Trojaner-Board - Google leitet Suchergebnisse um

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Google leitet Suchergebnisse um (https://www.trojaner-board.de/66520-google-leitet-suchergebnisse-um.html)

Google leitet Suchergebnisse um

Guten Abend.

Bei mir tut sich folgendes Problem auf:
Sämtliche Googlesuchergebnisse werden auf Seiten beginnend Http://go.google.com umgeleitet.

HiJack This liess sich nicht installieren, funktionierte allerdings nachdem ich die .exe zugeschickt bekommen habe.
Was mach am meisten verwundert ist das dieses Problem nicht dauerhaft auftritt, sondern von Computerstart zu Computerstart unterschiedlich vorliegt. Mal funktioniert Google ohne jede Probleme, beim nächsten Systemstart liegen die Probleme wieder vor.
Als Virenscanner ist Steganos Internet Security Installiert, dieser lässt sich auch updaten, findet allerdings nichts.

Fehlermeldungen werden keine Ausgegeben, das System ignorierte Klicks auf zb, die Instalationsdatei von HiJack This einfach, ebenso ist kein Zugriff auf die Download Adresse von dem hier empfohlenem SDFix möglich. Es wird eine leere Seite geöffnet, allerdings kein Download gestartet.

Hier der HiJack log:

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:09:40, on 15.12.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\Steganos\INTERN~1\avgrssvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Adobe\Photoshop Elements 6.0\PhotoshopElementsFileAgent.exe
C:\PROGRA~1\Steganos\INTERN~1\avgamsvr.exe
C:\PROGRA~1\Steganos\INTERN~1\avgupsvc.exe
C:\PROGRA~1\Steganos\INTERN~1\avgrssvc.exe
C:\PROGRA~1\Steganos\INTERN~1\avgemc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\Steganos\INTERN~1\avgfwsrv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Steganos Privacy Suite 2008\PasswordManagerFFAutoFill.exe
C:\Programme\Steganos Privacy Suite 2008\SteganosHotKeyService.exe
C:\PROGRA~1\Steganos\INTERN~1\avgcc.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
D:\Programme\ICQ6\ICQ.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
D:\Programme\Opera\opera.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\***\Eigene Dateien\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Steganos Password Manager AutoFill - {1427A821-7B93-4F08-9A34-9FA03A3D93DB} - C:\Programme\Steganos Privacy Suite 2008\PasswordManagerBHO.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SSS2008 PasswordManagerFFAutoFill] "C:\Programme\Steganos Privacy Suite 2008\PasswordManagerFFAutoFill.exe"
O4 - HKLM\..\Run: [SSS2008 HotKeys] "C:\Programme\Steganos Privacy Suite 2008\SteganosHotKeyService.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Steganos\INTERN~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Elements 6.0\apdproxy.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ICQ] "D:\Programme\ICQ6\ICQ.exe" silent
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Steganos\INTERN~1\avgw.exe /RUNONCE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [AVG7_Run] C:\PROGRA~1\Steganos\INTERN~1\avgw.exe /RUNONCE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [AVG7_Run] C:\PROGRA~1\Steganos\INTERN~1\avgw.exe /RUNONCE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [AVG7_Run] C:\PROGRA~1\Steganos\INTERN~1\avgw.exe /RUNONCE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1205578268775
O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - http://static.pe.schuelervz.net/photouploader/ImageUploader5.cab?nocache=1208555271
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: avgwlntf - C:\WINDOWS\SYSTEM32\avgwlntf.dll
O23 - Service: Adobe Active File Monitor V6 (AdobeActiveFileMonitor6.0) - Unknown owner - C:\Programme\Adobe\Photoshop Elements 6.0\PhotoshopElementsFileAgent.exe
O23 - Service: Steganos Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Steganos\INTERN~1\avgamsvr.exe
O23 - Service: Steganos Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Steganos\INTERN~1\avgupsvc.exe
O23 - Service: Steganos Resident Shield Service (AvgCoreSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Steganos\INTERN~1\avgrssvc.exe
O23 - Service: Steganos E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Steganos\INTERN~1\avgemc.exe
O23 - Service: Steganos Firewall (AVGFwSrv) - GRISOFT, s.r.o. - C:\PROGRA~1\Steganos\INTERN~1\avgfwsrv.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Unknown owner - C:\Programme\Bonjour\mDNSResponder.exe (file missing)
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NBService - Nero AG - D:\BackItUp\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PLFlash DeviceIoControl Service - Unknown owner - C:\WINDOWS\system32\IoctlSvc.exe (file missing)
O23 - Service: Steganos AntiTheft (SatSrv) - Unknown owner - C:\WINDOWS\system32\\SatSrv.exe (file missing)

--
End of file - 6812 bytes

Betriebssystem ist Windows Xp mit Service Pack 3

Vielen Dank

Lade es vom hier runter,ist von mir umbenannt nach SD-Fix
UploadNet

Benutze malwarebytes-anti-malware
http://www.trojaner-board.de/51187-a...i-malware.html
Note: Wähle bei Reiter:
“Scanner”> "Quickscan durchfuehren".
“Update “> klicke “Suche nache Aktualisierungen“
“Einstellungen“ hake an “Beende Inter Explorer während des Löschvorgangs“
Scan laufen lassen
Und poste das Log

Benenne MBAM auch um wenn es Probleme gibt

Okay SDFix habe ich runtergeladen und im Abgesicherten Modus durchlaufen lassen. Unter deim eigentlichen Benutzerkonto ist das System immer abgestürzt, über das Administratorkonto ist es durchgelaufen. Wobei das eigentlich genutze Benutzerkonto ebenfalls ein Administrator Konto ist.

Hier schoneinmal die von SDFix erzeugte Logfile:

Zitat:

SDFix: Version 1.240
Run by Administrator on 15.12.2008 at 19:33

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFix

Checking Services :

Restoring Default Security Values
Restoring Default Hosts File

Rebooting

Checking Files :

Trojan Files Found:

C:\WINDOWS\system32\TDSSfpmp.dll - Deleted
C:\WINDOWS\system32\TDSSosvn.dat - Deleted
C:\WINDOWS\system32\TDSStkdv.log - Deleted

Could Not Remove C:\WINDOWS\system32\TDSSoiqh.dll
Could Not Remove C:\WINDOWS\system32\TDSSnrse.dll
Could Not Remove C:\WINDOWS\system32\TDSSliqp.dll
Could Not Remove C:\WINDOWS\system32\TDSSciou.dll

Removing Temp Files

ADS Check :

Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-15 20:12:21
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

disk error: C:\WINDOWS\system32\config\system, 0
scanning hidden registry entries ...

disk error: C:\WINDOWS\system32\config\software, 0
disk error: C:\Dokumente und Einstellungen\Vincent Shezar\ntuser.dat, 0
scanning hidden files ...

disk error: C:\WINDOWS\

please note that you need administrator rights to perform deep scan

Remaining Services :

Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"D:\\Programme\\ICQLite\\ICQLite.exe"="D:\\Programme\\ICQLite\\ICQLite.exe:*:Enabled:ICQ Lite"
"D:\\Programme\\ICQ6\\ICQ.exe"="D:\\Programme\\ICQ6\\ICQ.exe:*:Enabled:ICQ6"
"D:\\Programme\\EA Games\\Ultima Online Mondain's Legacy\\client.exe"="D:\\Programme\\EA Games\\Ultima Online Mondain's Legacy\\client.exe:*:Enabled:client"
"D:\\Programme\\mIRC\\mirc.exe"="D:\\Programme\\mIRC\\mirc.exe:*:Enabled:mIRC"
"C:\\Programme\\Windows Media Player\\wmplayer.exe"="C:\\Programme\\Windows Media Player\\wmplayer.exe:*:Disabled:Windows Media Player"
"D:\\Programme\\Battelfield\\bfvietnam.exe"="D:\\Programme\\Battelfield\\bfvietnam.exe:*:Disabled:bfvietnam"
"D:\\Programme\\Opera\\Opera.exe"="D:\\Programme\\Opera\\Opera.exe:*:Enabled:Opera Internet Browser"
"C:\\Programme\\Hamachi\\hamachi.exe"="C:\\Programme\\Hamachi\\hamachi.exe:*:Enabled:Hamachi Client"
"C:\\WINDOWS\\system32\\java.exe"="C:\\WINDOWS\\system32\\java.exe:*:Enabled:Java(TM) Platform SE binary"
"G:\\Programme\\mIRC\\mirc.exe"="G:\\Programme\\mIRC\\mirc.exe:*:Enabled:mIRC"
"C:\\Dokumente und Einstellungen\\***\\Lokale Einstellungen\\Temp\\Rar$EX03.634\\AnGeL.exe"="C:\\Dokumente und Einstellungen\\Vincent Shezar\\Lokale Einstellungen\\Temp\\Rar$EX03.634\\AnGeL.exe:*:Enabled:--- AnGeL IRC Bot ---"
"D:\\Programme\\WinBot\\WinBot.exe"="D:\\Programme\\WinBot\\WinBot.exe:*:Enabled:WinBot IRC Client for Windows"
"G:\\Programme\\ftp-uploader\\FTPUploader.exe"="G:\\Programme\\ftp-uploader\\FTPUploader.exe:*:Enabled:ftpuploader.de"
"C:\\Programme\\Steganos\\Internet Security 2008\\avginet.exe"="C:\\Programme\\Steganos\\Internet Security 2008\\avginet.exe:*:Enabled:avginet.exe"
"C:\\Programme\\Steganos\\Internet Security 2008\\avgamsvr.exe"="C:\\Programme\\Steganos\\Internet Security 2008\\avgamsvr.exe:*:Enabled:avgamsvr.exe"
"C:\\Programme\\Steganos\\Internet Security 2008\\avgcc.exe"="C:\\Programme\\Steganos\\Internet Security 2008\\avgcc.exe:*:Enabled:avgcc.exe"
"C:\\Programme\\Steganos\\Internet Security 2008\\avgemc.exe"="C:\\Programme\\Steganos\\Internet Security 2008\\avgemc.exe:*:Enabled:avgemc.exe"
"C:\\Programme\\Bonjour\\mDNSResponder.exe"="C:\\Programme\\Bonjour\\mDNSResponder.exe:*:Enabled:Bonjour"
"C:\\Programme\\Skype\\Phone\\Skype.exe"="C:\\Programme\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"="C:\\Programme\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"="C:\\Programme\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

Remaining Files :

C:\WINDOWS\system32\TDSSoiqh.dll Found
C:\WINDOWS\system32\TDSSnrse.dll Found
C:\WINDOWS\system32\TDSSliqp.dll Found
C:\WINDOWS\system32\TDSSciou.dll Found

File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes :

Thu 27 Mar 2008 4,348 ..SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\DRMv1.bak"
Sat 15 Mar 2008 0 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\Cache\Indiv01.tmp"

Finished!

Bei MBAM ist ebenfalls das Problem, das der Download nicht startet, und blockiert wird. Könntest du das auch umbennen und irgendwo hochladen?

MBAM download umbenannt nach 1234

Entferne C:\SDFix\backups Papierkorb leeren

Danke !
So den Quickscan habe ich durchlaufen lassen, wenn ich nun nach Updates suchen will gibt er mir folgende Fehlermeldung aus:

Zitat:

Aktualisierung fehlgeschlagen. vergewissern sie sich das sie mit dem Internet verbunden sind und ihre Firewall Malwarebyte's Antimalware den Zugriff auf das Internett erlaubt.

Zugriff aufs Internet müsste eigentlich bestehen, die Firewall habe ich für das Update temporär deaktiviert, die Fehlermeldung bleibt die gleiche.

Ich werde es nun ersteinmal mit einem Neustart des Systems versuche, und hoffen das es danach geht.

Hier der Log des Quickscan:

Zitat:

Malwarebytes' Anti-Malware 1.31
Datenbank Version: 1456
Windows 5.1.2600 Service Pack 3

15.12.2008 21:42:36
mbam-log-2008-12-15 (21-42-36).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 50719
Laufzeit: 5 minute(s), 3 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 21

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: c:\windows\system32\ -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: system32\ -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\TDSSciou.dll (Trojan.TDSS) -> Delete on reboot.
C:\WINDOWS\system32\TDSSliqp.dll (Trojan.TDSS) -> Delete on reboot.
C:\WINDOWS\system32\TDSSnrse.dll (Trojan.TDSS) -> Delete on reboot.
C:\WINDOWS\system32\TDSSoiqh.dll (Trojan.TDSS) -> Delete on reboot.
C:\WINDOWS\system32\drivers\TDSSpqxt.sys (Trojan.TDSS) -> Delete on reboot.
C:\WINDOWS\Temp\TDSS654f.tmp (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\TDSS7afb.tmp (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\TDSS8942.tmp (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\TDSS8fc1.tmp (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\TDSS953b.tmp (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\TDSS9e9e.tmp (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\TDSSa974.tmp (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\TDSSd6c2.tmp (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\TDSSdcf0.tmp (Trojan.TDSS) -> Delete on reboot.
C:\WINDOWS\Temp\TDSSe1ac.tmp (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\TDSSe6ae.tmp (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\TDSSede0.tmp (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\TDSSosvn.dat (Malware.Trace) -> Delete on reboot.
C:\WINDOWS\system32\ (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\TDSSfpmp.dll (Rootkit.Agent) -> Delete on reboot.
C:\WINDOWS\system32\TDSStkdv.log (Trojan.TDSS) -> Delete on reboot.

Das mit dem Updaten hatte ich Heutemittag auch,anscheinend liegt/lag die Seite unter feuer :snyper:

Ich habe den Downloadspiegel auf die Malware.org umgestellt, von da funktioniert der Download. System wird gerade getestet. Logfile setze ich dann rein sobald der Scan abgeschlossen ist.

Beim Neustarten gab es eine Fehlermeldung das Malwarebytes Antimalware nicht gefunden werden konnte. Ich denke das liegt aber daran das ich die exe umbenennen musste um das Programm überhaupt starten zu können.

Nachdem alles wieder ein bisschen in Ordnung ist kannst du diese 1234 ja wieder entfernen und die richtige downloaden :)

So, hier nun auch noch einmal die Logfile vom kompletten System Scan:

Zitat:

Malwarebytes' Anti-Malware 1.31
Datenbank Version: 1502
Windows 5.1.2600 Service Pack 3

16.12.2008 00:02:42
mbam-log-2008-12-16 (00-02-42).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|G:\|)
Durchsuchte Objekte: 148291
Laufzeit: 1 hour(s), 50 minute(s), 44 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\Temp\TDSS7e62.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Vincent Shezar\Lokale Einstellungen\Temp\TDSS9748.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Vincent Shezar\Lokale Einstellungen\Temp\TDSS974d.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Vincent Shezar\Lokale Einstellungen\Temp\TDSS9761.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Download ComboFix und speichert es auf den Desktop!

Schliesse alle Programme und Anwendungen mit Hintergrundwächtern inklusive der Firewall + Antivirusprogramme müssen deaktiviert sein

Starte combofix.exe
Note:
Wenn ComboFix schon eher benutzt worden ist, kann es sein das eine Meldung kommt das es ein Update gibt
Lass es zu das ComboFix ge-updatet wird
Klicke OK im "NirCmd") Fenster klicke ja um Combofix zu starten

Folge den Instruktionen in das Fenster

Während Combofix lauft NICHT ins Fenster klicken sonst erfriert dein Rechner

Wenn das Tool fertig ist,oeffnet sich ein logfile (C:\ combofix.txt)
nun das KOMPLETTE Log mit rechtem Mausklick ab kopieren und ins Forum mit rechtem Mausklick "einfügen"
Befolge diese Anleitung und installiere auch den Wiederherstellungskonsole
zusammen mit ein neuen log von HijackThis
Befolge diese Anleitung und installiere auch den Wiederherstellungskonsole

So hier die Combofix Logfile:

Zitat:

ComboFix 08-12-15.08 - Vincent Shezar 2008-12-16 19:53:41.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.1023.610 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Vincent Shezar\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_TDSSSERV.SYS
-------\Service_TDSSserv.sys

((((((((((((((((((((((( Dateien erstellt von 2008-11-16 bis 2008-12-16 ))))))))))))))))))))))))))))))
.

2008-12-15 21:29 . 2008-12-15 21:29 <DIR> d-------- c:\dokumente und einstellungen\Vincent Shezar\Anwendungsdaten\Malwarebytes
2008-12-15 21:27 . 2008-12-15 21:28 <DIR> d-------- c:\programme\1234
2008-12-15 21:27 . 2008-12-15 21:27 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-12-15 21:27 . 2008-12-03 19:59 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2008-12-15 21:27 . 2008-12-03 19:59 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2008-12-15 19:32 . 2008-12-15 19:32 580,096 --a--c--- c:\windows\system32\dllcache\user32.dll
2008-12-15 19:28 . 2008-12-15 19:28 <DIR> d-------- c:\windows\ERUNT
2008-12-15 19:26 . 2008-03-15 11:38 <DIR> d--h----- c:\dokumente und einstellungen\Administrator.VINCENT.000\Vorlagen
2008-12-15 19:26 . 2008-03-15 11:33 <DIR> dr------- c:\dokumente und einstellungen\Administrator.VINCENT.000\Startmenü
2008-12-15 19:26 . 2008-03-15 11:33 <DIR> d--h----- c:\dokumente und einstellungen\Administrator.VINCENT.000\Netzwerkumgebung
2008-12-15 19:26 . 2008-03-15 11:33 <DIR> d--h----- c:\dokumente und einstellungen\Administrator.VINCENT.000\Lokale Einstellungen
2008-12-15 19:26 . 2008-03-15 11:33 <DIR> d-------- c:\dokumente und einstellungen\Administrator.VINCENT.000\Favoriten
2008-12-15 19:26 . 2008-03-15 11:33 <DIR> d--h----- c:\dokumente und einstellungen\Administrator.VINCENT.000\Druckumgebung
2008-12-15 19:26 . 2008-03-15 11:33 <DIR> dr-h----- c:\dokumente und einstellungen\Administrator.VINCENT.000\Anwendungsdaten
2008-12-15 19:26 . 2008-12-15 19:26 <DIR> d-------- c:\dokumente und einstellungen\Administrator.VINCENT.000
2008-12-15 19:12 . 2008-12-15 21:22 <DIR> d-------- C:\SDFix
2008-12-15 00:10 . 2008-12-15 00:32 <DIR> d-------- c:\programme\Security Task Manager
2008-12-15 00:10 . 2008-12-15 00:28 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan
2008-12-14 11:39 . 2008-03-15 11:38 <DIR> d--h----- c:\dokumente und einstellungen\Administrator.VINCENT\Vorlagen
2008-12-14 11:39 . 2008-03-15 11:33 <DIR> dr------- c:\dokumente und einstellungen\Administrator.VINCENT\Startmenü
2008-12-14 11:39 . 2008-03-15 11:33 <DIR> d--h----- c:\dokumente und einstellungen\Administrator.VINCENT\Netzwerkumgebung
2008-12-14 11:39 . 2008-03-15 11:33 <DIR> d--h----- c:\dokumente und einstellungen\Administrator.VINCENT\Lokale Einstellungen
2008-12-14 11:39 . 2008-03-15 11:33 <DIR> d-------- c:\dokumente und einstellungen\Administrator.VINCENT\Favoriten
2008-12-14 11:39 . 2008-03-15 11:33 <DIR> d--h----- c:\dokumente und einstellungen\Administrator.VINCENT\Druckumgebung
2008-12-14 11:39 . 2008-12-14 11:39 <DIR> dr-h----- c:\dokumente und einstellungen\Administrator.VINCENT\Anwendungsdaten
2008-12-14 11:39 . 2008-12-14 11:39 <DIR> d-------- c:\dokumente und einstellungen\Administrator.VINCENT
2008-12-13 23:40 . 2008-09-08 11:41 333,824 -----c--- c:\windows\system32\dllcache\srv.sys
2008-12-13 23:39 . 2008-09-15 16:24 1,846,528 -----c--- c:\windows\system32\dllcache\win32k.sys
2008-12-13 23:38 . 2008-08-14 14:19 2,191,488 -----c--- c:\windows\system32\dllcache\ntoskrnl.exe
2008-12-13 23:38 . 2008-08-14 14:19 2,147,840 -----c--- c:\windows\system32\dllcache\ntkrnlmp.exe
2008-12-13 23:38 . 2008-08-14 14:19 2,068,352 -----c--- c:\windows\system32\dllcache\ntkrnlpa.exe
2008-12-13 23:38 . 2008-08-14 14:19 2,026,496 -----c--- c:\windows\system32\dllcache\ntkrpamp.exe
2008-12-13 23:38 . 2008-10-24 12:21 455,296 -----c--- c:\windows\system32\dllcache\mrxsmb.sys
2008-12-13 23:37 . 2008-09-04 18:15 1,106,944 -----c--- c:\windows\system32\dllcache\msxml3.dll
2008-12-13 23:37 . 2008-10-15 17:35 337,408 -----c--- c:\windows\system32\dllcache\netapi32.dll
2008-12-13 23:29 . 2004-08-04 08:57 221,184 --a------ c:\windows\system32\wmpns.dll
2008-12-13 23:10 . 2008-12-13 23:10 <DIR> d-------- c:\windows\system32\de-de
2008-12-13 23:10 . 2008-12-13 23:10 <DIR> d-------- c:\windows\system32\de
2008-12-13 23:10 . 2008-12-13 23:10 <DIR> d-------- c:\windows\l2schemas
2008-12-12 17:51 . 2008-12-12 17:51 <DIR> dr------- c:\dokumente und einstellungen\Administrator\Eigene Dateien
2008-12-12 17:42 . 2008-03-15 11:38 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Vorlagen
2008-12-12 17:42 . 2008-03-15 11:33 <DIR> dr------- c:\dokumente und einstellungen\Administrator\Startmenü
2008-12-12 17:42 . 2008-03-15 11:33 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Netzwerkumgebung
2008-12-12 17:42 . 2008-03-15 11:33 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen
2008-12-12 17:42 . 2008-03-15 11:33 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Favoriten
2008-12-12 17:42 . 2008-03-15 11:33 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Druckumgebung
2008-12-12 17:42 . 2008-12-12 17:43 <DIR> dr-h----- c:\dokumente und einstellungen\Administrator\Anwendungsdaten
2008-12-12 17:42 . 2008-12-12 17:51 <DIR> d-------- c:\dokumente und einstellungen\Administrator

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-14 21:16 --------- d-----w c:\dokumente und einstellungen\Vincent Shezar\Anwendungsdaten\FileZilla
2008-12-14 12:46 --------- d-----w c:\programme\Spybot - Search & Destroy
2008-12-14 12:46 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-12-14 12:45 --------- d-----w c:\programme\Google
2008-12-13 14:27 --------- d-----w c:\dokumente und einstellungen\Vincent Shezar\Anwendungsdaten\OpenOffice.org2
2008-12-11 22:46 --------- d-----w c:\dokumente und einstellungen\Vincent Shezar\Anwendungsdaten\AVG7
2008-12-11 22:32 --------- d-----w c:\programme\SoundSpectrum
2008-12-11 22:31 --------- d-----w c:\programme\NCH Software
2008-12-02 21:49 --------- d-----w c:\dokumente und einstellungen\Vincent Shezar\Anwendungsdaten\mIRC
2008-11-26 23:31 --------- d-----w c:\dokumente und einstellungen\Vincent Shezar\Anwendungsdaten\Skype
2008-11-26 23:07 --------- d-----w c:\dokumente und einstellungen\Vincent Shezar\Anwendungsdaten\skypePM
2008-11-10 09:49 18,489 ----a-w c:\dokumente und einstellungen\Vincent Shezar\Anwendungsdaten\mdbu.bin
2008-11-05 18:00 --------- d-----w c:\programme\Panasonic
2008-11-05 17:49 --------- d--h--w c:\programme\InstallShield Installation Information
2008-11-04 21:20 --------- d-----w c:\programme\Skype
2008-11-04 21:20 --------- d-----w c:\programme\Gemeinsame Dateien\Skype
2008-11-04 21:20 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype
2008-10-29 20:02 --------- d-----w c:\programme\Mozilla Thunderbird
2008-10-29 19:44 --------- d-----w c:\dokumente und einstellungen\Vincent Shezar\Anwendungsdaten\Thunderbird
2008-10-24 11:21 455,296 ----a-w c:\windows\system32\drivers\mrxsmb.sys
2008-10-23 12:36 286,720 ----a-w c:\windows\system32\gdi32.dll
2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll
2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll
2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll
2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll
2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll
2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe
2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll
2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll
2008-10-16 13:06 268,648 ----a-w c:\windows\system32\mucltui.dll
2008-10-16 13:06 208,744 ----a-w c:\windows\system32\muweb.dll
2008-10-16 01:00 671,744 ----a-w c:\windows\system32\wininet.dll
2008-10-13 19:03 118,520 ------w c:\windows\system32\pxinsi64.exe
2008-10-13 19:03 116,472 ------w c:\windows\system32\pxcpyi64.exe
2008-10-08 18:03 9,216 ----a-w c:\windows\system32\avgwlntf.dll
2008-10-08 18:03 499,712 ----a-w c:\windows\system32\msvcp71.dll
2008-10-08 18:03 110,592 ----a-w c:\windows\system32\avgfwafu.dll
2008-10-03 10:03 247,326 ----a-w c:\windows\system32\strmdll.dll
2008-09-30 15:43 1,286,152 ----a-w c:\windows\system32\msxml4.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="c:\programme\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]
"ICQ"="d:\programme\ICQ6\ICQ.exe" [2008-09-01 173304]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-11-17 7700480]
"SSS2008 PasswordManagerFFAutoFill"="c:\programme\Steganos Privacy Suite 2008\PasswordManagerFFAutoFill.exe" [2007-11-29 21504]
"SSS2008 HotKeys"="c:\programme\Steganos Privacy Suite 2008\SteganosHotKeyService.exe" [2007-11-29 25088]
"AVG7_CC"="c:\progra~1\Steganos\INTERN~1\avgcc.exe" [2008-10-16 590848]
"Adobe Photo Downloader"="c:\programme\Adobe\Photoshop Elements 6.0\apdproxy.exe" [2007-09-10 67488]
"SoundMan"="SOUNDMAN.EXE" [2002-06-18 c:\windows\SOUNDMAN.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"AVG7_Run"="c:\progra~1\Steganos\INTERN~1\avgw.exe" [2008-10-08 219136]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgwlntf]
2008-10-08 19:03 9216 c:\windows\system32\avgwlntf.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"NvMediaCenter"=RUNDLL32.EXE c:\windows\system32\NvMcTray.dll,NvTaskbarInit
"nwiz"=nwiz.exe /install

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"d:\\Programme\\ICQ6\\ICQ.exe"=
"d:\\Programme\\EA Games\\Ultima Online Mondain's Legacy\\client.exe"=
"d:\\Programme\\mIRC\\mirc.exe"=
"c:\\Programme\\Windows Media Player\\wmplayer.exe"=
"d:\\Programme\\Battelfield\\bfvietnam.exe"=
"d:\\Programme\\Opera\\Opera.exe"=
"c:\\WINDOWS\\system32\\java.exe"=
"c:\\Programme\\Steganos\\Internet Security 2008\\avginet.exe"=
"c:\\Programme\\Steganos\\Internet Security 2008\\avgamsvr.exe"=
"c:\\Programme\\Steganos\\Internet Security 2008\\avgcc.exe"=
"c:\\Programme\\Steganos\\Internet Security 2008\\avgemc.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\livecall.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"1723:TCP"= 1723:TCP:@xpsp2res.dll,-22015
"1701:UDP"= 1701:UDP:@xpsp2res.dll,-22016
"500:UDP"= 500:UDP:@xpsp2res.dll,-22017

R1 SLEE_16_DRIVER;Steganos Live Encryption Engine 16 [Driver];\??\c:\windows\system32\drivers\Sleen16.sys [2007-10-11 12:24:00 79104]
R2 AdobeActiveFileMonitor6.0;Adobe Active File Monitor V6;c:\programme\Adobe\Photoshop Elements 6.0\PhotoshopElementsFileAgent.exe [2007-09-10 124832]
S2 IcRecUsb;IC Recorder Driver;c:\windows\system32\Drivers\IcRecUsb.sys [2008-11-05 17432]
S2 SatSrv;Steganos AntiTheft;c:\windows\system32\\SatSrv.exe []
S3 zlportio;zlportio;\??\d:\programme\UltraStar Deluxe\zlportio.sys []
.
Inhalt des "geplante Tasks" Ordners

2008-10-15 c:\windows\Tasks\20081014_231700_Vincent Shezar.job
- d:\backitup\Nero BackItUp\BackItUp.exe [2007-05-24 16:37]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKCU-Run-SpybotSD TeaTimer - c:\programme\Spybot - Search & Destroy\TeaTimer.exe

.
------- Zusätzlicher Suchlauf -------
.
uInternet Settings,ProxyOverride = *.local
LSP: c:\windows\system32\avgfwafu.dll

O16 -: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
c:\windows\Downloaded Program Files\DirectAnimation Java Classes.osd

O16 -: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
c:\windows\Downloaded Program Files\Microsoft XML Parser for Java.osd

c:\programme\Samsung\Samsung PC Studio 3\unicows.dll - c:\windows\Downloaded Program Files\ImageUploader5.ocx
O16 -: {BA162249-F2C5-4851-8ADC-FC58CB424243}
hxxp://static.pe.schuelervz.net/photouploader/ImageUploader5.cab?nocache=1208555271
c:\windows\Downloaded Program Files\ImageUploader5.inf
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-16 19:59:09
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(496)
c:\windows\system32\avgwlntf.dll

- - - - - - - > 'lsass.exe'(560)
c:\windows\system32\avgfwafu.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\progra~1\Steganos\INTERN~1\avgrssvc.exe
c:\programme\Steganos\Internet Security 2008\avgamsvr.exe
c:\programme\Steganos\Internet Security 2008\avgupsvc.exe
c:\progra~1\Steganos\INTERN~1\avgrssvc.exe
c:\programme\Steganos\Internet Security 2008\avgemc.exe
c:\windows\system32\nvsvc32.exe
c:\programme\Steganos\Internet Security 2008\avgfwsrv.exe
c:\programme\Steganos\Internet Security 2008\avgcc.exe
c:\windows\system32\wscntfy.exe
c:\programme\Windows Live\Messenger\usnsvc.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-12-16 20:04:21 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-12-16 19:04:18

Vor Suchlauf: 2.609.078.272 Bytes frei
Nach Suchlauf: 2,832,658,432 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
d:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn

219 --- E O F --- 2008-12-15 16:47:16

Da das System zurzeit bei laufendem Opera browser sehr instabil ist, und sehr häufig abstürzt werde ich den HiJack This log nachträgich rein editieren, bevor hier wieder alles abstürzt.

EDIT:

So hier nun der neue HiJack This Log:

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:16:43, on 16.12.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\Steganos\INTERN~1\avgrssvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Steganos Privacy Suite 2008\PasswordManagerFFAutoFill.exe
C:\Programme\Steganos Privacy Suite 2008\SteganosHotKeyService.exe
C:\PROGRA~1\Steganos\INTERN~1\avgcc.exe
C:\Programme\Adobe\Photoshop Elements 6.0\apdproxy.exe
C:\Programme\Adobe\Photoshop Elements 6.0\PhotoshopElementsFileAgent.exe
C:\PROGRA~1\Steganos\INTERN~1\avgamsvr.exe
C:\PROGRA~1\Steganos\INTERN~1\avgupsvc.exe
C:\PROGRA~1\Steganos\INTERN~1\avgrssvc.exe
C:\PROGRA~1\Steganos\INTERN~1\avgemc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\Steganos\INTERN~1\avgfwsrv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\***\Eigene Dateien\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Steganos Password Manager AutoFill - {1427A821-7B93-4F08-9A34-9FA03A3D93DB} - C:\Programme\Steganos Privacy Suite 2008\PasswordManagerBHO.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SSS2008 PasswordManagerFFAutoFill] "C:\Programme\Steganos Privacy Suite 2008\PasswordManagerFFAutoFill.exe"
O4 - HKLM\..\Run: [SSS2008 HotKeys] "C:\Programme\Steganos Privacy Suite 2008\SteganosHotKeyService.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Steganos\INTERN~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Elements 6.0\apdproxy.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ICQ] "D:\Programme\ICQ6\ICQ.exe" silent
O4 - HKUS\S-1-5-18\..\Run: [AVG7_Run] C:\PROGRA~1\Steganos\INTERN~1\avgw.exe /RUNONCE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [AVG7_Run] C:\PROGRA~1\Steganos\INTERN~1\avgw.exe /RUNONCE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1205578268775
O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - http://static.pe.schuelervz.net/photouploader/ImageUploader5.cab?nocache=1208555271
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: avgwlntf - C:\WINDOWS\SYSTEM32\avgwlntf.dll
O23 - Service: Adobe Active File Monitor V6 (AdobeActiveFileMonitor6.0) - Unknown owner - C:\Programme\Adobe\Photoshop Elements 6.0\PhotoshopElementsFileAgent.exe
O23 - Service: Steganos Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Steganos\INTERN~1\avgamsvr.exe
O23 - Service: Steganos Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Steganos\INTERN~1\avgupsvc.exe
O23 - Service: Steganos Resident Shield Service (AvgCoreSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Steganos\INTERN~1\avgrssvc.exe
O23 - Service: Steganos E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Steganos\INTERN~1\avgemc.exe
O23 - Service: Steganos Firewall (AVGFwSrv) - GRISOFT, s.r.o. - C:\PROGRA~1\Steganos\INTERN~1\avgfwsrv.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Unknown owner - C:\Programme\Bonjour\mDNSResponder.exe (file missing)
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NBService - Nero AG - D:\BackItUp\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PLFlash DeviceIoControl Service - Unknown owner - C:\WINDOWS\system32\IoctlSvc.exe (file missing)
O23 - Service: Steganos AntiTheft (SatSrv) - Unknown owner - C:\WINDOWS\system32\\SatSrv.exe (file missing)

--
End of file - 6733 bytes

ich habe das selbe problem.

habe sdfix im abgesicherten modus durchlaufen lassen, hier das log:

Code:

SDFix: Version 1.240 

Run by Administrator on 16.12.2008 at 19:06
 

Microsoft Windows XP [Version 5.1.2600]

Running From: E:\SDFix
 
 Checking Services :
 
 

Restoring Default Security Values

Restoring Default Hosts File
 

Rebooting
 
 
 Checking Files : 
 

Trojan Files Found:
 

E:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\TMP1.tmp - Deleted

E:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\TMP11.tmp - Deleted

E:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\TMP12.tmp - Deleted

E:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\TMP13.tmp - Deleted

E:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\TMP2.tmp - Deleted

E:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\TMP3.tmp - Deleted

E:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\TMP4.tmp - Deleted

E:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\TMP6.tmp - Deleted

E:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\TMP7.tmp - Deleted

E:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\TMP8.tmp - Deleted

E:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\TMPA.tmp - Deleted

E:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\TMPB.tmp - Deleted

E:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\TMPC.tmp - Deleted

E:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\TMPD.tmp - Deleted

E:\WINDOWS\system32\TDSSnrsr.dll - Deleted

E:\WINDOWS\system32\TDSSriqp.dll - Deleted

E:\WINDOWS\system32\TDSScfum.dll - Deleted

E:\WINDOWS\system32\TDSSlxwp.dll - Deleted

E:\WINDOWS\system32\TDSSosvd.dat - Deleted

E:\WINDOWS\system32\TDSStkdv.log - Deleted
 
 

Could Not Remove E:\WINDOWS\system32\TDSSofxh.dll
 
 
 

Removing Temp Files
 
 ADS Check :

 
 
 

                                 Final Check :
 

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-12-16 19:19:07

Windows 5.1.2600 Service Pack 3 NTFS
 

scanning hidden processes ...
 

scanning hidden services & system hive ...
 

disk error: E:\WINDOWS\system32\config\system, 0

scanning hidden registry entries ...
 

disk error: E:\WINDOWS\system32\config\software, 0

disk error: E:\Dokumente und Einstellungen\Administrator\ntuser.dat, 0

scanning hidden files ...
 

disk error: E:\WINDOWS\
 

please note that you need administrator rights to perform deep scan
 
 Remaining Services :
 
 
 
 

Authorized Application Key Export:
 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

"E:\\Programme\\ICQ6\\ICQ.exe"="E:\\Programme\\ICQ6\\ICQ.exe:*:Enabled:ICQ6"

"E:\\Dokumente und Einstellungen\\Administrator\\Anwendungsdaten\\U3\\3514630A09430E82\\0DE4F643-C398-46ec-9339-2362F2311932\\Exec\\Skype.exe"="E:\\Dokumente und Einstellungen\\Administrator\\Anwendungsdaten\\U3\\3514630A09430E82\\0DE4F643-C398-46ec-9339-2362F2311932\\Exec\\Skype.exe:*:Enabled:Skype"

"E:\\Programme\\EA GAMES\\Die Schlacht um Mittelerde(tm)\\game.dat"="E:\\Programme\\EA GAMES\\Die Schlacht um Mittelerde(tm)\\game.dat:*:Enabled:Die Schlacht um Mittelerde (tm)"
 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
 
 Remaining Files :
 

E:\WINDOWS\system32\TDSSofxh.dll Found
 

File Backups: - E:\SDFix\backups\backups.zip
 
 Files with Hidden Attributes :
 

Sun 14 Sep 2008             0 A.SH. --- "E:\Dokumente und Einstellungen\All Users\DRM\Cache\Indiv01.tmp"

Tue 23 Oct 2007     3,350,528 A..H. --- "E:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\U3\temp\Launchpad Removal.exe"
 
 Finished!

dann hab ich anti-malware benutzt (komplett scan), log:

Code:

Malwarebytes' Anti-Malware 1.31

Datenbank Version: 1507

Windows 5.1.2600 Service Pack 3
 

16.12.2008 20:20:37

mbam-log-2008-12-16 (20-20-37).txt
 

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)

Durchsuchte Objekte: 148207

Laufzeit: 47 minute(s), 49 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 3

Infizierte Registrierungsschlüssel: 15

Infizierte Registrierungswerte: 2

Infizierte Dateiobjekte der Registrierung: 2

Infizierte Verzeichnisse: 0

Infizierte Dateien: 18
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

E:\WINDOWS\system32\oqwqujub.dll (Trojan.Vundo.H) -> Delete on reboot.

E:\WINDOWS\system32\yayaXRhf.dll (Trojan.Vundo.H) -> Delete on reboot.

E:\WINDOWS\system32\luintc.dll (Trojan.Vundo) -> Delete on reboot.
 

Infizierte Registrierungsschlüssel:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{085b60e5-d7d1-43f7-bb79-737157ab3150} (Trojan.Vundo.H) -> Delete on reboot.

HKEY_CLASSES_ROOT\CLSID\{085b60e5-d7d1-43f7-bb79-737157ab3150} (Trojan.Vundo.H) -> Delete on reboot.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{19ae3c1f-55f7-4380-9ea0-5183d8fc7c77} (Trojan.Vundo.H) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\CLSID\{19ae3c1f-55f7-4380-9ea0-5183d8fc7c77} (Trojan.Vundo.H) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{037c7b8a-151a-49e6-baed-cc05fcb50328} (Trojan.BHO) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{19ae3c1f-55f7-4380-9ea0-5183d8fc7c77} (Trojan.Vundo) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{085b60e5-d7d1-43f7-bb79-737157ab3150} (Trojan.Vundo.H) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\instkey (Trojan.Vundo) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.
 

Infizierte Registrierungswerte:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\887407b3 (Trojan.Vundo.H) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\65824453710840004453420047652202 (Rogue.A360Antivirus) -> Quarantined and deleted successfully.
 

Infizierte Dateiobjekte der Registrierung:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo.H) -> Data: e:\windows\system32\yayaxrhf -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo.H) -> Data: e:\windows\system32\yayaxrhf  -> Delete on reboot.
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

E:\WINDOWS\system32\yayaXRhf.dll (Trojan.Vundo.H) -> Delete on reboot.

E:\WINDOWS\system32\fhRXayay.ini (Trojan.Vundo.H) -> Delete on reboot.

E:\WINDOWS\system32\fhRXayay.ini2 (Trojan.Vundo.H) -> Quarantined and deleted successfully.

E:\WINDOWS\system32\luintc.dll (Trojan.Vundo.H) -> Delete on reboot.

E:\WINDOWS\system32\oqwqujub.dll (Trojan.Vundo.H) -> Delete on reboot.

E:\WINDOWS\system32\bujuqwqo.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.

E:\System Volume Information\_restore{5C20F3F2-2050-4C1D-B7A7-22083026E8D5}\RP240\A0045569.dll (Trojan.Vundo) -> Quarantined and deleted successfully.

E:\WINDOWS\system32\cmdow.exe (Malware.Tool) -> Quarantined and deleted successfully.

E:\WINDOWS\system32\TDSSofxh.dll (Trojan.TDSS) -> Delete on reboot.

E:\WINDOWS\system32\qebedefp.dll (Trojan.Vundo) -> Quarantined and deleted successfully.

E:\WINDOWS\system32\euziiv.dll (Trojan.Vundo) -> Quarantined and deleted successfully.

E:\WINDOWS\system32\dicpxxkw.dll (Trojan.Vundo) -> Quarantined and deleted successfully.

E:\WINDOWS\system32\drivers\TDSSmhxt.sys (Trojan.TDSS) -> Delete on reboot.

E:\WINDOWS\Temp\TDSS14bb.tmp (Trojan.TDSS) -> Quarantined and deleted successfully.

E:\WINDOWS\Temp\TDSS1ebe.tmp (Trojan.TDSS) -> Quarantined and deleted successfully.

E:\WINDOWS\Temp\TDSS296c.tmp (Trojan.TDSS) -> Quarantined and deleted successfully.

E:\WINDOWS\Temp\TDSS654.tmp (Trojan.TDSS) -> Quarantined and deleted successfully.

E:\WINDOWS\Temp\TDSSe24.tmp (Trojan.TDSS) -> Quarantined and deleted successfully.

edit: nach nem neustart hab ich nochmal anti-malware drüber laufen lassen:

Code:

Malwarebytes' Anti-Malware 1.31

Datenbank Version: 1507

Windows 5.1.2600 Service Pack 3
 

16.12.2008 21:08:55

mbam-log-2008-12-16 (21-08-55).txt
 

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)

Durchsuchte Objekte: 147822

Laufzeit: 41 minute(s), 13 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 2
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

E:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\TDSSbf3f.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.

E:\WINDOWS\Temp\TDSSf54c.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.

und dann hijackthis:

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 21:09:43, on 16.12.2008

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16735)

Boot mode: Normal
 

Running processes:

E:\WINDOWS\System32\smss.exe

E:\WINDOWS\system32\winlogon.exe

E:\WINDOWS\system32\services.exe

E:\WINDOWS\system32\lsass.exe

E:\WINDOWS\system32\svchost.exe

E:\WINDOWS\System32\svchost.exe

E:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe

E:\WINDOWS\system32\spoolsv.exe

E:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

E:\WINDOWS\Explorer.EXE

E:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

E:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe

E:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe

E:\WINDOWS\system32\nvsvc32.exe

E:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

E:\WINDOWS\system32\svchost.exe

E:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe

E:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe

E:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe

E:\WINDOWS\system32\rundll32.exe

E:\WINDOWS\system32\RUNDLL32.EXE

E:\Programme\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe

E:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe

E:\Programme\CyberLink\PowerDVD\PDVDServ.exe

E:\Programme\Java\jre1.5.0_06\bin\jusched.exe

E:\Programme\QuickTime\qttask.exe

E:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe

E:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE

E:\WINDOWS\system32\ctfmon.exe

E:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe

E:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe

E:\Programme\Messenger\msmsgs.exe

E:\Programme\TextBridge Classic 2.0\Ereg\REMIND32.EXE

E:\WINDOWS\system32\wscntfy.exe

E:\Programme\Hewlett-Packard\Shared\HpqToaster.exe

E:\WINDOWS\system32\rundll32.exe

E:\max\HiJackThis\HijackThis.exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h*p://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h*p://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h*p://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h*p://go.microsoft.com/fwlink/?LinkId=69157

R3 - URLSearchHook: (no name) -  - (no file)

R3 - URLSearchHook: (no name) - {97ac393a-a525-4cd0-95cf-019b028cc7a4} - (no file)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - E:\Programme\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - e:\programme\google\googletoolbar2.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - E:\Programme\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - E:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - e:\programme\google\googletoolbar2.dll

O3 - Toolbar: (no name) - {97ac393a-a525-4cd0-95cf-019b028cc7a4} - (no file)

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet

O4 - HKLM\..\Run: [NVHotkey] rundll32.exe nvHotkey.dll,Start

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE E:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] CHDAudPropShortcut.exe

O4 - HKLM\..\Run: [UCam_Menu] "E:\Programme\CyberLink\YouCam\MUITransfer\MUIStartMenu.exe" "E:\Programme\CyberLink\YouCam" update "Software\CyberLink\YouCam\1.0"

O4 - HKLM\..\Run: [hpWirelessAssistant] E:\Programme\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe

O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "E:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] E:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [RemoteControl] E:\Programme\CyberLink\PowerDVD\PDVDServ.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] E:\Programme\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [QuickTime Task] "E:\Programme\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [avgnt] "E:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [InstantAccess] E:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE /h

O4 - HKLM\..\Run: [RegisterDropHandler] E:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE

O4 - HKLM\..\RunServices: [RegisterDropHandler] E:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE

O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [LightScribe Control Panel] E:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe -hidden

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "E:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [MSMSGS] "E:\Programme\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [AlcoholAutomount] "E:\Programme\Alcohol Soft\Alcohol 120\axcmd.exe" /automount

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: reminder-ScanSoft Produkt Registrierung.lnk = E:\Programme\TextBridge Classic 2.0\Ereg\REMIND32.EXE

O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://E:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://E:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://E:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://E:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: In Adobe PDF konvertieren - res://E:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://E:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - E:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm

O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://E:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://E:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Programme\ICQ6\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Programme\ICQ6\ICQ.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe

O20 - AppInit_DLLs: luintc.dll

O23 - Service: Adobe LM Service - Adobe Systems - E:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - E:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - E:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - E:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe

O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - E:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe

O23 - Service: Google Updater Service (gusvc) - Google - E:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - E:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - E:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - E:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe

O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - E:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - E:\WINDOWS\system32\nvsvc32.exe

O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - E:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - E:\Programme\TuneUpUtilities2006\WinStylerThemeSvc.exe
 

--

End of file - 9954 bytes

ist mein system jetzt virenfrei? wie kann ich mir da sicher sein?

Bitte wie in den Boardregeln beschrieben ein neues Thema aufmachen, damit es nicht zu Verwirrungen führt.

Ich bin jetzt über einen anderen Rechner drinne, bei mir ist das System bei einem laufenden Browser (egal ob IE oder Opera) dermaßem instabil das es keine 2 Minuten bei laufendem Browser übersteht, und immer abstürzt.