Trojaner-Board - brastk kann nicht entfernt werden.

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - brastk kann nicht entfernt werden. (https://www.trojaner-board.de/63295-brastk-entfernt.html)

Zitat:

Edit: Ich glaub bei mir war das untere Häckchen im avenger nicht aktiviert... kann das na dem liegen? Soll ich s nochmals machen?

Ja. Aber bei Backdoors/Rootkits hört der Spaß mit dem Entfernen an sich auf. :kloppen:

also ich führ den jetzt nochmals aus... hmm ja.. Spass macht mir so Virengewürm eh nicht.. bin kein Computercrack =)

Avenger / HijackThis Logfiles (danke viel Mal für deine Hilfe!)

Zitat:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.

Hidden driver "TDSSserv.sys" found!
ImagePath: \systemroot\system32\drivers\TDSSmhlt.sys
Driver disabled successfully.

Rootkit scan completed.

Error: file "C:\WINDOWS\system32\drivers\svchost.exe" not found!
Deletion of file "C:\WINDOWS\system32\drivers\svchost.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "c:\windows\system32\drivers\karna.dat" not found!
Deletion of file "c:\windows\system32\drivers\karna.dat" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "c:\windows\system32\karna.dat" not found!
Deletion of file "c:\windows\system32\karna.dat" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "c:\windows\karna.dat" not found!
Deletion of file "c:\windows\karna.dat" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\karna" not found!
Deletion of driver "karna" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Completed script processing.

*******************

Finished! Terminate.

Soll ich den Hijack auch nochmals laufen lassen?
Gemacht:

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:55:13, on 31.10.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\ibmpmsvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\IPSSVC.EXE
C:\Programme\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\ThinkPad\Bluetooth Software\bin\btwdins.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\Diskeeper Corporation\Diskeeper\DkService.exe
C:\Programme\McAfee\Common Framework\FrameworkService.exe
C:\Programme\McAfee\VirusScan Enterprise\Mcshield.exe
C:\Programme\McAfee\VirusScan Enterprise\VsTskMgr.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
c:\programme\lenovo\system update\suservice.exe
C:\Programme\Gemeinsame Dateien\Lenovo\tvt_reg_monitor_svc.exe
C:\WINDOWS\System32\TPHDEXLG.EXE
C:\WINDOWS\system32\TpKmpSVC.exe
C:\Programme\Lenovo\Rescue and Recovery\rrservice.exe
C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\tvtsched.exe
C:\Programme\Lenovo\Rescue and Recovery\ADM\IUService.exe
C:\Programme\ThinkPad\ConnectUtilities\AcSvc.exe
C:\Programme\Gemeinsame Dateien\Lenovo\Logger\logmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\ThinkPad\ConnectUtilities\SvcGuiHlpr.exe
C:\Programme\Lenovo\Client Security Solution\cssauth.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Diskeeper Corporation\Diskeeper\DkIcon.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
C:\WINDOWS\system32\TpShocks.exe
C:\PROGRA~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\Lenovo\PkgMgr\HOTKEY\TPONSCR.exe
C:\Programme\Lenovo\PkgMgr\HOTKEY_1\TpScrex.exe
C:\WINDOWS\vsnp2std.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE
C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
C:\PROGRA~1\THINKV~2\PrdCtr\LPMGR.exe
C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\scheduler_proxy.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\ThinkVantage\AMSG\Amsg.exe
C:\WINDOWS\System32\DLA\DLACTRLW.EXE
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\Lenovo\AwayTask\AwaySch.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\ThinkPad\ConnectUtilities\ACTray.exe
C:\Programme\ThinkPad\ConnectUtilities\ACWLIcon.exe
C:\Programme\Lenovo\SafeGuard PrivateDisk\pdservice.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\QuickTime\QTTask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\McAfee\Common Framework\UdaterUI.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
C:\Programme\Lenovo\Client Security Solution\tvtpwm_tray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\HPJETDSC.EXE
C:\Programme\McAfee\Common Framework\McTray.exe
C:\Programme\Electronic Arts\EADM\Core.exe
C:\Programme\ThinkPad\Bluetooth Software\BTTray.exe
C:\Program Files\Digital Line Detect\DLG.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\OpenOffice.org 2.2\program\soffice.exe
C:\Programme\OpenOffice.org 2.2\program\soffice.BIN
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\*****\Desktop\qlketzd.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.lenovo.com/welcome/thinkpad
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Programme\McAfee\VirusScan Enterprise\scriptcl.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Ask Toolbar - {F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Programme\AskSBar\bar\1.bin\ASKSBAR.DLL
O4 - HKLM\..\Run: [PWRMGRTR] rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\PWRMGRTR.DLL,PwrMgrBkGndMonitor
O4 - HKLM\..\Run: [BLOG] rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\BatLogEx.DLL,StartBattLog
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [EZEJMNAP] C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
O4 - HKLM\..\Run: [TPKMAPHELPER] C:\Programme\ThinkPad\Utilities\TpKmapAp.exe -helper
O4 - HKLM\..\Run: [TpShocks] TpShocks.exe
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [TP4EX] tp4ex.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [snp2std] C:\WINDOWS\vsnp2std.exe
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [LPManager] C:\PROGRA~1\THINKV~2\PrdCtr\LPMGR.exe
O4 - HKLM\..\Run: [TVT Scheduler Proxy] C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\scheduler_proxy.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [AMSG] C:\Programme\ThinkVantage\AMSG\Amsg.exe
O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [AwaySch] C:\Programme\Lenovo\AwayTask\AwaySch.EXE
O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Programme\Diskeeper Corporation\Diskeeper\DkIcon.exe"
O4 - HKLM\..\Run: [ACTray] C:\Programme\ThinkPad\ConnectUtilities\ACTray.exe
O4 - HKLM\..\Run: [ACWLIcon] C:\Programme\ThinkPad\ConnectUtilities\ACWLIcon.exe
O4 - HKLM\..\Run: [PDService.exe] "C:\Programme\Lenovo\SafeGuard PrivateDisk\pdservice.exe"
O4 - HKLM\..\Run: [cssauth] "C:\Programme\Lenovo\Client Security Solution\cssauth.exe" silent
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\McAfee\VirusScan Enterprise\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\McAfee\Common Framework\UdaterUI.exe" /StartedFromRunKey
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [HP JetDiscovery] HPJETDSC.EXE
O4 - HKCU\..\Run: [EA Core] "C:\Programme\Electronic Arts\EADM\Core.exe" -silent
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKCU\..\Run: [SVCHOST.EXE] C:\WINDOWS\system32\drivers\svchost.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.2.lnk = C:\Programme\OpenOffice.org 2.2\program\quickstart.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Digital Line Detect.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: VPN Client.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\ThinkPad\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {0045D4BC-5189-4b67-969C-83BB1906C421} - C:\Programme\Lenovo\Client Security Solution\tvtpwm_ie_com.dll
O9 - Extra 'Tools' menuitem: ThinkVantage Password Manager... - {0045D4BC-5189-4b67-969C-83BB1906C421} - C:\Programme\Lenovo\Client Security Solution\tvtpwm_ie_com.dll
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: System Update - {DA320635-F48C-4613-8325-D75A933C549E} - C:\Programme\Lenovo\System Update\sulauncher.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.lenovo.com/welcome/thinkpad
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O20 - AppInit_DLLs: karna.dat
O20 - Winlogon Notify: ACNotify - ACNotify.dll (file missing)
O20 - Winlogon Notify: AwayNotify - C:\Programme\Lenovo\AwayTask\AwayNotify.dll
O23 - Service: Ac Profile Manager Service (AcPrfMgrSvc) - Unknown owner - C:\Programme\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe
O23 - Service: Access Connections Main Service (AcSvc) - Lenovo - C:\Programme\ThinkPad\ConnectUtilities\AcSvc.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\ThinkPad\Bluetooth Software\bin\btwdins.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: Diskeeper - Diskeeper Corporation - C:\Programme\Diskeeper Corporation\Diskeeper\DkService.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Google Desktop Manager 5.7.806.10245 (GoogleDesktopManager-061008-081103) - Google - C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: ThinkPad PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\system32\ibmpmsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: IPS-Basisservice (IPSSVC) - Lenovo Group Limited - C:\WINDOWS\system32\IPSSVC.EXE
O23 - Service: McAfee Framework Service (McAfeeFramework) - McAfee, Inc. - C:\Programme\McAfee\Common Framework\FrameworkService.exe
O23 - Service: McAfee McShield (McShield) - McAfee, Inc. - C:\Programme\McAfee\VirusScan Enterprise\Mcshield.exe
O23 - Service: McAfee Task Manager (McTaskManager) - McAfee, Inc. - C:\Programme\McAfee\VirusScan Enterprise\VsTskMgr.exe
O23 - Service: IBM PSA Access Driver Control (PsaSrv) - Unknown owner - C:\WINDOWS\system32\PsaSrv.exe (file missing)
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: System Update (SUService) - Lenovo Group Limited - c:\programme\lenovo\system update\suservice.exe
O23 - Service: ThinkVantage Registry Monitor Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Lenovo\tvt_reg_monitor_svc.exe
O23 - Service: ThinkPad HDD APS Logging Service (TPHDEXLGSVC) - Lenovo. - C:\WINDOWS\System32\TPHDEXLG.EXE
O23 - Service: IBM KCU Service (TpKmpSVC) - Unknown owner - C:\WINDOWS\system32\TpKmpSVC.exe
O23 - Service: TSS Core Service (TSSCoreService) - IBM - C:\Programme\Lenovo\Client Security Solution\tvttcsd.exe
O23 - Service: TVT Backup Service - Lenovo Group Limited - C:\Programme\Lenovo\Rescue and Recovery\rrservice.exe
O23 - Service: TVT Scheduler - Lenovo Group Limited - C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\tvtsched.exe
O23 - Service: tvtnetwk - Unknown owner - C:\Programme\Lenovo\Rescue and Recovery\ADM\IUService.exe

--
End of file - 14073 bytes

Ok, das Rootkit wurde vom Avenger deaktiviert. :kloppen:
Kannst Du mittlerweile die Seiten zu Combofix, Virustotal etc. erreichen?

Code:

O3 - Toolbar: Ask Toolbar - {F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Programme\AskSBar\bar\1.bin\ASKSBAR.DLL

O4 - HKCU\..\Run: [SVCHOST.EXE] C:\WINDOWS\system32\drivers\svchost.exe

O20 - AppInit_DLLs: karna.dat

O20 - Winlogon Notify: ACNotify - ACNotify.dll (file missing)

Diese Einträge mit Hijackthis fixen. Wie das geht, entimmst Du der Hijackthis Anleitung.

Combofix ist heruntergeladen (geht jetzt, dieser Link). Soll ich das ausführen? Welche Reihenfolge soll ich jetzt befolgen, da wir gestern einige Schritte ausgelassen haben?
Danke =)

Edit: Sorry, hab ich übersehen: Ich kann die 4 Punkte die du angegeben hast fixen. Sollte nach Anleitung aber im abgespeicherten Modus das machen. Wie komme ich in den abgespeicherten Modus? Die Systemwiederherstellung hab ich ja bereits gestern deaktiviert, oder?

Fixe zuerst die Einträge. Das muss nicht zwingend im abgesicherten Modus sein.
Danach die Reihenfolge der Tools befolgen, die ich in meiner ersten Anleitung vorgegeben habe. Natürlich brauchst Du die Punkte, die schon ausgeführt wurden, nicht zu wiederholen.

Sind gefixt. Punkt 1 kann ich nicht mehr ausführen: Zwar geht die Seite jetzt, aber svchost.exe existiert nicht mehr im C:/Windows/System32/drivers

Gehe demfall zum nächsten noch nicht ausgeführten Punkt (?)

Zitat:

Zitat von r.h (Beitrag 387930)

Gehe demfall zum nächsten noch nicht ausgeführten Punkt (?)

Ja klar, zum nächsten Punkt, logisch :D
Die Datei hatten wir ja schon mit dem Avenger gelöscht. :kloppen:

F-Secure hat keine hidden files gefunden. Das Logfile ist noch erschienen:

Zitat:

11/01/08 13:42:29 [Info]: BlackLight Engine 2.2.1092 initialized
11/01/08 13:42:29 [Info]: OS: 5.1 build 2600 (Service Pack 2)
11/01/08 13:42:29 [Note]: 7019 4
11/01/08 13:42:29 [Note]: 7005 0
11/01/08 13:42:34 [Note]: 7006 0
11/01/08 13:42:34 [Note]: 7011 416
11/01/08 13:42:34 [Note]: 7035 0
11/01/08 13:42:34 [Note]: 7026 0
11/01/08 13:42:34 [Note]: 7026 0
11/01/08 13:42:39 [Note]: FSRAW library version 1.7.1024
11/01/08 13:50:47 [Note]: 2000 1012
11/01/08 13:50:47 [Note]: 2000 1012
11/01/08 13:50:47 [Note]: 2000 1012
11/01/08 13:50:47 [Note]: 2000 1012
11/01/08 13:50:47 [Note]: 2000 1012
11/01/08 13:50:47 [Note]: 2000 1012
11/01/08 13:50:47 [Note]: 2000 1012
11/01/08 13:50:47 [Note]: 2000 1012
11/01/08 13:50:47 [Note]: 2000 1012
11/01/08 13:50:47 [Note]: 2000 1012
11/01/08 13:50:47 [Note]: 2000 1012
11/01/08 13:50:47 [Note]: 2000 1012
11/01/08 13:50:47 [Note]: 2000 1012
11/01/08 13:50:47 [Note]: 2000 1012
11/01/08 14:02:01 [Note]: 7007 0

Soll ich mit dem Malwarebytes weitermachen? Dort mache ich wie in der Anleitung beschrieben die vollständige suche.

Ja mach mit MalwareBytes weiter :kloppen: :aplaus:

Malwarebytes

VirusScan-Warnung: system32\Brastk.exe
erkennt als generic downloader.x .. status: gelöscht.

Hat noch einige andere gefunden und gelöscht. Ich lasse malwarebites einfach weiterlaufen.... ist bei fast bei 100 000 Daten (Durchsuchte Objekte) .. wieviele hab ich?

Zitat:

Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1349
Windows 5.1.2600 Service Pack 2

01.11.2008 15:18:13
mbam-log-2008-11-01 (15-18-13).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 128763
Laufzeit: 1 hour(s), 6 minute(s), 50 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 11
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 3
Infizierte Dateien: 39

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\TypeLib\{f0d4b230-da4b-4daf-81e4-dfee4931a4aa} (Adware.AskSBAR) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{f0d4b23a-da4b-4daf-81e4-dfee4931a4aa} (Adware.AskSBAR) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{f0d4b23c-da4b-4daf-81e4-dfee4931a4aa} (Adware.AskSBAR) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{b15fd82e-85bc-430d-90cb-65db1b030510} (Adware.AskSBAR) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{f0d4b231-da4b-4daf-81e4-dfee4931a4aa} (Adware.AskSBAR) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{f0d4b231-da4b-4daf-81e4-dfee4931a4aa} (Adware.AskSBAR) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{f0d4b239-da4b-4daf-81e4-dfee4931a4aa} (Adware.AskSBAR) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{f0d4b23b-da4b-4daf-81e4-dfee4931a4aa} (Adware.AskSBAR) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{f0d4b23b-da4b-4daf-81e4-dfee4931a4aa} (Adware.AskSBAR) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\antispywarexp2009 (Rogue.AntispywareXP) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{f0d4b239-da4b-4daf-81e4-dfee4931a4aa} (Adware.AskSBAR) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\Programme\AntiSpywareXP2009 (Rogue.AntispywareXP) -> Quarantined and deleted successfully.
C:\Programme\AntiSpywareXP2009\data (Rogue.AntispywareXP) -> Quarantined and deleted successfully.
C:\Programme\AntiSpywareXP2009\Microsoft.VC80.CRT (Rogue.AntispywareXP) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\Dokumente und Einstellungen\*\Eigene Dateien\instalationssoftware\CORE10k.EXE (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\*\Eigene Dateien\instalationssoftware\CR-ACS90_de.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\*\Eigene Dateien\instalationssoftware\Neuer Ordner\cr-xnh01\CORE10k.EXE (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\*\Eigene Dateien\instalationssoftware\Neuer Ordner\cr-xnh01\CR-ACS90_de.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Programme\AskSBar\bar\1.bin\A2HIGHIN.EXE (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Programme\AskSBar\bar\1.bin\A2PLUGIN.DLL (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\AskSBar\bar\1.bin\ASKSBAR.DLL (Adware.AskSBAR) -> Quarantined and deleted successfully.
C:\Programme\AskSBar\bar\1.bin\NPASKSBR.DLL (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\brastk.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Programme\AntiSpywareXP2009\AntiSpywareXP2009.cfg (Rogue.AntispywareXP) -> Quarantined and deleted successfully.
C:\Programme\AntiSpywareXP2009\htmlayout.dll (Rogue.AntispywareXP) -> Quarantined and deleted successfully.
C:\Programme\AntiSpywareXP2009\pthreadVC2.dll (Rogue.AntispywareXP) -> Quarantined and deleted successfully.
C:\Programme\AntiSpywareXP2009\data\daily.cvd (Rogue.AntispywareXP) -> Quarantined and deleted successfully.
C:\Programme\AntiSpywareXP2009\Microsoft.VC80.CRT\Microsoft.VC80.CRT.manifest (Rogue.AntispywareXP) -> Quarantined and deleted successfully.
C:\Programme\AntiSpywareXP2009\Microsoft.VC80.CRT\msvcm80.dll (Rogue.AntispywareXP) -> Quarantined and deleted successfully.
C:\Programme\AntiSpywareXP2009\Microsoft.VC80.CRT\msvcp80.dll (Rogue.AntispywareXP) -> Quarantined and deleted successfully.
C:\Programme\AntiSpywareXP2009\Microsoft.VC80.CRT\msvcr80.dll (Rogue.AntispywareXP) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\TDSSlxwp.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\delself.bat (Malware.Trace) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\*****\Desktop\AntiSpywareXP2009.lnk (Rogue.Antispyware) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\AntiSpywareXP2009.lnk (Rogue.Antispyware) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Manolo\Lokale Einstellungen\Temp\TDSS73bf.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Manolo\Lokale Einstellungen\Temp\TDSS73df.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Manolo\Lokale Einstellungen\Temp\wrdwn4 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Manolo\Lokale Einstellungen\Temp\wrdwn5 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Manolo\Lokale Einstellungen\Temp\wrdwn7 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\TDSS8d71.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\TDSS9234.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\*\Lokale Einstellungen\Temp\TDSS817b.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\*\Lokale Einstellungen\Temp\TDSSe6ad.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\*\Lokale Einstellungen\Temp\TDSSe6bc.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\TDSSnmxh.dll (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\TDSSoiqh.dll (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\TDSSoiqt.dll (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\TDSSsihc.dll (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\TDSStbij.log (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\TDSSxfum.dll (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\TDSSmhlt.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\TDSSpqlt.sys (Rootkit.Agent) -> Quarantined and deleted successfully.

Geh bitte einfach nur nach Anleitung vor und poste später das Log von MBAM. Vergiss nicht die Funde automatisch entfernen zu lassen!

Malwarebytes ist fertig.. Log steht oben, kann den auch nochmals später reinstellen.

Nächster Punkt wäre demfall das Silent runners.
Das (neue) Silent-Runners File ist auf File-Upload.net - Startup-Programs--STARUP--2008-11-01-15.30.03.txt

Kann ich jetzt mit dem Combofix weitermachen?

Edit: Sorry das ich schonwieder frage... möchte aber wenn möglich nichts falsch machen. Combofix kann ja ziemlich viel =)

Combofix ist gut gegangen. das Logfile ist hier: File-Upload.net - log.txt

Habs auch gleich hier unten reingeschrieben.

Code:

 ComboFix 08-10-31.02 - Manolo 2008-11-01 16:51:05.1 - NTFSx86

Microsoft Windows XP Professional  5.1.2600.2.1252.49.1031.18.336 [GMT 1:00]

ausgeführt von:: C:\Dokumente und Einstellungen\Manolo\Desktop\ComboFix.exe

Benutzte Befehlsschalter :: C:\Dokumente und Einstellungen\Manolo\Desktop\WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe

 * Neuer Wiederherstellungspunkt wurde erstellt

.
 

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.
 

C:\Dokumente und Einstellungen\Manolo\Cookies\fanicopa._sy

C:\Dokumente und Einstellungen\Manolo\Cookies\jacyvoqe.com

C:\Dokumente und Einstellungen\Manolo\Cookies\kijela.sys

C:\Dokumente und Einstellungen\Manolo\Cookies\vaqujabony.vbs

C:\Dokumente und Einstellungen\Manolo\Startmenü\Programme\AntiSpywareXP2009

C:\Dokumente und Einstellungen\Manolo\Startmenü\Programme\AntiSpywareXP2009\AntiSpywareXP2009.lnk

C:\Dokumente und Einstellungen\Manolo\Startmenü\Programme\AntiSpywareXP2009\Uninstall.lnk

C:\WINDOWS\system32\TDSSmtvd.dat

C:\WINDOWS\system32\TDSSorvd.dat
 

.

(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))

.
 

-------\Legacy_TDSSSERV.SYS

-------\Service_TDSSserv.sys
 
 

(((((((((((((((((((((((   Dateien erstellt von 2008-10-01 bis 2008-11-01  ))))))))))))))))))))))))))))))

.
 

2008-11-01 14:06 . 2008-11-01 14:06        <DIR>        d--------        C:\Programme\Malwarebytes' Anti-Malware

2008-11-01 14:06 . 2008-11-01 14:06        <DIR>        d--------        C:\Dokumente und Einstellungen\Manolo\Anwendungsdaten\Malwarebytes

2008-11-01 14:06 . 2008-11-01 14:06        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes

2008-11-01 14:06 . 2008-10-22 16:10        38,496        --a------        C:\WINDOWS\system32\drivers\mbamswissarmy.sys

2008-11-01 14:06 . 2008-10-22 16:10        15,504        --a------        C:\WINDOWS\system32\drivers\mbam.sys

2008-10-31 21:19 . 2008-10-31 21:04        9,591        --a------        C:\WINDOWS\system32\mbr.exe

2008-10-31 20:30 . 2008-10-31 20:30        <DIR>        d--------        C:\Programme\CCleaner

2008-10-30 23:57 . 2008-10-30 23:57        <DIR>        d--------        C:\Programme\Trend Micro

2008-10-30 17:36 . 2008-11-01 15:11        <DIR>        d--------        C:\QUARANTINE

2008-10-30 17:29 . 2008-10-30 17:29        18,680        --a------        C:\WINDOWS\yfoju._sy

2008-10-30 17:29 . 2008-10-30 17:29        18,154        --a------        C:\WINDOWS\system32\nygoqeh._sy

2008-10-30 17:29 . 2008-10-30 17:29        17,412        --a------        C:\WINDOWS\osuli.reg

2008-10-30 17:29 . 2008-10-30 17:29        17,043        --a------        C:\WINDOWS\zuwel.vbs

2008-10-30 17:29 . 2008-10-30 17:29        16,438        --a------        C:\WINDOWS\system32\wiwaq._sy

2008-10-30 17:29 . 2008-10-30 17:29        15,915        --a------        C:\WINDOWS\fedecuxa.dll

2008-10-30 17:29 . 2008-10-30 17:29        15,904        --a------        C:\WINDOWS\teqam.db

2008-10-30 17:29 . 2008-10-30 17:29        15,293        --a------        C:\WINDOWS\vofaboxi.vbs

2008-10-30 17:29 . 2008-10-30 17:29        14,578        --a------        C:\WINDOWS\qavygu.inf

2008-10-30 17:29 . 2008-10-30 17:29        13,203        --a------        C:\WINDOWS\ninux.dat

2008-10-30 17:29 . 2008-10-30 17:29        12,627        --a------        C:\WINDOWS\xipipineti.inf

2008-10-30 17:29 . 2008-10-30 17:29        11,708        --a------        C:\WINDOWS\xapubavoqo.reg

2008-10-30 17:29 . 2008-10-30 17:29        11,120        --a------        C:\Dokumente und Einstellungen\Manolo\Anwendungsdaten\kevuqulo.scr

2008-10-26 13:12 . 2008-10-26 13:12        <DIR>        d--------        C:\Programme\Gemeinsame Dateien\Cisco Systems

2008-10-26 13:12 . 2008-10-26 13:13        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\McAfee

2008-10-26 13:12 . 2007-10-25 15:06        1,495,552        --a------        C:\WINDOWS\system32\epoPGPsdk.dll

2008-10-26 13:12 . 2008-05-22 20:50        174,952        --a------        C:\WINDOWS\system32\drivers\mfehidk.sys

2008-10-26 13:12 . 2008-05-22 20:50        72,936        --a------        C:\WINDOWS\system32\drivers\mfeavfk.sys

2008-10-26 13:12 . 2008-05-22 20:50        64,232        --a------        C:\WINDOWS\system32\drivers\mfeapfk.sys

2008-10-26 13:12 . 2008-05-22 20:50        52,104        --a------        C:\WINDOWS\system32\drivers\mfetdik.sys

2008-10-26 13:12 . 2008-05-22 20:50        33,960        --a------        C:\WINDOWS\system32\drivers\mfebopk.sys

2008-10-26 13:12 . 2007-10-25 15:06        280        --a------        C:\WINDOWS\system32\epoPGPsdk.dll.sig

2008-10-26 13:11 . 2008-10-26 13:12        <DIR>        d--------        C:\Programme\McAfee

2008-10-26 13:11 . 2008-10-26 13:11        <DIR>        d--------        C:\Programme\Gemeinsame Dateien\McAfee

2008-10-26 13:10 . 2008-10-26 13:10        <DIR>        d--------        C:\Programme\Virenscann

2008-10-22 10:18 . 2008-10-22 10:18        <DIR>        d--------        C:\WINDOWS\Internet Logs

2008-10-22 10:17 . 2008-10-22 10:17        <DIR>        d--------        C:\Programme\Gemeinsame Dateien\Deterministic Networks

2008-10-22 10:17 . 2008-10-22 10:17        <DIR>        d--------        C:\Programme\Cisco Systems

2008-10-22 10:17 . 2008-03-29 16:36        125,328        --a------        C:\WINDOWS\system32\drivers\dne2000.sys

2008-10-22 10:17 . 2008-03-29 16:36        106,768        --a------        C:\WINDOWS\system32\dneinobj.dll

2008-10-22 10:16 . 2008-10-22 10:18        1,594        --a------        C:\WINDOWS\VPNInstall.MIF

2008-10-21 21:16 . 2008-10-21 21:16        <DIR>        d--------        C:\Programme\Acro Software

2008-10-21 21:16 . 2007-07-12 21:33        87,552        --a------        C:\WINDOWS\system32\cpwmon2k.dll

2008-10-21 21:12 . 2008-10-21 21:13        <DIR>        d--------        C:\Programme\Gemeinsame Dateien\CIB

2008-10-21 21:12 . 2008-10-21 21:12        <DIR>        d--------        C:\Programme\CIB software GmbH

2008-10-21 21:12 . 2006-06-27 09:02        81,920        ---------        C:\WINDOWS\system32\cibwwpdf.dll

2008-10-21 21:09 . 2008-10-21 21:09        <DIR>        d--------        C:\Programme\gs

2008-10-21 21:09 . 2008-10-21 21:09        43        --a------        C:\WINDOWS\gswin32.ini

2008-10-16 13:59 . 2008-10-22 16:23        <DIR>        d--------        C:\DVDVideoSoft

2008-10-16 13:52 . 2008-10-16 13:52        <DIR>        d--------        C:\Programme\Gemeinsame Dateien\DVDVideoSoft

2008-10-16 13:52 . 2008-10-16 13:52        <DIR>        d--------        C:\Programme\DVDVideoSoft
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-11-01 14:27        ---------        d-----w        C:\Dokumente und Einstellungen\Manolo\Anwendungsdaten\OpenOffice.org2

2008-10-31 22:00        5,427        ----a-w        C:\WINDOWS\system32\EGATHDRV.SYS

2008-10-30 14:07        ---------        d-----w        C:\Dokumente und Einstellungen\Manolo\Anwendungsdaten\Apple Computer

2008-10-30 14:02        ---------        d-----w        C:\Programme\Apple Software Update

2008-10-29 17:07        ---------        d-----w        C:\Programme\Windows Live Safety Center

2008-10-29 14:01        ---------        d-----w        C:\Programme\emule

2008-10-21 20:12        ---------        d--h--w        C:\Programme\InstallShield Installation Information

2008-10-09 15:30        ---------        d-----w        C:\Programme\Java

2008-09-26 13:32        ---------        d-----w        C:\Programme\Nvu

2008-09-26 13:32        ---------        d-----w        C:\Dokumente und Einstellungen\Manolo\Anwendungsdaten\Nvu

2008-09-15 15:13        1,847,040        ------w        C:\WINDOWS\system32\win32k.sys

2008-09-13 18:02        ---------        d-----w        C:\Programme\Microsoft Silverlight

2008-09-02 23:46        ---------        d-----w        C:\Programme\Windows Media Connect 2

2008-08-29 11:58        197,408        ----a-w        C:\WINDOWS\system32\vpnapi.dll

2008-08-29 11:58        193,312        ----a-w        C:\WINDOWS\system32\CSGina.dll

2008-08-20 05:33        673,280        ----a-w        C:\WINDOWS\system32\wininet.dll

2008-08-14 13:35        2,145,280        ------w        C:\WINDOWS\system32\ntoskrnl.exe

2008-08-14 13:35        2,023,424        ------w        C:\WINDOWS\system32\ntkrnlpa.exe

2007-08-29 11:40        378,144        --sh--w        C:\WINDOWS\system32\drivers\fidbox.dat

2007-08-29 11:40        19,744        --sh--w        C:\WINDOWS\system32\drivers\fidbox2.dat

.
 

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.

REGEDIT4
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360]

"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-28 68856]

"MsnMsgr"="C:\Programme\MSN Messenger\MsnMsgr.Exe" [2007-01-19 5674352]

"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 1694208]

"EA Core"="C:\Programme\Electronic Arts\EADM\Core.exe" [2008-06-13 2752512]

"updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 313472]

"HP JetDiscovery"="HPJETDSC.EXE" [1998-06-09 C:\WINDOWS\system32\hpjetdsc.exe]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"PWRMGRTR"="C:\PROGRA~1\ThinkPad\UTILIT~1\PWRMGRTR.DLL" [2006-05-25 151552]

"BLOG"="C:\PROGRA~1\ThinkPad\UTILIT~1\BatLogEx.DLL" [2006-05-25 208896]

"SynTPLpr"="C:\Programme\Synaptics\SynTP\SynTPLpr.exe" [2006-02-14 110592]

"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2006-02-14 512000]

"EZEJMNAP"="C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe" [2006-02-23 237568]

"TPKMAPHELPER"="C:\Programme\ThinkPad\Utilities\TpKmapAp.exe" [2006-06-02 856064]

"TPHOTKEY"="C:\PROGRA~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe" [2006-07-25 94208]

"SoundMAXPnP"="C:\Programme\Analog Devices\Core\smax4pnp.exe" [2005-05-20 925696]

"ATICCC"="C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-05-10 90112]

"snp2std"="C:\WINDOWS\vsnp2std.exe" [2005-10-20 339968]

"Google Desktop Search"="C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" [2008-09-22 29744]

"LPManager"="C:\PROGRA~1\THINKV~2\PrdCtr\LPMGR.exe" [2006-07-04 110592]

"TVT Scheduler Proxy"="C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\scheduler_proxy.exe" [2006-12-10 536576]

"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]

"AMSG"="C:\Programme\ThinkVantage\AMSG\Amsg.exe" [2005-11-14 487424]

"DLA"="C:\WINDOWS\System32\DLA\DLACTRLW.EXE" [2006-02-02 122940]

"ISUSPM Startup"="C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-07-27 221184]

"ISUSScheduler"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2004-07-27 81920]

"AwaySch"="C:\Programme\Lenovo\AwayTask\AwaySch.EXE" [2006-08-16 69632]

"DiskeeperSystray"="C:\Programme\Diskeeper Corporation\Diskeeper\DkIcon.exe" [2006-05-18 196696]

"ACTray"="C:\Programme\ThinkPad\ConnectUtilities\ACTray.exe" [2006-08-26 409600]

"ACWLIcon"="C:\Programme\ThinkPad\ConnectUtilities\ACWLIcon.exe" [2006-08-26 110592]

"PDService.exe"="C:\Programme\Lenovo\SafeGuard PrivateDisk\pdservice.exe" [2006-03-13 41472]

"cssauth"="C:\Programme\Lenovo\Client Security Solution\cssauth.exe" [2006-07-14 2341632]

"Adobe Photo Downloader"="C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" [2005-06-06 57344]

"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2008-01-31 385024]

"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-02-19 267048]

"ShStatEXE"="C:\Programme\McAfee\VirusScan Enterprise\SHSTAT.EXE" [2008-05-22 111952]

"McAfeeUpdaterUI"="C:\Programme\McAfee\Common Framework\UdaterUI.exe" [2007-10-25 136512]

"TpShocks"="TpShocks.exe" [2006-03-15 C:\WINDOWS\system32\TpShocks.exe]

"TP4EX"="tp4ex.exe" [2005-10-17 C:\WINDOWS\system32\TP4EX.exe]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 15360]

"Picasa Media Detector"="C:\Programme\Picasa2\PicasaMediaDetector.exe" [2008-02-26 443968]
 

C:\Dokumente und Einstellungen\Manolo\Startmen\Programme\Autostart\

OpenOffice.org 2.2.lnk - C:\Programme\OpenOffice.org 2.2\program\quickstart.exe [2007-02-02 393216]
 

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\

Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 29696]

BTTray.lnk - C:\Programme\ThinkPad\Bluetooth Software\BTTray.exe [2006-05-31 622653]

Digital Line Detect.lnk - C:\Program Files\Digital Line Detect\DLG.exe [2006-12-12 24576]

Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 83360]

VPN Client.lnk - C:\WINDOWS\Installer\{51FB15F4-AD27-43BC-AD4B-DD0354FB6BBD}\Icon3E5562ED7.ico [2008-10-22 6144]
 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"ForceClassicControlPanel"= 1 (0x1)
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\AwayNotify]

2006-08-16 18:07 49152 C:\Programme\Lenovo\AwayTask\AwayNotify.dll
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\psfus]

2006-04-25 19:20 40448 C:\WINDOWS\system32\psqlpwd.dll
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tpfnf2]

2005-07-05 15:45 28672 C:\WINDOWS\system32\notifyf2.dll
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tphotkey]

2005-11-30 12:16 24576 C:\WINDOWS\system32\tphklock.dll
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"VIDC.ACDV"= ACDV.dll
 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]

Notification Packages        REG_MULTI_SZ           scecli psqlpwd ACGina
 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusDisableNotify"=dword:00000001

"UpdatesDisableNotify"=dword:00000001
 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]

"DisableMonitoring"=dword:00000001
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=

"C:\\Programme\\MSN Messenger\\livecall.exe"=

"C:\\Programme\\Netscape\\Netscape\\Netscp.exe"=

"C:\\WINDOWS\\system32\\spoolsv.exe"=

"C:\\Programme\\emule\\emule.exe"=

"C:\\Programme\\FrostWire\\FrostWire.exe"=

"C:\\Programme\\Bonjour\\mDNSResponder.exe"=

"C:\\Programme\\iTunes\\iTunes.exe"=

"C:\\Programme\\Messenger\\msmsgs.exe"=

"C:\\Programme\\Electronic Arts\\EADM\\Core.exe"=

"C:\\Programme\\Mozilla Firefox\\firefox.exe"=

"C:\\Programme\\Java\\jre1.6.0_05\\bin\\javaw.exe"=

"C:\\Programme\\McAfee\\Common Framework\\FrameworkService.exe"=
 

R0 Shockprf;Shockprf;C:\WINDOWS\system32\drivers\Shockprf.sys [2006-03-15 88576]

R1 ANC;ANC;C:\WINDOWS\system32\drivers\ANC.SYS [2005-11-08 11520]

R1 Asapi;Asapi;C:\WINDOWS\system32\drivers\Asapi.sys [2002-04-17 11264]

R1 IBMTPCHK;IBMTPCHK;C:\WINDOWS\system32\Drivers\IBMBLDID.sys [2006-01-13 6016]

R1 ShockMgr;ShockMgr;C:\WINDOWS\system32\drivers\ShockMgr.sys [2005-06-20 4736]

R1 TPPWRIF;TPPWRIF;C:\WINDOWS\system32\drivers\Tppwrif.sys [2006-05-25 4442]

R2 PrivateDisk;PrivateDisk;C:\Programme\Lenovo\SafeGuard PrivateDisk\PrivateDiskM.sys [2006-03-13 58368]

R2 smi2;smi2;C:\Programme\SMI2\smi2.sys [2006-07-14 3968]

R2 smihlp;SMI helper driver;C:\Programme\ThinkVantage Fingerprint Software\smihlp.sys [2006-04-25 3456]

R3 SNP2STD;USB2.0 PC Camera (SNP2STD);C:\WINDOWS\system32\DRIVERS\snp2sxp.sys [2006-03-03 10443904]

S3 GoogleDesktopManager-061008-081103;Google Desktop Manager 5.7.806.10245;C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe [2008-09-22 29744]

.

Inhalt des "geplante Tasks" Ordners
 

2008-10-30 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job

- C:\Programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]
 

2008-11-01 C:\WINDOWS\Tasks\PMTask.job

- C:\PROGRA~1\ThinkPad\UTILIT~1\PWMIDTSK.EXE [2006-05-25 17:13]
 

2007-05-21 C:\WINDOWS\Tasks\Symantec NetDetect.job

- C:\Programme\Symantec\LiveUpdate\NDETECT.EXE [2005-04-11 17:38]

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -
 

Notify-NavLogon - (no file)
 
 

.

------- Zusätzlicher Suchlauf -------

.

FireFox -: Profile - C:\Dokumente und Einstellungen\Manolo\Anwendungsdaten\Mozilla\Firefox\Profiles\35ds2f6b.default\

FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.20min.ch

FF -: plugin - C:\Programme\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll

FF -: plugin - C:\Programme\iTunes\Mozilla Plugins\npitunes.dll

FF -: plugin - C:\Programme\Viewpoint\Viewpoint Media Player\npViewpoint.dll

FF -: plugin - C:\Programme\Yahoo!\Common\npyaxmpb.dll

.
 

**************************************************************************
 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-11-01 16:56:08

Windows 5.1.2600 Service Pack 2 NTFS
 

Scanne versteckte Prozesse...
 

Scanne versteckte Autostarteinträge...
 

Scanne versteckte Dateien...
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
 

Prozess: C:\WINDOWS\system32\winlogon.exe

-> C:\WINDOWS\system32\tphklock.dll
 

Prozess: C:\WINDOWS\system32\lsass.exe

-> C:\Programme\ThinkPad\ConnectUtilities\ACGina.dll

-> C:\Programme\ThinkPad\ConnectUtilities\ACHelper.dll

-> C:\Programme\ThinkPad\ConnectUtilities\AcSvcStub.dll

-> C:\Programme\ThinkPad\ConnectUtilities\AcLocSettings.dll

.

------------------------ Weitere laufende Prozesse ------------------------

.

C:\WINDOWS\system32\ibmpmsvc.exe

C:\WINDOWS\system32\ati2evxx.exe

C:\Programme\Intel\Wireless\Bin\EvtEng.exe

C:\Programme\Intel\Wireless\Bin\S24EvMon.exe

C:\WINDOWS\system32\IPSSVC.EXE

C:\Programme\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe

C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Programme\Bonjour\mDNSResponder.exe

C:\Programme\ThinkPad\Bluetooth Software\bin\btwdins.exe

C:\Programme\Cisco Systems\VPN Client\cvpnd.exe

C:\Programme\Diskeeper Corporation\Diskeeper\DkService.exe

C:\Programme\McAfee\Common Framework\FrameworkService.exe

C:\Programme\McAfee\VirusScan Enterprise\Mcshield.exe

C:\Programme\McAfee\VirusScan Enterprise\VsTskMgr.exe

C:\Programme\Intel\Wireless\Bin\RegSrvc.exe

C:\Programme\McAfee\Common Framework\naPrdMgr.exe

C:\Programme\Lenovo\System Update\SUService.exe

C:\Programme\Gemeinsame Dateien\Lenovo\tvt_reg_monitor_svc.exe

C:\WINDOWS\system32\TPHDEXLG.exe

C:\WINDOWS\system32\TpKmpSvc.exe

C:\Programme\Lenovo\Client Security Solution\tvttcsd.exe

C:\Programme\Lenovo\Rescue and Recovery\rrservice.exe

C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\tvtsched.exe

C:\Programme\Lenovo\Rescue and Recovery\ADM\IUService.exe

C:\WINDOWS\system32\wdfmgr.exe

C:\Programme\ThinkPad\ConnectUtilities\AcSvc.exe

C:\Programme\Gemeinsame Dateien\Lenovo\Logger\logmon.exe

C:\WINDOWS\system32\ati2evxx.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\Programme\ThinkPad\ConnectUtilities\SvcGuiHlpr.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Programme\Lenovo\Client Security Solution\tvtpwm_tray.exe

C:\WINDOWS\system32\rundll32.exe

C:\Programme\Lenovo\PkgMgr\HOTKEY\TPONSCR.exe

C:\Programme\Lenovo\PkgMgr\HOTKEY_1\TpScrex.exe

C:\Programme\ATI Technologies\ATI.ACE\CLI.exe

C:\Programme\McAfee\Common Framework\Mctray.exe

C:\Programme\iPod\bin\iPodService.exe

C:\Programme\OpenOffice.org 2.2\program\soffice.exe

C:\Programme\OpenOffice.org 2.2\program\soffice.bin

C:\Programme\ATI Technologies\ATI.ACE\CLI.exe

.

**************************************************************************

.

Zeit der Fertigstellung: 2008-11-01 17:02:39 - PC wurde neu gestartet [Manolo]

ComboFix-quarantined-files.txt  2008-11-01 16:02:21
 

Vor Suchlauf: 21 Verzeichnis(se), 24'235'642'880 Bytes frei

Nach Suchlauf: 21 Verzeichnis(se), 24,173,232,128 Bytes frei
 

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
 

299        --- E O F ---        2008-10-25 01:00:37

Das Listing vom listing8.cmd kannst du unter http://www.file-upload.net/download-...sting.txt.html herunterladen.

Und hier noch das neuste/letze Hijackthis-File: http://www.file-upload.net/download-...kthis.log.html
Hoffe jetzt mein PC ist gerettet =)
Danke und freue mich auf deine Antwort

Wäre wirklich extrem dankbar wenn jemand bestätigen könnte (anhand meines letzten Posts und den Logfiles) das ich jetzt keine Viren mehr habe.. und falls doch, wie ich diese loswerde =)

Vielen Dank =)