Trojaner-Board - Kein Internet

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Kein Internet - Log Auswertung (https://www.trojaner-board.de/59281-kein-internet-log-auswertung.html)

Kein Internet - Log Auswertung

test test.

ich kann irgendwie kein neues thema eröffnen.

test test.

[Okay, Beitrag schreiben geht. Aber sobald ich auf mit meinem neuen Thema auf 'Thema erstellen' gehe, kommt nur eine weiße Seite und es lädt nicht mehr... Help.]

Hallo Leute! Ich bin eine andere Person und würde auch gern mein Problem schilder, aber "Thema neuerstellen" geht bei mir nicht. Kommt nur eine weiße Seite, die nicht lädt. Also stell ich hier nochmal mein Problem rein:

Gestern habe ich mir anscheinend beim Browsen eines Forum etwas eingefangen. Es hat sich auf einmal meine Windows-Firewall ausgeschaltet (WTF?), es kam dann so ein rotes Schutzschild in der Tray-Icon-Leiste und ich habe sie mit Schrecken sofort wieder eingeschaltet (die Firewall). Doch da poppte schon so eine FakeAV-Meldung auf: mein System sei in Gefahr und ich solle doch einen Scan machen. Da habe ich selbstverständlich nicht draufgedrückt und sofort mit AntiVir die laufenden Prozesse gecheckt. Es hat diesen dann gleich als schädlich erkannt und gelöscht. Trotzem war dann mein Hintergrundbild verändert (auch so eine FakeViren-Meldung als .jpg oder ähnlichem). Spybot hat drei Dinge gefunden (normalerweise findet er nichts), und da war auch was mit Smitfraud dabei. Hijackthis hat ein schädliches system32\a.exe gefunden und das habe ich dann händisch geschlöscht. Inzwischen kommt das Fake-Hintergrundbild nicht mehr, auch wenn ich neustarte. Ich habe auch ein SuperAntispyware-Check im Safemode gemacht und dabei einige Adware-Cookies gelöscht. Das Problem, das jetzt noch da ist: Googlesuchergebnisse werden sowohl im Firefox (FF2) als auch im IE auf Spamseiten weitergeleitet. Vorher war nur der FF2 betroffen. Hijack ergibt jetzt nichts mehr (außer, dass mir meine eigene Startseite als gefährlich markiert wird).

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 03:04:29, on 06.09.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\samsung\Samsung Network Manager\SNMWLANService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Samsung\ComSMMgr\ssmmgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programme\Samsung\DisplayManager\dmhkcore.exe
C:\Programme\SAMSUNG\MagicKBD\MagicKBD.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Ariane\Desktop\HiJackThis202.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [RestoreIT!] "C:\Programme\Phoenix Technologies Ltd\RecoverPro_XP\VBPTASK.EXE" VBStart
O4 - HKLM\..\Run: [MagicKeyboard] C:\Programme\SAMSUNG\MagicKBD\PreMKBD.exe
O4 - HKLM\..\Run: [BatteryManager] C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32

Oh Mann! Es lädt einfach nichts. Mein Internet lahmt so!

Hier geht's weiter:

O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [Samsung Common SM] "C:\WINDOWS\Samsung\ComSMMgr\ssmmgr.exe" /autorun
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: VPN Client.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) -
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Samsung Update Plus - Unknown owner - C:\Programme\Samsung\Samsung Update Plus\SLUBackgroundService.exe
O23 - Service: SNM WLAN Service - Unknown owner - C:\Programme\samsung\Samsung Network Manager\SNMWLANService.exe

--
End of file - 7537 bytes

Ich hab deine Beiträge mal zu einem neuen Thema zusammengeführt. ;)

Achte bitte zukünftig darauf das du aktive Links im Hijacklog deaktivierst.
Hier eine Erklärung dazu -> http://www.trojaner-board.de/22770-a...log-files.html

Ah, dankeschön. Internet lahmt jetzt nicht mehr. Es war mir schier unmöglich hier etwas zu posten. Und beim Editieren könnte ich die aktiven Links dann nicht mehr ausstellen... sorry! (Den ersten Beitrag kann man dann auch wieder löschen, ich selbst kann das ja anscheinend nicht.)

So, durch Anti-Malware scheint jetzt alles wieder in Ordnung zu sein. Die Spam-Googleweiterleitungen bei Googlesuchen sind jetzt wieder weg und die Verbindung lahmt nicht mehr.

AntiVir hat mir einmal FakeAV und einmal FakeAlert gegeben. Das habe ich dann auch gleich gelöscht. Seit dem ist in diese Richtung auch nichts mehr gekommen.

Muss ich mir jetzt noch Sorgen machen?

Was ich bis jetzt gemacht habe:

SUPERAntiSpyware im Normal- und im Safemode (hat ein paar Adware-Cookies entfernt)
Mehrmals AntiVir (hat die beiden FakeAlter-Dinge gefunden und gelöscht)
Spybot hat mir irgendwas mit Smitfraud gefunden und ich habe es gelöscht. Was das wirklich DER Smitfraud? Denn ich habe jetzt keine Probleme mehr?
SpyHunter (zwischendrin mal), aber das war ja der totale Reinfall. Muss man ja bezahlen, bevor das Ding die gefundene Malware löscht. Verarsche und daher von SpyBot gefunden und gelöscht.
Malewarebytes' Anti-Malware. War sehr cool. Hat dann gleich was beim Neustart gelöscht. Alles wieder wie normal.

Soll ich noch irgendwelche Logs zur Sicherheit posten?

Hier mal mein aktuellester Log. Ich kann soweit keine Performance-Probleme an meinem Computer mehr erkennen. Aber wer weiß, ob ich was Schlimmeres habe?

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:17:53, on 06.09.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\samsung\Samsung Network Manager\SNMWLANService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\WINDOWS\system32\dllhost.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\SAMSUNG\MagicKBD\MagicKBD.exe
C:\WINDOWS\Samsung\ComSMMgr\ssmmgr.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programme\Samsung\DisplayManager\dmhkcore.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\***\Desktop\HiJackThis202.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [meine-startseite].blogger.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [RestoreIT!] "C:\Programme\Phoenix Technologies Ltd\RecoverPro_XP\VBPTASK.EXE" VBStart
O4 - HKLM\..\Run: [MagicKeyboard] C:\Programme\SAMSUNG\MagicKBD\PreMKBD.exe
O4 - HKLM\..\Run: [BatteryManager] C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe
O4 - HKLM\..\Run: [DMHotKey] C:\Programme\Samsung\DisplayManager\DMLoader.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [Samsung Common SM] "C:\WINDOWS\Samsung\ComSMMgr\ssmmgr.exe" /autorun
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: VPN Client.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - h**p://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - h**p://wwwimages.adobe.com/www.adobe.com/products/acrobat/nos/gp.cab
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Programme\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Samsung Update Plus - Unknown owner - C:\Programme\Samsung\Samsung Update Plus\SLUBackgroundService.exe
O23 - Service: SNM WLAN Service - Unknown owner - C:\Programme\samsung\Samsung Network Manager\SNMWLANService.exe

--
End of file - 7858 bytes

Und hier auch gleich noch der Anti-Malware-Log. Hab soweit alles in Quarantäne, auch das mit dem Nach-dem-Neustart-Löschen hat das Programm gemacht. Scheint jetzt alles weg zu sein.

Malwarebytes' Anti-Malware 1.26
Datenbank Version: 1119
Windows 5.1.2600 Service Pack 3

06.09.2008 09:54:29
mbam-log-2008-09-06 (09-54-29).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 134542
Laufzeit: 29 minute(s), 45 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 9

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\blphctqbj0ecen.scr (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\tdssadw.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdssl.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdssserf.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdssmain.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdssinit.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdsslog.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdssservers.dat (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\drivers\tdssserv.sys (Trojan.Agent) -> Delete on reboot.

ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)

Hier noch SmitfraudFix (PS: Ich glaube man kann mich in das Viren/Malware-Forum verschieben)

Code:

SmitFraudFix v2.346
 

Scan done at 10:43:54,51, 06.09.2008

Run from C:\Programme\Mozilla Firefox\SmitfraudFix

OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT

The filesystem type is NTFS

Fix run in normal mode
 

»»»»»»»»»»»»»»»»»»»»»»»» Process
 

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\LEXPPS.EXE

C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

C:\Programme\AntiVir PersonalEdition Classic\sched.exe

C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe

C:\Programme\Bonjour\mDNSResponder.exe

C:\Programme\Cisco Systems\VPN Client\cvpnd.exe

C:\WINDOWS\eHome\ehRecvr.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\eHome\ehSched.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Programme\samsung\Samsung Network Manager\SNMWLANService.exe

C:\WINDOWS\system32\svchost.exe

C:\Programme\Analog Devices\Core\smax4pnp.exe

C:\WINDOWS\system32\dllhost.exe

C:\Programme\Synaptics\SynTP\SynTPEnh.exe

C:\WINDOWS\AGRSMMSG.exe

C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe

C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\rundll32.exe

C:\Programme\SAMSUNG\MagicKBD\MagicKBD.exe

C:\WINDOWS\Samsung\ComSMMgr\ssmmgr.exe

C:\Programme\Java\jre1.6.0_07\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe

C:\Programme\Samsung\DisplayManager\dmhkcore.exe

C:\Programme\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\cmd.exe
 

»»»»»»»»»»»»»»»»»»»»»»»» hosts
 

hosts file corrupted !
 

127.0.0.1        www.legal-at-spybot.info

127.0.0.1        legal-at-spybot.info
 

»»»»»»»»»»»»»»»»»»»»»»»» C:\
 
 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
 
 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
 
 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
 
 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
 
 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\***
 
 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\***\Application Data
 
 

»»»»»»»»»»»»»»»»»»»»»»»» Start Menu
 
 

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\***\FAVORI~1
 
 

»»»»»»»»»»»»»»»»»»»»»»»» Desktop
 
 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme 
 
 

»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys
 
 

»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]

"Source"="About:Home"

"SubscribedURL"="About:Home"

"FriendlyName"="Die derzeitige Homepage"

 
 

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

!!!Attention, following keys are not inevitably infected!!!
 

IEDFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri
 
 
 

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

!!!Attention, following keys are not inevitably infected!!!
 

VACFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri
 
 

»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

!!!Attention, following keys are not inevitably infected!!!
 

404Fix

Credits: Malware Analysis & Diagnostic

Code: S!Ri
 
 

»»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix

!!!Attention, following keys are not inevitably infected!!!
 

AntiXPVSTFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri
 
 
 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, following keys are not inevitably infected!!!
 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll
 
 

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs

!!!Attention, following keys are not inevitably infected!!!
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"AppInit_DLLs"=""
 
 

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon

!!!Attention, following keys are not inevitably infected!!!
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"

"System"=""
 
 

»»»»»»»»»»»»»»»»»»»»»»»» RK
 
 
 

»»»»»»»»»»»»»»»»»»»»»»»» DNS
 

Description: Intel(R) PRO/Wireless 3945ABG Network Connection - Paketplaner-Miniport

DNS Server Search Order: 192.168.2.1
 

HKLM\SYSTEM\CCS\Services\Tcpip\..\{6154B106-687D-42B3-9E5D-B947A7038458}: DhcpNameServer=192.168.2.1

HKLM\SYSTEM\CS1\Services\Tcpip\..\{6154B106-687D-42B3-9E5D-B947A7038458}: DhcpNameServer=192.168.2.1

HKLM\SYSTEM\CS2\Services\Tcpip\..\{6154B106-687D-42B3-9E5D-B947A7038458}: DhcpNameServer=192.168.2.1

HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1

HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1

HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
 
 

»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection
 
 

»»»»»»»»»»»»»»»»»»»»»»»» End

Hier nun nach dem Cleaning im Safemode:

Code:

SmitFraudFix v2.346
 

Scan done at 10:58:41,70, 06.09.2008

Run from C:\Dokumente und Einstellungen\***\Desktop\SmitfraudFix

OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT

The filesystem type is NTFS

Fix run in safe mode
 

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix

!!!Attention, following keys are not inevitably infected!!!
 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll
 

»»»»»»»»»»»»»»»»»»»»»»»» Killing process
 
 

»»»»»»»»»»»»»»»»»»»»»»»» hosts
 
 

127.0.0.1       localhost

127.0.0.1        .supercocklol.com

127.0.0.1        www..webloyalty.com

127.0.0.1        007guard.com

127.0.0.1        www.007guard.com

127.0.0.1        008i.com

127.0.0.1        008k.com

127.0.0.1        www.008k.com

127.0.0.1        00hq.com

127.0.0.1        www.00hq.com

127.0.0.1        010402.com

127.0.0.1        032439.com

127.0.0.1        www.032439.com

127.0.0.1        www.100888290cs.com

127.0.0.1        100888290cs.com

127.0.0.1        100sexlinks.com

127.0.0.1        www.100sexlinks.com

127.0.0.1        www.10sek.com

127.0.0.1        10sek.com

127.0.0.1        123topsearch.com

127.0.0.1        www.123topsearch.com

127.0.0.1        www.132.com

127.0.0.1        132.com

127.0.0.1        136136.net

127.0.0.1        www.136136.net

127.0.0.1        163ns.com

127.0.0.1        www.163ns.com

127.0.0.1        171203.com

127.0.0.1        17-plus.com

127.0.0.1        1800searchonline.com

127.0.0.1        www.1800searchonline.com

127.0.0.1        www.180searchassistant.com

127.0.0.1        180searchassistant.com

127.0.0.1        180solutions.com

127.0.0.1        www.180solutions.com

127.0.0.1        181.365soft.info

127.0.0.1        www.181.365soft.info

127.0.0.1        www.1987324.com

127.0.0.1        1987324.com

127.0.0.1        1-domains-registrations.com

127.0.0.1        www.1-domains-registrations.com

127.0.0.1        1sexparty.com

127.0.0.1        www.1sexparty.com

127.0.0.1        www.1stantivirus.com

127.0.0.1        1stantivirus.com

127.0.0.1        1stpagehere.com

127.0.0.1        www.1stpagehere.com

127.0.0.1        1stsearchportal.com

127.0.0.1        www.1stsearchportal.com

[Hunderte von Einträgen. Kann ich nicht alle posten, da mein Post dann mehr als 25000 Zeichen hat...]

127.0.0.1        www.xp-vista-update.net

127.0.0.1        xp-vista-update.net

127.0.0.1        www.xyztogo.com

127.0.0.1        xyztogo.com

127.0.0.1        yurigamboa25.googlepages.com

127.0.0.1        www.zinblog.com

127.0.0.1        zinblog.com

127.0.0.1        www.meine-grusskarten.de

127.0.0.1        meine-grusskarten.de
 

»»»»»»»»»»»»»»»»»»»»»»»» VACFix
 

VACFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri
 
 

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix
 

S!Ri's WS2Fix: LSP not Found.
 
 

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix
 

GenericRenosFix by S!Ri
 
 

»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files
 
 

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
 

IEDFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri
 
 
 

»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
 

404Fix

Credits: Malware Analysis & Diagnostic

Code: S!Ri
 
 

»»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix
 

AntiXPVSTFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri
 
 
 

»»»»»»»»»»»»»»»»»»»»»»»» RK
 
 

»»»»»»»»»»»»»»»»»»»»»»»» DNS
 

HKLM\SYSTEM\CCS\Services\Tcpip\..\{6154B106-687D-42B3-9E5D-B947A7038458}: DhcpNameServer=192.168.2.1

HKLM\SYSTEM\CS1\Services\Tcpip\..\{6154B106-687D-42B3-9E5D-B947A7038458}: DhcpNameServer=192.168.2.1

HKLM\SYSTEM\CS2\Services\Tcpip\..\{6154B106-687D-42B3-9E5D-B947A7038458}: DhcpNameServer=192.168.2.1

HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1

HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1

HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
 
 

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files
 
 

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System

!!!Attention, following keys are not inevitably infected!!!
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"System"=""
 
 

»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

 

Registry Cleaning done. 

 

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix

!!!Attention, following keys are not inevitably infected!!!
 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll
 
 

»»»»»»»»»»»»»»»»»»»»»»»» End

Wer hat gesagt das du Smitfraudfix ausführen und posten sollst?! :rolleyes:
Mich interessiert eigentlich mehr das Ergebnis von Combofix..

Zitat:

Zitat von [GC]Sunny (Beitrag 369520)

Wer hat gesagt das du Smitfraudfix ausführen und posten sollst?! :rolleyes:
Mich interessiert eigentlich mehr das Ergebnis von Combofix..

Das hab ich schon gemacht, noch bevor hier was gepostet wurde. Ich hab meinen Fall nämlich in einigen Fällen hier wiedererkannt und dann ausgeführt, was dort an Hilfe angeboten wurde (hier im Forum).

CCleaner hat alles saubergemacht, und jetzt kommt combofix.

Hier nun ComboFix:

Code:

ComboFix 08-09-05.02 - *** 2008-09-06 11:33:47.2 - NTFSx86

Microsoft Windows XP Professional  5.1.2600.3.1252.1.1031.18.688 [GMT 2:00]

ausgeführt von:: C:\Dokumente und Einstellungen\***\Desktop\ComboFix.exe
 
 Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!

.
 

((((((((((((((((((((((((((((((((((((   Weitere L”schungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.
 

C:\WINDOWS\Downloaded Program Files\setup.inf

C:\WINDOWS\system32\btfunc.dll
 

.

(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))

.
 

-------\Legacy_TDSSSERV

-------\Service_TDSSserv
 
 

(((((((((((((((((((((((   Dateien erstellt von 2008-08-06 bis 2008-09-06  ))))))))))))))))))))))))))))))

.
 

2008-09-06 11:20 . 2008-09-06 11:20        <DIR>        d--------        C:\Programme\CCleaner

2008-09-06 10:44 . 2008-09-06 10:59        3,118        --a------        C:\WINDOWS\system32\tmp.reg

2008-09-06 10:43 . 2007-09-06 00:22        289,144        --a------        C:\WINDOWS\system32\VCCLSID.exe

2008-09-06 10:43 . 2006-04-27 17:49        288,417        --a------        C:\WINDOWS\system32\SrchSTS.exe

2008-09-06 10:43 . 2008-09-02 23:58        88,576        --a------        C:\WINDOWS\system32\AntiXPVSTFix.exe

2008-09-06 10:43 . 2008-09-02 16:51        86,528        --a------        C:\WINDOWS\system32\VACFix.exe

2008-09-06 10:43 . 2008-05-18 21:40        82,944        --a------        C:\WINDOWS\system32\IEDFix.exe

2008-09-06 10:43 . 2008-08-28 22:36        82,432        --a------        C:\WINDOWS\system32\IEDFix.C.exe

2008-09-06 10:43 . 2008-08-18 12:19        82,432        --a------        C:\WINDOWS\system32\404Fix.exe

2008-09-06 10:43 . 2003-06-05 21:13        53,248        --a------        C:\WINDOWS\system32\Process.exe

2008-09-06 10:43 . 2004-07-31 18:50        51,200        --a------        C:\WINDOWS\system32\dumphive.exe

2008-09-06 10:43 . 2007-10-04 00:36        25,600        --a------        C:\WINDOWS\system32\WS2Fix.exe

2008-09-06 09:22 . 2008-09-06 09:22        <DIR>        d--------        C:\Programme\Malwarebytes' Anti-Malware

2008-09-06 09:22 . 2008-09-06 09:22        <DIR>        d--------        C:\Dokumente und Einstellungen\***\Anwendungsdaten\Malwarebytes

2008-09-06 09:22 . 2008-09-06 09:22        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes

2008-09-06 09:22 . 2008-09-02 00:16        38,528        --a------        C:\WINDOWS\system32\drivers\mbamswissarmy.sys

2008-09-06 09:22 . 2008-09-02 00:16        17,200        --a------        C:\WINDOWS\system32\drivers\mbam.sys

2008-09-06 05:16 . 2008-09-06 05:16        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NOS

2008-09-06 05:15 . 2008-09-06 05:15        <DIR>        d--------        C:\Programme\NOS

2008-09-05 17:41 . 2008-09-05 17:41        <DIR>        d--------        C:\Programme\SUPERAntiSpyware

2008-09-05 17:41 . 2008-09-05 17:41        <DIR>        d--------        C:\Dokumente und Einstellungen\Ariane\Anwendungsdaten\SUPERAntiSpyware.com

2008-09-05 17:41 . 2008-09-05 17:41        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com

2008-09-05 17:40 . 2008-09-05 17:40        <DIR>        d--------        C:\Programme\Gemeinsame Dateien\Wise Installation Wizard

2008-09-05 16:43 . 2008-09-05 16:43        <DIR>        d--------        C:\WINDOWS\system32\de

2008-09-05 16:43 . 2008-09-05 16:43        <DIR>        d--------        C:\WINDOWS\system32\bits

2008-09-05 16:43 . 2008-09-05 16:43        <DIR>        d--------        C:\WINDOWS\l2schemas

2008-09-05 16:41 . 2008-09-05 16:41        <DIR>        d--------        C:\WINDOWS\ServicePackFiles

2008-09-05 16:16 . 2008-09-05 16:16        84        --a------        C:\WINDOWS\wininit.ini

2008-09-05 15:53 . 2008-09-05 15:55        <DIR>        d--------        C:\Programme\Security Task Manager

2008-09-05 15:53 . 2008-09-06 05:10        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan

2008-09-02 21:16 . 2008-04-14 04:22        1,737,856        ---------        C:\WINDOWS\system32\mtxparhd.dll

2008-09-02 21:15 . 2008-04-14 04:22        1,888,992        ---------        C:\WINDOWS\system32\ati3duag.dll

2008-08-21 15:52 . 2008-04-11 21:04        691,712        -----c---        C:\WINDOWS\system32\dllcache\inetcomm.dll
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-09-06 09:24        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy

2008-09-06 03:29        ---------        d-----w        C:\Dokumente und Einstellungen\***\Anwendungsdaten\AdobeUM

2008-09-06 03:09        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic

2008-09-06 03:05        ---------        d-----w        C:\Programme\Java

2008-09-06 02:47        ---------        d-----w        C:\Programme\Spybot - Search & Destroy

2008-09-05 15:35        ---------        d-----w        C:\Programme\ICQ6

2008-09-05 15:35        ---------        d-----w        C:\Dokumente und Einstellungen\***\Anwendungsdaten\ICQ

2008-08-21 15:24        ---------        d-----w        C:\Dokumente und Einstellungen\***\Anwendungsdaten\gtk-2.0

2008-07-12 01:05        ---------        d-----w        C:\Dokumente und Einstellungen\***\Anwendungsdaten\OpenOffice.org2

2008-07-09 17:46        ---------        d-----w        C:\Programme\Lexmark X1100 Series

2008-05-26 22:32        74,480        ----a-w        C:\Dokumente und Einstellungen\***\Anwendungsdaten\GDIPFONTCACHEV1.DAT

.
 

((((((((((((((((((((((((((((   Autostart Punkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

REGEDIT4
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]

"SUPERAntiSpyware"="C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2008-09-03 1576176]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ehTray"="C:\WINDOWS\ehome\ehtray.exe" [2005-08-05 64512]

"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-08-19 7585792]

"SoundMAXPnP"="C:\Programme\Analog Devices\Core\smax4pnp.exe" [2005-05-20 925696]

"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2005-12-07 761947]

"RestoreIT!"="C:\Programme\Phoenix Technologies Ltd\RecoverPro_XP\VBPTASK.EXE" [2004-09-23 114688]

"MagicKeyboard"="C:\Programme\SAMSUNG\MagicKBD\PreMKBD.exe" [2006-05-14 151552]

"BatteryManager"="C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe" [2006-04-25 2764800]

"DMHotKey"="C:\Programme\Samsung\DisplayManager\DMLoader.exe" [2005-11-23 356352]

"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-09-04 266497]

"Samsung Common SM"="C:\WINDOWS\Samsung\ComSMMgr\ssmmgr.exe" [2005-07-03 372736]

"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-09-05 286720]

"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]

"nwiz"="nwiz.exe" [2006-08-19 C:\WINDOWS\system32\nwiz.exe]

"AGRSMMSG"="AGRSMMSG.exe" [2006-06-29 C:\WINDOWS\AGRSMMSG.exe]

"BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 C:\WINDOWS\system32\bthprops.cpl]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 15360]
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"InstallVisualStyle"= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles

"InstallTheme"= C:\WINDOWS\Resources\Themes\Royale.theme
 

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "C:\Programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]

2008-07-23 16:28 352256 C:\Programme\SUPERAntiSpyware\SASWINLO.dll
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]

"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" -atboottime

"Adobe Photo Downloader"="C:\Programme\Adobe\Adobe Photoshop Lightroom 1.3\apdproxy.exe"

"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"

"Microsoft Works Update Detection"=C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe

"SoundMAX"=C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray

"Verknüpfung mit der High Definition Audio-Eigenschaftenseite"=HDAShCut.exe
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"C:\\WINDOWS\\system32\\dpvsetup.exe"=

"C:\\Programme\\Messenger\\msmsgs.exe"=

"C:\\Programme\\ICQ6\\ICQ.exe"=

"C:\\Programme\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"C:\\Programme\\Mozilla Firefox\\firefox.exe"=

"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
 

R0 RITCPT;RITCPT;C:\WINDOWS\system32\drivers\RITCPT.sys [2004-05-18 43512]

R2 DOSMEMIO;MEMIO;C:\WINDOWS\system32\MEMIO.SYS [2005-10-27 4300]

R2 FBAPI;FBAPI;C:\WINDOWS\system32\drivers\FBAPI.sys [2004-05-18 5088]

R2 SNM WLAN Service;SNM WLAN Service;C:\Programme\samsung\Samsung Network Manager\SNMWLANService.exe [2005-05-28 36864]

S3 getPlus(R) Helper;getPlus(R) Helper;C:\Programme\NOS\bin\getPlus_HelperSvc.exe [2008-08-29 33752]

S3 SUEPD;SUE NDIS Protocol Driver;C:\WINDOWS\system32\DRIVERS\SUE_PD.sys [2005-05-24 19840]

.

Inhalt des "geplante Tasks" Ordners

.

.

------- Zus„tzlicher Scan -------

.

FireFox -: Profile - C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\2drhyo3v.default\

FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://***.blogger.de/

.
 

**************************************************************************
 

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-09-06 11:38:15

Windows 5.1.2600 Service Pack 3 NTFS
 

Scanne versteckte Prozesse...
 

Scanne versteckte Autostart Eintr„ge...
 

Scanne versteckte Dateien...
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************

.

------------------------ Weitere, laufende Prozesse ------------------------

.

C:\WINDOWS\system32\LEXBCES.EXE

C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\system32\LEXPPS.EXE

C:\Programme\AntiVir PersonalEdition Classic\sched.exe

C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe

C:\Programme\Bonjour\mDNSResponder.exe

C:\Programme\Cisco Systems\VPN Client\cvpnd.exe

C:\WINDOWS\ehome\ehrecvr.exe

C:\WINDOWS\ehome\ehSched.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\dllhost.exe

C:\WINDOWS\ehome\ehmsas.exe

C:\WINDOWS\system32\rundll32.exe

C:\Programme\Samsung\DisplayManager\dmhkcore.exe

C:\Programme\Samsung\MagicKBD\MagicKBD.exe

C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe

.

**************************************************************************

.

Zeit der Fertigstellung: 2008-09-06 11:43:10 - PC wurde neu gestartet [***]

ComboFix-quarantined-files.txt  2008-09-06 09:43:00
 

Pre-Run: 7 Verzeichnis(se), 62,671,724,544 Bytes frei

Post-Run: 9 Verzeichnis(se), 62,728,155,136 Bytes frei
 

164        --- E O F ---        2008-09-06 06:58:34

Ich kann nichts im Report von Combofix entdecken, sofern noch Probleme bestehen, würde ich dir folgende Scans empfehlen:
(zumindest das Systemlaufwerk!)

Panda Active Scan

Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation

Drücke auf Jetzt Scannen!

Eine Registrierung ist nicht erforderlich!

Nachdem der Scan abgeschlossen ist drücke auf das Text-Icon Export und speichere das log auf dem Desktop.
Öffne die Datei ActiveScan.txt die sich nun auf deinem Desktop befindet und poste uns den Inhalt.

Kaspersky - Onlinescanner

Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware.

---> hier herunterladen => Kaspersky Online-Scanner
=> Hinweise zu älteren Versionen beachten!
=> Voraussetzung: Internet Explorer 6.0 oder höher
=> die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter
=> Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken
=> Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als
=> Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten
=> Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen

Danke für den Tip mit Panda und Kaspersky. Dass es einen Kaspersky Onlinescanner gibt, wusste ich noch gar nicht.

Da mein Computer sich wieder völlig normal vehält, warte ich jetzt mal ab. Falls noch was sein sollte, werde ich die zwei Dinge durchchecken und mich nochmal melden.

Also: Danke! :D Hatte schon Angst ich müsste nun mein ganzes System in die Tonne treten, so wegen Kompromitierung, oder so. Aber er scheint wieder ganz normal zu laufen... puh!