Trojaner-Board - SpyBot öffnet nicht, Google leitet auf Werbeseiten

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - SpyBot öffnet nicht, Google leitet auf Werbeseiten (https://www.trojaner-board.de/65401-spybot-oeffnet-google-leitet-werbeseiten.html)

SpyBot öffnet nicht, Google leitet auf Werbeseiten

Hi,

ich hab seit gestern folgendes Problem:

Mein Internet wurde langsam, Teamspeak hat nur noch gestockt, Google hat mich auf irgendwelche Werbeseite geleitet. Als ich Spybot mal drüberscannen lassen wollte, startete das Programm nicht, eine Neuinstallation brachte keine Besserung. Mein Virenscanner (AVG-Antivir) kann sich nimmer updaten (connection failed). Ich kann die Homepage von AVG auch nicht im Firefox öffnen, genauso wie andere Seiten, wie z.B. malwarebytes.com und was sich sonst noch so mit dem Thema befasst.

Hier mal ein aktuelles hijackthis.log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:32:04, on 28.11.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\Programme\ASUS Probe\AsusProb.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\CyberLink\Shared files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\Dokumente und Einstellungen\******\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG8\avgssie.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [ASUS Probe] C:\Programme\ASUS Probe\AsusProb.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DWQueuedReporting] "C:\PROGRA~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe" -t
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{4584BF16-584C-4B9D-8EBE-A910D33A80F4}: NameServer = 192.168.1.1
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG8\avgpp.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: avgrsstx.dll
O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPH11 - HP - C:\WINDOWS\system32\HPHipm11.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared files\RichVideo.exe

--
End of file - 4975 bytes

Wär nett, wenn mir jemand bei dem Problem helfen könnte...

MfG skeeter

Gebe unter Start/Ausfuehren devmgmt.msc ein und druecke enter, dann ueber "Ansicht", "Ausgeblendete Geraete anzeigen" waehlen, "nicht-PNP-Treiber" anzeigen lassen und dort den Treiber "TDSSserv.sys" oder aehnlich deaktivieren und neu starten.

Benutze malwarebytes-anti-malware
http://www.trojaner-board.de/51187-anleitung-malwarebytes-anti-malware.html

Danke, Malwarebytes wollte ich schon benutzen, konnte es aber nicht installieren. Hab dann gerade hier irgendwo was von Datei einfach umbennen gelesen und siehe da, es lies sich dann Problemlos installieren. Das Programm wollte dann zwar immer noch nicht starten, aber nachdem ich die mbam.exe oder so umbenannt hab, gings dann auch. Beim Scan wurde was gefunden und auch entfernt. TDSS Rootkit oder sowas, kein Plan wo ich das her hab.
Nach dem Neustart geht anscheinenend auch wieder alles.

Hier mal das Log von Malwarebytes:

Code:

Malwarebytes' Anti-Malware 1.30

Datenbank Version: 1306

Windows 5.1.2600 Service Pack 3
 

28.11.2008 21:15:39

mbam-log-2008-11-28 (21-15-39).txt
 

Scan-Methode: Quick-Scan

Durchsuchte Objekte: 41753

Laufzeit: 1 minute(s), 55 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 2

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 7
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> Quarantined and deleted successfully.
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

C:\WINDOWS\system32\TDSScfum.dll (Rootkit.Agent) -> Delete on reboot.

C:\WINDOWS\system32\TDSSfxwp.dll (Rootkit.Agent) -> Delete on reboot.

C:\WINDOWS\system32\TDSSnrsr.dll (Rootkit.Agent) -> Delete on reboot.

C:\WINDOWS\system32\TDSSofxh.dll (Rootkit.Agent) -> Delete on reboot.

C:\WINDOWS\system32\TDSSriqp.dll (Rootkit.Agent) -> Delete on reboot.

C:\WINDOWS\system32\TDSStkdv.log (Trojan.TDSS) -> Delete on reboot.

C:\WINDOWS\system32\drivers\TDSSmhxt.sys (Rootkit.Agent) -> Delete on reboot.

Ich hab das jetzt noch geupdatet (geht ja endlich wieder) und werd gleich nochma durchscannen lassen.

Sollte ich den TDSSserv.sys Treiber trotzdem deaktivieren und auch deaktiviert lassen?

Stand sowas wie TDSSxxx unter "nicht-PNP-Treiber"? wenn ja,deaktivieren

SDFix für Windows 2000 und Windows XP
Download SDFix zum Desktop

Starte dein Recher in
abgesicherten Modus

SDFix.zip entpacken
unter C:\ findet man nun den SDFix-Ordner

Doppelklick RunThis.bat
Schreibe: Y folge allen Anweisungen
Dann wird der Rechner neustarten
SDFix entfernt jetzt die gefundene Objekte
Kopiere den Inhalt des Berichts SophosReport.txt in diesen Thread

ComboFix(by sUBs)
Download ComboFix und speichert es auf den Desktop!

Schliesse alle Programme und Anwendungen mit Hintergrundwächtern inklusive der Firewall + Antivirusprogramme müssen deaktiviert sein

Starte combofix.exe
Note:
Wenn ComboFix schon eher benutzt worden ist, kann es sein das eine Meldung kommt das es ein Update gibt
Lass es zu das ComboFix ge-updatet wird
Klicke OK im "NirCmd") Fenster klicke ja um Combofix zu starten

Folge den Instruktionen in das Fenster

Während Combofix lauft NICHT ins Fenster klicken sonst erfriert dein Rechner

Wenn das Tool fertig ist,oeffnet sich ein logfile (C:\ combofix.txt)
nun das KOMPLETTE Log mit rechtem Mausklick ab kopieren und ins Forum mit rechtem Mausklick "einfügen"

So, hier das Logfile von SDFix (heisst aber nicht SophosReport.txt :( hoffe, es ist trotzdem richtig):

Code:


 SDFix: Version 1.240 

Run by ******* on 28.11.2008 at 22:13
 

Microsoft Windows XP [Version 5.1.2600]

Running From: C:\SDFix
 
 Checking Services :
 
 Name : 

TDSSserv.sys
 
 Path :

\systemroot\system32\drivers\TDSSmhxt.sys 
 

TDSSserv.sys - Deleted
 
 
 

Restoring Default Security Values

Restoring Default Hosts File
 

Rebooting
 
 
 Checking Files : 
 

Trojan Files Found:
 

C:\WINDOWS\SYSTEM32\AV.EXE - Deleted

C:\WINDOWS\system32\av.exe - Deleted

C:\WINDOWS\system32\drivers\TDSSmhxt.sys - Deleted

C:\WINDOWS\system32\TDSSosvd.dat - Deleted

C:\WINDOWS\SYSTEM32\TDSSOSVD.dat - Deleted
 
 
 
 
 

Removing Temp Files
 
 ADS Check :

 
 
 

                                 Final Check :
 

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-11-28 22:17:28

Windows 5.1.2600 Service Pack 3 NTFS
 

scanning hidden processes ...
 

scanning hidden services & system hive ...
 

scanning hidden registry entries ...
 

scanning hidden files ...
 

C:\WINDOWS\SoftwareDistribution\DataStore\Logs\edb0019C.log 131072 bytes

C:\WINDOWS\SoftwareDistribution\DataStore\Logs\edb0019D.log

C:\WINDOWS\SoftwareDistribution\Download\ceb86c66477eb2daaee55cde760d68f0\BIT4.tmp 1423400 bytes executable
 

scan completed successfully

hidden processes: 0

hidden services: 0

hidden files: 3
 
 
 Remaining Services :
 
 
 
 

Authorized Application Key Export:
 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

"C:\\Programme\\AVG\\AVG8\\avgemc.exe"="C:\\Programme\\AVG\\AVG8\\avgemc.exe:*:Enabled:avgemc.exe"

"C:\\Programme\\AVG\\AVG8\\avgupd.exe"="C:\\Programme\\AVG\\AVG8\\avgupd.exe:*:Enabled:avgupd.exe"

"C:\\Programme\\ICQLite\\ICQLite.exe"="C:\\Programme\\ICQLite\\ICQLite.exe:*:Enabled:ICQ Lite"

"C:\\Programme\\Total Commander 7.04a\\TOTALCMD.EXE"="C:\\Programme\\Total Commander 7.04a\\TOTALCMD.EXE:*:Enabled:Total Commander 32 bit international version, file manager replacement for Windows"

"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"

"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"="C:\\Programme\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

"C:\\Programme\\TmNationsForever\\TmForever.exe"="C:\\Programme\\TmNationsForever\\TmForever.exe:*:Enabled:TmForever"

"C:\\Programme\\Skype\\Phone\\Skype.exe"="C:\\Programme\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"
 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"

"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"="C:\\Programme\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
 
 Remaining Files :
 
 

File Backups: - C:\SDFix\backups\backups.zip
 
 Files with Hidden Attributes :
 

Wed 22 Oct 2008       949,072 A.SHR --- "C:\Programme\Spybot - Search & Destroy\advcheck.dll"

Wed 22 Oct 2008       962,896 A.SHR --- "C:\Programme\Spybot - Search & Destroy\Tools.dll"

Fri  5 Sep 2008             8 ..SHR --- "C:\WINDOWS\system32\BBFC2D0E27.sys"

Fri 12 Sep 2008           952 A.SH. --- "C:\WINDOWS\system32\KGyGaAvL.sys"

Fri  5 Sep 2008    14,782,496 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\0af87e1622595cbc853f10637d5ef41f\BIT9.tmp"
 
 Finished!

und das Logfile von Combofix:

Code:

ComboFix 08-11-28.02 - ******* 2008-11-28 22:26:27.1 - NTFSx86

ausgeführt von:: c:\dokumente und einstellungen\*******\Desktop\ComboFix.exe
 
 Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!

.
 

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.
 

c:\programme\Gravity\RagnarokOnline\AI\USER_AI\_desktop.ini

c:\windows\system32\getwn32.dll
 

.

(((((((((((((((((((((((   Dateien erstellt von 2008-10-28 bis 2008-11-28  ))))))))))))))))))))))))))))))

.
 

2008-11-28 22:13 . 2008-11-28 22:13        580,096        --a--c---        c:\windows\system32\dllcache\user32.dll

2008-11-28 22:11 . 2008-11-28 22:12        <DIR>        d--------        c:\windows\ERUNT

2008-11-28 22:11 . 2008-11-28 22:19        <DIR>        d--------        C:\SDFix

2008-11-28 21:13 . 2008-11-28 21:13        <DIR>        d--------        c:\dokumente und einstellungen\*******\Anwendungsdaten\Malwarebytes

2008-11-28 21:12 . 2008-11-28 21:20        <DIR>        d--------        c:\programme\Malwarebytes' Anti-Malware

2008-11-28 21:12 . 2008-11-28 21:12        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes

2008-11-28 21:12 . 2008-10-22 16:10        38,496        --a------        c:\windows\system32\drivers\mbamswissarmy.sys

2008-11-28 21:12 . 2008-10-22 16:10        15,504        --a------        c:\windows\system32\drivers\mbam.sys

2008-11-27 22:12 . 2008-11-27 22:12        244        --ah-----        C:\sqmnoopt01.sqm

2008-11-27 22:12 . 2008-11-27 22:12        232        --ah-----        C:\sqmdata01.sqm

2008-11-25 18:50 . 2008-11-25 18:50        410,976        --a------        c:\windows\system32\deploytk.dll

2008-11-22 20:03 . 2008-11-22 20:04        <DIR>        d--------        c:\programme\RagnaWatch 2

2008-11-22 20:03 . 2002-02-22 04:03        233,472        --a------        c:\windows\system32\libmySQL.dll

2008-11-22 14:31 . 2008-11-27 18:36        <DIR>        d--------        c:\dokumente und einstellungen\*******\Anwendungsdaten\skypePM

2008-11-22 14:31 . 2008-11-22 14:31        56        --ah-----        c:\windows\system32\ezsidmv.dat

2008-11-22 14:27 . 2008-11-27 22:02        <DIR>        d--------        c:\dokumente und einstellungen\*******\Anwendungsdaten\Skype

2008-11-22 14:26 . 2008-11-22 15:14        <DIR>        d--------        c:\programme\Skype

2008-11-22 14:26 . 2008-11-22 14:26        <DIR>        d--------        c:\programme\Gemeinsame Dateien\Skype

2008-11-22 14:26 . 2008-11-22 14:26        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype

2008-11-09 12:53 . 2008-11-09 12:53        <DIR>        d--------        c:\programme\Gravity

2008-11-04 15:57 . 2008-11-04 15:57        <DIR>        d--------        c:\programme\Gemeinsame Dateien\Adobe
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-11-28 20:19        ---------        d-----w        c:\programme\Spybot - Search & Destroy

2008-11-28 07:06        ---------        d-----w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\avg8

2008-11-27 18:30        ---------        d-----w        c:\dokumente und einstellungen\*******\Anwendungsdaten\teamspeak2

2008-11-25 17:50        ---------        d-----w        c:\programme\Java

2008-11-09 11:53        ---------        d--h--w        c:\programme\InstallShield Installation Information

2008-11-09 10:37        ---------        d-----w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Messenger Plus!

2008-10-18 12:43        ---------        d-----w        c:\programme\Free FLV Converter

2008-10-15 17:58        ---------        d-----w        c:\programme\GordianKnot

2008-10-14 21:34        270,336        ----a-w        c:\windows\system32\TubeFinder.exe

2008-10-07 14:14        ---------        d-----w        c:\programme\RouterControl

2008-09-29 13:44        ---------        d-----w        c:\programme\HP Photosmart 11

2008-08-31 10:50        10,520        ----a-w        c:\windows\system32\avgrsstx.dll

2008-08-31 10:26        60,416        ----a-w        c:\windows\ALCFDRTM.EXE

.
 

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.

REGEDIT4
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

"DWQueuedReporting"="c:\progra~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe" [2007-03-22 39264]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-05-16 13529088]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-05-16 86016]

"AVG8_TRAY"="c:\progra~1\AVG\AVG8\avgtray.exe" [2008-11-28 1261336]

"ASUS Probe"="c:\programme\ASUS Probe\AsusProb.exe" [2002-12-06 617984]

"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]

"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2008-11-25 136600]

"LVCOMSX"="c:\windows\system32\LVCOMSX.EXE" [2004-10-08 221184]

"HPDJ Taskbar Utility"="c:\windows\system32\spool\drivers\w32x86\3\hpztsb07.exe" [2002-11-22 188416]

"nwiz"="nwiz.exe" [2008-05-16 c:\windows\system32\nwiz.exe]

"SoundMan"="SOUNDMAN.EXE" [2005-07-26 c:\windows\SOUNDMAN.EXE]

"Logitech Utility"="Logi_MwX.Exe" [2003-12-17 c:\windows\LOGI_MWX.EXE]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]

"AppInit_DLLs"=avgrsstx.dll
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]

--a------ 2008-01-11 22:16 39792 c:\programme\Adobe\Reader 8.0\Reader\reader_sl.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HPHmon04]

--a------ 2002-11-22 10:33 348160 c:\windows\system32\hphmon04.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LanguageShortcut]

--a------ 2006-05-18 10:29 49152 c:\programme\CyberLink\PowerDVD\Language\Language.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]

--a------ 2008-11-14 20:18 5724184 c:\programme\Windows Live\Messenger\msnmsgr.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]

--------- 2005-12-07 21:57 30208 c:\programme\CyberLink\PowerDVD\PDVDServ.exe
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Programme\\AVG\\AVG8\\avgemc.exe"=

"c:\\Programme\\AVG\\AVG8\\avgupd.exe"=

"c:\\Programme\\ICQLite\\ICQLite.exe"=

"c:\\Programme\\Total Commander 7.04a\\TOTALCMD.EXE"=

"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Programme\\Windows Live\\Messenger\\livecall.exe"=

"c:\\Programme\\TmNationsForever\\TmForever.exe"=

"c:\\Programme\\Skype\\Phone\\Skype.exe"=
 

R1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\system32\Drivers\avgldx86.sys [2008-08-31 97928]

R2 avg8emc;AVG Free8 E-mail Scanner;c:\progra~1\AVG\AVG8\avgemc.exe [2008-08-31 875288]

R2 avg8wd;AVG Free8 WatchDog;c:\progra~1\AVG\AVG8\avgwdsvc.exe [2008-08-31 231704]

R2 AvgTdiX;AVG Free8 Network Redirector;c:\windows\system32\Drivers\avgtdix.sys [2008-08-31 76040]

R3 LCcfltr;Logitech USB Filter Driver;c:\windows\system32\Drivers\LCcFltr.Sys [2008-08-31 14095]
 

*Newly Created Service* - PROCEXP90

.

Inhalt des "geplante Tasks" Ordners
 

2008-10-01 c:\windows\Tasks\HP Usg Daily.job

- c:\programme\hp photosmart 11\printer\Hphusg04.exe [2002-11-22 10:50]
 

2008-10-01 c:\windows\Tasks\HP Usg Login.job

- c:\programme\hp photosmart 11\printer\Hphusg04.exe [2002-11-22 10:50]

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -
 

MSConfigStartUp-HPHUPD04 - c:\programme\HP Photosmart 11\hphinstall\UniPatch\hphupd04.exe

MSConfigStartUp-LogitechSoftwareUpdate - c:\programme\Logitech\Video\ManifestEngine.exe

MSConfigStartUp-LogitechVideoRepair - c:\programme\Logitech\Video\ISStart.exe

MSConfigStartUp-LogitechVideoTray - c:\programme\Logitech\Video\LogiTray.exe
 
 

.

------- Zusätzlicher Suchlauf -------

.

FireFox -: Profile - c:\dokumente und einstellungen\*******\Anwendungsdaten\Mozilla\Firefox\Profiles\zbjk28x5.default\

FireFox -: prefs.js - STARTUP.HOMEPAGE - about:blank

.
 

**************************************************************************
 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-11-28 22:27:31

Windows 5.1.2600 Service Pack 3 NTFS
 

Scanne versteckte Prozesse...
 

Scanne versteckte Autostarteinträge...
 

Scanne versteckte Dateien...
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
 

- - - - - - - > 'winlogon.exe'(700)

c:\windows\system32\avgrsstx.dll
 

- - - - - - - > 'lsass.exe'(808)

c:\windows\system32\avgrsstx.dll

.

Zeit der Fertigstellung: 2008-11-28 22:28:08

ComboFix-quarantined-files.txt  2008-11-28 21:27:57
 

Vor Suchlauf: 10 Verzeichnis(se), 38.070.611.968 Bytes frei

Nach Suchlauf: 10 Verzeichnis(se), 38,527,496,192 Bytes frei
 

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
 

142        --- E O F ---        2008-10-08 03:20:25

Wie schauts aus? Mission erfolgreich? Ich werd daraus nicht so wirklich schlau :confused:

Entferne auf C:\SDFix\ backups Papierkorb leeren

Start > Ausführen> Kopiere rein ComboFix /U OK
Entferne auf C:\combofix.txt

Download OTCleanIt. by OldTimer zum Desktop
Schliesse alle Fenster
Doppelklick: OTCleanIt.
Klicke: CleanUp

Wenn gefragt wird “Do you want to reboot now?”klicke “Yes”
Dein Rechner wird neu gestartet

Damit werden Reste von benutzten Programme wieder entfernt

Systemwiederherstellung (de)aktivieren

Happy Surfing again

Super! Vielen Dank Argus, hat alles wunderbar geklappt. :daumenhoc

Hallo,

da Anti-Malware Rootkits gefunden hat lasse zur Sicherheit Blacklight scannen.
http://www.chip.de/downloads/F-Secure-BlackLight-2.2.1067-Beta_23668619.html

Downloade es und lasse es scannen, poste bitte den Log.

Lasse bitte den MBR scannen mit diesem Tool.

LG

Hallo!

Ich habe exakt das gleiche Problem wie skeeter. Google leitet auf andere Seiten um, Antivir geht kein autoupdate mehr und spybot öffnet sich gar nicht mehr. Peerguardian meldet dauernd "Malware exploits". Außerdem spinnt mein Ipod kann aber was anderes sein ...
Soll ich die Schritte alle wie skeeter befolgen oder brauch ich eine Spezialanleitung?
Hier mal die Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:11:39, on 18.03.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\MSI\Live Update 3\LMonitor.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Java\jre6\bin\jusched.exe
D:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\PeerGuardian2\pg2.exe
C:\Programme\DAEMON Tools Lite\daemon.exe
C:\Programme\VIA Technologies, Inc\VIA Audio Driver Setup Program\AudioDeck\AudioDeck.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [LiveMonitor] C:\Programme\MSI\Live Update 3\LMonitor.exe
O4 - HKLM\..\Run: [D-Link AirPlus XtremeG] C:\Programme\D-Link\AirPlus XtremeG\AirPlusCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Ad-Watch] C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "D:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [PeerGuardian] C:\Programme\PeerGuardian2\pg2.exe
O4 - HKCU\..\Run: [DriverUpdaterPro] C:\Programme\Driver Updater Pro\DriverUpdaterPro.exe -t
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: AudioDeck.lnk = C:\Programme\VIA Technologies, Inc\VIA Audio Driver Setup Program\AudioDeck\AudioDeck.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1223828305534
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - D:\Programme\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 7440 bytes