Trojaner-Board - Adaware lässt sich nicht installieren, falsche Links bei Google!

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Adaware lässt sich nicht installieren, falsche Links bei Google! (https://www.trojaner-board.de/58960-adaware-laesst-installieren-falsche-links-google.html)

Adaware lässt sich nicht installieren, falsche Links bei Google!

Hallo,
ich hoffe mir kann hier geholfen werden!
Ich habe gleich mehrer Probleme und vermute das mein System ziemlich verseucht ist.

Habe:
Laptop FSC Amilo PA1538
Windows XP Home SP2
2*1,6 GHz
2GB Ram
Antivir Basic

Angefangen hat alles mit einem geänderten Hintergrundbild das man auch nicht mehr ändern konnte, habe dann Spybot S&D drüber laufen lassen, gefunden, entfernt, danach alles wie gehabt.

Dann fings an:

1. falsche Links bei Google:
Das Problem ist hier denke ich bekannt, man sucht was über Google, ist dann erstens sehr langsam, und zweitens stimmen die Links nicht. D.h. man landet auf irgend welchen Seiten.
Und weiter werden bestimmte Seiten wie Antivirenseiten garnicht angezeigt.

2. Wollte ich beheben, und Ad-Aware installieren, was mein 2tes Problem ist:
Hab die datei bei Chip runtergeladen, und dann kommt eine Fehlermeldung, dass das "keine gültige win32 Anwendung" ist.
Das Problem gibt es noch bei manch anderer .exe, wie HJT.

Ich habe das Spyware Terminator als einzigstes Prog installieren können und danach war es auch "gefühlt" kurze Zeit besser.

Habe auch eine Onlinescanner scannen lassen, und auch alles entfernt, aber nix gebracht!

Habe dann gestern Abend das SP3 draufgespielt, was fast nicht möglich war, weil die update.microsoft Seite auch blockiert wurde. Habe es dann doch hinbekommen. Aber danach war alles noch schlimmer, WLan und Lan, also Internet ging garnicht mehr.
Habs dann wieder deinstalliert, dann ging zum Glück das Internet wieder, aber mit den selben Problemen!

Hoffe mir kann hier geholfen werden!

Grüße fresh569

Hallo und :hallo:

Acker diese Punkte für weitere Analysen ab:

1.) Poste ein Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe

2.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.

3.) Führe dieses MBR-Tool aus und poste die Ausgabe

4.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten

5.) ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:

[code] Hier das Logfile rein! [/code]

6.) Mach auch ein Filelisting mit diesem script:

Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
Doppelklick auf listing8.cmd auf dem Desktop
nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

Hallo, erstmal Dank für die Antwort und die freundliche Begrüßung!

Ich hab mich (leider) vor deiner Antwort an eine andere Anleitung aus einem anderen Forum gehalten, die ähnlich war. Hoffe das war jetzt nicht schlimm.

Hier nun die Ergebnisse:
Habe erst CCleaner durchlaufen lassen:

Dann mit Malwarebytes:

Code:

Malwarebytes' Anti-Malware 1.26

Datenbank Version: 1103

Windows 5.1.2600 Service Pack 2
 

02.09.2008 19:39:17

mbam-log-2008-09-02 (19-39-17).txt
 

Scan-Methode: Vollständiger Scan (C:\|)

Durchsuchte Objekte: 142073

Laufzeit: 48 minute(s), 18 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 3

Infizierte Registrierungswerte: 1

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 9
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully.
 

Infizierte Registrierungswerte:

HKEY_CURRENT_USER\Control Panel\Desktop\scrnsave.exe (Hijack.Wallpaper) -> Quarantined and deleted successfully.
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

C:\WINDOWS\system32\drivers\29c5d73c.sys (Rootkit.Agent) -> Delete on reboot.

C:\Dokumente und Einstellungen\marc01\Eigene Dateien\UseNeXT\alt.binaries.bloaf\Keygen NEW.exe (Trojan.Agent) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\tdssadw.dll (Trojan.Agent) -> Delete on reboot.

C:\WINDOWS\system32\tdssl.dll (Trojan.Agent) -> Delete on reboot.

C:\WINDOWS\system32\tdssserf.dll (Trojan.Agent) -> Delete on reboot.

C:\WINDOWS\system32\tdssinit.dll (Trojan.Agent) -> Delete on reboot.

C:\WINDOWS\system32\tdsslog.dll (Trojan.Agent) -> Delete on reboot.

C:\WINDOWS\system32\tdssservers.dat (Trojan.Agent) -> Delete on reboot.

C:\WINDOWS\system32\drivers\tdssserv.sys (Trojan.Agent) -> Delete on reboot.

Dann Combofix:

Code:

ComboFix 08-09-01.01 - marc01 2008-09-02 19:52:37.1 - NTFSx86

Microsoft Windows XP Home Edition  5.1.2600.2.1252.1.1031.18.1619 [GMT 2:00]

ausgeführt von:: C:\Dokumente und Einstellungen\marc01\Desktop\frogger\foto03.exe

 * Neuer Wiederherstellungspunkt wurde erstellt
 
 Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!

.
 

((((((((((((((((((((((((((((((((((((   Weitere L”schungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.
 

C:\Dokumente und Einstellungen\marc01\Anwendungsdaten\Install.dat

C:\WINDOWS\system32\dao350.dll
 

.

(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))

.
 

-------\Legacy_SYSREST.SYS

-------\Legacy_TDSSSERV

-------\Service_TDSSserv
 
 

(((((((((((((((((((((((   Dateien erstellt von 2008-08-02 bis 2008-09-02  ))))))))))))))))))))))))))))))

.
 

2008-09-02 18:46 . 2008-09-02 18:46        <DIR>        d--------        C:\Programme\Malwarebytes' Anti-Malware

2008-09-02 18:46 . 2008-09-02 18:46        <DIR>        d--------        C:\Dokumente und Einstellungen\marc01\Anwendungsdaten\Malwarebytes

2008-09-02 18:46 . 2008-09-02 18:46        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes

2008-09-02 18:46 . 2008-09-02 00:16        38,528        --a------        C:\WINDOWS\system32\drivers\mbamswissarmy.sys

2008-09-02 18:46 . 2008-09-02 00:16        17,200        --a------        C:\WINDOWS\system32\drivers\mbam.sys

2008-09-02 18:43 . 2008-09-02 18:43        <DIR>        d--------        C:\Programme\CCleaner

2008-09-02 18:35 . 2008-09-02 18:39        <DIR>        d--------        C:\WINDOWS\system32\CatRoot_bak

2008-09-01 22:06 . 2008-09-01 22:06        <DIR>        d--------        C:\Dokumente und Einstellungen\marc01\Anwendungsdaten\Lavasoft

2008-09-01 20:38 . 2008-09-01 22:31        <DIR>        d--------        C:\WINDOWS\system32\de-de

2008-09-01 20:38 . 2008-09-01 22:31        <DIR>        d--------        C:\WINDOWS\system32\de

2008-09-01 20:38 . 2008-09-01 22:31        <DIR>        d--------        C:\WINDOWS\system32\bits

2008-09-01 20:38 . 2008-09-01 22:30        <DIR>        d--------        C:\WINDOWS\l2schemas

2008-09-01 20:00 . 2004-08-04 14:00        221,184        --a------        C:\WINDOWS\system32\wmpns.dll

2008-09-01 19:37 . 2007-07-30 19:18        34,136        --a------        C:\WINDOWS\system32\wucltui.dll.mui

2008-09-01 19:37 . 2007-07-30 19:20        30,040        --a------        C:\WINDOWS\system32\wuaucpl.cpl.mui

2008-09-01 19:37 . 2007-07-30 19:20        30,040        --a------        C:\WINDOWS\system32\wuapi.dll.mui

2008-09-01 19:37 . 2007-07-30 19:18        20,824        --a------        C:\WINDOWS\system32\wuaueng.dll.mui

2008-09-01 18:42 . 2008-09-01 23:24        <DIR>        d--------        C:\Programme\Spyware Terminator

2008-09-01 18:42 . 2008-09-01 18:42        <DIR>        d--------        C:\Programme\Crawler

2008-09-01 18:42 . 2008-09-01 22:59        <DIR>        d--------        C:\Dokumente und Einstellungen\marc01\Anwendungsdaten\Spyware Terminator

2008-09-01 18:42 . 2008-09-01 23:24        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spyware Terminator

2008-09-01 18:42 . 2008-09-01 18:42        141,312        --a------        C:\WINDOWS\system32\drivers\sp_rsdrv2.sys

2008-08-31 23:10 . 2008-08-31 23:10        <DIR>        d--------        C:\Programme\Zone Labs

2008-08-30 17:09 . 2008-08-30 17:09        <DIR>        d--------        C:\Programme\TeaTimer (Spybot - Search & Destroy)

2008-08-19 07:32 . 2008-08-19 07:40        <DIR>        d--------        C:\Dokumente und Einstellungen\marc01\Anwendungsdaten\Scribus

2008-08-19 07:31 . 2008-08-19 07:32        <DIR>        d--------        C:\Programme\Scribus 1.3.4
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-09-02 16:45        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy

2008-09-02 16:32        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic

2008-09-01 19:46        2,090,496        ----a-w        C:\WINDOWS\Internet Logs\xDB1.tmp

2008-08-31 12:33        ---------        d-----w        C:\Programme\Spybot - Search & Destroy

2008-08-24 10:19        ---------        d-----w        C:\Dokumente und Einstellungen\marc01\Anwendungsdaten\OpenOffice.org2

2008-07-23 20:12        ---------        d-----w        C:\Dokumente und Einstellungen\marc01\Anwendungsdaten\UseNeXT

2008-07-16 04:07        ---------        d-----w        C:\Programme\QuickPar

2008-07-13 17:32        ---------        d-----w        C:\Programme\UseNeXT

2007-06-27 18:05        0        ----a-w        C:\Dokumente und Einstellungen\marc01\Anwendungsdaten\wklnhst.dat

2007-11-17 07:01        8,192        --sha-w        C:\WINDOWS\o2cLicStore.bin

.
 

((((((((((((((((((((((((((((   Autostart Punkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

REGEDIT4
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"AzMixerSel"="C:\Programme\Realtek\InstallShield\AzMixerSel.exe" [2006-01-25 18:45 53248]

"fscp"="C:\Programme\AVC Finger-sensing Pad Driver\fscp.exe" [2006-08-31 18:26 995328]

"FuncKey"="C:\Programme\Hotkey Management\FuncKey.exe" [2006-09-05 20:29 139264]

"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-19 10:44 266497]

"PowerManager"="C:\Programme\Power Manager\PM.exe" [2006-09-06 19:13 151552]

"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-08-16 10:42 7585792]
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^HP Digital Imaging Monitor.lnk.disabled]

path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\HP Digital Imaging Monitor.lnk.disabled

backup=C:\WINDOWS\pss\HP Digital Imaging Monitor.lnk.disabledCommon Startup
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^HP Image Zone Schnellstart.lnk.disabled]

path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\HP Image Zone Schnellstart.lnk.disabled

backup=C:\WINDOWS\pss\HP Image Zone Schnellstart.lnk.disabledCommon Startup
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"Pml Driver HPZ12"=2 (0x2)
 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]

"SpybotSD TeaTimer"=C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

"Yahoo! Pager"=C:\Programme\Yahoo!\Messenger\ypager.exe -quiet
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]

"HP Software Update"="C:\Programme\HP\HP Software Update\HPWuSchd2.exe"

"Alcmtr"=ALCMTR.EXE

"mmtask"="C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe"

"NeroFilterCheck"=C:\WINDOWS\system32\NeroCheck.exe

"PDFPrint"="C:\Programme\PDFDrucker\PDF24Updater.exe"

"RemoteControl"=C:\Programme\CyberLink\PowerDVD\PDVDServ.exe

"SkyTel"=SkyTel.EXE

"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe"

"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" -atboottime

"mausemu"=C:\Dokumente und Einstellungen\marc01\Desktop\Download - Mozilla\mausemu4\mausemu.exe

"Logitech Hardware Abstraction Layer"=KHALMNPR.EXE

"NvCplDaemon"=RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

"nwiz"=nwiz.exe /install

"PowerManager"=C:\Programme\Power Manager\PM.exe

"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_06\bin\jusched.exe"

"ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"

"RTHDCPL"=RTHDCPL.EXE
 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]

"DisableMonitoring"=dword:00000001
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"C:\\Programme\\Electronic Arts\\Command & Conquer 3\\RetailExe\\1.0\\cnc3game.dat"=

"C:\\Programme\\Electronic Arts\\Command & Conquer 3\\RetailExe\\1.4\\cnc3game.dat"=

"C:\\Programme\\Electronic Arts\\Command & Conquer 3\\RetailExe\\1.5\\cnc3game.dat"=

"C:\\Programme\\iTunes\\iTunes.exe"=

"C:\\Programme\\NetMeeting\\conf.exe"=

"C:\\Programme\\Yahoo!\\Messenger\\YPager.exe"=

"C:\\Programme\\Yahoo!\\Messenger\\YServer.exe"=

"C:\\Programme\\TVUPlayer\\TVUPlayer.exe"=
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"22600:UDP"= 22600:UDP:azureus
 

R2 FspadSvc;FspadSvc;C:\Programme\AVC Finger-sensing Pad Driver\fspadsvr.exe [2006-08-23 14:05]

R3 SIS163u;SiS163 USB Wireless LAN Adapter Driver;C:\WINDOWS\system32\DRIVERS\sis163u.sys [2006-07-03 17:11]

S1 29c5d73c;29c5d73c;C:\WINDOWS\system32\drivers\29c5d73c.sys []

S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;C:\MAGIX\Common\Database\bin\fbserver.exe [2005-08-10 13:26]

S3 fspad;AVC Finger-sensing Pad Driver for Windows 2000/XP;C:\WINDOWS\system32\DRIVERS\fspad.sys [2006-09-01 12:14]

S3 ss_bus;SAMSUNG Mobile USB Device 1.0 driver (WDM);C:\WINDOWS\system32\DRIVERS\ss_bus.sys [2005-08-30 18:57]

S3 ss_mdfl;SAMSUNG Mobile USB Modem 1.0 Filter;C:\WINDOWS\system32\DRIVERS\ss_mdfl.sys [2005-08-30 18:58]

S3 ss_mdm;SAMSUNG Mobile USB Modem 1.0 Drivers;C:\WINDOWS\system32\DRIVERS\ss_mdm.sys [2005-08-30 18:59]
 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8e865bb0-8265-11dc-a9d0-003005d82c32}]

\Shell\AutoRun\command - E:\laucher.exe

.

Inhalt des "geplante Tasks" Ordners

.

- - - - Entfernte verwaiste Registrierungseintr„ge - - - -
 

Notify-dimsntfy - (no file)
 
 

.

------- Zus„tzlicher Scan -------

.

FireFox -: Profile - C:\Dokumente und Einstellungen\marc01\Anwendungsdaten\Mozilla\Firefox\Profiles\663v4kdo.default\

FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://de.start2.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:de:official

FF -: plugin - C:\Programme\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll

FF -: plugin - C:\Programme\iTunes\Mozilla Plugins\npitunes.dll

.
 

**************************************************************************
 

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-09-02 20:01:51

Windows 5.1.2600 Service Pack 2 NTFS
 

Scanne versteckte Prozesse...
 

Scanne versteckte Autostart Eintr„ge...
 

Scanne versteckte Dateien...
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************

.

------------------------ Weitere, laufende Prozesse ------------------------

.

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\Programme\AntiVir PersonalEdition Classic\sched.exe

C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\nvsvc32.exe

C:\Programme\Spyware Terminator\sp_rsser.exe

C:\WINDOWS\system32\wdfmgr.exe

C:\WINDOWS\system32\wscntfy.exe

.

**************************************************************************

.

Zeit der Fertigstellung: 2008-09-02 20:07:15 - PC wurde neu gestartet

ComboFix-quarantined-files.txt  2008-09-02 18:07:09
 

Pre-Run: 6,042,742,784 Bytes frei

Post-Run: 5,951,455,232 Bytes frei
 

167        --- E O F ---        2008-09-01 18:03:33

Danach hab ich HiJackThis durchlaufen lassen:

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 20:15:01, on 02.09.2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\AntiVir PersonalEdition Classic\sched.exe

C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Programme\AVC Finger-sensing Pad Driver\fspadsvr.exe

C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\nvsvc32.exe

C:\Programme\Spyware Terminator\sp_rsser.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Programme\AVC Finger-sensing Pad Driver\fscp.exe

C:\Programme\Hotkey Management\FuncKey.exe

C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe

C:\Programme\Power Manager\PM.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\explorer.exe

C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE

C:\Programme\Trend Micro\HijackThis\HijackThis.exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com/fsc/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=60327

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=60327

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com/fsc/

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/fuji/defaults/su/*http://www.yahoo.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {1cb20bf0-bbae-40a7-93f4-6435ff3d0411} - C:\Programme\Crawler\Toolbar\ctbr.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll

O3 - Toolbar: &Crawler Toolbar - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\Programme\Crawler\Toolbar\ctbr.dll

O4 - HKLM\..\Run: [AzMixerSel] C:\Programme\Realtek\InstallShield\AzMixerSel.exe

O4 - HKLM\..\Run: [fscp] C:\Programme\AVC Finger-sensing Pad Driver\fscp.exe

O4 - HKLM\..\Run: [FuncKey] "C:\Programme\Hotkey Management\FuncKey.exe"

O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [PowerManager] C:\Programme\Power Manager\PM.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - Global Startup: Adobe Reader - Schnellstart.lnk.disabled

O4 - Global Startup: Logitech SetPoint.lnk.disabled

O8 - Extra context menu item: crawler search - tbr:iemenu

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll

O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe

O16 - DPF: {bb21f850-63f4-4ec9-bf9d-565bd30c9ae9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab

O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\Programme\Crawler\Toolbar\ctbr.dll

O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - The Firebird Project - C:\MAGIX\Common\Database\bin\fbserver.exe

O23 - Service: FspadSvc - Unknown owner - C:\Programme\AVC Finger-sensing Pad Driver\fspadsvr.exe

O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programme\Spyware Terminator\sp_rsser.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
 

--

End of file - 5889 bytes

Danach konnte ich endlich Ad-Aware installieren und hab ich auch gleich durchlaufen lassen:
Alles gelöscht, aber keine ausführliche Logfile gespeichert.

EDIT: Ganz vergessen, MBR hab ich auch durchlaufen lassen:

Code:

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net
 

device: opened successfully

user: MBR read successfully

kernel: MBR read successfully

user & kernel MBR OK

Mir scheint es so als wenn es besser geworden ist, wurde ja auch genug gefunden und gelöscht!
Aber mein Avira kann keine Updates mehr machen, es kommt dann immer die Fehlermeldung: "Konnte keine Verbindung zum Internet herstellen"
Die Internetverbindung besteht aber!

Schon mal im Vorraus :dankeschoen: für die Hilfe!
fresh569

das HijackThis log scheint sauber

kannst mal selber auswerten

http://www.hijackthis.de/#anl

Gruß

Andreas

Man hat beim Einsatz der Free-Version von Avira nicht immer die beste Performance bei den Updateservern, daher kann das durchaus normal sein, dass Avira bei Dir nicht lädt, probiers einfach öfter mal aus.
Was ist mit dem listing?

Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:

Code:

C:\WINDOWS\system32\drivers\29c5d73c.sys

Hallo erstmal;
ich habe genau das selbe Problem wie fresh569
Geändertes Hintergrundbild, falsche Links bei Google, langsames Internet...
mein system:
1.0 ghz Pentium 3
512 mb ram
Ati rage pro 128
Win. Xp
Anti Vir personal edition
Browser: Opera, Firefox
die Probleme traten gestern auf
ich habe 1. Anti Vir laufen lassen und alle Funde glöscht
danach Ad Aware runter laden wollen (Opera) -> Fehler
danach über Icq Avast! und spyware s&d schicken lassen -> alles löschen lassen
Avast! hat eine Durchsuchung vor dem Windows Start gewollt und ist nach dieser, also wo eigenlich wieder Pw Eingabe für Windows sein hätte sollen nur schwarzes Bild mit Maus
mitlerweile alles Mögliche ausprobiert:
Spybot
Anti Vir
Anti Vir Rootkit Service
Gmer + Avast!
Avast!
und nun zuletzt ZoneAlarm installiert um Zugriffe auf PC zu vermeiden

___________________________________________________________________________
nun:
Systemwiederherstellung ausgeschaltet

mein hijack this log

Code:

 Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 14:24:01, on 03.09.2008

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\Alwil Software\Avast4\aswUpdSv.exe

C:\Programme\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Programme\Winamp\winampa.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Programme\ZyDAS Technology Corporation\ZyDAS_802.11g_Utility\ZDWlan.exe

C:\Programme\Opera\Opera.exe

C:\Dokumente und Einstellungen\ST\Desktop\qlketzd.com
 

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: ZDWLan Utility.lnk = C:\Programme\ZyDAS Technology Corporation\ZyDAS_802.11g_Utility\ZDWlan.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL

O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
 

--

End of file - 4455 bytes

die mbr exe kann ich leider nicht mehr herunterladen da wieder "Fehler" auftritt

Zitat:

Was ist mit dem listing?

Welches listing?

Zitat:

Code:

C:\WINDOWS\system32\drivers\29c5d73c.sys

Die Datei ist nicht mehr auf meinem PC, kann ich also nicht mehr bei Virus total hochladen!
Was nun?

Das listing wird in meiner Anleitung unter Punkt 6 beschrieben. :rolleyes:

Ach ja, stimmt! :D

Aber bei mir öffnet sich dann nach dem Doppelklick auf "listing8.cmd" der Editor mit dem Text. Es geschieht aber nix.
Wie bekomme ich das Scribt zum laufen?

Sorry wenn ich mich blöd anstelle!

Das Script muss zwingend als Endung bat oder cmd haben. Versuch es so: Geh in Arbeitsplatz / Extras / Ordneroptionen / Ansicht - dort den Haken rausnehmen bei "Erweiterungen bei bekannten Dateitypen ausblenden", fortan werden Dir bei (fast) allen Dateien auch die Endungen angezeigt.

Stell dann sicher, dass mein CMD-Script auch tatsächlich dann die Endung .CMD hat und kein .TXT oder so. Sie sollte dann dieses Symbol haben

http://mitglied.lycos.de/efunction/tb/img/cmdsymbol.PNG

Danach sollte durch ein Doppelklick das Script auch ausgeführt werden.

Ja, super!
Danke!
Hier die Listing:

HTML-Code:

http://www.file-upload.net/download-1089936/listing.txt.html

File-Upload.net - listing.txt

Code:

30.08.2008  22:57               482 fakesurfen.job

26.08.2008  16:19               480 fakeultra.job

Was sind das für geplante Tasks?

Code:

15.02.2007  12:06    <DIR>          2f84f87c490a80a20e5504efb76b182e

14.02.2007  18:01    <DIR>          38465cb2fd85ed6977

13.02.2007  10:37    <DIR>          dfc5804e0cf06fbe948092e65284e852

12.02.2007  13:11    <DIR>          7b127db435f1e8a4fe651a69

11.02.2007  23:17    <DIR>          61377dfeed19b51958d4

10.02.2007  14:41    <DIR>          9d0ce142a2a78809d0f13fa8456f

09.02.2007  14:39    <DIR>          01519fe6b1e24e04a8e7

08.02.2007  12:34    <DIR>          86b7ba719193d28c685df545ac8912

07.02.2007  13:23    <DIR>          35a3a0071cebd0efce86b5c4500e

06.02.2007  10:54    <DIR>          6905fd8c669024d91e58

Du hast lauter solche Ordner auf C: Wenn Du sie nicht mehr brauchst solltest Du sie löschen!

Code:

04.09.2008 19:34 <DIR> foto03

Ordner bekannt? Der wurde heute erstellt!

Geh noch mal bitte mit dem Avenger um, ich will wissen, ob sich da vermutlich versteckte Objekte löschen lassen:

Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:

Doppelklick auf das Avenger-Symbol http://saved.im/mzi3ntr4adf5/trert.jpg

Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code:

drivers to delete:

29c5d73c

SYSREST

SYSREST.SYS

TDSSSERV
 

files to delete:

C:\WINDOWS\system32\drivers\29c5d73c.sys

C:\WINDOWS\system32\drivers\SYSREST.SYS

http://saved.im/mzi3ndg3nta0/aven.jpg

Schliesse nun alle Programme und Browser-Fenster

Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet

Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Also, die geplanten Tasks sind von mir selbst erstellte Makros, ie ich mit "Mausemu" erstellt habe. Könnten die infiziert sein?

Die komischen Ordner, die sind schon, meine ich von Anfang an drauf gewesen. Da sind lauter .log Dateien drin. Ich glaub das ist von irgendnem Techniker der da was aufgespielt hat, bevor das Gerät zu mir kam.
Kann man die problemlos löschen?

Code:

04.09.2008 19:34 <DIR> foto03

Den Ordner kenne ich nicht, der ist nicht von mir, da sind komische 2 Dateien drin.--> "CF332.exe", und "nircmd.com".
Hab die mal von Virustotal überprüfen lassen:
Die Links sind schonmal überprüfte Dateien, meine zeigen aber die selben Ergebnisse.
CF332.exe:
Virustotal. MD5: 283433a9dd6c0877dbe0e55a6908ea80

und die nircmd.com:
Virustotal. MD5: 53aa0f904ff1370b7792c0044549ef1f APPL/NirCmd.E.2.B Suspicious File NirCmd
Da wurden 4 Sachen gefunden!

Avenger hab ich gemacht!

Code:

Logfile of The Avenger Version 2.0, (c) by Swandog46

http://swandog46.geekstogo.com
 

Platform:  Windows XP
 

*******************
 

Script file opened successfully.

Script file read successfully.
 

Backups directory opened successfully at C:\Avenger
 

*******************
 

Beginning to process script file:
 

Rootkit scan active.

No rootkits found!
 

Driver "29c5d73c" deleted successfully.
 

Error:  registry key "\Registry\Machine\System\CurrentControlSet\Services\SYSREST" not found!

Deletion of driver "SYSREST" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

  --> the object does not exist
 
 

Error:  registry key "\Registry\Machine\System\CurrentControlSet\Services\SYSREST.SYS" not found!

Deletion of driver "SYSREST.SYS" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

  --> the object does not exist
 
 

Error:  registry key "\Registry\Machine\System\CurrentControlSet\Services\TDSSSERV" not found!

Deletion of driver "TDSSSERV" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

  --> the object does not exist
 
 

Error:  file "C:\WINDOWS\system32\drivers\29c5d73c.sys" not found!

Deletion of file "C:\WINDOWS\system32\drivers\29c5d73c.sys" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

  --> the object does not exist
 
 

Error:  file "C:\WINDOWS\system32\drivers\SYSREST.SYS" not found!

Deletion of file "C:\WINDOWS\system32\drivers\SYSREST.SYS" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

  --> the object does not exist
 
 

Completed script processing.
 

*******************
 

Finished!  Terminate.

Sieht nicht gut aus, oder?
Und mein Avira Antivir lässt sich immernoch nicht updaten, ich glaub nicht dass das an dem Antivir Updateserver liegt, ich denke da wird was "blockiert" oder so.

Wegen dieser TDSSSERV-Geschichte wärest Du mit einem Formatieren und Neuaufsetzen eh besser dran..

Aber weder CF noch der Avenger finden aktive Rootkits. Naja, das muss nix heißen. nircmd sollte übrigens ein Bestandteil von Combofix sein, aber warum das gerade in so einem Ordner liegt entzieht sich meiner Vostellungskraft. Lösche diesen foto03 Ordner einfach.

Mach noch mal nen Durchlauf mit SDfix:
SDFix anwenden:

Lade SDFix von AndyManchesta herunter und speichere es auf deinem Desktop.
Mach einen Doppelklick auf die Datei SDFix.exe, wähle installieren, um das Programm in seinen eigenen Ordner in C:\ zu entpacken (C:\sdfix)
Starte deinen Rechner neu, diesmal in den abgesicherten Modus <= Hinweise beachten!
Öffne den neu entstandenen SDFix Ordner, mach einen Doppelklick auf die RunThis.bat, um das Skript zu starten.
Gib ein Y ein, um den Reinigungsprozess zu beginnen.
Das Programm wird alle Trojaner Dienste und die dazugehörigen Registrierungseinträge löschen, die es findet.
Nun wirst du darum gebeten, eine Taste zu drücken, damit dein Rechner neustarten kann.
Drücke auf eine Taste. Jetzt wird dein Rechner neu aufgestartet.
Wenn der Rechner neu aufgestartet ist, wird das Fixtool nocheinmal laufen, um den Reinigungsprozess zu vervollständigen.
Wenn das Programm angibt, dass es beendet ist (Finished), drücke wieder auf irgendeine Taste, um das Skript zu beenden und deine Desktop Icons wieder zu laden.
Wenn die Desktop Icons wieder da sind, wird das Skript ein Fenster öffnen und das Ergebnis als einen Report.txt im Ordner SDFix speichern.
Kopiere den Inhalt dieses Report.txt und poste ihn, zusammen mit einem neuen HiJackThis Logfile in deinem nächsten Posting.

Zitat:

Lösche diesen foto03 Ordner einfach

OK, hab ich!

SDFix hab ich auch genau nach Anleitung durchlaufen lassen!

Code:

SDFix: Version 1.221 

Run by marc01 on 05.09.2008 at 19:21
 

Microsoft Windows XP [Version 5.1.2600]

Running From: C:\SDFix
 
 Checking Services :
 
 

Restoring Default Security Values

Restoring Default Hosts File
 

Rebooting
 
 
 Checking Files : 
 

No Trojan Files Found
 
 
 
 
 
 

Removing Temp Files
 
 ADS Check :

 
 
 

                                 Final Check :
 

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-09-05 19:31:35

Windows 5.1.2600 Service Pack 2 NTFS
 

scanning hidden processes ...
 

scanning hidden services & system hive ...
 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]

"s1"=dword:44c6f3cf

"s2"=dword:999e2566

"h0"=dword:00000001
 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]

"h0"=dword:00000000

"ujdew"=hex:de,fc,f4,aa,57,d3,8d,be,da,f8,36,26,7c,dc,46,05,c2,f1,3b,16,6c,..

[HKEY_LOCAL_MACHINE\SYSTEM\controlset002\control\Class\{4D36E965-E325-11CE-BFC1-08002BE10318}\Properties]

"DeviceType"=dword:00000002

"DeviceCharacteristics"=dword:00000100

[HKEY_LOCAL_MACHINE\SYSTEM\controlset002\control\Class\{4D36E967-E325-11CE-BFC1-08002BE10318}\Properties]

"DeviceType"=dword:00000007

"DeviceCharacteristics"=dword:00000100

[HKEY_LOCAL_MACHINE\SYSTEM\controlset002\control\Class\{4D36E969-E325-11CE-BFC1-08002BE10318}\Properties]

"DeviceType"=dword:00000004

"DeviceCharacteristics"=dword:00000100

[HKEY_LOCAL_MACHINE\SYSTEM\controlset002\control\Class\{4D36E96A-E325-11CE-BFC1-08002BE10318}\Properties]

"DeviceType"=dword:00000004

"DeviceCharacteristics"=dword:00000100

[HKEY_LOCAL_MACHINE\SYSTEM\controlset002\control\Class\{4D36E97B-E325-11CE-BFC1-08002BE10318}\Properties]

"DeviceType"=dword:00000004

"DeviceCharacteristics"=dword:00000100

[HKEY_LOCAL_MACHINE\SYSTEM\controlset002\control\Class\{4D36E980-E325-11CE-BFC1-08002BE10318}\Properties]

"DeviceType"=dword:00000007

"DeviceCharacteristics"=dword:00000100

[HKEY_LOCAL_MACHINE\SYSTEM\controlset002\Services\MRxDAV\EncryptedDirectories]

@=""

[HKEY_LOCAL_MACHINE\SYSTEM\controlset002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]

"h0"=dword:00000000

"ujdew"=hex:de,fc,f4,aa,57,d3,8d,be,da,f8,36,26,7c,dc,46,05,c2,f1,3b,16,6c,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]

"h0"=dword:00000000

"ujdew"=hex:de,fc,f4,aa,57,d3,8d,be,da,f8,36,26,7c,dc,46,05,c2,f1,3b,16,6c,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\TDSSserv]

"start"=dword:00000001

"type"=dword:00000001

"imagepath"=str(2):"\systemroot\system32\drivers\TDSSserv.sys"
 

scanning hidden registry entries ...
 

scanning hidden files ...
 

scan completed successfully

hidden processes: 0

hidden services: 0

hidden files: 0
 
 
 Remaining Services :
 
 
 
 

Authorized Application Key Export:
 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\\Programme\\Electronic Arts\\Command & Conquer 3\\RetailExe\\1.0\\cnc3game.dat"="C:\\Programme\\Electronic Arts\\Command & Conquer 3\\RetailExe\\1.0\\cnc3game.dat:*:Enabled:Command & Conquer 3 Tiberium Wars"

"C:\\Programme\\Electronic Arts\\Command & Conquer 3\\RetailExe\\1.4\\cnc3game.dat"="C:\\Programme\\Electronic Arts\\Command & Conquer 3\\RetailExe\\1.4\\cnc3game.dat:*:Enabled:Command & Conquer 3 Tiberium Wars"

"C:\\Programme\\Electronic Arts\\Command & Conquer 3\\RetailExe\\1.5\\cnc3game.dat"="C:\\Programme\\Electronic Arts\\Command & Conquer 3\\RetailExe\\1.5\\cnc3game.dat:*:Enabled:Command & Conquer 3 Tiberium Wars"

"C:\\Programme\\iTunes\\iTunes.exe"="C:\\Programme\\iTunes\\iTunes.exe:*:Enabled:iTunes"

"C:\\Programme\\NetMeeting\\conf.exe"="C:\\Programme\\NetMeeting\\conf.exe:*:Enabled:Windows© NetMeeting©"

"C:\\Programme\\Yahoo!\\Messenger\\YPager.exe"="C:\\Programme\\Yahoo!\\Messenger\\YPager.exe:*:Enabled:Yahoo! Messenger"

"C:\\Programme\\Yahoo!\\Messenger\\YServer.exe"="C:\\Programme\\Yahoo!\\Messenger\\YServer.exe:*:Enabled:Yahoo! FT Server"

"C:\\Programme\\TVUPlayer\\TVUPlayer.exe"="C:\\Programme\\TVUPlayer\\TVUPlayer.exe:*:Enabled:TVU Player Component"
 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
 
 Remaining Files :
 
 
 
 Files with Hidden Attributes :
 

Sat 29 Dec 2007            72 ..SH. --- "C:\WINDOWS\S322347B1.tmp"

Thu 14 Aug 2008     1,429,840 A.SHR --- "C:\Programme\Spybot - Search & Destroy\SDUpdate.exe"

Wed 30 Jul 2008     4,891,984 A.SHR --- "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe"

Mon 18 Aug 2008     1,832,272 A.SHR --- "C:\Programme\TeaTimer (Spybot - Search & Destroy)\TeaTimer.exe"

Mon 14 Jan 2008         4,348 ..SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\DRMv1.bak"

Mon  1 Sep 2008             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\066d6b6f1db2fb7733670d09b62362cd\BITD.tmp"

Mon  1 Sep 2008             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\0af87e1622595cbc853f10637d5ef41f\BIT1.tmp"

Mon  1 Sep 2008             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\0af87e1622595cbc853f10637d5ef41f\BIT2.tmp"

Mon  1 Sep 2008             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\f7db876e78b88fd8276fd7d29cb7e4eb\BIT1.tmp"

Sun 23 Mar 2008           857 ...HR --- "C:\Dokumente und Einstellungen\marc01\Anwendungsdaten\SecuROM\UserData\securom_v7_01.bak"

Fri  3 Nov 2006        20,992 A..H. --- "C:\Dokumente und Einstellungen\marc01\Desktop\MARC\BEWERBUNG\BEWERBUNG\Marc\~WRL0003.tmp"

Fri  3 Nov 2006        20,992 A..H. --- "C:\Dokumente und Einstellungen\marc01\Desktop\MARC\BEWERBUNG - NEU\BEWERBUNG\Marc\~WRL0003.tmp"
 
 Finished!

Danach noch mal ein HiJackThis Scan:

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 19:39:00, on 05.09.2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\Programme\Lavasoft\Ad-Aware\aawservice.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\AntiVir PersonalEdition Classic\sched.exe

C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\WINDOWS\Explorer.EXE

C:\Programme\AVC Finger-sensing Pad Driver\fspadsvr.exe

C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\nvsvc32.exe

C:\Programme\Spyware Terminator\sp_rsser.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\notepad.exe

C:\Programme\AVC Finger-sensing Pad Driver\fscp.exe

C:\Programme\Hotkey Management\FuncKey.exe

C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe

C:\Programme\Java\jre1.6.0_07\bin\jusched.exe

C:\Programme\Mozilla Firefox\firefox.exe

C:\PROGRA~1\Crawler\Toolbar\CToolbar.exe

C:\Dokumente und Einstellungen\marc01\Desktop\HiJackThis.exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com/fsc/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=60327

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=60327

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com/fsc/

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/fuji/defaults/su/*http://www.yahoo.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {1cb20bf0-bbae-40a7-93f4-6435ff3d0411} - C:\Programme\Crawler\Toolbar\ctbr.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll

O3 - Toolbar: &Crawler Toolbar - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\Programme\Crawler\Toolbar\ctbr.dll

O4 - HKLM\..\Run: [AzMixerSel] C:\Programme\Realtek\InstallShield\AzMixerSel.exe

O4 - HKLM\..\Run: [fscp] C:\Programme\AVC Finger-sensing Pad Driver\fscp.exe

O4 - HKLM\..\Run: [FuncKey] "C:\Programme\Hotkey Management\FuncKey.exe"

O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"

O4 - Global Startup: Adobe Reader - Schnellstart.lnk.disabled

O4 - Global Startup: Logitech SetPoint.lnk.disabled

O8 - Extra context menu item: crawler search - tbr:iemenu

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe

O16 - DPF: {bb21f850-63f4-4ec9-bf9d-565bd30c9ae9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab

O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\Programme\Crawler\Toolbar\ctbr.dll

O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe

O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - The Firebird Project - C:\MAGIX\Common\Database\bin\fbserver.exe

O23 - Service: FspadSvc - Unknown owner - C:\Programme\AVC Finger-sensing Pad Driver\fspadsvr.exe

O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programme\Spyware Terminator\sp_rsser.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
 

--

End of file - 6124 bytes

So, erkennt man was verdächtiges?

Das sieht *eigentlich* den Logfiles nach zu werten okay aus, ein Überrest dieser TDSS-Geschichte noch:

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\TDSSserv

Versuch diesen Schlüssel über regedit zu löschen. Bei Dir fehlen übrigens noch das SP3 und der IE7!

[edit]
bitte eröffne, wie jeder andere hier auch, für dein problem einen eigenen beitrag
nur so wird sichergestellt, das jedem user übersichtlich und individuell geholfen werden kann

danke
GUA
http://www.smilies.4-user.de/include...lie_be_027.gif
[/edit]