtilitiesDriver32.sys [24.02.2010 14:41 10064]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [06.01.2010 18:51 135664]
S3 GEST Service;GEST Service for program management.;c:\programme\GIGABYTE\GEST\GSvr.exe [19.12.2009 01:06 47624]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [23.01.2010 21:02 691696]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners

2010-07-14 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-01-06 16:51]

2010-07-14 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-01-06 16:51]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.daemon-search.com/startpage
uInternet Settings,ProxyServer = http=127.0.0.1:5643
uInternet Settings,ProxyOverride = <local>
IE: Free YouTube to Mp3 Converter - c:\dokumente und einstellungen\Maddin\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubetomp3.htm
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\Maddin\Anwendungsdaten\Mozilla\Firefox\Profiles\3o4vs74u.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - prefs.js: keyword.URL - 
FF - component: c:\dokumente und einstellungen\Maddin\Anwendungsdaten\Mozilla\Firefox\Profiles\3o4vs74u.default\extensions\{872b5b88-9db5-4310-bdd0-ac189557e5f5}\components\FFExternalAlert.dll
FF - component: c:\dokumente und einstellungen\Maddin\Anwendungsdaten\Mozilla\Firefox\Profiles\3o4vs74u.default\extensions\{872b5b88-9db5-4310-bdd0-ac189557e5f5}\components\RadioWMPCore.dll
FF - component: c:\dokumente und einstellungen\Maddin\Anwendungsdaten\Mozilla\Firefox\Profiles\3o4vs74u.default\extensions\DTToolbar@toolbarnet.com\components\DTToolbarFF.dll
FF - plugin: c:\programme\DivX\DivX Plus Web Player\npdivx32.dll
FF - plugin: c:\programme\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\programme\Google\Update\1.2.183.29\npGoogleOneClick8.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npwachk.dll

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation",  false);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
HKCU-Run-ciebrqgh - c:\dokumente und einstellungen\Maddin\Lokale Einstellungen\Anwendungsdaten\qgkkksbwa\nndvowktssd.exe
HKLM-Run-ciebrqgh - c:\dokumente und einstellungen\Maddin\Lokale Einstellungen\Anwendungsdaten\qgkkksbwa\nndvowktssd.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-07-14 16:53
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1202660629-1801674531-2142462750-1004\Software\SecuROM\License information*]
"datasecu"=hex:4c,76,c7,be,99,ab,bd,54,fe,c7,5b,8c,1b,c6,15,7f,a2,e3,f9,ef,1e,
   eb,3f,51,eb,f1,77,07,e1,a9,54,e4,37,8a,69,ce,1b,e8,cd,3b,65,c1,0b,50,81,1b,\
"rkeysecu"=hex:10,42,7d,4a,95,0f,44,ac,8f,03,f9,13,04,e2,e4,f9
.
Zeit der Fertigstellung: 2010-07-14  16:54:10
ComboFix-quarantined-files.txt  2010-07-14 14:54

Vor Suchlauf: 10 Verzeichnis(se), 105.345.212.416 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 109.693.808.640 Bytes frei

- - End Of File - - 2DA54BAC2F9CD7C8CC20D28D18C4B3F0
         

--- --- ---

start, programme zubehör, editor, kopiere rein:

dds::
uInternet Settings,ProxyServer = http=127.0.0.1:5643
uInternet Settings,ProxyOverride = <local>

datei speichern unter, dateityp, alle name cfscript.txt
speicherort, dort wo sich combofix.exe befindet.
ziehe cfscript auf combofix, programm startet, log posten.
deaktivire den avira guard mit rechtsklick auf den schirm, guard deaktiviren.
öffne arbeitsplatz, c:
dort suche qoobox, rechtsklick, zu qoobox.rar oder zip hinzufügen, das archiv zu uns hochladen.
wie unter punkt2
http://www.trojaner-board.de/54791-a...ner-board.html
jetzt neustarten, malwarebytes öffnen, programm updaten, avira guard aus, internetverbindung trennen, auch sonstige laufende programme aus, malwarebytes starten, komplett scan, funde löschen, log posten.