Trojaner-Board - Probleme mit Antivirus2009

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Probleme mit Antivirus2009 (https://www.trojaner-board.de/64812-probleme-antivirus2009.html)

Probleme mit Antivirus2009

Hallo Leute.

Ich habe von einer Freundin den Laptop bekommen mit der bitte den trojaner zu entfernen.
Leichter gesagt als getan da ich nicht genau weiß wie lange das teil da jetzt drauf war bzw. noch ist.

Ich habe vorerst infos über google eingeholt. hab hier auch einige anleitungen und tools gefunden den Trojaner zu entfernen.

Augenscheinlich sieht das auch alles gut aus. Dennoch kommt mir noch einiges Spanisch vor.

Der Wurm war auf den ersten Blick runter, es war mir aber nicht möglich ohne weiteres HiJackthis zu installieren, musste es umbenennen.

Des weiteren wird mir angezeigt das ich zum Router verbunden bin, bekomme aber ums verrecken keine seite aufgerufen.

Ebenso ist es mir nicht möglich diesen Laptop im abgesicherten Modus zu starten.

Echt ätzendes Teil.

Und nochmal, Google und die Sufu wurden vll nicht ausgereizt aber ich bin da angekommen das ich immer nur auf die selben Lösungsvorschläge stoße und ich nicht mehr weiter weiß.

Ausserdem kann ich die Log´s nicht wirklich auswerten, habs versucht, hab aber einfach zu wenig Erfahrung zu 100% zu sagen das dieser shit Trojaner runter iss ;-)

Kann mir hier wer helfen?

Bin gerade dabei Log-Dateien mit sämtlichen Tools zu erstellen

Hier HiJackthis:

Code:

ogfile of Trend Micro HijackThis v2.0.2

Scan saved at 17:15:03, on 20.11.2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16735)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\System32\nvsvc32.exe

C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\TOSHIBA\TME3\Tmesbs32.exe

C:\Programme\TOSHIBA\TME3\Tmesrv31.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\00THotkey.exe

C:\WINDOWS\system32\TPWRTRAY.EXE

C:\Programme\TOSHIBA\TOSHIBA Controls\TFncKy.exe

C:\WINDOWS\system32\TFNF5.exe

C:\Programme\TOSHIBA\Wireless Hotkey\TosHKCW.exe

C:\Programme\Apoint2K\Apoint.exe

C:\Programme\TOSHIBA\TME3\TMERzCtl.EXE

C:\Programme\TOSHIBA\TME3\TMEEJME.EXE

C:\Programme\TOSHIBA\TME3\TMESBS32.EXE

C:\Programme\TOSHIBA\DualPointUtility\TEDTray.exe

C:\WINDOWS\Logi_MwX.Exe

C:\Programme\Java\jre1.5.0_04\bin\jusched.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\Apoint2K\Apntex.exe

C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe

C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\PC Connectivity Solution\ServiceLayer.exe

C:\Programme\Trend Micro\HijackThis\HijackThis.exe
 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R3 - URLSearchHook: (no name) -  - (no file)

O1 - Hosts: 172.22.0.2 crmserver

O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize

O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet

O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe

O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe

O4 - HKLM\..\Run: [Tpwrtray] TPWRTRAY.EXE

O4 - HKLM\..\Run: [TFncKy] TFncKy.exe /Type 25

O4 - HKLM\..\Run: [TFNF5] TFNF5.exe

O4 - HKLM\..\Run: [TosHKCW.exe] "C:\Programme\TOSHIBA\Wireless Hotkey\TosHKCW.exe"

O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe

O4 - HKLM\..\Run: [TMESRV.EXE] C:\Programme\TOSHIBA\TME3\TMESRV31.EXE /Logon

O4 - HKLM\..\Run: [TMERzCtl.EXE] C:\Programme\TOSHIBA\TME3\TMERzCtl.EXE /Service

O4 - HKLM\..\Run: [TMEEJME.EXE] C:\Programme\TOSHIBA\TME3\TMEEJME.EXE

O4 - HKLM\..\Run: [TMESBS.EXE] C:\Programme\TOSHIBA\TME3\TMESBS32.EXE /Client

O4 - HKLM\..\Run: [DpUtil] C:\Programme\TOSHIBA\DualPointUtility\TEDTray.exe

O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe

O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon

O4 - HKLM\..\Run: [NDSTray.exe] "C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe"

O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon

O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup

O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html

O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html

O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html

O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html

O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: SuperOffice - {CC88D81F-6166-4F46-AC89-B75CD9CEB292} - C:\WINDOWS\System32\shdocvw.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1110968356771

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1214223473711

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = brilon.heitzig-consult.de

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll

O20 - AppInit_DLLs: karna.dat

O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: Tmesbs32 (Tmesbs) - TOSHIBA Corporation - C:\Programme\TOSHIBA\TME3\Tmesbs32.exe

O23 - Service: Tmesrv3 (Tmesrv) - TOSHIBA - C:\Programme\TOSHIBA\TME3\Tmesrv31.exe

O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
 

--

End of file - 7775 bytes

Hallo,

Code:

O20 - AppInit_DLLs: karna.dat

hier sitzt noch ein Fiesling. Mit Hijackthis fixen!

Acker diese Punkte für weitere Analysen ab, evtl. musst Du die Programme von einem anderen Rechner aus downloaden und auf das infizierte Notebook übertragen:

1.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.

2.) Führe dieses MBR-Tool aus und poste die Ausgabe

3.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten

4.) Führe Silentrunners nach dieser Anleitung aus und poste das Logfile (mit Codetags umschlossen), falls es zu groß sein sollte kannst Du es (gezippt) bei file-upload.net hochladen und hier verlinken.

5.) ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:

[code] Hier das Logfile rein! [/code]

6.) Mach auch ein Filelisting mit diesem script:

Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
Doppelklick auf listing8.cmd auf dem Desktop
nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

7.) Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe - editiere die Links und privaten Infos!!

Danke!
Dachte ich es mir doch ....

Fange dann mal an die Punkte abzuarbeiten und poste hier alles:

1. erledigt

2.

Code:

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net
 

device: opened successfully

user: MBR read successfully

kernel: MBR read successfully

user & kernel MBR OK

3. Backlight:

Code:

11/20/08 18:57:36 [Info]: BlackLight Engine 2.2.1092 initialized

11/20/08 18:57:36 [Info]: OS: 5.1 build 2600 (Service Pack 2)

11/20/08 18:57:36 [Note]: 7019 4

11/20/08 18:57:36 [Note]: 7005 0

11/20/08 18:57:41 [Note]: 7006 0

11/20/08 18:57:41 [Note]: 7011 2436

11/20/08 18:57:41 [Note]: 7035 0

11/20/08 18:57:41 [Note]: 7026 0

11/20/08 18:57:41 [Note]: 7026 0

11/20/08 18:57:44 [Note]: FSRAW library version 1.7.1024

11/20/08 18:57:50 [Note]: 2000 1012

11/20/08 19:00:15 [Note]: 7007 0

Malwarebytes startet nicht und ich kanns nicht deinstallieren bisher ... neuinstallieren ist auch nicht möglich da die datei nicht startet ... äusserst ärgerlich gerade und kein gutes ziechen oder?!

4. Silentrunner

Code:

"Silent Runners.vbs", revision 58, http://www.silentrunners.org/

Operating System: Windows XP SP2

Output limited to non-default values, except where indicated by "{++}"
 
 

Startup items buried in registry:

---------------------------------
 

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}

"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
 

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}

"NvCplDaemon" = "RUNDLL32.EXE NvQTwk,NvCplDaemon initialize" [MS]

"nwiz" = "nwiz.exe /installquiet" ["NVIDIA Corporation"]

"00THotkey" = "C:\WINDOWS\System32\00THotkey.exe" ["TOSHIBA Corp."]

"000StTHK" = "000StTHK.exe" [null data]

"Tpwrtray" = "TPWRTRAY.EXE" ["TOSHIBA Corporation"]

"TFncKy" = "TFncKy.exe /Type 25" ["TOSHIBA Corporation"]

"TFNF5" = "TFNF5.exe" ["Toshiba Corp."]

"TosHKCW.exe" = ""C:\Programme\TOSHIBA\Wireless Hotkey\TosHKCW.exe"" ["TOSHIBA CORPORATION"]

"Apoint" = "C:\Programme\Apoint2K\Apoint.exe" ["Alps Electric Co., Ltd."]

"TMESRV.EXE" = "C:\Programme\TOSHIBA\TME3\TMESRV31.EXE /Logon" ["TOSHIBA"]

"TMERzCtl.EXE" = "C:\Programme\TOSHIBA\TME3\TMERzCtl.EXE /Service" ["TOSHIBA"]

"TMEEJME.EXE" = "C:\Programme\TOSHIBA\TME3\TMEEJME.EXE" ["TOSHIBA"]

"TMESBS.EXE" = "C:\Programme\TOSHIBA\TME3\TMESBS32.EXE /Client" ["TOSHIBA Corporation"]

"DpUtil" = "C:\Programme\TOSHIBA\DualPointUtility\TEDTray.exe" ["TOSHIBA"]

"Logitech Utility" = "Logi_MwX.Exe" ["Logitech Inc."]

"SunJavaUpdateSched" = "C:\Programme\Java\jre1.5.0_04\bin\jusched.exe" ["Sun Microsystems, Inc."]

"Synchronization Manager" = "C:\WINDOWS\system32\mobsync.exe /logon"

"NDSTray.exe" = ""C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe"" ["TOSHIBA CORPORATION"]

"GrooveMonitor" = ""C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"" [MS]

"Adobe Reader Speed Launcher" = ""C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"" ["Adobe Systems Incorporated"]

"avgnt" = ""C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]

"Easy-PrintToolBox" = "C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon" ["CANON INC."]

"PCSuiteTrayApplication" = "C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup" ["Nokia"]

"Malwarebytes Anti-Malware (reboot)" = ""C:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript" ["Malwarebytes Corporation"]
 

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\

"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"

  -> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"

                   \InProcServer32\(Default) = "deskpan.dll" [file not found]

"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"

  -> {HKLM...CLSID} = "HyperTerminal Icon Ext"

                   \InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]

"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop-Explorer"

  -> {HKLM...CLSID} = "Desktop-Explorer"

                   \InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]

"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"

  -> {HKLM...CLSID} = (no title provided)

                   \InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]

"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"

  -> {HKLM...CLSID} = "Shell Extension for Malware scanning"

                   \InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]

"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"

  -> {HKLM...CLSID} = "Portable Media Devices Menu"

                   \InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]

"{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}" = "TuneUp Shredder Shell Extension"

  -> {HKLM...CLSID} = "TuneUp Shredder Shell Extension"

                   \InProcServer32\(Default) = "C:\Programme\TuneUp Utilities 2008\SDShelEx-win32.dll" ["TuneUp Software GmbH"]

"{44440D00-FF19-4AFC-B765-9A0970567D97}" = "TuneUp Theme Extension"

  -> {HKLM...CLSID} = "TuneUp Theme Extension"

                   \InProcServer32\(Default) = "C:\WINDOWS\System32\uxtuneup.dll" ["TuneUp Software GmbH"]

"{72853161-30C5-4D22-B7F9-0BBC1D38A37E}" = "Groove GFS Browser Helper"

  -> {HKLM...CLSID} = "Groove GFS Browser Helper"

                   \InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll" [MS]

"{2A541AE1-5BF6-4665-A8A3-CFA9672E4291}" = "Groove GFS Explorer Bar"

  -> {HKLM...CLSID} = "Groove Folder Synchronization"

                   \InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll" [MS]

"{A449600E-1DC6-4232-B948-9BD794D62056}" = "Groove GFS Stub Icon Handler"

  -> {HKLM...CLSID} = "Groove GFS Stub Icon Handler"

                   \InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll" [MS]

"{B5A7F190-DDA6-4420-B3BA-52453494E6CD}" = "Groove GFS Stub Execution Hook"

  -> {HKLM...CLSID} = "Groove GFS Stub Execution Hook"

                   \InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll" [MS]

"{6C467336-8281-4E60-8204-430CED96822D}" = "Groove GFS Context Menu Handler"

  -> {HKLM...CLSID} = "Groove GFS Context Menu Handler"

                   \InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll" [MS]

"{387E725D-DC16-4D76-B310-2C93ED4752A0}" = "Groove XML Icon Handler"

  -> {HKLM...CLSID} = "Groove XML Icon Handler"

                   \InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll" [MS]

"{16F3DD56-1AF5-4347-846D-7C10C4192619}" = "Groove Explorer Icon Overlay 3 (GFS Folder)"

  -> {HKLM...CLSID} = "Groove Explorer Icon Overlay 3 (GFS Folder)"

                   \InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll" [MS]

"{AB5C5600-7E6E-4B06-9197-9ECEF74D31CC}" = "Groove Explorer Icon Overlay 2 (GFS Stub)"

  -> {HKLM...CLSID} = "Groove Explorer Icon Overlay 2 (GFS Stub)"

                   \InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll" [MS]

"{2916C86E-86A6-43FE-8112-43ABE6BF8DCC}" = "Groove Explorer Icon Overlay 4 (GFS Unread Mark)"

  -> {HKLM...CLSID} = "Groove Explorer Icon Overlay 4 (GFS Unread Mark)"

                   \InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll" [MS]

"{99FD978C-D287-4F50-827F-B2C658EDA8E7}" = "Groove Explorer Icon Overlay 1 (GFS Unread Stub)"

  -> {HKLM...CLSID} = "Groove Explorer Icon Overlay 1 (GFS Unread Stub)"

                   \InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll" [MS]

"{920E6DB1-9907-4370-B3A0-BAFC03D81399}" = "Groove Explorer Icon Overlay 2.5 (GFS Unread Folder)"

  -> {HKLM...CLSID} = "Groove Explorer Icon Overlay 2.5 (GFS Unread Folder)"

                   \InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll" [MS]

"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Custom Icon Handler"

  -> {HKLM...CLSID} = "Outlook File Icon Extension"

                   \InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office12\OLKFSTUB.DLL" [MS]

"{00020D75-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Desktop Icon Handler"

  -> {HKLM...CLSID} = "Microsoft Office Outlook"

                   \InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office12\MLSHEXT.DLL" [MS]

"{5858A72C-C2B4-4dd7-B2BF-B76DB1BD9F6C}" = "Microsoft Office OneNote Namespace Extension for Windows Desktop Search"

  -> {HKLM...CLSID} = "Microsoft Office OneNote Namespace Extension for Windows Desktop Search"

                   \InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office12\ONFILTER.DLL" [MS]

"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"

  -> {HKLM...CLSID} = (no title provided)

                   \InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office12\msohevi.dll" [MS]

"{993BE281-6695-4BA5-8A2A-7AACBFAAB69E}" = "Microsoft Office Metadata Handler"

  -> {HKLM...CLSID} = "Microsoft Office Metadata Handler"

                   \InProcServer32\(Default) = "C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll" [MS]

"{C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97}" = "Microsoft Office Thumbnail Handler"

  -> {HKLM...CLSID} = "Microsoft Office Thumbnail Handler"

                   \InProcServer32\(Default) = "C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll" [MS]

"{416651E4-9C3C-11D9-8BDE-F66BAD1E3F3A}" = "Nokia Phone Browser"

  -> {HKLM...CLSID} = "Nokia Phone Browser"

                   \InProcServer32\(Default) = "C:\Programme\Nokia\Nokia PC Suite 6\PhoneBrowser.dll" ["Nokia"]
 

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\

<<!>> "{B5A7F190-DDA6-4420-B3BA-52453494E6CD}" = "Groove GFS Stub Execution Hook"

  -> {HKLM...CLSID} = "Groove GFS Stub Execution Hook"

                   \InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll" [MS]
 

HKLM\SOFTWARE\Classes\PROTOCOLS\Filter\

<<!>> text/xml\CLSID = "{807563E5-5146-11D5-A672-00B0D022E945}"

  -> {HKLM...CLSID} = "Microsoft Office InfoPath XML Mime Filter"

                   \InProcServer32\(Default) = "C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL" [MS]
 

HKLM\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\

{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"

  -> {HKLM...CLSID} = "PDF Shell Extension"

                   \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]
 

HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\

Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"

  -> {HKLM...CLSID} = "Shell Extension for Malware scanning"

                   \InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]

TuneUp Shredder Shell Extension\(Default) = "{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}"

  -> {HKLM...CLSID} = "TuneUp Shredder Shell Extension"

                   \InProcServer32\(Default) = "C:\Programme\TuneUp Utilities 2008\SDShelEx-win32.dll" ["TuneUp Software GmbH"]

XXX Groove GFS Context Menu Handler XXX\(Default) = "{6C467336-8281-4E60-8204-430CED96822D}"

  -> {HKLM...CLSID} = "Groove GFS Context Menu Handler"

                   \InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll" [MS]
 

HKLM\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\

TuneUp Shredder Shell Extension\(Default) = "{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}"

  -> {HKLM...CLSID} = "TuneUp Shredder Shell Extension"

                   \InProcServer32\(Default) = "C:\Programme\TuneUp Utilities 2008\SDShelEx-win32.dll" ["TuneUp Software GmbH"]

XXX Groove GFS Context Menu Handler XXX\(Default) = "{6C467336-8281-4E60-8204-430CED96822D}"

  -> {HKLM...CLSID} = "Groove GFS Context Menu Handler"

                   \InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll" [MS]
 

HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\

MBAMShlExt\(Default) = "{57CE581A-0CB6-4266-9CA0-19364C90A0B3}"

  -> {HKLM...CLSID} = "MBAMShlExt Class"

                   \InProcServer32\(Default) = "C:\Programme\Malwarebytes' Anti-Malware\mbamext.dll" ["Malwarebytes Corporation"]

Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"

  -> {HKLM...CLSID} = "Shell Extension for Malware scanning"

                   \InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]

XXX Groove GFS Context Menu Handler XXX\(Default) = "{6C467336-8281-4E60-8204-430CED96822D}"

  -> {HKLM...CLSID} = "Groove GFS Context Menu Handler"

                   \InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll" [MS]
 

HKLM\SOFTWARE\Classes\AllFilesystemObjects\shellex\ContextMenuHandlers\

MBAMShlExt\(Default) = "{57CE581A-0CB6-4266-9CA0-19364C90A0B3}"

  -> {HKLM...CLSID} = "MBAMShlExt Class"

                   \InProcServer32\(Default) = "C:\Programme\Malwarebytes' Anti-Malware\mbamext.dll" ["Malwarebytes Corporation"]

XXX Groove GFS Context Menu Handler XXX\(Default) = "{6C467336-8281-4E60-8204-430CED96822D}"

  -> {HKLM...CLSID} = "Groove GFS Context Menu Handler"

                   \InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll" [MS]
 
 

Group Policies {GPedit.msc branch and setting}:

-----------------------------------------------
 

Note: detected settings may not have any effect.
 

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
 

"ForceClassicControlPanel" = (REG_DWORD) dword:0x00000001

{unrecognized setting}
 

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\
 

"shutdownwithoutlogon" = (REG_DWORD) dword:0x00000001

{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|

Shutdown: Allow system to be shut down without having to log on}
 

"undockwithoutlogon" = (REG_DWORD) dword:0x00000001

{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|

Devices: Allow undock without having to log on}
 
 

Active Desktop and Wallpaper:

-----------------------------
 

Active Desktop may be disabled at this entry:

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState
 

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:

HKCU\Software\Microsoft\Internet Explorer\Desktop\General\

"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"
 

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:

HKCU\Control Panel\Desktop\

"Wallpaper" = "C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"
 
 

Windows Portable Device AutoPlay Handlers

-----------------------------------------
 

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\Handlers\
 

MSVideoCameraArrival\

"Provider" = "@C:\Programme\Movie Maker\1031\wmm2res.dll,-100"

"ProgID" = "Shell.HWEventHandlerShellExecute"

"InitCmdLine" = ""C:\Programme\Movie Maker\moviemk.exe" /RECORD"

HKLM\SOFTWARE\Classes\Shell.HWEventHandlerShellExecute\CLSID\(Default) = "{FFB8655F-81B9-4fce-B89C-9A6BA76D13E7}"

  -> {HKLM...CLSID} = "ShellExecute HW Event Handler"

                   \LocalServer32\(Default) = "rundll32.exe shell32.dll,SHCreateLocalServerRunDll {FFB8655F-81B9-4fce-B89C-9A6BA76D13E7}" [MS]
 

NMMPlayCDAudioOnArrival\

"Provider" = "Nokia Music Manager"

"InvokeProgID" = "NokiaMusicManager"

"InvokeVerb" = "NMMPlayCD"

HKLM\SOFTWARE\Classes\NokiaMusicManager\shell\NMMPlayCD\command\(Default) = "C:\Programme\Nokia\Nokia PC Suite 6\MusicManager.exe /playCD "%L"" ["Nokia"]
 

NMMRipCDAudioOnArrival\

"Provider" = "Nokia Music Manager"

"InvokeProgID" = "NokiaMusicManager"

"InvokeVerb" = "NMMRipCD"

HKLM\SOFTWARE\Classes\NokiaMusicManager\shell\NMMRipCD\command\(Default) = "C:\Programme\Nokia\Nokia PC Suite 6\MusicManager.exe /ripCD "%L"" ["Nokia"]

5. Combofix startet ebenfalls nicht ... was nun? neustarten?

Scan mit Combofix läuft jetzt ... ich hoffe das funktioniert ^^

so mal gucken obs was brauchbares iss, gefunden und gelöscht wurde wohl was

5.

Code:

ComboFix 08-11-19.08 - *** 2008-11-21 14:31:55.1 - NTFSx86

Microsoft Windows XP Professional  5.1.2600.2.1252.1.1031.18.249 [GMT 1:00]
 
 Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!

.
 

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.
 

c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat

c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat

c:\dokumente und einstellungen\***\Cookies\afuf.bin

c:\dokumente und einstellungen\***\Cookies\fanug.lib

c:\dokumente und einstellungen\***\Cookies\ivylafy.db

c:\dokumente und einstellungen\***\Cookies\rodavuxi.bat

c:\dokumente und einstellungen\***\Cookies\wusafo.inf

c:\windows\msacm32.drv

c:\windows\regedit.com

c:\windows\sdfinacs.dll

c:\windows\sdfixwcs.dll

c:\windows\system32\drivers\TDSSpaxt.sys

c:\windows\system32\rtc.dat

c:\windows\system32\taskmgr.com

c:\windows\system32\TDSSciou.log

c:\windows\system32\TDSSfpmp.dll

c:\windows\system32\TDSSliqp.dll

c:\windows\system32\TDSSnrse.dll

c:\windows\system32\TDSSoexh.dll

c:\windows\system32\TDSSoiqh.dll

c:\windows\system32\TDSSosvn.dll

c:\windows\system32\TDSSpqxt.dat

c:\windows\system32\TDSSruma.log

c:\windows\system32\TDSSsihc.log

c:\windows\system32\wini108014.exe

c:\windows\wuasirvy.dll

E:\Autorun.inf
 

----- BITS: Eventuell infizierte Webseiten -----
 

hxxp://jupiter.brilon.heitzig-consult.de

.

(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))

.
 

-------\Service_TDSSSERV.SYS

-------\Legacy_TDSSSERV.SYS
 
 

(((((((((((((((((((((((   Dateien erstellt von 2008-10-21 bis 2008-11-21  ))))))))))))))))))))))))))))))

.
 

2008-11-18 19:33 . 2008-11-18 19:33        <DIR>        d--------        c:\programme\Trend Micro

2008-11-15 18:55 . 2008-11-15 18:55        <DIR>        d--------        c:\programme\CCleaner

2008-11-15 16:30 . 2008-11-15 16:30        <DIR>        d--------        c:\programme\Malwarebytes' Anti-Malware

2008-11-15 16:30 . 2008-11-15 16:30        <DIR>        d--------        c:\dokumente und einstellungen\Inga\Anwendungsdaten\Malwarebytes

2008-11-15 16:30 . 2008-11-15 16:30        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes

2008-11-15 16:30 . 2008-10-22 16:10        38,496        --a------        c:\windows\system32\drivers\mbamswissarmy.sys

2008-11-15 16:30 . 2008-10-22 16:10        15,504        --a------        c:\windows\system32\drivers\mbam.sys

2008-11-15 14:52 . 2008-11-15 14:52        <DIR>        d-a------        c:\windows\zts2.exe

2008-11-15 14:52 . 2008-11-15 14:52        <DIR>        d-a------        c:\windows\system32\iifgfgf.dll

2008-11-15 14:52 . 2008-11-15 14:52        <DIR>        d-a------        c:\windows\rundl132.dll

2008-11-15 14:52 . 2008-11-15 14:53        5,943,340        --a------        c:\windows\REGBK00.ZIP

2008-11-15 14:41 . 2008-11-15 14:41        28        --a------        c:\windows\Lic.xxx

2008-11-15 14:40 . 2008-11-15 14:40        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\MicroWorld

2008-11-15 14:40 . 2008-11-15 14:40        626,688        --a------        c:\windows\system32\msvcr80.dll

2008-11-15 14:40 . 2008-11-15 14:40        548,864        --a------        c:\windows\system32\msvcp80.dll

2008-11-15 14:40 . 2004-08-04 00:58        153,600        --a------        c:\windows\R.COM

2008-11-15 14:40 . 2004-08-04 00:58        140,800        --a------        c:\windows\system32\T.COM

2008-11-15 14:40 . 2008-11-15 14:40        28,672        --a------        c:\windows\system32\eEmpty.exe

2008-11-15 14:40 . 2005-09-22 23:22        522        --a------        c:\windows\system32\Microsoft.VC80.CRT.manifest

2008-11-13 17:10 . 2008-11-13 17:10        12,559        --a------        c:\dokumente und einstellungen\Inga\Anwendungsdaten\zytevu.sys

2008-11-07 17:27 . 2008-11-07 17:27        19,490        --a------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\beqyq.dll

2008-11-07 17:27 . 2008-11-07 17:27        18,577        --a------        c:\windows\system32\peha.inf

2008-11-07 17:27 . 2008-11-07 17:27        15,449        --a------        c:\windows\qiwywoxot.inf

2008-11-07 17:27 . 2008-11-07 17:27        14,753        --a------        c:\windows\varyp._dl

2008-11-07 17:27 . 2008-11-07 17:27        14,714        --a------        c:\windows\examohu.dl

2008-11-07 17:27 . 2008-11-07 17:27        14,508        --a------        c:\windows\ziwajun.vbs

2008-11-07 17:27 . 2008-11-07 17:27        13,639        --a------        c:\windows\ogasykakus.db

2008-11-07 17:27 . 2008-11-07 17:27        13,162        --a------        c:\windows\itinome.vbs

2008-11-07 17:27 . 2008-11-07 17:27        12,096        --a------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\ebisifyzyw.reg

2008-11-07 17:27 . 2008-11-07 17:27        10,640        --a------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\digoge.dll

2008-11-07 17:27 . 2008-11-07 17:27        10,545        --a------        c:\windows\rajequ.com

2008-11-01 16:40 . 2008-11-01 16:40        <DIR>        d--------        c:\dokumente und einstellungen\Inga\Phone Browser

2008-11-01 11:52 . 2008-11-01 16:40        <DIR>        d--------        c:\dokumente und einstellungen\Inga\Anwendungsdaten\Nokia Multimedia Player

2008-10-31 19:26 . 2008-10-31 19:27        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\PC Suite

2008-10-31 19:25 . 2008-11-01 13:09        <DIR>        d--------        c:\dokumente und einstellungen\Inga\Anwendungsdaten\Nokia

2008-10-31 19:24 . 2008-10-31 19:24        <DIR>        d--------        c:\programme\PC Connectivity Solution

2008-10-31 19:24 . 2008-10-31 19:24        <DIR>        d--------        c:\programme\Gemeinsame Dateien\PCSuite

2008-10-31 19:24 . 2008-10-31 19:24        <DIR>        d--------        c:\programme\Gemeinsame Dateien\Nokia

2008-10-31 19:24 . 2008-10-31 19:24        <DIR>        d--------        c:\programme\DIFX

2008-10-31 19:24 . 2008-10-31 19:24        <DIR>        d--------        c:\dokumente und einstellungen\Inga\Anwendungsdaten\PC Suite

2008-10-31 19:24 . 2007-02-22 10:15        12,288        --a------        c:\windows\system32\drivers\nmwcdcm.sys

2008-10-31 19:24 . 2007-02-22 10:15        12,288        --a------        c:\windows\system32\drivers\nmwcdcj.sys

2008-10-31 19:23 . 2008-10-31 19:25        <DIR>        d----c---        c:\windows\system32\DRVSTORE

2008-10-31 19:23 . 2008-10-31 19:24        <DIR>        d--------        c:\programme\Nokia

2008-10-31 19:23 . 2007-02-22 10:15        137,216        --a------        c:\windows\system32\drivers\nmwcd.sys

2008-10-31 19:23 . 2007-02-22 10:15        90,624        --a------        c:\windows\system32\nmwcdcls.dll

2008-10-31 19:23 . 2007-02-22 10:15        65,536        --a------        c:\windows\system32\nmwcdcocls.dll

2008-10-31 19:23 . 2007-02-22 10:15        8,320        --a------        c:\windows\system32\drivers\nmwcdc.sys

2008-10-31 19:22 . 2008-10-31 19:22        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations

2008-10-30 15:14 . 2004-01-14 02:10        163,840        --a------        c:\windows\BJPSUNST.EXE

2008-10-30 15:13 . 2003-09-18 14:32        1,060,864        --a------        c:\windows\system32\MFC71.dll

2008-10-30 15:09 . 2008-10-30 15:09        <DIR>        d--------        c:\windows\StartHtmico

2008-10-30 15:09 . 2005-08-26 06:00        140,288        --a------        c:\windows\system32\CNMLM78.DLL

2008-10-30 15:09 . 2005-03-08 19:17        90,112        ---------        c:\windows\system32\CNMCP78.exe

2008-10-30 15:09 . 2005-03-08 19:17        90,112        -ra------        c:\windows\system32\cnm4C.tmp

2008-10-30 15:09 . 2005-08-26 06:00        8,704        --a------        c:\windows\system32\CNMVS78.DLL

2008-10-30 15:08 . 2008-10-30 15:08        <DIR>        d--h-----        c:\dokumente und einstellungen\All Users\Anwendungsdaten\CanonBJ

2008-10-30 15:05 . 2008-10-30 15:14        <DIR>        d--------        c:\programme\Canon

2008-10-29 19:58 . 2008-10-29 19:58        <DIR>        d--------        c:\programme\ICQ6Toolbar

2008-10-29 19:58 . 2008-10-29 19:58        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\ICQ

2008-10-29 19:57 . 2008-10-29 21:28        <DIR>        d--------        c:\dokumente und einstellungen\Inga\Anwendungsdaten\ICQ

2008-10-29 19:56 . 2008-10-29 21:28        <DIR>        d--------        c:\programme\ICQ6

2008-10-29 19:06 . 2008-10-29 19:06        <DIR>        d--------        c:\programme\Avira

2008-10-29 19:06 . 2008-10-29 19:06        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira

2008-10-29 18:47 . 2008-10-29 19:07        <DIR>        d--------        c:\programme\NOS

2008-10-29 18:47 . 2008-10-29 19:07        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\NOS

2008-10-29 18:32 . 2008-10-03 17:58        6,066,176        ---------        c:\windows\system32\dllcache\ieframe.dll

2008-10-29 18:32 . 2007-04-17 10:32        2,455,488        ---------        c:\windows\system32\dllcache\ieapfltr.dat

2008-10-29 18:32 . 2007-03-08 06:09        1,040,384        ---------        c:\windows\system32\dllcache\ieframe.dll.mui

2008-10-29 18:32 . 2008-08-26 08:57        459,264        ---------        c:\windows\system32\dllcache\msfeeds.dll

2008-10-29 18:32 . 2008-08-26 08:57        383,488        ---------        c:\windows\system32\dllcache\ieapfltr.dll

2008-10-29 18:32 . 2008-08-26 08:57        267,776        ---------        c:\windows\system32\dllcache\iertutil.dll

2008-10-29 18:32 . 2008-08-26 08:57        63,488        ---------        c:\windows\system32\dllcache\icardie.dll

2008-10-29 18:32 . 2008-08-26 08:57        52,224        ---------        c:\windows\system32\dllcache\msfeedsbs.dll

2008-10-29 18:32 . 2008-08-25 09:38        13,824        ---------        c:\windows\system32\dllcache\ieudinit.exe

2008-10-28 21:02 . 2008-10-28 21:02        <DIR>        d---s----        c:\dokumente und einstellungen\Inga\UserData

2008-10-28 19:47 . 2006-10-26 19:56        32,592        --a------        c:\windows\system32\msonpmon.dll

2008-10-28 19:42 . 2008-10-28 19:42        <DIR>        d--------        c:\programme\MSBuild

2008-10-28 19:42 . 2008-10-28 19:43        <DIR>        d--------        c:\programme\Microsoft Works

2008-10-28 19:40 . 2008-10-28 19:40        <DIR>        d--------        c:\programme\Microsoft.NET

2008-10-28 19:35 . 2008-10-28 19:41        <DIR>        d--------        c:\windows\SHELLNEW

2008-10-28 19:34 . 2008-10-28 19:34        <DIR>        dr-h-----        C:\MSOCache

2008-10-28 19:34 . 2008-11-06 10:58        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help

2008-10-28 19:31 . 2008-10-28 19:31        <DIR>        d--------        c:\programme\TuneUp Utilities 2008

2008-10-28 19:31 . 2008-10-28 19:31        <DIR>        d--------        c:\dokumente und einstellungen\Inga\Anwendungsdaten\TuneUp Software

2008-10-28 19:31 . 2008-10-28 19:31        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software

2008-10-28 19:31 . 2008-10-28 19:31        306,432        --a------        c:\windows\system32\TuneUpDefragService.exe

2008-10-28 19:31 . 2007-09-04 11:59        29,704        --a------        c:\windows\system32\uxtuneup.dll

2008-10-28 19:30 . 2008-10-28 19:30        <DIR>        d--------        c:\programme\Gemeinsame Dateien\Wise Installation Wizard

2008-10-28 19:09 . 2008-10-28 19:09        <DIR>        d--------        c:\dokumente und einstellungen\Inga\Anwendungsdaten\T-Online

2008-10-27 15:53 . 2008-10-27 15:53        <DIR>        d--------        c:\dokumente und einstellungen\Inga\Anwendungsdaten\Drag'n Drop CD+DVD

2008-10-27 15:52 . 2003-02-13 14:21        <DIR>        d--h-----        c:\dokumente und einstellungen\Inga\Vorlagen

2008-10-27 15:52 . 2003-02-13 14:21        <DIR>        dr-------        c:\dokumente und einstellungen\Inga\Startmenü

2008-10-27 15:52 . 2008-11-02 17:43        <DIR>        d--h-----        c:\dokumente und einstellungen\Inga\Netzwerkumgebung

2008-10-27 15:52 . 2008-11-21 14:34        <DIR>        d--h-----        c:\dokumente und einstellungen\Inga\Lokale Einstellungen

2008-10-27 15:52 . 2008-11-02 17:51        <DIR>        dr-------        c:\dokumente und einstellungen\Inga\Favoriten

2008-10-27 15:52 . 2008-11-15 19:10        <DIR>        dr-------        c:\dokumente und einstellungen\Inga\Eigene Dateien

2008-10-27 15:52 . 2003-02-13 14:21        <DIR>        d--h-----        c:\dokumente und einstellungen\Inga\Druckumgebung

2008-10-27 15:52 . 2008-11-15 16:30        <DIR>        dr-h-----        c:\dokumente und einstellungen\Inga\Anwendungsdaten

2008-10-27 15:52 . 2008-11-15 19:12        <DIR>        d--------        c:\dokumente und einstellungen\Inga
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-10-29 19:55        ---------        d-----w        c:\programme\Microsoft ActiveSync

2008-10-29 19:33        ---------        d-----w        c:\programme\Logitech

2008-10-29 19:31        ---------        d-----w        c:\programme\Gemeinsame Dateien\Logitech

2008-10-29 19:01        ---------        d--h--w        c:\programme\InstallShield Installation Information

2008-10-29 17:56        ---------        d-----w        c:\programme\Gemeinsame Dateien\Adobe

2008-10-28 18:22        ---------        d-----w        c:\programme\Google

2008-10-28 18:21        ---------        d-----w        c:\programme\TOSHIBA

2008-10-28 18:17        ---------        d-----w        c:\programme\Mozilla Thunderbird

2008-10-27 14:10        ---------        d-----w        c:\programme\ErfolgsressourceICH

2008-10-27 14:00        ---------        d-----w        c:\programme\StarMoney 4.0 S-Edition

2008-10-27 13:59        ---------        d-----w        c:\programme\StarMoney 5.0

2008-10-15 16:57        332,800        ------w        c:\windows\system32\dllcache\netapi32.dll

2008-09-15 15:37        1,846,144        ----a-w        c:\windows\system32\win32k.sys

2008-09-15 15:37        1,846,144        ------w        c:\windows\system32\dllcache\win32k.sys

2008-08-28 10:04        333,056        ------w        c:\windows\system32\dllcache\srv.sys

2008-08-27 13:27        3,593,216        ------w        c:\windows\system32\dllcache\mshtml.dll

2008-08-25 08:37        70,656        ------w        c:\windows\system32\dllcache\ie4uinit.exe

2008-08-23 05:56        635,848        ------w        c:\windows\system32\dllcache\iexplore.exe

2008-08-23 05:54        161,792        ------w        c:\windows\system32\dllcache\ieakui.dll

.
 

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.

REGEDIT4
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="NvQTwk" [X]

"00THotkey"="c:\windows\System32\00THotkey.exe" [2003-02-11 09:57 249856]

"TosHKCW.exe"="c:\programme\TOSHIBA\Wireless Hotkey\TosHKCW.exe" [2002-09-09 49152]

"Apoint"="c:\programme\Apoint2K\Apoint.exe" [2002-12-25 159744]

"TMESRV.EXE"="c:\programme\TOSHIBA\TME3\TMESRV31.EXE" [2003-02-12 110592]

"TMERzCtl.EXE"="c:\programme\TOSHIBA\TME3\TMERzCtl.EXE" [2003-02-12 57344]

"TMEEJME.EXE"="c:\programme\TOSHIBA\TME3\TMEEJME.EXE" [2003-02-12 49152]

"TMESBS.EXE"="c:\programme\TOSHIBA\TME3\TMESBS32.EXE" [2003-02-12 65536]

"DpUtil"="c:\programme\TOSHIBA\DualPointUtility\TEDTray.exe" [2003-02-13 180224]

"SunJavaUpdateSched"="c:\programme\Java\jre1.5.0_04\bin\jusched.exe" [2005-06-03 36975]

"Synchronization Manager"="c:\windows\system32\mobsync.exe" [2004-08-04 144384]

"GrooveMonitor"="c:\programme\Microsoft Office\Office12\GrooveMonitor.exe" [2007-08-24 33648]

"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]

"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]

"Easy-PrintToolBox"="c:\programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE" [2004-01-14 409600]

"PCSuiteTrayApplication"="c:\programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe" [2007-03-23 227328]

"Malwarebytes Anti-Malware (reboot)"="c:\programme\Malwarebytes' Anti-Malware\mbam.exe" [2008-10-22 1261200]

"nwiz"="nwiz.exe" [2002-12-12 c:\windows\system32\nwiz.exe]

"000StTHK"="000StTHK.exe" [2001-06-23 19:28 24576 c:\windows\system32\000StTHK.exe]

"Tpwrtray"="TPWRTRAY.EXE" [2003-01-17 c:\windows\system32\TPWRTRAY.EXE]

"TFncKy"="TFncKy.exe" [BU]

"TFNF5"="TFNF5.exe" [2001-09-04 c:\windows\system32\TFNF5.exe]

"Logitech Utility"="Logi_MwX.Exe" [2003-12-17 c:\windows\LOGI_MWX.EXE]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-04 15360]

"Nokia.PCSync"="c:\programme\Nokia\Nokia PC Suite 6\PcSync2.exe" [2007-03-27 1744896]
 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"ForceClassicControlPanel"= 1 (0x1)
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"MSACM.CEGSM"= mobilev.acm

"midi2"= c_355868.nls

"aux1"= c_355868.nls

"wave1"= c_355868.nls

"mixer1"= c_355868.nls

"midi1"= c_355868.nls

"wave2"= c_355868.nls

"mixer2"= c_355868.nls

"aux2"= c_355868.nls
 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusDisableNotify"=dword:00000001

"UpdatesDisableNotify"=dword:00000001
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Programme\\Messenger\\msmsgs.exe"=

"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

"c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=

"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Programme\\ICQ6\\ICQ.exe"=
 

R1 TMEI3E;TMEI3E;c:\windows\system32\Drivers\TMEI3E.SYS [2003-03-03 5760]

R2 Tmesbs;Tmesbs32;c:\programme\TOSHIBA\TME3\Tmesbs32.exe /Service [2003-03-03 65536]

R2 UxTuneUp;TuneUp Designerweiterung;c:\windows\System32\svchost.exe -k netsvcs [1979-12-31 14336]

S3 LCcfltr;Logitech USB Filter Driver;c:\windows\system32\Drivers\LCcFltr.Sys [2004-07-19 14095]

S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;c:\windows\System32\TuneUpDefragService.exe [2008-10-28 306432]
 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs

UxTuneUp
 

*Newly Created Service* - CATCHME

*Newly Created Service* - PROCEXP90

.

Inhalt des "geplante Tasks" Ordners
 

2008-10-31 c:\windows\Tasks\1-Klick-Wartung.job

- c:\programme\TuneUp Utilities 2008\OneClick.exe [2007-12-14 13:17]

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = hxxp://www.google.com

mStart Page = hxxp://www.google.com

IE: Easy-WebPrint - Drucken - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html

IE: Easy-WebPrint - Schnelldruck - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html

IE: Easy-WebPrint - Vorschau - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html

IE: Easy-WebPrint - Zu Druckliste hinzufügen - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html

IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000

IE: {CC88D81F-6166-4F46-AC89-B75CD9CEB292} - {76E2006B-AC76-4710-AC10-4ADE018779EB} -
 

O16 -: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab

c:\windows\Downloaded Program Files\DirectAnimation Java Classes.osd
 

O16 -: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab

c:\windows\Downloaded Program Files\Microsoft XML Parser for Java.osd

.
 

**************************************************************************
 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-11-21 14:34:39

Windows 5.1.2600 Service Pack 2 NTFS
 

Scanne versteckte Prozesse...
 

Scanne versteckte Autostarteinträge...
 

Scanne versteckte Dateien...
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************
 

[HKEY_LOCAL_MACHINE\system\ControlSet003\Services\TDSSserv.sys]

"imagepath"="\systemroot\system32\drivers\TDSSpaxt.sys"

.

Zeit der Fertigstellung: 2008-11-21 14:36:05

ComboFix-quarantined-files.txt  2008-11-21 13:36:00
 

Vor Suchlauf: 16 Verzeichnis(se), 11,202,171,392 Bytes frei

Nach Suchlauf: 16 Verzeichnis(se), 11,273,577,472 Bytes frei
 

271        --- E O F ---        2008-10-28 20:50:44

6. http://www.file-upload.net/download-...sting.txt.html

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 15:03:55, on 21.11.2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16735)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\System32\nvsvc32.exe

C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\TOSHIBA\TME3\Tmesbs32.exe

C:\Programme\TOSHIBA\TME3\Tmesrv31.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\System32\00THotkey.exe

C:\WINDOWS\system32\TPWRTRAY.EXE

C:\Programme\TOSHIBA\TOSHIBA Controls\TFncKy.exe

C:\WINDOWS\system32\TFNF5.exe

C:\Programme\TOSHIBA\Wireless Hotkey\TosHKCW.exe

C:\Programme\Apoint2K\Apoint.exe

C:\Programme\TOSHIBA\TME3\TMERzCtl.EXE

C:\Programme\TOSHIBA\TME3\TMEEJME.EXE

C:\Programme\TOSHIBA\TME3\TMESBS32.EXE

C:\Programme\TOSHIBA\DualPointUtility\TEDTray.exe

C:\WINDOWS\Logi_MwX.Exe

C:\Programme\Java\jre1.5.0_04\bin\jusched.exe

C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe

C:\Programme\Apoint2K\Apntex.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\PC Connectivity Solution\ServiceLayer.exe

C:\Programme\Trend Micro\HijackThis\HijackThis.exe
 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R3 - URLSearchHook: (no name) -  - (no file)

O1 - Hosts: 172.22.0.2 crmserver

O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize

O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet

O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe

O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe

O4 - HKLM\..\Run: [Tpwrtray] TPWRTRAY.EXE

O4 - HKLM\..\Run: [TFncKy] TFncKy.exe /Type 25

O4 - HKLM\..\Run: [TFNF5] TFNF5.exe

O4 - HKLM\..\Run: [TosHKCW.exe] "C:\Programme\TOSHIBA\Wireless Hotkey\TosHKCW.exe"

O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe

O4 - HKLM\..\Run: [TMESRV.EXE] C:\Programme\TOSHIBA\TME3\TMESRV31.EXE /Logon

O4 - HKLM\..\Run: [TMERzCtl.EXE] C:\Programme\TOSHIBA\TME3\TMERzCtl.EXE /Service

O4 - HKLM\..\Run: [TMEEJME.EXE] C:\Programme\TOSHIBA\TME3\TMEEJME.EXE

O4 - HKLM\..\Run: [TMESBS.EXE] C:\Programme\TOSHIBA\TME3\TMESBS32.EXE /Client

O4 - HKLM\..\Run: [DpUtil] C:\Programme\TOSHIBA\DualPointUtility\TEDTray.exe

O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe

O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon

O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon

O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\Run: [Nokia.PCSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html

O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html

O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html

O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html

O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: SuperOffice - {CC88D81F-6166-4F46-AC89-B75CD9CEB292} - C:\WINDOWS\System32\shdocvw.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1110968356771

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1214223473711

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = brilon.heitzig-consult.de

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll

O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: Tmesbs32 (Tmesbs) - TOSHIBA Corporation - C:\Programme\TOSHIBA\TME3\Tmesbs32.exe

O23 - Service: Tmesrv3 (Tmesrv) - TOSHIBA - C:\Programme\TOSHIBA\TME3\Tmesrv31.exe

O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
 

--

End of file - 7651 bytes

sooo fertig ?!

scanne nochmal mit antivir das system ... augenscheinlich hat das update über internet geklappt und der scann läuft.

das sicherheitscenter iss auch wieder da...

scheint gewirkt zu haben ...

danke erstmal.

wenn mir nochmal wer ne bestätigung geben kann indem er die logs mal anschaut wäre ich nochmal sehr dankbar ;-)

Sry, aber auch bei Dir verdichten sich Hinweise auf einen "verschleppten" Silentbanker => Formatieren und Neuaufsetzen empfohlen!

Code:

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"MSACM.CEGSM"= mobilev.acm

"midi2"= c_355868.nls

"aux1"= c_355868.nls

"wave1"= c_355868.nls

Zudem war/ist ein TDSS-Rootkit aktiv (gewesen). Mach aber biite dennoch mal nen Durchlauf mit dem Avenger:

Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:

Doppelklick auf das Avenger-Symbol http://saved.im/mzi3ntr4adf5/trert.jpg

Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code:

files to delete:

c:\windows\system32\peha.inf

c:\windows\system32\c_355868.nls

c:\windows\qiwywoxot.inf

c:\windows\varyp._dl

c:\windows\examohu.dl

c:\windows\ziwajun.vbs

c:\windows\ogasykakus.db

c:\windows\itinome.vbs

c:\dokumente und einstellungen\All Users\Anwendungsdaten\ebisifyzyw.reg

c:\dokumente und einstellungen\All Users\Anwendungsdaten\digoge.dll#

c:\windows\rajequ.com
 

registry keys to delete:

HKEY_LOCAL_MACHINE\system\ControlSet003\Services\TDSSserv.sys

http://mitglied.lycos.de/efunction/tb/avenger.png

Schliesse nun alle Programme und Browser-Fenster

Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet

Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.
Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe - editiere die Links und privaten Infos!!

alles klar, ich arbeite den punkt auch noch ab.

bisher läuft der lappi reibungslos, ich hoffe das bleibt so da ich den ungern neuaufsetzen möchte.
zum lappi allgemein. der vater von meiner freundin hatte den vorher als ´normales arbeitsgerät, ist selbstständig tätig. sein IT-Mensch hätte den eigentlich reniigen sollen.

d.h. alle daten der firma runter etc. hatte eigentlich auch erwartet das er den neuaufsetzt, allein weil man gelöschte daten eh wiederherstellen könnte ....
frage mich jetzt wo der trojaner den einzug erhalen haben, ob die teile schon vorher drauf waren oder obs doch durch ein falsches handhaben des jetzigen benutzer war, sprich mails öffnen etc.

kam das jetzt alles durch diesen "antivirus2009" ??? oder sind das mehrere trojaner/würmer gewesen?

Avenger-log:

Code:

Logfile of The Avenger Version 2.0, (c) by Swandog46

http://swandog46.geekstogo.com
 

Platform:  Windows XP
 

*******************
 

Script file opened successfully.

Script file read successfully.
 

Backups directory opened successfully at C:\Avenger
 

*******************
 

Beginning to process script file:
 

Rootkit scan active.

No rootkits found!
 

File "c:\windows\system32\peha.inf" deleted successfully.

File "c:\windows\system32\c_355868.nls" deleted successfully.

File "c:\windows\qiwywoxot.inf" deleted successfully.

File "c:\windows\varyp._dl" deleted successfully.

File "c:\windows\examohu.dl" deleted successfully.

File "c:\windows\ziwajun.vbs" deleted successfully.

File "c:\windows\ogasykakus.db" deleted successfully.

File "c:\windows\itinome.vbs" deleted successfully.

File "c:\dokumente und einstellungen\All Users\Anwendungsdaten\ebisifyzyw.reg" deleted successfully.
 

Error:  file "c:\dokumente und einstellungen\All Users\Anwendungsdaten\digoge.dll#" not found!

Deletion of file "c:\dokumente und einstellungen\All Users\Anwendungsdaten\digoge.dll#" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

  --> the object does not exist
 

File "c:\windows\rajequ.com" deleted successfully.
 

Error:  registry key "HKEY_LOCAL_MACHINE\system\ControlSet003\Services\TDSSserv.sys" not found!

Deletion of registry key "HKEY_LOCAL_MACHINE\system\ControlSet003\Services\TDSSserv.sys" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

  --> the object does not exist
 
 

Completed script processing.
 

*******************
 

Finished!  Terminate.

neuer hijackthis-log:

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 12:30:57, on 22.11.2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16735)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\NOTEPAD.EXE

C:\WINDOWS\System32\00THotkey.exe

C:\WINDOWS\system32\TPWRTRAY.EXE

C:\Programme\TOSHIBA\TOSHIBA Controls\TFncKy.exe

C:\WINDOWS\system32\TFNF5.exe

C:\Programme\TOSHIBA\Wireless Hotkey\TosHKCW.exe

C:\Programme\Apoint2K\Apoint.exe

C:\Programme\TOSHIBA\TME3\TMERzCtl.EXE

C:\Programme\TOSHIBA\TME3\TMEEJME.EXE

C:\Programme\TOSHIBA\TME3\TMESBS32.EXE

C:\Programme\TOSHIBA\DualPointUtility\TEDTray.exe

C:\WINDOWS\Logi_MwX.Exe

C:\Programme\Apoint2K\Apntex.exe

C:\Programme\Java\jre1.5.0_04\bin\jusched.exe

C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe

C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe

C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\System32\nvsvc32.exe

C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\TOSHIBA\TME3\Tmesbs32.exe

C:\Programme\TOSHIBA\TME3\Tmesrv31.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\Internet Explorer\iexplore.exe

C:\Programme\PC Connectivity Solution\ServiceLayer.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Programme\Trend Micro\HijackThis\HijackThis.exe
 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R3 - URLSearchHook: (no name) -  - (no file)

O1 - Hosts: 172.22.0.2 crmserver

O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize

O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet

O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe

O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe

O4 - HKLM\..\Run: [Tpwrtray] TPWRTRAY.EXE

O4 - HKLM\..\Run: [TFncKy] TFncKy.exe /Type 25

O4 - HKLM\..\Run: [TFNF5] TFNF5.exe

O4 - HKLM\..\Run: [TosHKCW.exe] "C:\Programme\TOSHIBA\Wireless Hotkey\TosHKCW.exe"

O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe

O4 - HKLM\..\Run: [TMESRV.EXE] C:\Programme\TOSHIBA\TME3\TMESRV31.EXE /Logon

O4 - HKLM\..\Run: [TMERzCtl.EXE] C:\Programme\TOSHIBA\TME3\TMERzCtl.EXE /Service

O4 - HKLM\..\Run: [TMEEJME.EXE] C:\Programme\TOSHIBA\TME3\TMEEJME.EXE

O4 - HKLM\..\Run: [TMESBS.EXE] C:\Programme\TOSHIBA\TME3\TMESBS32.EXE /Client

O4 - HKLM\..\Run: [DpUtil] C:\Programme\TOSHIBA\DualPointUtility\TEDTray.exe

O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe

O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon

O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon

O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\Run: [Nokia.PCSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html

O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html

O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html

O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html

O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: SuperOffice - {CC88D81F-6166-4F46-AC89-B75CD9CEB292} - C:\WINDOWS\System32\shdocvw.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1110968356771

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1214223473711

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = brilon.heitzig-consult.de

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll

O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: Tmesbs32 (Tmesbs) - TOSHIBA Corporation - C:\Programme\TOSHIBA\TME3\Tmesbs32.exe

O23 - Service: Tmesrv3 (Tmesrv) - TOSHIBA - C:\Programme\TOSHIBA\TME3\Tmesrv31.exe

O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
 

--

End of file - 7781 bytes

mahlzeit,

also so ein bissel stehe ich doch noch aufm schlauch.

ist nun alles in ordnung?
hab das was root24 geschrieben hat mal durchgeführt ... siehe ein post weiter oben.

kann mir mal jemand helfen? :(

[edit]

Bitte eröffne, wie jeder andere hier auch, für dein Problem eine eigenes Thema.
Nur so wird sichergestellt as jedem User übersichtlich und individuell geholfen werden kann.

Danke. :)

[/edit]

Also Dein Rechner läuft wieder einwandfrei sagtest Du? Das Hijackthis Logfile sieht ebenfalls OK aus, allerding könnte man diese Einträge noch fixen:

Code:

R3 - URLSearchHook: (no name) - - (no file)

O1 - Hosts: 172.22.0.2 crmserver

Es sei denn Du, der Eintrag zum crmserver (Firmennetzwerk? :confused:) stimmt so und ist auch gewollt.

hmh iss sicherlich vom firmennetzwerk, wie gesagt iss ein lappi von einer firma.

der lappi läuft wieder einwandfrei, keine zocken mehr, antivir updatet ohne probleme, sicherheitscenter is wieder das alte. lediglich den abgesicherten modus habe ich nicht nochmal getestet.

kann ich diesen crm eintrag entfernen ohne probleme?
der lappi wird nicht weiter für die firma verwendet sondern nur noch privat.

danke erstmal für die ganze hilfe, echt super :-)

Code:

C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

Dir ist aber schon klar, dass das nicht erlaubt ist was ihr da macht, wenn das Notebook noch beruflich eingesetzt wird? :rolleyes:
AntiVir Personal Edition (kostenlos) darf nur für den reinen privaten Einsatz (kostenlos) betrieben werden.

vielleicht etwas falsch ausgedrückt ... keine sorge, der vater meiner freundin hat sich ein neues angeschafft und das alte seiner tochter gegeben.

vorher hat der it-mensch seiner firma sich das gerät vorgeknöpft und "gereinigt".

ich habe dann antivir draufgespielt, läuft alles legal ab ;-)

somit ist es für sie rein privat, denke ich zumindest ;-)

Na, das interessiert mich nicht wirklich, wollte nur die Warnung geben, da die Firma sonst in rechtliche Schwierigkeiten kommen könnte. Und das wollt ihr doch nicht oder ;)

das weiß ich und nein das wollen die nicht ;-)

aber wie gesagt ist eh von mir aufgespielt worden und der lappi gehört ja der tochter und nicht der firma ;-)