Trojaner-Board - Log nach eigener Behebung von Malware Defense zur Prüfung

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Log nach eigener Behebung von Malware Defense zur Prüfung (https://www.trojaner-board.de/80921-log-eigener-behebung-malware-defense-pruefung.html)

Log nach eigener Behebung von Malware Defense zur Prüfung

Hallo Zusammen,

ich bitte um Kontrolle, ob ich bei der Behebung eines Malware-Befalls alles bedacht habe.

1. Das Problem:

Nachdem ich mir heute morgen durch eigene Dummheit einen Trojaner und Malware Defense (Fraud) eingefangen hatte wurden direkt Spybot und Avira lahmgelegt.

Mein erster Versuch Malwarebytes runterzuladen schlug fehl. (setup war nicht startbar... inzwischen weis ich, dass eine Umbenennung hier hätte helfen können)

2. Meine Behebung:

Nachdem ich mir SpyHunter (vermutlich war dies überflüssig, war aber in Panik heute morgen) und auch CCleaner besorgt hatte und ein wenig erste Aufräumarbeiten geleistet hatte (Maware Defense entfernt), funktionierte auch die Installation von Malwarebytes.

Nach erstem Scan mit Malwarebytes (und weiterer Behebung von Malware) liefen auch meine bis dato einzigen Programme Avira und Spybot wieder.

Nachdem alle Programme auf dem aktuellsten Stand sind und zahlreiche Scans (und Reboots) gelaufen sind hoffe ich, erstmal wieder mein System sauber zu haben.

3. Log von Hijackthis (aktuell):

Code:

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\Avira\AntiVir Desktop\sched.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\RTHDCPL.EXE

C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe

C:\Programme\Avira\AntiVir Desktop\avgnt.exe

C:\Programme\Microsoft IntelliType Pro\itype.exe

C:\WINDOWS\system32\RUNDLL32.EXE

E:\Programme\Itunes\iTunesHelper.exe

C:\Programme\Enigma Software Group\SpyHunter\SpyHunter3.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\DNA\btdna.exe

C:\Programme\Pando Networks\Media Booster\PMB.exe

C:\Programme\Microsoft IntelliType Pro\dpupdchk.exe

C:\Programme\Avira\AntiVir Desktop\avguard.exe

C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Programme\Bonjour\mDNSResponder.exe

C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe

C:\WINDOWS\system32\svchost.exe

C:\Programme\iPod\bin\iPodService.exe

C:\WINDOWS\System32\alg.exe

E:\Programme\MozillaFirefox\firefox.exe

C:\Programme\T-Online\T-Online_Software_6\eMail\Mail.exe

C:\PROGRA~1\T-Online\T-ONLI~2\BASIS-~1\Basis2\PROFIL~1.EXE

C:\PROGRA~1\T-Online\T-ONLI~2\BASIS-~1\Basis2\kernel.exe

C:\PROGRA~1\T-Online\T-ONLI~2\BASIS-~1\Basis2\sc_watch.exe

C:\PROGRA~1\T-Online\T-ONLI~2\Notifier\Notifier.exe

C:\Programme\Gemeinsame Dateien\Marmiko Shared\MInfraIS\MInfraIS.exe

C:\WINDOWS\system32\msiexec.exe

C:\Programme\TrendMicro\HiJackThis\HiJackThis.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - (no file)

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe

O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart

O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [itype] "C:\Programme\Microsoft IntelliType Pro\itype.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [iTunesHelper] "E:\Programme\Itunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [SpyHunter Security Suite] C:\Programme\Enigma Software Group\SpyHunter\SpyHunter3.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Programme\DNA\btdna.exe"

O4 - HKCU\..\Run: [ImpulseFastStart] "C:\Programme\Stardock\Impulse\Impulse.exe" /fastload

O4 - HKCU\..\Run: [Steam] "E:\Spiele\Steam\Steam.exe" -silent

O4 - HKCU\..\Run: [Pando Media Booster] C:\Programme\Pando Networks\Media Booster\PMB.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-19\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll

O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe

O23 - Service: Dragon Age: Origins - Content Updater (DAUpdaterSvc) - BioWare - E:\Spiele\Dragon Age\bin_ship\DAUpdaterSvc.Service.exe

O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe

O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
 

--

End of file - 7300 bytes

4. weitere Systeminfos: (falls erforderlich)

Intel(R) Core(TM)2 Quad CPU Q9550 @ 2.83GHz
NVIDIA GeForce GTX 280 (Driver: nv4_disp.dll 191.07 [6.14.11.9107])
Realtek HD Audio output (Driver: RtkHDAud.sys [5.10.0.5628])
Microsoft Windows XP Professional Service Pack 3 (5.1.2600)
DirectX 9.0c (Jun2008)

System läuft an einem Router, kein WLAN.

Browser ist Firefox, Firewall habe ich die Windows Standard Firewall

5. Fragen

Muß ich noch was machen, um mein System aufzuräumen?

Gibt es evtl. Konflikte, da nun Spybot und Spyhunter installiert sind?

Nützt die Immunisierung von Spybot eigentlich was?

Vielen Dank für Eure Hilfe!

Hallo und :hallo:

1.) Logfiles postet man immer vollständig!

2.) Das Log von Malwarebytes fehlt

3.) Bitte den CCleaner ausführen und Logfiles mit RSIT erstellen und posten (vollständig!!)

Guten Morgen und schonmal Danke für die Antwort! :)

Okay, anbei die Logs von Malwarebytes:

1. Quickscan von heute morgen:

Code:

Malwarebytes' Anti-Malware 1.42

Datenbank Version: 3443

Windows 5.1.2600 Service Pack 3

Internet Explorer 8.0.6001.18702
 

29.12.2009 08:10:43

mbam-log-2009-12-29 (08-10-43).txt
 

Scan-Methode: Quick-Scan

Durchsuchte Objekte: 102276

Laufzeit: 2 minute(s), 14 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 0
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

(Keine bösartigen Objekte gefunden)

2. Vollständiger Scan gestern nach meinen Bemühungen:

Code:

Malwarebytes' Anti-Malware 1.42

Datenbank Version: 3443

Windows 5.1.2600 Service Pack 3

Internet Explorer 8.0.6001.18702
 

28.12.2009 13:23:01

mbam-log-2009-12-28 (13-23-01).txt
 

Scan-Methode: Vollständiger Scan (C:\|E:\|F:\|)

Durchsuchte Objekte: 320782

Laufzeit: 41 minute(s), 47 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 0
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

(Keine bösartigen Objekte gefunden)

3. und hier ein Log, wo noch Probleme gefunden wurden:

Code:

Malwarebytes' Anti-Malware 1.42

Datenbank Version: 3443

Windows 5.1.2600 Service Pack 3

Internet Explorer 8.0.6001.18702
 

28.12.2009 11:44:23

mbam-log-2009-12-28 (11-44-23).txt
 

Scan-Methode: Vollständiger Scan (C:\|E:\|F:\|)

Durchsuchte Objekte: 320681

Laufzeit: 38 minute(s), 27 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 2

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 1

Infizierte Dateien: 4
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

HKEY_LOCAL_MACHINE\SOFTWARE\Malware Defense (Rogue.MalwareDefense) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\H8SRT (Rootkit.TDSS) -> Quarantined and deleted successfully.
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

C:\Dokumente und Einstellungen\User\Startmenü\Programme\malware Defense (Rogue.MalwareDefense) -> Quarantined and deleted successfully.
 

Infizierte Dateien:

C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\settdebugx.exe (Rogue.Installer) -> Delete on reboot.

C:\System Volume Information\_restore{C4CC538D-E498-4319-9556-93C4F11561A0}\RP217\A0051645.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{C4CC538D-E498-4319-9556-93C4F11561A0}\RP217\A0051646.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\krl32mainweq.dll (Trojan.DNSChanger) -> Quarantined and deleted successfully.

4. Aus einem davor gelaufenen Quickscan allerdings nicht mit der aktuellsten Version wurden ausserdem folgende Dinge entfernt:

Code:

Malwarebytes' Anti-Malware 1.42

Datenbank Version: 3289

Windows 5.1.2600 Service Pack 3

Internet Explorer 8.0.6001.18702
 

28.12.2009 10:24:43

mbam-log-2009-12-28 (10-24-43).txt
 

Scan-Methode: Quick-Scan

Durchsuchte Objekte: 99272

Laufzeit: 4 minute(s), 26 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 2

Infizierte Verzeichnisse: 0

Infizierte Dateien: 5
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\wscsvc32.exe (Trojan.FakeAlert) -> Delete on reboot.

C:\WINDOWS\system32\H8SRTmfuijnjeqx.dll (Rootkit.TDSS) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\H8SRTruipxduglv.dll (Rootkit.TDSS) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\H8SRTepxwwrdxfq.dat (Rootkit.TDSS) -> Quarantined and deleted successfully.

C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\H8SRT954a.tmp (Rootkit.TDSS) -> Quarantined and deleted successfully.

5. Logs von RSIT

siehe Anhang

Ich hoffe, Du kannst mit den ganzen Daten was anfangen - vielen Dank für die Mühen!!!

Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde.

Danach den Avenger anwenden

Vorbereitungen:
a) Deaktiviere den Hintergrundwächter vom Virenscanner.
b) Stöpsele alle externen Datenträger vom Rechner ab.

Danach:

1.) Lade Dir von hier Avenger:
Swandog46's Public Anti-Malware Tools (Download, linksseitig)

2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:

http://mitglied.lycos.de/efunction/tb123/avenger.png

3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:

Code:

files to delete:

C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\wscsvc32.exe

C:\WINDOWS\system32\H8SRTmfuijnjeqx.dll

C:\WINDOWS\system32\H8SRTruipxduglv.dll

C:\WINDOWS\system32\H8SRTepxwwrdxfq.dat

C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\H8SRT954a.tmp
 

folders to delete:

C:\WINDOWS\1C4551A64743409391E41477CD655043.TMP

C:\sh4ldr
 

drivers to delete:

asbp2poa

4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

Hallo,

ich habe mich genau an die Anleitung gehalten... nur habe ich nach dem Neustart keine automatische Log-Einblendung von Avenger bekommen.

Ist das Log irgendwo gespeichert? Im Avenger-Ordner habe ich es nicht gefunden.

Soll ich den Prozess nochmal wiederholen?

Das müsste direkt auf c: sein => C:\avenger.txt

Ah Danke, da wars. :)

Code:

Logfile of The Avenger Version 2.0, (c) by Swandog46

http://swandog46.geekstogo.com
 

Platform:  Windows XP
 

*******************
 

Script file opened successfully.

Script file read successfully.
 

Backups directory opened successfully at C:\Avenger
 

*******************
 

Beginning to process script file:
 

Rootkit scan active.

No rootkits found!
 
 

Error:  file "C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\wscsvc32.exe" not found!

Deletion of file "C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\wscsvc32.exe" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

  --> the object does not exist
 
 

Error:  file "C:\WINDOWS\system32\H8SRTmfuijnjeqx.dll" not found!

Deletion of file "C:\WINDOWS\system32\H8SRTmfuijnjeqx.dll" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

  --> the object does not exist
 
 

Error:  file "C:\WINDOWS\system32\H8SRTruipxduglv.dll" not found!

Deletion of file "C:\WINDOWS\system32\H8SRTruipxduglv.dll" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

  --> the object does not exist
 
 

Error:  file "C:\WINDOWS\system32\H8SRTepxwwrdxfq.dat" not found!

Deletion of file "C:\WINDOWS\system32\H8SRTepxwwrdxfq.dat" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

  --> the object does not exist
 
 

Error:  file "C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\H8SRT954a.tmp" not found!

Deletion of file "C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\H8SRT954a.tmp" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

  --> the object does not exist
 

Folder "C:\WINDOWS\1C4551A64743409391E41477CD655043.TMP" deleted successfully.

Folder "C:\sh4ldr" deleted successfully.

Driver "asbp2poa" deleted successfully.
 

Completed script processing.
 

*******************
 

Finished!  Terminate.

Okay, mach bitte nun einen Durchlauf mit Combofix:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Okay, und hier die Auswertung von Combofix:

Code:

ComboFix 09-12-28.05 - User 29.12.2009  10:10:55.1.4 - x86

Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.3327.2781 [GMT 1:00]

ausgeführt von:: c:\dokumente und einstellungen\User\Desktop\cofi.exe

AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

.

Die folgenden Dateien wurden während des Laufs deaktiviert:

c:\programme\Enigma Software Group\SpyHunter\SpyHunterMonitor.dll
 
 

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.
 

C:\cleanup.exe

c:\windows\system32\srcr.dat
 

.

(((((((((((((((((((((((   Dateien erstellt von 2009-11-28 bis 2009-12-29  ))))))))))))))))))))))))))))))

.
 

2009-12-29 08:43 . 2009-12-29 08:43        1327        ----a-w-        C:\backup.reg

2009-12-29 08:43 . 2009-12-29 08:43        574        ----a-w-        C:\cleanup.bat

2009-12-29 08:43 . 2009-12-29 08:43        135168        ----a-w-        C:\zip.exe

2009-12-29 07:23 . 2009-12-29 07:24        --------        d-----w-        c:\programme\trend micro

2009-12-29 07:23 . 2009-12-29 07:24        --------        d-----w-        C:\rsit

2009-12-28 13:48 . 2009-12-28 13:48        388096        ----a-r-        c:\dokumente und einstellungen\User\Anwendungsdaten\Microsoft\Installer\{0761C9A8-8F3A-4216-B4A7-B7AFBF24A24A}\HiJackThis.exe

2009-12-28 13:48 . 2009-12-28 13:48        --------        d-----w-        c:\programme\TrendMicro

2009-12-28 13:24 . 2009-12-28 13:24        --------        d-----r-        c:\dokumente und einstellungen\LocalService\Eigene Dateien

2009-12-28 12:00 . 2009-12-28 12:00        --------        d-sh--w-        c:\dokumente und einstellungen\NetworkService\IETldCache

2009-12-28 09:39 . 2009-12-28 09:39        --------        d-----r-        c:\dokumente und einstellungen\LocalService\Favoriten

2009-12-28 09:39 . 2009-12-28 09:39        --------        d-sh--w-        c:\dokumente und einstellungen\LocalService\IETldCache

2009-12-28 09:19 . 2009-12-28 09:19        --------        d-----w-        c:\dokumente und einstellungen\User\Anwendungsdaten\Malwarebytes

2009-12-28 09:16 . 2009-12-28 09:16        --------        d-----w-        c:\dokumente und einstellungen\User\Anwendungsdaten\GetRightToGo

2009-12-28 08:51 . 2009-12-28 08:52        6853096        ----a-w-        C:\SpyHunter-Compact-OS.exe

2009-12-28 08:51 . 2009-12-28 08:51        --------        d-----w-        c:\programme\Enigma Software Group

2009-12-28 08:27 . 2009-12-03 15:14        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys

2009-12-28 08:27 . 2009-12-28 08:34        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware

2009-12-28 08:27 . 2009-12-28 08:27        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes

2009-12-28 08:27 . 2009-12-03 15:13        19160        ----a-w-        c:\windows\system32\drivers\mbam.sys

2009-12-28 08:19 . 2009-12-28 08:19        --------        d-----w-        c:\programme\CCleaner

2009-12-22 19:52 . 2009-12-22 19:52        16684        ---ha-w-        c:\windows\system32\mlfcache.dat

2009-12-02 21:53 . 2009-12-02 21:53        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\BioWare
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-12-29 09:04 . 2008-09-03 17:38        --------        d-----w-        c:\dokumente und einstellungen\User\Anwendungsdaten\DNA

2009-12-29 08:58 . 2008-04-14 12:00        84524        ----a-w-        c:\windows\system32\perfc007.dat

2009-12-29 08:58 . 2008-04-14 12:00        459152        ----a-w-        c:\windows\system32\perfh007.dat

2009-12-29 08:56 . 2009-08-17 15:24        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy

2009-12-29 08:54 . 2008-09-03 17:38        --------        d-----w-        c:\programme\DNA

2009-12-28 10:01 . 2008-09-03 14:21        --------        d--h--w-        c:\programme\InstallShield Installation Information

2009-12-19 22:35 . 2008-09-04 15:48        --------        d-----w-        c:\dokumente und einstellungen\User\Anwendungsdaten\BitTorrent

2009-12-08 17:11 . 2009-07-10 20:39        56816        ----a-w-        c:\windows\system32\drivers\avgntflt.sys

2009-12-02 21:46 . 2009-05-03 17:11        --------        d-----w-        c:\programme\Gemeinsame Dateien\Wise Installation Wizard

2009-12-02 21:45 . 2009-07-10 09:29        --------        d-----w-        c:\programme\Gemeinsame Dateien\BioWare

2009-11-11 21:13 . 2008-09-07 20:45        --------        d-----w-        c:\dokumente und einstellungen\User\Anwendungsdaten\dvdcss

2009-11-10 18:00 . 2009-06-12 12:19        8        ----a-w-        c:\windows\system32\nvModes.dat

2009-11-03 19:05 . 2009-11-03 19:05        --------        d-----w-        c:\programme\iPod

2009-11-03 19:05 . 2008-09-03 17:53        --------        d-----w-        c:\programme\Gemeinsame Dateien\Apple

2009-11-03 19:03 . 2009-11-03 19:03        79144        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer\Installer Cache\iTunes 9.0.2.25\SetupAdmin.exe

2009-10-29 07:40 . 2008-04-14 12:00        916480        ----a-w-        c:\windows\system32\wininet.dll

2009-10-21 05:38 . 2008-04-14 12:00        75776        ----a-w-        c:\windows\system32\strmfilt.dll

2009-10-21 05:38 . 2008-04-14 12:00        25088        ----a-w-        c:\windows\system32\httpapi.dll

2009-10-20 16:20 . 2008-04-14 12:00        265728        ----a-w-        c:\windows\system32\drivers\http.sys

2009-10-13 18:14 . 2008-09-03 14:21        17280        ----a-w-        c:\dokumente und einstellungen\User\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT

2009-10-13 10:32 . 2008-04-14 12:00        271360        ----a-w-        c:\windows\system32\oakley.dll

2009-10-12 13:38 . 2008-04-14 12:00        79872        ----a-w-        c:\windows\system32\raschap.dll

2009-10-12 13:38 . 2008-04-14 12:00        150528        ----a-w-        c:\windows\system32\rastls.dll

2009-10-05 05:53 . 2009-08-21 10:49        1        ----a-w-        c:\dokumente und einstellungen\User\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys

.
 

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"BitTorrent DNA"="c:\programme\DNA\btdna.exe" [2009-11-07 323392]

"Pando Media Booster"="c:\programme\Pando Networks\Media Booster\PMB.exe" [2009-10-22 2923192]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"RTHDCPL"="RTHDCPL.EXE" [2008-05-16 16862720]

"AppleSyncNotifier"="c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2009-08-13 177440]

"NeroCheck"="c:\windows\system32\\NeroCheck.exe" [2001-07-09 155648]

"ToADiMon.exe"="c:\programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe" [2007-02-15 282624]

"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2009-09-04 417792]

"itype"="c:\programme\Microsoft IntelliType Pro\itype.exe" [2009-05-21 1501064]

"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-10-03 35696]

"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2009-09-04 935288]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-09-27 13918208]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-09-27 86016]

"SpyHunter Security Suite"="c:\programme\Enigma Software Group\SpyHunter\SpyHunter3.exe" [2009-12-09 866200]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

"InfoCockpit"="c:\programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE" [2009-04-29 268800]
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ImpulseFastStart]

2009-06-05 12:10        2155888        ----a-w-        c:\programme\Stardock\Impulse\Impulse.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]

2009-10-28 19:21        141600        ----a-w-        e:\programme\Itunes\iTunesHelper.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]

2009-10-24 06:43        1217808        ----a-w-        e:\spiele\Steam\Steam.exe
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

"c:\\Programme\\DNA\\btdna.exe"=

"e:\\Programme\\BitTorrent\\bittorrent.exe"=

"e:\\Spiele\\Codemasters\\Der Herr der Ringe Online\\lotroclient.exe"=

"f:\\Downloads\\BitTorrent.exe"=

"c:\\Programme\\T-Online\\T-Online_Software_6\\Browser\\browser.exe"=

"c:\\Programme\\T-Online\\T-Online_Software_6\\Browser\\dlman.exe"=

"c:\\Programme\\Bonjour\\mDNSResponder.exe"=

"e:\\Spiele\\Steam\\SteamApps\\common\\the last remnant\\Binaries\\TLR.exe"=

"c:\\Programme\\Sony\\Station\\LaunchPad\\LaunchPad.exe"=

"e:\\Spiele\\Firaxis Games\\Sid Meier's Civilization 4\\Civilization4.exe"=

"e:\\Spiele\\Firaxis Games\\Sid Meier's Civilization 4\\Beyond the Sword\\Civ4BeyondSword.exe"=

"e:\\Spiele\\Firaxis Games\\Sid Meier's Civilization 4\\Beyond the Sword\\Civ4BeyondSword_PitBoss.exe"=

"e:\\Spiele\\Mass Effect\\Binaries\\MassEffect.exe"=

"e:\\Spiele\\Mass Effect\\MassEffectLauncher.exe"=

"e:\\Spiele\\Two Worlds\\TwoWorlds.exe"=

"e:\\Spiele\\Two Worlds\\TwoWorlds_RADEON.exe"=

"c:\\Programme\\Pando Networks\\Media Booster\\PMB.exe"=

"e:\\Programme\\Itunes\\iTunes.exe"=

"e:\\Spiele\\Dragon Age\\bin_ship\\daorigins.exe"=

"e:\\Spiele\\Dragon Age\\DAOriginsLauncher.exe"=

"e:\\Spiele\\Dragon Age\\bin_ship\\daupdatersvc.service.exe"=
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"58423:TCP"= 58423:TCP:Pando Media Booster

"58423:UDP"= 58423:UDP:Pando Media Booster
 

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [10.07.2009 21:39 108289]

R2 MZCCntrl;T-Online WLAN Adapter Steuerungsdienst;c:\programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe [20.06.2009 22:44 61440]

S3 DAUpdaterSvc;Dragon Age: Origins - Content Updater;e:\spiele\Dragon Age\bin_ship\daupdatersvc.service.exe [02.12.2009 22:39 25832]

S3 MACNDIS5;MACNDIS5 NDIS Protocol Driver;c:\progra~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS [20.06.2009 22:44 17280]

S3 MIINPazX;MIINPazX NDIS Protocol Driver;c:\progra~1\GEMEIN~1\MARMIK~1\MInfraIS\MIINPazX.SYS [03.09.2008 22:45 17152]

S3 MTOnlPktAlyX;MTOnlPktAlyX NDIS Protocol Driver;c:\progra~1\T-Online\T-ONLI~2\BASIS-~1\Basis1\MTOnlPktAlyX.SYS [09.08.2006 14:39 17536]
 

--- Andere Dienste/Treiber im Speicher ---
 

*Deregistered* - mchInjDrv

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = 

uInternet Settings,ProxyOverride = *.local

FF - ProfilePath - c:\dokumente und einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\k88mnz4z.default\

FF - plugin: e:\programme\Itunes\Mozilla Plugins\npitunes.dll

FF - plugin: e:\programme\MozillaFirefox\plugins\npbittorrent.dll

FF - plugin: e:\programme\MozillaFirefox\plugins\npPandoWebInst.dll

FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
 

---- FIREFOX Richtlinien ----

FF - user.js: yahoo.homepage.dontask - true.
 

**************************************************************************
 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-12-29 10:12

Windows 5.1.2600 Service Pack 3 NTFS
 

Scanne versteckte Prozesse... 
 

Scanne versteckte Autostarteinträge... 
 

Scanne versteckte Dateien... 
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************

.

--------------------- Gesperrte Registrierungsschluessel ---------------------
 

[HKEY_USERS\S-1-5-21-725345543-1644491937-1801674531-1003\"* *t*w*a*r*e*\TOnline\T-Online_Software_6\Basis-Software\ToADial\100\AppReg\e:/programme/mozillafirefox/firefox.exe]

"AppFileName"="firefox.exe"

"AppPath"="e:\\Programme\\MozillaFirefox\\"

"LastADUserDisabledAccessTime"=dword:4b09a3bd

"ADUserDisabledAccessCount"=dword:00000099

"AppState"=dword:00000003

"Fileinfo"="Firefox"
 

[HKEY_USERS\S-1-5-21-725345543-1644491937-1801674531-1003\9* *t*w*a*r*e*\TOnline\T-Online_Software_6\Basis-Software\ToADial\100\AppReg\e:/programme/mozillafirefox/firefox.exe]

"AppFileName"="firefox.exe"

"AppPath"="e:\\Programme\\MozillaFirefox\\"

"LastADUserDisabledAccessTime"=dword:4b09a790

"ADUserDisabledAccessCount"=dword:00000001

"AppState"=dword:00000000

"Fileinfo"="Firefox"
 

[HKEY_USERS\S-1-5-21-725345543-1644491937-1801674531-1003\:* *t*w*a*r*e*\TOnline\T-Online_Software_6\Basis-Software\ToADial\100\AppReg\e:/programme/mozillafirefox/firefox.exe]

"AppState"=dword:00000003

"LastADUserDisabledAccessTime"=dword:4b09a45c

"ADUserDisabledAccessCount"=dword:00000011

"AppFileName"="firefox.exe"

"AppPath"="e:\\Programme\\MozillaFirefox\\"

"Fileinfo"="Firefox"
 

[HKEY_USERS\S-1-5-21-725345543-1644491937-1801674531-1003\;* *t*w*a*r*e*\TOnline\T-Online_Software_6\Basis-Software\ToADial\100\AppReg\e:/programme/mozillafirefox/firefox.exe]

"AppFileName"="firefox.exe"

"AppPath"="e:\\PROGRAMME\\MOZILLAFIREFOX\\"

"LastADUserDisabledAccessTime"=dword:4aa2019e

"ADUserDisabledAccessCount"=dword:00000001

"AppState"=dword:00000000
 

[HKEY_USERS\S-1-5-21-725345543-1644491937-1801674531-1003\;* *t*w*a*r*e*\TOnline\T-Online_Software_6\Basis-Software\ToADial\100\AppReg\e:/programme/mozillafirefox/firefox.exe]

"AppFileName"="firefox.exe"

"AppPath"="e:\\Programme\\MozillaFirefox\\"

"LastADUserDisabledAccessTime"=dword:4b09a747

"ADUserDisabledAccessCount"=dword:00000098

"AppState"=dword:00000000

"Fileinfo"="Firefox"
 

[HKEY_USERS\S-1-5-21-725345543-1644491937-1801674531-1003\<* *t*w*a*r*e*\TOnline\T-Online_Software_6\Basis-Software\ToADial\100\AppReg\e:/programme/mozillafirefox/firefox.exe]

"LastADUserDisabledAccessTime"=dword:4b09a749

"AppFileName"="firefox.exe"

"ADUserDisabledAccessCount"=dword:00000024

"AppPath"="e:\\Programme\\MozillaFirefox\\"

"AppState"=dword:00000000

"Fileinfo"="Firefox"
 

[HKEY_USERS\S-1-5-21-725345543-1644491937-1801674531-1003\=* *t*w*a*r*e*\TOnline\T-Online_Software_6\Basis-Software\ToADial\100\AppReg\e:/programme/mozillafirefox/firefox.exe]

"AppFileName"="firefox.exe"

"AppPath"="e:\\Programme\\MozillaFirefox\\"

"LastADUserDisabledAccessTime"=dword:4b09a764

"ADUserDisabledAccessCount"=dword:00000002
 

[HKEY_USERS\S-1-5-21-725345543-1644491937-1801674531-1003\>* *t*w*a*r*e*\TOnline\T-Online_Software_6\Basis-Software\ToADial\100\AppReg\e:/programme/mozillafirefox/firefox.exe]

"AppFileName"="firefox.exe"

"AppPath"="e:\\Programme\\MozillaFirefox\\"

"LastADUserDisabledAccessTime"=dword:4b09a781

"ADUserDisabledAccessCount"=dword:0000001d

"AppState"=dword:00000000

"Fileinfo"="Firefox"
 

[HKEY_USERS\S-1-5-21-725345543-1644491937-1801674531-1003\?* *t*w*a*r*e*\TOnline\T-Online_Software_6\Basis-Software\ToADial\100\AppReg\e:/programme/mozillafirefox/firefox.exe]

"ADUserDisabledAccessCount"=dword:00000003

"AppFileName"="firefox.exe"

"LastADUserDisabledAccessTime"=dword:4b09a7a1

"AppPath"="e:\\Programme\\MozillaFirefox\\"
 

[HKEY_USERS\S-1-5-21-725345543-1644491937-1801674531-1003\@* *t*w*a*r*e*\TOnline\T-Online_Software_6\Basis-Software\ToADial\100\AppReg\e:/programme/mozillafirefox/firefox.exe]

"LastADUserDisabledAccessTime"=dword:4b09a7c8

"ADUserDisabledAccessCount"=dword:00000019

"AppFileName"="firefox.exe"

"AppPath"="e:\\Programme\\MozillaFirefox\\"

"AppState"=dword:00000003

"Fileinfo"="Firefox"
 

[HKEY_USERS\S-1-5-21-725345543-1644491937-1801674531-1003\A* *t*w*a*r*e*\TOnline\T-Online_Software_6\Basis-Software\ToADial\100\AppReg\e:/programme/mozillafirefox/firefox.exe]

"LastADUserDisabledAccessTime"=dword:4b09a997

"ADUserDisabledAccessCount"=dword:00000012
 

[HKEY_USERS\S-1-5-21-725345543-1644491937-1801674531-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]

"??"=hex:9c,4a,ff,5c,bd,76,a1,42,8b,9c,69,ec,47,02,b5,6d,7c,32,eb,ae,f0,b1,07,

   f7,89,6d,9d,a2,78,f7,06,83,f5,ab,ed,50,83,4b,48,aa,05,6e,ed,bb,d6,3b,f4,b4,\

"??"=hex:5c,69,da,ee,ed,ef,d8,7e,db,82,42,19,c5,d9,42,4d
 

[HKEY_USERS\S-1-5-21-725345543-1644491937-1801674531-1003\Software\SecuROM\License information*]

"datasecu"=hex:0e,c5,30,ff,a2,27,86,64,ff,1e,e0,42,d5,02,eb,73,45,74,84,7b,aa,

   47,91,c3,49,7a,14,cf,60,c8,36,f4,2c,34,81,00,5c,e6,02,9e,48,33,4b,0b,38,07,\

"rkeysecu"=hex:47,0d,d1,31,38,1b,3d,6b,51,be,cd,8b,c6,24,8a,c1

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
 

- - - - - - - > 'winlogon.exe'(824)

c:\programme\Enigma Software Group\SpyHunter\SpyHunterMonitor.dll
 

- - - - - - - > 'lsass.exe'(880)

c:\programme\Enigma Software Group\SpyHunter\SpyHunterMonitor.dll

.

Zeit der Fertigstellung: 2009-12-29  10:13:43

ComboFix-quarantined-files.txt  2009-12-29 09:13
 

Vor Suchlauf: 9 Verzeichnis(se), 34.657.452.032 Bytes frei

Nach Suchlauf: 10 Verzeichnis(se), 34.807.857.152 Bytes frei
 

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
 

- - End Of File - - 2994792C732548056EC994B426ED39C5

Achja: Ich habe noch immer die Systemwiderherstellung deaktiviert. Bitte um Info, wenn ich diese an irgend einem Punkt der ToDos wieder aktivieren kann/soll. Vielen Dank! :)

Das sieht okay aus. Die SWH kannst Du ruhig deaktiviert lassen.
Mach bitte noch einen Durchlauf mit GMER wegen des Rootkits.

Hm... mein PC hat sich mitten im GMER-Prozess (vermutlich kurz vor Ende) einfach ausgeschaltet und ist dann neu hochgefahren.

Ich hatte sowohl Avira deaktiviert, als auch alle Programme geschlossen und den Rechner vom Netz genommen.

Soll ich nochmal probieren?

Bei GMER sind solche Probleme leider häufiger. :(
Wenn der 2. Versuch auch nicht erfolgreich ist, bitte dieses Tool probieren => Avira AntiRootkit Tool

Okay, Danke nochmal. Leider tauchte das Problem erneut auf.

Hier der Report von Avira:

Code:

Avira AntiRootkit Tool (1.1.0.1)
 

========================================================================================================

 - Scan started Dienstag, 29. Dezember 2009 - 11:04:07

========================================================================================================
 

--------------------------------------------------------------------------------------------------------

   Configuration:

--------------------------------------------------------------------------------------------------------

 - [X] Scan files

 - [X] Scan registry

 - [X] Scan processes

 - [ ] Fast scan

 - Working disk total size : 50.00 GB

 - Working disk free size : 32.44 GB (64 %)

--------------------------------------------------------------------------------------------------------
 

Results:

Embedded nulls : HKEY_USERS\S-1-5-21-725345543-1644491937-1801674531-1003\Software\SecuROM\!CAUTION! NEVER DELETE OR CHANGE ANY KEY

Embedded nulls : HKEY_USERS\S-1-5-21-725345543-1644491937-1801674531-1003\Software\SecuROM\License information

Hidden value : HKEY_USERS\S-1-5-21-725345543-1644491937-1801674531-1003\Software\SecuROM\License information -> datasecu

Hidden value : HKEY_USERS\S-1-5-21-725345543-1644491937-1801674531-1003\Software\SecuROM\License information -> rkeysecu
 

--------------------------------------------------------------------------------------------------------

Files: 0/224442

Registry items: 4/392824

Processes: 0/35

Scan time: 00:03:58

--------------------------------------------------------------------------------------------------------

Active processes:

  - gvplpfyq.exe     (PID 2108) (Avira AntiRootkit Tool)

  - wscntfy.exe      (PID 2320)

  - wmiprvse.exe     (PID 2604)

  - System           (PID 4)

  - smss.exe         (PID 540)

  - csrss.exe        (PID 596)

  - winlogon.exe     (PID 824)

  - services.exe     (PID 868)

  - lsass.exe        (PID 880)

  - nvsvc32.exe      (PID 1080)

  - svchost.exe      (PID 1104)

  - svchost.exe      (PID 1172)

  - svchost.exe      (PID 1212)

  - svchost.exe      (PID 1252)

  - svchost.exe      (PID 1392)

  - svchost.exe      (PID 1468)

  - spoolsv.exe      (PID 1548)

  - sched.exe        (PID 1596)

  - svchost.exe      (PID 1636)

  - avguard.exe      (PID 1756)

  - AppleMobileDeviceService.exe (PID 1796)

  - mDNSResponder.exe (PID 1824)

  - MZCCntrl.exe     (PID 1884)

  - svchost.exe      (PID 1940)

  - explorer.exe     (PID 264)

  - RTHDCPL.exe      (PID 720)

  - ToADiMon.exe     (PID 748)

  - avgnt.exe        (PID 756)

  - itype.exe        (PID 776)

  - rundll32.exe     (PID 844)

  - btdna.exe        (PID 1008)

  - PMB.exe          (PID 1124)

  - dpupdchk.exe     (PID 1456)

  - alg.exe          (PID 3660)

  - avirarkd.exe     (PID 2084)

========================================================================================================

 - Scan finished  Dienstag, 29. Dezember 2009 - 11:08:05

========================================================================================================

Das sieht okay aus. Keine versteckten Prozesse oder Dateien, also keine Hinweise auf ein aktives Rootkit mehr. Die vier Registry-Objekte sind vom Kopierschutztreiber (SECUROM).

Mach bitte zur Kontrolle nochmal einen vollständigen Durchlauf mit Malwarebytes und aktuellen Signaturen.

Okay, habe Malwarebytes nochmal upgedated und einen Vollscan gemacht... leider mit einem Fund:

Code:

Malwarebytes' Anti-Malware 1.42

Datenbank Version: 3449

Windows 5.1.2600 Service Pack 3

Internet Explorer 8.0.6001.18702
 

29.12.2009 12:18:01

mbam-log-2009-12-29 (12-18-01).txt
 

Scan-Methode: Vollständiger Scan (C:\|E:\|F:\|)

Durchsuchte Objekte: 314894

Laufzeit: 32 minute(s), 5 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 2
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

C:\Qoobox\Quarantine\C\cleanup.exe.vir (Trojan.Banker) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{C4CC538D-E498-4319-9556-93C4F11561A0}\RP1\A0000016.exe (Trojan.Banker) -> Quarantined and deleted successfully.

Der erste ist der Qurantäneordner von Combofix. Kannst Du ignorieren.
Das zweite ist für die Systemwiederherstellung - Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde.

Vielen Dank nochmal für die umfangreiche Hilfe! :party:

Als ich gerade nach deiner Antwort die Einstellungen zur Systemwiederherstellung überprüft hatte, war diese tatsächlich wieder aktiviert.

Eigentlich hatte ich diese ja schon vorher deaktiviert gehabt.

Da ich sie nicht wieder manuell aktiviert hatte, ist dies wohl automatisch passiert.

Passiert das eventuell durch CCleaner oder ein anderes Tool ?

Kann man das verhindern?

Muß ich (wenn keine weiteren Funde oder Auffälligkeiten bei weiteren Scans auftreten) sonst noch was unternehmen?

Ich bin mir nicht ganz sicher, aber Combofix erstellt einen neuen Wiederherstellungspunkt. Ob es die SWH reaktiviert wenn sie aus ist, hab ich ehrlich gesagt noch nicht getestet :o

Alles klar, nochmals vielen Dank (auch wenn ich mich wiederhole, aber Danke kann man ja eigentlich nicht oft genug sagen.) :)