Probleme bei endgültiger Entfernung von tdss Trojaner
 

Hallo liebes Forum!

wünsche Euch allen erst einmal ein Gutes Neues Jahr!:daumenhoc

Ich hatte/habe folgendes Problem:
Meine McAfee Sicherheitssoftware datete nicht mehr automatisch up.
Manueller Download brachte in der letzten Instanz jedesmal "Seite kann nicht angezeigt werden.
Diverse Suchergebnisse bei Google führten beim Anklicken auf ganz andere Seiten.
Die obengenannten Fehler passierten bei IE7 und Modzilla Firefox.
System reagiert manchmal verzögert.....

Ich habe dann irgendwann Euer Forum gefunden und mich hier eingelesen:
http://www.trojaner-board.de/59605-g...n-oeffnen.html

Das malware Program hat 6 Infizierungen gefunden... die habe ich gelöscht.
McAfee habe ich neu installiert und einen kompletten Scan durchgeführt. Ergebniss - keine Infizierungen
Firefox (leider mit allen Lesezeichen und Links) gelöscht und mittlerweile neu installiert
Trotzdem komme ich nicht auf manche Internetseiten :koch:

Habt Ihr ein paar Tipps für mich wie ich mein System wieder zum Laufen bekomme? Ich will morgen ein paar Tage wegfahren und würde es gerne (funktionierend) mitnehmen....

Vielen Dank schon mal vor ab!

Gruß Micha

PS: bin newbee und habe nur oberflächliche Computererfahrungen

PSS: Habe es ganz vergessen - Mein Notebook läuft mit WIN XP Media Center Edition SP3

Malwarebytes' Anti-Malware

• Lies dir die Entfernungsanleitung durch und lass alles entfernen was gefunden wurde:

• Download von Malwarebytes' Anti-Malware

http://saved.im/ndc5njj4d2lr/entfernen.png
(nach dem scannen auf den Button klicken und Funde löschen lassen!)



ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)

Hallo Sunny,

Danke für die schnelle Antwort! :-)

Das Malware Programm habe ich schon ausgeführt - an das Combo habe ich mich ohne Unterstützung nich drangetraut ;-)

Werde das jetzt mal machen!

Gruß Micha

Hast du den Report noch von MBAM?
Wenn ja dann poste ihn hier in deinem Beitrag...
(MBAM entfernt einen Teil des Rootkits, ich möchte sehen was alles gefunden und entfernt wurde.)

Soooooooo

alles nach Anweisung gemacht :-)

Log mbam:

Malwarebytes' Anti-Malware 1.31
Datenbank Version: 1600
Windows 5.1.2600 Service Pack 3

03.01.2009 13:05:39
mbam-log-2009-01-03 (13-05-30).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|F:\|)
Durchsuchte Objekte: 122522
Laufzeit: 35 minute(s), 30 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 4

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\videosoft (Trojan.DNSChanger) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\resycled (Trojan.DNSChanger) -> No action taken.

Infizierte Dateien:
C:\WINDOWS\system32\msqpdxkkylalnh.dll (Trojan.TDSS) -> No action taken.
C:\resycled\boot.com (Trojan.DNSChanger) -> No action taken.
C:\WINDOWS\system32\drivers\msqpdxcnqrpoht.sys (Trojan.Agent) -> No action taken.
C:\WINDOWS\Temp\tempo-D55.tmp (Trojan.DNSChanger) -> No action taken.

und hier der log von combofix:

ComboFix 09-01-01.02 - Michael 2009-01-03 16:15:24.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.2038.1529 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Michael\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\Mlkf.dll

.
((((((((((((((((((((((( Dateien erstellt von 2008-12-03 bis 2009-01-03 ))))))))))))))))))))))))))))))
.

2009-01-03 16:06 . 2009-01-03 16:06 <DIR> d-------- c:\programme\CCleaner
2009-01-03 13:45 . 2006-03-03 08:07 143,360 --a------ c:\windows\system32\dunzip32.dll
2009-01-03 13:45 . 2009-01-03 15:45 6,381 --a------ c:\windows\system32\Config.MPF
2009-01-03 13:41 . 2007-11-22 06:44 201,320 --a------ c:\windows\system32\drivers\mfehidk.sys
2009-01-03 13:41 . 2007-07-13 06:20 113,952 --a------ c:\windows\system32\drivers\Mpfp.sys
2009-01-03 13:41 . 2007-11-22 06:44 79,304 --a------ c:\windows\system32\drivers\mfeavfk.sys
2009-01-03 13:41 . 2007-12-02 12:51 40,488 --a------ c:\windows\system32\drivers\mfesmfk.sys
2009-01-03 13:41 . 2007-11-22 06:44 35,240 --a------ c:\windows\system32\drivers\mfebopk.sys
2009-01-03 13:41 . 2007-11-22 06:44 33,832 --a------ c:\windows\system32\drivers\mferkdk.sys
2009-01-03 13:40 . 2009-01-03 13:40 <DIR> d-------- c:\programme\McAfee.com
2009-01-03 13:40 . 2009-01-03 13:41 <DIR> d-------- c:\programme\Gemeinsame Dateien\McAfee
2009-01-03 11:21 . 2009-01-03 11:21 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2009-01-03 11:21 . 2009-01-03 11:21 <DIR> d-------- c:\dokumente und einstellungen\Michael\Anwendungsdaten\Malwarebytes
2009-01-03 11:21 . 2009-01-03 11:21 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-01-03 11:21 . 2008-12-03 19:52 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-01-03 11:21 . 2008-12-03 19:52 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-01-02 11:49 . 2009-01-02 11:49 <DIR> d-------- c:\dokumente und einstellungen\Michael\Anwendungsdaten\Windows Search
2008-12-29 17:39 . 2008-12-29 18:03 <DIR> d-------- C:\xxx
2008-12-26 16:12 . 2008-12-31 20:13 <DIR> d-------- C:\divx
2008-12-26 15:52 . 2008-12-26 15:53 <DIR> d-------- c:\programme\DivX
2008-12-26 14:39 . 2008-12-26 14:39 <DIR> d-------- c:\dokumente und einstellungen\Michael\Anwendungsdaten\DivX
2008-12-26 14:27 . 2009-01-03 14:38 125 --a------ c:\windows\system32\mslck.dat
2008-12-26 14:10 . 2008-12-26 14:29 <DIR> d-------- c:\programme\FolderAccess
2008-12-26 14:10 . 2004-02-01 22:54 569,368 --a------ c:\windows\system32\olelib.tlb
2008-12-26 14:10 . 2003-05-14 21:07 389,120 --a------ c:\windows\system32\actskn43.ocx
2008-12-26 14:10 . 1998-04-24 00:00 368,912 --a------ c:\windows\system32\vbar332.dll
2008-12-26 14:10 . 2002-07-26 17:02 153,088 --a------ c:\windows\system32\fldlckun.exe
2008-12-26 14:10 . 2001-03-13 14:49 140,288 --a------ c:\windows\system32\COMDLG32.OCX
2008-12-26 14:10 . 1997-05-21 09:51 34,304 --a------ c:\windows\system32\ntsvc.ocx
2008-12-26 10:44 . 2008-12-26 10:44 244 --ah----- C:\sqmnoopt11.sqm
2008-12-26 10:44 . 2008-12-26 10:44 232 --ah----- C:\sqmdata11.sqm
2008-12-23 06:41 . 2008-12-23 06:41 244 --ah----- C:\sqmnoopt10.sqm
2008-12-23 06:41 . 2008-12-23 06:41 232 --ah----- C:\sqmdata10.sqm
2008-12-20 16:00 . 2008-12-20 16:00 <DIR> d-------- c:\dokumente und einstellungen\Michael\Anwendungsdaten\Samsung
2008-12-19 13:16 . 2008-12-19 13:16 244 --ah----- C:\sqmnoopt09.sqm
2008-12-19 13:16 . 2008-12-19 13:16 232 --ah----- C:\sqmdata09.sqm
2008-12-19 06:46 . 2008-12-19 06:46 244 --ah----- C:\sqmnoopt08.sqm
2008-12-19 06:46 . 2008-12-19 06:46 232 --ah----- C:\sqmdata08.sqm
2008-12-18 17:10 . 2008-12-18 17:10 244 --ah----- C:\sqmnoopt07.sqm
2008-12-18 17:10 . 2008-12-18 17:10 232 --ah----- C:\sqmdata07.sqm
2008-12-17 17:16 . 2008-12-17 17:16 244 --ah----- C:\sqmnoopt06.sqm
2008-12-17 17:16 . 2008-12-17 17:16 232 --ah----- C:\sqmdata06.sqm
2008-12-13 22:46 . 2008-12-13 22:46 244 --ah----- C:\sqmnoopt05.sqm
2008-12-13 22:46 . 2008-12-13 22:46 232 --ah----- C:\sqmdata05.sqm
2008-12-13 17:09 . 2008-12-13 17:09 477 --a------ C:\Verknüpfung mit Michael an Inspirion6400.lnk
2008-12-13 17:00 . 2008-12-25 18:11 <DIR> d-------- C:\Tauschordner
2008-12-13 10:19 . 2008-12-13 10:19 244 --ah----- C:\sqmnoopt04.sqm
2008-12-13 10:19 . 2008-12-13 10:19 232 --ah----- C:\sqmdata04.sqm
2008-12-12 22:15 . 2008-12-12 22:15 <DIR> d-------- c:\windows\system32\QuickTime
2008-12-12 22:15 . 2008-12-12 22:15 <DIR> d-------- c:\windows\system32\custom matrices
2008-12-12 22:15 . 2008-12-12 22:15 <DIR> d-------- c:\windows\system32\C2MP
2008-12-12 06:32 . 2008-12-12 06:32 244 --ah----- C:\sqmnoopt03.sqm
2008-12-12 06:32 . 2008-12-12 06:32 232 --ah----- C:\sqmdata03.sqm
2008-12-11 23:21 . 2008-12-11 23:21 244 --ah----- C:\sqmnoopt02.sqm
2008-12-11 23:21 . 2008-12-11 23:21 232 --ah----- C:\sqmdata02.sqm
2008-12-11 21:15 . 2008-12-11 21:15 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Messenger Plus!
2008-12-11 21:15 . 2008-12-11 21:15 244 --ah----- C:\sqmnoopt01.sqm
2008-12-11 21:15 . 2008-12-11 21:15 232 --ah----- C:\sqmdata01.sqm
2008-12-11 19:51 . 2008-12-11 19:51 <DIR> d-------- c:\programme\Windows Media Connect 2
2008-12-11 19:49 . 2008-12-11 19:49 <DIR> d-------- c:\windows\system32\LogFiles
2008-12-11 19:49 . 2008-12-11 19:50 <DIR> d-------- c:\windows\system32\drivers\UMDF
2008-12-10 18:51 . 2008-12-10 18:51 410,984 --a------ c:\windows\system32\deploytk.dll
2008-12-10 18:51 . 2008-12-10 18:51 73,728 --a------ c:\windows\system32\javacpl.cpl
2008-12-07 13:14 . 2008-12-07 13:14 <DIR> d-------- c:\programme\Microsoft Encarta
2008-12-07 13:13 . 2008-12-07 13:13 <DIR> d-------- c:\programme\Microsoft Picture It! 9
2008-12-07 12:20 . 2008-12-07 12:20 <DIR> d-------- c:\programme\Microsoft Works Suite 2004
2008-12-06 23:53 . 2008-12-06 23:53 <DIR> d-------- c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\Intel
2008-12-06 23:53 . 2008-12-06 23:53 <DIR> d-------- c:\dokumente und einstellungen\LocalService\Anwendungsdaten\Intel
2008-12-06 23:53 . 2008-12-06 23:53 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Intel
2008-12-06 23:15 . 2008-12-06 23:15 <DIR> d-------- c:\dokumente und einstellungen\Michael\Anwendungsdaten\Intel
2008-12-06 23:15 . 2008-12-06 23:15 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Intel
2008-12-06 23:06 . 2008-12-06 23:08 3,012 --a------ C:\WirelessDiagLog.csv
2008-12-06 20:49 . 2008-12-06 20:49 <DIR> d-------- c:\programme\MSXML 4.0
2008-12-06 19:22 . 2006-05-03 22:53 174,592 --a------ c:\windows\system32\framedyn.dll
2008-12-06 19:21 . 2008-12-06 20:11 5,632 --a------ c:\windows\system32\drivers\StarOpen.sys
2008-12-06 19:16 . 2008-12-06 19:22 <DIR> d-------- c:\windows\system32\Samsung_USB_Drivers
2008-12-06 19:16 . 2008-12-06 19:16 <DIR> d-------- c:\programme\Samsung
2008-12-06 19:16 . 2007-05-02 11:11 109,704 --a------ c:\windows\system32\drivers\ss_mdm.sys
2008-12-06 19:16 . 2007-05-02 11:11 83,592 --a------ c:\windows\system32\drivers\ss_bus.sys
2008-12-06 19:16 . 2007-05-02 11:11 15,112 --a------ c:\windows\system32\drivers\ss_mdfl.sys
2008-12-06 19:16 . 2007-05-02 11:11 12,424 --a------ c:\windows\system32\drivers\ss_whnt.sys
2008-12-06 19:16 . 2007-05-02 11:11 12,424 --a------ c:\windows\system32\drivers\ss_wh.sys
2008-12-06 19:16 . 2007-05-02 11:11 12,424 --a------ c:\windows\system32\drivers\ss_cmnt.sys
2008-12-06 19:16 . 2007-05-02 11:11 12,424 --a------ c:\windows\system32\drivers\ss_cm.sys
2008-12-06 19:16 . 2005-08-28 20:51 766 --a------ c:\windows\system32\Uninstall.ico
2008-12-06 13:00 . 2008-12-06 13:01 <DIR> d-------- c:\programme\Printkey
2008-12-05 23:09 . 2008-12-05 23:09 <DIR> d-------- c:\programme\eBay
2008-12-05 23:09 . 2008-12-05 23:09 <DIR> d-------- c:\dokumente und einstellungen\All Users\eBay
2008-12-05 22:53 . 2008-12-05 22:53 <DIR> d-------- c:\dokumente und einstellungen\Michael\Anwendungsdaten\Ashampoo
2008-12-05 22:42 . 2008-06-02 13:10 1,363,968 --a------ c:\windows\system32\HDX4H263Decoder.ax
2008-12-05 22:42 . 2008-06-02 13:10 167,936 --a------ c:\windows\system32\HDX4FlashDemuxer.ax
2008-12-05 22:41 . 2008-12-05 22:42 <DIR> d-------- c:\programme\Ashampoo
2008-12-05 22:34 . 2009-01-02 11:41 <DIR> d-------- c:\programme\Opera
2008-12-05 22:16 . 2008-12-05 22:16 <DIR> d-------- C:\DVDVideoSoft
2008-12-05 22:15 . 2008-12-05 22:16 <DIR> d-------- c:\programme\Gemeinsame Dateien\DVDVideoSoft
2008-12-05 22:15 . 2008-12-05 22:15 <DIR> d-------- c:\programme\DVDVideoSoft
2008-12-05 22:15 . 2002-01-05 14:37 344,064 --a------ c:\windows\system32\msvcr70.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-03 12:47 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\McAfee
2009-01-03 12:46 --------- d-----w c:\programme\McAfee
2008-12-29 13:52 --------- d-----w c:\programme\Yahoo!
2008-12-29 13:52 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Yahoo!
2008-12-10 18:02 --------- d-----w c:\programme\ICQ6
2008-12-10 18:02 --------- d-----w c:\dokumente und einstellungen\Michael\Anwendungsdaten\ICQ
2008-12-10 17:51 --------- d-----w c:\programme\Java
2008-12-07 13:40 --------- d-----w c:\programme\Microsoft Works
2008-12-06 23:19 --------- d-----w c:\programme\Intel
2008-12-06 21:58 684,032 ----a-w c:\windows\system32\NETw4c32.dll
2008-12-06 21:58 2,772,992 ----a-w c:\windows\system32\NETw4r32.dll
2008-12-06 21:58 2,530,176 ----a-w c:\windows\system32\drivers\NETw4x32.sys
2008-12-06 18:21 --------- d--h--w c:\programme\InstallShield Installation Information
2008-12-06 12:02 --------- d-----w c:\programme\UltraVNC
2008-11-22 12:29 --------- d-----w c:\dokumente und einstellungen\Michael\Anwendungsdaten\IsolatedStorage
2008-11-22 12:27 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\PowerQuest
2008-11-22 12:23 --------- d-----w c:\programme\PowerQuest
2008-11-22 12:21 --------- d-----w c:\programme\Gemeinsame Dateien\InstallShield
2008-11-22 12:21 --------- d-----w c:\dokumente und einstellungen\Michael\Anwendungsdaten\Windows Desktop Search
2008-11-22 12:15 --------- d-----w c:\programme\Windows Desktop Search
2008-11-22 10:59 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-11-22 10:55 --------- d-----w c:\programme\Microsoft.NET
2008-11-22 10:53 --------- d-----w c:\programme\Microsoft Visual Studio 8
2008-11-22 10:45 --------- d-----w c:\programme\NOS
2008-11-22 10:45 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\NOS
2008-11-22 10:17 --------- d-----w c:\programme\CDBurnerXP
2008-11-22 10:17 --------- d-----w c:\dokumente und einstellungen\Michael\Anwendungsdaten\Canneverbe_Limited
2008-11-22 10:09 --------- d-----w c:\programme\Reference Assemblies
2008-11-22 10:09 --------- d-----w c:\programme\MSBuild
2008-11-22 10:08 253,139 ----a-w c:\windows\PDFCreator_Toolbar_Uninstaller_2625.exe
2008-11-22 10:08 --------- d-----w c:\programme\PDFCreator Toolbar
2008-11-22 10:08 --------- d-----w c:\programme\PDFCreator
2008-11-22 09:59 --------- d-----w c:\programme\Gemeinsame Dateien\Adobe
2008-11-22 08:54 --------- d-----w c:\programme\Messenger Plus! Live
2008-11-21 21:47 524,288 ----a-w c:\windows\system32\DivXsm.exe
2008-11-21 21:47 3,596,288 ----a-w c:\windows\system32\qt-dx331.dll
2008-11-21 21:46 200,704 ----a-w c:\windows\system32\ssldivx.dll
2008-11-21 21:46 1,044,480 ----a-w c:\windows\system32\libdivx.dll
2008-11-21 21:44 161,096 ----a-w c:\windows\system32\DivXCodecVersionChecker.exe
2008-11-21 21:44 12,288 ----a-w c:\windows\system32\DivXWMPExtType.dll
2008-11-21 20:21 --------- d-----w c:\dokumente und einstellungen\LocalService\Anwendungsdaten\SACore
2008-11-21 20:18 --------- d-----w c:\programme\Windows Live
2008-11-21 17:26 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\SiteAdvisor
2008-11-21 17:16 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\McAfee.com
2008-11-21 16:30 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Citrix
2008-11-21 16:18 61,224 ----a-w c:\dokumente und einstellungen\Michael\GoToAssistDownloadHelper.exe
2008-11-21 16:06 --------- d-----w c:\dokumente und einstellungen\Michael\Anwendungsdaten\McAfee
2008-11-21 16:02 --------- d-----w c:\dokumente und einstellungen\Michael\Anwendungsdaten\McAfee.com Personal Firewall
2008-11-21 15:54 --------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\McAfee.com Personal Firewall
2008-11-21 15:53 --------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\InstallShield
2008-11-21 15:52 --------- d-----w c:\dokumente und einstellungen\LocalService\Anwendungsdaten\McAfee.com Personal Firewall
2008-11-21 15:31 --------- d-----w c:\programme\7-Zip
2008-11-21 15:06 5 ----a-w c:\windows\system32\drivers\DELL_XPS_MM061 .MRK
2008-11-21 15:06 5 ----a-w c:\windows\system32\drivers\1028_DELL_XPS_MM061 .MRK
2008-11-21 15:04 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Dell
2008-11-21 15:02 --------- d-----w c:\programme\Broadcom
2008-11-21 14:58 --------- d-----w c:\dokumente und einstellungen\Michael\Anwendungsdaten\InstallShield
2008-11-21 14:57 --------- d-----w c:\programme\Digital Line Detect
2008-11-21 14:57 --------- d-----w c:\programme\CONEXANT
2008-11-21 14:56 --------- d-----w c:\programme\DIFX
2008-11-21 14:53 --------- d-----w c:\programme\SigmaTel
2008-11-21 14:52 --------- d-----w c:\programme\Creative
2008-11-21 14:31 --------- d-----w c:\windows\system32\config\systemprofile\Anwendungsdaten\Intel
2008-11-20 20:12 --------- d-----w c:\programme\Dell
2008-11-20 19:52 5 ----a-w c:\windows\system32\drivers\DELL__.MRK
2008-11-20 19:52 5 ----a-w c:\windows\system32\drivers\1028_DELL__.MRK
2008-11-20 18:50 --------- d-----w c:\programme\Gemeinsame Dateien\Java
2008-11-20 18:37 --------- d-----w c:\programme\Synaptics
2008-11-20 17:33 --------- d-----w c:\programme\GemMasterGerman
2008-11-20 17:07 --------- d-----w c:\programme\microsoft frontpage
2008-11-20 17:04 --------- d-----w c:\programme\Online-Dienste
2008-11-20 17:03 --------- d-----w c:\programme\Gemeinsame Dateien\Dienste
2008-11-20 17:00 --------- d-----w c:\programme\Windows Plus
2008-11-05 11:23 49,152 ----a-r c:\windows\system32\inetwh32.dll
2008-11-05 11:23 1,044,480 ----a-r c:\windows\system32\roboex32.dll
2008-10-23 12:36 286,720 ----a-w c:\windows\system32\gdi32.dll
2008-10-16 20:04 826,368 ----a-w c:\windows\system32\wininet.dll
2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll
2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll
2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll
2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll
2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll
2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe
2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll
2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll
2008-10-03 10:03 247,326 ----a-w c:\windows\system32\strmdll.dll
2008-12-17 22:34 67,688 ----a-w c:\programme\mozilla firefox\components\jar50.dll
2008-12-17 22:34 54,368 ----a-w c:\programme\mozilla firefox\components\jsd3250.dll
2008-12-17 22:34 34,944 ----a-w c:\programme\mozilla firefox\components\myspell.dll
2008-12-17 22:34 46,712 ----a-w c:\programme\mozilla firefox\components\spellchk.dll
2008-12-17 22:34 172,136 ----a-w c:\programme\mozilla firefox\components\xpinstal.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ShowLOMControl"="1 (0x1)" [X]
"ehTray"="c:\windows\ehome\ehtray.exe" [2005-08-05 64512]
"Broadcom Wireless Manager UI"="c:\windows\system32\WLTRAY.exe" [2005-12-19 1347584]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2006-03-08 761947]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2008-12-10 136600]
"Dell QuickSet"="c:\programme\Dell\QuickSet\quickset.exe" [2007-05-14 1191936]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-03-30 138008]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-03-30 162584]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-03-30 138008]
"CTSVolFE.exe"="c:\programme\Creative\Mixer\CTSVolFE.exe" [2005-02-23 57344]
"SigmatelSysTrayApp"="c:\programme\SigmaTel\C-Major Audio\WDM\stsystra.exe" [2007-05-10 405504]
"MSKDetectorExe"="c:\programme\McAfee\SpamKiller\MSKDetct.exe" [2005-07-12 1117184]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"GrooveMonitor"="c:\programme\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-27 31016]
"Microsoft Works Update Detection"="c:\programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe" [2003-06-17 50688]
"mcagent_exe"="c:\programme\McAfee.com\Agent\mcagent.exe" [2007-11-01 582992]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2008-05-26 304128]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.ac3filter"= ac3filter.acm
"vidc.hfyu"= huffyuv.dll
"msacm.divxa32"= DivXa32.acm

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Programme\\ICQ6\\ICQ.exe"=
"c:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Programme\\Gemeinsame Dateien\\McAfee\\MNA\\McNASvc.exe"=

R0 PQV2i;PQV2i;c:\windows\system32\drivers\PQV2i.sys [2003-06-03 123957]
R1 PQIMount;PQIMount;c:\windows\system32\drivers\PQIMount.sys [2003-06-03 46900]
R2 McAfee SiteAdvisor Service;McAfee SiteAdvisor Service;"c:\programme\McAfee\SiteAdvisor\McSACore.exe" [2009-01-03 206112]
S2 0039531230986473mcinstcleanup;McAfee Application Installer Cleanup (0039531230986473);c:\dokume~1\Michael\LOKALE~1\Temp\003953~1.EXE c:\progra~1\GEMEIN~1\McAfee\INSTAL~1\cleanup.ini -cleanup -nolog -service []

*Newly Created Service* - 0039531230986473MCINSTCLEANUP
*Newly Created Service* - PROCEXP90
.
Inhalt des "geplante Tasks" Ordners

2009-01-03 c:\windows\Tasks\McDefragTask.job
- c:\progra~1\mcafee\mqc\QcConsol.exe [2007-12-04 13:32]

2009-01-03 c:\windows\Tasks\McQcTask.job
- c:\progra~1\mcafee\mqc\QcConsol.exe [2007-12-04 13:32]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
FF - ProfilePath - c:\dokumente und einstellungen\Michael\Anwendungsdaten\Mozilla\Firefox\Profiles\ax5sjxwu.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - component: c:\programme\McAfee\SiteAdvisor\components\McFFPlg.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-03 16:16:35
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2009-01-03 16:17:13
ComboFix-quarantined-files.txt 2009-01-03 15:17:11

Vor Suchlauf: 17 Verzeichnis(se), 15.210.930.176 Bytes frei
Nach Suchlauf: 17 Verzeichnis(se), 15,888,285,696 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Windows XP Media Center Edition" /noexecute=optin /fastdetect

298 --- E O F --- 2008-12-18 16:11:26


Ich weiß leider nicht wie man diese logfiles als scrollbares Fenster hier herein packt - sorry.

Gruß Micha

Ok, so weit so gut :)

Bitte das auch noch zur weiteren Analyse ausführen:


Blacklight scannen lassen

* Lade F-Secure Blacklight runter in einen eigenen Ordner, z.B. C:\programme\blacklight. Sollte der Download nicht klappen, dann probiere es mit diesem Link.
* Starte in diesem Ordner blbeta.exe. Alle anderen Programme schließen.
* Klick "I accept the agreement", "next", "Scan".
* Wenn der Scan fertig ist beende Blacklight mit "Close".
* Im Verzeichnis von Blacklight findest Du das erstellte Log fsbl-XXX.log, anstelle der XXX steht eine längere Folge von Ziffern.


Gmer scannen lassen

Lade dir Gmer von dieser Seite runter und entpacke es auf deinen Desktop.

• Starte gmer.exe und gehe zum Tab Rootkit. Alle anderen Programme sollen geschlossen sein.

• Stelle sicher, daß in der Leiste rechts alles von "System" bis "ADS" angehakt ist
• (Wichtig: "Show all" darf nicht angehakt sein)

• Starte den Durchlauf mit "Scan".

• Mache nichts am Computer während der Scan läuft.

• Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird Gmer beendet.

• Füge das Log aus der Zwischenablage in deine Antwort hier ein.

Hallo Sunny,

hier nun die ergebnisse von fsecure blacklight:

01/03/09 16:32:27 [Info]: BlackLight Engine 2.2.1092 initialized
01/03/09 16:32:27 [Info]: OS: 5.1 build 2600 (Service Pack 3)
01/03/09 16:32:27 [Note]: 7019 4
01/03/09 16:32:27 [Note]: 7005 0
01/03/09 16:33:32 [Note]: 7006 0
01/03/09 16:33:32 [Note]: 7011 3872
01/03/09 16:33:32 [Note]: 7035 0
01/03/09 16:33:32 [Note]: 7026 0
01/03/09 16:33:33 [Note]: 7026 0
01/03/09 16:33:35 [Note]: FSRAW library version 1.7.1024
01/03/09 16:39:46 [Note]: 7007 0

und von gmer:

kann ich weder als datei anhängen noch einfügen, weil zu groß :-(
und nun?



Gruß Micha

Lass das mit GMER, Blacklight hätte das Rootkit auch schon anzeigen müssen, sofern es überhaupt noch da wäre. ;)

Hattest du im übrigen nach dem Scan von Malwarebytes auch alles entfernen lassen? Wenn nicht musst du den Scan nochmal wiederholen und alles entfernen was er findet!

http://saved.im/ndc5njj4d2lr/entfernen.png

In deinem Bericht stand nämlich das hier:

Bitte das noch zu guter Letzt...



Kaspersky - Onlinescanner

Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware.

---> hier herunterladen => Kaspersky Online-Scanner
=> Hinweise zu älteren Versionen beachten!
=> Voraussetzung: Internet Explorer 6.0 oder höher
=> die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter
=> Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken
=> Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als
=> Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten
=> Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen

ja habe natürlich auf entfernen geklickt - kann es ja nochmal laufen lassen. dauert leider :-(

Wenn du es entfernt hast dann ist doch alles in "Butter".. ;)
Nur noch Kaspersky und dann sollte eigentlich alles wieder OK sein, sofern es deinerseits keine Probleme mehr gibt.

Ders Malware Scanner läuft schon - habe zwischenzeitlich nicht getestet ob mein System wieder einwandfrei geht. Ich konnte z.B. nicht auf die Eplus Seite.....
werde danach nochmal mit Kaspersky scannen und das Ergebniss posten - Vielen Dank erstmal

:taenzer:

Mist - komme immer noch nicht auf Eplus - andere Seiten gehen auf. Woran kann das denn liegen....

Das macht doch nichts wenn malware im Hintergrund scanned - oder?

Gruß Micha

Nein eigentlich nicht!

Ist denn nur die Seite von eplus betroffen?!
Versuche mal den Cache von Firefox zu leeren:

Unter Firefox > Extras > Einstellungen > Datenschutz > Private Daten > Einstellungen > folgendes anhaken:

http://saved.im/nzywnje3nhiy/ff.bmp

Danach auf Daten jetzt löschen gehen!

Und?

Hmmm.... die option offline Webseiten löschen gibt es bei mir nicht. Ausserdem geht eplus weder mit Firefox noch IE7..... Conrad Elektronic geht nicht mit Firefox - aber geht mit IE7 ? Ich blicks nicht - probiere mal ein paar weitere Seiten...leider sind ja meine Lesezeichen weg :-(

Gruß Micha

Hallo Sunny - bist Du noch da?

also wie in der letzten Meldung geschrieben - Eplus geht nicht auf - weder mit IE noch Firefox. Auf einen anderen Rechner im selbem Netzwerk geht es auf. Woran kann das noch liegen?

:headbang:

Gruß Micha