online banking dank gozi gesperrt

ninas · 04.01.2011, 14:08

Hallo,

mir wurde von meiner Bank das Onlinebanking gesperrt, weil der Trojaner Gozi meine Daten ausgespäht haben soll. Ich bin nicht sicher, ob sich das auf meinem Rechner befindet, da ich auch andere zum Online-Banking benutzt habe.
ich habe mit Antivir nichts gefunden und dann Malwarebytes benutzt und folgendes Logfile erhalten:

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5455

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.11

04.01.2011 12:57:29
mbam-log-2011-01-04 (12-57-29).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 294938
Laufzeit: 2 Stunde(n), 34 Minute(n), 35 Sekunde(n)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 15
Infizierte Registrierungswerte: 6
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 5

Infizierte Speicherprozesse:
c:\programme\application updater\applicationupdater.exe (PUP.Dealio) -> 676 -> Unloaded process successfully.

Infizierte Speichermodule:
c:\programme\gemeinsame dateien\Spigot\wtxpcom\components\widgitoolbarff.dll (Adware.WidgiToolbar) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Application Updater (PUP.Dealio) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{B922D405-6D13-4A2B-AE89-08A030DA4402} (PUP.Dealio) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B922D405-6D13-4A2B-AE89-08A030DA4402} (PUP.Dealio) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{B922D405-6D13-4A2B-AE89-08A030DA4402} (PUP.Dealio) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{147A976F-EEE1-4377-8EA7-4716E4CDD239} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{B64F4A7C-97C9-11DA-8BDE-F66BAD1E3F3A} (Rogue.WinAntiVirus) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} (PUP.Dealio) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\activex.DLL (Adware.180Solutions) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{055FD26D-3A88-4e15-963D-DC8493744B1D} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{055FD26D-3A88-4e15-963D-DC8493744B1D} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\TypeLib\{77D6DDFA-7834-4541-B2B3-A8B0FB0E3924} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{7558E739-8E7C-44BB-BCE7-1BF0D72B7026} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\ToolBand.XTTBPos00.1 (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\ToolBand.XTTBPos00 (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{055FD26D-3A88-4E15-963D-DC8493744B1D} (Trojan.BHO) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\PROGRAMME\APPLICATION UPDATER\APPLICATIONUPDATER.EXE (PUP.Dealio) -> Value: APPLICATIONUPDATER.EXE -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\PROGRAMME\GEMEINSAME DATEIEN\SPIGOT\WTXPCOM\COMPONENTS\WIDGITOOLBARFF.DLL (Adware.WidgiToolbar) -> Value: WIDGITOOLBARFF.DLL -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\{B922D405-6D13-4A2B-AE89-08A030DA4402} (PUP.Dealio) -> Value: {B922D405-6D13-4A2B-AE89-08A030DA4402} -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{B922D405-6D13-4A2B-AE89-08A030DA4402} (PUP.Dealio) -> Value: {B922D405-6D13-4A2B-AE89-08A030DA4402} -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{90B8B761-DF2B-48AC-BBE0-BCC03A819B3B} (Adware.Zango) -> Value: {90B8B761-DF2B-48AC-BBE0-BCC03A819B3B} -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{90B8B761-DF2B-48AC-BBE0-BCC03A819B3B} (Adware.Zango) -> Value: {90B8B761-DF2B-48AC-BBE0-BCC03A819B3B} -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\programme\application updater\applicationupdater.exe (PUP.Dealio) -> Quarantined and deleted successfully.
c:\programme\gemeinsame dateien\Spigot\wtxpcom\components\widgitoolbarff.dll (Adware.WidgiToolbar) -> Quarantined and deleted successfully.
c:\programme\pdfforge toolbar\IE\4.1\pdfforgetoolbarie.dll (PUP.Dealio) -> Quarantined and deleted successfully.
c:\programme\pdfforge toolbar\widgihelper.exe (PUP.Dealio) -> Quarantined and deleted successfully.
c:\programme\icqtoolbar\toolbaru.dll (Trojan.BHO) -> Quarantined and deleted successfully.

Die Frage wäre nun, war das der besagte Trojaner und wenn ja, reicht das so und kann ich es nun dabei belassen?

danke im Voraus!
Ninas

cosinus · 04.01.2011, 14:58

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Doppelklick auf die OTL.exe
Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
Unter Extra Registry, wähle bitte Use SafeList
Klicke nun auf Run Scan links oben
Wenn der Scan beendet wurde werden 2 Logfiles erstellt
Poste die Logfiles hier in den Thread.

ninas · 04.01.2011, 15:24

Hallo Arne,
danke für die schnelle Antwort-OTL hat gescannt, allerdings speichert es mir keine logfiles, nur 2 leere Editor-Fenster-was mache ich falsch??

cosinus · 04.01.2011, 15:58

Probiers nochmal. Eigentlich müssten die Logs auch auf dem Desktop sein.
Du hast XP und führst es als Admin aus? Dann musst du auf dem Desktop des Benutzers auch schauen, der OTL ausgeführt hat!

ninas · 04.01.2011, 16:20

das klappt nicht-egal auf welchem desktop ich gucke-sagt immer, datei...txt. kann nicht gefunden werden" neu erstellen? und egal ob ich ja, nein oder abbrechen klicke, ich krieg nur 2 leere editor fenster. was kann ich da tun??

cosinus · 04.01.2011, 16:20

Wie führst du die Datei aus? Per Doppelklick oder per Rechtsklick ausführen als?

ninas · 04.01.2011, 22:35

Danke, ich glaube das Ausführen war tatsächlich das Problem.
Ich habe die logs mal angehängt-bin gespannt, ob das was aussagt??

Grüße

cosinus · 05.01.2011, 12:09

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

ATTFilter

:OTL
SRV - (ICQ Service) -- C:\Programme\ICQ6Toolbar\ICQ Service.exe ()
DRV - (vsdatant) -- C:\WINDOWS\system32\vsdatant.sys (Zone Labs LLC)
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\RunOnceEx: []  File not found
O33 - MountPoints2\{3685f1c0-611b-11db-9021-00030d1cb05e}\Shell\Auto\command - "" = MSOCache\doWTP_RESTORE.exe
O33 - MountPoints2\{3685f1c0-611b-11db-9021-00030d1cb05e}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{9c3a67c0-3472-11dd-a0e2-00030d1cb05e}\Shell\AutoRun\command - "" = 3wcxx91.cmd
O33 - MountPoints2\{9c3a67c0-3472-11dd-a0e2-00030d1cb05e}\Shell\explore\Command - "" = 3wcxx91.cmd
O33 - MountPoints2\{9c3a67c0-3472-11dd-a0e2-00030d1cb05e}\Shell\open\Command - "" = 3wcxx91.cmd
O33 - MountPoints2\{9c3a67c1-3472-11dd-a0e2-000e35296756}\Shell\AutoRun\command - "" = 3wcxx91.cmd
O33 - MountPoints2\{9c3a67c1-3472-11dd-a0e2-000e35296756}\Shell\explore\Command - "" = 3wcxx91.cmd
O33 - MountPoints2\{9c3a67c1-3472-11dd-a0e2-000e35296756}\Shell\open\Command - "" = 3wcxx91.cmd
:Commands
[purity]
[resethosts]
[emptytemp]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

ninas · 05.01.2011, 13:03

Hallo,
dankeschön!

hier nun das file:

All processes killed
========== OTL ==========
Service ICQ Service stopped successfully!
Service ICQ Service deleted successfully!
C:\Programme\ICQ6Toolbar\ICQ Service.exe moved successfully.
Service vsdatant stopped successfully!
Service vsdatant deleted successfully!
C:\WINDOWS\system32\vsdatant.sys moved successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx\ deleted successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{3685f1c0-611b-11db-9021-00030d1cb05e}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3685f1c0-611b-11db-9021-00030d1cb05e}\ not found.
File MSOCache\doWTP_RESTORE.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{3685f1c0-611b-11db-9021-00030d1cb05e}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3685f1c0-611b-11db-9021-00030d1cb05e}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{9c3a67c0-3472-11dd-a0e2-00030d1cb05e}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9c3a67c0-3472-11dd-a0e2-00030d1cb05e}\ not found.
File 3wcxx91.cmd not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{9c3a67c0-3472-11dd-a0e2-00030d1cb05e}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9c3a67c0-3472-11dd-a0e2-00030d1cb05e}\ not found.
File 3wcxx91.cmd not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{9c3a67c0-3472-11dd-a0e2-00030d1cb05e}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9c3a67c0-3472-11dd-a0e2-00030d1cb05e}\ not found.
File 3wcxx91.cmd not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{9c3a67c1-3472-11dd-a0e2-000e35296756}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9c3a67c1-3472-11dd-a0e2-000e35296756}\ not found.
File 3wcxx91.cmd not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{9c3a67c1-3472-11dd-a0e2-000e35296756}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9c3a67c1-3472-11dd-a0e2-000e35296756}\ not found.
File 3wcxx91.cmd not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{9c3a67c1-3472-11dd-a0e2-000e35296756}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9c3a67c1-3472-11dd-a0e2-000e35296756}\ not found.
File 3wcxx91.cmd not found.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 65670 bytes

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 65670 bytes
->Flash cache emptied: 0 bytes

User: jani
->Temp folder emptied: 3640947635 bytes
->Temporary Internet Files folder emptied: 225347906 bytes
->Java cache emptied: 95484476 bytes
->FireFox cache emptied: 149896884 bytes
->Flash cache emptied: 2003283 bytes

User: LocalService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 598107 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 39097 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 25074993 bytes
RecycleBin emptied: 4139008246 bytes

Total Files Cleaned = 7.895,00 mb

OTL by OldTimer - Version 3.2.20.1 log created on 01052011_124835

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

Gruß,
Nina

cosinus · 05.01.2011, 13:10

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

ninas · 06.01.2011, 13:39

mir bleibt beim CCleaner eine nicht zu löschende Endung/Fehlermeldung übrig, das ist Folgende:
Ungenutzte Datei-Endungen {80b8c23c-16e0-4cd8-bbc3-cecec9a78b79} HKCR\{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79}

kann ich dennoch mit cofi fortfahren im nächsten Schritt?

danke

ninas · 06.01.2011, 13:42

mir bleibt nach dem CCleaner in der Registry folgender Eintrag übrig:
Ungenutzte Datei-Endungen {80b8c23c-16e0-4cd8-bbc3-cecec9a78b79} HKCR\{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79}

ist das schlimm oder kann ich mit dem Cofi als nächsten Schritt weitermachen?

danke!!

ninas · 06.01.2011, 13:51

nach dem CCleaner bleibt mir immer eine Sache übrig:
Ungenutzte Datei-Endungen {80b8c23c-16e0-4cd8-bbc3-cecec9a78b79} HKCR\{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79}

kann ich dennoch mit dem Cofi als nächsten Schritt fortfahren?

danke!!

cosinus · 06.01.2011, 16:16

Willst du die CCleaner-Anleitung vllt mal bis zum Ende komplett durchlesen? Dann hätte sich die Frage garnicht so gestellt

ninas · 07.01.2011, 12:00

hier ist nun das logfile vom combofix:
Combofix Logfile:

Code:

ATTFilter

ComboFix 11-01-06.05 - xx 07.01.2011  11:38:09.1.1 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.511.280 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\xx\Desktop\cofi.exe.exe
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
AV: AntiVir PersonalEdition Classic Virenschutz *Enabled/Updated* {00000000-0000-0000-0000-000000000000}
AV: AntiVir PersonalEdition Classic Virenschutz *Enabled/Updated* {806ED0B3-FFA4-00DA-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *Enabled/Updated* {806ED0B3-FFA4-00EB-0D24-347CA8A3377C}
 * Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\xx\Anwendungsdaten\Cyiz
c:\dokumente und einstellungen\xx\Anwendungsdaten\Cyiz\kuuh.aff
C:\Install.exe
c:\windows\system32\Thumbs.db

.
(((((((((((((((((((((((   Dateien erstellt von 2010-12-07 bis 2011-01-07  ))))))))))))))))))))))))))))))
.

2011-01-05 11:46 . 2011-01-05 11:46	--------	dc----w-	C:\_OTL
2011-01-04 09:04 . 2011-01-04 09:04	--------	d-----w-	c:\dokumente und einstellungen\xx\Anwendungsdaten\Malwarebytes
2011-01-04 09:04 . 2010-12-20 17:09	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2011-01-04 09:04 . 2011-01-04 09:04	--------	dc----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2011-01-04 09:04 . 2011-01-04 09:04	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2011-01-04 09:04 . 2010-12-20 17:08	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-12-15 18:39 . 2010-11-02 15:17	40960	-c----w-	c:\windows\system32\dllcache\ndproxy.sys
2010-12-15 18:36 . 2010-10-11 14:59	45568	-c----w-	c:\windows\system32\dllcache\wab.exe
2010-12-12 19:55 . 2010-12-12 19:55	--------	d-----w-	c:\programme\Gemeinsame Dateien\Skype

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-11-18 18:12 . 2004-10-23 11:45	86016	----a-w-	c:\windows\system32\isign32.dll
2010-11-06 00:27 . 2004-10-23 20:34	832512	----a-w-	c:\windows\system32\wininet.dll
2010-11-06 00:27 . 2004-10-23 20:34	1830912	----a-w-	c:\windows\system32\inetcpl.cpl
2010-11-06 00:27 . 2004-10-23 14:09	78336	----a-w-	c:\windows\system32\ieencode.dll
2010-11-06 00:27 . 2004-10-23 20:33	17408	----a-w-	c:\windows\system32\corpol.dll
2010-11-03 12:25 . 2004-10-23 14:09	389120	----a-w-	c:\windows\system32\html.iec
2010-11-02 15:17 . 2004-10-23 20:34	40960	----a-w-	c:\windows\system32\drivers\ndproxy.sys
2010-10-28 13:12 . 2004-10-23 20:33	290048	----a-w-	c:\windows\system32\atmfd.dll
2010-10-26 14:05 . 2004-10-23 20:34	1853440	----a-w-	c:\windows\system32\win32k.sys
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{9CB65206-89C4-402c-BA80-02D8C59F9B1D}"= "c:\programme\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL" [2008-06-16 57344]

[HKEY_CLASSES_ROOT\clsid\{9cb65206-89c4-402c-ba80-02d8c59f9b1d}]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
VPN Client.lnk - c:\windows\Installer\{871DF2BE-41D2-4334-AC33-839AF16FC8FE}\Icon3E5562ED7.ico [2009-2-16 6144]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Gamma Loader.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma Loader.lnk
backup=c:\windows\pss\Adobe Gamma Loader.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=c:\windows\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Audible Download Manager.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Audible Download Manager.lnk
backup=c:\windows\pss\Audible Download Manager.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Kodak EasyShare Software.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Kodak EasyShare Software.lnk
backup=c:\windows\pss\Kodak EasyShare Software.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^KODAK Software Updater.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\KODAK Software Updater.lnk
backup=c:\windows\pss\KODAK Software Updater.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^RAMASST.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\RAMASST.lnk
backup=c:\windows\pss\RAMASST.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATIPTA]
2004-08-12 19:10	339968	----a-w-	c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
2008-04-14 02:22	15360	----a-w-	c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DivXUpdate]
2010-06-03 00:50	1144104	----a-w-	c:\programme\DivX\DivX Update\DivXUpdate.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EPSON Stylus CX3600 Series]
2004-03-04 03:00	98304	----a-w-	c:\windows\system32\spool\drivers\w32x86\3\E_FATI9BE.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FonTipp]
2006-06-07 19:21	40960	----a-w-	c:\programme\FonTipp\start.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ]
2011-01-05 08:18	133432	----a-w-	c:\programme\ICQ7.2\ICQ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2010-02-15 17:07	141608	----a-w-	c:\programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
2008-04-14 02:22	1695232	------w-	c:\programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Octoshape Streaming Services]
2006-02-13 16:33	214648	----a-w-	c:\programme\Octoshape Streaming Services\xx\OctoshapeClient.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
2003-10-31 17:42	32768	----a-w-	c:\programme\CyberLink\PowerDVD\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RestoreIT!]
2004-05-27 17:54	114688	----a-w-	c:\programme\Phoenix Technologies Ltd\RecoverPro_XP\vbptask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
2010-12-03 15:46	14944136	----a-r-	c:\programme\Skype\Phone\Skype.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2005-11-10 12:03	36975	----a-w-	c:\programme\Java\jre1.5.0_06\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
2005-11-15 19:31	33792	----a-w-	c:\programme\Winamp\winampa.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"SLService"=2 (0x2)
"PhnxVCDService"=3 (0x3)
"Ati HotKey Poller"=2 (0x2)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\Kodak\\KODAK Software Updater\\7288971\\Program\\Kodak Software Updater.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Kodak\\Kodak EasyShare software\\bin\\EasyShare.exe"=
"c:\\Programme\\Octoshape Streaming Services\\xx\\OctoshapeClient.exe"=
"c:\\Programme\\SPSSInc\\SPSS16\\spss.com"=
"c:\\Programme\\SPSSInc\\SPSS16\\spss.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\ICQ7.2\\ICQ.exe"=
"c:\\Programme\\ICQ7.2\\aolload.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R0 RITCPT;RITCPT;c:\windows\system32\drivers\RITCPT.SYS [23.10.2004 22:20 43512]
R0 VVBackd5;VVBackd5;c:\windows\system32\drivers\VVBackd5.sys [23.10.2004 22:21 179482]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [16.11.2009 20:24 108289]
R2 FBAPI;FBAPI;c:\windows\system32\drivers\FBAPI.sys [23.10.2004 18:11 5088]
R3 CONAN;CONAN;c:\windows\system32\drivers\o2mmb.sys [23.10.2004 13:32 191092]
R3 MbxStby;MbxStby;c:\windows\system32\drivers\MbxStby.sys [23.10.2004 13:32 6100]
R3 PhnxVcd;PhnxVcd;c:\windows\system32\drivers\phnxvcd.sys [23.10.2004 18:10 34688]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://start.icq.com/
mWindow Title = Microsoft Internet Explorer
uInternet Settings,ProxyOverride = *.local
IE: &Citavi Picker... - file://c:\programme\Internet Explorer\PLUGINS\Citavi Picker\ShowContextMenu.html
IE: &ICQ Toolbar Search - c:\programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
DPF: {96512D57-F751-4088-A689-5778FCC77F7A} - hxxp://www.studivz.net/lib/photouploader/PhotoUploader.cab
DPF: {9EBA6AB8-DB90-48F7-A0C1-EC3DAE86220D} - hxxp://xvectormap.ptv.de/xvectormap/PTVxVectorMap30.cab
FF - ProfilePath - c:\dokumente und einstellungen\xx\Anwendungsdaten\Mozilla\Firefox\Profiles\hq2osly2.Standard-Benutzer1\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - prefs.js: keyword.URL - hxxp://de.search.yahoo.com/search?fr=greentree_ff1&ei=utf-8&type=302398&p=
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA}
FF - Ext: Citavi Picker: {8AA36F4F-6DC7-4c06-77AF-5035170634FE} - c:\programme\Mozilla Firefox\extensions\{8AA36F4F-6DC7-4c06-77AF-5035170634FE}
FF - Ext: Echofon: twitternotifier@naan.net - %profile%\extensions\twitternotifier@naan.net
FF - Ext: ICQ Toolbar: {800b5000-a755-47e1-992b-48a1c1357f07} - %profile%\extensions\{800b5000-a755-47e1-992b-48a1c1357f07}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - user.js: yahoo.homepage.dontask - true
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKCU-Run-Power2GoExpress - (no file)
MSConfigStartUp-mmtask - c:\program files\MusicMatch\MusicMatch Jukebox\mmtask.exe
MSConfigStartUp-MMTray - c:\programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
MSConfigStartUp-NeroFilterCheck - c:\programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
MSConfigStartUp-Picasa Media Detector - c:\programme\Picasa2\PicasaMediaDetector.exe
MSConfigStartUp-TkBellExe - c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2011-01-07 11:49
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\DeterministicNetworks\DNE\Parameters]
"SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
   00,5c,00,4d,00,61,00,63,00,68,00,69,00,6e,00,65,00,5c,00,53,00,79,00,73,00,\
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(1092)
c:\windows\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2011-01-07  11:56:09
ComboFix-quarantined-files.txt  2011-01-07 10:56

Vor Suchlauf: 12 Verzeichnis(se), 10.998.439.936 Bytes frei
Nach Suchlauf: 14 Verzeichnis(se), 11.048.632.320 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn

- - End Of File - - F71A9F8DF580D8626AA02411F2F37F74

--- --- ---
Was sagt das jetzt aus?

danke

04.01.2011, 15:58	#4
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	online banking dank gozi gesperrt Probiers nochmal. Eigentlich müssten die Logs auch auf dem Desktop sein. Du hast XP und führst es als Admin aus? Dann musst du auf dem Desktop des Benutzers auch schauen, der OTL ausgeführt hat! __________________ Logfiles bitte immer in CODE-Tags posten

04.01.2011, 16:20	#6
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	online banking dank gozi gesperrt Wie führst du die Datei aus? Per Doppelklick oder per Rechtsklick ausführen als? __________________ --> online banking dank gozi gesperrt

06.01.2011, 16:16	#14
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	online banking dank gozi gesperrt Willst du die CCleaner-Anleitung vllt mal bis zum Ende komplett durchlesen? Dann hätte sich die Frage garnicht so gestellt __________________ Logfiles bitte immer in CODE-Tags posten

online banking dank gozi gesperrt

Plagegeister aller Art und deren Bekämpfung: online banking dank gozi gesperrt