Trojaner-Board - Trojan Horse generic 16.amtr

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Trojan Horse generic 16.amtr (https://www.trojaner-board.de/82135-trojan-horse-generic-16-amtr.html)

Trojan Horse generic 16.amtr

Hallo zusammen,

AVR Free findet bei mir "Trojan Horse generic 16.amtr". Habe versucht ihn gleich zu löschen, irgendwie spinnt mein System nun aber etwas. Firefox funktioniert immer langsamer, IE garrnicht mehr. Auch ansonsten habe ich das Gefühl, dass alles etwas langsamer läuft.
Desweiteren habe ich immer Probleme, wenn ich zB Forenbeiträge abschicke. (beim ersten Versuch kommt zumeist eine Meldung an welche ich mich leider nicht mehr erinnern kann)

Ich nutze Windows XP Home Version 2002 mit SP3.

Könnt ihr mir helfen?

ps:

habe versucht das Logfile selber auszuwerten. 3 - 4 Einträge, bei denen nur ein ? kam sind mir nicht bekannt und ich weiss nicht, was ich damit machen soll. Wisst ihr mehr?

HTML-Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 18:46:34, on 24.01.2010

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\WINDOWS\Explorer.EXE

C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe

C:\Programme\Bonjour\mDNSResponder.exe

C:\Programme\Cisco Systems\VPN Client\cvpnd.exe

C:\Programme\Java\jre6\bin\jqs.exe

C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe

C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe

C:\WINDOWS\system32\svchost.exe

C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Programme\Hp\HP Software Update\HPWuSchd2.exe

C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe

C:\Programme\Synaptics\SynTP\SynTPEnh.exe

C:\Programme\HP\QuickPlay\QPService.exe

C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe

C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe

C:\PROGRA~1\AVG\AVG8\avgtray.exe

C:\Programme\Java\jre6\bin\jusched.exe

C:\Programme\Winamp\winampa.exe

C:\Programme\iTunes\iTunesHelper.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\Veoh Networks\Veoh\VeohClient.exe

C:\Programme\Messenger\msmsgs.exe

C:\PROGRA~1\AVG\AVG8\avgrsx.exe

C:\PROGRA~1\AVG\AVG8\avgnsx.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\HP\Digital Imaging\bin\hpqimzone.exe

C:\PROGRA~1\hpq\Shared\HPQTOA~1.EXE

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\Programme\iPod\bin\iPodService.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\Mozilla Firefox\firefox.exe

C:\DOKUME~1\Besitzer\LOKALE~1\Temp\Xsl.exe

C:\Programme\HP\Digital Imaging\bin\hpqimzone.exe

C:\Programme\Trend Micro\HijackThis\HijackThis.exe
 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:9666

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1

R3 - URLSearchHook: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Programme\AVG\AVG8\Toolbar\IEToolbar.dll

R3 - URLSearchHook: (no name) - *{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG8\avgssie.dll

O2 - BHO: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Programme\AVG\AVG8\Toolbar\IEToolbar.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll

O3 - Toolbar: (no name) - {0FBB9689-D3D7-4f7a-A2E2-585B10099BFC} - (no file)

O3 - Toolbar: AVG Security Toolbar - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - C:\Programme\AVG\AVG8\Toolbar\IEToolbar.dll

O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"

O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hp\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [QPService] "C:\Programme\HP\QuickPlay\QPService.exe"

O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe /Start

O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe

O4 - HKLM\..\Run: [RecGuard] C:\Windows\SMINST\RecGuard.exe

O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe

O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [bugarobad] Rundll32.exe "c:\windows\system32\veyoroda.dll",a

O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Veoh] "C:\Programme\Veoh Networks\Veoh\VeohClient.exe" /VeohHide

O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [BMIMZMHMFM] C:\DOKUME~1\Besitzer\LOKALE~1\Temp\Xsl.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: HP Photosmart Premier – Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: VPN Client.lnk = ?

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com

O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG8\avgpp.dll

O20 - AppInit_DLLs: pajosuri.dll c:\windows\system32\veyoroda.dll

O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll

O21 - SSODL: wayurudut - {edc5e5ff-12e6-429f-bcad-7ee6666f671d} - c:\windows\system32\veyoroda.dll

O22 - SharedTaskScheduler: tokatiluy - {edc5e5ff-12e6-429f-bcad-7ee6666f671d} - c:\windows\system32\veyoroda.dll

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe

O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe

O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe

O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe

O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
 

--

End of file - 8480 bytes

P.S.:

Vorhin hatte ich zusätzlich das Probelm, dass sich der IE immer wieder von alleine öffnete(während dem Nutzen von Firefox). Habe dann noch einmal neu installiert - beim Neustart kam die Meldung, dass folgendes aus Sicherheitsgründen blockiert würde: generic host process system32.
Anschließend dann der Windows Problembericht, dass eben dieser Prozess nicht ausgeführt werden kann.
Zusätzlich komme ich mit dem IE auch gar nicht mehr online.

Da stimmt doch irgendwas nicht...

Bitte helft mir, ich habe in den nächsten zwei Wochen Klausuren und mein PC darf nicht schlapp machen. Was kann ich tun?

PPS: Malewarebytes Anti-Maleware lässt sich nicht installieren. Bzw kommt kurz vor dem Ende der Installation eine Fehlermeldung, anschließend wird beim Versuch das Programm zu starten irgendeine Datei nicht gefunden.
Dazu muss ich sagen, dass ich das Programm eigentlich schon vorher drauf hatte, da gabs dann dasselbe Problem. Also noch mal installiert... und nochmal... und hier stehe ich nun. BITTE HELFT MIR!!

AVG findet beim Scan jetzt auch noch drei mal trojan horse.downloader.agent2.RAE und dazu noch einen darauf verweisenden regestry key mit HKU vorne (finde ich in der registry selbst aber nicht.)

Malewarebytes kann ich übrigens immernoch noch nutzen. Bei der Deinstallation lässt sich eine bestimmte Datei nicht löschen und bei der Installation wird keine exe Datei gefunden.:balla:

Ich dreh' am Rad!

Hi,

Dateien Online überprüfen lassen:

Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code:

C:\DOKUME~1\Besitzer\LOKALE~1\Temp\Xsl.exe

c:\windows\system32\veyoroda.dll

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Falls beide erkannt, weiter mit Avenger:
Anleitung Avenger (by swandog46)
1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:

http://saved.im/mzi3ndg3nta0/aven.jpg

2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")

Code:

Registry values to replace with dummy:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs
 

Registry values to delete:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run|bugarobad

 

Files to delete:

C:\DOKUME~1\Besitzer\LOKALE~1\Temp\Xsl.exe

c:\windows\system32\veyoroda.dll
 

Folders to delete:

C:\DOKUME~1\Besitzer\LOKALE~1\Temp

3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet.

4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Hijackthis, fixen:
Öffne das HijackThis -- Button "scan" -- vor den unten genannten Einträge(n) Häkchen setzen -- Button "Fix checked" -- PC neustarten
Achtung: Alle Anwendungen bis auf HJ müssen geschlossen sein, ein eventuell aktiver Teatimer von Spybot muss unbedingt deaktiviert sein!)

Code:

O4 - HKCU\..\Run: [BMIMZMHMFM] C:\DOKUME~1\Besitzer\LOKALE~1\Temp\Xsl.exe

O21 - SSODL: wayurudut - {edc5e5ff-12e6-429f-bcad-7ee6666f671d} - c:\windows\system32\veyoroda.dll

O22 - SharedTaskScheduler: tokatiluy - {edc5e5ff-12e6-429f-bcad-7ee6666f671d} - c:\windows\system32\veyoroda.dll

Danach probierst Du noch mal MAM aus, ev. im Downloaddialog MAM schon auf test.exe umbenennen... Fullscan und alles Bereinigen lasse, Log posten!

Gmer:
http://www.trojaner-board.de/74908-a...t-scanner.html
Den Downloadlink findest Du links oben (http://www.gmer.net/#files), dort dann
auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken).
Starte gmer und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein.

chris

Hallo und danke für die Antwort!

Erst einmal sorry, falls ich etwas falsch machen sollte - ich bin absoluter Laie.

Habe leider die erste Datei (C:\DOKUME~1\Besitzer\LOKALE~1\Temp\Xsl.exe) nicht gefunden. Weder mit Virus Total noch im Explorer. Das ~ steht doch für eine Abkürzung, oder? So oder so, ich finds leider nirgends:confused:

Kann es daran liegen, dass ich in der Zwischenzeit noch etwas rumprobiert habe? Hier nocheinmal ein aktuelles LogFile von HiJackThis:

HTML-Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 19:41:49, on 25.01.2010

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\WINDOWS\Explorer.EXE

C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe

C:\Programme\Bonjour\mDNSResponder.exe

C:\Programme\Cisco Systems\VPN Client\cvpnd.exe

C:\Programme\Java\jre6\bin\jqs.exe

C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe

C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe

C:\WINDOWS\system32\svchost.exe

C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe

C:\PROGRA~1\AVG\AVG8\avgrsx.exe

C:\Programme\Winamp\winampa.exe

C:\Programme\Synaptics\SynTP\SynTPEnh.exe

C:\PROGRA~1\AVG\AVG8\avgnsx.exe

C:\Programme\Java\jre6\bin\jusched.exe

C:\Programme\HP\QuickPlay\QPService.exe

C:\Programme\iTunes\iTunesHelper.exe

C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe

C:\Programme\Hp\HP Software Update\HPWuSchd2.exe

C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe

C:\PROGRA~1\AVG\AVG8\avgtray.exe

C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\Programme\HP\Digital Imaging\bin\hpqimzone.exe

C:\Programme\iPod\bin\iPodService.exe

C:\WINDOWS\System32\svchost.exe

C:\PROGRA~1\hpq\Shared\HPQTOA~1.EXE

C:\Programme\Mozilla Firefox\firefox.exe

C:\Programme\AVG\AVG8\avgscanx.exe

C:\Programme\AVG\AVG8\avgcsrvx.exe

C:\Programme\Trend Micro\HijackThis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:9666

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1

R3 - URLSearchHook: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Programme\AVG\AVG8\Toolbar\IEToolbar.dll

R3 - URLSearchHook: (no name) - *{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG8\avgssie.dll

O2 - BHO: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Programme\AVG\AVG8\Toolbar\IEToolbar.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll

O3 - Toolbar: AVG Security Toolbar - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - C:\Programme\AVG\AVG8\Toolbar\IEToolbar.dll

O4 - HKLM\..\Run: [bugarobad] Rundll32.exe "c:\windows\system32\gayudida.dll",a

O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe

O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [RecGuard] C:\Windows\SMINST\RecGuard.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [QPService] "C:\Programme\HP\QuickPlay\QPService.exe"

O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe

O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hp\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe /Start

O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe

O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe

O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"

O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: HP Photosmart Premier – Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: VPN Client.lnk = ?

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com

O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG8\avgpp.dll

O20 - AppInit_DLLs: c:\windows\system32\gayudida.dll,pajosuri.dll

O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll

O21 - SSODL: dibositut - {11b856f5-0335-4f78-b2df-a299fd82b613} - c:\windows\system32\gayudida.dll

O22 - SharedTaskScheduler: gahurihor - {11b856f5-0335-4f78-b2df-a299fd82b613} - c:\windows\system32\gayudida.dll

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe

O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe

O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe

O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe

O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe

 

--

End of file - 8015 bytes

Die zweite habe ich aber gefunden! Hier das Ergebnis von Virus Total:
http://www.virustotal.com/de/analisis/bb8928a9d955e98f2640051a58fbe750375d42cb441b6c9834aef554f815e5f4-1264446919

HTML-Code:

Antivirus    Version    letzte aktualisierung    Ergebnis

a-squared    4.5.0.50    2010.01.25    -

AhnLab-V3    5.0.0.2    2010.01.25    -

AntiVir    7.9.1.150    2010.01.25    -

Antiy-AVL    2.0.3.7    2010.01.22    -

Authentium    5.2.0.5    2010.01.25    -

Avast    4.8.1351.0    2010.01.25    -

AVG    9.0.0.730    2010.01.25    -

BitDefender    7.2    2010.01.25    -

CAT-QuickHeal    10.00    2010.01.25    -

ClamAV    0.94.1    2010.01.25    -

Comodo    3706    2010.01.25    -

DrWeb    5.0.1.12222    2010.01.25    -

eSafe    7.0.17.0    2010.01.25    -

eTrust-Vet    35.2.7259    2010.01.25    -

F-Prot    4.5.1.85    2010.01.25    -

F-Secure    9.0.15370.0    2010.01.25    -

Fortinet    4.0.14.0    2010.01.25    -

GData    19    2010.01.25    -

Ikarus    T3.1.1.80.0    2010.01.25    -

Jiangmin    13.0.900    2010.01.24    -

K7AntiVirus    7.10.952    2010.01.22    -

Kaspersky    7.0.0.125    2010.01.25    -

McAfee    5872    2010.01.25    -

McAfee+Artemis    5872    2010.01.25    -

McAfee-GW-Edition    6.8.5    2010.01.25    Heuristic.LooksLike.Trojan.Vundo.91648G.B

Microsoft    1.5405    2010.01.25    -

NOD32    4805    2010.01.25    -

Norman    6.04.03    2010.01.25    -

nProtect    2009.1.8.0    2010.01.25    -

Panda    10.0.2.2    2010.01.25    Suspicious file

PCTools    7.0.3.5    2010.01.25    -

Prevx    3.0    2010.01.25    High Risk Fraudulent Security Program

Rising    22.32.00.04    2010.01.25    -

Sophos    4.50.0    2010.01.25    Sus/UnkPack-C

Sunbelt    3.2.1858.2    2010.01.24    -

Symantec    20091.2.0.41    2010.01.25    -

TheHacker    6.5.0.9.162    2010.01.25    -

TrendMicro    9.120.0.1004    2010.01.25    -

VBA32    3.12.12.1    2010.01.25    -

ViRobot    2010.1.25.2154    2010.01.25    -

VirusBuster    5.0.21.0    2010.01.25    -

 

weitere Informationen

File&nbsp;size: 95744 bytes

MD5&nbsp;&nbsp;&nbsp;: d6a1de651ed8c3efaa0330af8c7da3f1

SHA1&nbsp;&nbsp;: 1b8d1533ad10d078bdbae1b34ec93b428380123a

SHA256: bb8928a9d955e98f2640051a58fbe750375d42cb441b6c9834aef554f815e5f4

PEInfo: PE Structure information<br>    <br>    ( base data )<br>    entrypointaddress.: 0x2609E<br>    timedatestamp.....: 0x4B5AD803 (Sat Jan 23 12:05:39 2010)<br>    machinetype.......: 0x14C (Intel I386)<br>    <br>    ( 5 sections )<br>    name viradd virsiz rawdsiz ntrpy md5<br>    .text 0x1000 0x1000 0x200 7.56 035415491f552759e298511227be2657<br>.rdata 0x2000 0x23000 0x13000 8.00 23d7a687fc0c16d9c4319f2de04b7a42<br>.data 0x25000 0x1000 0x600 0.77 24f4c6916620499f4fd2eca871c808e8<br>.reloc 0x26000 0x3000 0x2800 4.42 ad1ee5b45018ce935a293833f0c104b0<br>.RR 0x29000 0x127B 0x1200 0.00 b1e27aa018409de6bfd73f8afb883a65<br>    <br>    ( 3 imports )<br>    <br>&gt; advapi32.dll: RegOpenKeyA<br>&gt; shlwapi.dll: StrCatChainW, UrlGetPartW, UrlCombineW, UrlHashW, UrlEscapeA, UrlGetLocationW, UrlUnescapeW<br>&gt; user32.dll: GetDC, SendMessageA, MessageBeep, DialogBoxIndirectParamA, MessageBoxW, DispatchMessageW, TranslateMessage<br>    <br>    ( 0 exports )<br>    

TrID&nbsp;&nbsp;: File type identification<br>Win32 Dynamic Link Library (generic) (55.7%)<br>Clipper DOS Executable (14.8%)<br>Generic Win/DOS Executable (14.7%)<br>DOS Executable Generic (14.6%)<br>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)

ssdeep: 1536:naFf+ydHZJx8kBNXj6kxhi2wREeqhW9IiV0rlujnzqdXlCZpAE5a:nwbZJ2Sj6eh/2Eq97V0rYnzqdXp5

Prevx&nbsp;Info: <a href="http://info.prevx.com/aboutprogramtext.asp?PX5=2B87A35B0060866776B4019B4466BF00098F64EA" target="_blank">http://info.prevx.com/aboutprogramtext.asp?PX5=2B87A35B0060866776B4019B4466BF00098F64EA</a>

PEiD&nbsp;&nbsp;: -

RDS&nbsp;&nbsp;&nbsp;: NSRL Reference Data Set<br>-

Probiere jetzt mal Avenger aus!

EDIT:

so, hier nun die Ergebnisse von Avenger:

Zitat:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Error: file "C:\DOKUME~1\Besitzer\LOKALE~1\Temp\Xsl.exe" not found!
Deletion of file "C:\DOKUME~1\Besitzer\LOKALE~1\Temp\Xsl.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

File "c:\windows\system32\veyoroda.dll" deleted successfully.
Folder "C:\DOKUME~1\Besitzer\LOKALE~1\Temp" deleted successfully.
Registry value "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs" replaced with dummy successfully.
Registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|bugarobad" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Nochmals EDIT:

wollte gerade die erwähnten HiJackThis Einträge fixen, aber die haben nun alle eine andere Endung.

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:10:19, on 25.01.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgnsx.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\HP\QuickPlay\QPService.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
C:\Programme\Hp\HP Software Update\HPWuSchd2.exe
C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\hpq\Shared\HPQTOA~1.EXE
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\HP\Digital Imaging\bin\hpqimzone.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:9666
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R3 - URLSearchHook: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Programme\AVG\AVG8\Toolbar\IEToolbar.dll
R3 - URLSearchHook: (no name) - *{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG8\avgssie.dll
O2 - BHO: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Programme\AVG\AVG8\Toolbar\IEToolbar.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O3 - Toolbar: AVG Security Toolbar - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - C:\Programme\AVG\AVG8\Toolbar\IEToolbar.dll
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [RecGuard] C:\Windows\SMINST\RecGuard.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [QPService] "C:\Programme\HP\QuickPlay\QPService.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [bugarobad] Rundll32.exe "c:\windows\system32\fizelugo.dll",a
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: HP Photosmart Premier – Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: VPN Client.lnk = ?
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG8\avgpp.dll
O20 - AppInit_DLLs: pajosuri.dll c:\windows\system32\fizelugo.dll
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll
O21 - SSODL: nalofazug - {ef956721-b7a3-4a34-8201-15a14598f6b2} - c:\windows\system32\fizelugo.dll
O22 - SharedTaskScheduler: tokatiluy - {ef956721-b7a3-4a34-8201-15a14598f6b2} - c:\windows\system32\fizelugo.dll
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe

--
End of file - 7917 bytes

Hm.. In meinem zweiten HiJackThis endeten sie noch alle mit gayudida.dll. Nun haben sie eine andere Endung. Die O21 und O22 fixe ich, auch wenn sie inzwischen wohl die dritte verschiedene Endung haben.
Der erste Eintrag wird ja nicht mehr gefunden.

Edit: so, neu gestartet.
MAM als test.exe downgeloaded. Die Installation klappt nun und es wird im Explorer zumindest eine mbamgui.exe Datei mit Symbol angezeigt, dennoch tut sich nichts, wenn ich drauf klicke. Sch....

Ok, als nächstes führe ich nun den letzten Schritt aus..

ok, hier dann noch die Ergebnisse GMER:

Zitat:

GMER 1.0.15.15281 - GMER - Rootkit Detector and Remover
Rootkit scan 2010-01-25 22:42:03
Windows 5.1.2600 Service Pack 3
Running: fj8zcy7p.exe; Driver: C:\DOKUME~1\Besitzer\LOKALE~1\Temp\kwtyqkoc.sys

---- Kernel code sections - GMER 1.0.15 ----

init C:\WINDOWS\system32\drivers\tifm21.sys entry point in "init" section [0xF65D5EBF]

---- User IAT/EAT - GMER 1.0.15 ----

IAT C:\Programme\Cisco Systems\VPN Client\cvpnd.exe[680] @ C:\WINDOWS\system32\msvcrt.dll [KERNEL32.dll!GetProcAddress] [00F62BC8] C:\WINDOWS\system32\VSINIT.dll (TrueVector Service/Zone Labs, LLC)
IAT C:\Programme\Cisco Systems\VPN Client\cvpnd.exe[680] @ C:\WINDOWS\system32\msvcrt.dll [KERNEL32.dll!UnhandledExceptionFilter] [00F62CE9] C:\WINDOWS\system32\VSINIT.dll (TrueVector Service/Zone Labs, LLC)
IAT C:\Programme\Cisco Systems\VPN Client\cvpnd.exe[680] @ C:\WINDOWS\system32\msvcrt.dll [KERNEL32.dll!TerminateProcess] [00F62CB8] C:\WINDOWS\system32\VSINIT.dll (TrueVector Service/Zone Labs, LLC)

---- Devices - GMER 1.0.15 ----

AttachedDevice \Driver\Tcpip \Device\Ip avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 EABFiltr.sys (QLB PS/2 Keyboard filter driver/Hewlett-Packard Development Company, L.P.)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 EABFiltr.sys (QLB PS/2 Keyboard filter driver/Hewlett-Packard Development Company, L.P.)
AttachedDevice \Driver\Tcpip \Device\Tcp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice \Driver\Tcpip \Device\Udp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice \Driver\Tcpip \Device\RawIp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----

Hi,

die Teile haben sich unter neuem Namen wiederhergestellt, da muß ein Loader irgendwo rumhängen...

Versuche die mbma.exe im MAM-Verzeichnis auf test.exe umzubenennen und zu starten...

Schluß mit Lustig:
Combofix
Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Antivierenlösung komplett auschalten und zwar so, dass sie sich auch nach einem Reboot NICHT einschaltet!

Achtung: In einigen wenigen Fällen kann es vorkommen, das der Rechner nicht mehr booten kann und Neuaufgesetzt werden muß!

Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report (ComboFix.txt) angezeigt, den bitte kopieren und in deinem Thread einfuegen.

OTL
Lade Dir OTL von Oldtimer herunter (http://filepony.de/download-otl/) und speichere es auf Deinem Desktop

* Doppelklick auf die OTL.exe
* Vista/Win7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
* Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
* Unter Extra Registry, wähle bitte Use SafeList
* Klicke nun auf Run Scan links oben
* Wenn der Scan beendet wurde werden 2 Logfiles erstellt
* Poste die Logfiles hier in den Thread.

chris

Hi Chris, danke fuer die Antwort. Bin gerade in der Uni und komme erst heute Nachmittag wieder an meinen Rechner. Um dann gleich nichts falsch zu machen vorher noch eine Frage: Mit Antivirenloesung ausschalten meinst du AVG, oder? Wie bekomme ich das denn hin bzw vorallem beim Reboot?

Die exe Datei im MBAM Ordner auf Test.exe umzubenennen hatte ich schon vergeblich versucht, aenderte nichts. (Allerdings heisst diese, und ich vermute, dass das die eigetliche MBA.EXE ist, da sie die einzige exe Datei mit dem Software Symbol ist bei jeder Installation mbamgui.exe - das "gui" am Ende ist egal oder ist das eine andere Datei? Eine andere gibt's naemlich leider nicht)
Soll ich den Rest trotzdem so ausfuehren?

Danke fuer deine Hilfe!

Ja,

nach dem CF-Lauf solltest Du MAM laufen lassen und dann erst OTL, sonst tauchen ev. durch MAM gelöschte Sachen unnötigerweise im OTL-Log auf!

chris

Habe eben mal gegoogelt: AVG laesst sich wohl nicht komplett ausschalten bei der Version, die ich habe. (laut AVG Forum)
Soll ich es dann vorher alles deinstallieren oder ist das zu gefaehrlich?
Eine einzelne Quelle behauptet, man koenne es mit http://www.sysinternals.com ausschalten. Was ist davon zu halten?

Und zu MAM hatte ich gerade noch etwas editiert: Es wird gar keine normale mbam.exe Datei sondern nur mbamgui.exe angezeigt- ist die unterschiedliche Endung egal?
Und MAM am besten vor oder nach CF neu installieren? Und nach OTL AVG wieder neu aufspielen?

Sorry für die vielen Zwischenfragen, aber ich möchte alles richtig machen denn ein neu Aufsetzen des Systems waere in der jetzigen Phase der Super Gau fuer mich.

Hi,

nein, AVG musst Du nicht deinstallieren, normalerweise schaltet CF den selber ab, das ist nur zur Sicherheit. MAM runterladen und abspeichern und nach dem CF-Lauf installieren, updaten und laufen lassen!
Nein, die mbam.exe heisst so, wenn keine da ist, dann ist sie auch nicht installiert worden und die Malware blockt die Installation der mbam.exe...
Wenn Du Dich mit Regedit auskennst kannst du spasseshalber mal nach sowas in der re schauen:

Code:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]

"mbam.exe"

Falls vorhanden, den Eintrag "mbam.exe" löschen...

chris

Ok,

noch ein letzte Frage bevor ich heute Nachmittag dann alles ausprobieren kann:

Systemwiederherstellung bei allem am besten deaktivieren und alles im abgesicherten Modus, also ohne W-Lan, scannen? Oder unnötig?

Ok, dann erst einmal Danke für die Hilfe und ich medle mich dann heute Nachmittag wieder!

sebastian

Hi,

die Systemwiederherstellung können wir auch nachträglich bereinigen, spielt keine Rolle. Aber falls was passieren sollte, ist es nicht schlecht, ein funktionsfähigen Stand (wenn auch ev. "verseucht") zu haben, als einen Rechner der garnichtmehr bootet...

CF lädt untre Umständen die Rettungskonsole nach... (wg. Online)...

chris

so, CF lief.

Beim Start wurde noch einmal darauf hingewiesen, dass AVG Probleme bereiten könnte und ich mir darüber im Klaren sein soll, dass was schief laufen könne. Habe daher die AVG Häkchen nach Eingabe von msconfig.exe entfernt. Um es wieder zu aktivieren müsste ich dann noch einmal neu Starten. Damit warte ich am besten oder wann wär der beste Zeitpunkt dafür?

Momentan läuft MAM +freu+ und hat auch schon 5 infizierte Objekte gefunden. Poste gleich das Log.

Hier schon einmal die Ergebnisse von CF.
(Nach dem Neustart gabs übrigens eine kurze Windows Fehlermeldung zu der im LogFile zweiten aufgeführten Datei, diese ...zizedilo.dll)

Zitat:

ComboFix 10-01-26.01 - Besitzer 26.01.2010 18:59:57.1.1 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.1022.515 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Besitzer\Desktop\ComboFix.exe
AV: AVG Anti-Virus Free *On-access scanning disabled* (Updated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}
.
Die folgenden Dateien wurden während des Laufs deaktiviert:
c:\windows\system32\pajosuri.dll
c:\windows\system32\zizedilo.dll

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat
c:\programme\AskSearch\bin\DefaultSearch.dll
c:\windows\system32\649149.dat
c:\windows\system32\binebose.dll
c:\windows\system32\biwuhehi.dll
c:\windows\system32\diterosi.dll
c:\windows\system32\fupuvuyu.dll
c:\windows\system32\gatifefa.dll
c:\windows\system32\gisekaki.dll
c:\windows\system32\jisubufo.dll
c:\windows\system32\kadetapa.dll
c:\windows\system32\kiguhoba.dll
c:\windows\system32\mutepina.dll
c:\windows\system32\muyipeve.dll
c:\windows\system32\pusogumu.dll
c:\windows\system32\somifoyu.dll
c:\windows\system32\STEC3.sys
c:\windows\system32\tupuzeme.dll
c:\windows\system32\vafubamu.dll
c:\windows\system32\verarozu.dll
c:\windows\system32\vewalimu.dll
c:\windows\system32\vorehuye.dll
c:\windows\system32\vugikoku.dll
c:\windows\system32\wutekawu.dll
c:\windows\system32\yedejoru.dll
c:\windows\system32\yesivilo.dll
c:\windows\system32\zagareme.dll
c:\windows\system32\zalohema.dll
c:\windows\system32\zeyutoja.dll
c:\windows\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job
c:\windows\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job
D:\Autorun.inf

----- BITS: Eventuell infizierte Webseiten -----

hxxp://82.98.235.34
.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_SSHNAS
-------\Legacy_STEC3
-------\Service_SSHNAS
-------\Service_STEC3

((((((((((((((((((((((( Dateien erstellt von 2009-12-26 bis 2010-01-26 ))))))))))))))))))))))))))))))
.

2010-01-25 20:39 . 2010-01-26 17:50 -------- d-----w- c:\programme\test
2010-01-25 11:23 . 2010-01-25 11:23 -------- d-----w- C:\rsit
2010-01-25 10:40 . 2010-01-25 10:42 -------- dc-h--w- c:\windows\ie8
2010-01-25 09:13 . 2010-01-25 09:13 -------- d-----w- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Mozilla
2010-01-25 00:22 . 2010-01-25 00:22 -------- d-sh--w- c:\dokumente und einstellungen\Besitzer\PrivacIE
2010-01-24 07:53 . 2010-01-24 07:53 -------- d-----w- c:\windows\Internet Logs
2010-01-24 07:52 . 2010-01-24 07:52 -------- d-----w- c:\programme\Gemeinsame Dateien\Deterministic Networks
2010-01-24 07:52 . 2010-01-24 07:52 -------- d-----w- c:\programme\Cisco Systems
2010-01-23 14:43 . 2010-01-23 14:43 -------- d-----w- c:\dokumente und einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\TVU Networks
2010-01-23 14:43 . 2010-01-23 14:43 -------- d-----w- c:\dokumente und einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\LocalLow
2010-01-23 14:43 . 2010-01-23 14:43 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TVU Networks
2010-01-23 14:41 . 2010-01-23 14:41 -------- d-----w- c:\windows\system32\TVUAx
2010-01-13 10:02 . 2009-11-21 15:54 471552 ------w- c:\windows\system32\dllcache\aclayers.dll
2010-01-13 05:38 . 2010-01-13 06:59 -------- d-----w- c:\dokumente und einstellungen\Besitzer\.gimp-2.6
2010-01-13 05:37 . 2010-01-13 05:37 -------- d-----w- c:\programme\GIMP-2.0
2010-01-11 22:26 . 2010-01-11 22:27 -------- d-----w- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\avidemux
2010-01-09 17:00 . 2010-01-11 20:43 -------- d-----w- c:\dokumente und einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\WMTools Downloaded Files
2010-01-09 16:41 . 2010-01-09 16:41 -------- d-----w- c:\programme\Gemeinsame Dateien\Windows Live
2010-01-09 00:20 . 2010-01-24 23:47 -------- d-----w- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\uTorrent
2010-01-04 20:42 . 2010-01-04 20:42 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Last.fm
2010-01-04 20:40 . 2010-01-04 20:40 -------- d-----w- c:\programme\Last.fm

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-25 20:55 . 2009-07-26 14:05 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\avg8
2010-01-25 09:33 . 2004-08-07 05:27 82358 ----a-w- c:\windows\system32\perfc007.dat
2010-01-25 09:33 . 2004-08-07 05:27 452960 ----a-w- c:\windows\system32\perfh007.dat
2010-01-13 05:52 . 2008-09-06 15:51 -------- d-----w- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\gtk-2.0
2010-01-11 21:52 . 2009-11-24 01:43 -------- d-----w- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Winamp
2010-01-04 20:42 . 2010-01-04 20:42 683801 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Last.fm\Client\UninstWMP\unins000.exe
2010-01-04 20:42 . 2010-01-04 20:42 287 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Last.fm\Client\uninst2.bat
2010-01-04 20:42 . 2010-01-04 20:42 683801 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Last.fm\Client\UninstWA\unins000.exe
2010-01-04 20:42 . 2010-01-04 20:42 683801 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Last.fm\Client\UninstITW\unins000.exe
2010-01-04 20:42 . 2009-12-24 13:24 -------- d-----w- c:\programme\iTunes
2009-12-26 13:16 . 2009-12-26 13:15 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\iTunesFolderWatch
2009-12-26 13:14 . 2009-12-26 13:14 -------- d-----w- c:\programme\JezSoft
2009-12-26 05:13 . 2008-07-24 12:28 1324 ----a-w- c:\windows\system32\d3d9caps.dat
2009-12-24 19:02 . 2009-12-24 13:25 -------- d-----w- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Apple Computer
2009-12-24 13:41 . 2008-07-28 22:21 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple
2009-12-24 13:25 . 2009-12-24 13:24 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{755AC846-7372-4AC8-8550-C52491DAA8BD}
2009-12-24 13:24 . 2009-12-24 13:24 -------- d-----w- c:\programme\iPod
2009-12-24 13:24 . 2009-12-24 13:21 -------- d-----w- c:\programme\Gemeinsame Dateien\Apple
2009-12-24 13:23 . 2009-12-24 13:23 -------- d-----w- c:\programme\Bonjour
2009-12-24 13:23 . 2009-12-24 13:22 -------- d-----w- c:\programme\QuickTime
2009-12-24 13:22 . 2008-07-28 22:21 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer
2009-12-24 13:22 . 2009-12-24 13:22 -------- d-----w- c:\programme\Apple Software Update
2009-12-24 12:41 . 2008-07-29 00:42 -------- d-----w- c:\programme\Winamp
2009-12-13 07:18 . 2009-06-28 12:25 -------- d-----w- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\DivX
2009-12-06 22:07 . 2009-02-01 00:02 -------- d-----w- c:\programme\DivX
2009-12-06 22:06 . 2009-06-26 20:23 -------- d-----w- c:\programme\Gemeinsame Dateien\DivX Shared
2009-12-02 03:48 . 2009-11-01 21:47 -------- d-----w- c:\programme\OpenOffice.org 3
2009-12-02 03:43 . 2008-08-10 20:41 -------- d-----w- c:\programme\Veoh Networks
2009-11-23 18:24 . 2009-11-01 21:52 1 ----a-w- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2009-11-21 15:54 . 2004-08-04 08:00 471552 ----a-w- c:\windows\AppPatch\aclayers.dll
2009-11-14 00:47 . 2009-11-14 00:47 856064 ----a-w- c:\windows\system32\divx_xx0c.dll
2009-11-14 00:47 . 2009-11-14 00:47 856064 ----a-w- c:\windows\system32\divx_xx07.dll
2009-11-14 00:47 . 2009-11-14 00:47 847872 ----a-w- c:\windows\system32\divx_xx0a.dll
2009-11-14 00:47 . 2009-11-14 00:47 843776 ----a-w- c:\windows\system32\divx_xx16.dll
2009-11-14 00:47 . 2009-11-14 00:47 839680 ----a-w- c:\windows\system32\divx_xx11.dll
2009-11-14 00:47 . 2009-11-14 00:47 696320 ----a-w- c:\windows\system32\DivX.dll
2009-11-12 16:07 . 2009-11-12 16:07 79144 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer\Installer Cache\iTunes 9.0.2.25\SetupAdmin.exe
2009-11-02 07:45 . 2006-04-13 01:40 57704 ----a-w- c:\dokumente und einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2008-04-30 16:07 . 2008-11-07 19:43 3813 ----a-w- c:\programme\changeLog.txt
2008-07-28 19:21 . 2008-07-28 19:21 22 --sha-w- c:\windows\SMINST\HPCD.sys
1601-01-01 00:03 . 1601-01-01 00:03 55808 --sha-w- c:\windows\system32\dopahigo.dll
1601-01-01 00:03 . 1601-01-01 00:03 95232 --sha-w- c:\windows\system32\riluvuse.dll
.

------- Sigcheck -------

[7] 2008-06-20 . AD978A1B783B5719720CFF204B666C8E . 361600 . . [5.1.2600.5625] . . c:\windows\$hf_mig$\KB951748\SP3QFE\tcpip.sys
[7] 2008-06-20 . 9AEFA14BD6B182D61E3119FA5F436D3D . 361600 . . [5.1.2600.5625] . . c:\windows\$hf_mig$\KB951748\SP3GDR\tcpip.sys
[-] 2008-06-20 . 9425B72F40257B45D45D24773273DAD0 . 361600 . . [5.1.2600.5625] . . c:\windows\system32\dllcache\tcpip.sys
[-] 2008-06-20 . 9425B72F40257B45D45D24773273DAD0 . 361600 . . [5.1.2600.5625] . . c:\windows\system32\drivers\tcpip.sys
[7] 2008-06-20 . 2A5554FC5B1E04E131230E3CE035C3F9 . 360320 . . [5.1.2600.3394] . . c:\windows\$NtServicePackUninstall$\tcpip.sys
[7] 2008-06-20 . 744E57C99232201AE98C49168B918F48 . 360960 . . [5.1.2600.3394] . . c:\windows\$hf_mig$\KB951748\SP2QFE\tcpip.sys
[7] 2008-04-13 . 93EA8D04EC73A85DB02EB8805988F733 . 361344 . . [5.1.2600.5512] . . c:\windows\$NtUninstallKB951748$\tcpip.sys
[-] 2008-04-13 . ACCF5A9A1FFAA490F33DBA1C632B95E1 . 361344 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\tcpip.sys
[-] 2006-01-13 . 5562CC0A47B2AEF06D3417B733F3C195 . 360448 . . [5.1.2600.2827] . . c:\windows\$hf_mig$\KB913446\SP2QFE\tcpip.sys
[-] 2006-01-13 . 583E063FDC888CA30D05C2724B0D7EF4 . 359808 . . [5.1.2600.2827] . . c:\windows\$NtUninstallKB951748_0$\tcpip.sys
[-] 2005-05-25 . 63FDFEA54EB53DE2D863EE454937CE1E . 359936 . . [5.1.2600.2685] . . c:\windows\$hf_mig$\KB893066\SP2QFE\tcpip.sys
[-] 2005-05-25 . 88763A98A4C26C409741B4AA162720C9 . 359808 . . [5.1.2600.2685] . . c:\windows\$NtUninstallKB913446$\tcpip.sys
[7] 2004-08-04 . 9F4B36614A0FC234525BA224957DE55C . 359040 . . [5.1.2600.2180] . . c:\windows\$NtUninstallKB893066$\tcpip.sys
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{A3BC75A2-1F87-4686-AA43-5347D756017C}"= "c:\programme\AVG\AVG8\Toolbar\IEToolbar.dll" [2009-11-25 1230080]

[HKEY_CLASSES_ROOT\clsid\{a3bc75a2-1f87-4686-aa43-5347d756017c}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A3BC75A2-1F87-4686-AA43-5347D756017C}]
2009-11-25 12:01 1230080 ----a-w- c:\programme\AVG\AVG8\Toolbar\IEToolbar.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{CCC7A320-B3CA-4199-B1A6-9F516DD69829}"= "c:\programme\AVG\AVG8\Toolbar\IEToolbar.dll" [2009-11-25 1230080]

[HKEY_CLASSES_ROOT\clsid\{ccc7a320-b3ca-4199-b1a6-9f516dd69829}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{CCC7A320-B3CA-4199-B1A6-9F516DD69829}"= "c:\programme\AVG\AVG8\Toolbar\IEToolbar.dll" [2009-11-25 1230080]

[HKEY_CLASSES_ROOT\clsid\{ccc7a320-b3ca-4199-b1a6-9f516dd69829}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WinampAgent"="c:\programme\Winamp\winampa.exe" [2009-07-01 37888]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2005-06-19 729178]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-10-22 149280]
"RecGuard"="c:\windows\SMINST\RecGuard.exe" [2005-10-11 1187840]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2009-11-10 417792]
"QPService"="c:\programme\HP\QuickPlay\QPService.exe" [2005-12-12 94208]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2009-11-12 141600]
"hpWirelessAssistant"="c:\programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe" [2005-12-13 507904]
"HP Software Update"="c:\programme\Hp\HP Software Update\HPWuSchd2.exe" [2005-02-16 49152]
"eabconfg.cpl"="c:\programme\HPQ\Quick Launch Buttons\EabServr.exe" [2005-12-22 405504]
"Cpqset"="c:\programme\HPQ\Default Settings\cpqset.exe" [2005-08-01 233534]
"ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-11-10 344064]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
HP Photosmart Premier - Schnellstart.lnk - c:\programme\HP\Digital Imaging\bin\hpqthb08.exe [2005-9-24 73728]
Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]
VPN Client.lnk - c:\windows\Installer\{08B785C1-3893-4154-B53B-F5D341D0AAAA}\Icon3E5562ED7.ico [2010-1-24 6144]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]
2009-08-19 06:42 11952 ----a-w- c:\windows\system32\avgrsstx.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AVG8_TRAY]
2009-12-12 07:03 2043160 ----a-w- c:\progra~1\AVG\AVG8\avgtray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"avg8wd"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Soulseek-Test\\slsk.exe"=
"c:\\Programme\\Veoh Networks\\Veoh\\VeohClient.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\AVG\\AVG8\\avgupd.exe"=
"c:\\Programme\\AVG\\AVG8\\avgnsx.exe"=
"c:\\Programme\\Firaxis Games\\Sid Meier's Civilization 4\\Civilization4.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\iPod\\bin\\iPodService.exe"=

R1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [26.07.2009 15:06 335240]
R1 AvgTdiX;AVG Free8 Network Redirector;c:\windows\system32\drivers\avgtdix.sys [26.07.2009 15:06 108552]
R2 MZCCntrl;T-Online WLAN Adapter Steuerungsdienst;c:\programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe [26.03.2009 21:39 61440]
R3 HSFHWATI;HSFHWATI;c:\windows\system32\drivers\HSFHWATI.sys [22.08.2005 10:06 231424]
S3 MACNDIS5;MACNDIS5 NDIS Protocol Driver;c:\progra~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS [26.03.2009 21:39 17280]
S4 avg8wd;AVG Free8 WatchDog;c:\progra~1\AVG\AVG8\avgwdsvc.exe [26.07.2009 15:05 297752]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
tapisrv REG_MULTI_SZ Tapisrv
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = Google
uInternet Settings,ProxyOverride = 127.0.0.1
uInternet Settings,ProxyServer = 127.0.0.1:9666
FF - ProfilePath - c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\0y9i45r0.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: keyword.URL - hxxp://toolbar.ask.com/toolbarv/askRedirect?o=13165&gct=&gc=1&q=
FF - prefs.js: network.proxy.type - 4
FF - component: c:\programme\AVG\AVG8\Firefox\components\avgssff.dll
FF - plugin: c:\programme\DivX\DivX Plus Web Player\npdivx32.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\programme\Veoh Networks\Veoh\Plugins\noreg\NPVeohVersion.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
FF - user.js: yahoo.homepage.dontask - truec:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight", 2);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize", 1);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight", 5);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);
c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "http://www.firefox.com");
c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-bugarobad - c:\windows\system32\zizedilo.dll
SharedTaskScheduler-{6cc17bf0-0066-44a3-87b9-5d499552eab4} - c:\windows\system32\zizedilo.dll
SSODL-hikazopob-{6cc17bf0-0066-44a3-87b9-5d499552eab4} - c:\windows\system32\zizedilo.dll
AddRemove-HijackThis - c:\dokume~1\ADMINI~1\LOKALE~1\Temp\Rar$EX00.640\HijackThis.exe

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2010-01-26 19:05
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Cpqset = c:\programme\HPQ\Default Settings\cpqset.exe????????????????n??|?????? ???B?????????????hLC????????

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(992)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(3380)
c:\windows\system32\ieframe.dll
c:\windows\system32\webcheck.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\programme\AVG\AVG8\avgrsx.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\programme\Cisco Systems\VPN Client\cvpnd.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
c:\windows\system32\wdfmgr.exe
c:\programme\Hewlett-Packard\Shared\hpqwmiex.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\wscntfy.exe
c:\progra~1\hpq\Shared\HPQTOA~1.EXE
c:\programme\HP\Digital Imaging\bin\hpqimzone.exe
c:\programme\iPod\bin\iPodService.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-01-26 19:11:35 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2010-01-26 18:11

Vor Suchlauf: 11 Verzeichnis(se), 50.114.748.416 Bytes frei
Nach Suchlauf: 15 Verzeichnis(se), 50.044.542.976 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

- - End Of File - - A31ABBBAA68A64CBDAA0DD54A37D3951

EDIT: Soooo. MAM ist nun endlich durchgelaufen. Unten folgt das Log.
Habe auf Auswahl entfernen geklickt. Jetzt muss das System neu gestartet werden.
Hm, mit AVG starten oder ohne? Ich mache mal -mit- und setze die Häkchen unter Systemstart und Dienste wieder.
Danach lasse ich OTL durchlaufen und poste wieder alles hier hinein.

Nun erst einmal das Log von MAM:

Zitat:

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3641
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

26.01.2010 20:02:22
mbam-log-2010-01-26 (20-02-22).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 198648
Laufzeit: 46 minute(s), 39 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 12

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\BMIMZMHMFM (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\WS9E3IQBKY (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\dopahigo.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\pajosuri.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\riluvuse.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\zizedilo.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\vorehuye.dll.vir (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP1\A0000033.exe (Trojan.Banker) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP1\A0000162.sys (Malware.Trace) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP1\A0000231.sys (Malware.Trace) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP1\A0000287.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP1\A0000288.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP1\A0000333.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP1\A0000381.sys (Malware.Trace) -> Quarantined and deleted successfully.