Trojaner-Board - Google - Suchanfragen werden umgeleitet, manipulierte TCP/IP-Einstellungen

Guten Tag!

Seit drei Tagen werden die angegebenen Links von Google oftmals fehlgeleitet, der gesamte Internetzugriff war verlangsamt und fehlerträchtig. Habe gestern nach einiger Recherche einen wohl per DNS Changer manipulierten Eintrag in den TCP/IP-Einstellungen gefunden (93.188.162.242). Diesen habe ich auf "Automatisch" zurückgestellt, woraufhin auch der Internetzugriff wieder normal funktionierte. Nicht desto trotz dürfte das System noch erheblich durchseucht sein. Der Scan via AntiVir fand gestern das Trojanische Pferd Spy.30720.91 in userinit.exe.
Hier nun die gewünschten Log-Files:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4986

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

29.10.2010 13:35:12
mbam-log-2010-10-29 (13-35-12).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 133344
Laufzeit: 5 Minute(n), 38 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 6
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDrives (Hijack.Drives) -> Bad: (4) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 93.188.162.242,93.188.160.52 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{298d82d0-2731-4624-9c7a-f9b27a39ec46}\NameServer (Trojan.DNSChanger) -> Data: 93.188.162.242,93.188.160.52 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{ae60acf2-09a4-47ca-b22b-c3e00edb702e}\DhcpNameServer (Trojan.DNSChanger) -> Data: 93.188.162.242,93.188.160.52 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{ae60acf2-09a4-47ca-b22b-c3e00edb702e}\NameServer (Trojan.DNSChanger) -> Data: 93.188.162.242,93.188.160.52 -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Die übrigen Logfiles im Anhang...

Bekomme ich mein System wieder sauber, ohne komplett neu Aufzuspielen???

Vielen Dank!

Sorry, hier noch das Logfile von HijackThis:

HiJackthis Logfile:

Code:

Logfile of Trend Micro HijackThis v2.0.4

Scan saved at 10:38:30, on 31.10.2010

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

 

Running processes:

D:\WINDOWS\System32\smss.exe

D:\WINDOWS\system32\csrss.exe

D:\WINDOWS\system32\winlogon.exe

D:\WINDOWS\system32\services.exe

D:\WINDOWS\system32\lsass.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\System32\svchost.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\system32\spoolsv.exe

D:\WINDOWS\System32\SCardSvr.exe

D:\Programme\Avira\AntiVir Desktop\sched.exe

D:\WINDOWS\Explorer.EXE

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\system32\igfxsrvc.exe

D:\WINDOWS\system32\hkcmd.exe

D:\WINDOWS\system32\igfxpers.exe

D:\Programme\DellTPad\Apoint.exe

D:\Programme\SigmaTel\C-Major Audio\WDM\stsystra.exe

D:\Programme\Dell\Dell Mobile Broadband\systray.exe

D:\Programme\Avira\AntiVir Desktop\avgnt.exe

D:\Programme\DellTPad\ApMsgFwd.exe

E:\Programme 2\ThreatFire\TFTray.exe

D:\Programme\DellTPad\HidFind.exe

D:\Programme\DellTPad\Apntex.exe

D:\WINDOWS\system32\ctfmon.exe

D:\Programme\IE New Window Maximizer\iemaximizer.exe

D:\Programme\Avira\AntiVir Desktop\avguard.exe

D:\Programme\Cisco Systems\VPN Client\cvpnd.exe

D:\Programme\Java\jre6\bin\jqs.exe

D:\Programme\Avira\AntiVir Desktop\avshadow.exe

D:\Programme\Dell\QuickSet\NICCONFIGSVC.exe

D:\WINDOWS\system32\StacSV.exe

D:\WINDOWS\system32\svchost.exe

E:\Programme 2\ThreatFire\TFService.exe

D:\Programme\Canon\CAL\CALMAIN.exe

D:\Programme\Avira\AntiVir Desktop\avmailc.exe

D:\Programme\Avira\AntiVir Desktop\AVWEBGRD.EXE

D:\WINDOWS\system32\wbem\wmiapsrv.exe

D:\WINDOWS\System32\alg.exe

D:\WINDOWS\system32\wbem\wmiprvse.exe

D:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe

D:\WINDOWS\system32\HPZipm12.exe

D:\Programme\Internet Explorer\iexplore.exe

D:\Programme\Internet Explorer\iexplore.exe

E:\Eigene Dateien\Software\HijackThis.exe

D:\WINDOWS\system32\wbem\wmiprvse.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = hxxp://windowsupdate.microsoft.com/

O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - D:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - D:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - D:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - D:\Programme\Google\GoogleToolbarNotifier\5.6.5805.1910\swg.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\Programme\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - D:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - D:\Programme\DAEMON Tools Toolbar\DTToolbar.dll

O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - D:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll

O4 - HKLM\..\Run: [IgfxTray] D:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] D:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [Persistence] D:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [Apoint] D:\Programme\DellTPad\Apoint.exe

O4 - HKLM\..\Run: [SigmatelSysTrayApp] %ProgramFiles%\SigmaTel\C-Major Audio\WDM\stsystra.exe

O4 - HKLM\..\Run: [systray] D:\Programme\Dell\Dell Mobile Broadband\systray.exe

O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKLM\..\Run: [ThreatFire] E:\Programme 2\ThreatFire\TFTray.exe

O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [IE New Window Maximizer] D:\Programme\IE New Window Maximizer\iemaximizer.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-19\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-20\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')

O8 - Extra context menu item: add to &BOM - D:\\PROGRA~1\\BIET-O~1\\\\AddToBOM.hta

O8 - Extra context menu item: Google Sidewiki... - res://D:\Programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_950DF09FAB501E03.dll/cmsidewiki.html

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1136292212609

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - hxxp://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1244638164859

O16 - DPF: {6F15128C-E66A-490C-B848-5000B5ABEEAC} (HP Download Manager) - https://h20436.www2.hp.com/ediags/dex/secure/HPDEXAXO.cab

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - D:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL

O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - D:\WINDOWS\system32\browseui.dll

O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - D:\WINDOWS\system32\browseui.dll

O23 - Service: Avira AntiVir MailGuard (AntiVirMailService) - Avira GmbH - D:\Programme\Avira\AntiVir Desktop\avmailc.exe

O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - D:\Programme\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir Desktop\avguard.exe

O23 - Service: Avira AntiVir WebGuard (AntiVirWebService) - Avira GmbH - D:\Programme\Avira\AntiVir Desktop\AVWEBGRD.EXE

O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - D:\Programme\Canon\CAL\CALMAIN.exe

O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - D:\Programme\Cisco Systems\VPN Client\cvpnd.exe

O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - D:\Programme\Google\Update\GoogleUpdate.exe

O23 - Service: Google Software Updater (gusvc) - Google - D:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - D:\Programme\Java\jre6\bin\jqs.exe

O23 - Service: MSCSPTISRV - Sony Corporation - D:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe

O23 - Service: NICCONFIGSVC - Dell Inc. - D:\Programme\Dell\QuickSet\NICCONFIGSVC.exe

O23 - Service: PACSPTISVR - Unknown owner - D:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe

O23 - Service: Pml Driver HPZ12 - HP - D:\WINDOWS\system32\HPZipm12.exe

O23 - Service: SonicStage Back-End Service - Sony Corporation - D:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SsBeSvc.exe

O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - D:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe

O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - D:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SSScsiSV.exe

O23 - Service: SigmaTel Audio Service (STacSV) - SigmaTel, Inc. - D:\WINDOWS\system32\StacSV.exe

O23 - Service: ThreatFire - PC Tools - E:\Programme 2\ThreatFire\TFService.exe

 

--

End of file - 9074 bytes

--- --- ---

Vielen Dank!!!

ComboFix liefert das folgende logfile:

Combofix Logfile:

Code:

ComboFix 10-11-09.03 - Pilot 10.11.2010  17:01:48.1.2 - x86

Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1014.577 [GMT 1:00]

ausgeführt von:: d:\dokumente und einstellungen\Pilot\Desktop\Cofi.exe

AV: AntiVir Desktop *On-access scanning disabled* (Updated) {B02B524A-0C22-45DD-A6D1-70C7010CE58E}
 

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!

.
 

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.
 

d:\windows\winhelp.ini
 

.

(((((((((((((((((((((((   Dateien erstellt von 2010-10-10 bis 2010-11-10  ))))))))))))))))))))))))))))))

.
 

2010-11-10 05:24 . 2010-11-10 05:24        --------        d-----w-        d:\dokumente und einstellungen\Pilot\Anwendungsdaten\conkeror.mozdev.org

2010-10-29 10:21 . 2010-10-29 10:21        --------        d-----w-        d:\dokumente und einstellungen\Pilot\Anwendungsdaten\Malwarebytes

2010-10-29 10:20 . 2010-04-29 13:39        38224        ----a-w-        d:\windows\system32\drivers\mbamswissarmy.sys

2010-10-29 10:20 . 2010-10-29 10:20        --------        d-----w-        d:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes

2010-10-29 10:20 . 2010-04-29 13:39        20952        ----a-w-        d:\windows\system32\drivers\mbam.sys

2010-10-29 10:19 . 2010-10-29 10:19        --------        d-----w-        d:\programme\7-Zip

2010-10-29 07:26 . 2010-01-14 14:08        59664        ----a-w-        d:\windows\system32\drivers\TfSysMon.sys

2010-10-29 07:26 . 2010-01-14 14:08        51984        ----a-w-        d:\windows\system32\drivers\TfFsMon.sys

2010-10-29 07:26 . 2010-01-14 14:08        33552        ----a-w-        d:\windows\system32\drivers\TfNetMon.sys

2010-10-29 07:26 . 2010-10-29 07:26        --------        d-----w-        d:\dokumente und einstellungen\All Users\Anwendungsdaten\PC Tools

2010-10-27 07:19 . 2008-04-14 05:53        26624        ----a-w-        d:\windows\system32\stu2.exe

2010-10-14 07:58 . 2010-10-14 07:58        --------        d-----w-        d:\dokumente und einstellungen\Pilot\Anwendungsdaten\CANON INC

2010-10-13 23:25 . 2008-04-14 05:52        221184        ----a-w-        d:\windows\system32\wmpns.dll
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-09-18 10:22 . 2007-04-03 06:44        974848        ----a-w-        d:\windows\system32\mfc42u.dll

2010-09-18 06:52 . 2008-04-14 05:52        974848        ----a-w-        d:\windows\system32\mfc42.dll

2010-09-18 06:52 . 2008-04-14 05:52        953856        ----a-w-        d:\windows\system32\mfc40u.dll

2010-09-18 06:52 . 2004-08-04 10:00        954368        ----a-w-        d:\windows\system32\mfc40.dll

2010-09-10 08:23 . 2010-09-10 08:23        45056        ----a-r-        d:\dokumente und einstellungen\Pilot\Anwendungsdaten\Microsoft\Installer\{457791C5-D702-4143-A7B2-2744BE9573F2}\NewShortcut1_5B69D3033CA54B39B5ECE7D051297E77.exe

2010-09-10 05:47 . 2008-04-14 05:52        916480        ----a-w-        d:\windows\system32\wininet.dll

2010-09-10 05:47 . 2008-04-14 05:53        1469440        ------w-        d:\windows\system32\inetcpl.cpl

2010-09-10 05:47 . 2008-04-14 05:52        43520        ----a-w-        d:\windows\system32\licmgr10.dll

2010-09-01 11:50 . 2008-04-14 05:50        285824        ----a-w-        d:\windows\system32\atmfd.dll

2010-09-01 07:54 . 2008-04-14 05:23        1852928        ----a-w-        d:\windows\system32\win32k.sys

2010-08-27 08:01 . 2008-04-14 05:52        119808        ----a-w-        d:\windows\system32\t2embed.dll

2010-08-27 05:57 . 2008-04-14 05:52        99840        ----a-w-        d:\windows\system32\srvsvc.dll

2010-08-27 01:43 . 2008-05-05 05:25        5632        ----a-w-        d:\windows\system32\xpsp4res.dll

2010-08-26 13:39 . 2008-04-13 22:45        357248        ----a-w-        d:\windows\system32\drivers\srv.sys

2010-08-23 16:11 . 2008-04-14 05:52        617472        ----a-w-        d:\windows\system32\comctl32.dll

2010-08-23 13:58 . 2010-08-23 13:58        1409        ----a-w-        d:\windows\QTFont.for

2010-08-17 13:17 . 2008-04-14 05:53        58880        ----a-w-        d:\windows\system32\spoolsv.exe

2010-08-16 08:44 . 2008-04-14 05:52        590848        ----a-w-        d:\windows\system32\rpcrt4.dll

2009-05-01 21:02 . 2009-05-01 21:02        1044480        ----a-w-        d:\programme\mozilla firefox\plugins\libdivx.dll

2009-05-01 21:02 . 2009-05-01 21:02        200704        ----a-w-        d:\programme\mozilla firefox\plugins\ssldivx.dll

.
 

------- Sigcheck -------
 

[-] 2009-05-29 . 47F63DAA6B187535D7C9267F668D8032 . 1571840 . . [5.1.2600.5512] . . d:\windows\system32\sfcfiles.dll

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"IE New Window Maximizer"="d:\programme\IE New Window Maximizer\iemaximizer.exe" [2005-02-08 356352]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"IgfxTray"="d:\windows\system32\igfxtray.exe" [2009-05-29 141848]

"HotKeysCmds"="d:\windows\system32\hkcmd.exe" [2009-05-29 166424]

"Persistence"="d:\windows\system32\igfxpers.exe" [2009-05-29 137752]

"Apoint"="d:\programme\DellTPad\Apoint.exe" [2009-05-29 159744]

"SigmatelSysTrayApp"="d:\programme\SigmaTel\C-Major Audio\WDM\stsystra.exe" [2009-05-29 405504]

"systray"="d:\programme\Dell\Dell Mobile Broadband\systray.exe" [2007-04-06 331851]

"avgnt"="d:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-03-24 282792]

"ThreatFire"="e:\programme 2\ThreatFire\TFTray.exe" [2010-01-14 378128]

"TkBellExe"="d:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2009-11-12 198160]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="d:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

"_nltide_3"="advpack.dll" [2009-03-08 128512]
 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]

BootExecute        REG_MULTI_SZ           autocheck autochk /k:C *
 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]

@="Driver"
 

[HKLM\~\startupfolder\D:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Bluetooth Manager.lnk]

path=d:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Bluetooth Manager.lnk

backup=d:\windows\pss\Bluetooth Manager.lnkCommon Startup
 

[HKLM\~\startupfolder\D:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^HP Digital Imaging Monitor.lnk]

path=d:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\HP Digital Imaging Monitor.lnk

backup=d:\windows\pss\HP Digital Imaging Monitor.lnkCommon Startup
 

[HKLM\~\startupfolder\D:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^VPN Client.lnk]

path=d:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\VPN Client.lnk

backup=d:\windows\pss\VPN Client.lnkCommon Startup
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]

2010-09-20 21:07        932288        ----a-r-        d:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]

2010-09-23 02:47        35760        ----a-w-        d:\programme\Adobe\Reader 9.0\Reader\reader_sl.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]

2009-10-30 11:57        369200        ----a-w-        d:\programme\DAEMON Tools Lite\DTLite.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Component Manager]

2004-05-12 13:18        241664        ----a-w-        d:\programme\HP\hpcoretech\hpcmpmgr.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HPDJ Taskbar Utility]

2004-04-06 15:28        172032        ----a-w-        d:\windows\system32\spool\drivers\w32x86\3\hpztsb11.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HPHmon06]

2004-07-13 23:58        659456        ----a-w-        d:\windows\system32\hphmon06.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSPM Startup]

2004-07-27 14:50        221184        ----a-w-        d:\progra~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSScheduler]

2004-07-27 14:50        81920        ----a-w-        d:\programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]

2009-11-12 17:41        149280        ----a-w-        d:\programme\Java\jre6\bin\jusched.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]

2009-11-12 14:48        39408        ----a-w-        d:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]

2009-11-12 16:12        198160        ----a-w-        d:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"d:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=

"d:\\Programme\\Real\\RealPlayer\\realplay.exe"=

"d:\\Programme\\Skype\\Phone\\Skype.exe"=
 

R0 sptd;sptd;d:\windows\system32\drivers\sptd.sys [12.02.2010 11:27 691696]

R0 TfFsMon;TfFsMon;d:\windows\system32\drivers\TfFsMon.sys [29.10.2010 08:26 51984]

R0 TfSysMon;TfSysMon;d:\windows\system32\drivers\TfSysMon.sys [29.10.2010 08:26 59664]

R2 AntiVirMailService;Avira AntiVir MailGuard;d:\programme\Avira\AntiVir Desktop\avmailc.exe [10.06.2009 14:43 337064]

R2 AntiVirSchedulerService;Avira AntiVir Planer;d:\programme\Avira\AntiVir Desktop\sched.exe [10.06.2009 14:43 135336]

R2 AntiVirWebService;Avira AntiVir WebGuard;d:\programme\Avira\AntiVir Desktop\avwebgrd.exe [10.06.2009 14:43 405672]

R2 ThreatFire;ThreatFire;e:\programme 2\ThreatFire\TFService.exe service --> e:\programme 2\ThreatFire\TFService.exe service [?]

R3 NWDellModem;Dell Wireless Mobile Broadband Modem Driver;d:\windows\system32\drivers\nwdelmdm.sys [22.03.2007 13:12 92288]

R3 NWDellPort;Dell Wireless Mobile Broadband Status Port Driver;d:\windows\system32\drivers\nwdelser.sys [22.03.2007 13:12 92288]

R3 TfNetMon;TfNetMon;d:\windows\system32\drivers\TfNetMon.sys [29.10.2010 08:26 33552]

S2 gupdate;Google Update Service (gupdate);d:\programme\Google\Update\GoogleUpdate.exe [28.01.2010 21:49 135664]

.

Inhalt des "geplante Tasks" Ordners
 

2010-11-10 d:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- d:\programme\Google\Update\GoogleUpdate.exe [2010-01-28 20:49]
 

2010-11-10 d:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- d:\programme\Google\Update\GoogleUpdate.exe [2010-01-28 20:49]
 

2010-11-10 d:\windows\Tasks\HP Usg Daily.job

- d:\programme\HP\{AAC4FC36-8F89-4587-8DD3-EBC57C83374D}\pexpress\hphped05.exe [2004-07-14 00:08]

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = hxxp://www.google.de/

IE: add to &BOM - d:\\PROGRA~1\\BIET-O~1\\\\AddToBOM.hta

IE: Google Sidewiki... - d:\programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_950DF09FAB501E03.dll/cmsidewiki.html

LSP: d:\programme\Avira\AntiVir Desktop\avsda.dll

FF - ProfilePath - d:\dokumente und einstellungen\Pilot\Anwendungsdaten\Mozilla\Firefox\Profiles\gi418krl.default\

FF - component: d:\programme\Real\RealPlayer\browserrecord\firefox\ext\components\nprpffbrowserrecordext.dll

FF - plugin: d:\programme\Google\Update\1.2.183.39\npGoogleOneClick8.dll

FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - d:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
 

---- FIREFOX Richtlinien ----

FF - user.js: network.cookie.cookieBehavior - 0

FF - user.js: privacy.clearOnShutdown.cookies - false

FF - user.js: security.warn_viewing_mixed - false

FF - user.js: security.warn_viewing_mixed.show_once - false

FF - user.js: security.warn_submit_insecure - false

FF - user.js: security.warn_submit_insecure.show_once - false

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -
 

MSConfigStartUp-VMware hqtray - d:\programme\VMware\VMware Player\hqtray.exe
 
 
 

**************************************************************************
 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net

Rootkit scan 2010-11-10 17:10

Windows 5.1.2600 Service Pack 3 NTFS
 

Scanne versteckte Prozesse... 
 

Scanne versteckte Autostarteinträge... 
 

Scanne versteckte Dateien... 
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************
 

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ThreatFire]

"AlternateImagePath"=""

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
 

- - - - - - - > 'winlogon.exe'(1296)

e:\programme 2\ThreatFire\TFWAH.dll

e:\programme 2\ThreatFire\TFNI.dll

e:\programme 2\ThreatFire\TFMon.dll

e:\programme 2\ThreatFire\TFRK.dll
 

- - - - - - - > 'lsass.exe'(1352)

d:\programme\Avira\AntiVir Desktop\avsda.dll

e:\programme 2\ThreatFire\TFWAH.dll

.

Zeit der Fertigstellung: 2010-11-10  17:16:52

ComboFix-quarantined-files.txt  2010-11-10 16:16
 

Vor Suchlauf: 1.983.262.720 Bytes frei

Nach Suchlauf: 1.943.744.512 Bytes frei
 

- - End Of File - - 12093439BA6773963955A3A0528F4150

--- --- ---

Vielen Dank!