Trojaner-Board - Google Umleitung

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Google Umleitung (https://www.trojaner-board.de/75595-google-umleitung.html)

Google Umleitung

Hallo,

seit zwei Wochen plage :headbang: ich mich mit einem Trojaner, der Links von Google, Yahooo etc. umleitet.
Nachdem ich schon einige Tools (u.a. HijackThis, CCleaner und mbam, Zonealarm) ausprobiert und eine ganze Reihe von Dateien ("uacdXXXX.sys")
über die Windows Wiederherstellungskonsole entfernt habe, ist es nicht wirklich besser geworden :

Suchergebnisse von Google etc. werden nach wie vor unregelmäßig umleitet.
Zonealarm meldet in unregelmäßigen Abständen, dass einer der svchost Prozesse oder spoolsv auf das Internet zugreifen will
Avira erkennt - nachdem es anfänglich noch eine Verseuchung von explorer.exe (habe ich von der Installations-CD ersetzt) oder Winlogon gemeldet hat - trotz aktuellem Datensatz gar keine schädlichen Dateien mehr (auch keine, die z.B.aus Quarantäne wiederhergestellt werden).
mbam, ROOTREPEAL und GMER melden versteckte Prozesse und infizierte Dateien

Gibt's eine Chance, diesen Plagegeist ohne Neuaufsetzen loszuwerden ?

Unten die Logs von mbam, ROOTREPEAL und GMER, HijackThis und RootkitRevealer.

RSIT meldet bei "Continue" den Fehler:
"Error: Variable used without being declared."

mbam

Code:

Datenbank Version: 2388

Windows 5.1.2600 Service Pack 2
 

21.07.2009 22:17:29

mbam-log-2009-07-21 (22-17-26).txt
 

Scan-Methode: Quick-Scan

Durchsuchte Objekte: 101463

Laufzeit: 2 minute(s), 47 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 3
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

c:\WINDOWS\system32\hjgruingndmosp.dll (Trojan.TDSS) -> No action taken.

c:\WINDOWS\system32\hjgruinidpetct.dll (Trojan.Agent) -> No action taken.

c:\windows\system32\UACthluqrjagstidbs.dll (Trojan.Agent) -> No action taken.

(Entfernen funktioniert nicht)

ROOTREPEAL

Code:

ROOTREPEAL (c) AD, 2007-2009

==================================================

Scan Start Time:                2009/07/21 21:50

Program Version:                Version 1.3.2.0

Windows Version:                Windows XP SP2

==================================================
 

Drivers

-------------------

Name: dump_atapi.sys

Image Path: C:\WINDOWS\System32\Drivers\dump_atapi.sys

Address: 0xB4BB7000        Size: 98304        File Visible: No        Signed: -

Status: -
 

Name: dump_WMILIB.SYS

Image Path: C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS

Address: 0xBAE3A000        Size: 8192        File Visible: No        Signed: -

Status: -
 

Name: rootrepeal.sys

Image Path: C:\WINDOWS\system32\drivers\rootrepeal.sys

Address: 0xB2AEF000        Size: 49152        File Visible: No        Signed: -

Status: -
 

Name: srescan.sys

Image Path: srescan.sys

Address: 0xBA5E2000        Size: 81920        File Visible: No        Signed: -

Status: -
 

Hidden/Locked Files

-------------------

Path: C:\Dokumente und Einstellungen\*****\Anwendungsdaten\SecuROM\UserData\ЃϵϳЅЂϿϽϯІχϯπρϴϱЄϱЃϵϳЅ 

Status: Locked to the Windows API!
 

Path: C:\Dokumente und Einstellungen\*****\Anwendungsdaten\SecuROM\UserData\ЃϵϳЅЂϿϽϯІχϯπρЂϻϵЉЃϵϳЅ 

Status: Locked to the Windows API!
 

-------------------

#: 031        Function Name: NtConnectPort

Status: Hooked by "C:\WINDOWS\System32\vsdatant.sys" at address 0xb4ddf040
 

#: 037        Function Name: NtCreateFile

Status: Hooked by "C:\WINDOWS\System32\vsdatant.sys" at address 0xb4ddb930
 

#: 041        Function Name: NtCreateKey

Status: Hooked by "PCTCore.sys" at address 0xba6df514
 

#: 046        Function Name: NtCreatePort

Status: Hooked by "C:\WINDOWS\System32\vsdatant.sys" at address 0xb4ddf510
 

#: 047        Function Name: NtCreateProcess

Status: Hooked by "C:\WINDOWS\System32\vsdatant.sys" at address 0xb4de5870
 

#: 048        Function Name: NtCreateProcessEx

Status: Hooked by "C:\WINDOWS\System32\vsdatant.sys" at address 0xb4de5aa0
 

#: 050        Function Name: NtCreateSection

Status: Hooked by "C:\WINDOWS\System32\vsdatant.sys" at address 0xb4de8fd0
 

#: 053        Function Name: NtCreateThread

Status: Hooked by "<unknown>" at address 0xbaf1b5dc
 

#: 056        Function Name: NtCreateWaitablePort

Status: Hooked by "C:\WINDOWS\System32\vsdatant.sys" at address 0xb4ddf600
 

#: 062        Function Name: NtDeleteFile

Status: Hooked by "C:\WINDOWS\System32\vsdatant.sys" at address 0xb4ddbf20
 

#: 063        Function Name: NtDeleteKey

Status: Hooked by "PCTCore.sys" at address 0xba6dfd00
 

#: 065        Function Name: NtDeleteValueKey

Status: Hooked by "PCTCore.sys" at address 0xba6dffb8
 

#: 068        Function Name: NtDuplicateObject

Status: Hooked by "C:\WINDOWS\System32\vsdatant.sys" at address 0xb4de5580
 

#: 098        Function Name: NtLoadKey

Status: Hooked by "C:\WINDOWS\System32\vsdatant.sys" at address 0xb4de78b0
 

#: 116        Function Name: NtOpenFile

Status: Hooked by "C:\WINDOWS\System32\vsdatant.sys" at address 0xb4ddbd70
 

#: 119        Function Name: NtOpenKey

Status: Hooked by "PCTCore.sys" at address 0xba6de3fa
 

#: 122        Function Name: NtOpenProcess

Status: Hooked by "<unknown>" at address 0xbaf1b5c8
 

#: 128        Function Name: NtOpenThread

Status: Hooked by "<unknown>" at address 0xbaf1b5cd
 

#: 192        Function Name: NtRenameKey

Status: Hooked by "PCTCore.sys" at address 0xba6e0422
 

#: 193        Function Name: NtReplaceKey

Status: Hooked by "C:\WINDOWS\System32\vsdatant.sys" at address 0xb4de7cb0
 

#: 200        Function Name: NtRequestWaitReplyPort

Status: Hooked by "C:\WINDOWS\System32\vsdatant.sys" at address 0xb4ddec00
 

#: 204        Function Name: NtRestoreKey

Status: Hooked by "C:\WINDOWS\System32\vsdatant.sys" at address 0xb4de8080
 

#: 210        Function Name: NtSecureConnectPort

Status: Hooked by "C:\WINDOWS\System32\vsdatant.sys" at address 0xb4ddf220
 

#: 224        Function Name: NtSetInformationFile

Status: Hooked by "C:\WINDOWS\System32\vsdatant.sys" at address 0xb4ddc120
 

#: 247        Function Name: NtSetValueKey

Status: Hooked by "PCTCore.sys" at address 0xba6df7d8
 

#: 257        Function Name: NtTerminateProcess

Status: Hooked by "<unknown>" at address 0xbaf1b5d7
 

#: 277        Function Name: NtWriteVirtualMemory

Status: Hooked by "<unknown>" at address 0xbaf1b5d2
 

Hidden Services

-------------------

Service Name: hjgruipojeemov

Image PathC:\WINDOWS\system32\drivers\hjgruippkhifsw.sys
 

==EOF==

GMER

Code:

GMER 1.0.15.14972 - http://www.gmer.net

Rootkit scan 2009-07-21 23:51:06

Windows 5.1.2600 Service Pack 2
 
 

---- Devices - GMER 1.0.15 ----
 

AttachedDevice  \FileSystem\Fastfat \Fat                                    fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
 

Device          \Driver\Tcpip \Device\Ip                                    vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

Device          \Driver\Tcpip \Device\Tcp                                   vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

Device          \Driver\Tcpip \Device\Udp                                   vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

Device          \Driver\Tcpip \Device\RawIp                                 vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
 

---- Services - GMER 1.0.15 ----
 

Service         system32\drivers\hjgruippkhifsw.sys (*** hidden *** )       [SYSTEM] hjgruipojeemov                                     <-- ROOTKIT !!! 
 

---- EOF - GMER 1.0.15 ----

HijackThis

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 23:16:03, on 21.07.2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\Programme\Canon\CAL\CALMAIN.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\tsnpstd3.exe

C:\WINDOWS\vsnpstd3.exe

C:\Programme\Java\jre1.6.0_02\bin\jusched.exe

C:\util\_network\ZoneAlarm\zlclient.exe

C:\online\Skype\SAM\SAM.exe

C:\WINDOWS\System32\svchost.exe

C:\online\Skype\Skype\Skype.exe

c:\util\_virus\HijackThis\HijackThis.exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup (NVidia Grafikkarte)

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install (NVidia Grafikkarte)

O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [tsnpstd3] C:\WINDOWS\tsnpstd3.exe (Webcam)

O4 - HKLM\..\Run: [snpstd3] C:\WINDOWS\vsnpstd3.exe (Canon Camera Monitor)

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\util\_network\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] c:\util\_virus\mbam\mbamgui.exe /install /silent

O4 - HKLM\..\RunOnce: [InnoSetupRegFile.0000000001] "C:\WINDOWS\is-PV3LV.exe" /REG

O4 - S-1-5-21-1292428093-1417001333-725345543-1003 Startup: SAM.lnk = C:\online\Skype\SAM\SAM.exe (User '?')

O4 - S-1-5-21-1292428093-1417001333-725345543-1003 Startup: (User '?')

O4 - Startup: SAM.lnk = C:\online\Skype\SAM\SAM.exe

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab

O20 - Winlogon Notify: !SASWinLogon - C:\util\_virus\SUPERAntiSpyware\SASWINLO.dll

O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe

O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--

End of file

RootkitRevealer

Code:



HKU\S-1-5-21-1292428093-1417001333-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{13A6164E-7DA1-B099-0A3D-2A11BC190C30}*        20.03.2009 23:35        0 bytes        Key name contains embedded nulls (*)

HKU\S-1-5-21-1292428093-1417001333-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{79E45BCC-AEBC-4E8E-446A-26D760E8AB4E}*        20.03.2009 23:01        0 bytes        Key name contains embedded nulls (*)

HKU\S-1-5-21-1292428093-1417001333-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{8488FEDF-4D70-C922-8CD7-990773394C61}*        20.03.2009 23:19        0 bytes        Key name contains embedded nulls (*)

HKU\S-1-5-21-1292428093-1417001333-725345543-1003\Software\SecuROM\!CAUTION! NEVER DELETE OR CHANGE ANY KEY*        26.05.2009 16:36        0 bytes        Key name contains embedded nulls (*)

HKU\S-1-5-21-1292428093-1417001333-725345543-1003\Software\SecuROM\License information*        13.10.2008 22:21        0 bytes        Key name contains embedded nulls (*)

HKLM\SECURITY\Policy\Secrets\SAC*        13.09.2006 00:03        0 bytes        Key name contains embedded nulls (*)

HKLM\SECURITY\Policy\Secrets\SAI*        13.09.2006 00:03        0 bytes        Key name contains embedded nulls (*)

HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed        22.07.2009 00:44        80 bytes        Data mismatch between Windows API and raw hive data.

C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8XYBOPQF\dnx[4].htm        22.07.2009 00:46        5.80 KB        Visible in Windows API, MFT, but not in directory index.

C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ODQFG5I7\dnx[4].htm        22.07.2009 00:44        5.80 KB        Visible in Windows API, directory index, but not in MFT.

C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.dll        13.07.2008 16:46        252.00 KB        Visible in Windows API, but not in MFT or directory index.

C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.Wrapper.dll        13.07.2008 16:46        111.50 KB        Visible in Windows API, but not in MFT or directory index.

Hallo und :hallo:

Poste bitte beide Logs von RSIT => http://www.trojaner-board.de/74910-a...tion-tool.html

Du hast zwei Möglichkeiten:

1.) Lade dir Download Trojan Remover

Das Programm ist im Gegensatz zu den sonst hier eingesetzten Programmen keine Freeware, kann aber 30 Tage lang kostenlos genutzt werden.

Das Log bekommst du über Menüzeile: File => View Logfile. Poste es hier.

2.) Solltest du noch irgendetwas mit dem Computer verbinden, wie Memorysticks, Speicherkarten, Digitalkameras, Handy, externe Laufwerke, ... dann stecke vor dem Scan alles an.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Sollte sich ComboFix nicht starten lassen, dann benenne es um in cofi.exe und versuche es nocheinmal.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

ciao, andreas

Hallo Andreas,

Danke für die Antwort.

RSIT
Wie schon geschrieben läuft RSIT leider nicht bei mir. Wenn ich auf "Continue" klicke, poppt ein Fenster mit dem Titel "AutoIt Error" mit folgender Fehlermeldung auf:
"Line -1:
Error: Variable used without being declared."
Klingt wie eine Fehlermeldung von AutoIt für ein Script. AutoIt habe ich aber nicht installiert.
Wie soll ich da weiter vorgehen ?
Alternativ habe ich ersteinmal mbam laufen lassen (siehe Log unten).

Trojan Remover
Habe ich installiert und laufenlassen. Es hat hjgruippkhifsw.sys auch als versteckten
Prozess gemeldet.(siehe Log unten)
Nach einem Neustart ist jetzt der Eintrag unter "Hidden or inaccessible Services" weg.

Fehlerstatus

:) Nach einem Reboot habe ich bislang keinen neuen Re-Direct mehr festgestellt.
:) Zonealarm hat in den Stunden seit dem Lauf von Trojan Remover keine Zugriffsversuche von svchost gemeldet.
:confused: Avira erkennt nach wie vor einige vorher als gefährlich erkannte Dateien nicht
(Das könnte vielleicht mit einem Update der Avira Datenbank zusammenhängen)
:( mbam meldet immer noch infizierte Dateien unter c:\WINDOWS\system32 (siehe Log unten).
In der Windows-API sind die Dateien nicht sichbar. Wenn ich über über eine Boot-CD starte sind die hj* Dateien sichtbar/löschbar, die UAC* allerdings nicht.

Also aktueller Stand: Redirection anscheinend weg, Avira etwas "taub", immer noch Trojaner im system32 Verzeichnis.
Was kann ich als nächstes tun ?

Hier der Link zum Trojan Remover Log:
http://w*w.file-upload.net/download-1782406/TRLOG_2009-07-23b.TXT-.html

Und der Report von mbam:

Code:

Malwarebytes' Anti-Malware 1.39

Datenbank Version: 2421

Windows 5.1.2600 Service Pack 2
 

23.07.2009 07:51:05

mbam-log-2009-07-23 (07-50-58).txt
 

Scan-Methode: Quick-Scan

Durchsuchte Objekte: 89647

Laufzeit: 2 minute(s), 52 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 3
 

[...]
 

Infizierte Dateien:

c:\WINDOWS\system32\hjgruingndmosp.dll (Trojan.TDSS) -> No action taken.

c:\WINDOWS\system32\hjgruinidpetct.dll (Trojan.Agent) -> No action taken.

c:\windows\system32\UACthluqrjagstidbs.dll (Trojan.Agent) -> No action taken.

Hast du bei Malwarebytes auch gelöscht? Dort steht No action taken.

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Doppelklick auf die OTL.exe
Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
Setze ein Häckchen bei Scan All Users.
Unter Standard Registry wähle bitte All
Unter Extra Registry, wähle bitte Use SafeList
Schliesse bitte alle laufenden Programme.
Klicke nun auf Run Scan ( links oben ).
Wenn der Scan beendet wurde werden 2 Logfiles auf dem Desktop erstellt
Poste den Inhalt von OTL.txt und Extra.txt hier in den Thread.

ciao, andreas

Malwarebytes bringt die Dateien nicht weg. Nach einem Scan meldet es zwar

Code:

Infizierte Dateien:

c:\windows\system32\hjgruingndmosp.dll (Trojan.TDSS) -> Quarantined and deleted successfully.

c:\windows\system32\UACthluqrjagstidbs.dll (Trojan.Agent) -> Quarantined and deleted successfully.

c:\windows\system32\hjgruinidpetct.dll (Trojan.Agent) -> Quarantined and deleted successfully.

Aber nach Neustart werden genau diese drei Dateien wieder gemeldet.

Hier die Links zu den Logs von OTL:
http://w*w.file-upload.net/download-1783732/Twibble_OTL_2009-07-23.txt-.html
http://w*w.file-upload.net/download-1783739/Twibble_OTL-Extras_2009-07-23.txt-.html

Setze ComboFix ein. Alles andere hat keinen Sinn. Die Kiste ist verseucht ohne Ende.

ciao, andreas

ok,
ComboFix ist gelaufen und hat dabei die Wiederherstellungskonsole installiert.

Hier der Link zum Log:
http://w*w.file-upload.net/download-1784348/Twibble_ComboFix_2009-07-23.txt-.html

1.) Deinstalliere (falls möglich):

Spyware Doctor
Trojan Remover
SuperAntiSpyware
Zonealarm
Ad-Aware SE Personal
Kaspersky Online Scanner

2.) Neustart

3.) Vorher die Sternchen durch deinen Anmeldenamen ersetzen!

Beim nächsten Log nicht editieren!

Scripten mit Combofix

Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code:

KILLALL::
 

Driver::

aohn

SASENUM

sdAuxService

FXQN

ILFDJTI

KIZUEHQ

KRZTLEYFTX

PCTCore

SASDIFSV

SASKUTIL
 

RegNull::

[HKEY_USERS\S-1-5-21-1292428093-1417001333-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{13A6164E-7DA1-B099-0A3D-2A11BC190C30}*]

[HKEY_USERS\S-1-5-21-1292428093-1417001333-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{79E45BCC-AEBC-4E8E-446A-26D760E8AB4E}*]

[HKEY_USERS\S-1-5-21-1292428093-1417001333-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{8488FEDF-4D70-C922-8CD7-990773394C61}*]
 

Registry::

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"SDhelper"=-

"RemoteRegistry"=-

[-HKLM\~\startupfolder\C:^Dokumente und Einstellungen^******^Startmenü^Programme^Autostart^ChkDisk.lnk]

[-HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdauxservice]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdcoreservice]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NeroFilterCheck"=-

"SunJavaUpdateSched"=-

"MSConfig"=-

"ZoneAlarm Client"=-

"TrojanScanner"=-

"nwiz"=-

"SoundMan"=-
 

Folder::

c:\util\_virus\TrojanRemover

c:\util\_network\ZoneAlarm

c:\dokumente und einstellungen\******\Anwendungsdaten\SUPERAntiSpyware.com

c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com

c:\programme\Zone Labs

C:\rsit

c:\programme\Spyware Doctor

c:\programme\Gemeinsame Dateien\PC Tools

c:\windows\9C.tmp

c:\dokumente und einstellungen\All Users\Anwendungsdaten\Simply Super Software

c:\dokumente und einstellungen\******\Anwendungsdaten\Simply Super Software

c:\windows\pss
 

Files::

c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe

c:\windows\system32\drivers\fidbox.dat

c:\windows\system\vhosts.exe

c:\windows\system32\drivers\fidbox.idx

c:\windows\pss\ChkDisk.lnkStartup

c:\windows\Tasks\Kompletter Virenscan.job

c:\windows\Tasks\Update Virenscanner.job

c:\WINDOWS\system32\hjgruingndmosp.dll

c:\WINDOWS\system32\hjgruinidpetct.dll

c:\windows\system32\UACthluqrjagstidbs.dll
 

DirLook::

C:\aaa
 

FileLook::

c:\windows\system32\winlogon.exe
 

SysRst::

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

Nun die Datei cfscript.txt auf das Sysmbol von Combofix ziehen!

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

Danach das Log von Combofix ohne zu Editieren posten. Nur wenn dein Vor- und Nachname ersichtlich ist, dann entferne ihn.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

Hi,
ich habe so ungefähr dasselbe Problem wie Twibble. Mein Problem ist jetzt aber das sich Combofix nicht starten lässt.

Grüße

zu Schokobaer:
john.doe schreibt unten

Zitat:

Sollte sich ComboFix nicht starten lassen, dann benenne es um in cofi.exe und versuche es nocheinmal.

Zuersteinmal ein dickes Lob für die kurzen Antwortzeiten hier im Forum,
speziell john.doe! Da kann keine kommerzielle Hotline mithalten.

So die Progs aus der Liste unten habe ich de-installiert.
Danke für's Zusammenstellen des ComboFix Scripts. Bevor ich ComboFix damit wüten lasse, nur noch ein paar Fragen:

Die Einträge im Script unter
Registry::
[HKEY_LOCAL_MACHINE\...\Run]
geben doch an, was ComboFix aus den Autostart-Einträgen löschen soll.
Ich nehme mal an, das "-" bedeutet "Diesen Autostart-Eintrag nicht löschen".

"NeroFilterCheck"=- ok
"SunJavaUpdateSched"=- ok
"MSConfig"=- ok
"ZoneAlarm Client"=- hm, das hab ich doch de-installiert, das könnte dann doch weg, oder ?
"TrojanScanner"=- dito
"nwiz"=- ok
"SoundMan"=- ok

Folgende Einträge sind noch im Combofix-Log von Anwendungen, die ich kenne/selbst installiert habe :
Könnten die Treiber infiziert sein und sollen deshalb aus dem Autostart?

"NvCplDaemon" NvCpl.dll NVIDIA-Treiber (=NVidiaControlPaneL)
"tsnpstd3" tsnpstd3.exe ist ein USB WEBCAM Treiber
"snpstd3" vsnpstd3.exe ist ein Download Monitor für Canon Kameras
"NvMediaCenter" nvmctray.dll gehört auch zur NVIDIA Treibersoftware, oder ?

Files::
c:\windows\Tasks\Kompletter Virenscan.job
c:\windows\Tasks\Update Virenscanner.job
Diese Jobs habe ich selbst angelegt. Einer macht täglich einen Update vom AVIRA Datensatz, der andere
macht einen Scan alle zwei Tage. Kann ich natürlich wieder anlegen, wenn's ComboFix beim Durchlauf stört...

Zitat:

Ich nehme mal an, das "-" bedeutet "Diesen Autostart-Eintrag nicht löschen"

Falsch gedenkt. ;) Genau andersherum. :)

Zitat:

Diese Jobs habe ich selbst angelegt.

Dann entferne die beiden aus dem Skript. Meine Devise lautet: Erst löschen, dann fragen. :)

Schädlinge benutzen zunehmend Jobs um sich selbst nachzuladen oder wiederherzustellen.

ciao, andreas

Ok, ComboFix ist gelaufen.
Hier der Link zum Log:
http://w*w.file-upload.net/download-1789035/Twibble_ComboFix_2009-07-25.txt.html

Anscheinend ist durch den Lauf die Windows Firewall aktiviert worden.
:) Die Prozessliste, die man über MMC angezeigt bekommt sieht nun wieder sauber aus.
:) im Verzeichnis c:\aaa hatte ich, bevor ich ins TrojanerBoard kam, von der Windows Boot-CD explore.exe und
andere Systemdateien entpackt und ins Windows Verzeichnis kopiert (was nicht geholfen hatte).
Sprich, das Verzeichnis ist unkritisch.
:confused: Malware Bytes meldet allerdings immer noch die 3 Trojaner, die es nach wie vor nicht löschen kann.
c:\windows\system32\UACthluqrjagstidbs.dll (Trojan.Agent)
c:\windows\system32\hjgruingndmosp.dll (Trojan.Agent)
c:\windows\system32\hjgruinidpetct.dll (Trojan.Agent)

In der Registry habe ich übringens unter HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services den verdächtigen
Eintrag hjgruipojeemov gefunden.

Code:

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\hjgruipojeemov]

"start"=dword:00000001

"type"=dword:00000001

"group"="file system"

"imagepath"=hex(2):[eine Reihe HEX-Werte]
 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\hjgruipojeemov\main]

"aid"="10002"

"sid"="0"

"cmddelay"=dword:00003840
 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\hjgruipojeemov\main\injector]

"*"="hjgruiwsp.dll"

Den Eintrag konnte ich bis auf den Schlüssel "*" löschen. Geändert hat's nichts.

Irgendein Virusscanner hatte irgendwann vorher mal gemeldet, das hjgruipojeemov von einer Windows Systemdatei als Service geladen wird. Jetzt wird das aber nicht mehr gemeldet. Ich vermute, bei den 3 Kandidaten oben wird das ähnlich sein. Nur habe ich keine entsprechenden Schlüssel in der Reg finden können. Will sagen, vielleicht sollten wir in Richtung Registry weitersuchen ?

Der Downloadlink funktioniert nicht, bei der Größe kannst du es hier direkt posten, bitte mit

HTML-Code:

[quote]CF-Log[/quote]-Befehlen.

Neues Script für ComboFix:

Code:

KILLALL::
 

Registry::

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\hjgruipojeemov]
 

FixCset::

Zitat:

Malwarebytes bringt die Dateien nicht weg.

Das ist eine Falschmeldung. Ignorieren. Das ist schon das dritte Mal, das MbAm Dateien meldet, die nicht existieren.

ciao, andreas

Unten das ComboFix-Log.

Zitat:

Das ist eine Falschmeldung. Ignorieren. Das ist schon das dritte Mal, das MbAm Dateien meldet, die nicht existieren.

Du hast Recht. Ich hatte mal von einer HIRES CD gebooted - also ohne Windows - und da waren die hjgrui* Dateien
im windows\system32 Ordner sichtbar und ich konnte sie löschen. Nach dem nächsten Windows-Start kam die Meldung von
Malwarebytes wieder. Gerade hab ich nochmal nahgesehen, alles ok.
Und in der Liste "Durch laufende Prozesse gestartete DLLs" in der Log-Datei unten sind die Dateien ja auch nicht drin.

ComboFix lasse ich später noch mal mit dem neuen Script laufen und poste das Log dazu.

Zitat:

ComboFix 09-07-23.02 - **** 25.07.2009 22:18.2.1 - NTFSx86
ausgeführt von:: c:\dokumente und einstellungen\******\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\******\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\All Users\Anwendungsdaten\Simply Super Software
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Simply Super Software\Trojan Remover\Data\trjlist28.dta
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Simply Super Software\Trojan Remover\Data\trjlist29.dta
c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
c:\dokumente und einstellungen\******\Anwendungsdaten\SUPERAntiSpyware.com
c:\programme\Zone Labs
c:\programme\Zone Labs\ZoneAlarm\ErrorLog.txt
C:\rsit
c:\rsit\log.txt
c:\util\_network\ZoneAlarm
c:\util\_network\ZoneAlarm\ins\zaZA_Setup_de.exe
c:\util\_virus\TrojanRemover
c:\util\_virus\TrojanRemover\ins\trjsetup679.exe
c:\windows\9C.tmp
c:\windows\9C.tmp\b2e.exe

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_AOHN
-------\Legacy_FXQN
-------\Legacy_KIZUEHQ
-------\Legacy_KRZTLEYFTX
-------\Legacy_PCTCORE
-------\Service_aohn
-------\Service_FXQN
-------\Service_ILFDJTI
-------\Service_KIZUEHQ
-------\Service_KRZTLEYFTX

((((((((((((((((((((((( Dateien erstellt von 2009-06-25 bis 2009-07-25 ))))))))))))))))))))))))))))))
.

2009-07-21 20:22 . 2009-07-21 20:22 3775176 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe
2009-07-14 20:50 . 2009-07-17 21:23 664 ----a-w- c:\windows\system32\d3d9caps.dat
2009-07-11 19:39 . 2009-07-11 19:39 42280 ----a-w- c:\dokumente und einstellungen\******\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-07-11 19:20 . 2009-07-12 16:32 -------- d-----w- c:\programme\Google
2009-07-11 13:33 . 2009-07-11 13:33 4212 ---h--w- c:\windows\system32\zllictbl.dat
2009-07-11 13:23 . 2009-07-11 13:23 0 --s-a-w- c:\windows\system\vhosts.exe
2009-07-07 23:47 . 2009-07-07 23:47 -------- d-----w- c:\dokumente und einstellungen\******\Lokale Einstellungen\Anwendungsdaten\Ahead
2009-07-07 20:17 . 2009-07-07 20:17 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\MailFrontier
2009-07-07 20:17 . 2004-04-27 02:40 11264 ----a-w- c:\windows\system32\SpOrder.dll
2009-07-07 20:14 . 2009-07-25 20:06 -------- d-----w- c:\windows\Internet Logs
2009-07-06 22:51 . 2004-08-03 22:58 507392 ----a-w- c:\windows\system32\winlogon.exe
2009-07-06 22:49 . 2009-07-06 22:51 -------- dc----w- c:\windows\system32\dllcache\backup
2009-07-06 17:07 . 2009-07-06 17:07 -------- d-----w- c:\dokumente und einstellungen\******\Anwendungsdaten\Malwarebytes
2009-07-06 17:06 . 2009-07-13 11:36 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-07-06 17:06 . 2009-07-13 11:36 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-07-06 17:06 . 2009-07-06 17:06 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-07-06 16:52 . 2009-07-06 22:50 -------- d-----w- C:\aaa
2009-07-05 20:07 . 2009-07-05 20:16 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\16880004
2009-06-28 20:45 . 2003-06-25 14:05 266360 ----a-w- c:\windows\system32\TweakUI.exe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-07-25 20:27 . 2006-09-16 06:25 -------- d-----w- c:\dokumente und einstellungen\******\Anwendungsdaten\Skype
2009-07-24 17:31 . 2007-03-16 00:16 -------- d---a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2009-07-24 17:28 . 2006-09-18 21:15 -------- d-----w- c:\dokumente und einstellungen\******\Anwendungsdaten\Lavasoft
2009-07-24 17:27 . 2007-02-18 09:38 -------- d-----w- c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-07-19 23:03 . 2006-10-03 06:37 -------- d-----w- c:\dokumente und einstellungen\******\Anwendungsdaten\ZoomBrowser EX
2009-07-19 23:03 . 2006-10-03 06:27 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\ZoomBrowser
2009-07-14 21:45 . 2006-10-06 20:55 -------- d-----w- c:\programme\WinTV
2009-07-12 16:06 . 2008-10-16 09:26 -------- d-----w- c:\dokumente und einstellungen\******\Anwendungsdaten\Audacity
2009-07-07 22:59 . 2006-10-03 19:14 4438 ----a-w- c:\windows\mozver.dat
2009-07-04 21:10 . 2009-04-05 19:34 152576 ----a-w- c:\dokumente und einstellungen\******\Anwendungsdaten\Sun\Java\jre1.6.0_13\lzma.dll
2009-06-14 11:04 . 2007-06-01 18:27 -------- d-----w- c:\dokumente und einstellungen\******\Anwendungsdaten\Vso
2009-06-07 15:59 . 2007-03-16 00:30 -------- d-----w- c:\dokumente und einstellungen\******\Anwendungsdaten\VideoReDoPlus
2009-06-06 23:45 . 2009-02-21 14:44 -------- d-----w- c:\dokumente und einstellungen\******\Anwendungsdaten\gtk-2.0
2009-05-27 22:15 . 2009-05-01 18:12 75096 ----a-w- c:\windows\system32\drivers\avipbb.sys
2009-05-07 20:50 . 2009-05-07 20:50 25748 ----a-w- c:\windows\Fonts\DIN1451 Mittelschrift.TTF
.

(((((((((((((((((((((((((((((((((((((((((((( Look )))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.

--- c:\windows\system32\winlogon.exe ---
Company: Microsoft Corporation
File Description: Windows NT-Anmeldung
File Version: 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
Product Name: Betriebssystem Microsoft® Windows®
Copyright: © Microsoft Corporation. Alle Rechte vorbehalten.
Original Filename: WINLOGON.EXE
File size: 507392
Created time: 2009-07-06 22:51
Modified time: 2004-08-03 22:58
MD5: 2B6A0BAF33A9918F09442D873848FF72
SHA1: E94549181CC6CDF9F5373E86C857049B73BAEE66

---- Directory of C:\aaa ----

2009-07-06 22:50 . 2004-08-03 22:58 507392 ----a-w- c:\aaa\x\winlogon.exe
2009-07-06 22:50 . 2001-08-18 12:00 16896 ----a-w- c:\aaa\EXPAND.EXE
2009-07-06 22:50 . 2004-08-03 22:58 261469 ----a-w- c:\aaa\WINLOGON.EX_
2009-07-06 16:58 . 2004-08-03 22:58 14336 ----a-w- c:\aaa\svchost.exe
2009-07-06 16:57 . 2004-08-03 22:57 1035264 ----a-w- c:\aaa\explorer.exe
2004-08-03 22:57 . 2004-08-03 22:57 1035264 ----a-w- c:\aaa\x\EXPLORER.EXE

------- Sigcheck -------

[7] 2006-04-20 12:18 360576 B2220C618B42A2212A59D91EBD6FC4B4 c:\windows\$hf_mig$\KB917953\SP2QFE\tcpip.sys
[7] 2004-08-03 21:14 359040 9F4B36614A0FC234525BA224957DE55C c:\windows\$NtUninstallKB917953$\tcpip.sys
[-] 2008-04-01 19:39 359808 8CC7975FF3280834CE8228BED170CE4B c:\windows\system32\dllcache\TCPIP.SYS
[-] 2008-04-01 19:39 359808 8CC7975FF3280834CE8228BED170CE4B c:\windows\system32\drivers\TCPIP.SYS

.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-08-11 7630848]
"tsnpstd3"="c:\windows\tsnpstd3.exe" [2005-11-04 90112]
"snpstd3"="c:\windows\vsnpstd3.exe" [2005-09-05 339968]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2006-08-11 1519616]
"NvMediaCenter"="NvMCTray.dll" - c:\windows\system32\nvmctray.dll [2006-08-11 86016]
"SoundMan"="SOUNDMAN.EXE" - c:\windows\soundman.exe [2005-10-24 90112]

c:\dokumente und einstellungen\******\Startmen\Programme\Autostart\
SAM.lnk - c:\online\Skype\SAM\SAM.exe [2006-12-27 1765376]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"mnmsrvc"=3 (0x3)
"MZCCntrl"=2 (0x2)
"WZCSVC"=2 (0x2)
"wuauserv"=2 (0x2)
"RDSessMgr"=3 (0x3)
"IDriverT"=3 (0x3)
"MSIServer"=3 (0x3)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Music\\Clients\\µTorrent\\utorrent.exe"=
"c:\\online\\Skype\\Skype\\Skype.exe"=

R3 MACNDIS5;MACNDIS5 NDIS Protocol Driver;c:\progra~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS [2005-11-24 17280]
R3 MIINPazX;MIINPazX NDIS Protocol Driver;c:\progra~1\GEMEIN~1\MARMIK~1\MInfraIS\MIINPazX.SYS [2006-10-09 17152]
R3 MTOnlPktAlyX;MTOnlPktAlyX NDIS Protocol Driver;c:\online\T-ONLI~2\T-ONLI~1\BASIS-~1\Basis1\MTOnlPktAlyX.SYS [2006-10-09 17536]
R4 MZCCntrl;T-Online WLAN Adapter Steuerungsdienst;c:\programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe [2005-11-15 61440]
S1 HCW88AUD;Hauppauge WinTV 88x Audio Capture;c:\windows\system32\drivers\hcw88aud.sys [2006-06-16 11970]
S3 HCW88BDA;Hauppauge WinTV 88x DVB Tuner/Demod;c:\windows\system32\drivers\hcw88bda.sys [2006-06-16 207424]
S3 hcw88rc5;Hauppauge WinTV 88x IR Decoder;c:\windows\system32\Drivers\hcw88rc5.sys [2006-06-16 11841]
S3 HCW88TSE;Hauppauge WinTV 88x MPEG/TS Capture;c:\windows\system32\drivers\hcw88tse.sys [2006-06-16 299843]
S3 hcw88vid;Hauppauge WinTV 88x Video;c:\windows\system32\drivers\hcw88vid.sys [2006-06-16 497216]
S3 HCW88XBAR;Hauppauge WinTV 88x Crossbar;c:\windows\system32\drivers\HCW88BAR.sys [2006-06-16 23104]

.
Inhalt des "geplante Tasks" Ordners

2009-07-06 c:\windows\Tasks\Kompletter Virenscan.job
- c:\programme\Avira\AntiVir PersonalEdition Classic\avscan.exe [2009-05-01 07:21]

2009-07-24 c:\windows\Tasks\Update Virenscanner.job
- c:\programme\Avira\AntiVir PersonalEdition Classic\StartUpdate.exe [2009-05-15 17:51]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\dokumente und einstellungen\******\Anwendungsdaten\Mozilla\Firefox\Profiles\o3mdvra6.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - component: c:\online\Browser\Firefox\components\xpinstal.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-07-25 22:27
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1292428093-1417001333-725345543-1003\Software\Buhl Data Service\On4u2\TVc200\ExtData*]
"OfflineKey"="HWi0mFpsDvxjBF6HOdrS4B1TQLrjGN09XuraO0rdFlvyB7RVNPQfsZK42mrZDZYxpXzYXHV9culCL1cIRJyYvQHZYYqGffjLzOQRqrO6H5GSNJymdtYHgymAmD/3uToaKx6YC7eHwtJEaBTXj+tKsfy0DLpoUlXJaXD76KV+bA+zOYJSuDn0HuKA6eFL7gmpUEnBVBNdMqJoY9MIOZAIew==ywHSYCyZ+lT0HrOy4aR01GZWBCsZQavAQmWOnz6JVKWRSfG9O0SySR0Ev ZWkbCto3RwFJqlA5AumLyRaEVXNug=="
"InitTime"=dword:0000985b
"LastTime"=dword:0000985b
"Keyindex"=dword:00000000

[HKEY_USERS\S-1-5-21-1292428093-1417001333-725345543-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:f7,66,8d,7e,25,5c,62,34,b6,cc,ce,59,44,bc,90,ae,5a,10,e5,36,54,98,74,
a0,90,1c,dd,94,13,30,11,cf,67,85,3f,63,e9,2f,a7,45,13,28,2e,41,95,45,51,86,\
"??"=hex:87,5a,ca,74,76,9e,0d,c0,92,88,d4,16,d2,42,79,f6

[HKEY_USERS\S-1-5-21-1292428093-1417001333-725345543-1003\Software\SecuROM\License information*]
"datasecu"=hex:69,c4,bf,4b,4e,20,a8,80,a8,3c,16,66,ab,c7,27,d2,72,12,21,20,19,
7f,74,39,56,1b,c6,32,79,a1,b7,72,a9,7e,03,29,b5,b5,b9,7e,7a,05,28,12,88,ab,\
"rkeysecu"=hex:ae,12,92,fb,32,a5,b5,3f,a3,de,ab,b8,61,66,07,02
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(2488)
c:\progra~1\GEMEIN~1\MICROS~1\WEBCOM~1\10\OWC10.DLL
c:\progra~1\GEMEIN~1\MICROS~1\WEBCOM~1\10\1031\owci10.dll
c:\windows\system32\MSCTF.dll
c:\windows\system32\msls31.dll
c:\windows\system32\shdoclc.dll
c:\windows\system32\msimtf.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\windows\system32\nvsvc32.exe
c:\programme\Canon\CAL\CALMAIN.exe
c:\online\Skype\Skype\Skype.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-07-25 22:29 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-07-25 20:29
ComboFix2.txt 2009-07-23 21:56

Vor Suchlauf: 36 Verzeichnis(se), 32.648.642.560 Bytes frei
Nach Suchlauf: 35 Verzeichnis(se), 32.631.177.216 Bytes frei

251