Trojaner-Board - Offen TR/Trash.Gen // TR/Spy.Agent.blbk // TR/Rootkit.Gen2' // TR/BHO.Gen // TR/Crypt.XPACK.Gen2' et al

Trojaner-Board (https://www.trojaner-board.de/)

- Antiviren-, Firewall- und andere Schutzprogramme (https://www.trojaner-board.de/antiviren-firewall-andere-schutzprogramme/)

- -

TR/Trash.Gen // TR/Spy.Agent.blbk // TR/Rootkit.Gen2' // TR/BHO.Gen // TR/Crypt.XPACK.Gen2' et al (https://www.trojaner-board.de/92233-tr-trash-gen-tr-spy-agent-blbk-tr-rootkit-gen2-tr-bho-gen-tr-crypt-xpack-gen2-et-al.html)

TR/Trash.Gen // TR/Spy.Agent.blbk // TR/Rootkit.Gen2' // TR/BHO.Gen // TR/Crypt.XPACK.Gen2' et al

Hallo,

vielleicht kann mir jemand hier helfen. Offenbar hat meine Frau beim Surfen auf einem Forum auf irgendein Popup-Fenster geklickt. Kurz danach fing das System an zu spinnen, ein Fake Antivir und eine Fake Windows Firewall tauchten auf , Antivir konnte man nicht mehr aktualisieren bzw. scannen lassen.

Hab es dann doch irgendwie geschafft und mit Antivir, Spybot, Adaware etc. gescannt und einige Malware-Dateien gefunden und ausgeschaltet (siehe Betreff für eine Auswahl). Aufgrund der beunruhigenden Anzahl bin ich allerdings alles andere als beruhigt.

Ich habe die Programme hier ausgeführt und die Logs angehängt - kann mich jemand beruhigen?

Vielen Dank vorab.

Rolls

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

:OTL

DRV - (MRESP50a64) -- C:\PROGRA~1\GEMEIN~1\Motive\MRESP50a64.SYS File not found

DRV - (MRENDIS5) -- C:\PROGRA~1\GEMEIN~1\Motive\MRENDIS5.SYS File not found

DRV - (MREMPR5) -- C:\PROGRA~1\GEMEIN~1\Motive\MREMPR5.SYS File not found

DRV - (MREMP50a64) -- C:\PROGRA~1\GEMEIN~1\Motive\MREMP50a64.SYS File not found

@Alternate Data Stream - 123 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:BEB71B81

:Commands

[purity]

[resethosts]

[emptytemp]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Hallo Arne,

vielen Dank, dass Du Dich meiner annimmst. Ich habe das jetzt durchgeführt, anbei das Log.

Gruss,
Roland

All processes killed
========== OTL ==========
Service MRESP50a64 stopped successfully!
Service MRESP50a64 deleted successfully!
File C:\PROGRA~1\GEMEIN~1\Motive\MRESP50a64.SYS File not found not found.
Service MRENDIS5 stopped successfully!
Service MRENDIS5 deleted successfully!
File C:\PROGRA~1\GEMEIN~1\Motive\MRENDIS5.SYS File not found not found.
Service MREMPR5 stopped successfully!
Service MREMPR5 deleted successfully!
File C:\PROGRA~1\GEMEIN~1\Motive\MREMPR5.SYS File not found not found.
Service MREMP50a64 stopped successfully!
Service MREMP50a64 deleted successfully!
File C:\PROGRA~1\GEMEIN~1\Motive\MREMP50a64.SYS File not found not found.
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:BEB71B81 deleted successfully.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Java cache emptied: 0 bytes

User: LocalService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 618688 bytes
->FireFox cache emptied: 0 bytes

User: Roland Popp
->Temp folder emptied: 7285725 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 42584628 bytes
->Apple Safari cache emptied: 4090880 bytes
->Flash cache emptied: 4250 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 16384 bytes
RecycleBin emptied: 13409 bytes

Total Files Cleaned = 52,00 mb

OTL by OldTimer - Version 3.2.17.1 log created on 10292010_200546

Files\Folders moved on Reboot...
File\Folder C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\WrapPDF=contentSet=DDRS=recordID=2117880001==contentSet=DDRS=recordID=2117880002==contentSet=DDRS=recordID=2117880003==contentSet=D DRS=recordID=2117880004==contentSet=DDRS=recordID=2117880005==contentSet=DDRS=re.pdf not found!
File\Folder C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\WrapPDF=contentSet=DDRS=recordID=2550210001==contentSet=DDRS=recordID=2550210002==contentSet=DDRS=recordID=2550210003==contentSet=D DRS=recordID=2550210004==contentSet=DDRS=recordID=2550210005==contentSet=DDRS=re.pdf not found!
File\Folder C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\WrapPDF=contentSet=DDRS=recordID=2566600001==contentSet=DDRS=recordID=2566600002==contentSet=DDRS=recordID=2566600003==contentSet=D DRS=recordID=2566600004==contentSet=DDRS=recordID=2566600005==contentSet=DDRS=re.pdf not found!
File\Folder C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\WrapPDF=contentSet=DDRS=recordID=2566600011==contentSet=DDRS=recordID=2566600012==contentSet=DDRS=recordID=2566600013==contentSet=D DRS=recordID=2566600014==contentSet=DDRS=recordID=2566600015==contentSet=DDRS=re.pdf not found!
File\Folder C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\WrapPDF=contentSet=DDRS=recordID=2593470001==contentSet=DDRS=recordID=2593470002==contentSet=DDRS=recordID=2593470003==contentSet=D DRS=recordID=2593470004==contentSet=DDRS=recordID=2593470005==contentSet=DDRS=re.pdf not found!
File\Folder C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\WrapPDF=contentSet=DDRS=recordID=2685360001==contentSet=DDRS=recordID=2685360002==contentSet=DDRS=recordID=2685360003==contentSet=D DRS=recordID=2685360004==contentSet=DDRS=recordID=2685360005==contentSet=DDRS=re.pdf not found!
File\Folder C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\WrapPDF=contentSet=DDRS=recordID=2804820001==contentSet=DDRS=recordID=2804820002==contentSet=DDRS=recordID=2804820003==contentSet=D DRS=recordID=2804820004==contentSet=DDRS=recordID=2804820005==contentSet=DDRS=re.pdf not found!
File\Folder C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\WrapPDF=contentSet=DDRS=recordID=2806600001==contentSet=DDRS=recordID=2806600002==contentSet=DDRS=recordID=2806600003==contentSet=D DRS=recordID=2806600004==contentSet=DDRS=recordID=2806600005==contentSet=DDRS=re.pdf not found!
File\Folder C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\WrapPDF=contentSet=DDRS=recordID=2941730001==contentSet=DDRS=recordID=2941730002==contentSet=DDRS=recordID=2941730003==contentSet=D DRS=recordID=2941730004==contentSet=DDRS=recordID=2941730005==contentSet=DDRS=re.pdf not found!
File\Folder C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\WrapPDF=contentSet=DDRS=recordID=2942650001==contentSet=DDRS=recordID=2942650002==contentSet=DDRS=recordID=2942650003==contentSet=D DRS=recordID=2942650004==contentSet=DDRS=recordID=2942650005==contentSet=DDRS=re.pdf not found!
File\Folder C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\WrapPDF=contentSet=DDRS=recordID=2947730001==contentSet=DDRS=recordID=2947730002==contentSet=DDRS=recordID=2947730003==contentSet=D DRS=recordID=2947730004==contentSet=DDRS=recordID=2947730005==contentSet=DDRS=re.pdf not found!
File\Folder C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\WrapPDF=contentSet=DDRS=recordID=2953910001==contentSet=DDRS=recordID=2953910002==contentSet=DDRS=recordID=2953910003==contentSet=D DRS=recordID=2953910004==contentSet=DDRS=recordID=2953910005==contentSet=DDRS=re.pdf not found!

Registry entries deleted on Reboot...

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hallo Arne,

done, hier das Log:

Combofix Logfile:

Code:

ComboFix 10-10-30.01 - Roland Popp 30.10.2010  23:12:12.1.1 - x86

Microsoft Windows XP Professional  5.1.2600.2.1252.49.1031.18.894.488 [GMT 2:00]

ausgeführt von:: c:\dokumente und einstellungen\Roland Popp\Desktop\cofi.exe.exe

AV:  *On-access scanning disabled* (Outdated) {84B5EE75-6421-4CDE-A33A-DD43BA9FAD83}

AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}

AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Outdated) {00000000-0000-0000-0000-000000000000}

AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804FD218-FFA4-00DA-0D24-347CA8A3377C}

AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804FD218-FFA4-00DB-0D24-347CA8A3377C}

AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804FD408-FFA4-00DA-0D24-347CA8A3377C}

AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804FD408-FFA4-00EB-0D24-347CA8A3377C}

FW:  *disabled* {94894B63-8C7F-4050-BDA4-813CA00DA3E8}

.
 

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.
 

c:\dokumente und einstellungen\All Users\Anwendungsdaten\.wtav

c:\windows\system32\setup.ini

c:\windows\system32\spool\prtprocs\w32x86\Ppbiproc.dll

c:\windows\system32\winsys

c:\windows\system32\winsys\msvcrt40.dll

c:\windows\winhelp.ini
 

.

(((((((((((((((((((((((   Dateien erstellt von 2010-09-28 bis 2010-10-30  ))))))))))))))))))))))))))))))

.
 

2010-10-29 18:05 . 2010-10-29 18:05        --------        d-----w-        C:\_OTL

2010-10-24 10:49 . 2010-10-24 10:49        --------        d-----w-        c:\dokumente und einstellungen\***\Anwendungsdaten\Malwarebytes

2010-10-24 10:48 . 2010-04-29 10:19        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys

2010-10-24 10:48 . 2010-10-24 10:48        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes

2010-10-24 10:48 . 2010-04-29 10:19        20952        ----a-w-        c:\windows\system32\drivers\mbam.sys

2010-10-24 10:48 . 2010-10-24 10:49        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware

2010-10-21 20:10 . 2010-10-21 20:10        --------        d-----w-        c:\programme\iPod

2010-10-21 20:00 . 2010-10-21 20:00        --------        d-----w-        c:\programme\Bonjour

2010-10-18 08:06 . 2010-10-18 08:06        --------        d-sh--w-        c:\dokumente und einstellungen\LocalService\IETldCache

2010-10-18 07:34 . 2010-10-18 07:34        --------        d-sh--w-        c:\dokumente und einstellungen\NetworkService\IETldCache

2010-10-18 07:33 . 2010-10-18 07:33        --------        d-sh--w-        c:\dokumente und einstellungen\***\IETldCache

2010-10-17 20:32 . 2010-05-06 10:31        12800        -c----w-        c:\windows\system32\dllcache\xpshims.dll

2010-10-17 20:32 . 2010-05-06 10:31        599040        -c----w-        c:\windows\system32\dllcache\msfeeds.dll

2010-10-17 20:32 . 2010-05-06 10:31        55296        -c----w-        c:\windows\system32\dllcache\msfeedsbs.dll

2010-10-17 20:32 . 2010-05-06 10:31        1985536        -c----w-        c:\windows\system32\dllcache\iertutil.dll

2010-10-17 20:32 . 2010-05-06 10:31        247808        -c----w-        c:\windows\system32\dllcache\ieproxy.dll

2010-10-17 20:32 . 2010-05-06 10:31        11076096        -c----w-        c:\windows\system32\dllcache\ieframe.dll

2010-10-17 20:32 . 2010-05-06 10:31        743424        -c----w-        c:\windows\system32\dllcache\iedvtool.dll

2010-10-17 20:28 . 2010-10-17 20:32        --------        dc-h--w-        c:\windows\ie8

2010-10-17 10:42 . 2010-10-23 07:37        --------        d-----w-        c:\windows\system32\CatRoot_bak

2010-10-16 17:08 . 2010-10-16 17:08        --------        d-----w-        c:\programme\MSXML 6.0

2010-10-16 14:22 . 2010-02-24 12:31        454016        -c----w-        c:\windows\system32\dllcache\mrxsmb.sys

2010-10-16 14:21 . 2010-02-12 10:03        293376        ------w-        c:\windows\system32\browserchoice.exe

2010-10-16 14:16 . 2010-02-17 12:23        2066048        -c----w-        c:\windows\system32\dllcache\ntkrnlpa.exe

2010-10-16 14:16 . 2010-02-16 19:23        2024448        -c----w-        c:\windows\system32\dllcache\ntkrpamp.exe

2010-10-16 14:16 . 2010-02-16 19:23        2189184        -c----w-        c:\windows\system32\dllcache\ntoskrnl.exe

2010-10-16 14:16 . 2010-02-16 19:23        2146304        -c----w-        c:\windows\system32\dllcache\ntkrnlmp.exe

2010-10-16 14:13 . 2008-06-14 17:57        273024        -c----w-        c:\windows\system32\dllcache\bthport.sys

2010-10-15 21:01 . 2010-10-15 21:01        --------        d-----w-        c:\windows\dell

2010-10-15 20:36 . 2010-10-24 10:17        --------        d-----w-        c:\windows\system32\NtmsData

2010-10-15 20:28 . 2010-10-15 20:28        --------        d-----w-        c:\dokumente und einstellungen\***\Anwendungsdaten\Avira

2010-10-15 20:17 . 2010-03-01 08:05        124784        ----a-w-        c:\windows\system32\drivers\avipbb.sys

2010-10-15 20:17 . 2010-02-16 12:24        60936        ----a-w-        c:\windows\system32\drivers\avgntflt.sys

2010-10-15 20:17 . 2009-05-11 10:49        45416        ----a-w-        c:\windows\system32\drivers\avgntdd.sys

2010-10-15 20:17 . 2009-05-11 10:49        22360        ----a-w-        c:\windows\system32\drivers\avgntmgr.sys

2010-10-15 20:17 . 2010-10-15 20:17        --------        d-----w-        c:\programme\Avira

2010-10-15 20:17 . 2010-10-15 20:17        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira

2010-10-15 19:49 . 2004-08-10 06:39        73728        -c--a-w-        c:\windows\system32\dllcache\ehresja.dll

2010-10-15 19:49 . 2004-08-10 06:39        69632        -c--a-w-        c:\windows\system32\dllcache\ehresko.dll

2010-10-15 19:49 . 2004-08-10 06:39        69632        -c--a-w-        c:\windows\system32\dllcache\ehresfr.dll

2010-10-15 19:49 . 2004-08-10 06:39        69632        -c--a-w-        c:\windows\system32\dllcache\ehresde.dll

2010-10-15 19:47 . 2004-08-10 12:00        46592        -c--a-w-        c:\windows\system32\dllcache\svcext51.dll

2010-10-15 19:46 . 2004-08-10 12:00        229439        -c--a-w-        c:\windows\system32\dllcache\multibox.dll

2010-10-15 19:45 . 2004-08-10 12:00        86016        -c--a-w-        c:\windows\system32\dllcache\imekrmbx.dll

2010-10-15 19:44 . 2004-08-10 12:00        480256        -c--a-w-        c:\windows\system32\dllcache\cintsetp.exe

2010-10-15 19:43 . 2003-03-24 14:52        20540        -c--a-w-        c:\windows\system32\dllcache\admin.dll

2010-10-15 19:39 . 2004-08-10 12:00        16384        -c--a-w-        c:\windows\system32\dllcache\isignup.exe

2010-10-15 19:39 . 2004-08-10 12:00        16384        ----a-w-        c:\programme\Internet Explorer\Connection Wizard\isignup.exe

2010-10-15 19:16 . 2004-08-10 12:00        24661        -c--a-w-        c:\windows\system32\dllcache\spxcoins.dll

2010-10-15 19:16 . 2004-08-10 12:00        24661        ----a-w-        c:\windows\system32\spxcoins.dll

2010-10-15 19:16 . 2004-08-10 12:00        13824        -c--a-w-        c:\windows\system32\dllcache\irclass.dll

2010-10-15 19:16 . 2004-08-10 12:00        13824        ----a-w-        c:\windows\system32\irclass.dll

2010-10-14 21:25 . 2010-10-14 21:25        --------        d-----w-        c:\windows\system32\wbem\Repository

2010-10-14 21:09 . 2010-10-14 21:09        --------        d-----w-        c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Sunbelt Software

2010-10-14 20:34 . 2010-08-12 12:15        15880        ----a-w-        c:\windows\system32\lsdelete.exe

2010-10-14 20:34 . 2010-10-14 20:34        82        ---ha-w-        C:\aaw7boot.cmd

2010-10-14 18:12 . 2010-08-12 12:15        64288        ----a-w-        c:\windows\system32\drivers\Lbd.sys

2010-10-14 18:12 . 2010-10-14 18:12        95024        ----a-w-        c:\windows\system32\drivers\SBREDrv.sys

2010-10-14 18:06 . 2010-10-14 21:09        --------        dc-h--w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\{ECC164E0-3133-4C70-A831-F08DB2940F70}

2010-10-14 18:05 . 2010-10-14 18:12        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft

2010-10-13 19:08 . 2010-10-13 19:08        --------        d-----w-        c:\dokumente und einstellungen\***\Anwendungsdaten\Uniblue

2010-10-13 19:08 . 2010-10-13 19:08        --------        d-----w-        c:\programme\Uniblue

2010-10-11 19:46 . 2010-10-11 19:46        --------        d-----w-        c:\dokumente und einstellungen\***\Anwendungsdaten\DriverCure

2010-10-11 19:45 . 2010-10-11 19:45        --------        d-----w-        c:\programme\Gemeinsame Dateien\ParetoLogic

2010-10-11 19:45 . 2010-10-11 19:45        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\ParetoLogic

2010-10-11 19:45 . 2010-10-11 19:45        --------        d-----w-        c:\programme\ParetoLogic

2010-10-11 19:23 . 2010-10-11 19:23        --------        d-----w-        c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\PCHealth

2010-10-08 17:42 . 2010-10-08 17:43        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-09-08 09:17 . 2010-09-08 09:17        94208        ----a-w-        c:\windows\system32\QuickTimeVR.qtx

2010-09-08 09:17 . 2010-09-08 09:17        69632        ----a-w-        c:\windows\system32\QuickTime.qts

2010-08-27 01:43 . 2008-05-05 05:25        5632        ----a-w-        c:\windows\system32\xpsp4res.dll

2007-01-13 12:16 . 2007-01-13 12:16        774144        ----a-w-        c:\programme\RngInterstitial.dll

.
 

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Skype"="c:\programme\Skype\\Phone\Skype.exe" [2010-09-02 13351304]

"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-01-26 2144088]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ehTray"="c:\windows\ehome\ehtray.exe" [2004-08-10 59392]

"ATICCC"="c:\programme\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-05-10 90112]

"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2006-03-08 761947]

"Broadcom Wireless Manager UI"="c:\windows\system32\WLTRAY.exe" [2006-11-01 1392640]

"DLA"="c:\windows\System32\DLA\DLACTRLW.EXE" [2005-09-08 122940]

"ISUSScheduler"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2004-07-27 81920]

"Launcher"="c:\programme\Kyocera\FS-720 Utilities\KMGLNC.exe" [2005-01-27 57344]

"vspdfprsrv.exe"="c:\programme\Visage\PDF Printer\vspdfprsrv.exe" [2003-11-14 4661760]

"SynTPLpr"="c:\programme\Synaptics\SynTP\SynTPLpr.exe" [2006-03-08 82011]

"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-10-11 149280]

"SigmatelSysTrayApp"="stsystra.exe" [2006-09-22 282624]

"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-03-02 282792]

"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2010-09-08 421888]

"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2010-09-24 421160]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-10 15360]
 

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\

Digital Line Detect.lnk - c:\programme\Digital Line Detect\DLG.exe [2006-12-9 24576]
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\System Safety Monitor]

2007-01-29 15:59        51152        ----a-w-        c:\windows\system32\SSMWinlogonEx.dll
 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]

@="Service"
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]

path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk

backup=c:\windows\pss\Adobe Reader - Schnellstart.lnkCommon Startup
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AppleSyncNotifier]

2009-08-13 14:51        177440        ----a-w-        c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DVDLauncher]

2006-04-06 08:51        49152        ----a-w-        c:\programme\CyberLink\PowerDVD\DVDLauncher.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSPM Startup]

2004-07-27 16:50        221184        ----a-w-        c:\progra~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]

2010-09-24 00:10        421160        ----a-w-        c:\programme\iTunes\iTunesHelper.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LifeCam]

2007-05-17 21:45        279912        ----a-w-        c:\programme\Microsoft LifeCam\LifeExp.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PPWebCap]

2001-08-10 09:50        40960        ----a-w-        c:\progra~1\ScanSoft\PAPERP~1\PPWEBCAP.EXE
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Swisscom LiveUpdate]

2010-06-28 13:43        2496904        ----a-w-        c:\programme\Swisscom\LiveUpdate\SwisscomLiveUpdate.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Swisscom Quick Help]

2010-07-12 06:31        10422656        ----a-w-        c:\programme\Swisscom\Quick Help\SwisscomQuickHelp.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\updateMgr]

2006-03-30 14:45        313472        ----a-r-        c:\programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VX3000]

2007-04-10 21:46        709992        ----a-w-        c:\windows\vVX3000.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiVirus]

"DisableMonitoring"=dword:00000001
 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeFirewall]

"DisableMonitoring"=dword:00000001
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Programme\\Messenger\\msmsgs.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Programme\\SopCast\\adv\\SopAdver.exe"=

"c:\\Programme\\SopCast\\SopCast.exe"=

"c:\\Programme\\Mozilla Firefox\\firefox.exe"=

"c:\\Program Files\\Real\\RealPlayer\\realplay.exe"=

"c:\\Programme\\Dell Network Assistant\\ezi_hnm2.exe"=

"c:\\Programme\\Microsoft LifeCam\\LifeCam.exe"=

"c:\\Programme\\Microsoft LifeCam\\LifeExp.exe"=

"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=

"c:\\Programme\\Swisscom\\Quick Help\\SwisscomQuickHelp.exe"=

"c:\\Programme\\Bonjour\\mDNSResponder.exe"=

"c:\\Programme\\iTunes\\iTunes.exe"=

"c:\\Programme\\Skype\\Phone\\Skype.exe"=
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]

"AllowInboundEchoRequest"= 1 (0x1)
 

R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [14.10.2010 20:12 64288]

R0 safemon;System Safety Monitor 2.0 Core Engine;c:\windows\system32\drivers\safemon.sys [29.01.2007 17:58 216144]

R2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\programme\Avira\AntiVir Desktop\sched.exe [15.10.2010 22:17 135336]

R2 hnmwrlspkt;HomeNet Manager Wireless Protocol;c:\windows\system32\drivers\hnm_wrls_pkt.sys [14.07.2006 03:01 13824]

R2 wsppkt;Wireless Security Protocol;c:\windows\system32\drivers\wsp_pkt.sys [14.07.2006 03:02 13696]

S2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\programme\Lavasoft\Ad-Aware\AAWService.exe [12.08.2010 14:15 1357464]
 

--- Andere Dienste/Treiber im Speicher ---
 

*Deregistered* - Lavasoft Kernexplorer

.

Inhalt des "geplante Tasks" Ordners
 

2010-10-30 c:\windows\Tasks\Ad-Aware Update (Weekly).job

- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2010-08-12 18:12]
 

2010-10-28 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = hxxp://dict.leo.org/

uInternet Connection Wizard,ShellNext = hxxp://127.0.0.1:4664/first_usage&s=CR-vbKHbFoQmCcTLSIVl7b_2E9A

uInternet Settings,ProxyOverride = *.local

IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

DPF: Microsoft XML Parser for Java - file:///C:/WINDOWS/Java/classes/xmldso.cab

FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\4cet7xy9.default\

FF - prefs.js: browser.search.selectedEngine - Google

FF - prefs.js: browser.startup.homepage - www.google.de

FF - component: c:\programme\Mozilla Firefox\extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1}\components\SkypeFfComponent.dll

FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nppl3260.dll

FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprjplug.dll

FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprpjplug.dll

FF - plugin: c:\programme\Mozilla Firefox\plugins\np-mswmp.dll

FF - plugin: c:\programme\Real\RealArcade\Plugins\Mozilla\npracplug.dll

FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
 

---- FIREFOX Richtlinien ----

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); 

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqz9s", true); // Traditional

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqs8s", true); // Simplified

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--j6w193g", true);

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4a87g", true);

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7c0a67fbc", true);

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7cvafr", true);

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kpry57d", true);  // Traditional

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kprw13d", true);  // Simplified

c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -
 

Notify-WgaLogon - (no file)
 
 
 

**************************************************************************
 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net

Rootkit scan 2010-10-30 23:18

Windows 5.1.2600 Service Pack 2 NTFS
 

Scanne versteckte Prozesse... 
 

Scanne versteckte Autostarteinträge... 
 

Scanne versteckte Dateien... 
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************
 

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\vsdatant]

"ImagePath"=""

.

--------------------- Gesperrte Registrierungsschluessel ---------------------
 

[HKEY_USERS\S-1-5-21-1355526931-2314566999-4041236451-1005\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{AA63A627-D65D-A98B-9CF3-C7CA7413D51D}*]

@Allowed: (Read) (RestrictedCode)

@Allowed: (Read) (RestrictedCode)

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
 

- - - - - - - > 'winlogon.exe'(844)

c:\windows\system32\Ati2evxx.dll

c:\windows\system32\SSMWinlogonEx.dll

c:\windows\System32\BCMLogon.dll

.

Zeit der Fertigstellung: 2010-10-30  23:21:22

ComboFix-quarantined-files.txt  2010-10-30 21:21
 

Vor Suchlauf: 14 Verzeichnis(se), 20.697.522.176 Bytes frei

Nach Suchlauf: 16 Verzeichnis(se), 20.759.441.408 Bytes frei
 

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

UnsupportedDebug="do not select this" /debug

multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Windows XP Media Center Edition" /noexecute=optin /fastdetect
 

- - End Of File - - E3BA7EB25235562FE30F635FEF9330BB

--- --- ---

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:

Regnull::

[HKEY_USERS\S-1-5-21-1355526931-2314566999-4041236451-1005\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{AA63A627-D65D-A98B-9CF3-C7CA7413D51D}*]

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Hallo Arne,

so gemacht, hier das Log.

Gruss
Roland

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus

Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

Doppelklick auf die MBRCheck.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Das Tool braucht nur eine Sekunde.
Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

Hallo,

hier die drei Logs. Hoffe, ich habe alles richtig gemacht. GMER ist wohl unvollständig, ist abgeschmiert.

Gruss,
Roland

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Hallo Arne,

sorry für die Verzögerung, musste ein paar Tage weg.

Hier also die beiden Logs:

Sieht ok aus, da wurden nur Cookies gefunden.
Noch Probleme oder weitere Funde in der Zwischenzeit?

Nein, überhaupt nichts, keinerlei Probleme.

Dann wären wir durch! :abklatsch:

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.

Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update

PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player

Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

Hallo Arne,

tausend Dank, da bin ich jetzt wirklich erleichtert.

Grossartige Hilfe.

Jetzt brauch ich nur noch den Link, wo ich was für Euch spenden kann bitte.

Schönen Abend und beste Grüsse,
Roland