Trojaner-Board - Browser öffnet Webseiten im Hintergrund / Rootkit.Agent

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Browser öffnet Webseiten im Hintergrund / Rootkit.Agent (https://www.trojaner-board.de/79512-browser-oeffnet-webseiten-hintergrund-rootkit-agent.html)

Browser öffnet Webseiten im Hintergrund / Rootkit.Agent

Hallo, liebes Trojaner-Forum,

ich habe mir - wo auch immer - einen lästigen Quälgeist eingefangen.

Symptom: In der Chronik von Firefox tauchen Webseiten (Spam, XXX, etc.) auf, die ich nie geöffnet habe. Vermutlich tut der Browser das im Hintergrund.

Setup: Windows XP SP3, Default-Browser: Firefox, Avira AnitVir, Windows-Firewall

Meine Aktivitäten bisher:
CCleaner hat aufgeräumt (ohne wesentlichen Befund: Caches gelöscht, etc.)

Malwarebytes meldet:

Code:

Malwarebytes' Anti-Malware 1.41

Datenbank Version: 3188

Windows 5.1.2600 Service Pack 3
 

17.11.2009 19:57:02

mbam-log-2009-11-17 (19-56-30).txt
 

Scan-Methode: Vollständiger Scan (C:\|R:\|S:\|)

Durchsuchte Objekte: 226160

Laufzeit: 41 minute(s), 55 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 1

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 0
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\TDSSserv (Rootkit.Agent) -> No action taken.
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

(Keine bösartigen Objekte gefunden)

HIJackThis meint:

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 08:35:05, on 18.11.2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\Avira\AntiVir Desktop\sched.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\ehome\ehtray.exe

C:\Programme\Creative\Sound Blaster X-Fi\DVDAudio\CTDVDDET.EXE

C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe

C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe

C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanel.exe

C:\WINDOWS\system32\CTHELPER.EXE

C:\Programme\Avira\AntiVir Desktop\avgnt.exe

C:\Programme\Java\jre6\bin\jusched.exe

C:\WINDOWS\SYSTEM32\CTXFISPI.EXE

C:\Programme\iTunes\iTunesHelper.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\Windows Media Player\WMPNSCFG.exe

C:\Programme\Avira\AntiVir Desktop\avguard.exe

C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Programme\MSI\Core Center\CoreCenter.exe

C:\Programme\FRITZ!DSL\IGDCTRL.EXE

C:\Programme\Windows Desktop Search\WindowsSearch.exe

C:\Programme\Bonjour\mDNSResponder.exe

C:\WINDOWS\system32\CTsvcCDA.EXE

C:\WINDOWS\eHome\ehRecvr.exe

C:\WINDOWS\eHome\ehSched.exe

C:\Programme\Java\jre6\bin\jqs.exe

C:\Programme\Creative\ShareDLL\CADI\NotiMan.exe

C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Programme\CDBurnerXP\NMSAccessU.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\SearchIndexer.exe

C:\WINDOWS\eHome\ehmsas.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\iPod\bin\iPodService.exe

C:\WINDOWS\system32\dllhost.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Programme\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\msiexec.exe

C:\WINDOWS\system32\SearchProtocolHost.exe

C:\WINDOWS\system32\SearchProtocolHost.exe

C:\Programme\Trend Micro\HijackThis\HijackThis.exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe

O4 - HKLM\..\Run: [CTDVDDET] "C:\Programme\Creative\Sound Blaster X-Fi\DVDAudio\CTDVDDET.EXE"

O4 - HKLM\..\Run: [RCSystem] "C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" RCSystem * -Startup

O4 - HKLM\..\Run: [AudioDrvEmulator] "C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" -1 AudioDrvEmulator "C:\Programme\Creative\Shared Files\Module Loader\Audio Emulator\AudDrvEm.dll"

O4 - HKLM\..\Run: [VolPanel] "C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanel.exe" /r

O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE

O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: CoreCenter.lnk = C:\Programme\MSI\Core Center\CoreCenter.exe

O4 - Global Startup: Windows Search.lnk = C:\Programme\Windows Desktop Search\WindowsSearch.exe

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://w*w.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1188625202062

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1220631548562

O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - h**p://w*w.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab

O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE

O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE

O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe

O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

O23 - Service: NMSAccessU - Unknown owner - C:\Programme\CDBurnerXP\NMSAccessU.exe
 

--

End of file - 7723 bytes

Ergänzung: Start des Rechners im abgesicherten Modus und CWShredder erbrachte keine Funde (und demnach auch keine Veränderung)

Ergänzung II: Interessanter Nebeneffekt: Seit heute früh haben einige Icons (so auch die von MS Office) ihre eigentlichen Icons verloren und werden nur noch mit Standard-Icons angzeigt. Nicht, dass das so fürchterlich störend ist, aber vielleicht hats ja etwas mit dem Virus zu tun?

Ich bin mir bewusst, dass es nicht einfach sein wird, das Rootkit zu entfernen, würde es aber dennoch gern (naja, eher nolens volens) versuchen. Was ist zu tun?

Vielen Dank für Eure Hilfe

swabedoo

Hallo,

Erstell mal bitte Logfiles mit RSIT und poste diese oder lad sie am besten bei file-upload.net hoch und verlink das ganze. Nimm bitte diese umbeannte Version von RSIT!!

Lade dir danach Lop S&D herunter.

Führe Lop S&D.exe per Doppelklick aus.
Wähle die Sprache deiner Wahl und anschließend die Option 1.
Warte bis der Scanbericht erstellt wird und poste ihn hier (Du findest ihn unter C:\lopR.txt, sollte der Bericht nicht erscheinen).

Hallo Arne,

sehr gerne. RSIT-Log ist angehängt.

Btw, ich hatte in MBAM den Rootkit.Agent noch nicht entfernen lassen. Soll ich?

Anbei noch das LodS&D Log:

Code:

   --------------------\\  Lop S&D 4.2.5-0   XP/Vista
 

   Microsoft Windows XP Professional ( v5.1.2600 ) Service Pack 3

   X86-based PC ( Uniprocessor Free : AMD Athlon(tm) 64 Processor 3000+ )

   BIOS : )Phoenix - Award WorkstationBIOS v6.00PG

   USER : Master ( Administrator )

   BOOT : Normal boot

   Antivirus : AntiVir PersonalEdition Classic Virenschutz  7.0.3.142

   (Activated)

   A:\ (USB)

   C:\ (Local Disk) - NTFS - Total:48 Go (Free:26 Go)

   E:\ (CD or DVD)

   F:\ (CD or DVD)

   G:\ (USB)

   H:\ (USB)

   I:\ (USB)

   J:\ (USB)

   R:\ (Local Disk) - NTFS - Total:400 Go (Free:136 Go)

   S:\ (Local Disk) - NTFS - Total:146 Go (Free:53 Go)
 

   "C:\Lop SD" ( MAJ : 19-12-2008|23:40 )

   Option : [1] ( 18.11.2009|18:14 )

 

   --------------------\\  Ordner Verzeichnis unter ANWEND~1
 

   [14.11.2009|14:26] C:\DOKUME~1\ALLUSE~1\ANWEND~1\{755AC846-7372-4AC8-8550-C52491DAA8BD}

   [13.05.2009|15:14] C:\DOKUME~1\ALLUSE~1\ANWEND~1\{8CD7F5AF-ECFA-4793-BF40-D8F42DBFF906}

   [11.11.2009|22:22] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Adobe

   [11.12.2005|22:09] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Ahead

   [08.07.2007|13:23] C:\DOKUME~1\ALLUSE~1\ANWEND~1\allTunes

   [30.06.2007|11:07] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Apple

   [13.01.2007|14:52] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Apple Computer

   [11.11.2009|22:07] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Avira

   [22.05.2008|08:53] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Buhl Data Service GmbH

   [13.08.2006|19:29] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Creative

   [13.11.2005|21:57] C:\DOKUME~1\ALLUSE~1\ANWEND~1\CyberLink

   [02.12.2007|18:20] C:\DOKUME~1\ALLUSE~1\ANWEND~1\DVRMSToolbox

   [07.08.2009|13:27] C:\DOKUME~1\ALLUSE~1\ANWEND~1\hps

   [27.05.2006|12:53] C:\DOKUME~1\ALLUSE~1\ANWEND~1\ID3-TagIT 3

   [17.09.2008|14:01] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Malwarebytes

   [25.10.2008|08:37] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Microsoft

   [24.12.2006|17:45] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Office Genuine Advantage

   [14.11.2005|20:33] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Pinnacle

   [10.08.2009|20:11] C:\DOKUME~1\ALLUSE~1\ANWEND~1\SlySoft

   [31.12.2008|14:20] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Sonavis

   [13.11.2009|22:37] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Spybot - Search & Destroy

   [11.12.2005|18:53] C:\DOKUME~1\ALLUSE~1\ANWEND~1\SSScanAppDataDir

   [11.12.2005|18:53] C:\DOKUME~1\ALLUSE~1\ANWEND~1\SSScanWizard

   [25.11.2005|21:19] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Teledat

   [12.05.2008|15:13] C:\DOKUME~1\ALLUSE~1\ANWEND~1\TuneUp Software

   [13.11.2005|16:44] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Windows Genuine Advantage

   [0|Datei(en)] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Bytes

   [28|Verzeichnis(se),] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Bytes frei
 

   [13.11.2005|11:43] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Microsoft

   [0|Datei(en)] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Bytes

   [3|Verzeichnis(se),] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Bytes frei
 

   [25.10.2008|08:41] C:\DOKUME~1\LOCALS~1\ANWEND~1\Microsoft

   [0|Datei(en)] C:\DOKUME~1\LOCALS~1\ANWEND~1\Bytes

   [3|Verzeichnis(se),] C:\DOKUME~1\LOCALS~1\ANWEND~1\Bytes frei
 

   [09.08.2008|08:00] C:\DOKUME~1\Master\ANWEND~1\Adobe

   [09.08.2008|08:51] C:\DOKUME~1\Master\ANWEND~1\allTunes

   [21.08.2009|19:39] C:\DOKUME~1\Master\ANWEND~1\Amazon

   [14.11.2009|14:39] C:\DOKUME~1\Master\ANWEND~1\Apple Computer

   [23.08.2008|16:23] C:\DOKUME~1\Master\ANWEND~1\ArcSoft

   [09.08.2008|17:17] C:\DOKUME~1\Master\ANWEND~1\Buhl Data Service

   [02.11.2008|14:07] C:\DOKUME~1\Master\ANWEND~1\Canneverbe_Limited

   [10.08.2008|17:20] C:\DOKUME~1\Master\ANWEND~1\Canon

   [10.05.2009|13:36] C:\DOKUME~1\Master\ANWEND~1\ConceptDraw MINDMAP 5

   [08.09.2008|12:42] C:\DOKUME~1\Master\ANWEND~1\Cornelsen

   [08.08.2008|15:53] C:\DOKUME~1\Master\ANWEND~1\Creative

   [03.01.2009|19:26] C:\DOKUME~1\Master\ANWEND~1\Cuttermaran

   [02.11.2008|16:52] C:\DOKUME~1\Master\ANWEND~1\CyberLink

   [22.08.2009|13:58] C:\DOKUME~1\Master\ANWEND~1\foobar2000

   [31.12.2008|16:13] C:\DOKUME~1\Master\ANWEND~1\FRITZ!

   [04.10.2008|12:03] C:\DOKUME~1\Master\ANWEND~1\Google

   [24.12.2008|11:50] C:\DOKUME~1\Master\ANWEND~1\Help

   [09.08.2008|09:17] C:\DOKUME~1\Master\ANWEND~1\ID3-TagIT 3

   [30.05.2009|20:40] C:\DOKUME~1\Master\ANWEND~1\ImgBurn

   [30.05.2009|18:23] C:\DOKUME~1\Master\ANWEND~1\InstallShield

   [08.08.2008|15:56] C:\DOKUME~1\Master\ANWEND~1\Macromedia

   [17.09.2008|14:01] C:\DOKUME~1\Master\ANWEND~1\Malwarebytes

   [06.07.2009|13:00] C:\DOKUME~1\Master\ANWEND~1\Microsoft

   [18.08.2008|16:09] C:\DOKUME~1\Master\ANWEND~1\Mozilla

   [20.06.2009|13:24] C:\DOKUME~1\Master\ANWEND~1\Mp3tag

   [15.11.2009|09:14] C:\DOKUME~1\Master\ANWEND~1\Nvu

   [31.10.2008|23:27] C:\DOKUME~1\Master\ANWEND~1\Real

   [13.05.2009|15:17] C:\DOKUME~1\Master\ANWEND~1\SharePod

   [23.12.2008|20:34] C:\DOKUME~1\Master\ANWEND~1\SlySoft

   [31.12.2008|16:02] C:\DOKUME~1\Master\ANWEND~1\Sonavis

   [14.08.2008|21:12] C:\DOKUME~1\Master\ANWEND~1\Sun

   [15.08.2008|16:15] C:\DOKUME~1\Master\ANWEND~1\TuneUp Software

   [25.10.2008|08:37] C:\DOKUME~1\Master\ANWEND~1\Windows Desktop Search

   [26.10.2008|10:17] C:\DOKUME~1\Master\ANWEND~1\Windows Search

   [0|Datei(en)] C:\DOKUME~1\Master\ANWEND~1\Bytes

   [36|Verzeichnis(se),] C:\DOKUME~1\Master\ANWEND~1\Bytes frei
 

   [13.11.2005|11:46] C:\DOKUME~1\NETWOR~1\ANWEND~1\Microsoft

   [0|Datei(en)] C:\DOKUME~1\NETWOR~1\ANWEND~1\Bytes

   [3|Verzeichnis(se),] C:\DOKUME~1\NETWOR~1\ANWEND~1\Bytes frei

 

   --------------------\\  Geplante Aufgaben unter C:\WINDOWS\Tasks
 

   [13.11.2009 17:15][--a------] C:\WINDOWS\tasks\1-Klick-Wartung.job

   [12.08.2009 21:56][--a------] C:\WINDOWS\tasks\AppleSoftwareUpdate.job

   [18.11.2009 08:09][--ah-----] C:\WINDOWS\tasks\SA.DAT

   [10.08.2004 13:00][-r-h-----] C:\WINDOWS\tasks\desktop.ini
 

   --------------------\\  Ordner Verzeichnis unter C:\Programme
 

   [05.07.2009|14:51] C:\Programme\7-Zip

   [23.08.2009|11:45] C:\Programme\Adobe

   [02.11.2008|14:52] C:\Programme\Ahead

   [12.05.2008|15:32] C:\Programme\Ahnenblatt

   [16.11.2008|19:24] C:\Programme\allTunes

   [21.08.2009|19:38] C:\Programme\Amazon

   [18.11.2005|20:11] C:\Programme\AMD

   [13.05.2009|15:02] C:\Programme\Apple Software Update

   [11.12.2005|18:52] C:\Programme\ArcSoft

   [23.09.2006|16:19] C:\Programme\ATI

   [16.11.2005|17:46] C:\Programme\ATI Technologies

   [01.01.2008|14:15] C:\Programme\AutoDVRconvert v1.3

   [11.11.2009|22:07] C:\Programme\Avira

   [12.01.2008|16:39] C:\Programme\AviSynth 2.5

   [07.09.2009|06:59] C:\Programme\BFF

   [13.05.2009|15:04] C:\Programme\Bonjour

   [07.07.2009|18:37] C:\Programme\Canon

   [13.11.2005|14:07] C:\Programme\CAPI

   [11.11.2009|22:35] C:\Programme\CCleaner

   [02.11.2008|14:07] C:\Programme\CDBurnerXP

   [14.06.2009|10:12] C:\Programme\CDEX

   [01.01.2008|15:02] C:\Programme\Common Files

   [13.11.2005|11:34] C:\Programme\ComPlus Applications

   [17.11.2005|11:11] C:\Programme\Creative

   [10.05.2009|09:47] C:\Programme\CS Odessa

   [12.01.2008|16:35] C:\Programme\Cuttermaran

   [14.06.2009|10:24] C:\Programme\CyberLink

   [11.02.2007|15:11] C:\Programme\DNA Digital Media Group

   [02.12.2007|18:22] C:\Programme\Dragon Global

   [31.05.2009|17:06] C:\Programme\DVRMSToolbox

   [22.04.2007|17:06] C:\Programme\ElsterFormular2005

   [23.12.2005|11:03] C:\Programme\Everest

   [23.12.2005|14:35] C:\Programme\EVEREST Home Edition

   [15.06.2009|06:48] C:\Programme\FLAC

   [05.07.2009|14:54] C:\Programme\foobar2000

   [10.05.2009|15:25] C:\Programme\FreeMind

   [04.09.2006|20:45] C:\Programme\FRITZ!Box

   [23.08.2009|06:57] C:\Programme\FRITZ!DSL

   [26.02.2006|17:07] C:\Programme\FurnPlan

   [07.07.2009|18:23] C:\Programme\Gemeinsame Dateien

   [25.12.2008|07:37] C:\Programme\Google

   [30.05.2009|20:48] C:\Programme\GUI for dvdauthor

   [27.11.2005|13:02] C:\Programme\Hewlett-Packard

   [12.05.2008|15:32] C:\Programme\hp deskjet 970c series

   [27.05.2006|12:53] C:\Programme\ID3-TagIT 3

   [12.01.2008|20:47] C:\Programme\ImgBurn

   [17.06.2009|17:04] C:\Programme\InstallShield Installation Information

   [11.11.2009|21:40] C:\Programme\Internet Explorer

   [14.11.2009|14:26] C:\Programme\iPod

   [13.06.2009|19:10] C:\Programme\IrfanView

   [13.11.2005|14:06] C:\Programme\ISDN

   [14.11.2009|14:26] C:\Programme\iTunes

   [14.11.2009|14:46] C:\Programme\Java

   [19.09.2007|13:58] C:\Programme\Klett

   [17.11.2009|18:14] C:\Programme\Malwarebytes' Anti-Malware

   [05.09.2008|15:37] C:\Programme\Messenger

   [23.05.2008|14:19] C:\Programme\microsoft frontpage

   [23.05.2008|14:32] C:\Programme\Microsoft Office

   [29.12.2008|16:39] C:\Programme\Microsoft Sync Framework

   [23.05.2008|14:32] C:\Programme\Microsoft Visual Studio

   [23.05.2008|14:34] C:\Programme\Microsoft Works

   [17.11.2005|10:01] C:\Programme\Microsoft.NET

   [09.05.2008|07:18] C:\Programme\Movie Maker

   [18.11.2009|18:07] C:\Programme\Mozilla Firefox

   [02.11.2008|18:56] C:\Programme\mp3DirectCut

   [20.06.2009|13:22] C:\Programme\Mp3tag

   [24.06.2007|09:24] C:\Programme\MSBuild

   [24.12.2008|13:02] C:\Programme\MSECACHE

   [23.12.2005|11:10] C:\Programme\MSI

   [18.12.2005|13:39] C:\Programme\MSI-BIOS

   [13.11.2005|20:23] C:\Programme\MSI-WLAN

   [13.11.2005|13:30] C:\Programme\MSN

   [13.11.2005|11:30] C:\Programme\MSN Gaming Zone

   [19.11.2006|10:01] C:\Programme\MSXML 4.0

   [24.06.2007|08:19] C:\Programme\MSXML 6.0

   [16.07.2008|18:40] C:\Programme\Mueller-Fotoservice

   [07.08.2009|13:20] C:\Programme\Müller Foto

   [01.01.2008|18:12] C:\Programme\MuxMan

   [09.05.2008|07:16] C:\Programme\NetMeeting

   [21.03.2008|18:17] C:\Programme\No23 Recorder

   [14.01.2007|17:09] C:\Programme\Nvu

   [13.11.2005|11:34] C:\Programme\Online Services

   [13.11.2005|11:41] C:\Programme\Online-Dienste

   [16.08.2009|12:54] C:\Programme\Outlook Express

   [04.01.2009|10:57] C:\Programme\Partition Manager

   [08.03.2009|15:18] C:\Programme\PDFCreator

   [14.11.2005|20:42] C:\Programme\Pinnacle

   [11.12.2005|21:49] C:\Programme\Pioneer

   [14.11.2005|21:03] C:\Programme\Plextor

   [01.01.2008|18:14] C:\Programme\ProjectX

   [03.01.2009|21:17] C:\Programme\PVAStrumento

   [12.01.2008|16:25] C:\Programme\QuEnc

   [14.11.2009|14:25] C:\Programme\QuickTime

   [05.02.2006|13:05] C:\Programme\Real

   [24.06.2007|09:21] C:\Programme\Reference Assemblies

   [11.12.2005|18:53] C:\Programme\ScanSoft

   [07.10.2006|14:41] C:\Programme\SlySoft

   [11.12.2005|19:36] C:\Programme\SpeedFan

   [29.12.2008|16:39] C:\Programme\SyncToy 2.0

   [30.06.2007|15:52] C:\Programme\SystemRequirementsLab

   [26.11.2005|18:21] C:\Programme\t-com_update

   [26.11.2005|18:24] C:\Programme\Teledat X120

   [14.11.2005|18:57] C:\Programme\TerraTec

   [10.07.2009|09:29] C:\Programme\The GodFather

   [19.08.2007|15:33] C:\Programme\ThumbsPlus 7x

   [18.11.2009|08:33] C:\Programme\Trend Micro

   [17.09.2008|16:36] C:\Programme\TuneUp Utilities 2007

   [31.12.2008|14:20] C:\Programme\TVsweeper

   [13.11.2005|11:51] C:\Programme\Uninstall Information

   [02.10.2007|15:31] C:\Programme\WDZ2

   [21.09.2008|08:46] C:\Programme\WDZ3

   [11.06.2009|13:25] C:\Programme\Windows Desktop Search

   [24.12.2008|13:02] C:\Programme\Windows Installer Clean Up

   [01.11.2006|18:35] C:\Programme\Windows Media Connect 2

   [09.05.2008|07:16] C:\Programme\Windows Media Player

   [09.05.2008|07:16] C:\Programme\Windows NT

   [13.11.2005|11:33] C:\Programme\Windows Plus

   [13.11.2005|11:41] C:\Programme\WindowsUpdate

   [30.05.2009|18:28] C:\Programme\WISO

   [15.02.2009|13:46] C:\Programme\WISO Sparbuch

   [21.01.2008|21:47] C:\Programme\WW Points Plus

   [13.11.2005|11:43] C:\Programme\xerox

   [03.04.2008|20:16] C:\Programme\XXCLONE

   [0|Datei(en)] C:\Programme\Bytes

   [125|Verzeichnis(se),] C:\Programme\Bytes frei
 

   --------------------\\  Ordner Verzeichnis unter C:\Programme\Gemeinsame Dateien
 

   [11.11.2009|22:21] C:\Programme\Gemeinsame Dateien\Adobe

   [02.11.2008|14:52] C:\Programme\Gemeinsame Dateien\Ahead

   [14.11.2009|14:26] C:\Programme\Gemeinsame Dateien\Apple

   [04.09.2006|20:49] C:\Programme\Gemeinsame Dateien\AVM

   [15.02.2009|13:46] C:\Programme\Gemeinsame Dateien\Buhl Data Service

   [07.07.2009|18:23] C:\Programme\Gemeinsame Dateien\Canon

   [17.11.2005|10:01] C:\Programme\Gemeinsame Dateien\DESIGNER

   [13.11.2005|11:40] C:\Programme\Gemeinsame Dateien\Dienste

   [27.11.2005|17:11] C:\Programme\Gemeinsame Dateien\FotoWire

   [13.11.2005|13:05] C:\Programme\Gemeinsame Dateien\InstallShield

   [21.12.2005|12:29] C:\Programme\Gemeinsame Dateien\Java

   [21.03.2009|09:47] C:\Programme\Gemeinsame Dateien\Microsoft Shared

   [13.11.2005|11:40] C:\Programme\Gemeinsame Dateien\MSSoap

   [12.11.2005|11:17] C:\Programme\Gemeinsame Dateien\ODBC

   [05.02.2006|13:05] C:\Programme\Gemeinsame Dateien\Real

   [11.12.2005|18:53] C:\Programme\Gemeinsame Dateien\ScanSoft Shared

   [31.12.2008|14:20] C:\Programme\Gemeinsame Dateien\Sonavis

   [12.11.2005|11:17] C:\Programme\Gemeinsame Dateien\SpeechEngines

   [09.05.2008|07:16] C:\Programme\Gemeinsame Dateien\System

   [12.05.2008|15:12] C:\Programme\Gemeinsame Dateien\Wise Installation Wizard

   [05.02.2006|13:05] C:\Programme\Gemeinsame Dateien\xing shared

   [0|Datei(en)] C:\Programme\Gemeinsame Dateien\Bytes

   [23|Verzeichnis(se),] C:\Programme\Gemeinsame Dateien\Bytes frei
 

   --------------------\\  Process
 

   ( 62 Processes )
 

   ... OK !
 

   --------------------\\  Ueberpruefung mit S_Lop
 

   Kein Lop Ordner gefunden !

 

   --------------------\\  Suche nach Lop Dateien - Ordnern
 

   Kein Lop Ordner gefunden ! 

 

   --------------------\\  Suche innerhalb der Registry

 

   ..... OK !
 

   --------------------\\  Ueberpruefung der Hosts Datei
 

   Hosts Datei SAUBER
 
 

   --------------------\\  Suche nach verborgenen Dateien mit Catchme

 

   catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

   Rootkit scan 2009-11-18 18:16:08

   Windows 5.1.2600 Service Pack 3 NTFS

   scanning hidden processes ...

   scanning hidden files ...

   scan completed successfully

   hidden processes: 0

   hidden files: 0

 

   --------------------\\  Suche nach anderen Infektionen
 

   --------------------\\  ROOTKIT !!
 

   Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_TDSSSERV]

   Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_TDSSSERV]

   Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TDSSSERV]

   Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\TDSSserv]

   Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\TDSSserv]

   Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TDSSserv]
 
 
 

   [F:64][D:3]-> C:\DOKUME~1\Master\LOKALE~1\Temp

   [F:2][D:0]-> C:\DOKUME~1\Master\Cookies

   [F:2][D:0]-> C:\DOKUME~1\Master\LOKALE~1\TEMPOR~1\content.IE5
 

   1 - "C:\Lop SD\LopR_1.txt" - 18.11.2009|18:16 - Option : [1]
 

   --------------------\\  Scan beendet um 18:16:37

Wie kann ich denn die Prozesse unter C:\Windows\Tasks sehen? Der Browser zeigt mir den SD.dat nicht an...

Thanx 4 your Help

Frank

Bitte mal den Avenger anwenden

Vorbereitungen:
a) Deaktiviere den Hintergrundwächter vom Virenscanner.
b) Stöpsele alle externen Datenträger vom Rechner ab.

Danach:

1.) Lade Dir von hier Avenger als gehweg.exe => File-Upload.net - gehweg.exe auf den Desktop

2.) Doppelklick die Datei "gehweg.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:

http://mitglied.lycos.de/efunction/tb123/avenger.png

3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:

Code:

Registry keys to delete:

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\TDSSserv.sys

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\network\TDSSserv.sys

4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

Hallo und Guten Morgen,

Avenger spricht

Code:

Logfile of The Avenger Version 2.0, (c) by Swandog46

http://swandog46.geekstogo.com
 

Platform:  Windows XP
 

*******************
 

Script file opened successfully.

Script file read successfully.
 

Backups directory opened successfully at C:\Avenger
 

*******************
 

Beginning to process script file:
 

Rootkit scan active.

No rootkits found!
 

Registry key "HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\TDSSserv.sys" deleted successfully.

Registry key "HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\network\TDSSserv.sys" deleted successfully.
 

Completed script processing.
 

*******************
 

Finished!  Terminate.

hmmmmm, no rootkits found?

Beim Neustart sind die Services des AntiVir normal gestartet. Hätte ich die auch für den Neustart stilllegen müssen?

Gruß, Frank

Mach nun nochmal bitte einen Durchlauf mit MalwareBytes (Signauren updaten vorher!!) und lass alle Funde beseitigen. Poste wieder das Log, dann denke gehts an Combofix dran - werden wir aber noch sehen, also bitte nichts voreilig ausführen!

Hallo Arne,

Signatur aktualisiert, Malwarebytes durchgelaufen.
Ergebnis: 'nur' der gleiche Rootkit.Agent.
Unter Quarantäne gestellt und entfernt.

Das Log:

Code:

Malwarebytes' Anti-Malware 1.41

Datenbank Version: 3202

Windows 5.1.2600 Service Pack 3
 

20.11.2009 20:05:18

mbam-log-2009-11-20 (20-05-18).txt
 

Scan-Methode: Vollständiger Scan (C:\|R:\|S:\|)

Durchsuchte Objekte: 226729

Laufzeit: 44 minute(s), 17 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 1

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 0
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\TDSSserv (Rootkit.Agent) -> Quarantined and deleted successfully.
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

(Keine bösartigen Objekte gefunden)

Frage am Rande: TDSSserv sieht man (so lange aktiv) als Nicht-zugeordneten Treiber bei Arbeitsplatz --> Eigenschaften --> Hardware --> Geräte-Manager --> Ansicht --> Ausgeblendete Geräte anzeigen. Dann sieht man ihn unter Nicht PnP-Treiber. Hätte es eigentlich geholfen, diesen zu deinstallieren?

Einen schönen Abend noch, viele Grüße in den hohen Norden

Frank

Hallo und guten Morgen Arne,

Bad News :-(( von heute morgen:
Das Symptom ist noch nicht beseitigt. Auch heute morgen (nach den Reinigungsaktionen von gestern und vorgestern) habe ich wieder in der Chronik von Firefox entspreche Webseitenaufrufe gesehen...

Habe ich einen Fehler gemacht?

Der TDSSserv-Treiber ist auf jeden Fall nicht mehr sichtbar... (das lässt mich hoffen).

Grüße, Frank

Mach bitte einen Durchlauf mit Combofix:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Guten Morgen Arne,

anbei das Log.

Code:

ComboFix 09-11-22.04 - Master 23.11.2009  8:00.1.1 - x86

Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.2047.1528 [GMT 1:00]

ausgeführt von:: c:\dokumente und einstellungen\Master\Desktop\cofi.exe

AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {00000000-0000-0000-0000-000000000000}

AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {804FD0EC-FFA4-00DA-0D24-347CA8A3377C}

AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {804FD2B8-FFA4-00DA-0D24-347CA8A3377C}

AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {804FD2B8-FFA4-00EB-0D24-347CA8A3377C}

AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {804FD2B8-FFA4-00FC-0D24-347CA8A3377C}

.
 

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.
 

c:\windows\kb913800.exe
 

.

(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))

.
 

-------\Legacy_TDSSSERV
 
 

(((((((((((((((((((((((   Dateien erstellt von 2009-10-23 bis 2009-11-23  ))))))))))))))))))))))))))))))

.
 

2009-11-18 17:14 . 2009-11-18 17:16        --------        d-----w-        C:\Lop SD

2009-11-18 17:08 . 2009-11-18 17:09        --------        d-----w-        C:\rsit

2009-11-18 07:33 . 2009-11-18 07:33        --------        d-----w-        c:\programme\Trend Micro

2009-11-17 17:14 . 2009-09-10 13:54        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys

2009-11-17 17:14 . 2009-11-17 17:14        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware

2009-11-17 17:14 . 2009-09-10 13:53        19160        ----a-w-        c:\windows\system32\drivers\mbam.sys

2009-11-16 07:57 . 2009-11-16 07:57        --------        d-----w-        c:\windows\system32\URTTemp

2009-11-16 07:40 . 2009-10-29 10:19        290816        ----a-w-        C:\cleanup_tool.exe

2009-11-15 08:14 . 2009-11-15 08:14        --------        d-----w-        c:\dokumente und einstellungen\Master\Anwendungsdaten\Nvu

2009-11-14 13:26 . 2009-11-14 13:26        --------        d-----w-        c:\programme\iPod

2009-11-14 13:26 . 2009-11-14 13:26        --------        d-----w-        c:\programme\iTunes

2009-11-14 13:26 . 2009-11-14 13:26        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\{755AC846-7372-4AC8-8550-C52491DAA8BD}

2009-11-14 13:22 . 2009-11-14 13:22        79144        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer\Installer Cache\iTunes 9.0.2.25\SetupAdmin.exe

2009-11-11 21:35 . 2009-11-11 21:35        --------        d-----w-        c:\programme\CCleaner

2009-11-11 21:33 . 2009-11-11 21:33        --------        d-----w-        c:\dokumente und einstellungen\Master\Lokale Einstellungen\Anwendungsdaten\Sun

2009-11-11 21:07 . 2009-07-28 15:33        55656        ----a-w-        c:\windows\system32\drivers\avgntflt.sys

2009-11-11 21:07 . 2009-03-30 09:33        96104        ----a-w-        c:\windows\system32\drivers\avipbb.sys

2009-11-11 21:07 . 2009-02-13 11:29        22360        ----a-w-        c:\windows\system32\drivers\avgntmgr.sys

2009-11-11 21:07 . 2009-02-13 11:17        45416        ----a-w-        c:\windows\system32\drivers\avgntdd.sys

2009-11-11 21:07 . 2009-11-11 21:07        --------        d-----w-        c:\programme\Avira

2009-11-11 21:07 . 2009-11-11 21:07        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira

2009-11-11 20:45 . 2009-11-11 20:45        --------        d-----w-        c:\dokumente und einstellungen\Master\Lokale Einstellungen\Anwendungsdaten\PCHealth

2009-11-11 20:29 . 2009-11-18 06:18        --------        d-sh--w-        c:\windows\Installer

2009-11-11 20:29 . 2009-11-11 21:17        152576        ----a-w-        c:\dokumente und einstellungen\Master\Anwendungsdaten\Sun\Java\jre1.6.0_17\lzma.dll

2009-11-11 20:29 . 2009-11-11 21:17        79488        ----a-w-        c:\dokumente und einstellungen\Master\Anwendungsdaten\Sun\Java\jre1.6.0_17\gtapi.dll

2009-11-11 20:27 . 2009-06-21 21:45        153088        -c----w-        c:\windows\system32\dllcache\triedit.dll
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-11-22 19:04 . 2008-08-09 08:11        --------        d-----w-        c:\dokumente und einstellungen\Master\Anwendungsdaten\foobar2000

2009-11-16 21:54 . 2005-11-13 10:59        38856        ----a-w-        c:\dokumente und einstellungen\Master\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT

2009-11-16 08:27 . 2004-08-10 12:00        96278        ----a-w-        c:\windows\system32\perfc007.dat

2009-11-16 08:27 . 2004-08-10 12:00        488502        ----a-w-        c:\windows\system32\perfh007.dat

2009-11-14 13:46 . 2005-12-21 11:29        --------        d-----w-        c:\programme\Java

2009-11-14 13:39 . 2008-08-09 08:10        --------        d-----w-        c:\dokumente und einstellungen\Master\Anwendungsdaten\Apple Computer

2009-11-14 13:26 . 2007-06-30 10:07        --------        d-----w-        c:\programme\Gemeinsame Dateien\Apple

2009-11-14 13:25 . 2008-03-11 13:01        --------        d-----w-        c:\programme\QuickTime

2009-11-13 21:37 . 2007-02-23 18:42        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy

2009-11-11 21:21 . 2005-11-13 12:01        --------        d-----w-        c:\programme\Gemeinsame Dateien\Adobe

2009-10-11 03:17 . 2009-06-13 18:19        411368        ----a-w-        c:\windows\system32\deploytk.dll

2009-10-08 13:57 . 2007-10-09 12:03        614912        ----a-w-        c:\windows\system32\uiautomationcore.dll

2009-10-08 13:57 . 2004-08-10 12:00        23040        ----a-w-        c:\windows\system32\oleaccrc.dll

2009-10-08 13:57 . 2004-08-10 12:00        220160        ----a-w-        c:\windows\system32\oleacc.dll

2009-09-11 14:17 . 2004-08-10 12:00        136192        ----a-w-        c:\windows\system32\msv1_0.dll

2009-09-04 21:03 . 2004-08-10 12:00        58880        ----a-w-        c:\windows\system32\msasn1.dll

2009-08-29 07:54 . 2004-08-10 12:00        916480        ----a-w-        c:\windows\system32\wininet.dll

2009-08-26 08:00 . 2004-08-10 12:00        247326        ----a-w-        c:\windows\system32\strmdll.dll

2008-12-23 19:35 . 2008-12-23 19:35        0        --sh--w-        c:\windows\S06E2F81F.tmp

.
 

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"WMPNSCFG"="c:\programme\Windows Media Player\WMPNSCFG.exe" [2006-10-24 204288]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ehTray"="c:\windows\ehome\ehtray.exe" [2005-08-05 64512]

"CTDVDDET"="c:\programme\Creative\Sound Blaster X-Fi\DVDAudio\CTDVDDET.EXE" [2003-06-18 45056]

"RCSystem"="c:\programme\Creative\Shared Files\Module Loader\DLLML.exe" [2005-06-16 49152]

"AudioDrvEmulator"="c:\programme\Creative\Shared Files\Module Loader\DLLML.exe" [2005-06-16 49152]

"VolPanel"="c:\programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanel.exe" [2005-07-11 122880]

"CloneCDTray"="c:\programme\SlySoft\CloneCD\CloneCDTray.exe" [2009-01-29 57344]

"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-10-03 35696]

"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-10-11 149280]

"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2009-09-04 935288]

"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2009-09-05 417792]

"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2009-10-28 141600]

"Malwarebytes Anti-Malware (reboot)"="c:\programme\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080]

"CTHelper"="CTHELPER.EXE" - c:\windows\system32\CtHelper.exe [2006-12-12 19456]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
 

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\

CoreCenter.lnk - c:\programme\MSI\Core Center\CoreCenter.exe [2005-12-23 924160]

Windows Search.lnk - c:\programme\Windows Desktop Search\WindowsSearch.exe [2008-5-26 123904]
 

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 304128]
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^WISO Urteilsmonitor.lnk]

path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\WISO Urteilsmonitor.lnk

backup=c:\windows\pss\WISO Urteilsmonitor.lnkCommon Startup
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"iPod Service"=3 (0x3)

"Apple Mobile Device"=2 (0x2)
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]

"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" -atboottime

"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe"

"CTxfiHlp"=CTXFIHLP.EXE

"CloneCDTray"="c:\programme\SlySoft\CloneCD\CloneCDTray.exe" /s

"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"

"SoundMan"=SOUNDMAN.EXE
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Programme\\Messenger\\msmsgs.exe"=

"c:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"=

"c:\\Programme\\FRITZ!DSL\\FBOXUPD.EXE"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Programme\\Bonjour\\mDNSResponder.exe"=

"c:\\Programme\\iTunes\\iTunes.exe"=
 

R0 hotcore3;hotcore3;c:\windows\system32\drivers\hotcore3.sys [04.01.2009 10:57 39472]

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [11.11.2009 22:07 108289]

R2 AVMPORT;AVMPORT;c:\windows\system32\drivers\avmport.sys [13.11.2005 15:56 59520]

R3 AVMCOWAN;AVMCOWAN;c:\windows\system32\drivers\avmcowan.sys [12.03.2004 01:00 53120]

R3 CX88VID;Cinergy 1400 DVB-T Video Capture;c:\windows\system32\drivers\cxavsvid.sys [14.11.2005 18:31 326528]

R3 HCW88BDA;Hauppauge WinTV 88x DVB Tuner/Demod;c:\windows\system32\drivers\hcw88bda.sys [03.09.2006 16:29 207424]

R3 hcw88rc5;Hauppauge WinTV 88x IR Decoder;c:\windows\system32\drivers\hcw88rc5.sys [03.09.2006 16:29 11841]

R3 HCW88TSE;Hauppauge WinTV 88x MPEG/TS Capture;c:\windows\system32\drivers\hcw88tse.sys [03.09.2006 16:29 299843]

R3 hcw88vid;Hauppauge WinTV 88x Video;c:\windows\system32\drivers\hcw88vid.sys [03.09.2006 16:29 497216]

R3 PCAlertDriver;PCAlertDriver;c:\programme\MSI\Core Center\NTGLM7X.sys [23.12.2005 11:10 26624]

S0 AmdAcpi;AmdAcpi Bus Filter Driver;c:\windows\system32\DRIVERS\AmdAcpi.sys --> c:\windows\system32\DRIVERS\AmdAcpi.sys [?]

S1 amdtools;AMD Special Tools Driver;c:\windows\system32\DRIVERS\amdtools.sys --> c:\windows\system32\DRIVERS\amdtools.sys [?]

S3 AVMWAN;NDIS WAN CAPI Treiber;c:\windows\system32\drivers\avmwan.sys [16.07.2002 01:00 37568]

S3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\drivers\fwlanusb.sys [01.07.2007 17:47 264704]

S3 FXUSBASE;Teledat X120 (WinXP/2000);c:\windows\system32\drivers\fxusbase.sys [16.07.2002 01:00 547840]

S3 NETPPPOI;PPP over ISDN;c:\windows\system32\DRIVERS\NETPPPOI.SYS --> c:\windows\system32\DRIVERS\NETPPPOI.SYS [?]

S3 zlportio;zlportio;\??\c:\programme\UltraStar Deluxe\zlportio.sys --> c:\programme\UltraStar Deluxe\zlportio.sys [?]
 

--- Andere Dienste/Treiber im Speicher ---
 

*NewlyCreated* - PCALERTDRIVER
 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs

UxTuneUp

.

Inhalt des "geplante Tasks" Ordners
 

2009-11-20 c:\windows\Tasks\1-Klick-Wartung.job

- c:\programme\TuneUp Utilities 2007\SystemOptimizer.exe [2007-08-02 10:40]
 

2009-11-18 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\programme\Apple Software Update\SoftwareUpdate.exe [2007-08-29 10:34]

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = about:blank

uInternet Settings,ProxyOverride = *.local

IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

FF - ProfilePath - c:\dokumente und einstellungen\Master\Anwendungsdaten\Mozilla\Firefox\Profiles\ssco4kfr.default\

FF - prefs.js: browser.startup.homepage - 

FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
 

---- FIREFOX Richtlinien ----

c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl3.rsa_seed_sha", true);

.
 

**************************************************************************
 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://w*w.gmer.net

Rootkit scan 2009-11-23 08:10

Windows 5.1.2600 Service Pack 3 NTFS
 

Scanne versteckte Prozesse... 
 

Scanne versteckte Autostarteinträge... 
 

Scanne versteckte Dateien... 
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************

.

--------------------- Gesperrte Registrierungsschluessel ---------------------
 

[HKEY_USERS\S-1-5-21-2000478354-2146918337-839522115-1003\Software\Microsoft\SystemCertificates\AddressBook*]

@Allowed: (Read) (RestrictedCode)

@Allowed: (Read) (RestrictedCode)
 

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h–€|ÿÿÿÿ¤•€|ù•6~*]

"7040211900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
 

- - - - - - - > 'winlogon.exe'(940)

c:\windows\system32\Ati2evxx.dll
 

- - - - - - - > 'explorer.exe'(1956)

c:\programme\Windows Desktop Search\deskbar.dll

c:\programme\Windows Desktop Search\de-de\dbres.dll.mui

c:\programme\Windows Desktop Search\dbres.dll

c:\programme\Windows Desktop Search\wordwheel.dll

c:\programme\Windows Desktop Search\de-de\msnlExtRes.dll.mui

c:\programme\Windows Desktop Search\msnlExtRes.dll

c:\windows\system32\webcheck.dll

c:\windows\system32\WPDShServiceObj.dll

c:\windows\system32\PortableDeviceTypes.dll

c:\windows\system32\PortableDeviceApi.dll

.

------------------------ Weitere laufende Prozesse ------------------------

.

c:\windows\system32\Ati2evxx.exe

c:\windows\system32\Ati2evxx.exe

c:\programme\Avira\AntiVir Desktop\avguard.exe

c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

c:\programme\FRITZ!DSL\IGDCTRL.EXE

c:\programme\Bonjour\mDNSResponder.exe

c:\windows\system32\CTsvcCDA.EXE

c:\windows\eHome\ehRecvr.exe

c:\windows\eHome\ehSched.exe

c:\programme\Java\jre6\bin\jqs.exe

c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE

c:\programme\CDBurnerXP\NMSAccessU.exe

c:\windows\SYSTEM32\CTXFISPI.EXE

c:\windows\system32\SearchIndexer.exe

c:\windows\ehome\mcrdsvc.exe

c:\windows\eHome\ehmsas.exe

c:\programme\Creative\ShareDLL\CADI\NotiMan.exe

c:\programme\iPod\bin\iPodService.exe

c:\windows\system32\dllhost.exe

c:\windows\system32\wbem\wmiapsrv.exe

.

**************************************************************************

.

Zeit der Fertigstellung: 2009-11-23 08:11 - PC wurde neu gestartet

ComboFix-quarantined-files.txt  2009-11-23 07:11
 

Vor Suchlauf: 10 Verzeichnis(se), 28.800.737.280 Bytes frei

Nach Suchlauf: 12 Verzeichnis(se), 28.658.925.568 Bytes frei
 

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe

[Boot Loader]

Timeout=2

Default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[Operating Systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="XXCLONE: (Cloned Volume) [d:0,p:1] \WINDOWS" /fastdetect /NoExecute=OptIn

multi(0)disk(0)rdisk(1)partition(1)\WINDOWS="Microsoft Windows XP Professional (on Volume 1)"
 

- - End Of File - - B834954F9A1BA0E9245C6562E0966182

Ich hatte den AntiVir deaktiviert - dennoch tauchen in dem Log Meldungen auf wie *On-access scanning enabled*. Hätte ich den Virenscanner komplett deinstallieren müssen?

Darüberhinaus hatte ich eine Fehlermeldung, das Windows ein Laufwerk nicht finden konnte (da war offensichtlich noch irgendwo eine alte Laufwerkszuordnung, habe vor kurzem "Eigene Dateien" umgezogen... (habe "Weiter" ausgewählt)).

Wiederherstellungskonsole wurde sauber installiert, der Rest von ComboFix lief problemlos durch.

... ich hatte es noch nicht erwähnt... Besten Dank für deine Hilfe so weit schon mal...

Nochmal meine Frage bzgl. C:\Windows\Tasks\SA.dat - wie kann ich die sehen?

Gruß, Frank

TDSS-Rootkit dürfte weg sein, mach mal eine Kontrolle mit MalwareBytes und aktuellen Signaturen.

Zitat:

Ich hatte den AntiVir deaktiviert - dennoch tauchen in dem Log Meldungen auf wie *On-access scanning enabled*.
Hätte ich den Virenscanner komplett deinstallieren müssen?

Normales Deaktivieren reicht, also Regenschirm schließen. Warum AntiVir da mehrere Male auftaucht kann ich jeztzt so auch nicht nachvollziehen...

Zitat:

Nochmal meine Frage bzgl. C:\Windows\Tasks\SA.dat - wie kann ich die sehen?

Was genau willst Du da sehen? :confused:

Hallo Arne,

im Lop S&D war unter

Code:

--------------------\\ Geplante Aufgaben unter C:\WINDOWS\Tasks

dieser aufgeführt:

Code:

[18.11.2009 08:09][--ah-----] C:\WINDOWS\tasks\SA.DAT

Diesen meinte ich.

MBAM-Scan mache ich heute abend und poste die Ergebnisse. Was muss/kann/sollte ich sonst noch machen (außer abwarten und Daumen drücken, dass die unschicklichen Aufrufe nicht mehr auftreten)?

Klar: Passworte ändern, alte Wiederherstellungen entfernen, neuen Punkte setzen und eine Sicherung wäre auch kein Fehler...

Gruß, Frank

Hallo Arne,

immerhin das sieht schon mal gut aus :)

Code:

Malwarebytes' Anti-Malware 1.41

Datenbank Version: 3218

Windows 5.1.2600 Service Pack 3
 

23.11.2009 21:16:58

mbam-log-2009-11-23 (21-16-58).txt
 

Scan-Methode: Vollständiger Scan (C:\|R:\|S:\|)

Durchsuchte Objekte: 227521

Laufzeit: 42 minute(s), 13 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 0
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

(Keine bösartigen Objekte gefunden)

'n schönen Abend noch

Frank

Mach nun bitte ein Filelisting mit diesem script:

Script herunterladen, speichern unter auf dem Desktop
Doppelklick auf listing8.cmd auf dem Desktop
nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

Hi,

ich hoffe, das funktioniert...

listing.txt

Sollte es aber.

Gruß,

Frank