Guten Tag!

Seit drei Tagen werden die angegebenen Links von Google oftmals fehlgeleitet, der gesamte Internetzugriff war verlangsamt und fehlerträchtig. Habe gestern nach einiger Recherche einen wohl per DNS Changer manipulierten Eintrag in den TCP/IP-Einstellungen gefunden (93.188.162.242). Diesen habe ich auf "Automatisch" zurückgestellt, woraufhin auch der Internetzugriff wieder normal funktionierte. Nicht desto trotz dürfte das System noch erheblich durchseucht sein. Der Scan via AntiVir fand gestern das Trojanische Pferd Spy.30720.91 in userinit.exe.
Hier nun die gewünschten Log-Files:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4986

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

29.10.2010 13:35:12
mbam-log-2010-10-29 (13-35-12).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 133344
Laufzeit: 5 Minute(n), 38 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 6
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDrives (Hijack.Drives) -> Bad: (4) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 93.188.162.242,93.188.160.52 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{298d82d0-2731-4624-9c7a-f9b27a39ec46}\NameServer (Trojan.DNSChanger) -> Data: 93.188.162.242,93.188.160.52 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{ae60acf2-09a4-47ca-b22b-c3e00edb702e}\DhcpNameServer (Trojan.DNSChanger) -> Data: 93.188.162.242,93.188.160.52 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{ae60acf2-09a4-47ca-b22b-c3e00edb702e}\NameServer (Trojan.DNSChanger) -> Data: 93.188.162.242,93.188.160.52 -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Die übrigen Logfiles im Anhang...

Bekomme ich mein System wieder sauber, ohne komplett neu Aufzuspielen???

Vielen Dank!

Sorry, hier noch das Logfile von HijackThis:

HiJackthis Logfile:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 10:38:30, on 31.10.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal
 
Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\csrss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\System32\SCardSvr.exe
D:\Programme\Avira\AntiVir Desktop\sched.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\igfxsrvc.exe
D:\WINDOWS\system32\hkcmd.exe
D:\WINDOWS\system32\igfxpers.exe
D:\Programme\DellTPad\Apoint.exe
D:\Programme\SigmaTel\C-Major Audio\WDM\stsystra.exe
D:\Programme\Dell\Dell Mobile Broadband\systray.exe
D:\Programme\Avira\AntiVir Desktop\avgnt.exe
D:\Programme\DellTPad\ApMsgFwd.exe
E:\Programme 2\ThreatFire\TFTray.exe
D:\Programme\DellTPad\HidFind.exe
D:\Programme\DellTPad\Apntex.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Programme\IE New Window Maximizer\iemaximizer.exe
D:\Programme\Avira\AntiVir Desktop\avguard.exe
D:\Programme\Cisco Systems\VPN Client\cvpnd.exe
D:\Programme\Java\jre6\bin\jqs.exe
D:\Programme\Avira\AntiVir Desktop\avshadow.exe
D:\Programme\Dell\QuickSet\NICCONFIGSVC.exe
D:\WINDOWS\system32\StacSV.exe
D:\WINDOWS\system32\svchost.exe
E:\Programme 2\ThreatFire\TFService.exe
D:\Programme\Canon\CAL\CALMAIN.exe
D:\Programme\Avira\AntiVir Desktop\avmailc.exe
D:\Programme\Avira\AntiVir Desktop\AVWEBGRD.EXE
D:\WINDOWS\system32\wbem\wmiapsrv.exe
D:\WINDOWS\System32\alg.exe
D:\WINDOWS\system32\wbem\wmiprvse.exe
D:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe
D:\WINDOWS\system32\HPZipm12.exe
D:\Programme\Internet Explorer\iexplore.exe
D:\Programme\Internet Explorer\iexplore.exe
E:\Eigene Dateien\Software\HijackThis.exe
D:\WINDOWS\system32\wbem\wmiprvse.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = hxxp://windowsupdate.microsoft.com/
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - D:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - D:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - D:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - D:\Programme\Google\GoogleToolbarNotifier\5.6.5805.1910\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - D:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - D:\Programme\DAEMON Tools Toolbar\DTToolbar.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - D:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [IgfxTray] D:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] D:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] D:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [Apoint] D:\Programme\DellTPad\Apoint.exe
O4 - HKLM\..\Run: [SigmatelSysTrayApp] %ProgramFiles%\SigmaTel\C-Major Audio\WDM\stsystra.exe
O4 - HKLM\..\Run: [systray] D:\Programme\Dell\Dell Mobile Broadband\systray.exe
O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [ThreatFire] E:\Programme 2\ThreatFire\TFTray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [IE New Window Maximizer] D:\Programme\IE New Window Maximizer\iemaximizer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O8 - Extra context menu item: add to &BOM - D:\\PROGRA~1\\BIET-O~1\\\\AddToBOM.hta
O8 - Extra context menu item: Google Sidewiki... - res://D:\Programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_950DF09FAB501E03.dll/cmsidewiki.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1136292212609
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - hxxp://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1244638164859
O16 - DPF: {6F15128C-E66A-490C-B848-5000B5ABEEAC} (HP Download Manager) - https://h20436.www2.hp.com/ediags/dex/secure/HPDEXAXO.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - D:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - D:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - D:\WINDOWS\system32\browseui.dll
O23 - Service: Avira AntiVir MailGuard (AntiVirMailService) - Avira GmbH - D:\Programme\Avira\AntiVir Desktop\avmailc.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - D:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Avira AntiVir WebGuard (AntiVirWebService) - Avira GmbH - D:\Programme\Avira\AntiVir Desktop\AVWEBGRD.EXE
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - D:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - D:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - D:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - D:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - D:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: MSCSPTISRV - Sony Corporation - D:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: NICCONFIGSVC - Dell Inc. - D:\Programme\Dell\QuickSet\NICCONFIGSVC.exe
O23 - Service: PACSPTISVR - Unknown owner - D:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Pml Driver HPZ12 - HP - D:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SonicStage Back-End Service - Sony Corporation - D:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SsBeSvc.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - D:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - D:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SSScsiSV.exe
O23 - Service: SigmaTel Audio Service (STacSV) - SigmaTel, Inc. - D:\WINDOWS\system32\StacSV.exe
O23 - Service: ThreatFire - PC Tools - E:\Programme 2\ThreatFire\TFService.exe
 
--
End of file - 9074 bytes
         

--- --- ---


Vielen Dank!!!

Zitat:

Art des Suchlaufs: Quick-Scan

Hallo und

Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Sorry, danke für den Hinweis!

Hier das Log vom Vollscan:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 5041

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

04.11.2010 10:50:50
mbam-log-2010-11-04 (10-50-50).txt

Art des Suchlaufs: Vollständiger Suchlauf (D:\|E:\|)
Durchsuchte Objekte: 180275
Laufzeit: 35 Minute(n), 25 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)




Kann man eigentlich die DNS-Adresse regional zuordnen, über die ich umgeleitet wurde?

Vielen Dank für die Mühe!

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

ComboFix liefert das folgende logfile:

Combofix Logfile:

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 10-11-09.03 - Pilot 10.11.2010  17:01:48.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1014.577 [GMT 1:00]
ausgeführt von:: d:\dokumente und einstellungen\Pilot\Desktop\Cofi.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {B02B524A-0C22-45DD-A6D1-70C7010CE58E}

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

d:\windows\winhelp.ini

.
(((((((((((((((((((((((   Dateien erstellt von 2010-10-10 bis 2010-11-10  ))))))))))))))))))))))))))))))
.

2010-11-10 05:24 . 2010-11-10 05:24	--------	d-----w-	d:\dokumente und einstellungen\Pilot\Anwendungsdaten\conkeror.mozdev.org
2010-10-29 10:21 . 2010-10-29 10:21	--------	d-----w-	d:\dokumente und einstellungen\Pilot\Anwendungsdaten\Malwarebytes
2010-10-29 10:20 . 2010-04-29 13:39	38224	----a-w-	d:\windows\system32\drivers\mbamswissarmy.sys
2010-10-29 10:20 . 2010-10-29 10:20	--------	d-----w-	d:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-10-29 10:20 . 2010-04-29 13:39	20952	----a-w-	d:\windows\system32\drivers\mbam.sys
2010-10-29 10:19 . 2010-10-29 10:19	--------	d-----w-	d:\programme\7-Zip
2010-10-29 07:26 . 2010-01-14 14:08	59664	----a-w-	d:\windows\system32\drivers\TfSysMon.sys
2010-10-29 07:26 . 2010-01-14 14:08	51984	----a-w-	d:\windows\system32\drivers\TfFsMon.sys
2010-10-29 07:26 . 2010-01-14 14:08	33552	----a-w-	d:\windows\system32\drivers\TfNetMon.sys
2010-10-29 07:26 . 2010-10-29 07:26	--------	d-----w-	d:\dokumente und einstellungen\All Users\Anwendungsdaten\PC Tools
2010-10-27 07:19 . 2008-04-14 05:53	26624	----a-w-	d:\windows\system32\stu2.exe
2010-10-14 07:58 . 2010-10-14 07:58	--------	d-----w-	d:\dokumente und einstellungen\Pilot\Anwendungsdaten\CANON INC
2010-10-13 23:25 . 2008-04-14 05:52	221184	----a-w-	d:\windows\system32\wmpns.dll

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-18 10:22 . 2007-04-03 06:44	974848	----a-w-	d:\windows\system32\mfc42u.dll
2010-09-18 06:52 . 2008-04-14 05:52	974848	----a-w-	d:\windows\system32\mfc42.dll
2010-09-18 06:52 . 2008-04-14 05:52	953856	----a-w-	d:\windows\system32\mfc40u.dll
2010-09-18 06:52 . 2004-08-04 10:00	954368	----a-w-	d:\windows\system32\mfc40.dll
2010-09-10 08:23 . 2010-09-10 08:23	45056	----a-r-	d:\dokumente und einstellungen\Pilot\Anwendungsdaten\Microsoft\Installer\{457791C5-D702-4143-A7B2-2744BE9573F2}\NewShortcut1_5B69D3033CA54B39B5ECE7D051297E77.exe
2010-09-10 05:47 . 2008-04-14 05:52	916480	----a-w-	d:\windows\system32\wininet.dll
2010-09-10 05:47 . 2008-04-14 05:53	1469440	------w-	d:\windows\system32\inetcpl.cpl
2010-09-10 05:47 . 2008-04-14 05:52	43520	----a-w-	d:\windows\system32\licmgr10.dll
2010-09-01 11:50 . 2008-04-14 05:50	285824	----a-w-	d:\windows\system32\atmfd.dll
2010-09-01 07:54 . 2008-04-14 05:23	1852928	----a-w-	d:\windows\system32\win32k.sys
2010-08-27 08:01 . 2008-04-14 05:52	119808	----a-w-	d:\windows\system32\t2embed.dll
2010-08-27 05:57 . 2008-04-14 05:52	99840	----a-w-	d:\windows\system32\srvsvc.dll
2010-08-27 01:43 . 2008-05-05 05:25	5632	----a-w-	d:\windows\system32\xpsp4res.dll
2010-08-26 13:39 . 2008-04-13 22:45	357248	----a-w-	d:\windows\system32\drivers\srv.sys
2010-08-23 16:11 . 2008-04-14 05:52	617472	----a-w-	d:\windows\system32\comctl32.dll
2010-08-23 13:58 . 2010-08-23 13:58	1409	----a-w-	d:\windows\QTFont.for
2010-08-17 13:17 . 2008-04-14 05:53	58880	----a-w-	d:\windows\system32\spoolsv.exe
2010-08-16 08:44 . 2008-04-14 05:52	590848	----a-w-	d:\windows\system32\rpcrt4.dll
2009-05-01 21:02 . 2009-05-01 21:02	1044480	----a-w-	d:\programme\mozilla firefox\plugins\libdivx.dll
2009-05-01 21:02 . 2009-05-01 21:02	200704	----a-w-	d:\programme\mozilla firefox\plugins\ssldivx.dll
.

------- Sigcheck -------

[-] 2009-05-29 . 47F63DAA6B187535D7C9267F668D8032 . 1571840 . . [5.1.2600.5512] . . d:\windows\system32\sfcfiles.dll
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IE New Window Maximizer"="d:\programme\IE New Window Maximizer\iemaximizer.exe" [2005-02-08 356352]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="d:\windows\system32\igfxtray.exe" [2009-05-29 141848]
"HotKeysCmds"="d:\windows\system32\hkcmd.exe" [2009-05-29 166424]
"Persistence"="d:\windows\system32\igfxpers.exe" [2009-05-29 137752]
"Apoint"="d:\programme\DellTPad\Apoint.exe" [2009-05-29 159744]
"SigmatelSysTrayApp"="d:\programme\SigmaTel\C-Major Audio\WDM\stsystra.exe" [2009-05-29 405504]
"systray"="d:\programme\Dell\Dell Mobile Broadband\systray.exe" [2007-04-06 331851]
"avgnt"="d:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-03-24 282792]
"ThreatFire"="e:\programme 2\ThreatFire\TFTray.exe" [2010-01-14 378128]
"TkBellExe"="d:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2009-11-12 198160]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="d:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"_nltide_3"="advpack.dll" [2009-03-08 128512]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute	REG_MULTI_SZ   	autocheck autochk /k:C *

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKLM\~\startupfolder\D:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Bluetooth Manager.lnk]
path=d:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Bluetooth Manager.lnk
backup=d:\windows\pss\Bluetooth Manager.lnkCommon Startup

[HKLM\~\startupfolder\D:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^HP Digital Imaging Monitor.lnk]
path=d:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\HP Digital Imaging Monitor.lnk
backup=d:\windows\pss\HP Digital Imaging Monitor.lnkCommon Startup

[HKLM\~\startupfolder\D:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^VPN Client.lnk]
path=d:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\VPN Client.lnk
backup=d:\windows\pss\VPN Client.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2010-09-20 21:07	932288	----a-r-	d:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2010-09-23 02:47	35760	----a-w-	d:\programme\Adobe\Reader 9.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
2009-10-30 11:57	369200	----a-w-	d:\programme\DAEMON Tools Lite\DTLite.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Component Manager]
2004-05-12 13:18	241664	----a-w-	d:\programme\HP\hpcoretech\hpcmpmgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HPDJ Taskbar Utility]
2004-04-06 15:28	172032	----a-w-	d:\windows\system32\spool\drivers\w32x86\3\hpztsb11.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HPHmon06]
2004-07-13 23:58	659456	----a-w-	d:\windows\system32\hphmon06.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSPM Startup]
2004-07-27 14:50	221184	----a-w-	d:\progra~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSScheduler]
2004-07-27 14:50	81920	----a-w-	d:\programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2009-11-12 17:41	149280	----a-w-	d:\programme\Java\jre6\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
2009-11-12 14:48	39408	----a-w-	d:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
2009-11-12 16:12	198160	----a-w-	d:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"d:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"d:\\Programme\\Real\\RealPlayer\\realplay.exe"=
"d:\\Programme\\Skype\\Phone\\Skype.exe"=

R0 sptd;sptd;d:\windows\system32\drivers\sptd.sys [12.02.2010 11:27 691696]
R0 TfFsMon;TfFsMon;d:\windows\system32\drivers\TfFsMon.sys [29.10.2010 08:26 51984]
R0 TfSysMon;TfSysMon;d:\windows\system32\drivers\TfSysMon.sys [29.10.2010 08:26 59664]
R2 AntiVirMailService;Avira AntiVir MailGuard;d:\programme\Avira\AntiVir Desktop\avmailc.exe [10.06.2009 14:43 337064]
R2 AntiVirSchedulerService;Avira AntiVir Planer;d:\programme\Avira\AntiVir Desktop\sched.exe [10.06.2009 14:43 135336]
R2 AntiVirWebService;Avira AntiVir WebGuard;d:\programme\Avira\AntiVir Desktop\avwebgrd.exe [10.06.2009 14:43 405672]
R2 ThreatFire;ThreatFire;e:\programme 2\ThreatFire\TFService.exe service --> e:\programme 2\ThreatFire\TFService.exe service [?]
R3 NWDellModem;Dell Wireless Mobile Broadband Modem Driver;d:\windows\system32\drivers\nwdelmdm.sys [22.03.2007 13:12 92288]
R3 NWDellPort;Dell Wireless Mobile Broadband Status Port Driver;d:\windows\system32\drivers\nwdelser.sys [22.03.2007 13:12 92288]
R3 TfNetMon;TfNetMon;d:\windows\system32\drivers\TfNetMon.sys [29.10.2010 08:26 33552]
S2 gupdate;Google Update Service (gupdate);d:\programme\Google\Update\GoogleUpdate.exe [28.01.2010 21:49 135664]
.
Inhalt des "geplante Tasks" Ordners

2010-11-10 d:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- d:\programme\Google\Update\GoogleUpdate.exe [2010-01-28 20:49]

2010-11-10 d:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- d:\programme\Google\Update\GoogleUpdate.exe [2010-01-28 20:49]

2010-11-10 d:\windows\Tasks\HP Usg Daily.job
- d:\programme\HP\{AAC4FC36-8F89-4587-8DD3-EBC57C83374D}\pexpress\hphped05.exe [2004-07-14 00:08]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
IE: add to &BOM - d:\\PROGRA~1\\BIET-O~1\\\\AddToBOM.hta
IE: Google Sidewiki... - d:\programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_950DF09FAB501E03.dll/cmsidewiki.html
LSP: d:\programme\Avira\AntiVir Desktop\avsda.dll
FF - ProfilePath - d:\dokumente und einstellungen\Pilot\Anwendungsdaten\Mozilla\Firefox\Profiles\gi418krl.default\
FF - component: d:\programme\Real\RealPlayer\browserrecord\firefox\ext\components\nprpffbrowserrecordext.dll
FF - plugin: d:\programme\Google\Update\1.2.183.39\npGoogleOneClick8.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - d:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

MSConfigStartUp-VMware hqtray - d:\programme\VMware\VMware Player\hqtray.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-11-10 17:10
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ThreatFire]
"AlternateImagePath"=""
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(1296)
e:\programme 2\ThreatFire\TFWAH.dll
e:\programme 2\ThreatFire\TFNI.dll
e:\programme 2\ThreatFire\TFMon.dll
e:\programme 2\ThreatFire\TFRK.dll

- - - - - - - > 'lsass.exe'(1352)
d:\programme\Avira\AntiVir Desktop\avsda.dll
e:\programme 2\ThreatFire\TFWAH.dll
.
Zeit der Fertigstellung: 2010-11-10  17:16:52
ComboFix-quarantined-files.txt  2010-11-10 16:16

Vor Suchlauf: 1.983.262.720 Bytes frei
Nach Suchlauf: 1.943.744.512 Bytes frei

- - End Of File - - 12093439BA6773963955A3A0528F4150
         

--- --- ---


Vielen Dank!

Zitat:

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!

Wieso wurde die nicht installiert? Keine Internetverbindung?

Stimmt, hatte ich vergessen zu erwähnen. Nach dem Herunterladen bei der Vorbereitung der Wiederherstellungskonsole kam die Meldung "Boot Partition kann nicht richtig enumeriert werden."

Könnte damit zusammenhängen, dass die Festplatte noch eine dienstliche Partition hat, die man beim Bootvorgang auswählen kann. Von der privaten Partition aus kann man nicht auf dienstliche Seite zugreifen.



Soll ich probieren, die Wiederherstellungskonsole manuell zu installieren?

Was bitte soll eine "dienstliche" Partition sein, was verstehst Du darunter? Ich hab so etwas nämlich noch nie gehört.
Hast Du eine WinXP-CD zur Hand? Wenn ja kann man damit ganz einfach die Wiederherstellungsknsole installieren => http://support.microsoft.com/kb/307654/de

Also, der Laptop ist von meinem Arbeitgeber, die Festplatte hat zwei Partitionen, von denen man beim Booten zunächst eine auswählen muss. Die private Seite enthält Windows XP als privat zu nutzendes Betriebssystem, die dienstlichen Seite bootet eine wohl auf Windows basierende Oberfläche, die bestimmte dienstlich relevante Funktionen enthält.

Windows XP war entsprechend vorinstalliert, eine XP-CD habe ich nicht. Ist denn diese Konsole in jedem Fall notwendig?

Das hättest Du auch mal vorher erwähnen können...
Wieso gehst Du mit dem Firmen-Notebook nicht zur EDV-Abteilung? Ich glaub die sehen das nicht so gerne, wenn du daran selber rumfrickelst und denen eine Infektion verschweigst

Erstmal vielen Dank für die Mühe!

Sorry, war mir anfangs nicht klar, das die zweite Partition irgenwie von Bedeutung ist. Die EDV-Abteilung wird mal einfach die Festplatte formatieren und neu aufspielen, mir wäre aber daran gelegen, nicht wieder ganz von vorne anfangen zu müssen.
Gibts denn anhand der aktuellen Logs Hinweise, ob da noch was unerwünschtes vor sich hin brühtet? Das System an sich verhält sich (soweit beurteilbar) wieder vollkommen normal...

Was genau heißt denn das jetzt? Es ist 2x WinXP installiert?

Ja, die andere Partition basiert wohl auch auf XP, das Betriebssystem ist aber nochmal komplett eigenständig auf dieser Partition installiert. Wenn man sich auf der privaten Seite befindet, ist der einzige offensichtliche Hinweis für die Partition der Eintrag im Arbeitsplatz:
Lokaler Datenträger (c [Den Smiley bekomme ich hier irgendwie nicht weg...]

ohne ausgewiesene Grösse, wenn man ihn anklickt, wird gleich nach einer Formatierung gefragt (der Datenträger ist verschlüsselt). Ein Zugriff auf das dortige Dateisystem von der privaten Partition aus scheint ausgeschlossen.

Ok, dann können wir den Teil auch als rein dienstlich und das infizierte Windows als rein privaz behandeln.
Hast du die Wiederherstellungskonsole schon installiert?

Ich habe zwar versucht, das zu recherchieren, aber so richtig klar ist mir das nicht, wie ich es ohne Windows XP-CD hinbekomme...